Điều khoản bảo mật dành cho nhà quảng cáo

Last Update: November 14, 2025

Ngày có hiệu lực:  Ngày 14 tháng 8 năm 2023

Các Điều khoản Bảo mật dành cho Nhà quảng cáo Taboola (“Điều khoản Bảo mật dành cho Nhà quảng cáo”) này áp dụng cho các dịch vụ quảng cáo kỹ thuật số của Taboola, chẳng hạn như khi Taboola phân phối nội dung của Nhà quảng cáo thông qua nền tảng phân phối của mình, Taboola Dynamic Creative Optimization (DCO) hoặc GenAI Landing Page theo thỏa thuận giữa Taboola và Nhà quảng cáo (“Thỏa thuận”), và các Điều khoản Bảo mật dành cho Nhà quảng cáo này sẽ được coi là một phần không thể tách rời của bất kỳ Thỏa thuận nào như vậy.  Các Điều khoản Bảo mật dành cho Nhà quảng cáo này xác định vai trò và trách nhiệm của Taboola và Nhà quảng cáo liên quan đến Dữ liệu Cá nhân.

Trong trường hợp có sự mâu thuẫn giữa Điều khoản Bảo mật dành cho Nhà quảng cáo và Thỏa thuận, Điều khoản Bảo mật dành cho Nhà quảng cáo sẽ được ưu tiên áp dụng trong phạm vi mâu thuẫn đó, trừ khi điều khoản mâu thuẫn trong Thỏa thuận nêu rõ điều khoản mâu thuẫn trong Điều khoản Bảo mật dành cho Nhà quảng cáo này và quy định rằng nó được ưu tiên hơn điều khoản mâu thuẫn đó.

Các thuật ngữ được định nghĩa trong phần này sẽ có ý nghĩa như được nêu bên dưới, và các thuật ngữ có liên quan sẽ được hiểu theo nghĩa tương ứng. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong Điều khoản Bảo mật dành cho Nhà quảng cáo sẽ có ý nghĩa được định nghĩa trong Thỏa thuận.

      1. Luật Bảo vệ Dữ liệu Áp dụng” có nghĩa là tất cả các luật liên bang, quốc gia, tiểu bang hoặc các luật khác về quyền riêng tư và bảo vệ dữ liệu áp dụng cho việc Xử lý dữ liệu là đối tượng của Thỏa thuận và các Điều khoản Nhà quảng cáo này, có thể được sửa đổi hoặc thay thế theo thời gian.
      2. Dữ liệu được thu thập” có nghĩa là Dữ liệu Cá nhân mà mỗi bên thu thập từ Chủ thể Dữ liệu trên hoặc thông qua máy chủ hoặc mạng của họ (bao gồm tất cả dữ liệu được thu thập thụ động hoặc dữ liệu có thể đọc được bằng máy, chẳng hạn như dữ liệu dựa trên loại trình duyệt và mã định danh thiết bị) liên quan đến việc cung cấp hoặc nhận Dịch vụ.
      3. Bên kiểm soát” có nghĩa là: (i) một thực thể xác định mục đích và phương tiện xử lý Dữ liệu Cá nhân, và (ii) bất kỳ cá nhân nào thuộc phạm vi của thuật ngữ “bên kiểm soát” (hoặc bất kỳ thuật ngữ nào tương tự về bản chất) như được định nghĩa theo Luật Bảo vệ Dữ liệu Hiện hành.
      4. Luật Bảo mật California” có nghĩa là Đạo luật Bảo mật Người tiêu dùng California năm 2018, Cal. Bộ luật Dân sự § 1798.100 trở đi (“CCPA”), được sửa đổi (bao gồm cả bởi Đạo luật Quyền riêng tư California), và bất kỳ văn bản pháp luật phụ trợ và quy định thực thi nào.
      5. Chủ thể dữ liệu” có nghĩa là: (i) một cá nhân tự nhiên đã được xác định hoặc có thể xác định được (và, đối với mục đích này, một cá nhân tự nhiên có thể xác định được là người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một định danh như tên, số định danh, dữ liệu vị trí, định danh trực tuyến hoặc đến một hoặc nhiều yếu tố cụ thể liên quan đến danh tính vật lý, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân tự nhiên đó), và (ii) bất kỳ người nào thuộc phạm vi của thuật ngữ “chủ thể dữ liệu”, “người tiêu dùng” (hoặc bất kỳ thuật ngữ nào tương tự về cơ bản) như được định nghĩa theo Luật Bảo vệ Dữ liệu.
      6. Luật Bảo vệ Dữ liệu EU” có nghĩa là: (i) Quy định chung về bảo vệ dữ liệu EU (Quy định 2016/679) (“EU GDPR”); (ii) Chỉ thị về quyền riêng tư điện tử EU (Chỉ thị 2002/58/EC); và (iii) bất kỳ luật bảo vệ dữ liệu quốc gia nào được ban hành theo hoặc dựa trên (i) hoặc (ii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.
      7. Mục đích được phép” có nghĩa như được nêu trong mục 3.
      8. Dữ liệu cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến Chủ thể dữ liệu (bao gồm, nếu được yêu cầu theo Luật Bảo vệ dữ liệu hiện hành, mã định danh trình duyệt hoặc thiết bị duy nhất), như được nêu trong Phụ lục A, Phần B.
      9. Xử lý” có nghĩa là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên Dữ liệu Cá nhân hoặc trên các tập hợp Dữ liệu Cá nhân, cho dù bằng phương tiện tự động hay không, chẳng hạn như thu thập, tiếp nhận, ghi lại, tổ chức, cấu trúc, sử dụng, truyền tải, truy cập, chia sẻ, tiết lộ, chuyển giao, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham khảo, phổ biến hoặc cung cấp theo cách khác, sắp xếp hoặc kết hợp, tổng hợp, suy luận, dẫn xuất, phân tích, hạn chế, xóa, hủy bỏ hoặc xử lý hoặc xử lý Dữ liệu Cá nhân khác, bao gồm cả định nghĩa của thuật ngữ này theo Luật Bảo vệ Dữ liệu hiện hành.
      10. Bên xử lý” có nghĩa là: (i) một thực thể xử lý Dữ liệu Cá nhân thay mặt cho Bên kiểm soát, và (ii) bất kỳ cá nhân nào thuộc phạm vi của thuật ngữ “bên xử lý” (hoặc bất kỳ thuật ngữ nào tương tự về bản chất) như được định nghĩa theo Luật Bảo vệ Dữ liệu hiện hành.
      11. Chuyển giao bị hạn chế” có nghĩa là: (i) trong trường hợp Quy định EU GDPR được áp dụng, việc chuyển giao Dữ liệu Cá nhân từ Khu vực Kinh tế Châu Âu (EEA) sang một quốc gia bên ngoài EEA mà không thuộc diện xác định mức độ bảo vệ dữ liệu đầy đủ của Ủy ban Châu Âu (một “Chuyển giao bị hạn chế EU”); và (ii) trong trường hợp Quy UK GDPR được áp dụng, việc chuyển giao Dữ liệu Cá nhân từ Vương quốc Anh sang bất kỳ quốc gia nào khác mà không thuộc diện hoặc không dựa trên các quy định về mức độ bảo vệ dữ liệu đầy đủ theo Mục 17A của Đạo luật Bảo vệ Dữ liệu năm 2018 của Vương quốc Anh (một “Chuyển giao bị hạn chế UK”).
      12. Bán” và “Trao đổi” có nghĩa là trao đổi Dữ liệu Cá nhân để lấy tiền hoặc các giá trị có giá trị khác, và bao gồm cả cách định nghĩa các thuật ngữ này theo Luật Bảo vệ Dữ liệu hiện hành.
      13. Dịch vụ” có nghĩa là các dịch vụ do Taboola cung cấp theo Thỏa thuận với Nhà quảng cáo.
      14. Sự cố bảo mật” có nghĩa là hành vi vi phạm an ninh dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép Dữ liệu Cá nhân một cách vô tình hoặc bất hợp pháp.
      15. Standard Contractual Clauses” có nghĩa là: (i) trong trường hợp EU GDPR được áp dụng, các điều khoản hợp đồng được đính kèm theo Quyết định Thực thi 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban Châu Âu về các điều standard contractual clauses việc chuyển giao dữ liệu cá nhân sang các nước thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng (“EU SCCs”); và (ii) trong trường hợp UK GDPR được áp dụng, “Phụ lục Chuyển giao Dữ liệu Quốc tế cho Standard Contractual Clauses của Ủy ban EU ” do Ủy viên Thông tin ban hành theo điều 119A(1) của Đạo luật Bảo vệ Dữ liệu năm 2018 (“UK Addendum”).
      16. Bên thứ ba” có nghĩa là một doanh nghiệp đóng vai trò là Bên kiểm soát đối với Dữ liệu Cá nhân, và không phải là doanh nghiệp mà Chủ thể Dữ liệu có Dữ liệu Cá nhân được Xử lý đã tương tác một cách cố ý; thuật ngữ này bao gồm cả định nghĩa của thuật ngữ đó theo Luật Bảo vệ Dữ liệu hiện hành.
      17. Luật Bảo vệ Dữ liệu UK” có nghĩa là: (i) Đạo luật Bảo vệ Dữ liệu UK năm 2018, (ii) UK GDPR (như được định nghĩa trong điều 3(10) của Đạo luật Bảo vệ Dữ liệu UK năm 2018) (“UK GDPR”), (iii) Quy định về Quyền riêng tư và Truyền thông Điện tử (Chỉ thị EC) năm 2003 UK ), và (iv) bất kỳ luật nào khác UK được ban hành theo hoặc dựa trên (i), (ii) hoặc (iii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.

Mỗi bên sẽ xử lý Dữ liệu đã thu thập mà mình thu thập hoặc nhận được từ bên kia cho các mục đích được nêu trong Phụ lục A, Phần B (“Các Mục đích Được Cho Phép”).  Nhà quảng cáo đồng ý rằng Taboola sẽ xử lý Dữ liệu đã thu thập theo các điều khoản được cho phép trong Chính sách Bảo mật Taboola (và để tránh hiểu nhầm, đây cũng sẽ là Mục đích được phép của Taboola).

Trong phạm vi Dữ liệu Thu thập được đủ điều kiện là, hoặc chứa, Dữ liệu Cá nhân theo Luật Bảo vệ Dữ liệu Hiện hành, mỗi bên sẽ Xử lý Dữ liệu Thu thập được mà mình thu thập hoặc nhận được từ bên kia với tư cách là Bên Kiểm soát (có thể bao gồm, trong trường hợp Luật Bảo mật California được áp dụng, với tư cách là Bên thứ ba, nếu có).  Việc tiết lộ (cho dù là chuyển giao hay thông qua việc một bên cung cấp dữ liệu cho bên kia) Dữ liệu đã thu thập hoặc Dữ liệu cá nhân từ một bên cho bên kia đều được coi là tiết lộ cho Bên thứ ba.

      1. Nếu Luật Bảo vệ Dữ liệu của Hoa Kỳ hoặc tiểu bang Hoa Kỳ áp dụng cho Dữ liệu được Thu thập, bao gồm nhưng không giới hạn ở Luật Quyền riêng tư của California, trong phạm vi mà Realize Pixels (trước đây có tên là “Taboola Pixels”) sử dụng liên quan đến Quy trình Dịch vụ để Xử lý Dữ liệu Cá nhân về Khách truy cập, Taboola đóng vai trò là Bên thứ ba đối với Nhà quảng cáo đối với Dữ liệu Cá nhân đó. Taboola sẽ xử lý Dữ liệu Cá nhân đó cho các Mục đích được Cho phép. Dữ liệu cá nhân đó chỉ được cung cấp cho Taboola cho các mục đích được cho phép.  Taboola sẽ cung cấp mức độ bảo vệ quyền riêng tư tương đương với yêu cầu đối với các doanh nghiệp theo luật bảo vệ dữ liệu hiện hành của Hoa Kỳ, bao gồm cả luật bảo mật của California (nếu có). Taboola sẽ thông báo cho Nhà quảng cáo trong thời hạn quy định bởi Luật Bảo vệ Dữ liệu hiện hành nếu Taboola xác định rằng họ không còn khả năng đáp ứng các nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu hiện hành. Sau khi thông báo cho Taboola, Nhà quảng cáo có quyền thực hiện các bước hợp lý và thích hợp để ngăn chặn và khắc phục việc sử dụng trái phép Dữ liệu Cá nhân mà họ cung cấp cho Taboola.

Các bên thừa nhận rằng một số hoặc tất cả Dữ liệu Thu thập được có thể được coi là, hoặc bao gồm, Dữ liệu Cá nhân và do đó, Luật Bảo vệ Dữ liệu Hiện hành có thể áp dụng cho việc Xử lý Dữ liệu Thu thập được của mỗi bên.  Trong trường hợp này, và tuân theo điều 7, mỗi bên sẽ chịu trách nhiệm riêng về việc tuân thủ các Luật Bảo vệ Dữ liệu Hiện hành, bao gồm bất kỳ yêu cầu nào áp dụng đối với: (i) cung cấp sự minh bạch cho Chủ thể Dữ liệu, (ii) có sự đồng ý hoặc cơ sở pháp lý hợp pháp khác để Xử lý, và (iii) cung cấp điểm liên lạc để Chủ thể Dữ liệu có thể thực hiện các quyền bảo vệ dữ liệu của họ.

Trong trường hợp một trong hai bên thực hiện việc chuyển giao dữ liệu đã thu thập được một cách hạn chế cho bên kia, các điều khoản của Phụ lục C sẽ được áp dụng.

a. Taboola sử dụng Realize Pixels để cung cấp các Dịch vụ.  Bất chấp điều khoản 5, trong phạm vi Taboola thu thập Dữ liệu đã thu thập từ các tài sản kỹ thuật số của Nhà quảng cáo (chẳng hạn như trang web, ứng dụng di động hoặc các hình thức khác) bằng cách sử dụng Realize Pixels, Nhà quảng cáo phải: (i) cung cấp tất cả các thông báo minh bạch cần thiết cho Chủ thể dữ liệu về việc Taboola sử dụng Realize Pixels để thu thập Dữ liệu đã thu thập từ các tài sản kỹ thuật số của Nhà quảng cáo cho các Mục đích được phép, và (ii) có được (và, theo yêu cầu bất cứ lúc nào của Taboola, cung cấp bằng chứng thích hợp về) sự đồng ý của Chủ thể dữ liệu đối với việc sử dụng Realize Pixels cho các Mục đích được phép, trong mỗi trường hợp phải tuân thủ các yêu cầu của Luật Bảo vệ Dữ liệu hiện hành.  Nghĩa vụ của Nhà quảng cáo trong vấn đề này bao gồm việc xác định rõ ràng Taboola và việc sử dụng Realize Pixels cho các Mục đích được phép trong các thông báo minh bạch và các lời nhắc chấp thuận mà Nhà quảng cáo cung cấp cho Chủ thể dữ liệu, cũng như bất kỳ thông tin nào khác được yêu cầu bởi Luật Bảo vệ Dữ liệu hiện hành, để Taboola có thể cung cấp Dịch vụ của mình một cách hợp pháp thông qua các tài sản kỹ thuật số đó và Xử lý Dữ liệu đã thu thập và Dữ liệu cá nhân cho các Mục đích được phép. Trong phạm vi nhà quảng cáo sử dụng dịch vụ Trang đích Gen AI của Taboola, Taboola sẽ cung cấp thông báo minh bạch và xin sự đồng ý của người dùng.

b. Theo yêu cầu bằng văn bản, Taboola sẽ cung cấp cho Nhà quảng cáo những thông tin cần thiết về Realize Pixels và việc Taboola xử lý Dữ liệu thu thập được thông qua các nền tảng kỹ thuật số của Nhà quảng cáo để Nhà quảng cáo đảm bảo rằng các cơ chế thông báo và chấp thuận của họ tuân thủ Luật Bảo vệ Dữ liệu hiện hành.  Nhà quảng cáo không được phép kích hoạt bất kỳ Realize Pixels nào trừ khi và cho đến khi đã cung cấp đầy đủ thông tin minh bạch cần thiết và đã nhận được tất cả các sự đồng ý cần thiết theo Luật Bảo vệ Dữ liệu hiện hành.

c. Bên quảng cáo phải cung cấp thêm cho Chủ thể dữ liệu thông tin về cách họ có thể thực hiện các quyền bảo vệ dữ liệu của mình theo Luật Bảo vệ Dữ liệu hiện hành, và cung cấp đầu mối liên hệ để Chủ thể dữ liệu liên hệ nhằm thực hiện các quyền của họ. Nhà quảng cáo phải thông báo ngay cho Taboola nếu và trong phạm vi nhận được bất kỳ yêu cầu nào về quyền bảo vệ dữ liệu liên quan đến việc Taboola xử lý Dữ liệu đã thu thập với tư cách là Bên kiểm soát dữ liệu, để Taboola có thể thực hiện yêu cầu đó theo nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu hiện hành.

Nếu Taboola, theo yêu cầu của Nhà quảng cáo, chuyển Dữ liệu Cá nhân cho đối tác phân bổ của Nhà quảng cáo hoặc cho Nhà quảng cáo vì mục đích phân bổ, Nhà quảng cáo cam kết và đảm bảo rằng: (i) đối tác phân bổ của họ là Bên xử lý thay mặt Nhà quảng cáo; (ii) trừ khi được thu thập độc lập, Nhà quảng cáo và đối tác phân bổ sẽ chỉ sử dụng Dữ liệu Cá nhân đó cho mục đích phân bổ; và (iii) đối tác phân bổ và Nhà quảng cáo sẽ xóa tất cả Dữ liệu Cá nhân đã chuyển trong vòng ba mươi (30) ngày kể từ lần cuối cùng xác định Khách truy cập đến từ Taboola.

Mỗi bên phải thực hiện các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu đã thu thập và/hoặc Dữ liệu cá nhân mà mình xử lý khỏi và phòng ngừa Sự cố bảo mật.  Các biện pháp này bao gồm các biện pháp được nêu trong Phụ lục B.

Nếu một trong hai Bên gặp phải Sự cố Bảo mật liên quan đến Dữ liệu Đã Thu thập và/hoặc Dữ liệu Cá nhân mà Bên đó Xử lý và là đối tượng của Thỏa thuận này và các Điều khoản Bảo mật Nhà quảng cáo này, thì Bên đó sẽ: (i) chịu trách nhiệm thực hiện (với chi phí của mình) mọi nghĩa vụ báo cáo áp dụng cho Bên đó theo Luật Bảo vệ Dữ liệu Hiện hành cho các cơ quan bảo vệ dữ liệu và/hoặc các Chủ thể Dữ liệu bị ảnh hưởng, (ii) thông báo cho Bên kia mà không chậm trễ, cung cấp thông tin về Sự cố Bảo mật theo yêu cầu hợp lý của Bên kia hoặc theo yêu cầu khác để Bên kia xác định xem mình có nghĩa vụ báo cáo theo Luật Bảo vệ Dữ liệu Hiện hành liên quan đến Sự cố Bảo mật hay không, và (iii) thực hiện tất cả các hành động và biện pháp cần thiết, mà không chậm trễ, để khắc phục và/hoặc giảm thiểu ảnh hưởng của Sự cố Bảo mật.

Trong phạm vi và mức độ được yêu cầu bởi Luật Bảo vệ Dữ liệu Hiện hành mà mỗi bên phải tuân thủ, mỗi bên sẽ tiến hành đánh giá tác động bảo vệ dữ liệu liên quan đến việc Xử lý Dữ liệu Thu thập được và/hoặc Dữ liệu Cá nhân cho các Mục đích Được phép và/hoặc tham vấn với các cơ quan bảo vệ dữ liệu có thẩm quyền, nếu cần thiết.  Mỗi bên phải cung cấp tất cả sự hợp tác và thông tin hợp lý mà bên kia yêu cầu, khi điều này là cần thiết để cho phép bên kia hoàn thành việc đánh giá tác động bảo vệ dữ liệu và/hoặc tham vấn với các cơ quan bảo vệ dữ liệu có thẩm quyền theo nghĩa vụ của bên kia theo Điều 11 này.

 

A. DANH SÁCH CÁC BÊN THAM GIA

Mỗi bên tham gia sẽ bao gồm:

      • bên kiểm soát dữ liệu (và xuất khẩu dữ liệu) đối với Dữ liệu đã thu thập mà họ tiết lộ hoặc cung cấp cho bên kia, và
      • bên kiểm soát dữ liệu (và nhập dữ liệu) đối với Dữ liệu đã thu thập mà họ nhận được từ, hoặc được bên kia cho phép truy cập.

Thông tin chi tiết về từng bên được cung cấp bên dưới.

Tên: Xem thông tin chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận.

Địa chỉ: Xem thông tin chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận.

Tên, chức vụ và thông tin liên hệ của người liên hệ: Xem chi tiết về Nhà quảng cáo được nêu trong Thỏa thuận hoặc được các bên thỏa thuận bằng văn bản khác.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc tiếp nhận các Dịch vụ, như đã nêu trong Thỏa thuận.

Chữ ký và ngày tháng: Phụ lục A này được coi là đã được ký kết khi Nhà quảng cáo chấp nhận các Điều khoản Bảo mật dành cho Nhà quảng cáo này.

Vai trò (bộ điều khiển/bộ xử lý): Bộ điều khiển (trong trường hợp nó là bộ xuất dữ liệu) và Bộ điều khiển (trong trường hợp nó là bộ nhập dữ liệu)

 

Tên: Xem chi tiết về Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Địa chỉ: Xem chi tiết về Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Tên, chức vụ và thông tin liên hệ của người liên hệ: Nhóm bảo mật của Taboola, taboola.com.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc cung cấp các Dịch vụ, như đã nêu trong Thỏa thuận.

Chữ ký và ngày tháng: Phụ lục A này được coi là đã được ký kết khi Taboola chấp nhận các Điều khoản Bảo mật dành cho Nhà quảng cáo này.

Vai trò (bộ điều khiển/bộ xử lý): Bộ điều khiển (trong trường hợp nó là bộ xuất dữ liệu) và Bộ điều khiển (trong trường hợp nó là bộ nhập dữ liệu)

 

B. MÔ TẢ QUY TRÌNH XỬ LÝ VÀ CHUYỂN GIAO

Các đối tượng dữ liệu có dữ liệu cá nhân được xử lý và/hoặc chuyển giao: Người dùng

Các loại dữ liệu cá nhân được xử lý và/hoặc chuyển giao:

Thông tin thiết bị: Hệ điều hành, loại trình duyệt, phiên bản trình duyệt, địa chỉ IP (được rút gọn trong vòng 30 ngày) tại thời điểm thu thập dữ liệu, mã bưu chính (được suy ra từ địa chỉ IP), ID người dùng Taboola được mã hóa, email được mã hóa, lượt truy cập trang đầu tiên và các lượt truy cập tiếp theo trên trang web của Nhà quảng cáo, giới tính người dùng (được suy luận từ sở thích), tín hiệu tương tác (thời gian trên trang, độ sâu cuộn trang, độ sâu phiên), dữ liệu chuyển đổi.

Dữ liệu về tài sản kỹ thuật số mà người dùng đã truy cập: URL của trang đã truy cập, trang web giới thiệu.

  • Trong phạm vi mà DCO là một phần của các dịch vụ, Taboola cũng xử lý các dữ liệu sau:

Thông tin thiết bị: Mã định danh cookie Taboola hoặc mã định danh thiết bị (tùy thuộc vào nền tảng), địa chỉ IP đã được che giấu, mã định danh nhấp chuột Taboola , chuỗi tác nhân người dùng, quốc gia, loại người dùng, bao gồm thông tin người dùng mới/quay lại (nếu được nhà quảng cáo chia sẻ), thông tin sản phẩm (liên kết với URL cụ thể), bao gồm giá cả và tình trạng sẵn có từ các trang sản phẩm.

Dữ liệu sự kiện: đơn vị tiền tệ, ID sản phẩm, ID đơn hàng, ID danh mục, danh mục, từ khóa tìm kiếm, chi tiết giỏ hàng, giá trị và ID chiến dịch.

Dữ liệu nhạy cảm được chuyển giao (nếu có) và các hạn chế hoặc biện pháp bảo vệ được áp dụng phải xem xét đầy đủ bản chất của dữ liệu và các rủi ro liên quan, chẳng hạn như giới hạn mục đích nghiêm ngặt, hạn chế quyền truy cập (bao gồm chỉ cho phép nhân viên đã được đào tạo chuyên môn mới có quyền truy cập), lưu giữ hồ sơ truy cập dữ liệu, hạn chế chuyển tiếp dữ liệu hoặc các biện pháp bảo mật bổ sung: Không áp dụng.

Tần suất xử lý và/hoặc truyền tải dữ liệu (ví dụ: dữ liệu được xử lý và/hoặc truyền tải một lần hay liên tục): Tiếp diễn trong suốt thời hạn của Thỏa thuận.

Bản chất của quá trình xử lý: Xử lý Dữ liệu Cá nhân cần thiết cho việc cung cấp Dịch vụ, như đã nêu trong Thỏa thuận.

Mục đích xử lý/chuyển giao dữ liệu và xử lý tiếp theo: Việc cung cấp các Dịch vụ, như đã nêu trong Thỏa thuận. Để tránh hiểu nhầm, các Mục đích Được phép bao gồm: (i) lưu trữ và/hoặc truy cập thông tin trên thiết bị; (ii) lựa chọn quảng cáo cơ bản; (iii) tạo hồ sơ quảng cáo cá nhân hóa; (iv) lựa chọn quảng cáo cá nhân hóa; (v) tạo hồ sơ nội dung cá nhân hóa; (vi) lựa chọn nội dung cá nhân hóa; (vii) đo lường hiệu suất quảng cáo; (viii) đo lường hiệu suất nội dung; (ix) phát triển và cải tiến sản phẩm; (x) đảm bảo an ninh, ngăn chặn gian lận và gỡ lỗi; (xi) phân phối quảng cáo hoặc nội dung về mặt kỹ thuật; (xii) đối sánh và kết hợp các nguồn dữ liệu ngoại tuyến; (xiii) liên kết các thiết bị khác nhau; (xiv) nhận và sử dụng các đặc điểm thiết bị được gửi tự động để nhận dạng; (xv) sử dụng dữ liệu hạn chế để lựa chọn nội dung; và (xvi) hiểukhán giả thông qua thống kê.

Thời hạn lưu giữ dữ liệu cá nhân, hoặc nếu không thể xác định thời hạn cụ thể, thì nêu rõ các tiêu chí được sử dụng để xác định thời hạn đó:

      • Taboola: Dữ liệu thô được lưu trữ tối đa 13 tháng.
      • Nhà quảng cáo: Trong thời gian cần thiết để cung cấp Dịch vụ hoặc theo quy định khác trong Thỏa thuận.

Đối với việc chuyển giao dữ liệu cho (các) đơn vị xử lý phụ, vui lòng nêu rõ đối tượng, bản chất và thời gian xử lý: Không áp dụng.

 

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Cơ quan giám sát có thẩm quyền nơi EU GDPR được áp dụng: Cơ quan giám sát có thẩm quyền đối với mỗi bên được mô tả như sau:

      • Taboola: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của EU SCCs.
      • Nhà quảng cáo: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của EU SCCs.

Cơ quan giám sát có thẩm quyền nơi UK GDPR được áp dụng: Văn phòng Ủy viên Thông tin

 

Mô tả các biện pháp kỹ thuật và tổ chức được mỗi bên thực hiện (bao gồm bất kỳ chứng nhận liên quan nào) để đảm bảo mức độ an ninh phù hợp, có tính đến bản chất, phạm vi, bối cảnh và mục đích của việc xử lý, cũng như các rủi ro đối với quyền và tự do của cá nhân.

Các biện pháp mã hóa và ẩn danh dữ liệu cá nhân: Taboola chỉ thu thập dữ liệu được mã hóa, có nghĩa là chúng tôi không biết bạn là ai vì chúng tôi không biết hoặc xử lý tên, địa chỉ email hoặc dữ liệu nhận dạng khác của người dùng. Thông tin người dùng mà chúng tôi thu thập bao gồm, nhưng không giới hạn ở, thông tin về thiết bị và hệ điều hành của người dùng, địa chỉ IP, các trang web mà người dùng truy cập trong các trang web của khách hàng, liên kết dẫn người dùng đến trang web của khách hàng, ngày giờ người dùng truy cập trang web của khách hàng và các dữ liệu duyệt web khác. CookieID được ẩn danh bằng Bcrypt và địa chỉ IP được rút gọn.

Các biện pháp đảm bảo tính bảo mật, toàn vẹn, khả dụng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý: Taboola sử dụng nhiều lớp bảo mật điện tử (ví dụ: bảo mật điểm cuối, bảo mật phía máy chủ, theo dõi phát hiện, kiểm thử xâm nhập định kỳ và thu thập thông tin tình báo chuyên sâu để xem xét các sự kiện sau khi xảy ra).

Các biện pháp đảm bảo khả năng khôi phục tính khả dụng và quyền truy cập vào dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật: Taboola hiện đang vận hành 9 trung tâm dữ liệu trên toàn thế giới. Mỗi trung tâm dữ liệu được sử dụng như một bản sao dự phòng của nhau, vì vậy nếu một trung tâm gặp sự cố, dữ liệu có thể được khôi phục từ trung tâm dữ liệu khác.

Các quy trình để thường xuyên kiểm tra, đánh giá và thẩm định hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh của quá trình xử lý: Taboola duy trì các quy trình nghiêm ngặt để kiểm tra hiệu quả của các biện pháp kiểm soát (cả về kỹ thuật và tổ chức). Chúng tôi có hệ thống ghi nhật ký và giám sát, kiểm tra phục hồi thảm họa (DR) hàng tháng (ít nhất), kiểm tra thâm nhập hàng quý, tường lửa bảo vệ mạng và các bẫy mật (honeypot) được bố trí khắp mạng để phát hiện bất kỳ hoạt động độc hại nào. Hơn nữa, chúng tôi có một chương trình thưởng giúp chúng tôi liên tục giám sát mạng lưới của mình.

Các biện pháp xác định và ủy quyền người dùng: Mỗi người dùng trên Taboola đều được liên kết với một tên người dùng và mật khẩu riêng. Mọi truy cập vào mạng nội bộ của Taboola đều được thực hiện bằng xác thực hai yếu tố (2FA) sử dụng Google. Người dùng chỉ được tạo bởi bộ phận CNTT, trong quá trình tiếp nhận nhân viên mới và chỉ sau khi nhận được đầy đủ thông tin và hợp đồng đã ký từ bộ phận Nhân sự.

Các biện pháp bảo vệ dữ liệu trong quá trình truyền tải: Taboola hỗ trợ mọi hình thức truyền dữ liệu thông qua các giao thức truyền tải an toàn (tối thiểu là HTTPS và TLS v1.2). Hơn nữa, các hệ thống có thể chứa thông tin nhận dạng cá nhân (PII) được bảo mật và dữ liệu được mã hóa và ẩn danh.

Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ: Dữ liệu được lưu trữ trong cơ sở dữ liệu của chúng tôi được ẩn danh và mã hóa bằng Bcrypt. Quyền truy cập vào cơ sở dữ liệu được giảm thiểu và dựa trên nguyên tắc “chỉ những doanh nghiệp cần biết thông tin đó mới được phép”.

Các biện pháp đảm bảo an ninh vật lý cho các địa điểm xử lý dữ liệu cá nhân: Mỗi trung tâm dữ liệu toàn cầu của Taboola (ở Mỹ, châu Âu và châu Á) đều có tất cả các máy chủ được đặt trong các tủ khóa kín, được bảo trì dành riêng cho việc sử dụng của Taboola. Các tủ rack này được bảo trì bởi các công ty SOC2-certified hoặc đã được Taboola xem xét các biện pháp bảo mật của họ. Hơn nữa, mọi quyền truy cập vào máy chủ đều yêu cầu sự cho phép bằng văn bản và có ghi lại. Tất cả các văn phòng Taboola đều được kiểm soát chặt chẽ và yêu cầu nhân viên sử dụng thẻ ra vào. Hơn nữa, chỉ một số lượng nhân viên hạn chế mới có quyền truy cập vào máy chủ của Taboola và bất kỳ quyền truy cập nào cũng đều yêu cầu sự cho phép bằng văn bản có ghi lại.

Các biện pháp đảm bảo việc ghi nhật ký sự kiện: Taboola triển khai các công cụ giám sát và nhật ký được thu thập vào hệ thống SIEM của chúng tôi, hệ thống này sẽ cảnh báo chúng tôi về bất kỳ sự kiện đáng ngờ nào và cũng được nhóm NOC giám sát.

Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cả cấu hình mặc định: Máy chủ được quét để phát hiện cả sự thay đổi cấu hình và mức độ cập nhật bản vá. Chức năng báo cáo và/hoặc cảnh báo được thiết lập trên cả hai hệ thống và mức độ vá lỗi liên quan đã được xác nhận. Các bản vá lỗi mới được phân phối bằng Puppet. Tất cả các đánh giá kỹ thuật đều được quản lý thông qua ứng dụng R&D và được thực hiện thông qua quy trình đánh giá chính thức (QA) sau khi CI/CD processes được triển khai.

Các biện pháp quản trị và quản lý CNTT nội bộ và an ninh CNTT: Taboola đạt chứng nhận ISO 27001:2013 và 27701. Taboola có Chính sách Bảo mật Thông tin, trong đó nêu rõ Hội đồng quản trị và ban quản lý của Taboola cam kết bảo vệ tính bí mật, toàn vẹn và khả dụng của tất cả các tài sản thông tin vật lý và điện tử trong toàn bộ tổ chức. Taboola tổ chức các khóa đào tạo an ninh mạng cho tất cả nhân viên mới, đào tạo phòng chống lừa đảo trực tuyến cho tất cả nhân viên trên toàn cầu, và các khóa đào tạo an ninh mạng định kỳ cho tất cả nhân viên, cũng như các buổi đào tạo chuyên biệt cho các nhóm nghiên cứu và phát triển.

Các biện pháp chứng nhận/đảm bảo chất lượng quy trình và sản phẩm: Kiểm toán nội bộ định kỳ hàng quý/nửa năm/hàng năm đối với nhiều quy trình và hệ thống để xác nhận rằng Taboola đang tuân thủ các mục tiêu và biện pháp bảo mật đã được đề ra.

Các biện pháp đảm bảo giảm thiểu dữ liệu: Taboola chủ động giới hạn lượng dữ liệu mà chúng tôi thu thập như một phần của nguyên tắc giảm thiểu dữ liệu toàn cầu của Taboola, chỉ xử lý lượng dữ liệu hạn chế cần thiết cho các mục đích kinh doanh cụ thể của chúng tôi. Hơn nữa, Taboola không có khả năng, cũng như không có nhu cầu kinh doanh nào, để “phân tích ngược” bất kỳ điểm dữ liệu nào được sử dụng trong thuật toán của chúng tôi nhằm cung cấp dịch vụ. Cụ thể hơn, các điểm dữ liệu mà Taboola thu thập không bao giờ cho thấy danh tính của người dùng — vì Taboola không thu thập hoặc xử lý thông tin như tên, số điện thoại, email hoặc địa chỉ nhà của người dùng. Thay vào đó, Taboola chỉ thu thập các định danh giả danh, chỉ đơn thuần xác định các đặc điểm về thiết bị của người dùng. Điều này bao gồm địa chỉ IP (được rút gọn khi thu thập và chỉ có thể xác định vị trí mã bưu chính chung của thiết bị, nhưng không bao giờ là vị trí địa lý chính xác) và, trong một số trường hợp hạn chế, địa chỉ email được mã hóa (vốn dĩ không thể đảo ngược và không thể giải mã để tiết lộ địa chỉ email gốc). Hơn nữa, ngay cả khi được sử dụng chung, dữ liệu mà chúng tôi thu thập cũng không bao giờ có thể xác định được tên, số điện thoại, email hoặc địa chỉ nhà của một cá nhân cụ thể, và các kỹ sư của chúng tôi không làm việc theo bất kỳ cách nào để đạt được mục tiêu này. Ngoài ra, Taboola thực hiện và ghi lại các đánh giá tác động đến quyền riêng tư nhằm mục đích giảm thiểu rủi ro về quyền riêng tư của các dịch vụ, quy trình và chính sách của chúng tôi.

Các biện pháp đảm bảo chất lượng dữ liệu: Dữ liệu được thu thập trực tiếp từ người dùng và người dùng có cơ hội chỉnh sửa bất taboola.com dữ liệu nào liên quan đến CookieID của họ thông qua Cổng yêu cầu truy cập dữ liệu cá nhân Taboola : https://accessrequest.taboola.com/access

Các biện pháp đảm bảo thời gian lưu trữ dữ liệu có giới hạn: Chúng tôi lưu giữ Thông tin Người dùng, được thu thập trực tiếp cho mục đích phục vụ quảng cáo, trong tối đa mười ba (13) tháng kể từ lần tương tác cuối cùng của Người dùng với Dịch vụ của chúng tôi (thường là trong khoảng thời gian ngắn hơn), sau đó chúng tôi sẽ ẩn danh dữ liệu bằng cách loại bỏ các định danh duy nhất hoặc tổng hợp dữ liệu. Quá trình này được thực hiện tự động.

Các biện pháp đảm bảo trách nhiệm giải trình: Taboola thực hiện nhiều cuộc kiểm tra an ninh và thử nghiệm xâm nhập (nhưng không phải cho tất cả các hệ thống). Taboola cũng sử dụng các nhà cung cấp dịch vụ đám mây được chứng nhận ISO và tuân thủ các chứng nhận liên quan đến đám mây khác để duy trì các biện pháp bảo vệ vật lý cho máy chủ.

Các biện pháp cho phép chuyển đổi dữ liệu và đảm bảo xóa dữ liệu: Mọi phương tiện lưu trữ dữ liệu phải được xóa sạch hoàn toàn trước khi tái sử dụng hoặc vứt bỏ. Mọi hoạt động xử lý phương tiện lưu trữ đều được ghi chép lại. Nhân viên được hướng dẫn không in bất kỳ giấy tờ nào có thể chứa thông tin cá nhân.

  1. Trong trường hợp một bên thực hiện việc chuyển giao dữ liệu đã thu thập được một cách hạn chế cho bên kia, Standard Contractual Clauses sẽ được tích hợp vào Điều khoản Bảo mật dành cho Nhà quảng cáo này và áp dụng như sau:
    1. Trường hợp Giao dịch chuyển nhượng bị hạn chế là Giao dịch chuyển nhượng bị hạn chế EU , EU SCCs sẽ được áp dụng giữa các bên như sau:
      1. Mô-đun Một sẽ được áp dụng;
      2. Trong Điều 7, Điều khoản cập bến tùy chọn sẽ được áp dụng;
      3. Trong Điều 11, ngôn ngữ tùy chọn sẽ không được áp dụng;
      4. Theo Điều 17, Phương án 1 sẽ được áp dụng, và EU SCCs sẽ được điều chỉnh bởi luật pháp Ireland;
      5. trong Điều 18(b), các tranh chấp sẽ được giải quyết trước tòa án của Ireland;
      6. Các phần A, B và C của Phụ lục I sẽ được coi là đã hoàn chỉnh với thông tin được nêu trong các phần A, B và C của Phụ lục A thuộc các Điều khoản Bảo mật dành cho Nhà quảng cáo này; và
      7. Phụ lục II sẽ được coi là hoàn chỉnh với các biện pháp bảo mật được nêu trong Phụ lục B của Điều khoản Bảo mật dành cho Nhà quảng cáo này;
    2. Trường hợp Giao dịch chuyển nhượng bị hạn chế là Giao dịch chuyển nhượng bị hạn chế UK , UK Addendum sẽ được áp dụng giữa các bên như sau:
      1. EU SCCs, được hoàn thành như đã nêu ở trên, sẽ được áp dụng giữa các bên và sẽ được sửa đổi bởi UK Addendum (được hoàn thành như đã nêu trong tiểu khoản (ii) bên dưới); và
      2. Các bảng từ 1 đến 3 của UK Addendum sẽ được coi là đã hoàn tất với thông tin liên quan từ EU SCCs, được hoàn thành như đã nêu ở trên, và các tùy chọn “Nhà xuất khẩu” và “Nhà nhập khẩu” sẽ được coi là đã được chọn trong bảng 4. Ngày bắt đầu của UK Addendum (như được nêu trong bảng 1) sẽ là Ngày có hiệu lực của các Điều khoản Bảo mật dành cho Nhà quảng cáo này.
  2. Chuyển khoản tiếp theo có hạn chế:  Không bên nào được phép chuyển giao dữ liệu đã thu thập được từ bên kia một cách hạn chế trừ khi đã thực hiện tất cả các hành động và việc làm cần thiết để đảm bảo việc chuyển giao đó tuân thủ Luật Bảo vệ Dữ liệu hiện hành và bất kỳ Standard Contractual Clauses mà hai bên đã thỏa thuận với nhau.