Skip to Main

LexisNexis 資料處理附錄

1. 範圍與定義

1.1. 本 LexisNexis 資料處理附錄(「DPA」)構成您(「您」、「您的」)與 LexisNexis 實體(「LN」、「我們」、「我們的」)之間協議(「協議」)的一部分,根據該協議,我們向您及(如適用)您的關聯公司提供特定服務(「服務」),並在其中提及本 DPA。

1.2. 「資料保護法」係指所有適用的隱私與資料保護法律、規則、法規、法令、命令及其他政府要求。「控制者」、「資料主體」、「個人資料」、「個人資料外洩」、「處理」及「處理者」等術語將具有資料保護法中所賦予的含義;若該等法律使用等同或對應的術語,例如以「個人資訊」代替「個人資料」,則在本文件中視為相同。

2. 處理

2.1. 我們將實施適當的技術與組織措施,以確保處理符合資料保護法的要求,保障資料主體的權利,並提供至少與資料保護法所要求相同等級的保護標準。
2.2. 我們處理的主體為與服務相關提供的個人資料。處理的期間為提供服務的期間,直至依據協議處置個人資料為止。處理的性質與目的與提供服務有關。處理的個人資料類型為提交至服務的資料。資料主體的類別為其個人資料被提交至服務的個人。

2.3. 在我們代表您處理個人資料的範圍內,我們將:

a.    僅依據您書面指示處理個人資料,包括涉及將個人資料轉移至第三國或國際組織的情況,除非適用法律要求我們如此行事;在此情況下,除非該法律基於重大公共利益禁止提供資訊,我們將在處理前通知您該法律要求;
b.    確保被授權處理個人資料的人員已承諾保密,或受適當的法定保密義務約束;
c.    採取資料保護法所要求的所有安全措施;
d.    遵守第 3.1 與 3.2 條所述條件以聘用其他處理者;
e.    考量處理的性質,在可能範圍內協助您採取適當的技術與組織措施,以履行您根據資料保護法對資料主體權利請求的回應義務;
f.    協助您確保遵守資料保護法的義務,考量處理的性質及我們可得的資訊;
g.    依您選擇,在提供與處理相關的服務結束後,刪除或返還所有個人資料,並刪除現存副本,除非適用法律要求保存該等個人資料;
h.    向您提供所有必要資訊以證明遵守資料保護法所規定的義務,並允許及配合您或您指定的審核人進行的稽核,包括檢查;
並在我們認為您的指示違反資料保護法時,立即通知您。

2.4. 協議(包括本 DPA)以及您在服務中的使用與設定,構成您對我們處理個人資料的完整且最終的書面指示。任何額外或替代指示須由雙方另行協議。

3. 次處理者

3.1. 在我們代表您處理個人資料的範圍內,我們獲得您的一般授權,可根據本 DPA 從我們於 https://www.lexisnexis.com/global/privacy/subprocessors.page 所列的處理者名單中聘用其他處理者處理該等個人資料,該名單可能不時更新。我們將至少提前 14 天在網站上更新名單以通知您任何變更。您可在名單更新後 14 天內通知我們並說明反對理由。若您合理反對該新處理者,我們將在不影響您根據協議享有的退款或終止權利的情況下,盡合理努力避免由該處理者處理任何個人資料。

3.2. 當我們聘用其他處理者代表您執行特定處理活動時,將透過合約或其他適用法律下的法律行為,對該處理者施加與本 DPA 實質相同的資料保護義務,特別是提供足夠保證以實施適當的技術與組織措施,使處理符合資料保護法的要求。若該處理者未履行其資料保護義務,我們將(依據協議條款)對其義務的履行向您承擔全部責任。

4. 資料主體權利

4.1. 在我們代表您處理個人資料的範圍內,我們將在法律允許的範圍內,於收到任何資料主體權利請求後立即通知您。

4.2. 雙方將合理合作,以協助對方履行其在資料保護法下有關資料主體權利請求的義務。

5. 資料轉移

5.1. 我們將確保,凡將源自您所在國的個人資料轉移至其他國家時,該等轉移將依據資料保護法採取適當的保障措施。

6. 處理安全

6.1. 考量技術現狀、實施成本、處理的性質、範圍、背景與目的,以及對自然人權利與自由造成的風險程度,雙方將實施適當的技術與組織措施,以確保與風險相符的安全等級,包括但不限於:

a.    對個人資料進行假名化與加密;
b.    確保處理系統與服務的持續機密性、完整性、可用性與韌性;
c.    在發生實體或技術事件時,能及時恢復個人資料的可用性與存取;
d.    定期測試、評估與評量技術與組織措施的有效性,以確保處理的安全性。

6.2. 在評估適當的安全等級時,我們將考量處理所帶來的風險,特別是因意外或非法的毀損、遺失、變更、未經授權的揭露或存取個人資料所造成的風險。

6.3. 雙方將採取合理措施,確保任何在任一方授權下有權存取個人資料的自然人,除非依據您的指示,否則不得處理該等資料,除非適用法律要求其如此行事。

7. 個人資料外洩

7.1. 在我們代表您處理個人資料的範圍內,我們將在得知個人資料外洩後,毫不延遲地通知您,並合理回應您進一步的資訊請求,以協助您履行在資料保護法下的義務。

8. 處理活動記錄


8.1. 我們將保留資料保護法所要求的所有記錄,並在適用於代表您處理個人資料的範圍內,依要求提供給您。

9. 稽核

9.1. 稽核將:
a.    需簽署適當的保密或不揭露協議;
b.    每年不得超過一次,除非有合理證據顯示違反協議的情形,並需提前 30 天書面通知並提供稽核計劃;
c.    在雙方協議的時間、地點與方式下進行。

10. 衝突

10.1. 若本 DPA 條款與協議條款有任何衝突,則在法律要求的範圍內,以本 DPA 條款為準。

11. 特定司法管轄區條款

11.1. 在我們處理源自或受本附錄所列任一司法管轄區資料保護法規範的個人資料時,該司法管轄區所列的條款將作為前述條款的補充條款適用。


附錄
特定司法管轄區條款

1. 歐洲經濟區、英國與瑞士

1.1. 若您將個人資料自歐洲經濟區(「EEA」)、英國(「UK」)或瑞士轉移至位於 EEA、UK 或瑞士以外的 LN,除非雙方可依據資料保護法另行依賴其他轉移機制或依據,否則雙方將視為已就該等轉移簽署歐盟執行決定 (EU) 2021/914(2021 年 6 月 4 日)所核准的標準合約條款(「條款」),網址為 http://data.europa.eu/eli/dec_impl/2021/914/oj , ,並遵循以下規定

a.    刪除註腳與第 11(a) 條選項,並依據 DPA 與協議內容分別填寫適用的附錄;
b.    若雙方均為控制者,則適用模組一,並刪除模組二、三、四與第 17 條選項二;
c.    若您為控制者而 LN 為處理者,則適用模組二,並刪除模組一、三、四與第 17 條選項一、第 9(a) 條選項一,且第 9(a) 條選項二的期限為 14 天;
d.    若雙方均為處理者,則適用模組三,並刪除模組一、二、四與第 17 條選項一、第 9(a) 條選項一,且第 9(a) 條選項二的期限為 14 天;
e.    「主管監管機關」為資料輸出方所在國的監管機關;
f.    條款受資料輸出方所在國法律管轄;
g.    因條款產生的任何爭議應由資料輸出方所在國法院解決;
h.    若協議條款與條款有任何衝突,以條款為準。

1.2. 關於自英國轉移個人資料的情形,第 1.1 節所述條款將適用,並作以下修改:

a.    條款依據《2018 年英國資料保護法》第 119A(1) 條所發布的《英國國際資料轉移附錄》第 2 部分進行修訂,網址為 https://ico.org.uk/media2/migrated/4019539/international-data-transfer-addendum.pdf,並可能不時修訂或取代(「英國附錄」);
b.    英國附錄第 1 部分的表格 1 至表格 3 分別依據 DPA 與協議(如適用)填寫;
c.    英國附錄第 1 部分的表格 4 選擇「雙方皆非」。

1.3. 關於自瑞士轉移個人資料的情形,第 1.1 節所述條款將適用,並作以下修改:

a.    「(EU) 2016/679 號規則」之提及應解釋為瑞士《聯邦資料保護法》(FADP);
b.    「(EU) 2016/679 號規則」中具體條文之提及應替換為 FADP 中對應的條文或章節;
c.    「歐盟」、「聯盟」、「成員國」與「成員國法律」之提及應替換為「瑞士」或「瑞士法律」,視情況而定;
d.    「成員國」一詞不得解釋為排除瑞士資料主體行使其權利的可能性;
e.    不使用第 13(a) 條與附錄 I 的 C 部分,「主管監管機關」為瑞士聯邦資料保護與資訊專員;
f.    條款受瑞士法律管轄;
g.    因條款產生的任何爭議應由瑞士法院解決。

2.    拉丁美洲

LATAM Addendum

3.    中東與非洲

MEA Addendum

4.    美國

U.S. Privacy Laws Addendum

最後更新:2025年5月29日