SurveyMonkey 在國際轉包處理者的協助之下，提供服務給全球各地的使用者。在您與我們的合約中，我們承諾，任何將個人資料傳輸給我們的過程皆遵守相關的資料保護法。我們只會將您的個人資料傳輸給會保護個人資料的轉包處理者，並確保其所依循的個人資料保護標準與我們所遵守的一樣嚴格。

此外，我們所採取的補充措施符合歐盟法院 (「CJEU」) 2020 年 7 月 16 日就 C-311/18 號案 Data Protection Commissioner 訴 Facebook Ireland Limited 與 Maximilian Schrems (「Schrems II」) 的判決，以及歐洲資料保護委員會 (「EDPB」) 的補充措施指導綱領。詳細資訊如下。

如需進一步瞭解我們一般如何處理個人資料，請參閱我們的隱私權聲明。

第一部分：傳輸至 SurveyMonkey

第 II 部分： 再行傳輸至轉包處理者

若您為美國客戶，您的合約將會包括與 SurveyMonkey 美國實體 SurveyMonkey Inc. 簽署的資料保護附錄 (「DPA」)。若您為 Enterprise 客戶且有使用者位於歐盟經濟區 (「EEA」)、英國 (「UK」) 或瑞士，因此需要具備將使用者資料傳輸至 SurveyMonkey 的機制，則您可以要求我們新增相關傳輸機制。若您為自助服務的客戶，我們的線上 DPA 已自動包含這些傳輸機制。

除標準合約條款 (「SCC」) 外，SurveyMonkey Inc. 也根據歐盟-美國資料隱私權框架、英國對歐盟-美國資料隱私權框架之擴展條款，以及瑞士-美國資料隱私權框架原則自我認證。這表示歐盟、英國和瑞士的資料保護主管機關已認定我們的處理符合 GDPR (通用資料保護法規) 第 45(3) 條 (以及相應的國家法規) 的「適足性」。

若您是位於 EEA、英國或瑞士的客戶，您的合約將會包括與 SurveyMonkey 愛爾蘭實體 SurveyMonkey Europe UC 簽署的資料保護附錄 (「DPA」)。由您傳輸至 SurveyMonkey 的行為屬於歐洲實體 (或已承認彼此適足性狀態的實體) 之間的活動，因此無需其他傳輸機制。

若您是位於美國、EEA、英國或瑞士之外的客戶，但您有使用者位於 EEA、英國或瑞士境內，且需要確保有適當的傳輸機制，則您的合約將會包括與 SurveyMonkey 愛爾蘭實體 SurveyMonkey Europe UC 簽署的 DPA。若您為 Enterprise 客戶，您可以要求我們新增相關傳輸機制。若您為自助服務的客戶，我們的線上 DPA 已自動包含這些傳輸機制。

您傳輸個人資料至 SurveyMonkey，因此我們得處理個人資料以用於以下目的：

若您因不同目的而轉移資料，則應進行評估。

傳輸至 SurveyMonkey 的客戶個人資料量，會視您透過調查問卷、表單和調查表中的問題收集了多少個人資料而定。基於調查問卷平台的性質，我們假定各式各樣的個人資料 (包括潛在的特殊類型資料) 都是您所收集的。

關於我們收集的資訊，在隱私權聲明第 2 節有具體說明。

如上所述，您將依所在位置而定，與 SurveyMonkey 的美國或愛爾蘭實體簽約。根據資料保護以及分析規範 SurveyMonkey 相關法律之專業外部顧問建議，我們認為與美國法律制度相關的風險較低，而與愛爾蘭法律制度相關的風險，也不會對規範的資料產生重大風險。請參閱以下「補充措施：組織性」章節，以瞭解更多有關美國法律的特定資訊。

即使因為目的地國家/地區的法律制度而判斷為低度風險或無重大風險，SurveyMonkey 仍已執行補充措施，進一步保障個人資料。補充措施將分為三個類別：(i) 合約性；(ii) 組織性；以及 (iii) 技術性保障。 

如上所述，SurveyMonkey 將同意與客戶簽署 SCC。Schrems II 案判決表示當事人可使用 SCC 及 (若適當) 額外的保障措施來保護從英國、瑞士和歐洲經濟區 (「歐洲資料」) 傳輸至美國的個人資料。若您已與 SurveyMonkey 簽署協議，或以其他方式獲得 SurveyMonkey 的服務，致使 SurveyMonkey 必須處理歐洲資料主體的個人資料，SurveyMonkey 將會 (視與您簽署合約之 SurveyMonkey 實體而定)：

如需進一步了解我們同意受標準契約條款約束之資訊，請參閱使用條款 (適用於自助服務客戶)、主要服務合約 (適用於 SurveyMonkey Enterprise 或 GetFeedback Digital 客戶)，或其他您可能已與 SurveyMonkey 簽訂之協議。

CJEU 過去對將資料傳輸至美國的疑慮，是源自於美國政府依據美國行政命令 12333 (「EO 12333」) 以及《外國情報監控法》第 702 節 (「FISA § 702」)，尤其是 FISA § 702 的「上游」監控規定收集資料。這些美國法律規定所帶來的風險，或不會發生在 SurveyMonkey 的個人資料處理上，或可藉由 SurveyMonkey 提供的組織性保障而充分降低。

此外，歐盟委員會於 2023 年 7 月 10 日通過了對於歐盟-美國資料隱私框架的適足性認定。該適足性認定的結論是，美國確保當個人資料從歐盟傳輸至有參與歐盟-美國資料隱私框架的美國公司時，享有足夠的保護 (相較於在歐盟受到的保護而言)。

在此之前，美國總統也簽署了「強化美國訊號情報活動之保障」行政命令，引入了有法律拘束力的新保護措施，以因應歐盟法院在其 2020 年 7 月的 Schrems II 案判決中所提出的論點。值得注意的是，這項新的義務旨在確保美國情報機構僅能就必要和符合比例原則的範圍內取用資料，並建立一個獨立和公正的救濟機制，讓歐洲民眾能針對美國基於國家安全目的而不當取用其資料的行為做出投訴，並獲得處理和解決 (請參閱：https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_37521)。

SurveyMonkey 不符合接受 FISA § 702 所規定之「上游」或大量監控命令的條件。SurveyMonkey Inc. 在提供特定服務或產品功能給客戶的同時，某種程度上算是提供電子通訊服務 (「ECS」)，以及可能提供遠端運算服務 (「RCS」) (分別按照 USC 第 18 條第 2510 節和 2711 節之定義)。因此，美國政府可依據 FISA § 702 對與 SurveyMonkey Inc. 相仿的這類大型公司集團祭出針對性的指令。然而，依照美國政府對 FISA § 702 之解釋和適用，SurveyMonkey Inc. 並不符合必須接受 CJEU 在 Schrems II 案判決中主要關注的命令類型 (即 FISA § 702 的「上游」監控命令) 的條件。根據美國政府對 FISA § 702 規定之適用，「上游」命令僅會針對流經「向第三方 (即電信營運商) 提供服務的網際網路主幹供應商」的資料流。如需具體例子，請參見隱私與公民監督委員會的報告：Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (July 2, 2014), pp. 35-40，可至 https://fas.org/irp/offdocs/pclob-702.pdf 下載。SurveyMonkey 並不提供該類網際網路主幹服務，我們傳送的資料流僅涉及我們的客戶。因此我們不符合條件，無需接受 Schrems II 案判決主要關注且被認為有問題的命令類型。

SurveyMonkey 尚未收到任何依據《國外情報監視法》第 702 條 (FISA § 702) 發出的指令，我們也不太可能會收到任何這類指令。截至本聲明發布之日，SurveyMonkey 尚未收到任何依據《國外情報監視法》第 702 條 (FISA § 702) 發出的指令，也沒有理由相信 SurveyMonkey 會收到這類指令。SurveyMonkey 為客戶所處理之個人資料 (意見回饋資料) 極不可能與 FISA § 702 所規範之外國情報活動有關。此外，若任何此類個人資料與此類調查有關係，政府較有可能透過其他形式之法定程序 (例如法官核准的搜索令) 來要求取得此類資料，以滿足 Schrems II 判決中政府取得資料的高標準。這是因為對政府而言，取得命令或搜索令等 FISA § 702 以外的其他途徑，比建立必要機制以使其能依據 FISA § 702 向 SurveyMonkey 發出指令還要更快、更容易。

SurveyMonkey 不會協助 (亦不能被命令而協助) 美國當局根據第 12333 號行政命令收集資料。SurveyMonkey 現在不會，將來亦不會根據第 12333 號行政命令 (EO 12333) 協助美國當局進行監視。EO 12333 並未授予美國政府強迫企業協助進行上述行動的權利，SurveyMonkey 亦不會自願提供協助。因此，SurveyMonkey 不會亦不能接受命令而採取行動來協助由 EO 12333 所要求而 Schrems II 判決認定為有問題的大規模監視。

SurveyMonkey 提供一系列技術性措施，進一步克服 Schrems II 判決所提到的核心缺陷 (依據 FISA § 702 進行的大量監視以及根據 EO 12333 進行的大量攔截) 。  

SurveyMonkey 使用以 AES 256 為基礎的加密技術對我們資料中心中的所有靜態資料進行加密。此外，SurveyMonkey 使用以下方式對所有動態資料進行加密：(i) 透過公有憑證頒發機構所產生的 2048 位元 RSA 憑證，適用於與 SurveyMonkey 資料中心以外實體的通訊，以及 (ii) 透過內部憑證頒發機構所產生的 RSA 256 憑證，適用於資料中心內的所有資料。進行這些加密旨在防範未經授權人士獲取可理解的形式的資料，以及防止資料在兩個端點間傳輸時遭到未經授權的竊聽 / 篡改。

部分 SurveyMonkey 客戶 (例如 GetFeedback Digital 的客戶) 的資料僅儲存於歐盟境內。在這些情況下，資料不會儲存於美國，從美國僅會出於有限的目而進行最低限度的存取 (例如，根據客戶的要求提供支援、提供全天候安全性支援和/或進行有限的工程師調度以解決技術問題、除錯或完成系統建置)。

SurveyMonkey 同時保有嚴格的行政、技術及實體程序，用以保護儲存於其伺服器的資訊。個人資料的存取皆必須透過登入憑證，且僅開放給職務上有需要的員工存取。SurveyMonkey 採用資料最小化技術來限制從歐盟傳輸到第三方司法管轄區的個人資料量，包括資料假名化或去識別化 (視需要)。此外，SurveyMonkey 也採用存取控制，例如多重要素驗證、單一登入、最低程度 (as-needed) 存取、強式密碼管制，以及管理帳戶存取限制。  

另外，身為電子通訊服務/遠端運算服務 (ECS/RCS) 的提供者，SurveyMonkey 受制於美國《電子通訊隱私法》、18 USC. § 2701 等等 (「ECPA」)，這些法規對 SurveyMonkey 的客戶有保護作用。例如，ECPA 禁止政府實體尋求如 SurveyMonkey 這類服務的客戶資訊，除非該等政府實體已採取適當法律程序，包括已獲得用來取得訂閱者基本資訊以外之資訊的法院命令或搜索票。同樣地，若美國政府不當取得 SurveyMonkey 客戶的資訊，客戶可根據 FISA 及 ECPA 的規定向美國政府尋求補償，包括金錢賠償或對相關政府單位做出懲處 (參閱 18 USC. § 2712)。

再者，SurveyMonkey 長期合作的外部法律顧問在應對美國政府索取使用者資料的要求有豐富的經驗，包括依據 FISA § 702 所提出之美國國家安全要求。 根據 SurveyMonkey 的政策，此類要求會向上通報至 SurveyMonkey 內部法遵團隊，如有必要也會通報給外部顧問進行審查。 萬一 SurveyMonkey 收到此類要求，在適當情況下，SurveyMonkey 擬採用現有法律機制，依 FISA § 702 (包括任何保密條文或附帶命令) 向該資料存取要求提出質疑。 該要求將必須接受美國仲裁庭 (FISA 法院) 的審查。 

SurveyMonkey 同時承認，一旦收到依據 FISA § 702 要我們提供資料存取權的命令，SurveyMonkey 就必須通知客戶我們無法再遵守標準契約條款 (SCC)，並允許客戶終止與我們的協議，並停止向我們提供資料。 我們目前為止不曾需要發出此類通知。

考慮前述分析，我們認為資料主體受到傷害的風險非屬重大。

下表簡要敘述了我們的傳輸影響評估結論。

「非重大風險」係指個人資料是在同樣位於歐洲經濟區 (EEA) 內的實體間傳輸。

「低度風險」係指進口/目的地國家/地區不在 EEA 之內，但傳輸是以 GDPR (通用資料保護法規) 核准的機制進行，且補充措施已付諸實行。TIA 中發現的任何剩餘風險均已減輕。

「中度風險」係指進口/目的地國家/地區不在 EEA 之內，但傳輸是以 GDPR (通用資料保護法規) 核准的機制進行，且補充措施已付諸實行。TIA 中發現的一些剩餘風險仍然存在。

「高度風險」係指進口/目的地國家/地區不在 EEA 之內，但傳輸是以 GDPR (通用資料保護法規) 核准的機制進行，且補充措施已付諸實行。TIA 中發現的重大剩餘風險仍然存在。

轉包處理者係指藉由處理使用者個人資料來協助 SurveyMonkey 向您提供服務的 SurveyMonkey 供應商。所有 SurveyMonkey 的轉包處理者均受合約之約束而有義務保護個人資料，且防護措施的標準不得亞於我們對我們所控制之個人資料的防護。

當 SurveyMonkey 將個人資料傳輸至轉包處理者時，會進行類似前述步驟的傳輸影響評估 (「TIA」)。我們進行這類評估的目是要確保您的個人資料再每個步驟都受到保護，依資料保護法以及我們與您的合約所規定。每個轉包處理者的 TIA 重點摘要如下。

請注意，這些轉包處理者並非每一間都參與提供我們所有的服務。我們的轉包處理者名單是依 SurveyMonkey 特定服務分類。

若您想要在本公司更新「轉包處理者名單」時收到電子郵件通知，請前往此處訂閱。

您可到這裡下載我們當前的「轉包處理者名單」的 PDF 檔。