隱私權：資料隱私政策與法規遵循

2021 年 6 月

技術改變了我們的生活和推展業務的方式。我們透過工作流程、供應鏈和媒體的數位化，在線上交流、購物和娛樂。每筆新交易都會產生資料、建立一個漫遊網際網路的數位身分。但正如我們不會在現實世界中漫遊而不保護自己一樣，我們也需要保護數位身分。

全球資料隱私保護法針對處理個人資訊（包括用於建立數位身分的資料）的公司，提出了不同具體要求。身為混合雲的資料權威，NetApp 長期以來致力於保護每位 NetApp 使用者的隱私權。我們的全方位方法讓客戶可以控制其資料的收集、使用和儲存。我們維護企業政策、程序和標準，以保護資料隱私權。我們提供的技術讓客戶可以保護其員工、合作夥伴和客戶的隱私，並遵守全球眾多資料保護法的要求。

NetApp 的資料隱私權保護始於我們的《隱私權政策》，此政策以我們的《商業行為規範》為基礎，並以合約承諾和《共同約束條款》為輔助。我們的政策建立在普遍接受的隱私權原則之上，例如透明度、法規遵循、安全保護措施和責任歸屬。這些原則規範著我們的產品和服務應該如何管理及保護個人資料。我們力求在資料如何跨境傳輸、以及我們為了確保實現承諾而使用的服務控管措施方面保持透明度。

我們的資料隱私和保護是以這些基本原則為基礎，而這些原則正是全球隱私保護法的根本。NetApp 的產品與服務設計均遵守資料保護及隱私法之規範，例如 GDPR 與 CCPA。

NetApp 的隱私權政策以我們的《商業行為規範》為基礎，並以《共同約束條款》和合約承諾為輔助，規範了我們的產品和服務應該如何管理及保護個人資料。NetApp 以 GDPR 等資料隱私法的基本原則為基礎，並和經濟合作與發展組織 (OECD) 等機構所制定的原則保持一致。由於 NetApp 將資料隱私基本原則視作首要焦點，因此設計出一套可擴充調整的隱私權方案，以因應不斷演變的全球法律環境。

NetApp 承諾遵守《共同約束條款》(BCR) 中關於資料隱私和保護的共同原則。我們的 BCR 定義了全公司處理個人資訊的方法，並特別規範資料如何跨境移動，包括將資料從歐盟傳輸至其他國家 / 地區。

從政策、訓練、到治理與稽核，BCR 必須支援全方位的資料隱私與安全方案。自 GDPR 生效後，我們修改了 BCR 以因應 NetApp 作為資料控制者的 GDPR 要求，並針對我們作為客戶資料處理者的活動提交了新的 BCR。

《加州消費者隱私法》(CCPA) 規定了加州居民（法律上稱為消費者）控制其個人資訊的權利。2023 年 1 月起生效的《加州隱私權法案》(CPRA) 更擴大了消費者的個人權利，包括建立新的敏感個人資訊類別，該法案還為處理個人資訊的實體規定了新義務。

這兩項法律的許多要求都與 GDPR 具有相同的基本原則，我們也實作 NetApp 的 GDPR 實務做法來符合 CCPA 和 CPRA 的規定。然而，在我們的《隱私權政策》中還規定了一些存在明顯差異的必要揭露事項。

NetApp 產品與服務可能具有內建功能，或是具有可讓我們的客戶能夠遵守這兩項加州法律的組態。例如，在某些情況下，消費者可以透過自助服務功能存取 NetApp 服務，來存取、刪除和修改 NetApp 所收集的資訊。 

資料隱私保護是資料導向型環境的主要保障措施之一，身為混合雲的資料權威機構，我們維護一套全面性的 GDPR 法規遵循策略。NetApp 提供一系列強大的產品與服務，其中功能已符合 GDPR 要求，或是讓客戶能夠選擇如何實作以滿足其循規要求。例如，GDPR 包含跨境資料傳輸的限制與條件，如果客戶判斷其資料不能離開指定的司法管轄區，NetApp 就會啟用一些功能，來協助確保資料只能在指定的區域內處理。

現代化的全球企業莫不希望能夠隨時取得資料，無論資料、員工或客戶位於何處。因此在建立和維護全球業務時，企業必須擁有在地理區域之間充滿信心地傳輸資料的能力。然而，當傳輸的資料是個人資訊時，就必須採取額外的保護措施，以確保資料主體的隱私受到充分保護。

NetApp 產品和服務提供多種保護資料隱私和管理其地理位置的選項。我們在《共同約束條款》中承諾保護個人資訊，並更新規則以反映 GDPR 要求。此外，我們還提供《標準合約條款》，進一步保證資料的傳輸方式。每一項條款都以管理、技術、操作等保障措施作為後盾，會定期評估法規遵循狀態。