SAS® Institute Inc. 的雲端全託管服務隱私權政策
對隱私權的承諾
SAS (「SAS」、「我們」和「我們的」) 提供雲端全託管服務,其中包括軟體即服務 (SaaS)、企業託管、遠端受管服務和其他資料分析解決方案,以及管理這些服務的主題專家。我們為世界各地的組織 (「您」和「您的」) 以及您的員工、消費者、患者和學生 (「資料主體」) 提供這些解決方案。
您的資料主體隱私對我們至關重要。本政策說明並解釋 SAS 的做法以及我們為了保護資料主體的隱私、遵守適用法律及善盡義務所採取的措施。本政策還說明您對資料主體個人資料的使用、存取和更正所具備的權利,以便您更加瞭解 SAS 的做法,並確保這些做法與您向資料主體所提供的任何隱私權聲明一致。
政策適用範圍
本隱私權政策說明 SAS 如何收集、接收、存取、使用和揭露與 SAS 雲端全託管服務有關的特定個人資料,其中包括企業託管、SaaS、遠端受管服務和其他資料分析解決方案產品,並指導 SAS 根據我們的協議,使用該等個人資料向您提供這些方案。
本隱私權政策不適用於 SAS 自 SAS.com 訪客所收集的資訊、SAS 所收集與個人建立 SAS 個人檔案相關的資訊、用於與 SAS 雲端全託管服務無關的目的所收集的資訊,或 SAS 透過其他方案所收集的資訊。如需瞭解 SAS 如何透過 SAS.com、SAS 個人檔案及其他 SAS 方案收集、使用和揭露資訊的相關資訊,請參閱 SAS 隱私權聲明。
國際資料傳輸
由於我們的營運遍布全球,某些資料接收方可能位於歐洲經濟區 (EEA)、瑞士或英國以外的國家/地區,這些國家/地區的資料保護程度並未達到與歐洲經濟區、瑞士和英國的資料保護法所定義的充足程度。SAS 分支機構或該等第三國家/地區的第三方之間的資料傳輸,採用有效的資料傳輸機制,例如:歐盟標準契約條款 (SCC) (以及相應的瑞士附件和英國附錄,視情況而定)、根據允許的法定部分排除適用,或經歐洲經濟區、瑞士或英國當局核發或核准的任何其他有效資料傳輸機制。歐洲經濟區、瑞士和英國當局已正式認可某些第三國家/地區足以提供充足的資料保護程度,並且不需要進一步的保護措施。
SCC 是歐盟執委會預先核准的契約條款範本,可當作法定傳輸機制。SAS 根據歐盟執委會和歐盟個資保護委員會的指引,使用上述 SCC 和補充措施。這些更新的 SCC 以及相應的瑞士附件和英國附錄,是 SAS 與其客戶、委外廠商和合作夥伴在履行 SAS 資料處理協議 (DPA) 時,不可或缺的一部分 (如適用)。SAS 的 DPA 條款適用於將源自歐洲經濟區 (EEA)、瑞士和/或英國的個人資料,從您 (資料輸出方) 傳輸至 SAS 及其位於第三國家/地區的分支機構 (資料輸入方)。
《歐盟-美國資料隱私框架》(英國延伸適用) 以及《瑞士-美國資料隱私框架》
SAS 的雲端全託管服務環境符合美國商務部所設立的《歐盟-美國資料隱私框架》(歐盟-美國 DPF)、英國延伸適用歐盟-美國 DPF,以及《瑞士-美國資料隱私框架》(瑞士-美國 DPF)。
- SAS 已向美國商務部證明,其雲端全託管服務環境遵守《歐盟-美國資料隱私框架原則》(歐盟-美國 DPF 原則),接收自歐盟的個人資料根據歐盟-美國 DPF 進行處理,而接收自英國 (和直布羅陀) 的個人資料則根據英國對歐盟-美國 DPF 的延伸適用進行處理。
- SAS 已向美國商務部證明,其雲端全託管服務環境遵守《瑞士-美國資料隱私框架原則》(瑞士-美國 DPF 原則),接收自瑞士的個人資料根據瑞士-美國 DPF 進行處理。
如果本隱私權政策中的條款與歐盟-美國 DPF 原則和/或瑞士-美國 DPF 原則之間存在任何抵觸,則以該些原則為準。若要深入瞭解資料隱私框架 (DPF) 計劃,以及查看我們的認證,請前往 https://www.dataprivacyframework.gov。
SAS 根據資料隱私框架,負責處理在雲端全託管服務環境中接收到的個人資料,並且隨後將個人資料傳輸給代表其行事的第三方。SAS 雲端全託管服務環境對於後續傳輸來自歐盟、英國和瑞士的所有個人資料,包括後續傳輸責任條款,均符合 DPF 原則。
美國聯邦貿易委員會對 SAS 雲端全託管服務環境是否遵守歐盟-美國 DPF、英國對歐盟-美國 DPF 的延伸適用,以及瑞士-美國 DPF 具有管轄權。在某些情況下,SAS 可能會被要求揭露來自其雲端全託管服務環境的個人資料,以回應政府機關的合法要求,包括符合國家安全或執法要求。
根據歐盟-美國 DPF、英國對歐盟-美國 DPF 的延伸適用和瑞士-美國 DPF 的規定,SAS 承諾將有關其雲端全託管服務環境中個人資料處理 (該資料的接收依據歐盟-美國 DPF、英國對歐盟-美國 DPF 的延伸適用和瑞士-美國 DPF) 的未解決投訴轉介給 TRUSTe,這是一家總部位於美國的訴訟外紛爭解決機制供應商。如果您未及時收到來自 SAS 的 DPF 原則相關投訴確認函,或者我們處理您的 DPF 原則相關投訴未能讓您滿意,請前往 https://feedback-form.truste.com/watchdog/request 瞭解更多資訊或提交投訴。上述爭議解決服務免費為您提供。
若 DPF 合規性相關投訴未能透過任何其他 DPF 機制解決,您可以在特定條件下提出具約束力的仲裁。進一步資訊請參閱 DPF 官方網站。
處理資料及處理目的
SAS 雲端全託管服務會收集和處理兩種類型的個人資料:客戶資訊和顧客資訊。
客戶資訊是我們從您或根據您的指示,從第三方收到有關您的資料主體的資訊。我們僅收集您提供給我們、指示我們收集,或為向您提供服務而存取的客戶資訊。客戶資訊可能包括不同類型當事人的相關個人資料,包括:消費者、員工、患者、學生、捐贈者、志願者、商業顧客、供應商和其他業務合作夥伴。此類個人資料可能包括基本聯絡資訊,例如:姓名、郵寄地址、電子郵件地址和電話號碼,以及更敏感的個人資料,例如:財務資訊、個人健康資訊、臨床試驗資料、人口統計資訊、購買資訊、市場研究資訊以及員工和學生表現資訊。事實上,SAS 可能會根據您的指示,取得有關您上傳至我們的產品、透過線上或離線機制向我們發送,或指示我們向第三方聚合商 (例如:Dun & Bradstreet) 收集的任何類型的個人資料。
我們運作的方式是假設您身為資料管控者,您有義務通知在您客戶資訊中可能包含其個人資料的個人,向其表明您收集他們的個人資料以及收集該資料的目的,在必要時針對我們處理其個人資料一事,取得他們的同意,並確保該等個人資料在其預定用途方面為可靠、準確、完整且最新。我們與我們處理的客戶資訊中所包含的個人資料之當事人,並無直接關係。
我們收集和處理客戶資訊,目的僅在於向您提供服務,並且符合我們與您的協議。在某些情況下,我們可能會使用來自其他來源的資訊,補充您所提供的客戶資訊。這只有在您特別要求並且我們同意此類補充時才會進行。補充客戶資訊的唯一目的是為了向您提供服務。我們將在與您的協議中規定的期限內,或為遵守法律義務、解決爭議或履行我們的協議所需的更長時間內,保留客戶資訊。
顧客資訊是指您的組織內,與 SAS 雲端全託管服務及其系統互動的人員有關的個人資料,例如:客戶經理和使用者。顧客資訊通常僅限於姓名、公司電子郵件地址、公司電話號碼和職稱。我們會透過線上表格、電子郵件、電話和其他您用來提供資訊的書面方式,收集客戶資訊。我們使用顧客資訊來支援您的帳戶、維持與您的業務關係、回覆您的查詢並執行會計功能。
顧客資訊也可能包括使用者資訊。使用者資訊是由與我們系統互動的電腦所產生的資訊。使用者資訊可能會透過以下方式收集:
- Web 伺服器日誌/Web 資料分析:在管理網站的過程中,我們透過 Web 伺服器日誌來維護和追蹤使用情況,並可能使用 Web 分析工具來檢視日誌資訊。這些日誌會提供資訊,例如:存取我們網站的瀏覽器類型、存取要求來自哪個國家/地區、哪些頁面有較高流量,以及一天中伺服器負載量較大的時刻。我們使用這些資訊來改善我們網站的內容和瀏覽功能。
- Cookie 和其他追蹤技術:網站上有各種追蹤技術 (包括「Cookie」) 可用來提供量身訂制的資訊。Cookie 是網站可以發送至您瀏覽器的資料元素,之後可能儲存在您的系統中。某些 SAS 雲端全託管服務系統可能會使用 Cookie 進行身分驗證和安全性以及/或記住使用者設定,讓我們能在您返回這些系統時,為您提供更好的服務。使用這些系統,即表示您同意我們可以在您的系統上放置這些類型的 Cookie。您可以將瀏覽器設定為在收到 Cookie 時通知您,讓您有機會決定是否接受 Cookie。您可以在個別瀏覽器層級控制 Cookie 的使用。如需更多資訊,請參閱您 Web 瀏覽器提供的使用者資訊。如果您拒絕使用 Cookie,您仍可以使用 SAS 雲端全託管服務系統,但在使用這些系統的部分功能或領域時,可能會受到限制。
我們也可能利用使用者資訊來幫助我們防範和偵測安全威脅、詐欺或其他惡意活動,根據使用情況管理上述訂閱服務的帳單,並確保我們的產品和服務正常運作。
SAS 可能會將客戶資訊和顧客資訊另外用於以下目的:
- 為了維護和升級系統:我們的技術人員可能需要定期存取可能包括客戶資訊或顧客資訊的服務資料,以監控系統效能、測試系統,以及開發和執行系統升級。作為此流程必要部分而建立的任何該等服務資料臨時副本,僅在與這些目的相關的期間內保留。
- 為了解決效能並修復問題:有時,我們可能會針對我們的程式和服務開發新版本、修補程式、更新和其他修復,例如:解決新發現程式漏洞的安全性修補。根據您服務訂單的條款,我們可能會在使用者監督的情況下,遠端存取使用者的電腦,以針對效能問題進行疑難排解。
- 為了符合法律要求:當我們認為揭露對於保護我們的權利是必要措施,或是為了回應政府要求時,SAS 可能需要提供個人資料,以遵守法律規定的通報、揭露或其他法律程序要求。
第三方網站
如果您提出要求,並且經 SAS 同意,SAS 雲端全託管服務系統可能會設定為讓您和您的使用者能夠存取其他第三方網站,其隱私保護做法可能與 SAS 有所不同。如果您或您的資料主體向任何上述網站提交個人資料,該等資訊將受其隱私權聲明管轄。我們鼓勵您和您的資料主體,仔細地閱讀您或您的資料主體透過我們系統所存取的任何網站隱私權聲明。根據您的國家/地區,您也可能有權或選擇:(1) 限制或反對處理資料、(2) 接收資料以便將其傳輸至其他公司、(3) 撤回任何已同意的事項,和/或 (4) 向您的監管機關提出投訴。
SAS Customer Intelligence 360 Google Ads 整合
對於使用 Google Ads 與 SAS Customer Intelligence 360 整合的客戶,從 Google API 所收到的資訊之使用及傳輸到任何其他應用程式的行為,皆應遵循 Google API 服務使用者資料政策,包括有限的使用要求。
資料存取和更正;限制使用和揭露的選擇
歐盟一般資料保護規範 (GDPR)、瑞士聯邦資料保護法和英國 GDPR/資料保護法規定,資料主體有權存取組織所持有關於他們的個人資料,具體而言,亦即有權:(1) 確認其個人資料是否接受處理中;(2) 要求將資料傳送給他們,以便他們可以驗證其準確性和處理的合法性;以及 (3) 更正、修改或刪除資料。
關於客戶資訊,我們運作的方式是假設您身為資料管控者,您有義務向您的資料主體提供存取其資料以及要求更正、修改或刪除該等資料的方法。在我們目前的商業模型下,我們與您的資料主體並沒有直接互動,因此,並無直接方式供他們向我們提交上述要求。如果您是 SAS 雲端全託管服務客戶,並且收到來自我們託管其個人資料的資料主體所提出的此類要求,若您希望我們協助您回覆該要求,請透過 privacy@sas.com 聯繫我們的隱私權辦公室,或郵寄至 SAS Campus Drive, Cary, NC 27513,收件者為:Legal Division/Privacy Officer (法律部/隱私權主任)。我們將在收到來信後 30 天內回應要求。
關於客戶資訊,我們運作的方式是假設您身為資料管控者,您有義務就以下方面取得資料主體的適當同意:在符合本政策以及我們與您之間協議的情況下,將資料主體的資料傳輸給我們、允許我們處理其資料、根據協議為您提供服務,以及向第三方揭露其資料。我們不會為第三方的行銷目的而與第三方共享、出售、出租或交易我們所收集的任何客戶資訊,除非您指示我們這樣做並取得適當授權。如果您的資料主體不再希望您或 SAS 根據您的指示與其聯繫,請通知資料主體直接與您聯繫 (以 SAS 客戶的身分)。
關於顧客資訊,某些 SAS 雲端全託管服務系統允許使用者存取和修改或更正自己的個人資料。若未提供此功能,而您或您的使用者要求存取或更正顧客資訊,請透過 privacy@sas.com 聯繫我們的隱私權辦公室,或郵寄至 SAS Campus Drive, Cary, NC 27513,收件者:Legal Division/Privacy Officer (法律部/隱私權主任)。我們將在收到來信後 30 天內回應要求。
您可以選擇根據「歐盟內部原則」使用雲端環境,這代表根據您的要求和共同書面協議,SAS 為雲端全託管服務提供的雲端環境 (實體和邏輯 IT 基礎架構) 位於歐盟境內。我們的標準設定 (取決於部署的雲端基礎架構供應商) 是利用法蘭克福 (德國) 或都柏林 (愛爾蘭) 周圍的基礎設施而形成的可用區 (「AZ」)。目前 SAS 營運的客戶雲端服務僅適用於歐盟客戶 (亦即要求「僅限歐盟」資源的客戶),SAS 不會將客戶資料遷移或儲存至歐盟及同意的 AZ 以外的地區。與 AZ 關聯的備援設施也位於歐盟境內。
如果使用或揭露顧客資訊的目的與本政策所述或隨後授權的目的有重大不同,我們不會在未向資料主體提供選擇拒絕此類使用或揭露的情況下,使用或揭露該資訊。
資料安全
我們採取合理措施,旨在防止個人資料遺失、遭到濫用和未經授權的存取、揭露、竄改和破壞。部分安全措施如下:
- 安全政策:我們根據規範的安全政策來設計和支援我們的產品和服務。我們每年都會評估政策的合規性,並對我們的政策和做法進行必要的改進。
- 員工培訓和職責:我們採取特定步驟來降低人為失誤、盜竊、詐欺和設施濫用的風險。我們針對隱私和安全政策進行員工培訓,並要求我們的員工簽署保密協議,同時也指派專人負責管理資訊安全計劃。
- 存取控制:我們僅限獲授權存取該資訊的個人有權存取客戶資訊,並在工作變更或結束後,終止這些存取權限。
- 資料加密:SAS 要求所有在您和 SAS 之間以電子方式傳輸的非公開客戶資訊 (包含敏感個人資料和登入憑證),都必須透過加密連線傳輸。
如需有關我們安全措施的更多資訊,請前往 SAS 信任中心網站:信任中心 - TOMS,瞭解技術和組織安全措施 (TOMS) 相關資訊。
如果我們確認您的客戶資訊遭未經授權的人士存取或使用,我們將與您指定的代理人聯繫,協調我們對該事件的因應措施。如果您對個人資訊的安全性有任何疑問,請透過 privacy@sas.com 與我們聯繫,或郵寄至 SAS Campus Drive, Cary, NC 27513,收件者:Legal Division/Privacy Officer (法律部/隱私權主任)。
我們會在履行本政策明列的目的及遵守我們政策的必要期間內、在法律要求或適用法律允許的任何期間內,保留您的個人資料。
後續向第三方轉移資料
為了提供我們的方案和進行其他要求的服務,或在與其他合法業務需求有關的情況下,SAS 可能會在必要時向業務合作夥伴和分包商揭露個人資料。這些公司僅在向我們提供這些服務所需的情況下,才獲授權使用您的個人資料。我們也可能會向其他 SAS 實體和/或業務合作夥伴揭露您提供的個人資料,以便用於與本政策所述的相同目的,以及符合我們與您的協議。除非經您指示並獲得您的授權,否則我們不會出於本政策所述以外的其他目的,向第三方揭露個人資料。個人資料的揭露將根據 SCC 以及有關個人資料後續轉移的保護適用法律進行。我們不會向他人出售、出租或租賃您的個人資料。
我們也可能在必要時,向第三方揭露個人資料,以便銷售或轉讓我們全部或部分業務。在這些情況下,我們將要求資料接收方根據本政策保護資料或採取措施,以確保個人資料受到適切保護。如果 SAS 參與出售或轉讓我們全部或部分業務,您將透過電子郵件和/或我們網站上的醒目通知,得知有關 SAS 所有權或您個人資料使用的任何變更,以及您對個人資料可能擁有的選擇。
SAS 也可能根據法律要求或允許,揭露個人資料,例如:為回應政府機關的合法要求,包括符合國家安全或執法要求,或當我們自行判斷,認為揭露對於保護我們的權利或遵守司法程序、法院命令、執法要求或其他法律程序為必要或適當的情況。
SAS 是一家全球公司,在 80 多個國家/地區擁有子公司和業務合作夥伴,並擁有跨境技術系統。在 SAS 雲端全託管服務系統上所收集的個人資料可能會跨州和跨境傳輸,並在美國或 SAS 或其子公司、分支機構或業務單位維護設施所在的任何其他國家/地區進行儲存或處理,以便進行資料整合、儲存和資訊管理。使用我們的系統,即表示您的組織同意將任何此類資訊轉移至您居住國家/地區之外的地區。即使某些國家/地區的法律可能未提供充分的隱私保護,SAS 及其子公司、分支機構和業務單位仍將按照一致的方式 (如此處所述),處理我們系統所收集與您有關的資訊。我們的隱私做法旨在保護您在世界各地的個人資料。
查詢及投訴
如果您對本政策或我們處理您的個人資料有疑問或疑慮,請發送電子郵件至 privacy@sas.com 先與我們聯繫,或郵寄普通郵件至:
SAS Institute Inc.
Legal Division/Privacy Officer (法律部/隱私權主任)
SAS Campus Drive
Cary, NC 27513
我們將在合理時間內回覆。
本政策的變更
我們保留隨時修改本政策的權利。若只是稍加修改,恕不另行通知。若為重大修改,我們將在更改前 30 天通知您指定接收此類通知的人員。您有責任為我們檔案中記錄的該名指定代理人及時更新聯絡資訊。
生效日期:2017 年 7 月 7 日
最近修訂日期:2023 年 10 月 1 日