資料處理協議

Botpress 資料處理協定 (DPA)

本 DPA 是實體之間協議的補充並構成其不可分割的一部分。 Botpress 服務條款和客戶中指定的群體。本 DPA 在透過引用納入此類協議後即生效。

1.定義

1.a 本協議中未定義的大寫術語具有協議中賦予它們的含義。

1.b 在本 DPA 中：

(a) 「協議」具有服務條款中該術語的含義。

(b) 「 Botpress集團」指Botpress 及其任何附屬公司。

(c) 「加州個人資訊」指受 CCPA 保護的個人資料。

(d) 「加拿大資料保護法」指《個人資訊保護及電子文件法》SC 2000 c 5 以及有關私部門個人資訊保護的法案 CQLR c P-39.1（可能會修訂、取代或更換。

(e) 「 CCPA 」指《加州民法》第 1 章。 1798.100 及以下 （也稱為 2018 年加州消費者隱私法案）。

(f) 「消費者」、 「企業」、「銷售」和「服務提供者」將具有 CCPA 中賦予的含義。

(g) 「控制者」是指任何單獨或與他人共同決定個人資料處理的目的和方式的人。

(h) 「資料保護法」指適用於本DPA 一方的與資料保護和隱私相關的所有適用的全球立法，包括但不限於歐洲資料保護法、加拿大資料保護法和CCPA（每種情況下的修訂版、廢除版） ，不時合併或更換。

(i) 「資料主體」指與個人資料相關的個人。

(j) 「歐洲」係指歐盟、歐洲經濟區和/或其成員國、瑞士和英國。

(k) 「歐洲資料保護法」指適用於歐洲的資料保護法，可能會被修改、取代或取代。

(l) 「歐洲資料」指受歐洲資料保護法保護的個人資料。

(m) 「允許的關聯公司」是指 (i) 被允許根據協議使用軟體服務，(ii) 有資格作為由其處理的個人資料的控制者的任何客戶關聯公司Botpress ，以及 (iii) 受歐洲資料保護法的約束。

(n) 「人」應作廣義解釋，包括任何個人、公司、有限責任公司、有限合夥、公司、協會、合夥、信託或財產、合資企業、政府實體或其政治分支機構，或任何其他實體。

(o) 「個人資料」指與已識別或可識別個人相關的任何資訊。

(p) 「處理」或「處理」係指處理者對個人資料執行的任何操作或一組操作，無論是否以自動方式；

(q) 「處理者」是指代表控制者處理個人資料的人。

(r) 「監管者」是指（如適用）對與資料相關的個人資料處理的全部或任何部分擁有監管、監督或政府權力（無論是根據法定計劃還是其他）的任何人或執法機構或其他機構。

(s) 「安全漏洞」指導致意外或非法破壞、遺失、變更、未經授權揭露或存取傳輸、儲存或以其他方式處理的個人資料的安全漏洞Botpress 和/或與提供服務相關的子處理者，不包括不損害個人資料安全的事件，包括不成功的登入嘗試、ping、連接埠掃描、拒絕服務攻擊和其他網路攻擊防火牆或網路系統。

(t) 「服務」係指任何實體提供的軟體服務或專業服務Botpress 集團由客戶或其關聯公司所有。

(u) 「標準合約條款」指歐盟委員會 2021 年 6 月 4 日決定 (EU) 2021/914 所附的標準合約條款； 可能會被修改、取代或替換。

(v) 「子處理者」係指由Botpress 或者Botpress 附屬公司協助履行Botpress 與根據協議提供服務有關的義務。子處理者可能包括第三方或Botpress 附屬機構，但不包括受僱或聘用的個人Botpress 。

(w) 「第三國」指以下司法管轄區或接收者： (i) 未被歐盟委員會認可為個人資料提供足夠的保護水準； (ii) 未被相關當局或法院認可的適當框架所覆蓋，為個人資料提供充分的保護；

(x) 「使用數據」是指與授權使用者使用軟體相關的數據，其中可能包含需要識別個人使用者的個人數據，但不包括任何對話數據。使用數據可能包括有關客戶員工和承包商的個人數據，但不包括與客戶機器人互動的最終用戶的個人數據。

2. 各方的作用

2.a 在透過服務處理對話資料時，雙方承認並同意客戶作為控制者，並且Botpress 充當處理器。

2.b 如果客戶代表控制者充當處理者， Botpress 應被視為客戶的子處理者。

2.c Botpress 應是使用數據的控制者。

3. 遵守資料保護法

3.a 各方應根據所有適用的資料保護法對個人資料進行任何處理。

3.b Botpress 不負責遵守適用於客戶或客戶行業但通常不適用於的任何資料保護法Botpress 。

3.c 如果Botpress 意識到由於任何適用法律的法律要求，它無法按照客戶的指示處理個人數據， Botpress (i) 在適用法律允許的範圍內立即將該法律要求通知客戶； (ii) 必要時，停止所有處理（不僅僅是儲存和維護受影響的個人資料的安全），直到客戶根據適用法律發出新的指示。如果援引該條款， Botpress 在此之前，將不會因未能履行適用的軟體服務或專業服務而根據協議向客戶承擔責任Botpress 合理確定客戶的指示是合法的。

4. Botpress 義務

4.a Botpress 僅出於本 DPA 中所述的目的或在從客戶收到的合法指示範圍內另行商定的目的處理個人數據，除非適用法律另有要求。

4.b Botpress 應實施並維持適當的技術和組織措施，以保護個人資料免受安全事件的影響，包括本 DPA 附表 2 所述的措施（「安全措施」）。 Botpress 可以自行決定修改或更新安全措施，前提是此類修改或更新不會導致安全措施所提供的保護實質下降。

4.c Botpress 應將個人資料視為客戶的機密訊息，並確保其任何有權存取或處理個人資料的員工或聯絡人均遵守與該個人資料相關的適當保密義務（無論是合約還是法定）。

4.d Botpress 在本協議終止或到期時，將刪除或返還根據本 DPA 處理的所有個人資料。 Botpress 在適用法律要求的情況下，或在個人資料已存檔在備份系統上的情況下，可以保留個人資料的副本，這些資料將被安全地隔離和保護，免受任何進一步的處理，並根據適用的刪除慣例進行刪除。

5. 客戶的義務

5.a 客戶有責任確保其對軟體服務或軟體的使用符合所有適用的資料保護法，包括確保 (i) 其有權指定Botpress 根據本 DPA 代表其處理個人數據，(ii) 有權將個人資料轉移給下列人員或提供存取權限： Botpress 根據協議條款（包括本 DPA）進行處理，(iii) 確保客戶有關個人資料處理的指示符合適用法律，包括資料保護法；

5.b 客戶應及時通知Botpress 如果有理由相信或已被告知客戶透過服務進行的個人資料處理違反或可能違反適用法律（包括資料保護法），則以書面形式提供。

5.c 客戶負責確定是否實施了安全措施Botpress 充分履行適用資料保護法規定的客戶義務。客戶也有責任確保其對軟體服務的存取受到保護並保留給授權人員。

6. 安全漏洞

6.a Botpress 如果發現任何安全漏洞，將立即通知客戶，並在客戶已知或合理要求時及時提供與此類安全漏洞相關的資訊。

6.b 根據要求， Botpress 將根據需要及時向客戶提供合理協助，以便客戶能夠向監管機構和/或受影響的資料主體通知安全漏洞（如果資料保護法要求此類通知）。

7. 子處理者

7.a Botpress 可能會聘請分處理者來處理個人資料。目前的子處理者列於附表 3，子處理者的任何變更都將通知客戶。

7.b Botpress 選擇提供資料保護承諾的子處理者，在適用於所提供服務的性質的範圍內，為個人資料提供至少與本 DPA（包括（如適用）標準合約條款）相同級別的保護此類子處理器。 Botpress 仍然對每個子處理者遵守本 DPA 的義務以及該子處理者的任何行為或不作為導致違反任何Botpress ' 本 DPA 規定的義務。

7.c 如果Botpress 代表客戶處理歐洲數據，出於數據保護的合理原因，客戶可能會反對新的子處理者。如果收到此類反對通知， Botpress 同意真誠地討論此事，以達成商業上合理的解決方案。如果無法達成這樣的決議， Botpress 可以選擇放棄新子處理者的任命，或允許客戶終止對依賴該新子處理者的軟體服務部分的訂閱，而不對任何一方承擔責任（但不影響先前產生的任何費用）終止）。

7.d 如果法律或標準合約條款有要求， Botpress 將盡合理努力向客戶提供所需的信息Botpress ' 與子處理者的協議。客戶同意，某些資訊可能會從此類協議中刪除或以保密方式提供。

8. 個人資料的傳輸

8.a 處理歐洲資料以外的個人數據Botpress 集團實體將在隱私權管轄區適用法律允許此類處理的任何管轄區進行。

8.b 歐洲數據的處理應僅在以下情況下進行：

a) 在歐洲境內；

b) 在根據歐盟委員會根據適用的資料保護法所做的決定提供足夠保護水準的司法管轄區；

c) 在任何司法管轄區，由提供適當保障措施的組織或實體，包括透過標準合約條款；

d) 在任何司法管轄區，經客戶或相關資料主體書面同意。

8.c 當歐洲資料處理在第三國進行時，雙方應被視為僅就相關個人資料和相關處理簽訂了標準合約條款。雙方同意，就標準合約條款而言：

a) 如果客戶是控制者且Botpress 是處理器，則適用模組 2（控制器到處理器）。

b) 如果客戶是處理者且Botpress 是子處理者，則適用模組 3（處理者到處理者）。

c) 對於使用數據，將適用模組 1（控制器到控制器）。

d) 標準合約條款第7條中，可選對接條款不適用；

e) 在標準合約條款第 9 條中，選項 2 將適用，且分包處理者變更的事先書面通知期限為 10 天；

f) 標準合約條款第11條中，可選用語不適用；

g) 在第 17 條（選項 1）中，標準合約條款將受愛爾蘭法律管轄；

h) 根據標準合約條款第 18(b) 條，爭議將在愛爾蘭法院解決；

我） Botpress 將成為“資料導入者”，客戶將成為“資料匯出者”（代表其本身和授權的關聯公司）；

j) 本 DPA 附表 1 及附表 2 所規定的相關資訊應視為包含在標準合約條款的附件中；

k) 若標準合約條款與本 DPA 的任何規定相衝突，則在該衝突範圍內以標準合約條款為準。

8.d 瑞士和英國轉帳。就客戶與客戶之間的個人資料傳輸而言Botpress 和/或子處理者受瑞士或英國資料保護法的約束，則標準合約條款應被視為經過修訂，以反映適用的瑞士和英國資料保護法的要求，包括對立法的引用，適用法律以及主管當局和法院。

9. CCPA 處理

9.a 根據客戶的指示處理加州個人資訊時，雙方承認並同意客戶是企業，並且Botpress 是 CCPA 意義上的服務提供者。雙方同意Botpress 作為服務提供者，將嚴格為執行本協議下的軟體服務和專業服務的目的（「商業目的」）或 CCPA 允許的其他目的處理加州個人資訊。

10. 第三方請求

10.a 客戶應負責滿足資料主體或監管機構提出的與其個人資料有關的任何請求，並且客戶應使用可用的軟體服務功能來檢索有關個人資料處理的相關資訊。

10.b 如果客戶無法獨立處理資料主體或監管機構的請求（「請求」）， Botpress 將向客戶提供合理的協助，以回應與根據本協議處理個人資料相關的任何此類請求。除非請求是基於失敗而提出的Botpress 為了遵守本 DPA 規定的義務，客戶應償還Botpress 用於向客戶提供任何幫助的合理費用。

10.c 如果有關根據本協議處理個人資料的請求或其他通訊直接發送至Botpress , Botpress 將立即通知客戶並建議資料主體或監管機構直接向客戶提交請求。客戶將全權負責對涉及個人資料的任何此類請求或通訊做出實質回應。

11. 與個人資料相關的審計

11.a 根據要求並合理通知Botpress ，客戶有權自費進行必要的驗證，以確保由客戶處理的個人數據Botpress 代表客戶依照客戶的指示處理。應客戶要求， Botpress 應允許對所進行的處理進行審核和檢查Botpress 。此類審核可由客戶和/或第三方（由客戶選擇並由客戶合理接受）進行Botpress ) 代表客戶行事。 客戶應採取一切必要措施，避免對公司的場所、設備、人員和業務造成任何損害或乾擾。 Botpress 集團實體。

11.b 客戶和Botpress 應事先商定客戶進行的任何審核的性質、範圍和持續時間，並且客戶應償還Botpress 與此類審核相關的所有合理費用，可在審核開始前根據客戶的要求進行估算。在可能的情況下，任何客戶審核要求應透過由第三方提供的審核報告來滿足Botpress ，如果有同樣的可用的話。

11.c 如果Botpress 代表客戶處理歐洲數據， Botpress 將根據合理要求向客戶提供（在保密的基礎上）(i) 其安全測試報告的摘要副本，以及 (ii) 對客戶提出的所有合理的信息請求進行書面答复，以確認所需的信息Botpress 遵守本 DPA，前提是客戶每個日曆年行使此類權利的次數不得超過一次，除非客戶有合理理由懷疑Botpress ' 不遵守 DPA。

12. 責任限制

12.a Botpress 」 及其關聯公司因本 DPA（以及雙方之間的任何其他 DPA）和標準合約條款（如適用）而產生或與之相關的整體責任，無論是在合約、侵權行為或任何其他責任理論下，將僅限於客戶支付的費用總額Botpress 產生責任的事件發生前 12 個月內的服務對價。

13. 管轄權

除非適用的資料保護法另有要求，否則本 DPA 應根據適用於本協議的法律進行管轄和解釋，與本協議有關的任何爭議應由提案中指定的管轄區的主管法院解決。

如果資料保護法要求本 DPA 受歐盟成員國法律管轄，則本 DPA 應受愛爾蘭法律管轄，有關本協議的爭議應由愛爾蘭法院解決。

14. 概述

14.a優先級。如果本 DPA 的任何條款與協議的任何其他條款之間存在任何不一致，則應始終以 DPA 的條款為準，除非明確規定應以協議的其他條款為準。或修改。

14.b修正案。 Botpress 可能會修改本 DPA 以反映其資料處理實務的變化。 澄清語言的變更（將定期傳達給客戶）之外的任何修改都將提交給客戶，除非客戶接受，否則將不適用。如果適用法律要求修改本 DPA，客戶將

可以選擇接受此類修改或終止軟體服務的訂閱。

14.c可分割性。如果本 DPA 的任何個別條款被確定為無效或不可執行，則本 DPA 其他條款的有效性和可執行性不會受到影響。

附表 1 – 處理細節

控制人身份

客戶

聯絡人：客戶接受的提案中指定的人員。處理器的識別

如果客戶位於加拿大：技術Botpress 公司

如果客戶位於其他地方： Botpress ，公司。

聯絡人：

讓‧伯納德‧佩隆

安全@ botpress .com

資料主體的類別

客戶可以在使用軟體服務的過程中提交個人數據，其範圍由客戶根據適用的服務條款自行決定和控制，其中可能包括但不限於與以下內容相關的個人資料：以下類別的資料主體：

• 代表客戶使用軟體的個人
• 客戶機器人的最終用戶

個人資料的類別

客戶可以向軟體服務提交個人數據，並可以允許最終用戶向軟體服務提交個人數據，其範圍由客戶根據適用的服務條款自行決定和控制。

軟體服務並非旨在處理敏感數據，客戶應負責確定軟體服務是否適合處理敏感數據。

Botpress 將處理有關授權使用者的聯絡資訊（姓名、電子郵件、電話）以及有關產品使用的使用情況和行為數據，以用於技術支援和統計目的。

加工性質

• 提供、維護和改進向客戶提供的服務所需的儲存和其他處理；
• 根據本協議（包括本 DPA）和/或適用法律的強制要求進行揭露；
• Botpress 將根據需要處理個人數據，以根據協議提供服務，並根據客戶在使用服務時的進一步指示。
• Botpress 處理使用數據以提供技術支援和統計目的（用於產品改進和開發）。

個人資料的保留期限

受Botpress ' 根據協議刪除資料或將資料傳回給客戶的義務Botpress 除非另有書面約定，否則將在協議有效期內處理個人資料。

附表 2 – 安全措施

1. 治理

Botpress 實施有關個人資料的適當政策和程序，包括：

• 資訊安全程序；
• 個人資料使用政策；
• 安全和隱私事件報告程序；
• 風險評估機制；
• 內部審計程序；
• 合約措施；

2. 用戶訪問

• 職能和職責Botpress 明確定義了有權存取個人資料和資訊系統的使用者和使用者設定檔。
• Botpress 採取措施告知其使用者影響其履行職責的安全規則以及違反這些規則的後果。
• 明文協定不用於存取或傳輸個人資料。這些操作僅接受 SSL 協定。
• Botpress 確保處理或處置可能包含個人資料的實體媒體或設備的流程和程序的安全。
• 個人資料在物理上與其他資料分離，如果位於資料庫或虛擬環境中，則在邏輯上分離Botpress 數據。如果個人資料未與與客戶無關的其他資料、系統或應用程式進行實體隔離， Botpress 採用適當的安全控制，包括門禁控制。

3. 存取控制

Botpress 維護將個人資料儲存在安全資料中心的伺服器、相關資料庫和其他硬體和/或軟體元件，並對其存取進行控制和監控，以僅允許授權人員進入。

Botpress 在用於建立、傳輸或處理個人資料的所有系統上採用有效的邏輯存取控制措施，此類措施包括但不限於：

• 使用者身份驗證，必須使用唯一識別碼（「使用者 ID」）和名稱。
• 足夠複雜且強大的密碼策略。

• 使用者對包含個人資料的資訊資源的存取權/特權必須在與使用者的義務和責任相關的需要知道的基礎上授予。
• 使用者對允許存取個人資料的電腦系統的存取權限應在使用者離開後或如果使用者更換工作且新工作不需要存取權限時立即刪除。
• 必須在用於支援個人資料的第三方產品/應用程式中變更預設密碼和安全性設定。
• 第三方服務提供者應遵守與第三方服務提供者同等的安全要求和義務Botpress處理個人資料時的授權使用者。
• 每年重新驗證使用者帳戶的合理性以及存取個人資訊的相關授權。

4. 網路安全架構

Botpress 對用於建立、傳輸或處理個人資料的所有系統採用有效的網路存取控制措施，此類措施包括但不限於：

• 防火牆始終處於運作狀態，並安裝在內部（專用）網路之間的網路邊界處。 Botpress 和公共網路（網際網路）。
• 正確配置和監控的入侵偵測和預防系統用於Botpress 網路。
• 僅在用於處理個人資料的資料庫和其他資訊系統上啟用執行例行程序所需的服務/進程和連接埠。主機上的所有其他服務/進程均已停用。
• 用於處理個人資料的所有資訊系統、儲存庫和其他系統必須實體上位於受控資料中心環境中，並用於保護資訊系統。
• ●必須一致地使用安全通道（例如，TLS、SFTP、SSH、IPSEC 等）來進行通訊Botpress 數據中心。

5. 漏洞管理控制

Botpress 對用於建立、傳輸或處理個人資料的所有系統採用有效的漏洞管理控制，此類措施包括但不限於：

• 部署網路預防和偵測設備，以協助在網路釣魚電子郵件和惡意軟體到達由其管理的工作站之前對其進行過濾Botpress 以及直接或間接存取個人資料。
• 在管理的所有工作站上部署防毒和反惡意軟體預防和偵測軟體Botpress 和處理個人資料。
• 維護標準修補程式管理流程和實踐，以確保保護用於存取、處理或儲存個人資料的所有裝置。

• 包含個人資料的裝置和文件必須允許識別所存取的信息，進行盤點並僅由根據安全文件授權存取資料的使用者存取。
• 防止個人資料在傳輸和轉移操作過程中被盜、遺失或未經授權存取的措施。

6. 資料備份、復原和可用性

Botpress 實施以下災難復原和業務連續性計劃，以最大程度地減少停機時間和資料遺失。

• Botpress 實施災難復原功能，旨在在雙方商定的時間內恢復包含個人資料的系統的功能，或在雙方同意的情況下，在考慮到個人資料性質的合理時間內恢復包含個人資料的系統的功能。
• Botpress 應系統地確保個人資料除授權之外不可存取Botpress 人員（例如外部備份應係統加密）。
• 為了減少環境威脅、危險和未經授權存取的機會，設備應遠離高機率環境風險的位置，並輔以位於合理距離的冗餘設備。
• 應實施安全機制和冗餘，以保護設備免受公用事業服務中斷（例如電源故障、網路中斷等）的影響。
• 應建立資料保留和儲存的政策和程序，並實施備份或冗餘機制，以確保符合監管、法律、合約或業務要求。應按計畫的時間間隔測試磁碟或磁帶備份的復原。

7、安全審計

Botpress 對用於建立、傳輸或處理個人資料的所有系統進行控制，此類控制包括但不限於：

• 對包含個人資料的外部（公共）基礎設施設備進行第三方漏洞掃描或審核。
• 第三方滲透測試Botpress 儲存和處理個人資料的系統。
• 定期第三方評估應用程式或流程支援財務資訊。
• Botpress 承諾處理滲透測試中發現的所有漏洞，並通知客戶採取補救措施。

8. 培訓和意識

Botpress 為其與處理個人資料的系統互動的員工和服務提供者實施安全意識計劃，包括：

• Botpress 應確保其工作人員了解與資訊風險管理相關的威脅和擔憂Botpress 服務和相關資訊風險管理政策。
• Botpress 工作人員應接受標準風險管理分類方案和適當程序的相關資訊風險管理政策和程序的培訓並定期更新。
• 應讓分包商工作人員了解Botpress資訊風險管理分類方案和適當的程序。
• 應制定政策和程序，以便在工作空間無人值守時清除包含敏感資料的可見文檔，並在不活動期間強制執行工作站會話註銷。

附表 3 – 子處理者除非另有說明，處理地點為：美國。

亞馬遜網路服務

• AWS 託管我們的雲端服務和所有客戶資料。
• AWS 處理有關使用情況的分析訊息Botpress 雲端服務。

Google Analytics

• Google Analytics 處理有關使用情況的分析訊息Botpress 雲端服務。

新鮮桌面

• Freshdesk 提供服務台服務。
• Freshdesk 出於技術支援目的處理使用者提供的所有資料。

霍特賈爾

• 我們在服務上使用Hotjar服務。
• Hotjar 提供有關服務訪客行為的資訊。

OpenAI

• OpenAI 用於處理使用者文字輸入以產生文字回應。

混音面板

• Mixpanel 用於收集產品和網站使用分析，用於改善服務。

Intercom

• Intercom 用於為服務和網站的訪客提供即時支援。