隱私 VMware 致力於保護您的資料隱私權

「客戶內容」(或「您的內容」) 是指身為客戶的您或您的使用者上傳至雲端服務，以供處理、儲存或代管的任何帳戶相關內容。就支援服務而言，「客戶內容」是指您基於支援服務的一環，而提供給 VMware 的任何內容。如需「客戶內容」的定義，請參閱《VMware 通用條款》。舉例來說，客戶內容會包含您或您的使用者儲存於 Workspace ONE 中的資料。重要的是，您的帳戶資訊，包含與您帳戶相關的名稱、使用者名稱、電話號碼和帳單資訊，以及 VMware 針對您使用 VMware 雲端服務所收集的任何資訊，皆不包含在「客戶內容」的定義範疇之內。VMware 會依據《隱私權政策聲明》處理這類資訊。

您一律保有客戶內容的擁有權。您可以決定要使用哪些 VMware Cloud Services 來處理、儲存和代管客戶內容，以及要將哪些資訊上傳至雲端服務，以做為客戶內容使用。此外，除非基於為您提供雲端服務的必要性，以及您與 VMware 所簽署之《VMware 通用條款》所述且允許的用途，否則，VMware 將不會存取或使用您的客戶內容。最後，VMware 不會將客戶內容做為行銷或廣告之用。

VMware 提供企業解決方案，讓客戶能夠在多個系統和環境之間建置、管理、保護和執行應用程式。雖然 VMware 認為，根據自身向客戶所提供服務方案的性質，一般並未保證政府單位可直接存取客戶內容的要求，但 VMware 已採取下列步驟以遵循 Schrems II 裁決，並協助客戶針對 VMware 以控制者身分處理的資料，執行相關的合規作業：

加強關於政府單位存取要求的合約承諾
VMware 已更新自身的《VMware 通用條款》之「必要揭露」一節，以透過新增下列承諾來闡明 VMware 處理政府單位存取要求的方式：

若法律未禁止通知客戶，VMware 將會：

• 通知客戶：向客戶通知揭露客戶內容的任何要求。

• 將政府機構轉介給客戶：向相關政府機構告知 VMware 為代表客戶行事的服務供應商，且所有存取客戶內容之要求，皆應以書面形式傳送至客戶告知我們的指定聯絡人，或傳送至客戶的法律部門。

• 限制存取：僅在獲得客戶授權的情況下，提供對客戶內容的存取權。若客戶提出要求，我們將採取合理步驟以對任何要求提出異議，費用則由客戶承擔。

若法律禁止 VMware 通知客戶，VMware 將會：

• 評估法律效力：VMware 將會評估揭露要求，以判斷其是否具有法律效力和約束力。

• 質疑非法要求：若 VMware 合理相信命令不符合適用法律，則會對該命令提出質疑。

• 限制揭露範圍：VMware 會將任何揭露範圍限制在僅含我們必須揭露的資訊，且會根據適用法律揭露這類資訊。

關於處理政府單位存取要求和美國主管機關規定的透明化流程

為協助客戶進一步瞭解 VMware 處理政府單位存取要求的承諾和流程 (包含 VMware 之 BCR 所述承諾)，VMware 已製備《VMware 處理政府單位存取客戶內容要求的原則》。

此外，VMware 已製備《VMware 根據 Schrems II 應用 FISA 702 條款和第 12333 號行政命令的聲明》，以因應關於美國情報機關可存取從歐盟傳輸至美國之資料的疑慮，並協助客戶瞭解應用兩項美國主管規定的可能性：第 12333 號行政命令 (EO) 和《外國情報監控法》(FISA) 702 條款。有鑑於 VMware 所提供的服務性質，VMware 深信自身在提供服務方案時，受到 702 條款或 EO 12333 規範的可能性極低。

更新與輔助處理者之間的合約，以確保傳輸個人資料時具有法律依據

自歐盟 - 美國隱私權護盾無效之後，針對先前以歐盟 - 美國隱私權護盾做為資料傳輸機制依據的輔助處理者，VMware 已實施標準契約條款。身為資料處理者，VMware 在提供適用的 VMware 服務方案時，是以企業自我約束守則做為在歐盟境外傳輸個人資料的依據，如《VMware 資料處理附錄》中所述。

技術和組織措施

VMware 確認自身承諾實施並維護適當的技術和組織措施，如《VMware 資料處理附錄》中所述。VMware 的信任中心列出了 VMware 就自家服務方案所維護的第三方認證和稽核。有鑑於 VMware 服務方案的性質，客戶也能控制自己設定服務方案的方式，並可視需求實施任何必要的管理和技術控制措施，以保護因自身使用適用服務方案而受到處理的資料。在許多情況下，VMware 會為客戶提供地端和託管解決方案，讓客戶可在管理其系統與基礎架構時，從中進行選擇。

傳輸影響評估
VMware 已實施傳輸影響評估流程，詳情請參見《傳輸影響評估常見問題》。此外，VMware 已更新經監管機關核准的《處理者企業自我約束守則》(BCR-P)，以納入進行傳輸影響評估的承諾。請參閱 VMware 於 BCR-P 中列出的 VMware 傳輸影響評估程序。

將 VMware 服務處理的資料類型透明化 - 規格說明
歐洲資料保護委員會 (EDPB) 在其關於「Schrems II」的常見問題中，說明了在判斷於歐盟境外傳輸個人資料之保護層級是否足夠時，必須將傳輸資料的類型視為考量因素之一，且控制者應進行逐案分析，以判斷這類傳輸作業所帶來的風險。為協助客戶瞭解因其使用 VMware 服務方案而受到處理的資料類型，VMware 針對每個服務方案提供了服務說明，且也在 VMware 信任中心的隱私權部分提供了特定服務方案的規格說明。針對 Workspace One 服務方案，VMware 也提供 Workspace One 揭露事項。

VMware 會聘雇並採用第三方以代表 VMware 執行服務，藉此提供 VMware 服務方案或支援和訂閱服務。針對聘雇第三方，讓其以輔助處理者身分處理個人資料 (此等詞彙之定義如同《資料處理附錄》所定義) 之作業，VMware 已實施下列流程和程序：

1. 合約承諾和國際資料傳輸：VMware 會與所有輔助處理者簽訂資料處理協議，該等協議要求輔助處理者需根據相關條款，維護個人資料的適當隱私權、安全和機密性，且前述條款本質上近似於 VMware 在《資料處理附錄》中，對自家客戶所做的合約承諾。VMware 皆以歐盟標準契約條款 (Standard Contractual Clauses) 為依據，除非已採用其他合法資料傳輸機制，且輔助處理者已做出適當的合約承諾。
   
   
2. 隱私權審查流程和注重隱私權的設計：VMware 已建立集中化的端對端協力廠商管理流程，以供新供應商加入之用，其中包含使用集中化工具以起始、執行並追蹤第三方隱私權與安全性審查，以協助其執行合規作業。VMware 隱私團隊會對輔助處理者提供的服務，進行詳盡的隱私權審查，包含判斷所處理的個人資料類別和處理目的。為降低關於輔助處理者存取和處理個人資料的風險而採用的隱私權控制措施，以及確保符合法規而採用的隱私權控制措施，其實施情況亦包含在前述審查內。
   
   
3. 安全性審查流程：VMware 制定了政策與流程，以針對輔助處理者執行安全性審查。VMware 資安團隊會對任何新的輔助處理者執行初步安全性審查，並根據所識別的安全風險層級持續進行監控。
   
   
4. 輔助處理者清單和新輔助處理者的通知：VMware 針對個別服務方案所使用的輔助處理者，以及與支援和訂閱服務相關的輔助處理者，維護了一份清單。若客戶已訂閱接收特定服務的通知，VMware 會在聘雇任何新的輔助處理者時，事先通知客戶。

VMware 設有一項內部流程，旨在追蹤、分析和因應適用於 VMware 服務提供或業務營運的新法律、法規、具法律約束力的指引，以及判例法。隱私權團隊會仰賴外部諮詢、內部隱私權研究工具，以及法律公司快訊警示，以掌握新法律和法規的頒布時間點。

一旦判斷特定隱私權法律適用於 VMware (例如中國、日本、加州、科羅拉多州、維吉尼亞州和猶他州的法律)，VMware 將追蹤法律需求，並實作專案計畫來確保合規。在實作期間，VMware 隱私權團隊會與內部相關人員合作，並識別哪些流程和控制措施需要做出更新，以符合新的法律需求。VMware 隱私權團隊會借助公司內部的隱私權委員會生態系統 (由行銷、人力資源和銷售等職能領域負責推動)，透過及時且合乎效率的方式，實作全新或變更後的法律。

此外，VMware 隱私權團隊也會運用自身的標準隱私權訓練和其他公司提供的訓練，以確保所有員工和承包商都已針對可能影響其業務領域的任何新法律需求，接受適當的訓練。舉例來說，為符合 VMware《處理者企業自我約束守則》之規定，VMware 已透過強制參加的年度安全性和意識訓練實作多項必要訓練，並更新了自身的《企業行為準則》，以反映新的需求。

對 VMware 而言，雲端服務安全性有著無比的重要性。如需瞭解 VMware 如何保護自家雲端服務，請參閱信任中心安全性頁面。VMware 設立了符合 ISO 27001 標準的資訊安全性管理方案，至少會每年進行一次審查，以確保落實適當的控管、實踐方式和程序。

使用 VMware Cloud Services 時，您需負責設定與實施必要的技術、組織和管理控制措施，讓您能遵守自身適用之使用雲端服務的法律，而這可能取決於您選擇使用服務處理的資料類型。與您的客戶內容安全性相關的責任，如適用協議所述，且包含：(a) 就您提供予使用者之存取權限進行管控、(b) 就雲端服務作出適當之設定、(c) 於客戶內容傳入或傳出雲端服務之際，需確保其安全性、(d) 使用您認為必要的加密技術保護客戶內容，及 (e) 就客戶內容進行備份。