Oracle 法律

Oracle 下载
法律声明

Oracle 慎重对待隐私
Oracle 服务隐私政策

本 Oracle 服务隐私政策(下文简称为“服务隐私政策”)分为三个部分:

I. 第一部分(服务个人信息数据处理条款)规定了 Oracle Corporation 及其附属公司(统称为“Oracle”)员工在以下情况中采用的隐私和安全做法:在您的服务订单期限内处理服务个人信息(如下文所定义)以便向 Oracle 客户(下文简称为“您”或“贵方”)提供技术支持、咨询、云或其他服务(统称为“服务”)。

服务个人信息是指由您提供、驻留在 Oracle、客户或第三方系统和环境中且由 Oracle 代表您处理以便执行服务的个人信息。服务个人信息可能包括如下内容(具体视服务而定):与家庭、生活方式和社会环境相关的信息、就业详细信息、财务明细、诸如移动设备 ID 和 IP 地址等线上标识符以及第一方线上行为和兴趣数据。服务个人信息可能与您的代表和最终用户相关,例如您的员工、求职者、承包商、合作者、合作伙伴、供应商、顾客和客户。

II.第二部分(系统操作数据处理条款)描述了对可能偶然包含在系统操作数据中的个人信息适用的隐私和安全做法,这些信息是由我们服务的最终用户(下文简称为“用户”)与用于监控、保护并向我们客户群交付服务的 Oracle 系统和网络交互所生成的。

系统操作数据可能包括日志文件、事件文件和其他跟踪与诊断文件,以及与我们服务的使用和操作及其运行系统和网络相关的统计和汇总信息。

III.第三部分(面向客户和用户的通信和通知)适用于服务个人信息以及系统操作数据中包含的个人信息,其中描述了 Oracle 如何处理法律要求的披露请求,并告知您和用户如何与 Oracle 全球数据保护官沟通或提交投诉。

系统操作数据处理条款的快速链接

服务个人信息和系统操作数据的定义不包括从 Oracle 网站的使用中收集的您或用户的联系及相关信息,也不包括您或用户在签约过程中与我们的交互信息。Oracle 处理此信息受一般 Oracle 隐私政策的约束。

I. 服务个人信息数据处理条款

Oracle 根据本政策的第 I 部分和第 III 部分以及您的服务订单中的条款处理所有服务个人信息。

如果本服务隐私政策的条款与您的服务订单(包括 Oracle 数据处理协议)中所含的任何隐私条款之间存在任何冲突,则以您的服务订单的相关隐私条款为准。

1.服务执行情况

Oracle 可能针对执行服务所必需的处理活动(包括测试和应用新产品或系统版本、补丁、更新和升级,以及解决您向 Oracle 报告的错误和其他问题)处理服务个人信息。

2.客户说明

您可以控制 Oracle 为了开展服务而执行的服务个人信息处理。Oracle 将按照您的服务订单中的规定处理您的服务个人信息以及您在必要时记录的额外书面指示,以支持 Oracle 满足以下要求:(i) 遵守适用数据保护法规定的处理方义务,或 (ii) 根据与您使用服务相关的适用数据保护法规定,帮助您遵守您的控制方义务。如果我们有合理依据认为您的指示违反了适用的数据保护法,Oracle 将立即通知您。可能收取额外费用。

3.个人权利

您可以控制您的最终用户对您服务个人信息的访问权限,而且您的最终用户应当将与其服务个人信息相关的任何请求都发送给您。如果您不具备此类访问权限,Oracle 将针对以下目的的个人请求提供合理帮助:访问、删除或清除、限制、纠正、接收和传输、阻止访问或反对处理 Oracle 系统上的服务个人信息。

4.安全性和机密性

Oracle 已实施并维护有效的技术和组织措施,旨在防止意外或非法破坏、丢失、更改、未经授权披露或访问服务个人信息。这些措施通常符合 ISO/IEC 27001:2013 标准,涵盖对服务适用的所有安全性领域,包括物理访问、系统访问、数据访问、传输、输入、安全监督和执行。

Oracle 员工需要维护个人信息的机密性。员工的义务包括签署书面保密协议、参加定期的信息保护培训,以及遵守与机密信息保护相关的公司政策。

有关服务安全做法中对这些服务实施的具体安全措施的附加详细信息,包括有关数据保留和删除的信息,均可在此处查看。

5.事件管理和数据违规通知。

Oracle 会及时评估并响应导致疑似或明示未经授权访问或处理服务个人信息的事件。

如果 Oracle 确定涉及服务个人信息的事件被鉴定为安全违规的行为(这些行为可能导致盗用或意外或非法破坏、丢失、更改、未经授权披露或访问 Oracle 系统上存储或以其他方式处理的服务个人信息,进而影响此类服务个人信息的安全性、机密性或完整性),Oracle 将立即向您报告此类违规行为。

如果关于违规操作的信息被收集或以其他方式合理提供给 Oracle ,且在法律允许的情况下,Oracle 将向您提供关于将违规操作合理提供给 Oracle 或让其知晓的其他相关信息。

6.子处理方

如果 Oracle 允许第三方的下属处理方访问服务个人信息以协助提供服务,这些下属处理方应根据您的服务订单的条款实施与 Oracle 相同级别的数据保护和安全措施。Oracle 有责任确保其下属处理方符合您的服务订单的条款。

Oracle 将维护关于可能处理服务个人信息的 Oracle 附属公司和下属处理方列表。您可以通过 My Oracle Support (https://support.oracle.com) 文档 ID 2121811.1 或为服务提供的其他适用的主要支持工具获得更多信息。

7.跨境数据转交

Oracle 可能根据服务需要而在全球范围内转交、访问和存储服务个人数据。

如果此类全球性访问涉及将源自欧洲经济区(下文简称为“EEA”) 或瑞士的服务个人信息转交给欧洲经济区或瑞士以外的国家/地区的 Oracle 附属公司或第三方的下属处理方,但是未收到由欧盟委员会或具有管辖权的国家 EEA 数据保护机构提供的有约束力的充分性决定,那么此类转交受到具有约束力的适当转交机制的约束,从而根据适用的数据保护法(例如 EU 标准条款)提供足够程度的保护。

如果您和 Oracle 签约一致同意将按照相关服务的隐私保护协议转交和处理来自 EEA 或瑞士的此类信息,那么在收集、使用和保留信息方面,Oracle 还将遵循美国商务部制定的欧盟-美国隐私保护框架协议和瑞士-美国隐私保护框架协议。之后,Oracle 将负责确保第三方和代表我们的代理采取同样的做法。

Oracle 已经向商务部证明自己遵守了隐私保护原则。如果本服务隐私政策中的条款与隐私保护原则之间存在任何冲突,则以隐私保护原则为准。如需了解有关隐私保护计划的更多信息,以及查看我们的认证,请访问 https://www.privacyshield.gov/list

请访问隐私保护网站,了解 Oracle 隐私保护自认证所包含的实体列表。对于根据隐私保护框架接收或转交的服务个人信息,Oracle 受美国联邦贸易委员会监管执行权力的约束并且承诺与欧盟数据保护机构进行合作。

8.审计权利

只要在您的服务订单规定的范围内,都可以在提议的审计日期之前至少提前六周向 Oracle 发送书面请求(包括详细的审计计划),自行审计 Oracle 对本服务隐私政策条款的遵守情况。您与 Oracle 将合作协定最终审计计划。

审计应符合以下要求:在十二个月的期间内不得超过一次,在正常工作时间内进行,遵守 Oracle 现行政策和法规,并且不得无理由干扰商业活动。如果您希望第三方执行审计,则第三方审计员应由双方共同协定,并且第三方审计员必须执行 Oracle 可接受的书面保密协议。审计完成后,您需要向 Oracle 提供审计报告的副本,该报告将根据您与 Oracle 之间的协议条款归类为机密信息。

Oracle 将通过向您提供审计所需的信息和合理帮助来帮助开展此类审计,包括适用于服务的处理活动的任何相关记录。如果已在 SOC 1 或 SOC 2、ISO、NIST、PCI DSS、HIPAA 或由合格第三方审计员在过去十二个月内发布的类似审计报告中规定了请求的审计范围,Oracle 将会向您提供此类报告,确认已审计的控制中没有已知的材料变更,您应该同意接受第三方审计报告中提供的结果,而不要请求对报告所涵盖的相同控制进行审计。附加审计条款可能包括在您的服务订单中。

9.删除或返回服务个人信息

除非服务订单另有规定或法律要求,否则在服务终止时或根据您的要求,Oracle 将删除 Oracle 计算机上的生产客户数据以确保无法通过正常方式访问或读取这些数据,除非 Oracle 需要履行相关的法律义务来防止删除全部或部分数据。在服务结束之前,您可以咨询 Oracle 服务联系人,了解有关数据删除的更多信息。

II.系统操作数据处理条款

1.关于处理个人信息的责任和目的

Oracle Corporation 及其附属实体负责根据本政策的第 II 部分和第 III 部分处理可能偶然包含在系统操作数据中的个人信息。有关 Oracle 实体的列表,请单击此处。请选择一个地区和国家,以查看各国家/地区的 Oracle 实体的注册地址和联系详细信息。

我们可能出于以下目的收集或生成系统操作数据:

  • a) 帮助确保我们的服务安全,包括安全监控和身份管理;
  • b) 调查和防止涉及我们系统和网络的潜在欺诈或非法活动,包括预防网络攻击和检测机器人;
  • c) 管理我们的备份灾难恢复计划和政策;
  • d) 确认符合许可和其他使用条款(许可证合规性监控);
  • e) 用于研发目的,包括分析、开发、改进和优化我们的服务;
  • f) 遵守适用的法律法规以及经营我们的业务,包括遵守法律规定的报告、披露或其他法律程序请求,用于合并和收购、财务和会计、存档和保险目的、法律和商业咨询以及争议解决上下文。

对于在 EU 收集的系统操作数据中包含的个人信息,我们将根据合法利益处理此类信息,以一种有效且适当的方式执行、维护和保护我们的产品和服务以及经营业务。为了遵守此类法律义务,个人信息也可能根据我们的法律义务或合法利益进行处理。

2.分享个人信息

系统操作数据中包含的个人信息可能在整个 Oracle 全球组织中共享。可按上述所示获得 Oracle 实体列表。

我们还可能与以下第三方共享此类个人信息:

  • 第三方服务提供商(例如 IT 服务提供商、律师和审计员),以便于这些服务提供商代表 Oracle 执行业务功能;
  • 对您的全部或部分业务、资产或股票(包括与任何破产或类似诉讼有关的内容)进行重组、合并、出售、合资、转让、转移或其他处置时的相关第三方;
  • 根据法律要求,例如遵守传票或其他法律程序,当我们有合理依据认为需要公开信息来保护我们的权利、保护您或他人的安全、调查欺诈行为或出于国家安全和/或执法目的而回应政府要求(包括您居住国家/地区以外的公共和政府机构)时。

当第三方获得访问系统操作数据中所含的个人信息的权限时,我们将采取适当的合同、技术和组织措施,确保仅在确实必要时、与本隐私政策相符时并且符合适用法律要求时才能处理个人信息。

3.跨境数据转交

如果将系统操作数据中所含的个人信息转交给 Oracle 接收人但该接收人所在的国家/地区不对个人信息提供足够程度的保护,Oracle 将采取适当措施为用户的信息提供足够的保护,例如确保此类转交受到 EU 标准条款的约束。

4.安全性

Oracle 已根据 Oracle Corporate 安全做法实施相应的技术、物理和组织措施,专门用于防止个人信息受到意外或非法破坏或发生意外丢失、损坏、更改、未经授权的泄露或访问,以及所有其他形式的非法处理(包括但不限于不必要的收集)或进一步处理。

5.用户选项

在适用法律规定的范围内,用户可以在某些情况下请求访问、更正、更新或删除系统操作数据中包含的个人信息,或者通过填写查询表单,以其他方式实施与其个人信息相关的选项。

III.面向客户和用户的通信和通知

1.法律要求。

根据法律要求,Oracle 可能被要求提供对服务个人信息以及系统操作数据中所含的个人信息的访问权限,例如遵守传票或其他法律程序,当我们有合理依据认为需要公开信息来保护我们的权利、保护您或用户或他人的安全、调查欺诈行为或出于国家安全和/或执法目的而回应政府要求时(包括您或用户居住国家/地区以外的公共和政府机构)。

除非法律另有规定,否则只要有关于提供对服务个人信息的访问权限的请求,Oracle 就会及时通知您。

2.全球数据保护官

Oracle 已任命了全球数据保护官。如果您或用户认为我们对个人信息的使用方式与本隐私政策不符,或者您或用户对 Oracle 处理服务个人信息或系统操作数据中所含的个人信息有其他相关的问题、意见或建议,请通过填写查询表单与全球数据保护官联系。

向全球数据保护官提出的书面质询可以邮寄至:

Oracle Corporation
Global Data Protection Officer
10 Van de Graaff Drive
Burlington, MA 01803
U.S.A.

3.争议解决或提交投诉

如果您或用户对我们遵守我方隐私和安全做法方面有任何投诉,请首先与我们联系。我们将展开调查并尝试解决有关我们隐私做法的任何投诉和争议。

如果用户有未满意解决的隐私或数据使用问题,可以与我们的美国总部第三方争议解决提供商联系(免费),网址为 https://feedback-form.truste.com/watchdog/request

在某些情况下(根据隐私保护网站上规定的情形),当其他争议解决程序用尽时,用户可以请求有约束力的仲裁。如果用户是欧盟成员国的居民,他们还有权向具有管辖权的数据保护机构提交投诉。


了解更多