VMware 隱私權計畫

我們完善的隱私權計畫,可讓您確信您的個人資料能保有隱私,並以負責任的方式處理。

善盡服務供應商的個人資料保護責任

身為處理者,VMware 可協助您符合資料保護和隱私權需求。

合約協議

檢閱在持續保護您傳送至 VMware 服務的資料方面,VMware 會善盡哪些合約義務。

法院命令、政府單位存取和執法

瞭解 VMware 如何處理政府單位存取要求、傳票、法院命令,以及其他法律和法規需求。

資料傳輸機制

瞭解 VMware 會以哪些機制為依據,將個人資料自歐洲經濟區、瑞士和英國傳輸至第三方國家 / 地區。

輔助處理者

探索受 VMware 聘僱且代表其執行服務的第三方清單,並註冊登記,以便在清單更動時收到通知。

VMware 產品與服務

VMware 收集和處理的個人資料,會依您購買的服務而有所差異。歡迎詳細閱讀隱私權規格說明和 UEM 揭露事項,以探索 VMware 就其服務方案所處理的個人資訊。

善盡企業的個人資料保護責任

身為控制者,VMware 致力於遵守資料保護和隱私權需求。

隱私權聲明

VMware 隱私權聲明詳述了我們收集的個人資料、其使用方式、儲存期限,以及可加以存取的對象。

VMware 的隱私權文化

VMware 隱私權政策和訓練計畫,可確保其員工深知如何保護您的資料。員工也會在需要的時候,徵詢資料保護長的意見。

注重隱私權的設計和處理記錄

VMware 設有完善的隱私權計畫,包括隱私權審查、處理活動記錄,以及傳輸影響評估。

行銷偏好設定和資料主體權限

VMware 尊重您的隱私權,且提供攸關個人資訊的選項和控制權。

常見問題

「客戶內容」(或「您的內容」),是指由身為客戶的您或您的使用者上傳至您在雲端服務中所開設的帳戶,以進行處理、儲存或代管的任何內容。在支援服務情境中,「客戶內容」代表您向 VMware 提供,以做為支援服務一部分的任何內容。如需「客戶內容」的定義,請參閱《VMware 一般條款》。舉例來說,客戶內容會包含您或您的使用者儲存於 Workspace ONE 中的資料。重要的是,您的帳戶資訊,包含與您帳戶相關的名稱、使用者名稱、電話號碼和帳單資訊,以及 VMware 針對您使用我們雲端服務所收集的任何資訊,皆不包含在「客戶內容」的定義範疇之內。VMware 會依據我們的隱私權聲明處理此類資訊。

您一律保有客戶內容的擁有權。您可決定要使用哪些 VMware Cloud Services 處理、儲存和代管客戶內容,以及要將哪些資訊上傳至雲端服務,以做為客戶內容使用。此外,除非基於為您提供雲端服務的必要性,以及您與我們所簽署之《VMware 一般條款》所述且允許的用途,否則,VMware 將不會存取或使用客戶內容。最後,VMware 不會將客戶內容做為行銷或廣告之用。

VMware 提供企業解決方案,讓客戶能夠在多個系統和環境之間建置、管理、保護和執行應用程式。雖然 VMware 認為根據其提供給客戶之服務方案的性質,一般並未保證政府單位可直接存取客戶內容的要求,但 VMware 已採取下列步驟以遵循 Schrems II 裁決,並協助客戶針對其以控制者身分處理的資料,執行相關的合規作業:

加強關於政府單位存取要求的合約承諾
VMware 已更新其《VMware 一般條款》之「必要揭露」一節,以透過新增下列承諾來闡明 VMware 處理政府單位存取要求的方式:

若法律未禁止通知客戶,VMware 將會:

  • 通知客戶:向客戶通知揭露客戶內容的任何要求。
  • 將政府機構轉介給客戶:向相關政府機構告知 VMware 為代表客戶行事的服務供應商,且所有存取客戶內容之要求皆應以書面形式傳送至客戶告知我們的指定聯絡人,或傳送至客戶的法律部門。
  • 限制存取:僅在獲得客戶授權的情況下,提供對客戶內容的存取權。若客戶提出要求,我們將採取合理步驟以對任何要求提出異議,費用則由客戶承擔。

若法律禁止 VMware 通知客戶,VMware 將會:

  • 評估法律效力:VMware 將會評估揭露要求,以判斷其是否具有法律效力和約束力。
  • 質疑非法要求:若 VMware 合理相信命令不符合適用法律,則會對該命令提出質疑。
  • 限制揭露範圍:VMware 會將任何揭露範圍限制為僅含我們必須揭露的資訊,且會根據適用法律揭露該資訊。

關於處理政府單位存取要求和美國主管機關規定的透明化流程

VMware 已製備《VMware 處理政府單位存取客戶內容要求的原則》,以協助客戶進一步瞭解 VMware 處理政府單位存取要求的承諾和流程,且其中包含 VMware 之 BCR 所述的承諾。

此外,VMware 已製備《VMware 根據 Schrems II 應用 FISA 702 條款和第 12333 號行政命令的聲明》,以因應關於美國情報機關可存取從歐盟傳輸至美國之資料的疑慮,並協助客戶瞭解應用兩項美國主管規定的可能性:第 12333 號行政命令 (EO) 和《外國情報監控法》(FISA) 702 條款。有鑑於 VMware 所提供的服務性質,VMware 強烈相信其在提供服務方案時,受到 702 條款或 EO 12333 規範的可能性極低。

更新與輔助處理者之間的合約,以確保傳輸個人資料時具有法律依據

自歐盟 - 美國隱私權護盾無效之後,VMware 已針對先前以歐盟 - 美國隱私權護盾做為資料傳輸機制依據的所有輔助處理者,實施了標準契約條款。身為資料處理者,VMware 在提供適用的 VMware 服務方案時,是以企業自我約束守則做為在歐盟境外傳輸個人資料的依據,如同《VMware 資料處理附錄》所述。

技術和組織措施

VMware 確認其承諾實施並維護適當的技術和組織措施,如同《VMware 資料處理附錄》所述。VMware 的信任中心列出了 VMware 就其服務方案所維護的第三方認證和稽核。有鑑於 VMware 服務方案的性質,客戶也可控制其設定服務方案的方式,並可視需求實施任何必要的管理和技術控制措施,以保護因其使用適用服務方案而受到處理的資料。在許多情況下,VMware 會為客戶提供地端和託管解決方案,讓客戶可在管理其系統與基礎架構時從中進行選擇。

將 VMware 服務處理的資料類型透明化 - 規格說明
歐洲資料保護委員會 (EDPB) 在其關於「Schrems II」的常見問題中,說明了在判斷於歐盟境外傳輸個人資料之保護層級是否足夠時,必須將傳輸資料的類型視為考量因素之一,且控制者應進行逐案分析,以判斷此類傳輸作業所帶來的風險。為了協助客戶瞭解因其使用 VMware 服務方案而受到處理的資料類型,VMware 針對每個服務方案提供了服務說明,且也在 VMware 信任中心的隱私權部分提供了特定服務方案的規格說明。針對 Workspace One 服務方案,VMware 也提供 Workspace One 揭露事項。

VMware 會聘僱並採用第三方以代表 VMware 執行服務,藉此提供 VMware 服務方案或支援和訂閱服務。針對聘僱第三方,讓其以輔助處理者身分處理個人資料 (此等詞彙之定義如同《資料處理附錄》所定義) 之作業,VMware 已實施下列流程和程序:

  1. 合約承諾和國際資料傳輸:VMware 會與所有輔助處理者簽訂資料處理協議,該等協議要求輔助處理者需根據相關條款,維護個人資料的適當隱私權、安全和機密性,且前述條款本質上近似於 VMware 在《資料處理附錄》中對其客戶所做的合約承諾。VMware 皆以歐盟標準契約條款 (Standard Contractual Clauses) 為依據,除非已採用其他合法資料傳輸機制,且輔助處理者已做出適當的合約承諾。
  2. 隱私權審查流程和注重隱私權的設計:VMware 亦已建立集中化的端對端協力廠商管理流程,以供新供應商加入之用,其中包含使用集中化工具以起始、執行並追蹤第三方隱私權與安全性審查,以協助其執行合規作業。VMware 隱私團隊會對輔助處理者提供的服務進行詳盡的隱私權審查,包含判斷所處理的個人資料類別和處理目的。為降低輔助處理者存取和處理個人資料相關風險而採用的隱私權控制措施,以及確保符合法規而採用的隱私權控制措施,其實施情況亦包含在前述審查內。
  3. 安全性審查流程:VMware 制定了政策與流程,以針對輔助處理者執行安全性審查。VMware 資安團隊會對任何新的輔助處理者執行初步安全性審查,並根據所識別的安全風險層級持續進行監控。
  4. 輔助處理者清單和新輔助處理者的通知:VMware 針對個別服務方案所使用的輔助處理者,以及與支援和訂閱服務相關的輔助處理者,維護了一份清單。若客戶已訂閱接收特定服務的通知,在聘僱任何新的輔助處理者之前,VMware 將事先發出通知。

VMware 設有內部流程,負責追蹤、分析和評估適用於 VMware (無論為服務提供或業務營運層面) 的新法律、法規、自我約束指引和判例法。隱私權團隊會透過外部顧問、外部隱私權研究工具,以及法律事務所最新警示等管道,掌握新法律和法規的頒布時機。

若判斷特定隱私權法律 (例如中國、日本、加州、科羅拉多州、維吉尼亞州和猶他州的法律) 適用於 VMware,VMware 就會追蹤法律需求並實作專案計畫,以確保合規。在實作過程中,VMware 隱私權團隊會和內部的相關人員交流互動,並識別需要做出更新以符合新法律需求的程序和控制機制。VMware 隱私權團隊會以公司內的隱私權委員會生態系統 (由行銷、人力資源和銷售等職能領域所主導) 為依據,以透過即時且合乎效率的方式,協助實作全新或變更後的法律。

VMware 隱私權團隊也會運用自身的標準隱私權訓練和其他公司訓練,確保所有員工和承包商已接受適當的訓練,繼而掌握可能影響其業務職能的任何新法律需求。舉例來說,為了符合自身的《企業自我約束守則處理者政策》,VMware 透過其強制性的年度安全性和意識訓練,實作了多個必要訓練,並同時更新其《行為準則》,以反映新的需求。

對 VMware 而言,雲端方案安全性有著無比的重要性。如需更多有關 VMware 如何保護其雲端服務的詳細資訊,請參閱信任中心安全性頁面。VMware 設立了符合 ISO 27001 標準的資訊安全性管理方案,而且至少會每年進行一次審查,以確保落實適當的控管、實踐方式和程序。

使用 VMware Cloud Services 時,您需負責設定與實施必要的技術、組織和管理控制措施,讓您能遵守適用於您使用服務方案的法律,而這可能取決於您選擇使用服務處理的資料類型。與您的客戶內容安全性相關的責任,如適用協議所述,且包含:(a) 就您提供予使用者之存取權限進行管控、(b) 就雲端服務進行適當之設定、(c) 於客戶內容傳入或傳出雲端服務之際,需確保其安全性、(d) 使用您認為必要的加密技術保護客戶內容,及 (e) 就客戶內容進行備份。

身為服務供應商,我們如何保護個人資料

身為處理者,VMware 擬定了完善的隱私權計畫,可協助身為控制者的您於服務使用期間符合資料保護法律。

合約承諾

這些隱私權協議旨在補充 VMware 整合式合約中心所提供的《VMware 一般條款》。
資料處理附錄

資料處理附錄

VMware 合約承諾的用意,在於保護您個人資料的安全性、機密性和完整性。

GDPR 補充措施附錄

GDPR 補充措施附錄

這是《VMware 資料處理附錄》中不可或缺的一部分,該附錄符合為了回應 Schrems II 決定,而做出修正的歐盟標準契約條款。

商業夥伴協定

針對具有 HIPAA 適用實體身分的客戶,VMware 為特定服務下受保護的健康資訊所做出之承諾。

資料傳輸機制

VMware 可將您提交至服務的個人資料視為您的內容,並以處理者的身分,將其自歐洲經濟區、瑞士和英國傳輸至第三方國家 / 地區。

企業自我約束守則

身為處理者,VMware 會以企業自我約束守則 (BCR-P) 為依據,將個人資料自歐洲經濟區 (下稱「EEA」)、瑞士和英國 (下稱「UK」) 傳輸至第三方國家 / 地區。BCR 為符合歐盟《個人資料保護法規》(下稱「歐盟 GDPR」)、瑞士《聯邦資料保護法》(下稱「FADP」),以及英國資料保護法的資料傳輸機制。VMware BCR-P 會透過集團內部協議 (下稱「IGA」),對 VMware 集團公司成員產生法律約束力,如果與客戶簽訂的契約參照了 BCR-P,則適用於成員之間的所有個人資料傳輸作業。

歐洲經濟區和瑞士

VMware EEA BCR-P 已於 2018 年 5 月 23 日通過經歐洲資料保護機關 (European Data Protection Authorities) 核准,該機關係由愛爾蘭資料保護機關擔任領導機關。這些 BCR-P 已於 2021 年 5 月做出更新,以實作 GDPR 實施後的控管機制,接著又於 2022 年 10 月再次做出更新,以實作 Schrems II 實施後的規定。VMware 會向愛爾蘭 DPA 進行年度更新,包括視需要修改 BCR-P。年度更新會於每年 5 月進行。

針對瑞士境外的個人資料傳輸,VMware 同樣會以 EEA BCR-P 為依據。

VMware BCR-P

適用於處理者的 BCR 常見問題

英國

VMware 於英國提交的處理者企業自我約束守則申請 (下稱「英國 BCR-P」),目前為待審中,當英國 BCR-P 生效時,將會更新《VMware 資料處理附錄》。在此同時,VMware 已在其《資料處理附錄》中訂定合約,同意將 EEA BCR-P 所述的保護措施,延伸至 VMware 以處理者身分自英國傳輸至第三方國家 / 地區的個人資料上。

國際資料傳輸常見問題

輔助處理者

在聘僱代表 VMware 執行服務的第三方時,VMware 會依循既定的流程和程序,以保護您的個人資料。

適用於國際資料傳輸的標準契約條款

VMware 會與所有輔助處理者簽訂資料處理協議,要求對方根據相關條款,維護個人資料的隱私權、安全和機密性,且前述條款本質上近似於我們在《資料處理附錄》中的合約承諾。除非已採用其他合法資料傳輸機制,否則,VMware 會以 EEA 標準契約條款 (下稱「EEA SCC」)、英國國際資料傳輸協議或英國 EEA SCC 附錄為依據,以確保安全且合法地從 EEA、瑞士和英國傳輸資料,並保護任何後續傳輸作業。

輔助處理者清單和通知

VMware 針對個別 VMware 服務所使用的輔助處理者,維護了一份清單。

只要訂閱以接收通知,當您的服務採用新的輔助處理者時,即可收到通知。

法院命令、政府單位存取和執法要求

VMware 致力於在遵守適用法律的同時,保護其客戶的內容。

VMware 在其《VMware 一般條款》(必要揭露) 和《企業自我約束守則 (BCR) 處理者政策》(BCR-P) 中,針對自身處理要求揭露任何客戶內容之政府單位存取要求、傳票、代理訴訟,或是其他法律或法規需求的方式做出了承諾。

針對如同《VMware 一般條款》所述之政府單位存取要求和必要揭露,就 VMware 所知,沒有任何適用法律會影響其遵守相關承諾之能力。

在任何情況下,VMware 都不會以超出民主社會所需範圍的大量、不成比例或無差別之方式,揭露任何個人資料。

透明化報告

這份報告會每年發布,旨在提供 VMware 於全球各地收到的政府單位和執法要求數量。

美國政府機關 - FISA

VMware 對《外國情報監控法》(FISA) 702 條款和第 12333 號行政命令 (EO) 的聲明。

政府單位存取要求

VMware 會依循一組核心原則,以回應與您內容相關的存取要求。

VMware 產品與服務

VMware 提供多份規格說明,以協助您瞭解其服務所處理的個人資料,另外也備有許多額外資源,可概要說明其統一端點管理和資料使用計畫。

 結果

VMware Carbon Black Cloud 隱私權

瞭解這款雲原生安全解決方案會收集哪些個人資料,以及 VMware 如何處理並保護這些資料。

VMware Cloud on AWS 隱私權

瞭解誰負責處理 VMware Cloud on AWS 軟體定義的資料中心內的個人資料,以及 VMware 如何保護其網域中的任何資料。

VMware Cloud Disaster Recovery 隱私權

VMware 如何處理和保護與 VMware Cloud Disaster Recovery 服務方案相關的個人資料,歡迎探索。

VMware Cloud Web Security 隱私權

瞭解這款安全網路閘道會收集哪些類型的個人資料,以及 VMware 如何處理並保護這些資料。

CloudHealth by VMware 隱私權

探索 VMware 如何在備受信任的平台上處理並保護個人資料,以將多雲環境最佳化。

VMware Horizon 隱私權

探索 VMware 如何處理和保護與 VMware Horizon Service 相關的個人資料。

VMware SD-WAN 隱私權

瞭解這款網路層疊解決方案會收集哪些個人資料,以及 VMware 在資料保護作業上所扮演的角色。

VMware Secure Access

探索 VMware 如何處理和保護 Secure Access 代管方案中的個人資料。

VMware Tanzu Mission Control

探索 VMware 如何處理和保護與 VMware Tanzu Mission Control 方案相關的個人資料。

VMware Tanzu Service Mesh 隱私權

探索 VMware 如何處理和保護與 VMware Tanzu Service Mesh 相關的個人資料。

VMware Workspace ONE 隱私權

瞭解這款數位工作區平台會收集哪些個人資料,以及 VMware 如何處理並保護這些資料。

Workspace ONE 統一端點管理

VMware Workspace ONE 統一端點管理是一款解決方案,能提供可延展的方法,以處理自動化作業、終端使用者裝置和應用程式管理,以及企業層級的安全性。VMware 提供了 Workspace One 揭露事項,以協助客戶符合法律所規範的透明化義務。身為控制者,客戶可使用此揭露事項,以及客戶的 Workspace One 設定、使用和部署為依據,向旗下使用者提供隱私權聲明。如需深入瞭解,請造訪 Workspace ONE 統一端點管理 (UEM) 產品頁面。

改善我們的產品與服務

VMware 會收集客戶企業使用 VMware 產品與服務的相關資訊,以做為分析和客戶經驗改進計畫之用,而該計畫的用意,在於我們的改善產品方案,以及您的客戶經驗。

注重隱私權的設計和處理記錄

隱私權審查、傳輸影響評估和處理活動記錄,皆為 VMware 隱私權計畫中不可或缺的部分,不僅有助於降低風險,還可確保合規性。

隱私權審查

VMware 產品與服務

VMware 在旗下地端產品和代管服務的生命週期內,實作了注重隱私權的設計架構。

注重隱私權的設計架構包括:

  • 透過隱私權審查提交產品或服務的書面說明。
  • 執行隱私權審查的專屬法律顧問。
  • 資料處理影響評估 (若有需要)。
  • 依循適用的資料保護和隱私權法律,設計產品和服務的一般隱私權需求。

協力廠商

VMware 已建立集中化的端對端協力廠商管理流程,以供新供應商加入之用。

VMware 隱私權團隊會針對廠商提供的服務進行隱私權審查,包括:

  • 判斷所處理的個人資料類別,以及處理目的。
  • 實作隱私權控制機制,以減輕廠商存取和處理個人資料的相關風險,進而確保符合法規。

傳輸影響評估

針對從 EEA、英國和瑞士傳輸至第三方國家 / 地區,且未取得適足性狀態的個人資料,VMware 將進行傳輸影響評估 (TIA)。

其內部的 TIA 進行流程,會依循歐洲資料保護委員會 (EDPB) 的指引,以及英國資訊專員辦公室 (UK Information Commissioner) 的國際傳輸風險評估和工具

當中包括:

  • 進行國家 / 地區層級的分析。
  • 向 VMware 廠商收集額外的資訊,以評估政府單位存取。
  • 將 TIA 納入 VMware 產品與服務、第三方輔助處理者和企業部門的隱私權審查中。

如需詳細資訊,包括 VMware 如何處理政府存取要求,以及這類型要求的發生機率,請參閱 TIA 常見問題

處理活動記錄

處理活動記錄 (RoPA) 會概要列出 VMware 透過企業的身分保留哪些個人資料,及其所在位置。RoPA 會透過資訊稽核和資料比對建立,可全方位記錄 VMware 個人資料處理活動,並包含下列項目的相關資訊:

  • 資料類別
  • 資料主體
  • 處理目的和法律依據
  • 資料接收者
  • 保留時間表
  • 技術和組織措施的描述,以及防護機制的說明文件
  • 輔助處理者執行的處理活動

VMware RoPA 會定期審查和更新。VMware 會視需要向資料保護機關提供存取權限,以符合法規義務。

VMware 的隱私權文化

我們每天都會進行與資料隱私權息息相關的抉擇。VMware 的政策、訓練和資料保護長諮詢,可確保每個決策皆正確無誤。

隱私權政策和實踐方式

VMware 設有完善的政策和實踐方式,旨在確保個人資料受到適當的保護,並協助識別、防範和解決旗下產品與服務中的安全性弱點。

這些政策和實踐方式會持續進行審核與更新。

隱私權訓練計畫

VMware 員工需定期完成強制性的隱私權訓練 (包含一般和特定職務兩個部分)。此外,所有員工也需簽署保密協議。

資料保護長

VMware 隱私權團隊會視需要邀請資料保護長一同解決個人資料保護、法規義務和合規性,以及資料保護影響評估等議題,並委託對方擔任監管機構的聯絡人。

掌握您的資料隱私權

VMware 不僅重視您的個人資料保護選擇,也尊重您的隱私權。
行銷通訊偏好設定

歡迎更新您的廣告和促銷活動通訊內容,包括活動邀請、電子報,以及學習計畫方案。

隱私權聯絡表單

敬請聯絡 VMware,以取得個人資料的相關解答,或行使您的隱私權。

Cookie 管理

VMware Cookie 聲明旨在概述我們如何使用 Cookie 和類似的技術。只要按一下任一 VMware 網頁右下角的「Cookie 設定」按鈕,即可管理您的偏好設定。