隐私 VMware 承诺保护您的数据隐私

“客户内容”（或“您的内容”）是指与您的帐户相关并且您（作为客户）或您的用户上传到云服务中以便处理、存储或托管的任何内容。在支持服务场景中，“客户内容”是指您提供给 VMware 且作为支持服务一部分的任何内容。“客户内容”的定义可在 VMware 一般条款中找到。例如，客户内容包括您或您的用户存储在 Workspace ONE 中的数据。重要的是，您的帐户信息（包括姓名、用户名、电话号码以及与您的帐户相关的计费信息）不包含在“客户内容”的定义中，也不包含在 VMware 收集的与您对云服务的使用相关的任何信息中。确切而言，VMware 将根据我们的隐私声明处理这些信息。

您对“客户内容”始终拥有所有权。您将决定使用哪些 VMware Cloud Services 来处理、存储和托管客户内容，以及将哪些信息作为客户内容上传到云服务。此外，VMware 不会出于任何目的访问或使用客户内容，除非为了向您提供云服务，或者在我们与您签订的 VMware 一般条款中有规定并且获得允许。最后，VMware 不会使用客户内容进行市场推广或广告宣传。

VMware 提供企业解决方案，使其客户能够跨多个系统和环境构建、管理、保护和运行应用。尽管 VMware 认为，鉴于自己提供给客户的服务产品的性质，政府直接访问客户内容的请求一般无法得到支持，但 VMware 还是执行了以下步骤，来应照 Schrems II 案判决并协助客户开展与其数据控制方身份相关的合规性工作：

加强有关政府访问请求的合同承诺
VMware 更新了 VMware 一般条款的“必需披露”部分，通过添加以下承诺来阐明 VMware 如何处理政府访问请求：

如果法律未禁止向客户发出通知，VMware 将：

• - 通知客户：通知客户有关披露客户内容的任何要求。

• - 告知政府机构直接联系客户：告知相关政府机构，VMware 是代表客户行事的服务提供商，如政府机构需要访问客户内容，应直接以书面形式向客户提供给我们的联系人或客户的法务部门发出请求。

• 限制访问：仅在客户授权的情况下提供对客户内容的访问权限。如果客户提出请求，我们将采取合理的步骤来反对任何披露要求，费用由客户承担。

如果法律禁止 VMware 通知客户，VMware 将：

• 评估法律效力：VMware 将评估披露要求，以判断其是否具有法律效力和约束力。

• 质疑非法请求：如果 VMware 有理由认为指令不符合适用法律，则会质疑该指令。

• 限制披露范围：VMware 会限制任何披露的范围，只披露要求披露的信息，并将根据适用法律披露这些信息。

关于处理政府访问请求和美国权威规定的流程的透明度

为帮助客户进一步了解 VMware 处理政府访问请求的承诺和流程，包括 VMware BCR 中规定的承诺，VMware 制定了 VMware 关于处理政府访问客户内容请求的原则。

此外，VMware 还制定了 VMware 鉴于 Schrems II 而应用 FISA 第 702 条和行政命令第 12333 条的声明，来消除客户对美国情报机构有权访问从欧盟传输到美国的数据的担忧，并帮助客户了解可能应用的两种美国权威规定：行政命令 (EO) 第 12333 条和《外国情报监视法》(FISA) 第 702 条。VMware 坚信，鉴于自己提供的服务的性质，自己在提供服务产品方面受 FISA 第 702 条或行政命令第 12333 条约束的可能性很小。

更新了与转包商签订的合同，以确保传输个人数据的法律依据

自《欧盟-美国隐私盾》失效以来，VMware 已对其之前依赖《欧盟-美国隐私盾》作为数据传输机制的所有转包商实施了标准合同条款。按照 VMware 数据处理补充条款中的规定，作为数据处理方的 VMware 遵循企业约束规则将个人数据传输到欧盟以外，以便提供适用的 VMware 服务产品。

技术和组织措施

VMware 承诺按照 VMware 数据处理补充条款中的规定实施和维护适当的技术和组织措施。VMware 信任中心概述了 VMware 维护的和其服务产品相关的第三方认证和审核。鉴于 VMware 服务产品的性质，客户还可以控制他们配置服务产品的方式，并且可以根据需要实施任何必要的管理和技术控制措施，以保护所处理的和他们使用适用服务产品相关的数据。在许多情况下，VMware 都提供本地部署和托管解决方案，以供客户在管理其系统和基础架构时选用。

传输影响评估
VMware 实施了执行传输影响评估的流程，详见 TIA 常见问题解答。此外，经监管机构批准，VMware 更新了其《处理方企业约束规则》(BCR-Ps)，以包括对执行传输影响评估的承诺。请参阅 VMware 在其 BCR-Ps 中规定的“传输影响评估程序”。

有关 VMware 服务处理的数据类型的透明度 – 产品介绍
欧洲数据保护委员会 (EDPB) 在其关于“Schrems II”的常见问题解答中这样概述：当判断是否为在欧盟外部传输的个人数据提供充分的保护水平时，有必要将传输的数据类型作为一个考虑因素，并且控制方应逐个案例地进行分析，以确定此类传输带来的风险。 为帮助客户了解所处理的与其使用 VMware 服务产品相关的数据的类型，VMware 提供了每种服务产品的服务说明，并在 VMware 信任中心的“隐私”部分提供了某些服务产品的产品介绍。对于 Workspace ONE 服务产品，VMware 还提供了 Workspace ONE 披露。

VMware 招募第三方来代表自己执行相关服务，以便提供 VMware 服务产品或支持和订阅服务。在招募第三方作为转包商来处理个人数据（这些术语的定义见于数据处理补充条款）方面，VMware 实施了以下流程和步骤：

1. 合同承诺和国际数据传输：VMware 和所有转包商签订了数据处理协议，要求转包商按照与 VMware 在“数据处理补充条款”中向自己的客户做出的合同承诺基本相似的条款，维护个人数据的适当隐私、安全性和机密性。除非存在其他合法的数据传输机制并且转包商做出适当的合同承诺，否则 VMware 会依赖欧盟标准合同条款。
   
   
2. 隐私审查流程和隐私设计：VMware 创建了一个集中的端到端第三方供应商管理流程来纳管新供应商，其中包括使用集中式工具启动、执行和跟踪第三方隐私和安全审查，以便协助执行合规性工作。VMware 隐私团队对转包商提供的服务执行详细的隐私审查，其中包括确定所处理的个人数据的类别和处理目的。审查包括实施隐私控制，以便降低与转包商访问和处理个人数据相关的风险，并确保合规性。
   
   
3. 安全审查流程：VMware 负责维护对转包商进行安全审查的政策和流程。VMware 安全团队会对所有新的转包商进行初步安全审查，并根据确定的安全风险级别进行持续监控。
   
   
4. 转包商名单和新转包商通知：VMware 维护一个供各个服务产品使用并且与支持和订阅服务相关的转包商名单。对于已选择订阅接收特定服务通知的客户，当 VMware 招募了任何新的转包商时，会提前通知客户。

VMware 制定了一个内部流程，用来跟踪、分析和评估可能对 VMware 提供服务或运营业务适用的新法律、法规、约束性指南和判例法。隐私团队依靠外部法律顾问、外部隐私研究工具和律师事务所新闻快讯来了解新法律法规的颁布时间。

一旦确定某个特定隐私法适用于 VMware，例如当中国、日本、加利福尼亚、科罗拉多、弗吉尼亚和犹他州出台了新的相关法律时，VMware 就会跟踪法律要求并实施项目计划来确保合规性。作为实施流程的一部分，VMware 隐私团队会与内部相关人员互动，确定需要更新的流程和控制措施，以符合新的法律要求。VMware 隐私团队依靠公司内部的隐私委员会生态系统（由市场推广、人力资源、销售等职能部门推动），及时有效地协助实施新的或变更后的法律。

VMware 隐私团队还利用其标准隐私培训和其他培训，来确保所有员工和合同工都接受了有关可能影响其业务职能的任何新法律要求的适当培训。例如，为遵守处理方企业约束规则，VMware 通过其年度强制性安全和意识培训实施了必要的培训，并更新了其业务行为准则以反映新要求。

云服务的安全性对于 VMware 来说是重中之重。有关 VMware 如何保护其云服务的更多信息，请参阅信任中心的“安全性”页面。VMware 运行着一项符合 ISO 27001 标准的信息安全管理计划，该计划至少每年接受一次审核，以确保实施适当的控制、惯例和规程。

在您使用 VMware Cloud Services 时，您有责任配置和实施必要的技术、组织和管理控制措施，以便能够遵守对于您使用云服务的情况适用的任何法律，具体可能取决于您选择使用服务处理的数据类型。适用协议中规定了您在客户内容安全性方面的责任，具体包括 (a) 控制向您的用户提供的访问权限；(b) 适当地配置云服务；(c) 确保客户内容在传入和传出云服务时的安全性；(d) 在您认为必要时使用加密技术来保护客户内容；以及 (e) 备份客户内容。