Oracle 法律信息

Oracle 慎重对待隐私
Oracle 服务隐私政策

本 Oracle 服务隐私政策（下文简称为“服务隐私政策”）分为三个部分：

I. 第一部分（服务个人信息数据处理条款）规定了 Oracle Corporation 及其关联公司（统称为“Oracle”）员工在以下情况中采用的隐私和安全做法：在您的服务订单期限内处理服务个人信息（如下文所定义）以便向 Oracle 客户（下文简称为“您”或“贵方”）提供技术支持、咨询、云或其他服务（统称为“服务”）。

服务个人信息是指由您提供、驻留在 Oracle、客户或第三方系统和环境中且由 Oracle 代表您处理以便提供服务的个人信息。服务个人信息可能包括如下内容（具体视服务而定）：与家庭、生活方式和社会环境相关的信息、就业详细信息、财务明细、诸如移动设备 ID 和 IP 地址等线上标识符以及第一方线上行为和兴趣数据。服务个人信息可能与您的代表和最终用户相关，例如您的员工、求职者、合同工、合作者、合作伙伴、供应商、顾客和客户。

II.第二部分（系统操作数据处理条款）描述了对可能偶然包含在系统操作数据中的个人信息适用的隐私和安全做法，这些信息是由我们服务的最终用户（下文简称为“用户”）与用于监控、保护并向我们客户群交付服务的 Oracle 系统和网络交互所生成的。

系统操作数据可能包括日志文件、事件文件和其他跟踪与诊断文件，以及与我们服务的使用和操作及其运行系统和网络相关的统计和汇总信息。

III.第三部分（面向客户和用户的通信和通知）适用于服务个人信息以及系统操作数据中包含的个人信息，其中描述了 Oracle 如何处理法律要求的披露请求，并告知您和用户如何与 Oracle 全球数据保护官沟通或提交投诉。

服务个人信息和系统操作数据的定义不包括从 Oracle 网站的使用中收集的您或用户的联系及相关信息，也不包括您或用户在签约过程中与我们的交互信息。Oracle 处理此信息受一般 Oracle 隐私政策的约束。

I. 服务个人信息数据处理条款

Oracle 根据本政策的第 I 部分和第 III 部分以及您的服务订单中的条款处理所有服务个人信息。

如果本服务隐私政策的条款与您的服务订单（包括 Oracle 数据处理协议）中所含的任何隐私条款之间存在任何冲突，则以您的服务订单的相关隐私条款为准。

1.服务执行情况

Oracle 可能针对执行服务所必需的处理活动（包括测试和应用新产品或系统版本、补丁、更新和升级，以及解决您向 Oracle 报告的错误和其他问题）处理服务个人信息。

2.客户指示

您可以控制 Oracle 为了开展服务而执行的服务个人信息处理。Oracle 将按照您的服务订单中的规定以及您在必要时记录的额外书面指示处理您的服务个人信息，以支持 Oracle 满足以下要求：(i) 遵守适用数据保护法规定的处理方义务，或 (ii) 根据与您使用服务相关的适用数据保护法规定，帮助您遵守您的控制方义务。如果我们有合理依据认为您的指示违反了适用的数据保护法，Oracle 将及时通知您。可能收取的额外费用。

3.个人权利

您应当控制您的最终用户对您服务个人信息的访问，而且您的最终用户应当将与其服务个人信息相关的任何请求都发送给您。如果您不具备此类访问权限，Oracle 将针对以下目的的个人请求提供合理协助：访问、删除或清除、限制、纠正、接收和传输、阻止访问或反对处理 Oracle 系统上的服务个人信息。

4.安全性和机密性

Oracle 已实施并将维护有效的技术和组织措施，旨在防止意外或非法破坏、丢失、更改、未经授权披露或访问服务个人信息。这些措施通常符合 ISO/IEC 27001:2013 标准，涵盖对服务适用的所有安全性领域，包括物理访问、系统访问、数据访问、传输、输入、安全监督和执行。

Oracle 要求员工维护个人信息的机密性。员工的义务包括签署书面保密协议、参加定期的信息保护培训，以及遵守与机密信息保护相关的公司政策。

查看有关服务安全做法中对这些服务实施的具体安全措施的附加详细信息，包括有关数据保留和删除的信息。

5.事件管理和数据违规通知。

Oracle 会及时评估并响应导致疑似或明确未经授权访问或处理服务个人信息的事件。

如果 Oracle 确定涉及服务个人信息的事件被鉴定为安全违规的行为（这些行为可能导致盗用或意外或非法破坏、丢失、更改、未经授权披露或访问 Oracle 系统上存储或以其他方式处理的服务个人信息，进而影响此类服务个人信息的安全性、机密性或完整性），Oracle 将立即向您报告此类违规行为。

如果关于违规操作的信息被收集或以其他方式合理提供给 Oracle ，且在法律允许的情况下，Oracle 将向您提供关于将违规操作合理提供给 Oracle 或让其知晓的其他相关信息。

6.下级处理方

如果 Oracle 允许第三方下级处理方访问服务个人信息以协助提供服务，这些下级处理方应根据您的服务订单的条款实施与 Oracle 相同级别的数据保护和安全措施。Oracle 有责任确保其下级处理方符合您的服务订单的条款。

Oracle 将维护关于可能处理服务个人信息的 Oracle 关联公司和下级处理方列表。您可以通过 My Oracle Support (https://support.oracle.com) 文档 ID 2121811.1 或为服务提供的其他适用的主要支持工具获得更多信息。

7.跨境数据传输

Oracle 是一家全球性公司，在 80 多个国家/地区开展业务，我们会在必要情况下根据本政策在全球范围内处理服务个人信息。如果服务个人信息被传输到未对个人信息提供充分保护的国家/地区中的 Oracle 接收者，Oracle 将采取适当措施保护服务个人信息，例如，确保此类传输受 EU 标准条款的条款或相关数据保护要求的其他适当传输机制的约束。

如果您与 Oracle 之间的服务协议引用了 Oracle 服务数据处理协议（以下简称“DPA”），DPA 中将提供适用于您的 Oracle 服务订单的相关数据传输机制的更多详细信息。特别是，对于从欧洲经济区（以下简称“EEA”）、瑞士或英国（以下简称“UK”）传输的服务个人信息，此类传输必须遵守 Oracle 具有约束力的处理方公司规则 (BCR-P) 或 EU 标准条款的条款。

8.审计权利

只要在您的服务订单规定的范围内，都可以在提议的审计日期之前至少提前六周向 Oracle 发送书面请求、并自行承担费用对Oracle 对本服务隐私政策条款的遵守情况进行审计（包括详细的审计计划）。您与 Oracle 将合作协定最终审计计划。

审计应符合以下要求：在十二个月的期间内不得超过一次，在正常工作时间内进行，遵守 Oracle 现行政策和法规，并且不得不合理地干扰商业活动。如果您希望第三方执行审计，则第三方审计员应由双方一致同意，并且第三方审计员必须签署 Oracle 可接受的书面保密协议。审计完成后，您需要向 Oracle 提供审计报告的副本，该报告将根据您与 Oracle 之间的协议条款归类为机密信息。

Oracle 将通过向您提供审计所需的信息和合理帮助来帮助开展此类审计，包括适用于服务的处理活动的任何相关记录。如果已在 SOC 1 或 SOC 2、ISO、NIST、PCI DSS、HIPAA 或由合格第三方审计员在过去十二个月内发布的类似审计报告中规定了请求的审计范围，Oracle 将会向您提供此类报告，确认已审计的控制中没有已知的材料变更，您应该同意接受第三方审计报告中提供的结果，而不要请求对报告所涵盖的相同控制进行审计。附加审计条款可能包括在您的服务订单中。

9.删除或返还服务个人信息

除非服务订单另有规定或法律要求，否则在服务终止时或根据您的要求，Oracle 将删除 Oracle 计算机上您的客户生产数据以确保这些数据无法通过正常方式访问或读取，除非 Oracle 需要履行相关的法律义务来防止删除全部或部分数据。在服务结束之前，您可以咨询 Oracle 服务联系人，了解有关数据删除的更多信息。

II.系统操作数据处理条款

1.关于处理个人信息的责任和目的

Oracle Corporation 及其关联实体负责根据本政策的第 II 部分和第 III 部分处理可能偶然包含在系统操作数据中的个人信息。请参阅 Oracle 实体的列表。请选择一个地区和国家，以查看各国家/地区的 Oracle 实体的注册地址和详细联系信息。

我们可能出于以下目的收集或生成系统操作数据：

• a) 帮助确保我们的服务安全，包括安全监控和身份管理；
• b) 调查和防止涉及我们系统和网络的潜在欺诈或非法活动，包括预防网络攻击和检测机器人；
• c) 管理我们的灾难备份恢复计划和政策；
• d) 确认符合许可和其他使用条款（许可证合规性监控）；
• e) 用于研发目的，包括分析、开发、改进和优化我们的服务；
• f) 遵守适用的法律法规以及经营我们的业务，包括遵守法律规定的报告、披露或其他法律程序请求，用于兼并和收购、财务和会计、存档和保险目的、法律和商业咨询以及争议解决。

对于在 EU 收集的系统操作数据中包含的个人信息，我们处理此类信息的法律依据是我们在执行、维护和保障我们的产品和服务安全以及以有效和适当的方式经营我们的业务方面的合法权益。为了遵守此类法律义务，个人信息也可能根据我们的法律义务或合法利益进行处理。

2.分享个人信息

系统操作数据中包含的个人信息可能在整个 Oracle 全球组织中共享。可按上述所示获得 Oracle 实体列表。

我们还可能与以下第三方共享此类个人信息：

• 第三方服务提供商（例如 IT 服务提供商、律师和审计员），以便于这些服务提供商代表 Oracle 执行业务功能；
• 对我们的全部或部分业务、资产或股票（包括与任何破产或类似诉讼有关的内容）进行重组、合并、出售、合资、转让、转移或其他处置时的相关第三方；
• 根据法律要求，例如遵守传票或其他法律程序的规定，当我们有合理依据认为需要公开信息来保护我们的权利、保护您或他人的安全、调查欺诈行为或出于国家安全和/或执法目的而回应政府要求（包括您居住国家/地区以外的公共和政府机构）时。

当第三方获得访问系统操作数据中所含的个人信息的权限时，我们将采取适当的合同、技术和组织措施，确保仅在确实必要、与本隐私政策相符并且符合适用法律要求时才能处理个人信息。

3.跨境数据传输

如果将系统操作数据中所含的个人信息传输给 Oracle 接收人但该接收人所在的国家/地区不对个人信息提供足够程度的保护，Oracle 将采取适当措施为用户的信息提供足够的保护，例如确保此类传输受到 EU 标准条款的约束。

4.安全性

Oracle 已根据 Oracle Corporate 安全实践实施相应的技术、物理和组织措施，旨在防止个人信息受到意外或非法破坏或发生意外丢失、损坏、更改、未经授权的泄露或访问，以及所有其他形式的非法处理（包括但不限于不必要的收集）或进一步处理。

5.用户选项

在适用法律规定的范围内，用户可以在某些情况下请求访问、更正、更新或删除系统操作数据中包含的个人信息，或者通过填写查询表，以其他方式实施与其个人信息相关的选项。

III.与客户和用户的沟通和通知

1.法律要求。

根据法律要求，Oracle 可能被要求提供对服务个人信息以及系统操作数据中所含的个人信息的访问权限，例如遵守传票或其他法律程序的规定，当我们有合理依据认为需要公开信息来保护我们的权利、保护您或用户或他人的安全、调查欺诈行为或出于国家安全和/或执法目的而回应政府要求时（包括您或用户居住国家/地区以外的公共和政府机构）。

除非法律另有规定，Oracle 会及时通知您关于提供访问服务个人信息权限的请求。

2.全球数据保护官

Oracle 已任命了一名全球数据保护官，他也是 Oracle 的首席隐私官。如果您或用户认为我们对个人信息的使用方式与本隐私政策不符，或者您或用户对 Oracle 处理服务个人信息或系统操作数据中所含的个人信息有其他相关的问题、意见或建议，请通过填写咨询表与数据保护官联系。

向全球数据保护官提出的书面咨询可以邮寄至：

Oracle Corporation
Global Data Protection Officer
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
U.S.A.

对于在 EU/EEA 地区内收集的个人信息，发给 EU 数据保护官的书面咨询请发至以下电子邮箱：

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Germany

对于在巴西收集的个人信息，发给巴西数据保护官的书面咨询请发至以下电子邮箱：

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, BR

3.争议解决或提交投诉

如果您或用户对我们遵守我方隐私和安全做法方面有任何投诉，请首先与我们联系。我们将展开调查并尝试解决有关我们隐私实践的任何投诉和争议。

如果用户有未满意解决的隐私或数据使用问题，可以与我们的美国总部第三方争议解决提供商联系（免费），网址为 https://feedback-form.truste.com/watchdog/request。

在某些情况下，在用尽其他全部争议解决程序时，用户可以调用具有约束力的仲裁。如果用户是欧盟成员国的居民，他们还有权向具有管辖权的数据保护机构提交投诉。

4.本服务隐私政策的变更

本隐私政策的最近更新日期为 2021 年 4 月 9 日。但是，本服务隐私政策可能随着时间的推移而发生变化，例如为了遵守法律要求或满足不断变化的业务需求。最新版本可在该网站上找到。如有重大变更，我们将在变更生效之前以其他适当方式（例如，通过弹出通知或网站上的变更声明）通知您。

先前版本： 1/19/21 | 10/20/20 | 3/7/19 | 2/14/19