Momentive 於全世界供應產品，並使用全球轉包處理者協助其提供產品和服務。在您與我們的合約中，我們承諾，每次有個人資料轉移給我們時，皆會遵守資料保護法律。我們也確保在送出個人資料時，接收者會使用不低於個人資料在我們掌控下適用的標準，保護個人資料。

為了協助您確定傳輸到 Momentive 及再傳輸到他處的個人資料皆享有足夠的保護層級 (根據歐盟法院 (「CJEU」) 2020 年 7 月 16 日就 C-311/18 號案 Data Protection Commissioner 訴 Facebook Ireland Limited 與 Maximilian Schrems (「Schrems II」) 的裁決，以及歐洲資料保護委員會 (「EDPB」) 的補充措施指導綱領)，我們提供以下資訊讓您了解您的資訊在傳輸過程中如何受到保護。

如需進一步瞭解我們一般如何處理個人資料，請參閱我們的隱私權聲明。

第 I 部分：傳輸至 Momentive

第 II 部分： 再行傳輸至轉包處理者

若您為美國客戶，您的合約將會包括與 Momentive 美國實體 Momentive Inc. 簽署的資料保護附錄（「DPA」）。若您的使用者位於歐盟經濟區（「EEA」）或英國（「UK」），則需要具備轉移使用者資料至 Momentive 的機制，您可以要求我們新增歐盟及/或英國標準合約條款（「SCCs」）。

若您為位於 EEA 或英國的客戶，您的合約將會包括與 Momentive 愛爾蘭實體 Mometive Europe UC 簽署的資料保護附錄（「DPA」）。由您轉移至 Momentive 是無需轉移機制（或已承認彼此適足性狀態）的歐洲實體間 活動，也也無需其他轉移機制。

若您是美國、EEA 或英國之外的客戶，但有使用者位於 EEA 或英國，且須確認送出轉移具有轉移機制，則您的合約將會包括與 Momentive 愛爾蘭實體 Mometive Europe UC 簽署的 DPA，且您可以要求我們新增歐盟及/或英國 SCCs。

您轉移個人資料至 Momentive，因此我們得處理個人資料以用於以下目的：

若您因不同目的而轉移資料，則應進行評估。

轉移至 Momentive 的客戶個人資料，可能包含您在調查、表單和調查問卷相關問題中決定提供之個人資料。作為平台，我們會假設那些種類繁多的個人資料（包潛在特殊類型資料）皆由您提供。 

關於我們收集的資訊，在隱私權聲明第 2 節有具體說明。

如上所述，您將依所在位置而定，與 Momentive 的美國或愛爾蘭實體簽約。根據資料保護以及分析規範 Momentive 相關法律之專業外部顧問建議，我們認為與美國法律制度相關的風險較低，而與愛爾蘭法律制度相關的風險，也不會對規範的資料產生重大風險。請參閱以下「補充措施：組織」章節，以瞭解更多有關美國法律的特定資訊。

即使因為目的地國家/地區的法律制度而判斷為低度風險或無重大風險，Momentive 仍已執行補充措施，進一步保障個人資料。補充措施將分為三個類別：(i) 合約性；(ii) 組織性；以及 (iii) 技術性保障。 

如上所述，Momentive 將同意與客戶簽署 SCC。Schrems II 案判決表示當事人可使用 SCC 及 (若適當) 其他保障，來保護從英國和歐洲經濟區 (「歐洲資料」) 轉移至美國的個人資料。若您已與 Momentive 簽署協議，或以其他方式獲得 Momentive 的服務，致使 Momentive 必須處理歐洲資料主體的個人資料，Momentive 將會 (視與您簽署合約之 Momentive 實體而定)：

如需進一步了解我們同意受標準契約條款約束之資訊，請參閱 使用條款 (適用於自助服務客戶)、主要服務合約 (適用於 SurveyMonkey Enterprise 或 GetFeedback Digital 客戶)，或其他您可能已與 Momentive 簽訂之協議。

CJEU 過去對將資料轉移至美國的疑慮，是源自於美國政府依據美國行政命令 12333 (「EO 12333」) 以及《外國情報監控法》第 702 節 (「FISA § 702」)，尤其是 FISA § 702 的「上游」監控規定收集資料。這些美國法律規定所帶來的風險，或不會發生在 Momentive 的個人資料處理上，或可藉由 Momentive 提供的組織性保障而充分降低。

Momentive 不符合接受 FISA § 702 所規定之「上游」或大量監控命令的條件。Momentive Inc. 在提供特定服務或產品功能給客戶的同時，某種程度上算是提供電子通訊服務 (「ECS」)，以及可能提供遠端運算服務 (「RCS」) (分別按照 USC 第 18 條第 2510 節和 2711 節之定義)。因此，美國政府可依據 FISA § 702 對與 Momentive Inc. 相仿的這類大型公司集團祭出針對性的指令。然而，依照美國政府對 FISA § 702 之解釋和適用，Momentive Inc. 並不符合必須接受 CJEU 在 Schrems II 案判決中主要關注的命令類型 (即 FISA § 702 的「上游」監控命令) 的條件。根據美國政府對 FISA § 702 規定之適用，「上游」命令僅會針對流經「向第三方 (即電信營運商) 提供服務的網際網路主幹供應商」的資料流。如需具體例子，請參見隱私與公民監督委員會的報告：Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (July 2, 2014), pp. 35-40，可至 https://fas.org/irp/offdocs/pclob-702.pdf 下載。Momentive 並不提供該類網際網路主幹服務，我們傳送的資料流僅涉及我們的客戶。因此我們不符合條件，無需接受 Schrems II 案判決主要關注且被認為有問題的命令類型。

Momentive 尚未收到任何依據《國外情報監視法》第 702 條 (FISA § 702) 發出的指令，我們也不太可能會收到任何這類指令。截至本聲明發布之日，Momentive 尚未收到任何依據《國外情報監視法》第 702 條 (FISA § 702) 發出的指令，也沒有理由相信 Momentive 會收到這類指令。Momentive 為客戶所處理之個人資料 (意見回饋資料) 極不可能與 FISA § 702 所規範之外國情報活動有關。此外，若任何此類個人資料與此類調查有關係，政府較有可能透過其他形式之法定程序 (例如法官核准的搜索令) 來要求取得此類資料，以滿足 Schrems II 判決中政府取得資料的高標準。這是因為對政府而言，取得命令或搜索令等 FISA § 702 以外的其他途徑，比建立必要機制以使其能依據 FISA § 702 向 Momentive 發出指令還要更快、更容易。

Momentive 不會協助 (亦不能被命令而協助) 美國當局根據第 12333 號行政命令收集資料。Momentive 現在不會，將來亦不會根據第 12333 號行政命令 (EO 12333) 協助美國當局進行監視。EO 12333 並未授予美國政府強迫企業協助進行上述行動的權利，Momentive 亦不會自願提供協助。因此，Momentive 不會亦不能接受命令而採取行動來協助由 EO 12333 所要求而 Schrems II 判決認定為有問題的大規模監視。

Momentive 提供一系列技術性措施，進一步克服 Schrems II 判決所提到的核心缺陷 (依據 FISA § 702 進行的大量監視以及根據 EO 12333 進行的大量攔截) 。  

Momentive 的資料中心採用 AES 256 加密技術對所有靜態資料進行加密。 此外，Momentive 採用以下方式為所有動態資料進行加密：(i) 針對 Momentive 資料中心外部實體之通訊，採用公開憑證機構產生的 RSA 2048 位元金鑰，以及 (ii) 針對資料中心的所有內部資料，採用內部憑證機構產生的 RSA 256 憑證。  進行這些加密旨在防範未經授權人士獲取可理解的形式的資料，以及防止資料在兩個端點間傳輸時遭到未經授權的竊聽/篡改。 

部分 Momentive 客戶 (例如 GetFeedback Digital 的客戶) 的資料僅儲存於歐盟境內。 在這些情況下，資料不會儲存於美國，從美國僅會出於有限的目而進行最低限度的存取 (例如，根據客戶的要求提供支援、提供全天候安全性支援和/或進行有限的工程師調度以解決技術問題、除錯或完成系統建置)。

Momentive 同時保有嚴格的行政、技術及實體程序，用以保護儲存於其伺服器的資訊。 個人資料的存取皆必須透過登入憑證，且僅開放給職務上有需要的員工存取。 Momentive 採用資料最小化技術來限制從歐盟傳輸到第三方司法管轄區的個人資料量，包括資料假名化或去識別化 (視需要)。 此外，Momentive 也採用存取控制，例如多重要素驗證、單一登入、最低程度 (as-needed) 存取、強式密碼管制，以及管理帳戶存取限制。  

另外，身為電子通訊服務/遠端運算服務 (ECS/RCS) 的提供者，Momentive 受制於美國《電子通訊隱私法》、18 USC. § 2701 等等 (「ECPA」)，這些法規對 Momentive 的客戶有保護作用。例如，ECPA 禁止政府實體尋求如 Momentive 這類服務的客戶資訊，除非該等政府實體已採取適當法律程序，包括已獲得用來取得訂閱者基本資訊以外之資訊的法院命令或搜索票。同樣地，若美國政府不當取得 Momentive 客戶的資訊，客戶可根據 FISA 及 ECPA 的規定向美國政府尋求補償，包括金錢賠償或對相關政府單位做出懲處 (參閱 18 USC. § 2712)。

再者，Momentive 長期合作的外部法律顧問在應對美國政府索取使用者資料的要求有豐富的經驗，包括依據 FISA § 702 所提出之美國國家安全要求。  根據 Momentive 的政策，此類要求會向上通報至 Momentive 內部法遵團隊，如有必要也會通報給外部顧問進行審查。  萬一 Momentive 收到此類要求，在適當情況下，Momentive 擬採用現有法律機制，依 FISA § 702 (包括任何保密條文或附帶命令) 向該資料存取要求提出質疑。  該要求將必須接受美國仲裁庭 (FISA 法院) 的審查。 

Momentive 同時承認，一旦收到依據 FISA § 702 要我們提供資料存取權的命令，Momentive 就必須通知客戶我們無法再遵守標準契約條款 (SCC)，並允許客戶終止與我們的協議，並停止向我們提供資料。  我們目前不曾需要發出此類通知。

考慮前述分析，我們認為資料主體受到傷害的風險非屬重大。

下表簡要敘述了我們的傳輸影響評估結論。

「非重大」風險表示個人資料被傳輸至已取得歐盟執委會適足性認可的司法管轄區 (因此其受到的法律保護等同於在歐洲受到的法律保護)，並受到合約性、技術性與組織性措施的進一步保護。

「低」風險表示個人資料被傳輸至 GDPR 第五章機制不適足的司法管轄區。 儘管其受到的法律保護並不一定等同於在歐洲受到的法律保護，但該傳輸仍然合法，並受到合約性、技術性與組織性措施的進一步保護。

轉包處理者係指藉由處理使用者個人資料來協助 Momentive 向您提供服務的 Momentive 供應商。 所有 Momentive 的轉包處理者均受合約之約束而有義務保護個人資料，且防護措施的標準不得亞於我們對我們所控制之個人資料的防護。

當 Momentive 將個人資料傳輸至轉包處理者時，會進行類似前述步驟的傳輸影響評估 (「TIA」) 。 我們進行這類評估的目是要確保您的個人資料再每個步驟都受到保護，依資料保護法以及我們與您的合約所規定。 每個轉包處理者的 TIA 重點摘要如下。

請注意，並非所有的轉包處理者都涉及我們提供的所有服務。 我們的轉包處理者名單是依 Momentive 特定服務分類。 

若您想要在本公司更新「轉包處理者名單」時收到電子郵件通知，請前往此處訂閱。

Campaign Monitor、Turbine Room Ltd (FirstOfficer.io) 與 Salesloft, Inc. (過去曾為 GetFeedback Direct 的轉承包商) 已從名單中移除。