資料處理附加條款

上次更新日期:2026 5 1

本資料處理附加條款 (Data Processing Addendum, DPA) 已併入並構成雙方間管轄客戶使用本服務之商務服務條款或其他協議(以下簡稱「本協議」)之一部分。若 DPA 之條款與本協議之條款間發生任何衝突,就本協議之主旨事項而言,應以本 DPA 之條款為準。本 DPA 中所使用但未定義之首字母大寫術語,其定義應與本協議中所賦予之含義相同。

1. 定義

「適用之資料保護法」係指所有適用之資料保護及隱私相關法律,包括:(a) 歐盟《一般資料保護規範》((EU) 2016/679 號條例,「GDPR」);(b) 英國 GDPR 及《2018 年資料保護法》;(c) 瑞士《新聯邦資料保護法》(new Federal Act on Data Protection, nFADP);以及 (d) 適用的美國各州隱私法,包括《加州消費者隱私保護法》(California Consumer Privacy Act, CCPA) 及類似之州法律;以上均指不時修訂之版本。

「客戶個人資料」係指客戶資料中所包含,且由客戶或其關係企業,或代表客戶或其關係企業,透過本服務所提交之任何個人資料。

「客戶關係企業」係指符合下列條件之實體:(a) 依據 Plaud 與客戶間之協議,獲准使用本服務;且 (b) 直接或間接控制客戶、受客戶控制,或與客戶受共同控制之實體,其中「控制」係指持有該實體超過 50% 之表決權益。

「資料主體請求」係指個人依據適用之資料保護法,就客戶個人資料所行使權利之請求(例如:存取、更正、刪除、資料可攜性或限制處理)。

SCCs係指依據 GDPR,就將個人資料傳輸至第三國之標準契約條款,所併入之歐委員會 2021 6 4 日第 (EU) 2021/914 號執行決議之附錄標準契約條款 (Standard Contractual Clauses)

「資安事件」係指經確認違反 Plaud 之安全措施,進而導致客戶個人資料遭受意外或非法之毀損、遺失、變更、未經授權之揭露或未經授權之存取。

「委外處理者」係指由 Plaud(或 Plaud 之關係企業)所委任,就提供本服務之相關事宜負責處理客戶個人資料之任何第三方。

「英國附加條款」係指由英國資訊委員辦公室依據《2018 年資料保護法》第 119A(1) 條所發佈歐盟委員會標準契約條款之國際資料傳輸附加條款。

「個人資料」「資料主體」「處理」「控制者」「處理者」等術語,其含義應依適用之資料保護法之規定;若該等法律缺乏相關定義,則以 GDPR 之規定為準。「控制者」及「處理者」等術語,依適用之資料保護法之要求,分別包含「企業」及「服務提供者」。

2. 角色與範圍

2.1 角色。就客戶個人資料而言,客戶擔任控制者(或企業),而 Plaud 則代表客戶擔任處理者(或服務提供者)。各方均應根據適用之資料保護法,遵守各自應盡之義務。

2.2 目的與說明。Plaud 僅會在下列情況下處理客戶個人資料:(a) 為了提供、維護及支援本服務;(b) 為了遵守適用法律;(c) 為了保護本服務之安全性與完整性;以及 (d) 依據經雙方書面同意之客戶其他書面指示。本協議及本 DPA 構成客戶截至生效日止之書面指示。若 Plaud 依其合理判斷,認為某項處理指示將違反適用之資料保護法,Plaud 應立即通知客戶。

2.3 禁止訓練。依據本協議第 4.4 條之規定,除非客戶另以書面方式明確選擇同意,否則 Plaud 不得使用客戶個人資料來訓練或改進 Plaud 之通用型 AI 模型或其委外處理者之相關模型。

3. Plaud 之義務

3.1 處理之保密性。Plaud 應確保所有獲授權處理客戶個人資料之人員,均受適當之保密義務約束,並已接受與其角色相關之資料保護要求訓練。

3.2 通知。 Plaud 判定其無法再履行本 DPA 下之義務,應立即通知客戶,且客戶得採取合理措施,以停止或補救未經授權之處理。

3.3 委外處理者。客戶授予 Plaud 一般性授權,得委任列於 https://tw.plaud.ai/pages/trust/ 之委外處理者(以下簡稱「委外理者名單」),該名單將依本節規定進行更新。Plaud 在委任將處理客戶個人資料之新委外處理者前,應至少於三十 (30) 日前,以書面方式事先通知客戶。客戶得於十五 (15) 日內,基於合理之資料保護理由提出異議。若無商業上可行之替代方案且異議未獲解決,客戶得因可歸責於他方之事由終止受影響之服務,並按比例退還已預付但未使用之費用。該終止權係客戶針對新委外處理者之異議所享有之唯一救濟措施。

Plaud 應對各委外處理者施加不低於本 DPA 保護程度之資料保護義務;若委外處理者未能遵守規定,Plaud 仍應在與其親自執行服務時相同的範圍內承擔責任。

3.4 資料主體權利。Plaud 應提供合理之技術及組織性協助,以協助客戶回應資料主體請求,並於適用之資料保護法要求時,協助進行資料保護影響評估及相關主管機關之諮詢。

3.5 安全性。Plaud 應實施並維持附件 2 所述之技術及組織性安全措施,以防止客戶個人資料遭未經授權之存取、毀損、遺失、變更或揭露。Plaud 得更新該等措施,惟該更新在實質上不得降低其整體保護程度。

4. 客戶之義務

4.1 法律依據與同意。客戶聲明並保證,其已具備適用之資料保護法所要求之所有必要權利、同意、通知及授權,得將客戶個人資料提交至本服務,並授權 Plaud 依本 DPA 所述方式進行處理。在不限制前述規定之前提下,客戶應自行負責取得所有必要之錄音同意,並將必要通知提供給透過本服務或 Plaud 裝置擷取其語音或個人資料之個人。

4.2 設定。客戶應負責以符合其法律義務之方式設定本服務。客戶不得透過不安全之管道或於技術支援票證中提交客戶個人資料。

4.3 合作。客戶應在合理範圍內與 Plaud 合作,以協助 Plaud 依適用之資料保護法,履行與客戶個人資料相關之義務。

5. 資安事件

5.1 通知。Plaud 於知悉資安事件後,應儘速通知客戶,且最遲不得晚於七十二 (72) 小時,並以書面為之。該通知不構成對過失或責任之承認。

5.2 內容。在資訊可取得之範圍內,該通知應包含:(a) 資安事件之性質,及在可能情況下,受影響之資料主體及資料記錄之類別與約略數量;(b) 可能產生之後果;以及 (c) 已採取或擬採取以處理該事件之措施。Plaud 將於取得進一步細節後隨時提供。

5.3 合作。Plaud 應配合客戶之調查,並依客戶指示採取合理措施以減輕該資安事件之影響,並協助客戶遵循適用之資料保護法。

6. 稽核與合規

6.1 認證。Plaud 每年至少一次由獨立第三方稽核機構,依公認之安全標準(例如 SOC 2 Type II)進行稽核。經客戶書面申請(除非適用之資料保護法另有要求,或為因應資安事件,否則每 12 個月以一次為限),Plaud 應提供其最近期之適用稽核報告或認證。最新之認證資訊可於 https://tw.plaud.ai/pages/trust/ 取得。

6.2 客戶稽核。客戶得於提出書面申請並給予合理事先通知(不少於三十 (30) 日)之情況下,自行或委託他人對 Plaud 遵守本 DPA 之情況進行稽核,惟須符合下列條件:(a) 雙方就稽核範圍、時間及適用之保密控管措施達成共識;(b) 稽核應於營業時間內進行,且不得對營運造成重大干擾;以及 (c) 客戶應負擔所有相關費用。稽核結果屬於雙方之機密資訊,且僅得用於確認本 DPA 之遵循情形。

7. 資料返還與刪除

7.1 返還與刪除。於本協議終止或屆滿後,Plaud 應依客戶之指示,返還或刪除所有客戶個人資料及其現有副本。

7.2 例外情況。Plaud 僅得於適用之資料保護法或其他法律義務所要求之範圍內,為解決雙方之爭議,或為防止對本服務之傷害或詐欺性使用之目的,於第 7.1 條規定之期限後繼續留存客戶個人資料。所留存之資料仍受本 DPA 之規範。

8. 國際資料傳輸

8.1 一般。客戶確認,Plaud 及其委外處理者得於美國以及 Plaud 或其委外處理者營運所在地之其他國家/地區,處理客戶個人資料。Plaud 應確保所有此類傳輸均符合適用之資料保護法,包括透過實施適當之資料傳輸機制。

8.2 歐盟/歐洲經濟區資料傳輸。在客戶個人資料自歐洲經濟區傳輸至 Plaud 而需依據 GDPR 採取傳輸機制之範圍內,SCCs 之第二模組(控制者至處理者)已透過引述方式併入本 DPA,並視為由雙方簽署生效,且由客戶擔任資料輸出方,Plaud 擔任資料輸入方。SCCs 之內容應依附件 3(A) 所載方式完成。

8.3 英國資料傳輸。在資料傳輸受英國資料保護法約束之範圍內,附件 3(B) 所列之英國附加條款已透過引述方式併入本協議,並視為由雙方簽署生效。

8.4 瑞士資料傳輸。在資料傳輸受瑞士資料保護法 (nFADP) 約束之範圍內,附件 3(C) 所列之瑞士附加條款已透過引述方式併入本協議,並視為由雙方簽署生效。

8.5 準據優先順序。若適用之傳輸機制(SCCs、英國附加條款或瑞士附加條款)、本 DPA 與本協議之間發生牴觸時,應以適用之傳輸機制為準,其次為本 DPA

9. 美國各州隱私法

在美國各州隱私法(包括 CCPA)適用之範圍內,Plaud 係擔任「服務提供者」或「處理者」之身分,並保證其將:

• 僅為本 DPA 及本協議所述之商業目的,處理客戶個人資料;

• 不「出售」或「分享」(依 CCPA 之定義)客戶個人資料;

• 不得於雙方直接業務關係之外,留存、使用或揭露客戶個人資料,但法律要求者不在此限;

• 不得將客戶個人資料與來自其他來源之個人資料合併,但適用法律允許或經客戶指示者不在此限;

• 賦予客戶採取合理措施之權利,以確保 Plaud 的處理行為符合客戶於適用法律下所應盡之義務;且

•  Plaud 判定其無法繼續遵守本第 9 條之規定時,立即通知客戶。

10. 效期與修訂

10.1 效期。 DPA 於本協議有效期間內持續有效,且於本協議終止後繼續存續,直至 Plaud 完成第 7 條規定之刪除義務為止。

15.2 修訂。若因適用之資料保護法變更或具約束力之監管指引要求,Plaud 得於發出合理之事先書面通知後,修訂本 DPA。若實質性修訂導致客戶權利受到重大減損,客戶得於收到通知後十五 (15) 日內提出異議;若爭議於三十 (30) 日內仍未獲解決,任一方得經預先給予三十 (30) 日書面通知後終止本協議。

附件 1 資料處理細節

A.當事方

資料輸出方:客戶及/或客戶關係企業。聯絡詳細資訊如訂單所載。

資料輸入方:Plaud, Inc., 8 The Green, Ste A, Dover, Delaware 19901;資料保護聯絡人:privacy@plaud.ai

B.資料處理說明

資料主體類別。(a) 授權使用者;(b) 其個人資料包含在音訊錄音或其他提交至本服務之客戶資料中的第三方個人(例如,會議參與者、客戶、同事)。

個人資料類別。由客戶決定;可能包括:

• 聯絡資料(姓名、電子郵件地址)

• 透過 Plaud 裝置(例如 NotePinNote)所擷取或由客戶上傳之音訊錄音及語音資料

• 衍生的資料:AI 產生之轉錄內容、會議摘要及行動事項

• 會議中繼資料(日期、持續時間、參與者)

• 裝置與帳戶使用資料

• 包含在提交至本服務之客戶資料中的其他任何個人資料

特殊類別。音訊錄音及轉錄內容可能偶然包含特殊類別資料(例如,健康資訊或政治見解)。客戶應自行負責確保對該等資料之處理具備合法依據。

存續期間。於本協議存續期間內持續進行處理,具體依客戶對本服務之設定及使用情況而定。

性質與目的。提供 AI 驅動之轉錄內容、摘要及相關服務。處理活動包括於提供本服務所必要之範圍內收集、儲存、轉錄、摘要,以及刪除客戶個人資料。

C.主管監督機關

若資料輸出方設立於歐盟成員國:該成員國之監督機關。若資料輸出方未設立於歐盟,但屬於 GDPR 之地域適用範圍:愛爾蘭資料保護委員會。

附件 2:技術及組織性安全措施

Plaud 維持一套書面資訊安全計畫,以保護客戶個人資料免於未經授權者存取、毀損、遺失、變更或揭露。Plaud 得更新該等措施,惟該更新在實質上不得降低其整體保護。最新之認證資訊及其他資訊可於 https://tw.plaud.ai/pages/trust/ 取得。

附件 3 國際資料傳輸機制

A.歐盟標準契約條款(第二模組:控制者至處理者)

EU SCCs 已透過引述方式併入本協議,並視為由雙方簽署生效,其選擇如下:

•  7 條(加入條款):不適用。

•  9 條(委外處理者):選項 2(一般書面授權);通知期限依第 3.2(c) 條之規定。

•  11 條(救濟):不適用選擇性之獨立救濟條款文字。

•  17 條(準據法):選項 1(愛爾蘭共和國法律)。

•  18 條(管轄法院):愛爾蘭共和國之法院。

•  附錄 I.A(當事方):附件 1,第 A 節。

•  附錄 I.B(資料傳輸說明):附件 1,第 B 節。

•  附錄 I.C(監督機關):附件 1,第 C 節。

•  附錄 II (技術及組織性措施):附件 2

•  附錄 III(委外處理者):https://tw.plaud.ai/pages/trust/

B.英國附加條款

英國附加條款(第 B.1.0 版)已透過引述方式併入本協議,並視為已由雙方簽署生效。所選 SCCs 為附件 3(A) 中所載之內容。就表 4 而言,Plaud(作為資料輸入方)得於核准之 EU SCCs 變更時終止本英國附加條款。

C.瑞士附加條款

針對僅適用瑞士資料保護法 (nFADP) 之傳輸,附件 3(A) 中之 SCCs 修訂如下:凡提及 GDPR 及歐盟/歐洲經濟區之處,均由瑞士資料保護法及瑞士取代;主管監督機關為 FDPIC;準據法為瑞士法律;爭議則交由瑞士法院審理。若資料傳輸同時受瑞士法律與 GDPR 規範,則兩套規則均應適用。

附件 4 經授權之委外處理者

Plaud 目前經授權之委外處理者清單(包括姓名、所在國家/地區及處理目的)載於 https://tw.plaud.ai/pages/trust/