Oracle 服務隱私權政策

本 Oracle 服務隱私權政策 (以下稱「服務隱私權政策」) 分為三個部分：

I.第一節 (服務個人資訊處理條款) 說明 Oracle Corporation 和其關係企業 (以下稱「Oracle」) 針對下列各項處理服務個人資訊/個人資訊時所採用的隱私權與安全性措施：在貴方訂購服務期間，向 Oracle 客戶 (「貴方」或「您」) 提供的技術支援、諮詢服務、雲端或其他服務，包括透過行動應用程式提供的服務 (以下稱「服務」)。

服務個人資訊是貴方提供、位於 Oracle、客戶或第三方系統和環境的個人資訊，由 Oracle 代表貴方處理，以執行服務。服務個人資訊可能包括：有關家庭、生活方式及社會情況的資料；僱傭資料；財務資料；在線識別符，如移動裝置設備ID及 IP 地址、地理位置資料，以及第一方網上行為及興趣資料。「服務個人資訊」可能會與您的代表和一般使用者相關，例如您的員工、職務應徵者、承包商、協作人員、合作夥伴、供應商、客戶和客戶。

II.第二節 (系統作業資料處理條款) 說明適用於「系統作業資料」(服務使用者 (以下稱「使用者」) 與用來監視、保護及提供服務給我們的客戶群的 Oracle 系統和網路互動所產生之「系統作業資料」(以下稱「使用者」) 中意外包含之個人資訊的隱私權與安全性實務。

系統作業資料可能包括記錄檔、事件檔案、其他追蹤和診斷檔案，以及與使用和操作我們的服務相關的統計和彙總資訊，以及這些服務執行的系統和網路。

III。第三個區段 (向客戶和使用者傳達通訊和通知) 適用於系統作業資料中包含的服務個人資訊和個人資訊、描述 Oracle 如何處理法律要求的揭露要求，以及通知貴方和使用者如何與 Oracle 的全球資料保護長進行通訊或提出投訴。

服務個人資訊與系統作業資料的定義不包括貴方或使用者在使用 Oracle 網站時所收集的聯絡與相關資訊，或在簽約過程中與我們互動的行為。Oracle 處理這些資訊時，必須遵守一般 Oracle 隱私權政策的條款。

一、服務個人資訊資料處理條款

Oracle 會依照本政策第 I 及 III 節的條款以及您的服務訂單，對所有服務個人資訊進行處理。

如果本「服務隱私權政策」的條款和貴方的服務訂單中包含 Oracle 資料處理協議的任何隱私權條款 (包括 Oracle 資料處理協議) 之間發生任何衝突，貴方服務訂單的相關隱私權條款將優先採用。

1. 處理服務個人資訊的目的

Oracle 可能會針對執行服務所需的處理活動 (包括建立 Oracle 服務帳戶以存取 Oracle 產品和服務) 處理服務個人資訊，以測試和套用新產品或系統版本、修補程式、更新與升級，以及解決您向 Oracle 報告的錯誤和其他問題。

2. 客戶指示

您是 Oracle 處理以執行服務之「服務個人資訊」的控制者。Oracle 將依照貴方服務訂單中的規定處理貴方服務個人資訊，以及貴方在 Oracle (i) 遵守適用資料保護法律所規定的範圍內有記錄的額外書面指示，或 (ii) 協助貴方遵守與貴方使用服務相關之適用資料保護法律所規定的控制器義務。Oracle將在我們合理的意見認為您的指示侵犯適用的數據保護法時，立即通知您。您確認並同意 Oracle 不負責執行法律研究和 / 或向貴方提供法律意見。可能會收取額外費用。

3. 個人權利

您可控制一般使用者存取您的服務個人資訊，而您的一般使用者應將任何與其服務個人資訊相關的要求導向給您。在貴方無法存取此類存取的情況下，Oracle 將向個人提供合理的協助，要求存取、刪除或清除、限制、糾正、接收和傳送、封鎖存取或處理 Oracle 系統上的服務個人資訊。如果 Oracle 直接向終端使用者收到任何已將您識別為控制器之終端使用者的請求或查詢，我們將在不回應終端使用者的情形下立即傳送這些請求給您。

如果您是最終使用者，且您對於提供給 Oracle 的「服務個人資訊」的揭露與使用有疑問，請直接向收集您資訊之組織諮詢。

4. 安全和保密

Oracle 已實施並將會維護技術和組織措施，以防止意外或非法的破壞、損失、更改、未經授權的揭露或存取服務個人資訊。這些措施一般符合 ISO/IEC 27001:2013 標準，規範適用於本服務的所有安全領域，包括實體存取、系統存取、資料存取、傳輸、輸入、安全監督和執行。

Oracle 員工必須對個人資訊保密。員工的義務包括書面保密協議、定期對資訊保護進行訓練，以及遵守保護機密資訊的公司政策。

請參閱「服務」適用之特定安全措施的其他詳細資訊，請參閱這些服務的安全措施中所述，包括資料保留和刪除等相關資訊。

5. 事件管理與資料外洩通知。

Oracle 會立即評估並回應造成懷疑或表示未授權存取或處理服務個人資訊的事件。

如果 Oracle 發現並判定涉及服務個人資訊的事件符合違反安全性的規範，會導致不當挪用或意外或非法破壞、損失、更改、未經授權的揭露，或存取在 Oracle 系統上傳輸、儲存或以其他方式處理的「服務個人資訊」，以危害此類「服務個人資訊」的安全性、機密性或完整性，Oracle 將在不延遲任何時間前向貴方報告此類資料外洩事件。

當有關違規行為的資訊被收集或以其他合理方式變得可用於Oracle，並在法律允許的範圍內，Oracle將向您提供有關已知或可用於Oracle的違規行為相關的額外相關信息。

6. 子處理商

在 Oracle 委聘 Oracle 關係企業和第三方子處理商能夠存取服務個人資訊以協助提供服務時，該子處理商應遵守貴方服務訂單條款與 Oracle 相同的資料保護和安全等級。Oracle 負責其子處理商是否遵守您的服務訂單條款。

Oracle 會維護可能處理服務個人資訊的 Oracle 關係企業和子處理商清單。您可以透過 My Oracle Support (https://support.oracle.com) 文件 ID 2121811.1 或針對服務提供的其他適用主要支援工具，取得其他相關資訊。

7. 跨境數據傳輸

Oracle 是一家全球性公司，在 80 多個國家 / 地區營運，且可依照本政策的規定，在全球範圍內處理服務個人資訊。如果「服務個人資訊」被傳輸給 Oracle 的收件方，其所在國家 / 地區並未提供充分的個人資訊保護，則 Oracle 將採取充分的措施，保護服務個人資訊，例如確保此類傳輸遵守歐盟模型條款的條款，或相關資料保護規定的其他充分的傳輸機制。

如果貴方與 Oracle 之間的服務協議參照 Oracle Data Processing Agreement for Oracle Services (「DPA」)，則 DPA 中提供適用於貴方 Oracle 服務訂單之相關資料傳輸機制的進一步詳細資訊。特別是針對從歐洲經濟區 (EEA) 或瑞士轉移的服務個人資訊，此類傳輸將受到 Oracle 處理器具約束力的公司規則 (BCR-P) 或歐盟標準合約條款的條款約束。對於從英國 (UK) 轉移的服務個人資訊，此類轉移均受英國附加條款或其他適當的轉移機制約束。

Oracle 也遵守歐盟與美國資料隱私權架構 (EU-U.S. DPF)，英國對歐盟 - 美國 DPF的延伸 和 瑞士與美國資料隱私權架構 (Swiss-U.S. DPF) (統稱「DPF」)。如美國商務部所規定，當貴方與 Oracle 同意從歐洲經濟區、英國 (及直布羅陀) 或瑞士傳輸此類資訊的合約時，將依據相關服務的適用 DPF 進行轉移與處理，內容有關貴方與 Oracle 同意蒐集、使用與保留服務個人資訊。Oracle 隨後將負責確保代表我們擔任子處理商的第三方也相同。若 DPF 原則的子處理商以與 DPF 原則不一致的方式處理服務個人資訊，則 Oracle 仍須負責，除非 Oracle 證明其對造成損害的事件不負任何責任。

Oracle 已通過美國認證在相關合約中指定時，商務部遵守有關服務個人資訊 (如上所述) 的 DPF 原則，該原則從歐盟、英國 (和直布羅陀) 和 / 或瑞士轉移至美國。如果本服務隱私權政策中的條款和 DPF 原則之間發生任何衝突，DPF 原則應受管轄。若要深入瞭解 DPF 方案以及檢視 Oracle 認證，請造訪 Data Privacy Framework 網站。

請參閱資料隱私權架構網站，或參閱此 Oracle DPF 自我認證所涵蓋的美國實體清單。就根據 DPF 接收或傳送的服務個人資訊而言，聯邦貿易委員會具有 Oracle 遵守 DPF 的管轄權。

8. 稽核權限

在貴方訂購服務時所規定的範圍內，貴方僅有費用稽查 Oracle 遵守本服務隱私權政策的條款，方式為向 Oracle 發出書面要求 (包括詳細的稽核計畫)，至少在建議稽核日期前六週傳送給 Oracle。貴方與 Oracle 將攜手合作，同意最終稽核計畫。

稽核應在 12 個月內的正常營業時間內進行一次以上，並且受 Oracle 的現場政策和法規約束，並且不得無理干擾業務活動。如果貴方想使用第三方進行稽核，則第三方稽核者應雙方同意，且第三方稽核者必須執行 Oracle 可接受的書面機密性協議。稽核完成後，貴方應向 Oracle 提供一份稽核報告副本，該報告將根據貴方與 Oracle 的協議條款分類為機密資訊。

Oracle 將為您提供進行稽核的合理必要資訊和協助，包括服務適用的處理活動的任何相關記錄，藉此對這些稽核做出貢獻。如果要求的稽核範圍是在前十二個月內由合格的第三方稽核人員所發出的 SOC 1 或 SOC 2、ISO、NIST、PCI DSS、HIPAA 或類似稽核報告中處理，而且 Oracle 提供此類稽核向貴方報告，確認稽核的控制項中沒有已知的重大變更。貴方同意接受第三方稽核報表中顯示的搜尋結果，以代替要求稽核報表所涵蓋的相同控制項。貴方的服務訂單中可能會包含額外的稽核條款。

9. 刪除或退回服務個人資訊

除非服務訂單中另有規定或法律要求，否則終止服務時，Oracle 將退回或刪除您生產環境客戶資料 (包括任何位於 Oracle 系統或服務環境中的服務個人資訊) 的其餘副本。如需有關資料刪除功能的詳細資訊，請參閱適用的服務說明。

二、系統作業資料處理條件

1. 處理個人資訊的職責與目的

Oracle Corporation 和其關係企業實體應負責根據本政策第 II 節和第 III 節處理系統作業資料中可能偶然包含的個人資訊。請參閱 Oracle 實體名單。請選擇一個地區和國家，以查看 Oracle 在每個國家/地區一個或多個實體的註冊地址和聯絡人詳細資訊。

我們可能會基於下列目的蒐集或產生系統作業資料：

• a) 協助確保我們的服務安全，包括安全監控和身份管理；
• b) 調查並防止涉及我們的系統和網絡的潛在欺詐或非法活動，包括防止網絡攻擊和檢測機器人；
• c) 管理我們的備份災難恢復計劃及政策；
• d) 確認遵守授權及其他使用條款 (授權合規監控)；
• e) 作研究及發展用途，包括分析、開發、改善及優化我們的服務；
• f) 遵守適用法律及法規，以及經營我們的業務，包括遵守法律規定的報告、披露或其他法律程序要求、合併和收購、財務和會計、歸檔和保險目的、法律和商業諮詢，以及解決爭議的情況。

對於在歐盟收集的系統操作資料中包含的個人資訊，我們處理此類資訊的合法基礎是我們對執行、維護和保護我們的產品和服務以及以有效和適當的方式經營我們的業務的合法權益。個人資訊亦可根據我們的法律責任或合法權益處理，以遵守有關法律責任。

2. 共用個人資訊

「系統作業資料」中所包含的個人資訊可能在 Oracle 的全球範圍內共用。如上所示，有 Oracle 實體的列表可用。

我們也可能會與下列第三方分享這些個人資訊：

• 協力廠商服務供應商 (例如 IT 服務供應商、律師和稽核人員)，以便這些服務供應商代表 Oracle 執行業務功能；
• 相關第三方，在我們的全部或任何部分業務、資產或股票進行重組、合併、出售、合資、轉讓、轉移或其他處分的情況下 (包括與任何破產或類似程序相關的情況)；
• 根據法律要求，例如遵守傳票或其他法律程序，於國家安全和/或執法目的，我們真誠地相信揭露是必要的，以保護我們的權利、保護您或其他人的安全、調查詐欺行為或回應政府要求，包括您所居住國家以外的公共和政府機關。

當第三方獲准存取系統操作資料中包含的個人資訊時，我們將採取適當的合約、技術和組織措施，以確保 (例如，僅在需要此類處理、符合本隱私政策和適用法律的情況下) 處理個人資訊。

3. 跨境數據傳輸

如果系統作業資料中包含的個人資訊傳輸給某個國家 / 地區的 Oracle 收件者，且該國家 / 地區不提供充分的個人資訊保護，則 Oracle 將採取專為充分保護使用者資訊而設計的措施，例如確保此類傳輸受到歐盟標準合約條款所規範。

4。 安全性

Oracle 已根據 Oracle 企業安全措施實施適當的技術、實體和組織措施，旨在保護個人資訊免於意外或非法破壞或意外遺失、損害、變更、未經授權的揭露或存取，以及所有其他形式的非法處理 (包括但不限於不必要的收集) 或進一步的處理。

5. 個人權利

在系統作業資料中包含貴方個人資訊的範圍內，貴方可要求在特定情況下存取、更正、更新或刪除系統作業資料中所包含的個人資訊，或以其他方式填寫查詢表單以行使貴方的選擇。我們將根據適用法律回應您的要求。

如果是加州居民，依照經修訂的加州消費者隱私法 (CCPA) ，您可以要求 Oracle：

1. 向您揭露下列資訊：

• 我們收集與您相關的個人信息的類別和具體內容，以及我們出售的個人資訊類別 (如適用)；
• 我們收集有關個人資訊的來源類別；
• 收集或出售個人資訊的業務或商業目的；及
• 我們向其出售或以其他方式披露個人資訊的第三方類別 (如適用)。

2. 刪除我們收集到關於您的個人資訊，或更正關於您的不準確個人資訊，除非僅為法律和合規目的而保留，亦如 CCPA 中另有載明

3. 滿足您選擇退出任何未來關於您的個人資訊銷售的要求 (如果適用)。

如果貴方為代表加州居民進行存取或刪除要求的授權代理人，請透過查詢表單與我們聯繫，並指出貴方為授權代理人。我們將提供您如何以授權代理人代表加州居民提交要求的說明。

如果您提交要求，請具體說明您所聲明的權利 (例如，存取、更正等)，以及您的要求範圍內的特定個人資訊。在某些情況下，為了遵守適用的法律或法律義務，Oracle 可能會拒絕您的請求，或向您尋求更多資訊以回應您的請求。

如果您是加州的居民，您可以撥打 1-800-633-0748 與我們聯絡，以取得有關行使上述權利的資訊。有關 Oracle 在前曆年收到、依從或拒絕的加州消費者隱私法案 (CCPA) 要求的資訊，請瀏覽 Oracle 的《年度消費者隱私權法案》隱私權報告頁面，請參閱此處。

III.給客戶與使用者的通訊與通知

1. 法律要求。

Oracle 可能必須依照法律要求，提供「服務個人資訊」的存取權限，以及「系統作業資料」中包含的個人資訊，例如為了遵守傳票或其他法律程序，當我們相信揭露是必要的以保障我們的權利，保護您或用戶的安全或其他人的安全，調查欺詐或回應政府要求，包括您或用戶居住國家以外的公共和政府機構，以作國家安全和 / 或執法用途。

除非法律另有要求，否則 Oracle 將立即通知您提供存取服務個人資訊的要求。

2. 全球資料保護長

Oracle 任命一位全球資料保護長，同時也是 Oracle 的隱私權長。如果您或使用者認為個人資訊的使用方式與本「隱私權政策」不一致，或您或使用者有其他問題，Oracle 處理服務個人資訊或系統操作資料當中包含之個人資訊的相關評論或建議，請填寫詢問表單聯絡資料保護長。

致全球資料保護長的書面查詢可發送至：

Oracle Corporation
Global Data Protection Officer
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
U.S.A.

對於在歐盟 / 歐洲經濟區內收集的個人資訊，向歐盟資料保護長提出書面查詢，可以：

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Germany

對於在巴西境內收集的個人資訊，可向巴西資料保護長提出書面查詢：

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, BR

3. 提出申訴

如果貴方或使用者對我們的隱私權與安全性措施法規遵循有任何投訴，請透過查詢表單與我們聯絡。我們會調查並試圖解決關於我們隱私權實務的任何投訴和爭議。如果使用者是歐盟成員國的居民，他們也有權向有能力的資料保護機構提出投訴。我們承諾將因依賴 DPF 而收到之服務個人資訊的處理投訴轉介至 TRUSTe (美國為替代爭議解決服務供應商)。如果您沒有及時收到我們提供的 DPF 原則相關投訴，或我們尚未解決您的 DPF 原則相關投訴，瞭解您的滿意度，請造訪 TRUSTe 以取得更多資訊或提出投訴。這些爭議解決服務係免費提供給您。

根據 DPF 網站上指定的特定條件，使用者可以在其他爭議解決程序用盡後呼叫具約束力的仲裁。

4. 本服務隱私權政策的變更

本「隱私權政策」上次更新日期為 2024 年 2 月 21 日。然而，「服務隱私權政策」會隨著時間逐漸改變，例如為了遵守法律要求或滿足不斷變化的業務需求。您可在這個網站找到最新版本。在重大變動的情況下，我們亦會在變更生效前以其他適當方式通知您 (例如透過我們網站上的快顯通知或變更聲明)。

舊版： 12/23/22 | 8/5/22 | 4/9/21 | 1/19/21 | 10/20/20 | 3/7/19 | 2/14/19