出版商隱私權條款

Last Update: October 10, 2024

生效日期: 2024 年 10 月 10 日

本 Taboola 發行商隱私權條款 (「發行商隱私權條款」) 適用於 Taboola 的數位廣告服務,例如當 Taboola 根據 Taboola 和發行商之間的協議 (「協議」) 在發行商屬性上放置廣告商的內容,包括但不限於發行商的產品和服務,如 Taboola Newsroom、Header Bidding、Taboola Home Page 4 You、Taboola News 和 Taboola Push,且本發行商隱私權條款應被視為納入任何此類協議,並構成其不可分割的一部分。本發行商隱私條款明確了 Taboola 和發行商在個人資料方面的角色和責任。

若「發行商隱私權條款」與「本協議」有衝突,則以「發行商隱私權條款」為準,除非「本協議」中的衝突條款明確提及「發行商隱私權條款」中的衝突條款,並指明其取代衝突條款。

本節中定義的詞彙具有以下涵義,同義詞應據此解釋。發行商隱私權條款中使用但未定義的詞彙應具有本協議中定義的含義。

      1. “適用資料保護法」係指適用於本協議及本發行商隱私權條款主題之處理的任何及所有適用聯邦、國家、州或其他隱私權及資料保護法,且可能不時修訂或取代。
      2. “加州隱私權法律」係指 2018 年加州消費者隱私權法案,Cal.Civil Code § 1798.100 et seq. (亦稱為「CCPA」),經修正 (包括經由「加州隱私權法案」修正),以及任何附屬立法和實施法規。
      3. 控制者」係指:(i) 決定個人資料處理目的及方式之實體,及 (ii) 屬於「控制者」或「業務」(或任何實質上類似之詞彙)範圍內之任何個人或實體,如適用資料保護法所定義。
      4. 資料當事人」係指(i) 已識別或可識別之自然人(就本條款而言,可識別之自然人係指可直接或間接識別之自然人,尤其是透過參照識別碼,如姓名、識別號碼、位置資料、線上識別碼或與該自然人之身體、生理、遺傳、心理、經濟、文化或社會身分有關之一個或多個特定因素),及 (ii) 屬於資料保護法所定義之「資料當事人」、「消費者」(或任何大致類似之詞彙)範圍內之任何人士。
      5. 歐盟資料保護法」係指:(i) 歐盟一般資料保護規範 (Regulation 2016/679) (「歐盟 GDPR」);(ii) 歐盟電子隱私指令 (Directive 2002/58/EC);及 (iii) 根據或依據 (i) 或 (ii) 所制定的任何國家資料保護法,每項法律均可能不時修訂或取代。
      6. 「個人資料 」係指附件 A B 部分所載與已識別或可識別之個人相關之任何資訊 (若適用資料保護法有規定,此類詞彙應包括唯一的瀏覽器或裝置識別碼)。
        1. 「互動個人資料」是指在消費者有意與 Taboola、Taboola 的產品、Taboola 的財產以及 Taboola 投放的廣告互動時或互動之後,從消費者處收集的任何個人資料。
        2. “被動互動個人資料」是指在消費者有意或無意與 Taboola、Taboola 產品、Taboola 屬性和 Taboola 投放的廣告互動之前,從發行商屬性被動地收集的任何個人資料,包括但不限於 Taboola 收集的 IP 位址、頁面 URL 和用戶代理字串。
      7. “處理」是指對個人資料或個人資料集進行的任何操作或一系列操作,不論是否以自動化方式進行,例如收集、接收、記錄、組織、構成、使用、傳輸、存取、分享、披露、轉移、儲存、改編或更改、檢索、諮詢、散佈或以其他方式提供、排列或組合、彙集、推論、衍生、分析、限制、刪除、銷毀或處置或以其他方式處理個人資料,包括適用資料保護法對該詞的定義。
      8. 處理者」係指代表控制者處理個人資料的實體,包含適用資料保護法如何定義該詞及/或「資料處理者」一詞 (或任何實質類似詞)。
      9. 限制性移轉」係指(i) 在歐盟 GDPR 適用的情況下,將個人資料從歐洲經濟區 (EEA) 移轉至歐洲經濟區 (EEA) 以外不受歐盟委員會適足性決定規範的國家 (「歐盟受限移轉」);及 (ii) 在英國 GDPR 適用的情況下,將個人資料從英國移轉至不受根據《2018 年英國資料保護法》第 17A 條所訂適足性法規規範或以該法規為基礎的任何其他國家 (「英國受限移轉」)。
      10. 「服務 」指 Taboola 根據與發佈者的協議提供的服務。
      11. 「安全事故」是指導致意外或非法破壞、遺失、更改、未經授權披露或存取個人資料的安全漏洞。
      12. 「標準合約條款」 是指:(i) 在適用歐盟 GDPR 的情況下,歐盟委員會 2021 年 6 月 4 日第 2021/914 號實施決議所附的合約條款,該決議根據歐洲議會及歐洲理事會第 2016/679 號規例(「盟標準合約條款」),關於將個人資料移轉至第三國家的標準合約條款;及 (ii) 在適用英國 GDPR 的情況下,資訊專員根據第 119 條發佈的「歐盟委員會標準合約條款的國際資料移轉附錄」。119A(1)条发布的 「欧盟委员会标准合同条款的国际数据传输附录」「英国附录」)。
      13. “第三方」係指擔任個人資料控制者的企業,且該企業並非其個人資料被處理的資料當事人有意與之互動的企業;該詞彙包含適用資料保護法對該詞彙的定義。
      14. 英國資料保護法」係指:(i) 英國 2018 年資料保護法,(ii) 英國 GDPR(定義見英國 2018 年資料保護法第 3(10) 條)(「英國 GDPR」),(iii) 英國 2003 年隱私與電子通訊(EC 指令)法規),以及 (iv) 根據或依據 (i)、(ii) 或 (iii) 制定的任何其他英國法律,每項法律均可不時修訂或取代。

對於因服務而處理的個人資料,每一方同意,其應僅基於附件 A B 部分所述之目的(「允許目的」),並在本發行商隱私權條款、協議及適用資料保護法(上述各項可能隨時更新)允許的情況下,處理其收集的個人資料。Taboola 亦可在 Taboola 私隱政策允許的情況下處理被動互動個人資料,並可能不時更新。

各方應處理其作為控制方或第三方(如適用)收集的被動交互個人資料。每一方應處理其作為控制者或業務(如適用)所收集的互動個人資料。一方向另一方披露(無論是直接披露,還是通過一方向另一方提供資料)個人資料均屬於向第三方披露。

      1. 如果美国或美国各州的数据保护法适用于个人数据,包括但不限于加州隐私法,在Taboola处理与服务相关的被动交互个人数据的范围内,Taboola作为第三方向发行人提供此类被动交互个人数据。Taboola 应为附件 A B 部分所述目的并在本出版商隐私条款、本协议、适用数据保护法和 Taboola 隐私政策允许的范围内处理此类被动交互式个人数据,各条款可随时更新。此類被動互動個人資料僅供 Taboola 用於上述目的。Taboola 将提供与适用的美国数据保护法(包括适用的加利福尼亚州隐私法)所要求的企业隐私保护水平相同的隐私保护。發行商有權確保 Taboola 以符合發行商義務的方式使用被動互動個人資料。在向 Taboola 發出通知後,發佈者有權採取合理和適當的步驟,以停止和補救未經授權使用其提供給 Taboola 的個人資料。如果 Taboola 確定其無法再履行適用資料保護法規定的義務,Taboola 將在適用資料保護法規定的時間內通知發佈者。在 Taboola 收集與服務相關的互動個人資料的範圍內,Taboola 應將其作為一項獨立業務來處理。

雙方確認其可能會處理個人資料,且適用的資料保護法可能適用於各方對個人資料的處理。在此情況下,各方在處理個人資料時均應遵守該適用資料保護法。在此情況下,除第 7 條另有規定外,每一方應個別負責遵守適用的資料保護法,包括任何適用的規定:(i) 向資料當事人提供透明度,(ii) 處理資料需經資料當事人同意或有其他合法依據,及 (iii) 提供可讓資料當事人行使其資料保護權利的聯絡點。如果发行商收到任何有关 Taboola 作为控制方处理个人数据的数据保护权利请求,发行商应立即通知 Taboola,以便 Taboola 根据适用的数据保护法履行其义务。

  1. 發行商應將收到的任何有關 Taboola 服務的資料當事人請求發送到Taboola 的全球資料當事人查閱請求入口網站U.S.。消費者權益選擇退出入口網站 ,如適用。

若任何一方收到個人、監管機構或其他第三方有關資料當事人與服務相關之個人資料處理的任何詢問、投訴或來函(「第三方通知」),應立即通知另一方,且雙方應本著誠信與合理必要的方式合作,以處理此類第三方通知的要求。

若任何一方向另一方進行個人資料的限制性移轉,則應適用附件 C 的規定。

在 Taboola 使用 Taboola 代码、像素和其他跟踪技术从 Publisher 属性收集个人数据的范围内,Publisher 应(i) 向資料當事人提供有關 Taboola 使用 Taboola 代碼從發行商物業收集個人資料以達到允許目的的所有必要的透明度通知,以及 (ii) 取得(並在 Taboola 提出要求時,提供適當證據證明)資料當事人同意為允許目的使用 Taboola 代碼,在每種情況下均符合適用的資料保護法的要求。發行商在這方面的義務包括在發行商提供給資料當事人的透明度通知和同意提示中明確指出 Taboola 及其為允許目的使用 Taboola 代碼,以及適用資料保護法所要求的任何其他資訊,以便 Taboola 能夠通過此類屬性合法地提供服務,並為允許目的處理個人資料。根据书面要求,Taboola 应向 Publisher 提供 Publisher 可能合理要求的有关 Taboola 代码和 Taboola 通过 Publisher Properties 处理个人数据的信息,以便 Publisher 确保其通知和同意机制将遵守适用的数据保护法。發行商明確同意:

  1. 對於其網站上的內容,發佈者的隱私權政策應描述第三方(即 Taboola)使用 Cookie、獨特識別符和非 Cookie 技術進行基於興趣的廣告和分析(在內外的內容)的情況,並應以符合適用資料保護法要求的方式,提供與 NAI 行業退出頁面(http://www.networkadvertising.org)、DAA 行業退出頁面(http://www.aboutads.info)的連結,或(對於歐洲網路媒體和資料收集)與 EDAA 退出連結(http://www.youronlinechoices.eu)的連結;以及
  2. 對於以行動應用程式為基礎的內容,發行商的隱私權政策應描述在其行動應用程式上使用 SDK,以及收集行動廣告識別碼以利於興趣或跨應用程式廣告與分析 (內容內外);並描述使用者與訪客如何透過裝置設定,選擇不收集行動資料以利於跨應用程式廣告。
  3. 對於其面向歐盟的財產,發佈方應確保根據歐盟隱私法,就在訪客的設備上放置或存取任何 Taboola cookies 或任何其他獨特識別碼,取得訪客自由給予的、具體的、知情的和毫不含糊的同意。發行商應向其訪客提供詳細聯絡資訊(可能包括透過其隱私權政策提供這些詳細資訊),以便訪客可以聯絡發行商以行使其資料保護權利(包括與服務相關的個人資料處理)。前述義務適用於發佈者財產吸引了需要服務同意機制的司法管轄區內的訪客。

在期限內,Taboola 可向發行商提供推薦的隱私政策或披露語言。發行商承認其不得依賴此類推薦語言作為或替代法律建議,且發行商或公司本身對其隱私權政策或其網站上的任何披露內容負全部責任。

發行商不得提供或配置服務以收集或以其他方式向 Taboola 披露任何特殊類別的個人資料或敏感個人資料或敏感資料(定義見適用的資料保護法)供 Taboola 處理。此外,發佈者應確保提供給 Taboola 的任何頁面 URL 不包含視頻標題資訊。Taboola 保留因發行商未能遵守本段規定而暫停服務的權利,除非且直至該等失責行為得到補救。

各方均應實施適當的技術和組織安全措施,以保護訪客的個人資料免受安全事故的影響。這些措施應包括附件 B 中列出的措施。

若任何一方所處理之個人資料發生安全事故,且該個人資料為本協議及本發行商隱私權條款之標的,則該方應:(i) 負責履行(自費)根據適用的資料保護法向資料保護機構和/或受影響的資料當事人履行任何報告義務,(ii) 通知另一方,不得無故延遲、提供另一方可能合理要求的有關安全事故的資訊,或另一方為確定其是否根據適用的資料保護法對安全事故也有報告義務所需的資訊,且 (iii) 在無不當延遲的情況下,採取所有適當的行動和措施,以補救和/或減輕安全事故的影響。

在各方所遵守的適用資料保護法規定的情況和範圍內,各方應就其為允許目的處理個人資料進行任何資料保護影響評估,和/或在必要時諮詢適用的資料保護機構。每一方均應提供另一方合理要求的所有合理合作和資訊,如果這是另一方根據本節規定的義務完成資料保護影響評估和/或與適用的資料保護機構進行協商所必需的。

A.各方名單

每一方應:

  • 它向另一方披露或提供的收集資料的資料控制者(和資料出口者),以及
  • 資料控制者(和資料輸入者)從另一方收到的收集資料,或由另一方提供存取權的收集資料。

下文提供了各方的詳細資訊。

名稱: 請參閱協議中列出的廣告商詳情。

地址: 請參閱協議中列出的廣告商詳情。

聯絡人姓名、職位及聯絡方式: 請參閱本協議中列明的廣告商詳細資訊,或雙方另行書面協定的資訊。

與根據這些條款轉移的資料有關的活動: 接受協議中規定的服務。

簽名和日期: 廣告客戶接受本廣告客戶隱私權條款後,本附件A即視為已執行。

角色(控制器/處理器): 控制器 (若為資料輸出方) 和控制器 (若為資料輸入方)

 

名稱: 請參閱 Taboola 在協議引言中列出的詳細資訊。

地址: 請參閱 Taboola 在協議引言中列出的詳細資訊。

聯絡人姓名、職位及聯絡方式: Taboola 的隱私權團隊,privacy@taboola.com。

與根據這些條款轉移的資料有關的活動: 按協議規定提供服務。

簽名和日期: 本附件 A 在 Taboola 接受本廣告客戶隱私權條款後即視為已執行。

角色(控制器/處理器): 控制器 (若為資料輸出方) 和控制器 (若為資料輸入方)

 

B.處理和轉移的說明 

個人資料被處理及/或轉移的資料當事人類別: 使用者

處理和/或轉移的個人資料類別:

裝置資料: 作業系統、瀏覽器類型、瀏覽器版本、收集的 IP 位址 (30 天內截斷)、郵遞區號 (源自 IP 位址)、散列的 Taboola 使用者 ID、散列的電子郵件、在廣告商網站上的初始和後續頁面訪問、使用者性別 (根據興趣推斷)、參與訊號 (在網站上的時間、捲動深度、會話深度)、轉換資料。

使用者造訪的數位財產相關資料: 所訪問頁面的 URL、參考網站

轉移的敏感性資料(如適用),並採用充分考量資料性質和所涉及風險的限制或保障措施,例如嚴格的目的限制、存取限制(包括僅限接受過專門訓練的員工存取)、保留資料存取記錄、轉移限制或額外的安全措施: 不適用。

處理及/或傳輸的頻率(例如,資料是一次性處理及/或傳輸,還是持續性處理及/或傳輸): 在協議期間持續有效。

處理的性質: 根據協議規定,處理提供服務所需的個人資料。

資料處理/轉移及進一步處理的目的: 按協議規定提供服務。為免生疑問,允許用途包括(i) 儲存及/或存取裝置上的資訊;(ii) 選擇基本廣告;(iii) 建立個人化廣告檔案;(iv) 選擇個人化廣告;(v) 建立個人化內容檔案;(vi) 選擇個人化內容;(vii) 測量廣告效能;(viii) 測量內容效能;(ix) 開發及改善產品;(x) 確保安全性、防止欺詐和調試;(xi) 以技術方式提供廣告或內容;(xii) 匹配和結合離線資料來源;(xiii) 連結不同裝置;(xiv) 接收和使用自動發送的裝置特徵進行識別;(xv) 使用有限資料選擇內容,以及 (xvi) 透過統計瞭解受眾。

個人資料的保留期限,若無法保留,則說明用以決定保留期限的標準:

  • Taboola:原始資料最多可儲存 13 個月。
  • 廣告商:在接受服務所需的時間內,或在協議中另有規定的時間內。

對於轉移給 (次) 處理者,也要說明處理的主題、性質和期限: 不適用。

 

C. 主管監督機構

適用歐盟 GDPR 的主管監督機構: 各方的主管監督機構如下所述:

  • Taboola:主管監管機構應根據歐盟 SCC 第 13 條決定。
  • 廣告商:主管監管機構應根據歐盟 SCC 第 13 條決定。

英國 GDPR 適用的主管監督機構: 資訊專員辦公室

根據處理的性質、範圍、情境和目的,以及對自然人權利和自由的風險,說明每一方為確保適當的安全層級而實施的技術和組織措施 (包括任何相關認證)。

個人資料的假名化和加密措施: Taboola 只收集化名資料,這表示我們不知道您是誰,因為我們不知道或處理使用者的姓名、電子郵件地址或其他可識別的資料。我們收集的使用者資訊包括但不限於使用者的裝置和作業系統、IP 位址、使用者在客戶網站上存取的網頁、引導使用者進入客戶網站的連結、使用者存取客戶網站的日期和時間,以及其他網頁瀏覽資料。CookieID 會使用 Bcrypt 匿名化,IP 位址則會截斷。

確保處理系統和服務的持續機密性、完整性、可用性和彈性的措施: Taboola 採用多層次的電子安全機制 (例如:端點安全、伺服器端安全、偵測追蹤、定期滲透測試,以及深入收集情報以檢視事後發生的事件)。

在發生實體或技術事故時,確保及時恢復個人資料可用性和存取能力的措施: Taboola 在全球擁有 9 個資料中心。每個資料中心都是相互複製的,因此如果其中一個資料中心發生故障,資料可以從其他資料中心提取。

定期測試、評估和評價技術和組織措施有效性的流程,以確保處理的安全性: Taboola 維持嚴格的流程,以測試其控制(技術和組織)的有效性。我們設有系統記錄與監控、每月(至少)一次的 DR 測試、每季一次的滲透測試、防火牆保護網路,以及遍佈整個網路的誘捕系統,以找出任何惡意活動。此外,我們還有賞金計畫,可以幫助我們持續監控我們的網路。

使用者識別和授權措施: Taboola 的每個使用者都有專屬的使用者名稱和密碼。每次存取 Taboola 的內部網路時,都會使用 Google 認證進行 2FA。使用者只能由 IT 部門在入職程序中建立,而且必須在收到人事部門提供的所有詳細資訊和簽訂的合約後才能建立。

傳輸過程中的資料保護措施: Taboola 支援任何透過安全傳輸協定 (HTTPS 和 TLS v1.2) 傳輸的資料。此外,可能包含 PII 的系統是安全的,資料會以散列及匿名方式保存。

儲存期間的資料保護措施: 儲存於我們資料庫內的資料會使用 Bcrypt 進行匿名和散列處理。根據「業務需要知道」的原則,對資料庫的存取會減至最低。

確保個人資料處理地點實體安全的措施: Taboola 的每個全球資料中心(分別位於美國、歐洲和亞洲)的所有伺服器都設置在上鎖的機櫃中,僅供 Taboola 使用。這些機櫃由通過 SOC2 認證或 Taboola 已審核其安全措施的公司維護。此外,任何對伺服器的存取都必須經過書面記錄許可。Taboola 的所有辦公室也都受到管制,要求員工使用門禁卡進入。此外,只有有限數量的員工能夠訪問 Taboola 的伺服器,任何訪問也需要書面記錄的許可。

確保事件記錄的措施: Taboola 實施監控工具,並將日誌收集至 SIEM 系統,以提醒我們任何可疑事件,同時 NOC 團隊也會進行監控。

確保系統組態的措施,包括預設組態: 伺服器會被掃描,以檢查組態偏移和修補程式等級。在兩者上都設定報告和/或警示,並確認相關的修補程式等級。使用 Puppet 發佈新的修補程式。所有技術審查都是透過研發應用程式管理,並在編碼和 CI/CD 流程實施後,透過正式的審查流程 (QA) 取得。

內部 IT 和 IT 安全治理與管理的措施: Taboola 已通過 ISO 27001:2013 和 27701 認證。Taboola 已制定資訊安全政策,規定 Taboola 董事會和管理層致力於保護整個組織內所有實體和電子資訊資產的機密性、完整性和可用性。Taboola 為所有新員工提供安全訓練、為全球所有員工提供網路釣魚訓練、為所有員工提供定期安全訓練,並針對研發團隊提供專門課程。

流程和產品的認證/保證措施: 每季/每半年/每年針對多個程序和系統進行內部稽核,以驗證 Taboola 是否符合所定義的安全目標和措施。

確保資料最小化的措施: Taboola 故意限制我們收集的資料,作為 Taboola 全球資料最小化原則的一部分,即只處理我們特定業務目的所需的有限資料。此外,Taboola 沒有能力,也沒有任何業務需要,為了提供我們的服務而 「逆向工程 」我們的演算法中使用的任何數據點。更明確地說,Taboola 收集的資料點絕非使用者身份的指標 – 因為 Taboola 不會收集或處理使用者的姓名、電話號碼、電子郵件或實際地址等資訊。相反地,Taboola 只會收集假名識別碼,這些識別碼只是識別使用者裝置的特徵。這包括 IP 位址 (在收集時會截斷,只能識別裝置的一般郵遞區號位置,但絕對不能識別精確的地理位置),以及在某些有限的情況下,散列的電子郵件位址 (本質上是不可逆轉的,無法解密以顯示原始的電子郵件位址)。此外,即使集體使用,我們所收集的資料也絕對無法產生個人的姓名、電話號碼、電子郵件或實際地址,我們的工程師不會以任何方式達成此目標。此外,Taboola 會進行並記錄隱私影響評估,以努力將我們的服務、流程和政策的隱私風險降至最低。

確保資料品質的措施: 資料是直接從使用者收集,使用者有機會透過 Taboola 主體存取請求入口網站:https://accessrequest.taboola.com/access,更正任何與其 CookieID 相關的資料。

確保有限資料保留的措施: 我們會保留用戶資訊(直接收集用於提供廣告服務)至多十三 (13) 個月,自用戶與我們的服務進行最後一次互動算起(通常保留時間較短),之後我們會透過移除唯一識別符或彙總資料來消除資料的識別性質。此過程會自動完成。

確保問責性的措施: Taboola 會進行多重安全稽核與滲透測試 (但並非針對所有系統)。Taboola 也使用通過 ISO 認證且符合其他雲端相關認證的雲端供應商,以維護伺服器的實體安全。

允許資料可攜性及確保刪除的措施: 與媒體處理相關的 Taboola 適用於所有類型的媒體,因為這些媒體可能包含 PII。任何媒體在重複使用或丟棄前都必須完全擦拭乾淨。任何媒體處置都會記錄在案。員工被指示不得列印任何可能包含個人資訊的紙張。

  1. 在一方向另一方進行受限制的收集資料移轉的情況下,標準契約條款應併入本「發行商隱私權條款」,並適用於以下情況:

a. 如果受限制轉讓是歐盟受限制轉讓,歐盟 SCC 將在雙方之間適用,詳情如下:

  1. (i) 單元一將適用;
  2. (ii) 在第 7 條中,選擇性停靠條款將適用;
  3. (iv) 在第 11 條中,選擇性語言將不適用;
  4. (v) 在第 17 條中,選項 1 將適用,歐盟 SCC 將受愛爾蘭法律管轄;
  5. (vi) 在第 18(b) 條中,爭議應在愛爾蘭法院解決;
  6. (vii) 附件 I 的 A、B 和 C 部分應視為已填寫本「發行商隱私權條款」附件 A 的 A、B 和 C 部分所列資訊;且
  7. (vii) 附件 II 應視為已完成本發行商隱私權條款附件 B 中規定的安全措施;

b. 如果受限制轉讓是英國受限制轉讓,則英國附錄將按以下方式在雙方之間適用:

(i) 如上文所述填寫的歐盟 SCC 應適用於雙方之間,並應經英國附錄(如下文第(ii)款所述填寫)修訂;且

(ii) 英國附錄的表 1 至表 3 應視為已填妥歐盟 SCC 的相關資訊,並按上述方式填寫,而表 4 中的「出口商」和「進口商」選項應視為已勾選。英國附錄 (如表 1 所列) 的開始日期應為本發行商隱私權條款的生效日期。

2.有限制的轉移:任何一方均不得對從另一方收到的收集資料進行限制性轉移,除非該方已採取所有必要的行動和事宜,以確保該限制性轉移符合適用的資料保護法以及該方與另一方協定的任何標準合約條款。