Shopify 資料處理附加條款

最後更新日期: 2025 年 7 月 25 日

Shopify 資料處理附加條款

I. 目的

本《Shopify 資料處理附加條款》(「DPA」) 為 Shopify 服務條款 的補充文件,並以引用方式納入該條款,另包含您選用之任何其他 Shopify 服務所適用的相關條款 (統稱「服務條款」)。本服務條款由您 (或稱「商家」) 與服務條款中所載明的 Shopify 合約實體 (「Shopify」) 簽訂,用以規範與本 DPA 有關的具體商業目的與服務內容。若本 DPA 與服務條款間有任何衝突,則就處理您顧客的個人資料而言,應以本 DPA 為準,定義如下。

您與 Shopify (個別稱為「一方」,合稱「雙方」) 同意,本 DPA 明定雙方在處理您顧客的個人資料所應遵守的義務。就您使用依賴我們處理您顧客的個人資料之服務而言,您將作為資料控管者,而 Shopify 將作為資料處理者,附錄 E中描述的服務除外。

若根據本 DPA 處理個人資料時受到歐洲經濟區 (「EEA」)、英國 (「UK」) 或瑞士的資料保護規範約束,且 Shopify 作為資料處理者時,則應由附錄 C 作為本 DPA 的補充文件。若附錄 C 與本 DPA 其他條款有衝突,則在處理受到 EEA、英國和瑞士資料保護規定約束的顧客個人資料當事人時,應以附錄 C 為準。為免疑義,附錄 C 不適用於附錄 E 中說明的處理活動。

若根據本 DPA 處理個人資料時受到美國資料保護法約束,且 Shopify 作為資料處理者或服務供應商時,則應由附錄 D 作為本 DPA 的補充文件。若附錄 D 與本 DPA 其他條款有衝突,則在處理受到美國資料保護法約束的顧客資料當事人時,應以附錄 D 為準。為免疑義,附錄 D 不適用於附錄 E 中說明的處理活動。

如果您獲得 Shopify 的加強服務 (如 [服務條款] 第 9.2 條的定義 (/tw/legal/terms)),Shopify 應依照附錄 E中的規定,作為資料控管者或企業處理您顧客的個人資料。若附錄 E 與本 DPA 其他條款有衝突,則在 Shopify 作為資料控管者或企業處理您顧客的個人資料方面,應以附錄 E 為準。

為免疑義,本 DPA 不適用於 Shopify 處理因顧客透過 Shop 和 Shop Pay 等服務與 Shopify 建立關係而收到的任何顧客相關個人資料。

II. 定義

本 DPA 中所使用但未定義之專有名詞,應與服務條款中所賦予的定義相同:

A. 適用的資料保護法律:指適用於 Shopify 根據服務條款處理個人資料之任何資料保護或隱私法,以及其施行細則與次級法規 (各項法規均可能不時修訂、更新或取代),包括視商家及/或顧客所在地或居住地而適用的下列法規:

B. 顧客:指造訪、與您的商店互動及/或從您的商店購買產品、商品或服務的個人或實體。

C. 資料權要求:指個人根據適用資料保護法,為行使其關於個人資料之可用權利而提出的有效合法要求。

D. 資料控管者或企業:指決定個人資料處理目的與方式的一方,或依適用資料保護法律中所定義的角色。

E. 資料處理者或服務供應商:指代表資料控管者並依其指示,或根據任何適用的資料保護法之定義,提供處理個人資料服務的一方、實體或企業。

F. 個人資料:根據適用資料保護法,定義為「個人資料」、「個人資訊」或「個人識別資訊」 (或類似術語) 的資訊或資料。

G. 個人資料外洩:就您顧客的個人資料而言,應依適用資料保護法律進行解釋。

H. 「處理」、「處理行為」或「資料處理」:(a) 指針對個人資料或個人資料組合所執行的任何操作或一組操作,無論是否透過自動化方式,例如收集、記錄、整理、建構、儲存、調整或修改、檢索、查閱、使用、透過傳輸披露、散佈或以其他方式提供、符合或合併、限制、刪除或銷毀;或 (b) 適用資料保護法中對該術語所下的定義。

I. 「複委託者」:指為提供服務之目的,按照 Shopify 的指示處理個人資料的附屬公司或第三方資料處理者或服務供應商。

J. 「」、「您的」或「商家」:指您經營並使用或受益於服務、加強服務或其他附加服務,且為 Shopify 服務條款一方的每個企業。

K.「您顧客的個人資料」:來自或關於您顧客的個人資料,但不包括 Shopify 因顧客與 Shopify 的關係而收到的任何顧客相關個人資料,該資料受 Shopify 的消費者隱私權政策而非本 DPA 管轄。

III. 資料處理的性質與雙方角色

**Shopify 作為資料處理者或服務供應商。**Shopify 會接收並處理您顧客的個人資料,以便向您提供服務,且包括下文所述的其他用途。根據您所申請或使用的服務類型,Shopify 將依據附錄 A 中所列的類別、方式與處理依據來處理相關個人資料。

Shopify 應作為資料處理者或服務供應商處理您顧客的個人資料,僅用於提供條款和任何補充條款中指示的服務,並視需要提供、開發和改進其服務,並從事適用資料保護法允許的任何其他目的。

**Shopify 作為資料控管者或企業。**Shopify 在下列情況中應作為資料控管者或企業處理您顧客的個人資料:(a) 處於附錄 E 中規定的情況和方式,以及 (b) 用於與顧客指示和適用資料保護法相容的任何其他目的。

IV. 雙方的義務

以下章節說明雙方就本 DPA 涵蓋之個人資料處理所應履行的責任與義務。

A. 一般合規事項

  1. 雙方將遵守各自於適用資料保護法律下的義務。

  2. Shopify 並無義務針對您在適用資料保護法下的義務提供解釋或建議,包括涉及本 DPA 涵蓋的個人資料處理相關事項。您應全權負責判斷自身的法律與監管義務,包括評估本服務所提供的技術與組織措施是否符合您獨立的法律與監管義務。

B. Shopify 的義務

1. 資料安全性
Shopify 將實施並維持適當的技術與組織措施,以保護您顧客的個人資料免遭未經授權或非法處理,並防止意外遺失、毀損、損壞、竊取、篡改或披露等狀況,相關措施載明於附錄 B

2. 個人資料外洩通知與調查

a) 依適用資料保護法之要求,Shopify 將在確認任何個人資料外洩事件後通知您。

b) 該通知將包含適用資料保護法所要求的資訊,前提是 Shopify 可合理取得此類資訊。Shopify 對個人資料外洩事件的回應或通知,不應視為 Shopify 承認存在任何過錯或法律責任。

c) Shopify 同意對任何個人資料外洩事件進行調查,並以商業上合理的努力來識別、防止、緩解和補救其影響。

C. 您對個人資料應負的義務

**1. 隱私權聲明與透明度:**您聲明並保證,您遵守適用資料保護法下關於提供通知與資訊透明度的所有義務,說明您依據服務條款及使用服務期間所進行的顧客個人資料處理。依據適用資料保護法,您應向相關個體提供所有必要的披露內容,讓 Shopify 得以合法且公平地依據本 DPA 處理您顧客的個人資料,包括當您獲得加強服務或其他附加服務時,提供 Shopify 的顧客隱私權政策或您自有的隱私權政策連結,以及提供服務條款第 9.2.5 節規定的其他披露事項。

2. 顧客權利與授權:您聲明並保證,您已依法取得所有必要的權利、授權和同意,以便依據服務條款、本 DPA 和適用資料保護法之規定,向 Shopify 提供您顧客的個人資料並使其處理您顧客的個人資訊,以便您接受服務 (包括您接受的加強服務或其他附加服務)。

**3. 資料權要求:**您聲明並保證,您已依適用資料保護法的要求,向您的顧客提供行使資料權要求的機會,針對由 Shopify 處理且您為資料控管者的您顧客的個人資料,均能依法執行。

4. 監管查詢:除非適用法律禁止,您應依服務條款中的通知條款,立即通知我們任何政府機關、監管機構或其他第三方對您使用服務所提出的查詢或投訴。

V. 其他事項條款

A. 全球資料傳輸
您瞭解,您顧客的個人資料可能會在 Shopify、其附屬公司或第三方服務供應商所在的任何國家/地區 (包括新加坡和加拿大)。將您顧客的個人資料傳輸給這些接收方時,將遵守適用資料保護法。如果 Shopify 受到歐洲經濟區 (EEA)、英國或瑞士之資料保護需求約束,請參閱附錄 C 第 II(B) (8) 節瞭解更多關於國際資料傳輸的資訊。

B. 回應法律要求

  1. 您知悉,在 Shopify 為您提供服務的過程中,可能基於以下目的分享您顧客的個人資料:(i) 遵守法律需求,或回應法院命令或其他類似的政府或監管機構要求;(ii) 防止或調查涉嫌詐騙、人身安全威脅、非法行為,或違反合約 (如 服務條款) 或我們政策 (如 使用限制政策) 的行為。

  2. Shopify 在提供您顧客的個人資料前,將盡合理努力確認該披露行為已取得適用資料保護法允許,並視為在適用法律框架下的機密資訊加以處理。

C. 公司交易中的披露
您知悉,在向您提供服務的過程中,Shopify 可能需要向任何公司或重整交易的潛在交易對手分享您顧客的個人資料。

D. Shopify 使用服務供應商

  1. 您知悉並同意,Shopify 在向您提供服務的過程中可能會使用服務供應商處理您顧客的個人資料。Shopify 會維護最新版曾使用的 服務供應商清單。如果適用的資料保護法授予您權利,您可以反對 Shopify 使用服務供應商,且若 Shopify 無法或不願意滿足此類要求,您可以根據此類法律,在根據服務條款發出此類通知後的 30 天內終止您對受影響服務的使用。

  2. Shopify 使用服務供應商處理您提供的顧客個人資料時將遵守適用的資料保護法。Shopify 若聘用服務供應商,將會與其簽訂書面協議,該協議規定的合約義務與本 DPA 中規定的合約義務基本相同。

E. DPA 修訂
您知悉並同意,Shopify 得不時在其網站 (https://shopify.com/legal/dpa) 上發布本 DPA 之相關修訂和重述,藉以修訂本 DPA,且本 DPA 之此類修改自發布之日起即會生效。如您在本 DPA 之修訂於 Shopify 網站上發布後繼續使用本服務,即表示您同意並接受本 DPA 之修訂。如您不同意本 DPA 的任何變更,請勿繼續使用本服務。

VI. 附錄

  1. 附錄 A - 個人資料類別

  2. 附錄 B - 資料安全

  3. 附錄 C -《一般資料保護規則》、英國《一般資料保護規則》和瑞士資料處理附錄

  4. 附錄 D - 美國資料保護法

  5. 附錄 E - Shopify 作為資料控管者或企業提供加強服務

附錄 A:個人資料類別

作為您使用服務的一部分且依據您使用的服務,我們可能會接收和處理以下類別的個人資料以提供服務:

● 顧客名稱、電子郵件、聯絡資訊、帳單和運送資訊。

● 自您商店購買和其他交易的資訊。

● 您或您的商店的交易狀態相關更新

● 您商店中的顧客活動,包括查看的商品及/或購物車中包含的產品。

● 顧客偏好訊號,包括全球隱私控制 (「GPC」)、選擇退出和選擇加入等訊號。

● 顧客造訪您商店時使用的裝置之資訊,包括 IP 位址、瀏覽器和網路活動。

● 顧客與您互動的其他相關資訊。

● 您或您顧客選擇向 Shopify 提供的任何其他個人資料。

附錄 B:資料安全

Shopify 將維持一項資訊安全計畫,旨在 (a) 使您能夠保護您顧客的個人資料免遭未經授權或非法處理,以及意外遺失、毀損、損壞、竊取、竄改或披露;(b) 識別您所收到服務的安全性和可用性之合理可預見風險;(c) 盡可能減少服務的安全風險。

I. Shopify 的資訊安全計畫將包含以下保護措施:

A. 邏輯安全

  1. 存取權控制:Shopify 將僅允許授權人員存取其系統,並且僅能在維護和提供服務所需的情況下存取。Shopify 將維持存取權控制以及旨在管理系統存取授權的政策,當中包括使用防火牆及/或其他技術和身分驗證控制。

  2. 限制使用者存取權:Shopify 將 (i) 根據人員工作職能,按照最低權限原則提供和限制系統存取權,以及 (ii) 要求使用雙因素驗證 (2FA) 存取系統。

  3. 漏洞評估:Shopify 將維持漏洞評估和滲透測試相關計畫,負責調查和追蹤服務中發現的問題,並在必要時加以解決。

  4. 應用程式安全:Shopify 將維持應用程式安全計畫,負責保護服務免受應用程式安全威脅。

  5. 變更管理:Shopify 將維持旨在記載、授權、測試、核准和記錄對現有服務資源變更的控制,且將在其變更管理或部署工具中記錄變更的詳細資訊。Shopify 將在移轉至生產之前根據其變更管理標準測試變更。

  6. 資料完整性:在適當的情況下,Shopify 將在服務內傳輸、儲存和處理等過程中,維持旨在提供資料完整性的控制。

  7. 可用性:Shopify 將 (i) 在適當的情況下為服務實施冗餘,讓故障對服務的影響降至最低,(ii) 設計服務以預測和容忍故障,以及 (iii) 實施適當的流程,以在必要時將個人資料流量移出受影響的區域,以自故障中恢復。

  8. 業務連續性和災難復原:Shopify 將維持風險管理計畫,旨在支援其關鍵業務功能的連續性,包括識別、應對可能阻止或嚴重損害您收到的 Shopify 服務之事件的流程和程序,以及從中復原的流程和程序。

  9. 事件管理:Shopify 為您提供文件,以便您回報安全或可用性事件、詢問安全或可用性問題,以及提交潛在安全或可用性問題的相關資訊。Shopify 將維持糾正行動計畫和事件應對計畫,旨在偵測、減輕、調查和應對服務的潛在安全威脅。

B. 實體安全:若在必要時為保護服務,Shopify 將 (i) 實施合理措施,旨在防止未經授權的實體存取、損壞或服務干擾,(ii) 使用適當的控制裝置,旨在將服務實體存取權設為僅限具有正當業務需要的授權人員,以及 (iii) 進行定期審查以驗證是否遵守這些標準。

C. Shopify 員工:有權存取您顧客的個人資料的 Shopify 員工在其僱用條款中受保密義務約束。Shopify 將實施並維持關於 Shopify 資訊安全要求的員工安全培訓計畫。安全意識培訓計畫將定期接受審查和更新。

II. 本附錄之修改

Shopify 會不時檢視其安全措施,並可自行決定更新本附錄。自 Shopify 發布更新版之日起,任何這類更新內容將取代本附錄過去的版本。

附錄 C:《一般資料保護規則》、英國《一般資料保護規則》和瑞士資料處理附錄

如果根據本 DPA 處理您顧客的個人資料時受歐洲經濟區 (「EEA」)、英國 (「UK」) 或瑞士 (統稱為「歐洲資料保護法」) 的資料保護規範約束,且 Shopify 作為資料處理者,則應由附錄 C 作為本 DPA 的補充文件。

I. 資料處理的性質與雙方角色

A. 個人資料

根據本附錄,您將作為資料控管者且 Shopify 將作為資料處理者,按照附件 1 所述處理您顧客的個人資料,以滿足服務條款中概述的業務目的,並向您提供您選擇使用的服務。

II. 雙方的義務

A. 您的義務

您應遵守:

● 在您使用服務時對您具約束力的歐洲資料保護法;以及

● DPA 中規定的義務,包括本附錄中規定的義務。

您聲明並保證,您擁有處理您顧客的個人資料 (包括讓 Shopify 可取得任何此類資料) 的有效法律依據,並且已獲得所有必要同意、權利和授權,並已向個人發出任何必要通知,以使 Shopify 能夠依照歐洲資料保護法的要求處理您顧客的個人資料,以便提供服務。

B. Shopify 的義務

1. 控管者的指示和違反歐洲資料保護法

a) 雙方同意,本服務條款連同本 DPA 構成您關於 Shopify 處理您顧客的個人資料的書面指示 (「書面指示」)。

b) Shopify 會在下列情況作為資料處理者處理您顧客的個人資料:(i) 根據您的書面指示,或 (ii) 遵守 Shopify 在適用法律下的義務,且遵守 Shopify 所遵守的 EEA、EEA 成員國、UK 或瑞士法律下的任何通知要求。

c) 如果 Shopify 收到合理確定侵犯歐洲資料保護法的指令,將會通知您 (但 Shopify 沒有義務主動監控您是否遵守歐洲資料保護法)。

2. 保密義務

Shopify 將確保其授權處理您顧客個人資料的人員簽署書面保密協議或遵守法定保密義務。

3. 安全措施

a) Shopify 應實施並維持適當的技術與組織措施,以保護您顧客的個人資料免遭未經授權或非法處理,並防止意外遺失、毀損、損壞、竊取、未授權存取、篡改或披露等狀況,相關措施載明於附件 2

b) 考慮到您顧客的個人資料和相關處理的性質,Shopify 應提供您可能合理要求的合理協助,以協助您履行歐洲資料保護法規定的安全義務。

c) Shopify 在意識到安全漏洞導致您傳輸、儲存或以其他方式處理您顧客的個人資料意外或遭非法破壞、遺失、竄改、未經授權披露或存取時,應立即通知您。

d) Shopify 同意對任何此類安全漏洞進行調查,並盡商業上的合理努力緩解其影響。

4. 複委託者

a) 您通常會授權 Shopify 聘僱複委託者處理您顧客的個人資料。您進一步同意 Shopify 可以聘請其聯盟夥伴擔任複委託者。

b) Shopify 將在遵守歐洲資料保護法的情況下,使用複委託者處理您顧客的個人資料。

c) Shopify 會維持附件 3 中所述最新版 所有複委託者清單。Shopify 將根據需要更新複委託者清單,並為您提供獲得新增或更換複委託者通知之機制。您可以反對 Shopify 使用新的複委託者。

d) 如果您反對 Shopify 使用複委託者,且 Shopify 無法或不願意滿足此類要求,您可以在收到此類通知後的 30 天內根據服務條款終止使用受影響服務。

e) 如果 Shopify 聘僱新的複委託者,Shopify 將與其簽訂書面協議,並且 Shopify 將對複委託者施加與本 DPA 中規定的合約義務基本相同的合約義務。Shopify 應該對其複委託者的作為和不作為承擔全部責任,其責任範圍與 Shopify 根據本 DPA 的條款直接履行每個複委託者的服務時承擔的責任範圍相同。儘管如此,Shopify 的責任仍將受服務條款中規定的條件和責任限制約束。

5. 協助控管者
考慮到您顧客的個人資料和相關處理的性質,Shopify 應針對您可能提出的合理要求提供合理協助,以協助您遵守義務:

● 根據歐洲資料保護法,就 Shopify 對您顧客的個人資料的所有處理,回應資料權請求;

● 向相關部門及/或資料當事人通知個人資料外洩情況;

● 進行資料保護影響評估和事前諮詢;

● 根據第 3 條確保處理的安全性。

6. 合規評估

a) Shopify 得根據您的書面要求並在保密的前提下,透過向您提供以下資訊以履行您根據《歐洲資料保護法》享有的與您顧客的個人資料處理相關審計權:

(i) Shopify 最新的審計報告結果,該報告來自 Shopify 的自我審計或由獨立的第三方審計師編制;
(ii) 資料保護或政府機構要求時 Shopify 控制的其他資訊。

b) 您只能在歐洲資料保護法授予權利的範圍內,行使您的審計權:(i) 在獨立的國際認可審計師證明 Shopify 提供的審計報告未提供足夠的資訊供您驗證 Shopify 是否遵守本 DPA 和歐洲資料保護法的情況,或 (ii) 在您回應政府機構審計的需要時。每次審計都必須符合下列因素:(i) 由與 Shopify 簽訂保密協議的獨立第三方進行;(ii) 範圍應限於您評估 Shopify 遵守本 DPA 的情況以及雙方同意的合理要求的事項,以及雙方對歐洲資料保護法的遵守情況;(iii) 在雙方同意的日期和時間發生,並且僅在 Shopify 的營業時間內;(iv) 每年發生不超過一次 (除非根據歐洲資料保護法有需要);(v) 僅涵蓋 Shopify 控管的設施;(vi) 將調查結果限制為您顧客的個人資料;並且 (vii) 在歐洲資料保護法允許的最大範圍內將任何結果視為機密資訊。為釐清疑義,Shopify 將根據其對第三方的保密義務遵守第 6 條所規定的您的任何權利。

7. 處理結束

a) 在您使用本服務期間,您可以利用帳號工具存取、傳回或刪除您顧客的個人資料。

b) 終止後,Shopify 將根據您的選擇刪除或傳回您顧客的個人資料。儘管有上述規定,Shopify 仍可能在下列情況下保留您顧客的個人資料:(i) 根據法律要求,包括歐洲資料保護法;以及 (ii) 按照其標準備份或記錄保留政策,無論哪種情況,前提是 Shopify 都會維持所保留您顧客個人資料之機密性,並遵守本 DPA 中所保留您顧客個人資料的相關適用規定,並且不會進一步處理所保留您顧客個人資料,此類適用法律允許之目的和時間除外。

8. 國際轉移

a) 在遵守歐洲資料保護法的前提下,Shopify International Ltd. 得根據需要將根據本附錄處理的您顧客個人資料傳輸到歐洲經濟區 (EEA)、英國和瑞士以外地區,以提供其服務 (「國際轉移」)。

b) 此類轉移主要包括將您顧客的個人資料傳輸到位於加拿大的 Shopify Inc.,該公司受益於歐盟委員會 2001 年 12 月 20 日的 2002/2/EC 號決議,該決議規定了加拿大個人資訊保護和電子文件法對個人資料的充分保護。

c) 任何向無法確保歐洲資料保護法所定義充分資料保護水準的國家進行的國際轉移,都將受到適當的保障措施,包括以下轉移機制:

● 歐盟委員會於 2021 年 6 月 4 日通過的第 2021/914/EC 號決議中核准的 2021 年合約標準條款下的相關模組;

● 英國資訊委員辦公室根據 2018 年英國資料保護法第 S119A(1) 條,針對國際資料傳輸發布的《歐盟委員會合約標準條款》之國際資料傳輸附加條款;

● 已修訂 2021 年合約標準條款以滿足 1992 年 6 月 19 日《瑞士聯邦資料保護法》 (不時修訂) 和該法案的 2001 年 9 月 25 日修訂版的要求;以及

● 任何合約標準條款、國際資料傳輸附加條款或可能取代現行條款和附加條款的其他條款、附加條款或傳輸機制。

d) Shopify 得自行決定更換任何傳輸機制,以確保資料傳輸符合適用法律。如果轉讓以合約標準條款為基礎,且該條款由相關部門更新,則此類更新條款或類似協議將納入本 DPA,如同本 DPA 中的完整說明。

附件 1 - 個人資料

個人資料處理說明

I. 處理主旨

向商家提供 Shopify 服務。

II. 資料當事人的類別

商家顧客。

III. 已處理個人資料的類別

請參閱上方的附錄 A

IV. 轉移頻率

持續進行。

V. 處理性質

依照服務條款說明,收集、記錄、代管、存取、使用、傳輸和刪除個人資料。

VI. 代表控管者處理個人資料之目的

為依照服務條款說明執行和改進本服務。

VII. 處理時長

服務條款或適用協議規定的服務時長,加上服務到期後直至資料匿名化、回傳或刪除的期限。

VIII. 領導監督機關領導監督機關將為愛爾蘭資料保護委員會。

附件 2 - 安全措施

DPA 的附錄 B 提供安全措施相關資訊。

附件 3 - 複委託者清單

Shopify 根據服務條款履行服務時所使用的複委託者皆列於 此處

在與 Shopify 簽訂的協議有效期內,複委託者將處理與服務有關的上述個人資料類別。

附錄 D:美國資料保護法

本節僅適用於以下範圍:(i) 美國資料保護法適用於您及/或與您使用服務有關的您顧客的個人資料;(ii) 美國資料保護法要求下列規定;以及 (iii) Shopify 作為資料處理者或服務供應商。為免疑義,本附錄 D 不適用於附錄 E所述的處理活動。

A. 雙方同意,本服務條款連同本 DPA 構成您關於 Shopify 處理您顧客的個人資料的書面指示 (「書面指示」)。

B. 除附錄 E所規定您獲得某些加強服務的情況外,Shopify 不會:(i) 在與您的直接業務關係之外或出於本 DPA 及/或服務條款中確定的有限和特定目的以外之任何其他目的而保留、使用或披露您顧客的個人資料,包括提供、開發和改進服務,除非適用的美國資料保護法另外允許,或 (ii) 在 CCPA 或其他美國資料保護法的定義範圍內「出售」或「分享」您顧客的個人資料,或利用您顧客的個人資料提供「目標式廣告」;或 (iii) 將您顧客的的個人資料與從其他來源獲得的個人資料結合,除非美國資料保護法允許。

C. Shopify 將:(i) 提供與企業或資料控管者在美國資料保護法下相同水準的隱私權保護,並在判斷自身再也無法履行這些義務時通知您,在此情況下,您可採取合理且適當的措施以停止或補救任何未經授權而處理您顧客的個人資料之行為;(ii) 確保其授權處理您顧客的個人資料的人員簽署書面保密協議,或依法承擔法定的保密義務;(iii) 在收到合理的書面要求後,並為協助您採取合理且適當的措施、確認 Shopify 使用您顧客的個人資料的方式符合美國資料保護法、提供顯示 Shopify 資訊安全計畫合理評估結果的 SOC2 報告;以及 (iv) 在服務終止後,啟動其資料清除程序,以刪除、回傳您提供給 Shopify 的顧客個人資料或將其去識別化,以便 Shopify 作為資料處理者或服務供應商獨自處理。

C. 您聲明並保證,不會將已選擇退出資料處理且您承諾尊重其選擇之個人的個人資料,或尚未同意根據適用資料保護法要求處理此類敏感資料之個人的敏感個人資料,分享給 Shopify。

附錄 E:Shopify 作為資料控管者或企業提供加強服務

當您獲得 服務條款 第 9.2 條定義的加強服務時,Shopify 應作為資料控管者或企業。Shopify 可能會不時更新其作為資料控管者或企業的服務和商品。

作為 Shopify 提供加強服務的一部分,您同意 Shopify 將根據適用資料保護法作為資料控管者或企業處理您顧客的個人資料,以便為您提供、開發和改進分析、商品自訂、廣告和其他服務,這些服務結合了您的顧客與您的商店、其他商家和 Shopify 的互動和交易。當 Shopify 以這種方式處理您顧客的個人資料時,適用 Shopify 的消費者隱私權政策和本 DPA 的附錄 E。您可以在 此處 停用顧客資料最佳化,進而停止 Shopify 使用您顧客的個人資料,但您將無法使用某些應用程式或功能,如 [TODO:連結] 所述。

隱私權聲明、透明度和權利。根據適用資料保護法,您應向相關個人傳達 Shopify 為合法、公平地處理您顧客的個人資料所需的所有披露,以便根據本 DPA 的附錄 E 向您提供加強服務,包括在您的隱私權政策中提供 Shopify 消費者隱私權政策的連結,並提供 服務條款 第 9.2.5 節規定的披露。

歐洲要求。如果您或您的顧客位於歐洲經濟區 (EEA)、英國或瑞士,則您同意、聲明並保證您已獲得顧客同意,並為顧客提供行使撤銷同意、反對某些處理和選擇退出某些處理的權利,如適用資料保護法要求。為免疑義,您必須徵求同意才能提供加強服務當中的目標式廣告,以及在適用資料保護法要求的範圍內使用 Cookie 或其他本機儲存技術。如需關於實施這些要求的更多資訊,請造訪 [TODO:連結]。

控管者責任。您是您顧客的個人資料之資料控管者,且應個別確定您處理您顧客的個人資料之目的和方式,以及如何使用和處理您顧客的個人資料,包括根據適用資料保護法確定您處理行為的法律依據。Shopify 是您顧客的個人資料之資料控管者,其將根據附錄 E 進行處理,且應個別確定處理此類個人資料之目的和方式,以及如何使用和處理此類個人資料,包括根據適用資料保護法確定該處理行為的法律依據。

各方應個別負責回應其作為資料控管者處理您顧客的個人資料時所收到的資料權要求。

對 DPA 的其餘部分無影響。本附錄 E 不應以其他方式影響任何服務條款 (包括本 DPA 的其餘部分),反映商家和 Shopify 之間的資料控管者-資料處理者關係。