Dropbox Business 協議

公布日期：2016 年 6 月 2 日

本 Dropbox Business 協議 (以下簡稱「協議」)，是 Dropbox 愛爾蘭分部與美國、加拿大、墨西哥 (以下簡稱為「北美」) 以外地區組織 (以下簡稱「客戶」) 之間的協議；對北美地區的組織而言，則是德拉瓦州企業 Dropbox, Inc. (以下簡稱為「Dropbox」) 與客戶之間的協議。存取和使用 Dropbox Business 服務及任何用戶端軟體和服務 (統稱為「Dropbox Business」)，以及提供給您使用的所有 Beta 版產品 (與 Dropbox Business 一起，統稱為「服務」) 皆需遵守本協議規定。點選「我同意」即表示您以客戶的身分同意簽署服務合約或使用此服務。

若 Dropbox, Inc 代表客戶處理的資料，受實行歐盟資料保護指令 (95/46/EC) (以下簡稱「歐盟資料保護法」) 之國內法規規範，則點擊「我同意」表示您也同意針對時程表 1 中個人資料移轉至處理者之 Dropbox, Inc 歐盟標準契約條款。

如果為機構組織之用而同意本協議及時程表 1 (如適用)，即表示您代表該機構組織同意本協議。您必須有代表該機構組織簽署這些條款之授權，否則無法註冊使用服務。

1. 服務。
   1. 服務條款。企業方案帳戶的客戶及使用者 (以下簡稱為「終端使用者」) 得依據本協議之規定存取並使用此服務。
   2. 設施和資料處理。Dropbox 將採用產業標準技術與組織安全以上層級的保密措施，來轉移、儲存及處理客戶資料。這些措施旨在保護顧客資料的完整，防止顧客資料遭未經授權或非法的存取、使用及處理。客戶同意 Dropbox 得於美國及客戶所在地以外的國家轉移、儲存與處理客戶資料。在顧客資料符合歐盟資料保護法，且是由 Dropbox 作為資料處理者或代顧客處理 (以資料控制者的身分) 的前提下，Dropbox 將依顧客指示處理前述顧客資料，以提供服務並達成 Dropbox 在協議規定下之義務。「客戶資料」指儲存資料與帳戶資料。「儲存資料」指由客戶或終端使用者提交至本服務的檔案與結構性資料。「帳戶資料」指由客戶或終端使用者提交至本服務的帳戶與聯絡人資料。
   3. 服務內容的修改。Dropbox 可能不定期更新服務。如果 Dropbox 變更服務的內容，而此變更導致服務的功能減少，Dropbox 就會寄送通知至客戶帳戶的電子郵件地址以通知客戶。
   4. 軟體。部分服務允許客戶下載可能會自動更新的 Dropbox 軟體。客戶僅得使用該軟體存取本服務。如任一軟體元件是透過開放原始碼授權提供，Dropbox 將開放授權使客戶得以公開取得，該授權中可能會有些規定的效力明確優先於本條款之部分條款。
   5. Beta 版產品。Dropbox 可能會提供使用者尚處測試和評估階段的功能或產品。這些產品稱為 Beta、預覽、搶先體驗、或受評版 (或是其他具有類似意義的稱呼)，使用者可以免費使用這些版本 (統稱為「Beta 版產品」)。儘管有任何與此協議或時程表 1 相牴觸的事宜，下列條款仍適用於所有 Beta 版產品：(a) 您可以使用或拒絕使用任何 Beta 版產品；(b) Dropbox 可能在未通知您的狀況下停止支援或更改 Beta 版產品；(c) Beta 版產品可能不及 Dropbox Business 一般穩定及可用；(d) Beta 版產品尚未經過 Dropbox Business 已通過的安全性檢測和稽核；(e) Dropbox 不承擔任何因 Beta 版產品而衍生的相關責任。請自行承擔使用風險。
2. 客戶的義務。
   1. 遵行 。客戶為終端使用者的使用方式負責。客戶與終端使用者使用本企業方案時，須遵守「使用規章」政策。客戶需自終端使用者取得必要同意，管理者才得以進行本協議中提及之活動，並讓 Dropbox 得以提供服務。如本服務有適用法條，客戶使用本服務時皆須遵守。
   2. 服務的客戶管理。客戶得透過管理員主控台指定終端使用者為「管理員」。管理員得以存取、揭露或移除服務帳戶中的客戶資料。管理員得以監督、限制或終止使用者的服務帳戶。Dropbox 的責任並不包含為客戶提供之服務的內部管理。客戶需負責：(i) 保護密碼和管理員帳戶的機密安全；(ii) 管理管理員帳戶的存取權限；且 (iii) 確保管理員的服務使用符合本協議的規定。客戶瞭解，如果客戶透過經銷商購買服務，並將客戶的帳戶管理員職位發派給該經銷商的任何人員，則該經銷商可以控制帳戶資訊 (包括客戶資料)，並以上述方式存取客戶的服務帳戶。
   3. 未經授權的使用與存取。客戶需避免其終端使用者未經授權使用服務，並需停止任何未經授權使用服務之人士的使用或存取權限。如果終端使用者未滿 13 歲，請勿使用本服務。客戶需確保任何未滿 13 歲的人士不得使用服務。如有他人未經授權使用或存取您的帳戶，客戶應立即通知 Dropbox。
   4. 使用限制。客戶不得 (i) 販售、轉售或出租服務，或 (ii) 以使用服務或服務失敗可能導致實質罰款、死亡或人員受傷的方式使用服務; 或 (iii) 對服務進行還原工程、企圖或協助他人進行還原工程，除非法律禁止此等限制。
   5. 第三方要求。
      1. 「第三方要求」意指第三方提出與終端使用者使用服務相關的紀錄要求，包括位於或來自終端使用者或客戶 Dropbox 帳戶的資訊。第三方要求可能包括具有法律效力的搜索令、法院命令或傳票，或任何有終端使用者書面同意揭露資訊的要求。
      2. 客戶需負責使用其權限存取資訊來回應第三方要求。客戶需取得所需資訊以回應第三方要求，並且只有在盡力後仍無法取得此類資訊時，才能與 Dropbox 聯絡。
      3. Dropbox 會以商業上合理的方式、在法律允許的最大範圍之內，並根據第三方要求的條款：(A) 於 Dropbox 收到第三方要求時及時通知客戶；(B) 遵守客戶在商業上合理的要求，以適當的方式拒絕第三方要求；並且 (C) 為客戶提供客戶為回應第三方要求所需的資訊或工具 (如果客戶無法取得此類資訊)。如果客戶無法及時回應任何第三方要求，那麼 Dropbox 可能回應該第三方要求，但無義務執行此要求。
3. 第三方服務。如果客戶搭配服務使用任何第三方服務 (例如：使用 Dropbox API 的服務)，(a) 該服務可存取或使用客戶的資訊；(b) Dropbox 不會為任何第三方的行為或疏失承擔任何責任。
4. 扣銷。
   1. 由 Dropbox 扣銷終端使用者帳戶。如果終端使用者 (i) 違反本協議；或 (ii) 以 Dropbox 有充分理由相信可能需承擔相關責任之方式使用服務，那麼 Dropbox 可要求客戶扣銷或終止適用的終端使用者帳戶。如果客戶無法及時扣銷或終止終端使用者的帳戶，那麼 Dropbox 可能執行此操作。
   2. 緊急安全情況。如果發生緊急安全情況，儘管本協議中有任何規定內容，Dropbox 仍得以自動暫停服務的使用。Dropbox 會以商業上合理的方式，盡可能縮小因避免或控制緊急安全情況而暫停的範圍。「緊急安全情況」指 (i) 使用服務的方式已經或可能干擾服務本身、其他客戶使用服務、或者用來提供服務的基礎設施；與 (ii) 未經授權之第三方存取服務。
5. 智慧財產權。
   1. 權利之保留。除本處明確規定之範圍外，本協議並不 (i) 授與 Dropbox 任何客戶資料的智慧財產權；或 (ii) 授與客戶任何 Dropbox 企業方案或 Dropbox 商標與品牌特色之智慧財產權。「智慧財產權」指專利、著作權、商業機密、商標、著作人格權與其他相似權利下於目前與未來在全球享有的權利。
   2. 有限權限。客戶授與 Dropbox 必要且合理之有限權利，使 Dropbox 得以提供服務 (例：託管儲存資料)。此使用權限亦可擴展至我們的分支機構，以及與 Dropbox 合作以提供服務的受信任第三方，例如提供交易處理的交易處理商。
   3. 建議。Dropbox 得全權決定，且得以任何目的使用、修改，或在我們的產品和服務、授權及轉授權中加入任何於 Dropbox 討論區中張貼的任何意見、註解或建議，而無需為客戶承擔任何責任。
   4. 客戶清單。Dropbox 可能會在 Dropbox 網站或宣傳內容的 Dropbox 客戶清單中加入客戶的名稱。
6. 費用與款項。
   1. 費用。客戶需支付款項費用，並授權 Dropbox 或客戶經銷商透過客戶選擇的付款方式，收取所有應付費用。除法律規定的內容以外，所有費用恕不退款。客戶需負責提供 Dropbox 或客戶經銷商完整、正確的帳單及聯絡資訊。如果費用超過期限未付，Dropbox 可暫停或終止服務的使用。
   2. 自動續訂與試用。如果客戶的帳戶設定為自動續訂，或者正處於試用期，Dropbox (或客戶經銷商) 可於試用期結束後或為續訂服務而自動收款，除非客戶通知 Dropbox (或客戶經銷商，視情況而定)，表示要取消或停用自動續訂的功能。Dropbox 可能會修改服務費用，並在下一次收費前最少 30 天通知客戶。
   3. 稅款。客戶需負責支付所有稅款。Dropbox 或客戶經銷商會於必要時收取稅款。如果法律規定客戶需預扣任何稅款，客戶必須提供 Dropbox 或客戶經銷商正式的報核聯或其他適當文件。
   4. 訂單。如果客戶需使用訂單或訂單編號，客戶 (i) 必須在購買時提供購買訂單編號，並且 (ii) 同意客戶購買訂單中的任何條款與條件不適用於本協議時，當作廢無效。若客戶是透過經銷商購買，由客戶經銷商所提出，或客戶與其經銷商的訂購內容中，所有與 Dropbox Business 協議之內容相衝突的條款與條件，皆屬無效。
7. 條款和終止。
   1. 條款。除非客戶的服務訂閱已過期或終止，或者本協議已經終止，否則此協議仍為有效。
   2. 違約終止。如果有以下情況，則 Dropbox 或客戶皆得以終止本協議：(i) 其中一方嚴重違反協議規定，且未能在收到書面通知後 30 日內做出修正，或 (ii) 其中一方終止其業務活動或宣告破產，並未能於 90 天內駁回訴訟。
   3. 終止效力。如果本協議終止：(i) 由 Dropbox 授予客戶的權利將立即隨之終止 (除於本節所述以外)；(ii) Dropbox 可能提供客戶以支付目前費用的方式存取其帳戶，讓客戶可匯出其所儲存的資訊；並且 (iii) Dropbox 可能在商業上合理的期限內刪除任何與客戶帳戶相關的資料。本協議過期或終止後，以下章節仍維持有效：2(e) (第三方要求)、5 (智慧財產權)、6 (費用與款項)、7(c) (終止效力)、8 (擔保賠償)、9 (免責聲明)、10 (責任限制)、11 (爭議) 與 12 (其他)。
8. 擔保賠償。
   1. 客戶方。客戶必須負責賠償、維護和保護 Dropbox，使 Dropbox 無需承擔任何因第三方就以下事項的索賠而衍生之債務、罰款或費用 (包括和解費及合理的律師訴訟費)：(i) 客戶資料；(ii) 客戶違反本合約或使用規章規定之服務的使用；或 (iii) 客戶的終端使用者違反本協議之服務使用。
   2. Dropbox 方。Dropbox 必須負責賠償、維護和保護客戶，使客戶無需承擔任何因第三方指控 Dropbox 用於提供客戶服務所使用之技術有所侵犯，或侵占任何版權、交易機密、美國專利，或第三方的商標權利而衍生之債務、罰款或費用 (包括和解費及合理的律師訴訟費)。不論在何者情況之下，根據本節規定，Dropbox 都不需要，也沒有義務承擔任何因 (i) 以修改過的格式，或結合 Dropbox 尚未完成之內容使用任何服務，以及 (ii) 任何由客戶、終端使用者或第三方提供的內容、資訊或資料而衍生的相關責任。
   3. 可能的侵權行為。如果 Dropbox 任何服務侵權，或可能有侵犯第三方智慧財產權之嫌疑，那麼 Dropbox 得：(i) 由 Dropbox 提供免費保留客戶繼續使用服務之權利；(ii) 提供相同的非侵權功能來取代；或 (iii) 修改服務內容，讓服務不再侵權。如果 Dropbox 不認為此節所述之選擇為商業上合理的選擇，那麼 Dropbox 可扣銷或終止客戶於受影響之服務的使用權限 (並按比例退還為使用服務而預先支付的費用)。
   4. 一般規定。如有任何一方要求賠償，需即時通知另一方，並配合該方要求，允許其做出相關辯護。補償方對於辯護有完整的控制和權限，除了 (i) 任何尋求補償之一方事先於書面同意 (不得以無理的方式扣留或延遲賠償) 前承認債則的和解，且 (ii) 另一方當事人可選擇自行雇用律師進行申辯。上述賠償為 DROPBOX 與客戶根據本協議，針對另一方侵犯第三方智慧財產權可得的唯一補救辦法。
9. 免責聲明。本服務乃以「原樣」提供。在法律允許的最大範圍內，除本協議明確聲明之規定，否則客戶或 Dropbox 及其子公司、供應商與經銷商皆不得提供任何形式保證，不論以明示、暗示、法定或其他方式，包括適銷性、對特定目的的適用性或非侵權保證。客戶有責任維護與備份任何儲存資料。
10. 責任限制。
    1. 間接責任限制。在法律允許的最大範圍內，除 DROPBOX 或客戶的賠償責任外，客戶或 DROPBOX 及其子公司、供應商與經銷商在此協議下，皆不須負擔以下責任：(I) 間接、特殊、偶然、後果性、懲罰性或懲戒性傷害；或 (II) 使用、資料、商業、收入或利益之損失 (不論每次情況為直接或間接之傷害)，即便該方知悉或應已知悉可能會有此類傷害發生，且即便補救方式未能達其主要目的，皆不須負擔責任。
    2. 債權金額的限制。依據法律規定，根據本協議，DROPBOX 的累計賠償責任索賠金額不超過 100,000 美元，或客戶於此債則生效前十二個月內使用服務所支付的費用 (以金額較低者為準)。
11. 爭議。
    1. 非正式決議。Dropbox 希望不需要透過正式法律訴訟就能解決您的問題。在申請求償前，各方皆同意透過第 12(e) 節的通知程序接觸其他方，以嘗試解決爭議。 若爭議未能在接獲通知後 30 日內解決，客戶或 Dropbox 得採取正式訴訟程序。
    2. 仲裁協議。客戶與 Dropbox 同意透過最終且具約束力的仲裁以解決任何與本協議或本服務有關的求償，下列情形不在此限。美國仲裁協會 (American Arbitration Association) 將根據其商業仲裁規則予以仲裁。仲裁將於舊金山 (加州) 、或是於雙方書面同意的其他地點執行。
    3. 仲裁協議之例外情形。仲裁協議例外。若為停止未經授權使用、濫用服務或侵權行為，雙方皆可在沒有事先透過上述非正式流程解決爭議的情況下，單純為強制令救濟而提出訴訟。客戶與 Dropbox 皆同意當地之審判場所與其對人的管轄權。
    4. 無集體訴訟。客戶僅得以個人為單位與 Dropbox 解決爭議，且不得以集體、合併或代表訴訟提出求償。集體仲裁、集體訴訟、私人律師一般訴訟、及與其他仲裁合併皆不受允許。
12. 其他。
    1. 條款修改。Dropbox 可能會不定期修改本條款內容，並且會確保 Dropbox Business 網站上張貼的都是最新版本的內容。Dropbox 可全權酌情決定是否修改內容，如有修改，Dropbox 就會通知客戶 (例如以電子郵件方式，將通知寄送至與適用帳戶相關聯的電子郵件地址)。其他修改內容可能會發布在 Dropbox 的網誌或條款頁面中，且客戶必須定期查看此類發布內容。在內容變更生效後，如果客戶繼續存取或使用服務，即表同意並接受修改後的協議內容。如果客戶不同意修改過的協議條款，客戶可在收到變更通知的 30 天內取消使用服務。
    2. 完整協議。本協議，包括客戶的發票及 Dropbox 訂購單 (視情況而定)，即構成客戶與 Dropbox 之間協議的標的規定，並就本協議之標的規定，無論是書面或口頭上的協議，本協議得取代和替代任何先前或同期之協議版本。如果在協議所構成的文件之間有任何衝突，文件的優先取決順序如下：Dropbox 發票、Dropbox 訂購單、服務條款。
    3. 管轄法律。協議遵守加州法律的規定，除其與法律原則的衝突以外。
    4. 可分割性。為確實表達各方目的，我們會修改無法強制執行的條款，但此修改只限於在可使條款得強制執行的必要範圍之內，且其餘條款仍將保有其完整效力。
    5. 通知。通知必須透過掛號、航空郵件或隔夜快遞寄出，且通知一旦寄出，等同收件。通知也可能寄送至適用帳戶電子郵件地址，且通知一旦寄出，等同收件。寄予 Dropbox 的通知請寄至 Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107，並將副本寄送至法律部門。
    6. 免責。一項違約免責不等於後續違約也隨之免責。
    7. 轉讓。客戶不得在沒有取得 Dropbox 書面同意的情況下，將此協議或此協議中的任何權利或義務轉讓予他人。Dropbox 不得在未通知客戶的情況下轉讓此協議，除 Dropbox 得將本協議或此協議中的任何權利或義務轉讓給其附屬機構，或因合併、收購、企業重整，或因出售其完整或幾乎所有資產而轉讓本協得不另行通知。所有其他轉讓方式皆不具法律效力。
    8. 非代理人。Dropbox 及客戶並非合法合作夥伴或代理人，而是獨立的合約商。
    9. 不可抗力之因素。除了付款義務外，Dropbox 或客戶皆無需為因不可抗力之因素而導致表現不足承擔任何責任 (例如：自然災害、戰爭或恐怖行動、暴動、罷工、政府的行動和網際網路不正常運作)。
    10. 無第三方受益人。本協議並無第三方受益人。在不限制本節規定的情況之下，客戶的終端使用者並非客戶根據本協議取得之權限的第三方受益人。
    11. 出口限制。透過服務出口和再出口的客戶資料皆需遵守美國出口管理條例規定及其他適用的出口及禁運限制。本服務不得用於古巴、伊朗、北韓、蘇丹或敘利亞，或任何有美國禁運規定的國家或地區，且客戶於使用服務時需遵守所有美國的出口限制或禁運規定或其他適用的法律規定。此外，客戶必須確保不提供服務給列於美國拒絕往來名單 (United States Table of Denial Orders)、實體清單或指定制裁名單 (List of Specially Designated Nationals) 中的人士。

根據指令 95/46/EC 第 26(2) 款，對於將個人資料傳輸到第三國家不能確保足夠資料保護層級的處理商

資料匯出組織名稱：與 Dropbox 愛爾蘭分部訂定 Dropbox Business 協議的顧客
(資料匯出者)

及

資料匯入組織名稱：Dropbox, Inc.
Address: 333 Brannan Street, San Francisco, CA 94107 USA
(資料匯入者)

分別稱「方」；統稱「雙方」，

已商定訂立下列合約條款 (以下稱「條款」)，以便為資料匯出者傳輸附錄 1 中明定之個人資料給資料匯入者就保護個人隱私、基本權利和自由提供足夠的保障。

本條款所用名詞定義如下：

1. 「個人資料」、「特殊資料類型」、「程序/處理」、「控制者」、「處理者」、「資料當事人」和「監督機構」意義應等同於歐洲議會指令 95/46/EC，以及與處理個人資料和自由傳輸此資料對個人保護相關之 1995 年 10 月 24 日委員會指令¹；
2. 「資料匯出者」係指傳輸個人資料的控管者；
3. 「資料匯入者」係指同意接收來自資料匯出者之個人資料，以於移轉後根據其指示及本條款規定，代其處理之處理者，且該處理者不受第三方國家確保指令 95/46/EC 第 26(2) 條涵蓋之適當資料防護的系統規範；
4. 「分處理商」係指資料匯入者或同意從資料匯入者或其其他任何分處理商接收資料的匯入者聘請的任何處理商，專門在傳輸後根據其指示、條款內容和書面子合約條款處理代表資料匯出者開展的活動；
5. 「適用之資料保護法」係指保護個人基本權利和自由的法律，特別就保護處理個人資料的隱私權，適用於資料匯出者所在成員國之資料控管者；
6. 「技術和組織安全措施」係指旨在保護個人資料的措施，使其免受意外或非法損毀或意外丟失、篡改、未經授權披露或存取、尤其是處理工作涉及到透過網路傳輸以及針對所有其他非法形式的處理時。 

傳輸詳細資料 (若適用，尤其是特殊類別的個人資料) 於附錄 1 中明定，形成條款不可或缺的一部分。

1. 資料當事人可作為第三方受益人對資料匯出者強制執行本條款、第 4(b) 至 (i) 款、第 5(a) 至 (e) 款以及 (g) 至 (j) 款、第 6(1) 和 (2) 款、第 7 款、第 8(2) 款和第 9 至 12 款。
2. 倘若資料匯出者實際上已消失或在法律中不再存在，則資料當事人可對資料匯入者強制執行本條款、第 5(a) 至 (e) 和 (g) 款、第 6 款、第 7 款、第 8(2) 款和第 9 至 12 款，除非任何後續實體已承擔資料匯出者依合約或法律規 定承擔的全部法律義務而造成需承擔資料匯出者的權利和義務，這種情況下資料當事人可對此實體強制實施。
3. 倘若資料匯出者和資料匯入者實際上已消失或在法律中不再存在或變得無力償債，則資料當事人可對分處理商強制執行本條款、第 5(a) 至 (e) 和 (g) 款、第 6 款、第 7 款、第 8(2) 款和第 9 至 12 款，除非任何後續實體已承擔資料匯出者依合約或法律規定需承擔的全部法律義務而承擔資料匯出者的權利和義務，這種情況下資料當事人可對此實體強制實施。分處理商的此第三方責任限於條款下其自身的處理作業。
4. 若資料當事人明確表達此願望並且國家法律允許，雙方不反對資料當事人由協會或其他機構代表。

資料匯出者同意並保證：

1. 已根據適用的資料保護法之相關條款處理並將繼續處理 (包括傳輸本身) 個人資料 (並且，若適用，已通知建立匯出程式所在成員國的相關機構) 並且不違反此成員國的相關條款；
2. 已指示並在個人資料處理服務期間將指示資料匯入者僅以資料匯出者的名義並根據適用的資料保護法和條款處理所傳輸的個人資料；
3. 資料匯入者將就本合約附錄 2 中明定之技術和組織安全措施提供足夠的保證；
4. 在評估適用的資料保護法要求後，安全措施可以適當保護個人資料，使其免於意外或非法損毀或意外丟失、篡改 、未經授權披露或存取，特別是處理涉及到透過網路傳輸資料時，以及針對所有其他形式的處理並且這些措施可對處理所產生之風險和最新技術水準和實作確保成本達到一定的安全層級；
5. 將確保符合安全措施；
6. 若傳輸涉及特殊類別的資料，則資料當事人已獲通知並將在資料可傳輸到未在指令 95/46/EC 含意內提供充足保護之第三國之前或之後盡快獲得通知；
7. 依據條款 5(b) 及條款 8(3)，若資料匯出者決定繼續移轉或解除中止移轉，則將資料匯出者或任何輔助處理者所提供之任何通知轉寄給資料保護監理機關；
8. 應要求將條款之副本 (不包括附錄 2) 和安全措施之摘要描述，以及依照條款簽訂之任何次處理服務合約之副本提供給資料當事人，但若條款或合約內包含商業資訊，則得移除此等商業資訊；
9. 對於分處理，將由分處理商根據第 11 款開展處理活動，根據條款為個人資料和資料當事人作為資料匯入者的權利至少提供同等保護層級；以及
10. 將確保符合第 4(a) 至 (i) 款。

資料匯入者同意並保證：

1. 僅代表資料匯出者並根據其指示和條款處理個人資料；若出於任何理由不能遵守此情況，則立即通知資料匯出者不能遵守，在此情況下資料匯出者有權暫停傳輸資料及/或終止合約；
2. 沒有理由認為適用法律阻止履行從資料匯出者收到的指示和合約下的義務，倘若此法律變更可能對條款規定的保固和義務產生顯著的不利影響，則在知悉時便將變更立即通知資料匯出者，在此情況下資料匯出者有權暫停傳輸資料及/或終止合約；
3. 在處理所傳輸的個人資料前，實作附錄 2 中明定之技術和組織安全措施；
4. 將立即通知資料匯出者以下情況：
   1. 執法機構披露個人資料的任何法律約束請求，除非另行禁止，例如刑法禁止保護執法調查的保密性；
   2. 任何意外或未經授權的存取；以及
   3. 直接從資料當事人接收的任何請求，而不回應該請求，除非另行取得這樣做的授權；
5. 立即正確處理來自資料匯出者關於處理個人資料的所有詢問，受傳輸約束並遵守監督機構關於處理所傳輸資料的建議；
6. 根據資料匯出者的請求，提交用於稽核條款下涵蓋的處理活動的資料處理設施，這些活動應由資料匯出者或由獨立成員組成並具有必要的專業資質的檢查機構開展，受保密性職責的約束，由資料匯出者選擇並在適當情況下取得監督機構的同意；
7. 應請求向資料當事人提供條款副本，或用於次處理的既有合約，除非這些條款或合約包括商業資訊，在此情況下 ，可能移除此商業資訊，附錄 2 例外，在這些資料當事人無法從資料匯出者取得副本的情況下，附錄 2 應由安全措施的概括描述替代；
8. 在次處理的情況下，其先前已通知資料匯出者並取得事先書面同意；
9. 次處理者開展的處理服務將根據第 11 款開展；
10. 立即傳送一份根據條款訂立的次處理商合約副本給資料匯出者。

1. 雙方同意，因任何一方違反第 3 款或第 11 款中所訂義務而造成蒙受損害的資料當事人或次處理商，都有權對所蒙受損害從資料匯出者取得補償。
2. 若資料當事人無法根據第 1 段對資料匯出者提出索賠，緣由是資料匯入者或其次處理商違反第 3 款或 11 款所訂之任何義務，因為資料匯出者實際上已消失或在法律上不再存在或變得無力償債，則資料匯入者同意，資料當事人可 以資料匯出者相同之形式對資料匯入者提出索賠，除非任何後續實體已承擔資料匯出者依合約或法律規定的全部法律義務，這種情況下資料當事人可對此實體強制實施。
   資料匯入者不得依賴次處理商違反其義務來避免其自身的義務。
3. 若資料當事人無法對第 1 和 2 段中所訂資料匯出者或資料匯入者提出索賠，緣由是次處理商違反第 3 款或 11 款所訂義務，因為資料匯出者或匯出者實際上已消失或在法律上不再存在或變得無力償債，則次處理商同意，資料當事人可以資料匯出者或資料匯入者相同之形式對次處理商提出索賠，除非任何後續實體已承擔資料匯出者或資料匯入者依合約或法律規定的全部法律義務，這種情況下資料當事人可對此實體強制實施。分處理商的責任限於條款下其自身的處理作業。

1. 資料匯入者同意，若資料當事人行使第三方受益人權益和/或根據條款對損害索賠，則資料匯入者將接受資料當事人的決定：
   1. 將爭議交由獨立人士 (或者，若有適用，交由監管機關) 進行調解；
   2. 將爭議提交給建立資料匯出者所在成員國中的法庭。
2. 雙方同意，資料當事人進行的選擇不會損害根據國家或國際法律的其他條款尋求補救的實質性或程序權利。

第 8 款

與監督機構合作

1. 若監督機構請求或根據適用的資料保護法要求存放，資料匯出者同意存放一份合約副本給監督機構。
2. 雙方同意，監督機構有權對資料匯入者以及任何次處理商開展稽核，他們具有相同的責任範圍並遵守相同的條件，如同根據適用的資料保護法對資料匯出者所進行之稽核。
3. 資料匯入者應立即通知資料匯出者關於存在適用於其或次處理商的法律，防止根據第 2 項對資料匯入者或其次處理商開展稽核。在此情況下，資料匯出者應有權採取第 5(b) 款中可預見的措施。

此等條款應受資料匯出者所在成員國中的法律規範。

雙方承諾不變更或修改條款。這不排除雙方根據需要新增業務相關問題的條款，前提是它們與本條款不產生衝突。

1. 在未取得資料匯出者事先書面許可的情況下，資料匯入者不得代表資料匯出者根據條款執行任何處理作業。。在資料匯入者經過資料匯出者同意下轉包其條款下的義務時，只可與次處理商訂立書面合約來進行，並對次處理商強制施加與根據條款對資料匯入者強制施加的相同義務³。在次處理商無法根據此書面合約履行其資料保護義務時，資料匯入者應對根據此合約履行此次處理商義務對資料匯出者負全責。
2. 資料匯入者和次處理商之間先前訂立的書面合約還應規定第三方受益人條款，如第 3 款所載，適用於資料當事人因其實際上已消失或在法律上不再存在或變得無力償債，而無法對資料匯出者或資料匯入者對第 6 款第 1 段所載補償提出索賠的情況，並且無任何後續實體承擔資料匯出者或資料匯入者依合約或法律規定的全部法律義務。分處理商的此第三方責任限於條款下其自身的處理作業。
3. 對於與第 1 項所載合約之次處理與資料保護方面相關的條款，應受確定資料匯出者所在成員國中的法律規範。
4. 資料匯出者應保留條款下訂立之次處理合約清單，並根據第 5(j) 款由資料匯入者發出通知，此條款應至少每年更新一次。此清單應提供給資料匯出者的資料保護監督機構。

終止個人資料處理服務後的義務

1. 雙方同意，在終止提供資料處理服務後，資料匯入者和次處理商應根據資料匯出者的選擇將傳輸的所有個人資料及其副本傳回給資料匯出者，或銷毀所有個人資料並向資料匯出者證明執行完成，除非法律強制要求資料匯入者阻止將其傳回或銷毀所有或部分所傳輸的個人資料。在此情況下，資料匯入者保證會確保所傳輸之個人資料的保密性，並不再主動處理傳輸的個人資料。
2. 資料匯入者和次處理商保證，根據資料匯出者及/或監督機構的請求，會將其資料處理設施提交用於稽核第 1 項中所載的措施。

出現在第 A 至 C 節和附錄中，但在條款中沒有定義的術語即俱有資料匯出者和 Dropbox 愛爾蘭分部之間的 Dropbox Business 協議中之定義。

1. 安全稽核。資料匯入者維護管理由獨立第三方稽核者公布之 ISO/IEC 27001:2013 和 ISO/IEC 27018:2014 認證。資料匯出者將繼續接受 ISO/IEC 27001:2013 和 ISO/IEC 27018 稽核，以在期間內維持服務之上述認證。資料匯入者亦定期接受服務組織控制 2 (SOC 2) 第二類稽核。根據資料匯入者的保密義務，經資料匯出者以書面要求，資料匯入者應提供資料匯出者 SOC 2 第二類稽核報告，每年以一次為限。資料匯入者應依資料匯入者保密要求，於 SOC 2 報告完成後供匯出者存取。資料匯入者應定期審查其第三方子服務組織，且該組織應接受驗證業務第 16 號 (SSAE 16) / 驗證業務國際標準第 3402 號 (ISAE 3402) 服務組織控制 1 (SOC 1) 第二類或服務組織控制 2 (SOC 2) 第二類稽核，評估其安全政策、程序和控制之設計和效力。

   資料匯出者同意第 A 節規定之資料匯入者義務，符合本條款第 5(f) 款和第 12(2) 款訂定之稽核權利。

2. 分處理。資料匯入者得由其他公司代表資料匯入者提供本服務 (包括支援服務) 的有限部分，且資料匯出者同意讓資料匯出者將個人資料之處理，根據本條款規定，外包給上述分處理商。資料匯入者應確保分處理商對個人資料之存取及使用，僅限以提供本服務為目的，並由資料匯入者和分處理商之間的書面協議規定之。資料匯出者承認，在與分處理商的協議方面，本條款中任何適用於資料匯入者的要求應完全達成，前提是資料匯入者和分處理商之間的分處理協議至少提供 Dropbox Business 協議要求之資料保護層級。
3. 責任。本條款應受 Dropbox Business 協議中「責任限制」區段的責任限制及例外之約束，使資料匯入者和 Dropbox 愛爾蘭分部的總責任，合計不超過 Business 協議規定之限制。為避免疑義，資料匯出者無權就相同損失，同時向資料匯入者和 Dropbox 愛爾蘭分部求償。

本附錄為條款之構成部分，且必須由雙方完成並簽署。

會員國得根據該國程序，在本附錄中完成或指定任何額外之必要資訊。

資料匯出者

資料匯出者是 (請簡述您與此次傳輸相關的活動)：

Dropbox 愛爾蘭分部 Dropbox Business 協議下的客戶。

資料匯入者

資料匯出者是 (請簡述您與此次傳輸相關的活動)：

Dropbox, Inc. 是個人及企業雲端服務的全球供應商。Dropbox, Inc. 及其關係企業提供網站、軟體和行動應用程式，讓使用者儲存檔案、在多部裝置間同步檔案，並與他人協同合作。Dropbox, Inc. 的服務也可透過應用程式開發介面 (API) 存取。

資料當事人

傳輸之個人資料涉及下列類別之資料主體 (請說明)：

資料匯出者和資料匯出者關係企業的終端使用者，包括資料匯出者的員工、顧問和承包商，以及任何使用資料匯入者提供的服務，與上述資料匯出者協作或共享之個人。

資料類別

傳輸之個人資料涉及下列類別之資料 (請說明)：

終端使用者識別資訊和組織資料 (線上和離線皆有) 以及文件、圖片和其他由終端使用者透過資料匯入者的服務，儲存或傳輸之電子形式內容或資料。

處理操作

傳輸之個人資料依照下列基本處理活動執行 (請說明)：

資料匯入者或其分處理商將使用並處理個人資料，且資料匯出者指示資料匯入者使用並處理個人資料，以提供 Dropbox Business 協議規定之服務。

本附錄為條款之構成部分，且必須由雙方完成並簽署。

資料匯入者根據第 4(d) 款和第 5(c) 款 (或附件文件/法規) 採行之技術和組織安全措施的描述：

資料隱私權聯絡人

資料匯入者的資料隱私權負責人聯絡方式：privacy@dropbox.com

安全措施

資料匯入者已採行並將持續進行適當之管理、技術和實體安全防護，以根據「Dropbox Business 資訊安全白皮書」(自生效日起可在此取得：https://www.dropbox.com/…/Security_Whitepaper.pdf) 和以下額外規定，進一步保護個人資料。資料匯入者得不定期更新前述安全措施，並於上方網址 (或資料匯出者通知之其他網址) 提供最新版本，惟若資料匯入者更新安全措施的方式，會造成本條款或附件 2 描述之管理、技術和實體安全功能實質上減弱，則資料匯入者應通知資料匯出者。

1. 服務安全
   1. Dropbox 架構。本資料匯入者的服務擁有多層防護，提供安全的數據傳輸、加密及網絡配置，並在具可適性及安全的架構上提供應用程式層級的管控功能。資料匯入者服務之終端使用者可透過桌機、網頁和行動用戶端，隨時存取檔案和資料夾。所有用戶端介面都會連上安全的伺服器以提供用戶存取檔案、與他人分享檔案、並在檔案有所變動 (新增、變更或刪除) 時更新連結的各個裝置。此服務可透過數個介面使用及存取。每一種界面都有安全防護設定和功能，提供便利的存取方式並確保資料安全。
   2. 可靠性。資料匯入者的服務具備多層備援，避免資料遺失並確保資料隨時可得。
   3. 加密處理。為確保資料在匯出者和匯入者間的傳輸過程安全無虞，資料匯出者使用安全通訊端層 (SSL)/傳輸層安全性 (TLS) 來保護資料傳輸，並透過 128-bit 或更高階的加密標準 (AES) 打造安全的傳輸管道。存放的檔案皆受 256 位元 AES 加密儲存。資料匯出者的加密金鑰管理系統架構設有操作、技術和程序上的安全控制，且其金鑰極難直接存取。加密金鑰的產生、交換和儲存都是以分散的方式進行。
   4. 使用者管理功能。資料匯入者服務之終端使用者，能還原遺失的檔案，並可復原檔案的舊版本，確實追蹤並掌握檔案的變更。資料匯入者的服務提供兩步驟驗證程序，額外再增加一層防護。
   5. 資料中心。資料匯入者的公司和產品系統儲存在位於美國的第三方子業務組織所提供的資料中心。為達成充足的安全控管，資料匯入者會審查所有子業務組織資料中心的服務組織控制 (SOC) 1 和/或 SOC 2 報告，頻率為每年至少一次。
2. 資訊安全。
   1. 政策。數據匯入者已經建立了全面的安全政策，涵蓋資訊安全、實體安全、事件反應、邏輯存取、生產存取、變更管理和支援等範圍。這些政策每年須經審查並通過至少一次。資料匯入者人員應知曉政策更新，並獲得安全性訓練。
   2. 人事政策和存取。資料匯入者的內部政策必須具備背景調查 (須遵守當地法律)、安全政策知識、通知安全政策更新及保密協議等到職程序。員工和承包商離開公司時，所有人員存取權限皆應立即移除。資料匯入者應採用技術存取控制和內部政策，以禁止員工或承包商恣意存取檔案資料，並限制後設資料和其他終端使用者帳戶相關資訊之存取。為保護終端使用者隱私和安全，只有少數員工或承包商能存取終端使用者檔案所存放的環境。管理部門應記錄存取要求紀錄、理由說明和核准，並由適當人員授予存取權限。
   3. 網路安全。資料匯入者維護為提供多層次安全防護而設計的網絡安全和監控技術。資料匯入者使用業界標準的防護技術，包括防火牆、網路安全監測和入侵偵測系統，確保只有合格的流量能進入資料匯入者的系統架構。
   4. 變更管理 。資料匯入者應確保安全相關的變更，都在進入產品環境前先經過授權。安全代碼變更，由想要提升資料匯入者應用程式或服務之開發者發起。資料匯入者系統架構的變更，限由獲得授權的人員進行。應用程式層級的服務變更，必須經過自動化的品質保證 (QA) 測試程序，確保新的變更符合安全標準。QA 程序成功完成後，變更即可執行。
   5. 合規。資料匯入者、其資料中心供應商，和其受管理的服務供應商，應定期接受由獨立第三方執行之安全稽核。資料匯出者應繼續參與定期的 ISO/IEC 27001:2013 和 ISO/IEC 27018:2014 稽核。資料匯入者亦應審查所有子服務組織之 SOC 1 和/或 SOC 2 報告。若有無法取得子服務組織 SOC 1 和/或 SOC 2 報告的情形，資料匯入者應走訪現場檢視安全防護，確認適用的實體環境，且操作安全控制符合控制標準及契約要求。資料匯入者應評估額外的認證及合規認證 (由子服務供應商持續提供給資料匯入者)。
3. 實體安全
   1. 系統架構。子服務組織生產系統所在的設備，其實體存取僅限資料匯入者授權的人員，因職務要求執行之。任何以其他理由要求存取生產環境設備者，須經合適之管理階層明文批准，方能取得存取權。
   2. 辦公室。資料匯入者應具有實體安全團隊，負責執行實體安全政策並監督資料匯入者公司辦公室的安全防護。包含公司服務的區域，其存取僅限獲得授權的人員，以獲選身分透過徽章存取系統存取。