您的位置在:首頁> 隱私權政策

博客來隱私權政策

博客來隱私權政策

博客來數位科技股份有限公司(以下簡稱「博客來」)非常重視會員的隱私權且遵循「個人資料保護法」之規定,因此制訂了隱私權保護政策,您可參考下列隱私權保護政策的內容。

  1. 1. 個人資料之安全

    保護會員的個人隱私是博客來重要的經營理念,在未經會員同意之下,我們絕不會將會員的個人資料提供予任何與本購物網站服務無關之第三人。會員應妥善保密自己的網路密碼及個人資料,不要將任何個人資料,尤其是網路密碼提供給任何人。在使用完博客來所提供的各項服務功能後,務必記得登出帳戶,若是與他人共享電腦或使用公共電腦,切記要關閉瀏覽器視窗。

  2. 2. 個人資料的蒐集、處理、利用

    博客來所提供之網站及相關服務所取得的個人資料,都僅供博客來於其內部、依照原來所說明的使用目的和範圍,除非事先說明、或依照相關法律規定,否則博客來不會將資料提供給第三人、或移作其他目的使用。

    • 蒐集之目的:
      蒐集之目的在於進行行銷業務、消費者、客戶管理與服務、網路購物及其他電子商務服務及與調查、統計與研究分析(法定特定目的項目編號為O四O、O九O、一四八、一五七)。博客來將藉由加入會員之過程、進行交易之過程、以及登入及使用網站、APP或閱讀軟體之過程等來蒐集個人資料。

    • 蒐集之個人資料類別:
      博客來於所屬相關網站及APP內蒐集的個人資料包括,
      (1) C001辨識個人者: 如會員之姓名、地址、電話、電子郵件等資訊。
      (2) C002辨識財務者: 如信用卡或金融機構帳戶資訊。
      (3) C011個人描述:例如:性別、出生年月日等。
      (4) 其他博客來系統因會員登入及使用網站、APP或閱讀軟體等,所自動蒐集之資料。

    • 利用期間、地區、對象及方式:
      (1) 期間:會員當事人要求停止使用或博客來停止提供服務之日為止。
      (2) 地區:會員之個人資料將用於台灣地區。
      (3) 利用對象及方式:會員之個人資料蒐集除用於博客來之會員管理、客戶管理之檢索查詢、各項相關服務之使用等功能外,亦將利用於辨識身份、金流服務、物流服務、行銷廣宣等。例示如下:
      a. 以會員身份使用博客來提供之各項服務時進行身分確認,或於頁面中自動顯示會員資訊等。
      b. 為遂行交易行為:會員對商品或勞務為預約、下標、購買、參與贈獎等之活動或從事其他交易時,關於商品配送、勞務提供、價金給付、回覆客戶之詢問、博客來對會員之詢問、相關售後服務及其他遂行交易所必要之業務。
      c. 宣傳廣告或行銷等:提供會員各種電子雜誌等資訊、透過電子郵件、郵件、電話等提供與服務有關之資訊。將會員所瀏覽之內容或廣告,依客戶之個人屬性或購買紀錄、博客來網站之瀏覽紀錄等項目,進行個人化作業、會員使用服務之分析、新服務之開發或既有服務之改善等。針對民調、活動、留言版等之意見,或其他服務關連事項,與會員進行聯繫。
      d. 回覆客戶之詢問:針對會員透過電子郵件、郵件、、傳真、電話或其他任何直接間接連絡方式向博客來所提出之詢問進行回覆。
      e. 其他業務附隨之事項:附隨於上述a至d.之利用目的而為博客來提供服務所必要之使用。
      f. 對於各別服務提供者之資訊提供:會員對服務提供者之商品或勞務為預約、下標、購買、參加贈獎活動或申請其他交易時,博客來於該交易所必要之範圍內,得將會員之個人資料檔案提供予服務提供者,並由服務提供者負責管理該個人資料檔案。博客來將以規約課予服務提供者依保障會員隱私權之原則處理個人資料之義務,但無法保證服務提供者會必然遵守。詳細內容,請向各別服務提供者洽詢。
      g. 其他:提供個別服務時,亦可能於上述規定之目的以外,利用個人資料。此時將在該個別服務之網頁載明其要旨。

    • 會員就個人資料之權利:
      博客來所蒐集個人資料之當事人,依個人資料保護法得對博客來行使以下權利:
      (1) 查詢或請求閱覽。
      (2) 請求製給複製本。
      (3) 請求補充或更正。
      (4) 請求停止蒐集、處理或利用。
      (5) 請求刪除。
      會員如欲行使上述權利,可與博客來客服連絡進行申請。

    • 請注意!如拒絕提供加入會員所需必要之資料,將可能導致無法享受完整服務或完全無法使用該項服務。

  3. 3. 資料安全

    為保障會員的隱私及安全,博客來會員帳號資料會用密碼保護。博客來並盡力以合理之技術及程序,保障所有個人資料之安全。

  4. 4. 個人資料查詢或更正的方式

    會員對於其個人資料,有查詢及閱覽、製給複製本、補充或更正、停止電腦處理及利用、刪除等需求時,可以與客服中心聯絡,博客來將迅速進行處理。

  5. 5. Cookie

    為了便利會員使用,博客來網站會使用cookie技術,以便於提供會員所需要的服務;cookie是網站伺服器用來和會員瀏覽器進行溝通的一種技術,它可能在會員的電腦中隨機儲存字串,用以辨識區別使用者,若會員關閉cookie有可能導致無法順利登入網站或無法使用購物車等狀況。

  6. 6. 隱私權保護政策修訂

    隨著市場環境的改變本公司將會不時修訂網站政策。會員如果對於博客來網站隱私權聲明、或與個人資料有關之相關事項有任何疑問,可以利用電子郵件和博客來客服中心聯絡

博客來數位科技股份有限公司個人資料檔案安全維護計畫及業務終止後個人資料處理方法

  1. 第一條(制定宗旨及依據)

    為防止個人資料被竊取、竄改、毀損、滅失或洩漏,並落實個人資料檔案之安全維護與管理,本公司依「個人資料保護法」(以下稱個資法)第二十七條及「數位經濟相關產業個人資料檔案安全維護管理辦法」第三條之規定,訂定「博客來數位科技股份有限公司個人資料檔案安全維護計畫及業務終止後個人資料處理方法」(以下稱本計畫)。本公司所屬人員應依本計畫辦理個人資料檔案安全維護及業務終止後個人資料處理事項。

  2. 第二條(適用範圍)

    本計畫適用於本公司各項業務流程所蒐集、處理及利用之個人資料。

  3. 第三條(名詞定義)

    本計畫名詞定義如下:

    一、媒介物:指保有之個人資料所存在之紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦、自動化機器設備或其他媒介之物體者。

    二、重大個人資料安全事故:係指個人資料遭竊取、竄改、毀損、滅失或洩漏,將危及本公司正常營運或大量當事人權益之情形。

    三、軌跡資料:個人資料在蒐集、處理及利用過程中,所產生非屬於原蒐集個人資料本體之衍生資訊(包括但不限於軌跡檔案、當事人之帳號、存取時間、設備代號、網路位址)。

  4. 第四條(配置個人資料管理人員及資源)

    本公司應應依業務規模及特性,衡酌經營資源之合理分配,配置個人資料保護管理人員及相當資源,負責下列事項:

    一、個人資料保護管理政策之訂定及修正。

    二、安全維護計畫之訂定、修正及執行。

  5. 第五條(界定個人資料之範圍)

    本公司應依個人資料保護相關法令,定期清查確認所保有之個人資料現況,界定其納入本計畫之範圍。

  6. 第六條(個資清冊之建立)

    本公司應適時並每年定期清查保有之個人資料檔案及其蒐集、處理或利用個人資料之作業流程,據以建立個人資料檔案清冊及個人資料作業流程說明文件。

  7. 第七條(風險評估及管理)

    本公司應依前條界定之個人資料範圍及其業務涉及個人資料蒐集、處理、利用之流程,評估可能產生之個人資料風險,並根據風險評估之結果,訂定適當之管理機制及因應措施。

  8. 第八條(個人資料蒐集、處理及利用)

    本公司對於個人資料之蒐集、處理及利用,應建立內部管理程序,內容包含下列事項:

    一、檢視個人資料之蒐集、處理,符合個資法第十九條第一項所定之法定情形及特定目的,或有其他合法事由;其經當事人同意者,並確保符合個資法第七條之規定。

    二、蒐集、處理及利用之個人資料包含個資法第六條所定特種個人資料者,檢視其特定目的及是否符合相關法令要件,並應檢視是否符合個資法第六條第一項但書所定情形;其經當事人書面同意者,並應確保符合個資法第六條第二項準用第七條第一項、第二項及第四項之規定。

    三、確認一般個人資料之利用,是否符合個資法第二十條規定蒐集之特定目的必要範圍;其為特定目的外之利用者,檢視是否符合法定情形,經當事人同意者,並確保符合個資法第七條之規定。

    四、檢視個人資料之蒐集是否符合個資法第八條第二項或第九條第二項得免為告知之事由;無得免為告知之事由者,並應確保符合個資法第八條第一項或第九條第一項規定。履行告知義務時並應確認告知之內容及方式是否合法妥適。

    五、利用個人資料為行銷,於首次行銷時,提供當事人免費表示拒絕接受行銷之管道;而當事人已拒絕接受行銷者,應即停止利用其個人資料行銷,並周知所屬人員或採行防範所屬人員再次行銷之措施。

    六、檢視個人資料之蒐集、處理、利用與個資法第五條之規定相符。

    七、對個人資料進行國際傳輸前,應針對該次傳輸進行可能之影響及風險分析,並採取適當安全保護措施。

    八、定期檢視所保有個人資料之特定目的是否消失,或期限是否屆滿;於特定目的消失、期限屆滿、有個資法第十九條第二項所定情形,或有違反個資法規定而為個人資料之蒐集、處理或利用時,應依法刪除或停止蒐集、處理、利用個人資料。

    九、如於特定目的消失或期限屆滿,而未刪除、停止處理或利用個人資料時,須因執行業務所必須或經當事人書面同意。

    十、檢視個人資料於蒐集、處理或利用過程中是否正確;其有不正確或正確性有爭議者,應依個資法第十一條第一項、第二項及第五項規定辦理。

    十一、當事人行使個資法第三條所定權利之相關事項:

    (一)當事人身分之確認。

    (二)提供當事人行使權利之方式,並告知所需支付之費用,及應釋明之事項。

    (三)對當事人請求之審查方式,並遵守個資法有關處理期限之規定。

    (四) 檢視是否符合個資法第十條但書、第十一條第二項但書及第十一條第三項但書所定得拒絕其請求之事由。有個資法所定得拒絕當事人行使權利之事由者,其理由記載及通知當事人之方式。

    (五) 就當事人查詢、請求閱覽或製給複製本之請求酌收必要成本費用者,應明定其收費標準。

    十二、委託他人蒐集、處理或利用個人資料時,應對受託人依個資法施行細則第八條規定為適當之監督,並於委託契約或相關文件中,明確約定其內容。

    十三、受他人委託處理個人資料之全部或一部時,如認委託機關之指示有違反個資法或其他個人資料保護相關法令者,應立即通知委託機關。

    十四、若對當事人個人資料進行國際傳輸者,應檢視是否已受數位發展部或其他主管機關所限制,並且告知其個人資料所欲國際傳輸之區域,同時對資料接收方為下列事項之監督:

    (一)預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。

    (二)當事人行使個資法第三條所定權利之相關事項。

  9. 第九條(個人資料安全管理措施)

    一、為維護所保有個人資料之安全,本公司考量業務性質、個人資料存取環境、個人資料傳輸之工具與方法及個人資料之種類、數量等因素,就下列事項執行安全管理措施:

    (一)系統之資訊安全措施:

    1.使用者身分確認及保護機制。

    2.個人資料顯示之隱碼機制。

    3.網際網路傳輸之安全加密機制。

    4.應用系統於開發、上線、維護等各階段軟體驗證與確認程序。

    5.個人資料檔案及資料庫之存取控制與保護監控措施。

    6.防止外部網路入侵對策。

    7.非法或異常使用行為之監控與因應機制。

    8.定期對前二目所定措施進行演練及檢討改善。

    (二)訂定各類設備或儲存媒體之使用規範,及報廢或轉作他用時,應採取防範資料洩漏之適當措施。

    (三)蒐集、處理或利用個人資料時,如有加密或遮蔽之必要,應採取適當之加密或遮蔽機制。

    (四)傳輸個人資料時,應依不同傳輸方式,採取適當之安全措施。

    (五)作業過程有備份個人資料之需要時,依據所保有個人資料之重要性,採取適當之備份機制,並比照原件保護之。

    (六)對保有之個人資料存在於媒介物者應採取之設備安全管理措施:

    1.依儲存媒介物之特性及使用方式,建置適當之保護設備或技術。

    2.針對所屬人員保管個人資料之儲存媒介物,訂定適當之管理規範。

    3.針對存放儲存媒介物之環境,施以適當之進出管制措施。

    (七)依執行業務之必要,設定相關人員接觸個人資料之權限及控管其接觸情形,並與所屬人員約定保密義務。

    (八)個人資料儲存媒體於廢棄或轉作其他用途前,應以適當方式銷毀或確實刪除該媒體中所儲存之個人資料。委託他人執行上開行為時,準用個資法第九條第十二款之規定,應為適當之監督。


    二、資料安全管理

    (一)以資通系統直接或間接蒐集、處理或利用個人資料時,應採取下列資料安全管理措施:

    1.建置防火牆、電子郵件過濾機制或其他入侵偵測設備等防止外部網路入侵對策,並定期更新。

    2.資通系統存有個人資料者,應設定異常存取資料行為之監控及定期演練因應機制。

    3.確認蒐集、處理或利用個人資料之電腦、相關設備或系統具備必要之安全性,採取適當之安全機制,定期檢測並因應系統漏洞所造成之威脅。

    4.與網路相聯之資通系統存有個人資料者,應隨時更新並執行防毒軟體,及定期執行惡意程式檢測。

    5.資通系統存有個人資料者,應設定認證機制,其帳號及密碼須符合一定之複雜度。

    6.處理個人資料之資通系統進行測試時,應避免使用真實個人資料;使用真實個人資料者,應訂定使用規範。

    7.處理個人資料之資通系統有變更時,應確保其安全性未降低。

    8.定期檢視處理個人資料之資通系統,檢查其使用狀況及存取個人資料之情形。

    9.評估使用情境,採行個人資料之隱碼機制,就個人資料之呈現予以適當且一致性之遮蔽。

    10.其他經數位發展部或其他主管機關公告之資料安全管理措施。

    (二)電腦存取個人資料之管控:

    1.本公司所屬員工應妥善保管個人電腦存取資料之硬體,並設定登入及螢幕保護程式密碼。個人資料使用完畢,應即退出電腦使用檔案,不得留置於電腦上。下班前應關閉電腦電源,並將所保有其他個人資料之媒介物置於專用抽屜內上鎖保管。

    2.本公司員工如因其工作職掌相關而須輸出、輸入個人資料時,均須鍵入其個人之使用者代碼及識別密碼,同時在使用範圍及使用權限內為之,其中識別密碼並應保密,不得洩漏或與他人共用。

    3.個人資料檔案使用完畢應即退出,不得任其停留於電腦終端機上。

    4.定期進行電腦系統防毒、掃毒之必要措施。

    5.重要個人資料(如護照號碼、國民身分證統一編號)應另加設管控密碼,非經陳報權責主管核可,並取得密碼者,不得存取。

    6.建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。

    (三) 紙本資料之保管:

    1.本公司保有個人資料存在於紙本者,應儲存於上鎖之保管箱或檔案室內,並對開啟調閱權限進行控管。

    2.儲存個人資料紙本之保管箱或檔案室內,應設置防火裝置及防竊措施。儲存個人資料之電腦主機系統應設置防火牆,降低外部入侵風險。主機置放之機房應設置門禁、監視錄影及防火設備。

    3.對於記載個人資料之紙本丟棄時,應先以碎紙設備進行處理。


    三、人員管理

    (一) 應確認蒐集、處理及利用個人資料之相關業務流程之負責人員。

    (二) 本公司依據執行業務之必要,設定所屬人員關於個人資料蒐集、處理或利用,及接觸個人資料儲存媒體之相關權限,定期檢視權限設定內容之必要性,並控管接觸個人資料之情形。

    (三) 本公司所屬人員使用電腦設備蒐集、處理、利用個人資料,應以專屬帳號密碼登入電腦系統,存取個人資料檔案權限應與所職掌業務相符。專屬帳號密碼均應保密,不得洩漏或與他人共用。

    (四) 本公司員工應依公司規定定期變更識別密碼,並於變更識別密碼後始可繼續使用電腦。

    (五) 本公司員工應妥善保管個人資料之儲存媒介物,執行業務時依個資法規定蒐集、處理及利用個人資料。

    (六) 本公司與員工所簽訂之相關勞務契約或承攬契約均列入保密條款及相關之違約罰則,以確保其遵守對於個人資料內容之保密義務(含契約終止後)。

    (七) 因業務需要而須利用非權限範圍之特定個人資料者,應事前提出申請,經業務主管人員同意後開放權限利用。

    (八) 負責個人資料檔案管理人員於職務異動時,應將保管之檔案資料移交,接辦人員應另行設定密碼。人員離職時,要求人員返還個人資料之載體,並刪除因執行業務而持有之個人資料。


    四、設備管理

    (一) 依據作業內容及環境之不同,實施必要之安全環境管制。

    (二) 妥善維護並控管個人資料蒐集、處理或利用過程中所使用之實體設備。

    (三) 針對不同作業環境,建置必要之保護設備或技術。

    (四) 建置個人資料之有關電腦設備,資料保有單位以及系統相關單位應定期保養維護,於保養維護或更新設備時,並應注意資料之備份及相關安全措施。

    (五) 建置個人資料之個人電腦,不得直接作為公眾查詢之前端工具。

    (六) 應指派專人管理儲存個人資料之相關電磁紀錄物或相關媒體資料,非經單位主管同意並作成紀錄不得攜帶外出或拷貝複製。

    (七) 重要個人資料備份應異地存放,並應建置防止個人資料遭竊取、竄改、損毀、滅失或洩漏等事故之機制。

    (八) 電腦、自動化機器或其他存放媒介物需報廢汰換或轉作其他用途時,本公司(商業)負責人或營業處所主管應檢視該設備所儲存之個人資料是否確實刪除。

    (九) 更新或維修電腦設備時,應指定專人在場,確保個人資料之安全及防止個人資料外洩。

    (十) 電腦設備報廢或不使用時,確實刪除電腦硬體設備中所儲存之個人資料檔案。


    五、技術安全管理

    (一) 採取適當之安全機制,避免用以蒐集、處理或利用個人資料之電腦、相關設備或系統遭受無權限之存取,包括但不限就個人資料之存取權限,設定必要之控管機制,並定期確認控管機制之有效性。

    (二) 定期確認蒐集、處理或利用個人資料之電腦、相關設備或系統具備必要之安全性,包括但不限採取適當之安全機制,因應惡意程式及系統漏洞所造成之威脅。

    (三) 進行軟硬體測試時,應避免使用實際個人資料。如確有使用實際個人資料之必要時,應明確規定其使用之程序及安全管理方式。

    (四) 定期檢查使用於蒐集、處理或利用個人資料之電腦、相關設備或系統之使用狀況及個人資料存取之情形。

  10. 第十條(緊急應變、通報及預防機制)

    一、為因應個人資料之竊取、竄改、毀損、滅失或洩漏等安全事故,應訂定下列應變、通報及預防機制:

    (一)事故發生後應採取之各類措施,包括:

    1.降低、控制當事人損害之方式。

    2.查明事故後通知當事人之適當方式及內容。

    3.適時以電子郵件、簡訊、電話或其他便利當事人知悉之適當方式,通知當事人事故之發生與處理情形,及後續供當事人查詢之電話專線或其他適當管道。

    (二)事故發生後應受通報之對象及其通報方式。

    (三)事故發生後,其矯正預防措施之研議機制。

    二、遇有重大個人資料安全事故,將危及其正常營運或大量當事人權益者,應於七十二小時內依主管機關規範之程序及格式通報數位發展部(及相關主管機關)。但於其他法令以及規章制度另有規定時,並應依各該規定辦理。

    三、無法於時限內通報或無法於當次提供前項所述事項之全部資訊者,應檢附延遲理由或分階段提供。

  11. 第十一條(教育訓練)

    本公司應每年定期對員工施以個人資料保護與管理認知宣導及教育訓練,使其明瞭相關法令之要求、人員之責任範圍與各種個人資料保護機制、程序及措施,內容包括:個人資料保護相關法令之規定、所屬人員之責任範圍及本計畫各項管理程序、機制及措施之要求等。對代表人、負責人或本計畫第四條所稱管理人員,另應依其於本計畫所擔負之任務及角色,每年定期實施必要之教育訓練。

  12. 第十二條(稽核及整體持續改善機制)

    依本計畫所訂個人資料保護機制、程序及措施,應納入內部稽核及內部自行查核範圍。每年應由第四條所設之個人資料管理單位或適當組織執行內部稽核,提出評估報告,並採取下列改善措施:

    一、本計畫未落實執行、有不符合法令或有違法之虞者,應採取矯正預防措施。

    二、參酌本計畫執行狀況、技術發展、業務調整及法令變化等因素,定期檢視或修正。

  13. 第十三條(留存紀錄)

    本公司執行依本計畫時,應評估其必要性,保存下列紀錄至少五年:

    一、個人資料之蒐集、處理或利用紀錄。

    二、自動化機器設備之軌跡資料。

    三、落實執行安全維護計畫之證據。

  14. 第十四條(其他)

    關於保護消費者個人資料之機制,應適時提醒消費者應用,並為適當之公告。

    對本公司所屬平台之使用者,應進行適當之個人資料保護及管理之認知宣導或教育訓練。

    本公司應對個人資料保護訂立相關守則(如隱私權政策等),要求所屬平台使用者遵守。

  15. 第十五條(業務終止後個人資料處理方法)

    本公司因業務之一部或全部終止、特定目的消失、契約或法令規定期限屆滿等,除法令另有規定外,應刪除、停止處理或利用相關之個人資料。如將相關之個人資料移轉第三人,於移轉前,應確認該第三人依法有權蒐集該個人資料。

    前項之移轉,應採取合法且適當之方式為之。

    個人資料在刪除、銷毀時,所保有之紙本個人資料應以碎紙、委外焚化、委外水銷等方式銷毀紙本,個人資料儲存於磁碟、磁帶、光碟片、微縮片、積體電路晶片等媒介物者,應以消磁、穿刺、剪斷、敲擊等破壞措施銷毀。

    個人資料依本條第一項進行銷毀、刪除、停止處理或利用、或移轉時,應留存下列紀錄:

    一、銷毀、刪除、停止處理或利用之方法、時間、地點及證明銷毀之方式。

    二、將個人資料移轉其他對象者,其移轉之原因、對象、方法、時間、地點,及該對象得蒐集該個人資料之合法依據。

    前項及之軌跡資料、相關證據及紀錄,至少留存五年。但法令另有規定或契約另有約定者,不在此限。