資料處理協議

Botpress 資料處理協議（DPA）

本 DPA 為補充文件，並構成 Botpress 集團於服務條款中所指明實體與客戶之間協議的不可分割部分。本 DPA 自被納入該協議時即生效。

1. 定義

1.a 未於本協議中定義的專有名詞，應依協議中所賦予之意義解釋。

1.b 在本 DPA 中：

(a) 「協議」指服務條款中對該詞所賦予的意義。

(b) 「Botpress 集團」指 Botpress 及其任何關係企業。

(c) 「加州個人資訊」指受 CCPA 保護的個人資料。

(d) 「加拿大資料保護法」指《個人資訊保護及電子文件法》（SC 2000, c 5）及《關於私人部門個人資訊保護法》（CQLR c P-39.1），包括其修訂、取代或替換版本。

(e) 「CCPA」指加州民法典第 1798.100 條及其後條文（亦稱 2018 年加州消費者隱私法案）。

(f) 「消費者」、「企業」、「出售」及「服務提供者」均依 CCPA 所定義。

(g) 「控管者」指單獨或與他人共同決定個人資料處理目的及方式之任何人。

(h) 「資料保護法」指適用於本 DPA 各方的全球所有資料保護及隱私相關法規，包括但不限於歐洲資料保護法、加拿大資料保護法及 CCPA，並包括其不時修訂、廢止、整併或替換版本。

(i) 「資料主體」指個人資料所涉及的自然人。

(j) 「歐洲」指歐盟、歐洲經濟區及／或其成員國、瑞士及英國。

(k) 「歐洲資料保護法」指適用於歐洲的資料保護相關法規，包括其修訂、取代或替換版本。

(l) 「歐洲資料」指受歐洲資料保護法保護的個人資料。

(m) 「允許的關係企業」指 (i) 根據協議被允許使用軟體服務的客戶關係企業，(ii) 符合控管者資格且其個人資料由 Botpress 處理，且 (iii) 受歐洲資料保護法規範的單位。

（n）「人」應廣義解釋，包括任何自然人、公司、有限責任公司、有限合夥、公司、協會、合夥、信託或遺產、合資企業、政府機關或其政治分支，或其他任何實體。

(o) 「個人資料」指與已識別或可識別個人相關的任何資訊。

(p) 「處理」或「處理行為」指由處理者對個人資料進行的任何操作或一系列操作，無論是否以自動化方式進行；

(q) 「處理者」指代表控管者處理個人資料的人員。

(r) 「監管機關」指（如適用）對個人資料處理具有監管、監督或政府權限的任何人員或執法／其他機構（無論依據法定計畫或其他方式），包括但不限於歐洲資料保護監管機關；

(s) 「安全事件」指因安全漏洞導致個人資料在傳輸、儲存或其他處理過程中，意外或非法遭到毀損、遺失、變更、未經授權揭露或存取的事件，但不包括未危及個人資料安全的事件，例如登入失敗、ping、埠掃描、阻斷服務攻擊及其他針對防火牆或網路系統的網路攻擊。

(t) 「服務」指 Botpress 集團任何實體向客戶或其關係企業提供的軟體服務或專業服務。

(u) 「標準合約條款」指歐盟執委會 2021 年 6 月 4 日決議（EU）2021/914 所附之標準合約條款，包括其修訂、取代或替換版本。

(v) 「次級處理者」指由 Botpress 或其關係企業聘用，以協助 Botpress 履行協議下服務義務的任何處理者。次級處理者可包括第三方或 Botpress 關係企業，但不包括 Botpress 聘用或合作的個人。

(w) 「第三國」指 (i) 未被歐盟執委會認可為提供個人資料充分保護水準的司法管轄區或接收方；且 (ii) 未受相關主管機關或法院認可為提供個人資料充分保護水準的適當架構所涵蓋的地區。

(x) 「使用資料」指與授權使用者使用軟體有關的資料，當需要識別個別使用者時可能包含個人資料，但不包括任何對話資料。使用資料可能包含關於客戶員工及承包商的個人資料，但不包含與客戶機器人互動的最終使用者資料。

2. 雙方角色

2.a 雙方同意，於透過服務處理對話資料時，客戶為控管者，Botpress 為處理者。

2.b 若客戶作為控管者的處理者，則 Botpress 視為客戶的次級處理者。

2.c Botpress 就使用資料而言為控管者。

3. 遵守資料保護法

3.a 雙方應依所有適用資料保護法規定處理個人資料。

3.b Botpress 不負責遵守僅適用於客戶或其產業、而非一般適用於 Botpress 的資料保護法。

3.c 若 Botpress 因適用法律規定無法依客戶指示處理個人資料，Botpress 將 (i) 於法律允許範圍內，立即通知客戶該法律要求；及 (ii) 如有必要，暫停所有處理行為（僅儲存並維護受影響個人資料的安全除外），直至客戶依適用法律發出新指示。若啟用本條款，Botpress 對於未能履行相關軟體服務或專業服務不承擔責任，直至 Botpress 合理認定客戶指示合法為止。

4. Botpress 的義務

4.a Botpress 僅會為本 DPA 所述目的，或依客戶合法指示範圍內的其他協議目的，處理個人資料，除非適用法律另有要求。

4.b Botpress 應實施並維持適當的技術及組織措施，以防止個人資料發生安全事件，包括本 DPA 附表二所述之「安全措施」。Botpress 得自行決定修改或更新安全措施，惟不得因此實質降低安全措施所提供的保護水準。

4.c Botpress 應將個人資料視為客戶的機密資訊，並確保其任何被授權存取或處理個人資料的員工或承包商，均受適當的保密義務（無論是契約或法定）約束。

4.d 當本協議終止或到期時，Botpress 將依據本 DPA 刪除或返還所有依據本 DPA 處理的個人資料。若適用法律要求，或個人資料已備份於備份系統中，Botpress 得保留該等個人資料副本，但該資料將被安全隔離並防止進一步處理，並依據適用的刪除規範予以刪除。

5. 客戶義務

5.a 客戶有責任確保其使用軟體服務或軟體時，符合所有適用的資料保護法，包括確保：(i) 客戶有權授權 Botpress 依據本 DPA 代表其處理個人資料，(ii) 客戶有權將個人資料轉移或提供給 Botpress 以依據本協議（包括本 DPA）進行處理，(iii) 客戶就個人資料處理所下達的指示符合適用法律，包括資料保護法；

5.b 若客戶有理由相信或已被通知其透過服務處理個人資料的行為違反適用法律（包括資料保護法），應立即以書面通知 Botpress。

5.c 客戶有責任判斷 Botpress 所實施的安全措施是否足以符合客戶於適用資料保護法下的義務。客戶亦須確保其對軟體服務的存取安全，並僅限授權人員使用。

‍6. 資安事件

6.a 若 Botpress 發現任何資安事件，將立即通知客戶，並於相關資訊得知或客戶合理要求時，及時提供相關資訊。

6.b Botpress 將於客戶要求時，立即提供合理協助，以協助客戶依據資料保護法向主管機關及／或受影響的資料主體通報資安事件（如有通報義務）。

7. 次處理者

7.a Botpress 得委任次處理者處理個人資料。目前的次處理者名單載於附表三，任何次處理者的變更將通知客戶。

7.b Botpress 選擇次處理者時，會要求其提供至少與本 DPA 相同等級的個人資料保護承諾（包括在適用時，標準合約條款）。Botpress 對每一位次處理者是否遵守本 DPA 的義務負責，並對該次處理者因作為或不作為而導致 Botpress 違反本 DPA 的行為負責。

7.c 若 Botpress 代表客戶處理歐洲資料，客戶可基於資料保護的合理理由反對新增次處理者。若收到此類反對通知，Botpress 同意本於誠信原則討論，以達成商業上合理的解決方案。若無法達成解決方案，Botpress 可選擇不任命該次處理者，或允許客戶終止依賴該次處理者的軟體服務部分，雙方均不承擔責任（但不影響終止前已產生的費用）。

7.d 若法律或標準合約條款要求，Botpress 將盡合理努力向客戶提供有關 Botpress 與次處理者協議的必要資訊。客戶同意部分資訊可能會被遮蔽或以保密方式提供。

8. 個人資料之跨境傳輸

8.a 除歐洲資料外，Botpress 集團成員對個人資料的處理將於適用隱私法允許的任何司法管轄區進行。

8.b 歐洲資料的處理僅限於下列地點：

a) 歐洲境內；

b) 經歐盟委員會根據適用資料保護法認定為保護水準適足的司法管轄區；

c) 任何司法管轄區，由提供適當保障措施的組織或實體處理，包括透過標準合約條款；

d) 任何司法管轄區，經客戶或相關資料主體書面同意。

8.c 當歐洲資料於第三國處理時，雙方視為僅就相關個人資料及相關處理事項簽署標準合約條款。雙方同意，標準合約條款之適用如下：

a) 若客戶為控管者，Botpress 為處理者，則適用模組二（控管者對處理者）；

b) 若客戶為處理者，Botpress 為次處理者，則適用模組三（處理者對處理者）；

c) 就使用資料而言，適用模組一（控管者對控管者）；

d) 標準合約條款第 7 條之選擇性對接條款不適用；

e) 標準合約條款第 9 條，適用選項二，且次處理者變更之事前書面通知期間為 10 天；

f) 標準合約條款第 11 條之選擇性條文不適用；

g) 標準合約條款第 17 條（選項一），以愛爾蘭法律為準據法；

h) 標準合約條款第 18(b) 條，爭議由愛爾蘭法院解決；

i) Botpress 為「資料進口者」，客戶為「資料出口者」（代表自身及被允許的關係企業）；

j) 本 DPA 附件一及附件二所載之相關資訊，視為納入標準合約條款之附件；

k) 若標準合約條款與本 DPA 任何條款衝突，以標準合約條款為準。

8.d 瑞士及英國之資料傳輸。若客戶與 Botpress 及／或次處理者間之個人資料傳輸受瑞士或英國資料保護法規範，則標準合約條款視為已修正，以符合適用瑞士及英國資料保護法之要求，包括法律、準據法及主管機關與法院之相關規定。

9. CCPA 處理

9.a 當依據客戶指示處理加州個人資訊時，雙方確認並同意，客戶為 CCPA 下之企業，Botpress 為服務提供者。雙方同意，Botpress 僅以服務提供者身分，為履行本協議下之軟體服務及專業服務（「商業目的」）或 CCPA 允許之其他目的，處理加州個人資訊。

10. 第三方請求

10.a 客戶負責處理資料主體或主管機關就其個人資料提出的任何請求，並應利用軟體服務所提供的功能，檢索有關個人資料處理的相關資訊。

10.b 若客戶無法自行處理資料主體或主管機關的請求（「請求」），Botpress 將提供合理協助，以協助客戶回應與本協議下個人資料處理有關的任何此類請求。除非請求係因 Botpress 未履行本 DPA 義務所致，否則客戶應補償 Botpress 因協助客戶所產生的合理費用。

10.c 若有關本協議下個人資料處理的請求或其他溝通直接送達 Botpress，Botpress 將立即通知客戶，並建議資料主體或主管機關直接向客戶提出請求。客戶應自行負責對任何涉及個人資料的此類請求或溝通作出實質回應。

11. 個人資料相關稽核

11.a 經 Botpress 事先通知並合理安排後，客戶有權自費進行必要的查核，以確保 Botpress 代表客戶處理的個人資料，均依照客戶指示進行。應客戶要求，Botpress 應允許對其處理活動進行稽核與檢查。此類稽核可由客戶本人及／或由客戶選定且經 Botpress 合理同意的第三方代表客戶執行。客戶應採取一切必要措施，避免對 Botpress 集團實體的場所、設備、人員及業務造成任何損害或干擾。

11.b 客戶與 Botpress 應事先協議任何由客戶進行的稽核之性質、範圍及期間，且客戶應補償 Botpress 因該稽核產生的所有合理費用，該費用可於稽核開始前應客戶要求進行預估。在可能情況下，客戶的稽核需求應以 Botpress 提供的第三方稽核報告為主（如有提供）。

11.c 若 Botpress 代表客戶處理歐洲資料，Botpress 會在合理要求下，向客戶（以保密方式）提供：(i) 其安全測試報告的摘要副本，以及 (ii) 針對客戶為確認 Botpress 是否遵守本 DPA 所提出的所有合理資訊請求之書面回覆。惟客戶每曆年不得行使此權利超過一次，除非客戶有合理理由懷疑 Botpress 未遵守本 DPA。

12. 責任限制

12.a Botpress 及其關聯公司因本 DPA（及雙方間任何其他 DPA）及標準合約條款（如適用）所產生或相關的全部責任，不論基於合約、侵權或其他法律理論，均以客戶於發生責任事件前 12 個月內因服務支付給 Botpress 的費用總額為上限。

13. 管轄權

除適用資料保護法另有規定外，本 DPA 應依據協議所適用之法律解釋與執行，且與本協議有關的任何爭議，應由提案書所載之管轄法院負責裁決。

若資料保護法要求本 DPA 需受歐盟成員國法律管轄，則本 DPA 應受愛爾蘭法律管轄，與本協議有關的爭議應由愛爾蘭法院裁決。

14. 一般條款

14.a 優先順序。 若本 DPA 的任何條款與協議其他條款有不一致時，除非明確規定協議其他條款優先或本 DPA 某條款應被排除或修訂，否則本 DPA 條款應優先適用。

14.b 修訂。 Botpress 得因應其資料處理實務之變更修訂本 DPA。除語言澄清之修訂（將例行通知客戶）外，其他修訂將提交客戶，並須經客戶同意後方適用。若適用法律要求修改本 DPA，客戶可選擇接受該修改或終止其軟體服務訂閱。

14.c  可分割性。如果本資料處理協議中的任何條款被認定為無效或不可執行，其餘條款的有效性與可執行性不受影響。‍

‍

附件一－處理細節

控管者身份

客戶

聯絡人：於客戶接受之提案書中所指定之人員。

處理者身份

若客戶位於加拿大：Technologies Botpress Inc.；若客戶位於其他地區：Botpress, Inc.

聯絡人：

Jean-Bernard Perron [email protected]

資料主體類別

客戶可於使用軟體服務過程中提交個人資料，其範圍由客戶自行決定與控管，並受適用服務條款約束，可能包括但不限於以下資料主體類別之個人資料：

• 代表客戶使用軟體之個人
• 客戶機器人之最終用戶

個人資料類別

客戶可將個人資料提交至軟體服務，亦可允許最終用戶提交個人資料至軟體服務，其範圍由客戶自行決定與控管，並受適用服務條款約束。

本軟體服務並非為處理敏感資料而設計，客戶應自行判斷軟體服務是否適合處理敏感資料。

Botpress 會處理授權使用者的聯絡資訊（姓名、電子郵件、電話）及產品使用的行為與使用數據，以供技術支援及統計分析之用。

處理性質

• 為向客戶提供、維護及改進服務所需之儲存及其他處理活動；
• 依協議（包括本 DPA）及／或適用法律要求進行揭露；
• Botpress 會依協議提供服務所需，以及依客戶於服務使用過程中進一步指示，處理個人資料。
• Botpress 會處理使用數據，以提供技術支援及統計分析（用於產品改進與開發）。

個人資料保存期間

依據協議，Botpress 有義務刪除或返還資料予客戶，除非另有書面約定，否則 Botpress 僅於協議存續期間處理個人資料。

‍

‍附表二－安全措施‍

1. 治理

Botpress 制定適當的個人資料相關政策與程序，包括：

• 資訊安全程序；
• 個人資料使用政策；
• 安全與隱私事件通報程序；
• 風險評估機制；
• 內部稽核程序；
• 合約性措施；

‍2. 使用者存取

• Botpress 明確定義有權存取個人資料及資訊系統之使用者及其職責。
• Botpress 採取措施，告知其使用者有關影響其職務執行之安全規範及違反規範之後果。
• 不得使用明文協定存取或傳輸個人資料。僅接受 SSL 協定進行相關操作。
• Botpress 確保處理或處置可能包含個人資料之實體媒體或設備的流程與程序安全無虞。
• 個人資料與其他 Botpress 資料在實體上分離，或若於資料庫或虛擬環境中則以邏輯方式分離。若個人資料未與其他資料、系統或應用程式實體分離，Botpress 會採用適當的安全控管措施，包括存取控管。

3. 存取控制

Botpress 將存放個人資料的伺服器、相關資料庫及其他硬體／軟體元件維護於安全的資料中心，僅授權人員可受控且受監控地進出。

Botpress 於所有用於建立、傳輸或處理個人資料的系統上，採取有效的邏輯存取控制措施，包括但不限於：

• 使用者需以唯一識別碼（「使用者 ID」）及姓名進行身分驗證。
• 採用足夠複雜且強健的密碼策略。
  
• 對含有個人資料之資訊資源的使用者存取權限，必須依其職責及需要知悉原則授予。
• 使用者離職或調職且新職位無需存取個人資料時，應立即刪除其對電腦系統的存取權限。
• 用於支援個人資料的第三方產品／應用程式，必須變更預設密碼及安全性設定。
• 第三方服務供應商在處理個人資料時，須遵守與 Botpress 授權使用者等同的安全要求與義務。
• 每年需重新驗證擁有存取個人資訊權限的使用者帳號及相關授權的正當性。

‍4. 網路安全架構

Botpress 於所有用於建立、傳輸或處理個人資料的系統上，採取有效的網路存取控制措施，包括但不限於下列方式：

• 防火牆須全時運作，並安裝於 Botpress 內部（私有）網路與公共網路（網際網路）之間的網路邊界。
• Botpress 網路上應使用正確設定並持續監控的入侵偵測與防護系統。
• 僅啟用資料庫及其他處理個人資料的資訊系統執行日常作業所需的服務／程序與連接埠，主機上的其他服務／程序皆應停用。
• 所有用於處理個人資料的資訊系統、儲存庫及其他系統，必須實體設置於受控的資料中心環境，並用於保護資訊系統之目的。
• 與 Botpress 資料中心通訊時，必須一律使用安全通道（例如 TLS、SFTP、SSH、IPSEC 等）。

5. 弱點管理控制

Botpress 於所有用於建立、傳輸或處理個人資料的系統上，實施有效的弱點管理控制措施，包括但不限於下列方式：

• 部署網路防護與偵測裝置，以協助在釣魚郵件與惡意軟體到達由 Botpress 管理且可直接或間接存取個人資料的工作站前進行過濾。
• 在所有由 Botpress 管理並處理個人資料的工作站上，部署防毒及防惡意軟體的預防與偵測軟體。
• 維護標準的修補管理流程與作業，確保所有用於存取、處理或儲存個人資料的裝置受到保護。
  
• 含有個人資料的裝置與文件，必須能識別所存取的資訊，列入清冊，且僅限經授權的使用者依據安全文件存取。
• 採取措施防止個人資料於傳輸及轉移過程中遭竊、遺失或未經授權存取。

6. 資料備份、復原與可用性

Botpress 實施下列災難復原與營運持續計畫，以將最大停機時間與資料遺失降至最低。

• Botpress 實施災難復原機制，旨在於雙方約定期間內，或若無約定則於考量個人資料性質後的合理期間內，恢復含有個人資料之系統的功能。
• Botpress 將系統性確保個人資料僅能由授權的 Botpress 人員存取（例如，外部備份必須一律加密）。
• 為降低環境威脅、危害及未經授權存取的風險，設備應設於遠離高環境風險區域，並以適當距離設置備援設備。
• 應實施安全機制與備援措施，以防止設備因公用事業服務中斷（如停電、網路中斷等）而受影響。
• 應建立資料保存與儲存政策及程序，並實施備份或備援機制，以確保符合法規、法定、契約或業務需求。磁碟或磁帶備份的復原測試應於規劃時程定期執行。

7. 安全稽核

Botpress 於所有用於建立、傳輸或處理個人資料的系統上，實施控制措施，包括但不限於下列方式：

• 針對含有個人資料的對外（公開）基礎設施設備，進行第三方弱點掃描或稽核。
• 針對儲存及處理個人資料的 Botpress 系統，進行第三方滲透測試。
• 當應用程式或流程支援財務資訊時，定期進行第三方評估。
• Botpress 承諾針對滲透測試發現的所有弱點進行處理，並將修復措施通知客戶。
  

8. 培訓與意識提升

Botpress 為與處理個人資料系統互動的員工及服務提供者實施資安意識培訓計畫，包括：

• Botpress 應確保其員工了解與 Botpress 服務相關的資訊風險管理威脅與議題，以及相關的資訊風險管理政策。
• Botpress 員工應接受標準風險管理分類方案及相關政策與程序的培訓與定期更新。
• 分包商人員應被告知 Botpress 的資訊風險管理分類方案及相關程序。
• 應建立政策與程序，於工作空間無人時清除含有敏感資料的可見文件，並於閒置一段時間後強制登出工作站會話。

‍

附表三－次處理者

Botpress 於其 信任中心 維護最新的次處理者清單。除非另有說明，所有資料皆於美國處理。