YouTube資料處理條款

生效日期：2020年11月24日 (查看先前版本)

本YouTube資料處理條款（包括附錄，下稱「資料處理條款」）適用顧客個資之處理。本條款為您（下稱「顧客」）與Google就您對YouTube服務使用之協議（下稱「YouTube協議」）之補充。YouTube協議可能包括適用顧客之YouTube服務條款或內容授權協議。請撥冗仔細閱讀本資料處理條款。

1. 簡介

本資料處理條款反映雙方就與「歐洲資料保護法規」相關對於顧客個資處理及安全條款之協議。

2. 定義及解釋

2.1 本資料處理條款中：

「關係企業」（Affiliate）如未於YouTube協議定義，意指直接或間接控制一方、受其控制或與其受共同控制之實體。

「顧客個資」（Customer Personal Data）意指顧客依YouTube協議條款上載至YouTube，並由Google代顧客處理之音訊及影音內容。

「資料事故」（Data Incident）意指Google之安全遭違反，致其管理或以其他方式控制之系統內所含顧客個資遭意外或非法銷毀、損失、更改、擅自揭露或存取。「資料事故」不包括未損及顧客個資安全之未成功行為或活動，包括未成功登入、pings、port scan、阻斷服務攻擊及其他防火牆或網路系統之網路攻擊。

「資料當事人工具」（Data Subject Tool）意指Google向資料當事人提供之任何工具(如有)，俾Google得以直接統一回應資料當事人有關顧客個資之���定需求（如線上廣告設定或退出瀏覽器插件）。

「歐經區」（EEA）意指歐洲經濟區。

「歐盟一般資料保護規則」（EU GDPR）意指歐洲議會及歐洲理事會2016年4月27日第2016/679號廢除第95/46/EC號函令之保護個人有關個人資料處理及自由流通規則（歐盟）。

「歐洲資料保護法規」(European Data Protection Legislation) 意指(a)歐盟一般資料保護規則；(b)1992年6月19日聯邦資料保護法（瑞士）;(c)巴西一般資料保護法（法律第13709號/2018）; 和/或（d）以一般資料保護規則為範本的任何其他適用之資料保護法律或法規。

「歐盟或國家法律」(European or National Laws) 意指 (a) 歐盟或歐盟成員國法律 (若處理顧客個資時適用歐盟 GDPR)；及/或 (b) 英國國家或地方法律 (若處理顧客個資時適用英國 GDPR)。

「一般資料保護規則」(GDPR) 意指 (a) 歐盟 GDPR；及/或 (b) 英國 GDPR。

「Google」意指與您YouTube協議當事人之Google實體。

「Google關係企業轉包商」（Google Affiliate Subprocessors）具有第11.1條規定（轉包商委託同意書）賦予之含義。

「Google實體」（Google Entity）意指 YouTube、 LLC、Google LLC（前稱Google Inc.）、Google Ireland Limited或Google LLC之其他任何關係企業。

「ISO 27001認證標準」（ISO 27001 Certification）意指ISO/IEC 27001:2013資訊安全管理系統認證標準或處理者服務之相當認證標準。

「通知電郵地址」（Notification Email Address）意指顧客透過處理者服務或透過Google提供用以接收Google有關本資料處理條款之特定通知之其他方式所指定之任何電子郵件地址(如有)。

「處理者服務」（Processor Services）意指依本資料處理條款對顧客個資之處理。

「安全文件」（Security Documentation）意指任何ISO 27001認證標準證明，如有，及其他任何Google就處理者服務所提供之安全證明或文件。

「安全措施」（Security Measures）具有第7.1.1條規定（Google安全措施）賦予之含義。

「標準契約條款」(Standard Contractual Clauses)
意指位此 https://privacy.google.com/businesses/gdprprocessorterms/sccs/ 的歐盟委員會之標準契約條款；如歐盟GDPR第46條所述，這是用於當將個人資料傳輸至未建立適當資料保護水準之第三方國家/地區之處理者的標準資料保護條款。

「轉包商」（Subprocessors）意指依本資料處理條款授權之第三人，得就顧客個資進行���輯存取及處理，以提供部分處理者服務及任何相關技術支援。

「第三人轉包商」（Third Party Subprocessors）具有第11.1條規定（轉包商委託同意書）賦予之含義。

「監管機關」意指 (a) 歐盟 GDPR 中定義的「監理機關」；及/或 (b) 英國 GDPR 中定義的「資訊專員辦公室」。

2.2 本資料處理條款所稱「控制人」（controller）、「資料當事人」（data subject）、「個資」（personal data）、「處理」（processing）及「處理者」（processor），具有歐盟一般資料保護規則賦予之含義，而「資料輸入者」（data importer）和「資料輸出者」（data exporter）則具有標準契約條款中賦予之含義。

2.3 法律架構、法規或其他立法意指其不時所為之修訂或重新制定版。

2.4 如果本資料處理條款翻譯成任何其他語言，且英文文本和翻譯之文本之間存在差異，則以英文為準。

3. 本資料處理條款之期限

本資料處理條款及Google提供處理者服務之有效期限（下稱「有效期限」），自2018年5月25日起（如YouTube協議簽訂日為2018年5月25日之後，則自YouTube協議簽訂日起）（下稱「有效期限有生效日」），至Google刪除本資料處理條款所述之所有顧客個資。

4. 本資料處理條款之適用

4.1 歐洲資保法規之適用。本資料處理條款僅按歐洲資料保護法規對於顧客個資處理之適用範圍進行適用，包括下列情況：

(a) 該顧客個資係配合顧客於歐經區或英國設立機構或單位之活動處理者；及/或

(b) 該顧客個資屬歐經區或英國內資料當事人之個資，就向其提供商品或服務或監控其於歐經區內之行為處理者。

5. 資料之處理

5.1 職務及義務遵守；授權。

5.1.1 處理者及控管者之責任。

(a) 本資料處理條款說明顧客個資之處理標的及處理顧客個資之詳情。

(b) Google為資料保護法規下顧客個資之處理者；

(c) 顧客為資料保護法規下顧客個資之控管者或處理者；及

(d) 各當事人應遵守其於資料保護法規下有關顧客個資之處理義務。

5.1.2 第三人控管者之授權。如顧客為處理者，顧客向Google保證，顧客就顧客個資之指示及行為，包括顧客委任Google擔任另一處理者，均取得相關控管者之授權。

5.2 顧客指示。顧客指示Google僅得依相關法律及本資料處理條款之規定處理顧客個資：（a）提供處理者服務及相關技術支援；（b）以顧客透過使用處理者服務進一步指定者為準(包括設定及其他處理者服務之功能)，及（c）以YouTube協議之形式，包括本資料處理條款，載明者為準。

5.3        Google對指示之遵守。Google應遵守第5.2條規定（顧客指示）所載之指示（包括資料移轉之指示），但如規範Google之歐盟或國家法律規定Google對於顧客個資須為其他處理，Google應通知顧客（如上述任何法律基於重要之公益原因禁止Google為之，則不在此限）。

6. 資料刪除

6.1 有效期限內之刪除。

6.1.1 具有刪除功能之處理者服務。如有效期限內發生下列情況：

(a) ���理者服務之功能包括顧客對於顧客個資之刪除選項；

(b) 顧客利用處理者服務刪除特定顧客個資；及

(c) 經刪除之顧客個資無法由顧客復原（如自「垃圾桶」復原），

除歐盟或國家法律規定要求儲存外，Google應於合理之實際可行範圍內盡速自其系統刪除該顧客個資。

6.1.2 不具刪除功能之處理者服務。有效期限內，如處理者服務之功能不包括顧客對於顧客個資之刪除選項，經考量處理者服務之性質及功能屬可行者，除非歐盟或國家法律規定須予儲存，Google將遵守顧客之任何合理要求，以利顧客個資之刪除。Google可能就依本第6.1.2條規定（不具刪除功能之處理者服務）所為之資料刪除收費（以Google合理成本為依據）。Google刪除資料前，將向顧客提供任何相關費用之其他詳情及計算依據。

6.2 YouTube協議屆期後之刪除。YouTube協議有效期限屆期或終止後，顧客指示Google依相關法律刪除Google系統所有顧客個資(包括既有副本)。除下列情況外，Google應於合理之實際可行範圍內盡速遵守該指示：（i）歐盟或國家法律規定須予儲存；或（ii）YouTube協議由顧客與Google間就顧客對於YouTube服務之使用之新訂合約或條款取代，且顧客確認，顧客個資(包括已經上傳至Youtube服務之既有複本)，包括已上傳至YouTube服務之既有副本，應持續依本資料處理條款處理。

7. 資料安全

7.1 Google之安全措施及協助。

7.1.1 Google之安全措施。Google應實施及維持附錄2所載之技術及組織措施保護顧客個資免受意外或非法銷毀、損失、更改、擅自揭露或存取（下稱「安全措施」）。Google得不時更新或修改安全措施，但該等更新及修改不得導致處理者服務之整體安全下降。

7.1.2 Google職員對安全規範之遵守。Google應確保，所有授權處理顧客個資之人員皆應致力保密或負擔相當之法定保密義務。

7.1.3 Google之安全協助。Google應（經考量顧客個資之處理性質及Google獲得之資料性質）以下列方式協助顧客確保顧客就個資安全及個資外洩之義務，包括（如適用者）顧客依歐盟一般資料保護規則第32條至第34條（含）規定之義務，皆予遵守：

(a) 依第7.1.1條規定（Google之安全措施）實施及維持安全措施；

(b) 遵守第7.2條規定（資料事故）之條款；及

(c) 依第7.5.1條規定（安全文件之審閱）向顧客提供安全文件及本資料處理條款所載之資訊。

7.2 資料事故。

7.2.1 事故通知。如Google獲悉發生資料事故，應採取下列行動：（a）即時將資料事故告知顧客，不得不當延誤；及（b）即時採合理措施盡量減少損害並保護顧客個資之安全。

7.2.2 資料事故之詳情。依第7.2.1條規定所為之通知（事故通知）應盡量詳述該資料事故，包括降低可能風險之所採措施及Google向顧客所提出回應該資料事故之建議措施。

7.2.3 提出通知。Google應按通知電郵地址或以其他直接通訊方式（如電話或親自會面）提出資料事故之通知。顧客應採所有合理措施提供通知電郵地址，並確保該通知電郵地址為最新、有效之地址。

7.2.4 第三人通知。顧客應完全負責遵守適用顧客事故通知之法律規定，並履行任何有關資料事故之第三人通知義務。

7.2.5 Google未予認錯。Google依本第7.2條規定（資料事故）通知或回應資料事故時，不得解釋為Google就該資料事故承認任何過錯或責任。

7.3 顧客之安全責任及評估。

7.3.1 顧客之安全責任。於不損及Google於第7.1條規定��Google之安全措施及協助）及第7.2條規定（資料事故）之義務前提下：

(a) 顧客對處理者服務之使用，應負責任，包括：

(i) 以適當方式使用處理者服務，確保就顧客個資風險維持適當之安全水準；及

(ii) 保護顧客用以獲取處理者服務之帳戶認證憑證、系統及設置之安全；及

(b) Google對於顧客選擇儲存或移轉至Google及其轉包商以外之系統之顧客個資，概不負保護義務。

7.3.2 顧客安全評估。顧客確認並同意，（經考量顧客個資處理之尖端科技、實施費用及性質、範圍、內容及目的以及對個人之風險），第7.1.1條規定（Google之安全措施）所載、由Google實施及維持之安全措施，就顧客個資風險而言，已提供適當之安全水準。

7.4 安全認證。為評估並協助確保安全措施持續有效，Google得不時取得ISO 27001認證標準。

7.5 義務遵守之審查及查核。

7.5.1 安全文件之審閱。為證明Google已遵守其於本資料處理條款下之義務，Google應提供安全文件供顧客審閱。

7.5.2 顧客之查核權。

(a) Google應依第7.5.3條規定（查核之其他商業條款）准許顧客或顧客委託之第三方查核人員辦理查核（包括稽查），以確認Google遵守其於本資料處理條款下之義務，Google並應依第7.4條規定（安全認證）及本第7.5條規定（義務遵守之審查及查核）配合該等查核。

(b) 如「標準契約條款」基於第10.2條（資料移轉）而適用，則 Google 將按標準合約條款所述，准許顧客或顧客委託之第三方查核人員按照第7.5.3條規定（查核之其他商業條款）進行查核 。

(c) 如顧客要求時可取得ISO 27001認證標準，顧客亦得透過審查ISO 27001認證標準證書（顯示第三方查核人員之查核結果者）辦理查核，以確認Google遵守其於本資料處理條款下之義務。

7.5.3 查核之其他商業條款。

(a) 顧客向Google發出第7.5.2（a）或7.5.2（b）條規定所載之查核要求時，應依第12.1條（聯絡Google）規定為之。

(b) Google接獲第7.5.3（a）條規定所載之要求後，Google與顧客應事先商定第7.5.2（a）或7.5.2（b）條規定所載之查核之合理起始日期、範圍、期限及適用之安全及保密控管措施。

(c) Google得就第7.5.2（a）或7.5.2（b）條規定所載之查核酌收費用（以Google合理成本為依據）。Google應於查核前向顧客提供任何相關費用及計算基準之進一步詳情。如顧客委託執行查核作業之第三方查核人員所收取任何費用，概由顧客負責。

(d) 如Google合理認為，顧客委託執行第7.5.2（a）或7.5.2（b）條規定所載之查核作業之第三方查核人員非符合適資格或獨立之查核人員或為Google競爭對手或有其他明顯不合適之處，Google得提出反對。如Google提出反對，則顧客須委託其他查核人員或自行辦理查核。

(e) 本資料處理條款未規定Google須向顧客或其第三方查核人員揭露或須准許顧客或其第三方查核人員存取下列資料或資訊：

(i) Google實體其他顧客之資料；

(ii) Google實體內部財會資訊；

(iii) Google實體之營業秘密；

(iv) Google合理認為有下列情形之資訊：（A）能損及Google實體系統或場址之安全；或（B）導致Google實體違反其於資料保護法規下之義務或其對顧客或第三人負有之安全及/或隱私義務；或

(v) 顧客或其第三方查核人員基於善意履行顧客於資料保護法規下義務以外之原因意欲存取之資訊。

7.5.4 標準合約條款修改之禁止。如「標準契約條款」基於第10.2條（資料移轉）而適用，則第7.5節（義務遵守之審查及查核）中顧客或 「Google 實體」在標準契約條款下的任何權利或義務內容均不得變更或修改。

8. 影響評估及諮商

Google應（經考量處理之性質及Google獲得之資料性質）以下列方式協助顧客確保顧客就資料保護影響評估及事前諮商之義務，包括（如適用者）顧客依歐盟一般資料保護規則第35條及第36條規定之義務，皆予遵守：

(a) 依第7.5.1條規定（安全文件之審閱）提供安全文件；

(b) 提供本資料處理條款所載之資訊；及

(c) 依Google標準慣例提供或以其他方式提出有關處理者服務及顧客個資處理性質之其他材料（如支援中心材料）。

9. 資料當事人權利

9.1 對資料當事人要求之回應。Google如接獲資料當事人關於顧客個資之要求，應採下列行：

(a) 如該要求係透過資料當事人工具提出，應依該資料當事人工具之標準功能直接回應資料當事人之要求；或

(b) 如該要求非透過資料當事人工具提出，應通知資料當事人向顧客提出其要求，該要求即由顧客負責回應。

9.2 Google就資料當事人之要求之協助。Google應（經考量顧客個資之處理性質及，如適用者，歐盟一般資料保護規則第11條規定）以下列方式協助顧客履行顧客對資料當事人之要求之回應義務，包括（如適用者）顧客對行使資料當事人於歐盟一般資料保護規則第III章下權利之要求之回應義務：

(a) 提供處理者服務之功能；

(b) 遵守第9.1條規定（資料當事人之要求之回應）所載之承諾；及

(c) 如適用處理者服務，提供資料當事人工具。

10. 資料移轉

10.1 資料儲存及處理設施。於符合第10.2規定（資料移轉）之前提下，Google得於美國及Google或其轉包商維持設施之其他任何國家儲存及處理顧客個資。

10.2 資料移轉。如顧客個人資料的存儲和/或處理涉及將顧客個資從歐洲經濟區、瑞士和英國移轉至未取得根據歐洲資料保護法規適足性認定的國家/地區：

(a) 顧客（作為資料輸出者）將被視為已與 Google LLC（作為資料輸入者）簽訂標準合約條款；

(b) 移轉將受標準合約條款的約束；及

(C) Google 將確保 Google LLC 遵守有關此類移轉於標準合約條款下之義務。

10.3 資料中心資訊。有關Google資料中心之地點資訊，請至網址www.google.com/about/datacenters/inside/locations/index.html。

11. 轉包商

11.1 轉包商委託同意書。顧客特定授權委託 Google 關係企業擔任轉包商（下稱「Google關係企業轉包商」），另概括授權委託其他任何第三人擔任轉包商（下稱「第三人轉包商」）。如「標準契約條款」基於第10.2條（資料移轉）而適用，上述授權構成顧客事先書面同意 Google LLC 轉包顧客個資之處理。

11.2 轉包商資訊。有關轉包商之資訊，請至網址privacy.google.com/businesses/subprocessors。

11.3 轉包商委託規定。Google委託轉包商時，應遵守下列規定：

(a) 以書面契約確保下列事項：

(i) 轉包商僅按履行受託義務所需之範圍並依YouTube協議（包括本資料處理條款），及如「標準契約條款」基於第10.2條（資料移轉）而適用時存取及使用顧客個資；及

(ii) 如歐盟一般資料保護規則適用顧客個資之處理，轉包商負有歐盟一般資料保護規則第28（3）條規定所載之資保義務；及

(b) 對於委託轉包商之所有義務及轉包商之所有作為或不作為，負完全責任。

12. 聯絡Google；處理紀錄

12.1 聯絡Google。顧客得就其於本資料處理條款下權利之行使透過https://support.google.com/youtube/answer/2801895所述之方法或Google不時提供之其他方式聯絡Google。

12.2 Google處理紀錄。顧客確認，歐盟一般資料保護規則規定Google須為���列事項：（a）蒐集及並維持特定資訊之紀錄，包括由Google代表之各處理者及/或控管者以及該等處理者或控管者之當地代表及資料保護專員之姓名名稱及詳細聯絡資訊；及（b）向任何監管機關提交上述資訊。因此，經要求後，或如適用顧客者，顧客應透過處理者服務之使用者介面或Google提供之其他方式向Google提供該等資訊，並應利用該使用者介面或其他方式確保所有經提供之資訊皆屬準確及最新資訊。

13. 責任

13.1 責任上限。YouTube協議縱有其他規定，任一方於本資料處理條款下對他方之全部責任，應以該方於YouTube協議下最高金額或付款數額之責任上限為限（為求清楚，YouTube協議之責任限制對於保密或賠償請求之排除，不適用YouTube協議下有關歐洲資料保護法規之請求）。本第13條規定（責任）並未排除或限制任一方之下列責任：（a）因其或其員工或代理之過失所致之死傷；（b）詐欺或詐欺不實聲明；或（c）無法依相關法律規定排除或限制責任之事宜。

13.2 如標準合約條款適用之責任。如「標準契約條款」基於第10.2條（資料移轉）而適用，則根據YouTube 協議和標準合約條款或與之相關的每一方及其關係企業對另一方及其關係企業之總責任將取決於第13.1條（責任上限）。

14. 第三方受益人

如一方之關係企業為符合第10.2節（資料移轉）的標準合約條款之一方，則該關係企業將是第6.2節（YouTube協議屆期後之刪除）、第7.5節（義務遵守之審查及查核）、9.1（對資料當事人要求之回應）、10.2（資料移轉）、11.1（轉包商委託同意書）和13.2（如標準合約條款適用之責任）的第三方受益人 。 如本第14節（第三方受益人）與本YouTube協議中的任何其他條款衝突或不符，則適用本第14節（第三方受益人）。

15. 本資料處理條款之效果

如本資料處理條款與其餘YouTube協議條款及標準合約條款間有衝突或不符之處，則適用先後順序如下：

(a) 標準合約條款；

(b) 本資料處理條款；及

(c) 其餘YouTube協議。。

除本資料處理條款另有修訂外，YouTube協議維持完全效力。

16. 本資料處理條款之變更

16.1 處理者服務之變更。Google僅得按下列目的變更可能之處理者服務清單：

(a) 反映服務名稱之變更；

(b) 新增服務；或

(c) 於下列情況移除服務：（i）該服務之契約全部終止；或（ii）Google取得顧客同意。

16.2 本資料處理條款之變更。Google得於下列情況變更本資料處理條款：

(a) 經本資料處理條款，包括第16.1條（處理者服務之變更）規定，准許者；

(b) 反映法律實體名稱或形式之變更；

(c) 須遵守相關法律、相關規範、法院命令或政府管理機關或機關發出之準則；或

(d) 未有下列情事：（i）導致處理者服務之整體安全下降；（ii）擴大第5.3條規定（Google對指示之遵守）所載Google對顧客個資之處理範圍或移除就該處理之限制；及（iii）依Google合理認定，對顧客於本資料處理條款下之權利產生其他重大不利影響。

16.3 標準合約條款之變更。

Google 僅能根據第16.2（b）-16.2（d）節（本資料處理條款之變更）變更標準合約條款，或整合根據歐洲資料保護法規可能採用的任何新版之標準合約條款，在每種情況下都不會影響歐洲資料保護法規下之���準合約條款的有效性。

附錄1：資料處理之標的及詳情

標的

Google對客戶就處理者服務及任何相關技術支援之提供。

處理期限

有效期限外加有效期限屆期起至Google依本資料處理條款刪除所有顧客個資止之期間。

處理性質及目的

Google應按依本資料處理條款向顧客提供處理者服務及任何相關技術支援之目的處理（如適用處理者服務及第5.2條規定（顧客指示）所述之指示，包括蒐集、紀錄、組織、構造、儲存、更改、擷取、利用、揭露、結合、消除及銷毀）顧客個資。

個資種類

構成顧客個資之個資種類為顧客依YouTube協議條款上傳至YouTube後、由Google於提供處理者服務時代顧客處理之音訊及影音內容。

附錄2：安全措施

自有效期限生效日起，Google應實施及維持本附錄2所載之安全措施。Google得不時更新或修改上述安全措施，但該等更新及修改不得導致處理者服務之整體安全下降。

1.         資料中心及網路安全

(a) 資料中心。

基礎架構。Google設有分布各地區之資料中心，於具體安全之資料中心儲存所有生產資料。

備援。基礎架構系統之設計目的在於排除單點故障及盡量減少預期環境風險之影響。雙偶電路、交換器、網路或其他必要設置皆得協助提供此備援。處理者服務之設計目的在於俾使Google得於不受干擾之情況下執行特定種類之預防性及校正性維護作業。所有環境設備設施皆已記錄預防性維護程序，內容詳述依製造商或內部規格所為之執行流程及頻率。資料中心設備之預防性及校正性維護排程，依記載程序透過標準流程規劃。

電力。資料中心電力系統採可維護之備援設計，不影響每週7日、每日24小時之持續運作。針對資料中心之關鍵基礎架構組件，多數情況皆提供具有相同容量之主電源及備用電源。備用電力由如不斷電系統電池等各項機制提供，於發生公電源部分停電、全部停電、超壓、欠壓及頻率超出容限之情況時，持續提供可靠之電力保護。如公電源斷電，資料中心設有備用電力，得提供最多十分鐘之滿載過度電力予資料中心，至柴油發電系統接手。柴油發電機能於數秒時間內自動啟動，提供一般可維持數日期間之足夠緊急電力，供資料中心滿載運轉。

伺服器作業系統。Google伺服器使用符合其業務獨特伺服器需求所特製之硬化作業系統。資料以專屬演算技術儲存，以加強資料安全及備援。Google透過程式碼審查流程提高用以提供處理者服務之程式碼之安全及改善生產環境中之安全產品。

企業永續計畫。Google於多重系統複製資料，協助保護資料免遭意外銷毀或遺失。Google已訂定並定期規劃、測試其企業永續計畫/災害復原專案。

(b) 網路及傳送。

資料傳送。資料中心一般透過高速私人連結相互連接，提供資料中心間安全迅速之資料移轉，目的在於預防資料於電子移轉或傳輸或於資料儲存媒體記錄過程中未經���權��遭���取、複製、更動或移除。Google透過網絡標準協定移轉資料。

外部攻擊面。Google以多層網路裝置及入侵偵測保護其外部攻擊面，並考量攻擊向量，將適當之專門用途技術納入外向系統。

入侵偵測。入侵偵測旨於顯示進行中之攻擊活動並提供有關事故應變之充分資訊。Google之入侵偵測設及下列範圍��

1. 透過預防措施嚴密控制Google攻擊之面面積及構造；

2. 於資料輸入點執行智慧型偵測控管；

3. 採用自動補救特定危險情形之技術。

事故應變。Google監控多種安全事故之通報管道，Google安全人員就已獲悉之事故將即時提出應變。

加密技術。Google提供HTTPS加密（亦稱SSL或TLS連線），Google伺服器支援使用RSA及ECDSA加密演算法之加解密技術，該等完美前向安全（PFS）方法協助保護流量並盡量減少金鑰破解之影響或密碼學之突破。

2.         進入及現場控管

(a) 現場控管。

現場資料中心安全作業處。Google資料中心設有現場安全作業處，每週7日、每日24小時負責資料中心之具體安全功能。現場安全作業人員負責監控閉路電視（下稱「閉路電視」）攝影機及所有警報系統，並定期由人員執行資料中心之內外巡邏。

資料中心進入程序。Google維持正式進入程序，俾使個人實質進入資料中心。資料中心為須以電子門禁卡進入之設施，並設有連接至現場安全作業處之警報器。所有進入資料中心之個人皆須向現場安全作業處表明身分並出示身分證明。資料中心僅由經授權之員工、承包商及訪客獲准進入，電子門禁卡亦僅由經授權之員工及承包商獲准申請以進入上述設施。資料中心電子門禁卡之申請須事先以書面為之，並經申請人經理及資料中心主任核准。其他進入人員如須臨時進入資料中心，須符合下列規定：（i）就其欲前往之特定資料中心及內部區域事先取得資料中心經理之核准；（ii）於現場安全作業處簽到；及（iii）提出確認該個人業經取得核准之資料中心核准進入紀錄。

現場資料中心安全裝置。Google資料中心採用連結至系統警報之電子門禁卡及生物特徵存取控管系統，該存取控管系統監控並記錄各個人之電子門禁卡，亦紀錄其於周邊出入口、出收貨區及其他關鍵區域之進出。如適當時，未經授權之活動及存取未遂皆由存取控管系統紀錄並進行調查。經授權於業務經營及資料中心存取時，以區域及個人之工作職責為限。資料中心之防火門設有警報，中心內外皆加裝閉路電視攝影機，攝影範圍涵蓋重要區，包括周邊、資料中心大樓出入口及出/收貨區等。現場安全作業人員負責管理閉路電視監控、錄製及控管設備。資料中心並設有安全電纜連接閉路電視設備。攝影機每週7日、每日24小時透過數位視訊錄影機錄製現場。監視紀錄按活動至少保留7日以上。

(b) 存取控管。

基礎架構安全人員。Google訂有並維持其人員之安全政策，規定其人員培訓須納入安全訓練。Google之基礎架構安全人員應負責持續監控Google之安全基礎架構、審查處理者服務及安全事故應變。

存取控管及權限管理。顧客之行政人員及使用者須透過集中認證系統或單一登入系統自我認證，以便使用處理者服務。

內部資料存取流程及政策─ 存取政策。Google內部資料存取流程及政策之設計目的在於防止未經授權之人及/或系統使用用以處理個資之系統。Google就系統之設計目的如下：（i）僅准許授權人員存取其有權存取之資料；及（ii）確保個資於處理及使用過程中及紀錄後未經授權即無法讀取、複製、更動或移除。該等系統旨於偵測任何不當存取。Google採用統一存取管理系統控管人員對生產伺服器之使用，並僅向有限人數之授權人員提供使用。輕量型目錄存取通訊協定（LDAP）、Kerberos認證系統及使用SSH證明之專屬系統旨於提供Google安全及彈性之存取機制，該等機制之設計目的在於就網站管理人、紀錄、資料及配置資訊僅提供經核可之存取權。為盡量減少帳戶遭未經授權使用之可能性，Google規定須使用獨特之使用者識別碼、增強式密碼、雙因素認證及謹慎監管之存取清單。存取權乃基於下列因素授權或修訂：授權人員之工作責任；執行授權工作所需之必要職務規定；知悉之需要。存取權之授權及修訂亦須符合Google內部資料存取政策及訓練。各項核可由維持所有變更事項之查核紀錄之工作流程工具管理。系統之使用皆予紀錄，以建立責任之查核軌跡。使用密碼查證時（如登入工作站），將實施至少符合業界標準之密碼政策，該等標準包括密碼重複使用之限制及充分密碼強度。

3.         資料

(a) 資料儲存、隔離及驗證。

Google於自有之多租戶環境伺服器儲存資料。分散各地之眾多資料中心皆採用同一資料、處理者服務及檔案系統架構。Google邏輯地隔離各顧客之資料，並就所有處理者服務使用集中認證系統，增加資料之統一安全。

(b) 刪除磁碟及磁碟銷毀準則。

部分內含資料之磁碟可能因性能問���、錯誤或硬體故障致予刪除（下稱「刪除磁碟」）。各刪除磁碟皆須經一連串資料銷毀流程（下稱「資料銷毀準則」）後，始得攜離Google場址外再予利用或銷毀。刪除磁碟經多重步驟之流程消除後，由獨立驗證人員二人以上證明完成消除。消除結果按刪除磁碟序號紀錄，以利追蹤。最後，經消除之刪除磁碟放行庫存供再利用及重新調配。刪除磁碟如因硬體故障致無法消除，將安全保存至得以銷毀為止。各設施均受定期查核，以監控資料銷毀準則之遵守情形。

4.         人員安全

Google人員之行為須符合公司有關保密、商業倫理、適當慣例及職業標準之準則。Google將於法律准許之範圍內依當地相關法律及法定規範進行合理適當之背景調查。

所有人員均須簽署保密協議，並須確認收到及遵守Google之保密隱私政策。所有人員並均獲得安全訓練。處理顧客個資之人員另須完成履行其職務之其他適當規定。Google人員未經授權不得處理顧客個資。

5.         轉包商安全

轉包商上任前，Google將查核轉包商之安全及隱私作業，確保轉包商就其對資料之存取及受託提供之服務範圍提供適當安全及隱私。Google評估轉包商引起之風險後，於符合第11.3條規定（轉包商委託規定）之前提下，轉包商須簽訂適當之安全、保密及隱私契約條款。