USI | 隐私权政策

隐私权及个人资料保护政策

环旭电子股份有限公司（下称「本公司」），作为日月光投资控股股份有限公司的子公司，高度重视隐私权及个人资料保护，为维护本公司及关联企业（以下合称「USI」）的客户及第三方人员、访客、网站用戶、投资人或股东、求职者及员工等个人资料所有人的个人资料（下称「个人资料」），本公司根据台湾《个人资料保护法》及《个人资料保护法施行细则》、欧盟《一般数据保护规范(General Data Protection Regulation)》、美国、大陆及其他USI营运实体所在国家或地区适用的隐私权及个人资料保护相关法规，制定本「隐私权及个人资料保护政策」(下称「本政策」），作为USI合规管理遵循依据。USI在此声明并承诺将遵循本政策管理个人资料的搜集、处理及使用等相关事项，并要求USI的供货商、承包商、外部顾问等第三方根据本政策的要求落实合规管理，共同实践隐私权及个人资料保护，以确保个人资料所有人的权益。

一、个人资料搜集、处理及使用之目的

USI可能基于下列特定目的（下称「特定目的」）搜集、处理及使用个人资料：

业务营运：如通过电子邮件或其他渠道执行业务、合作、沟通、磋商或履约等事宜
商业营销：如通过电子邮件、网站或其他渠道提供与USI相关的业务信息、合作渠道或进行相关说明及沟通
安全管理：如通过适当措施确保信息、厂区人员及厂区的安全
网站维护及沟通：如改善及提升本公司网站功能及服务、提供最新营运及投资讯息或回复网站用户询问事项
求职者招聘及面试与管理员工或为员工提供服务
履行法定义务所需
依法协助政府机关、执行法定义务所需：如调查不法行为、预防犯罪发生或侦查犯罪案件等
主张、行使或保护USI法律权利所需
执行其他USI营运管理措施所需

二、个人资料搜集、处理及使用

USI于特定情况可能搜集、处理及使用之个人资料范畴如下：
1. USI业务合作伙伴人员通过会议、活动或其他商务渠道与USI联系、沟通、合作或业务往来时，USI可能搜集、处理及使用业务合作伙伴人员的下列个人资料：
  - 人员资料标识符，包含姓名、性别、工作单位及职称
  - 人员联系方式，包含电话及电子邮件
  - 其他得以直接或间接方式识别该人员的数据
2. 外部人员因执行职务或为其他商务参访目的进入USI厂区时，基于保护入厂人员及USI作业环境的安全，USI可能搜集、处理及使用入厂人员的下列个人资料：
  - 入厂人员资料，包含姓名、性别、工作单位、职称、身份证号码、护照或其他证件号码及脸部照片等
  - 入厂人员联系方式，包含通讯地址、电话及电子邮件
  - 其他为增进公共利益所需的数据
3. USI员工参与USI的日常营运时，基于员工管理和为员工提供服务之需要，USI可能搜集、处理及使用USI员工的下列个人资料：
  - 员工数据标识符，包含姓名、性别、生日、身份证号码、护照或其他证件号码及照片等
  - 员工专长及经验，包含学习经历、语言能力及其他专业技能与资格证照
  - 员工联系方式，包含通讯地址、电话及电子邮件
  - 其他得以直接或间接方式识别员工的数据
  - 其他为增进公共利益所需的数据
4. 网站用戶造访本公司网站或通过网站与本公司互动时，例如订阅USI Newsletter、提出询问、寻求协助或使用其他在线系统，本公司可能搜集、处理及使用网站用戶的下列个人资料：
  - 网站用户数据，包含姓名、性别、工作单位及职称
  - 网站用户联系方式，包含通讯地址、电话及电子邮件
  - 其他得以直接或间接方式识别该网站用户的数据，例如网站用户与本公司之关系
  - 本公司网站Cookie搜集之资料
5. 任何自然人通过电话、电子邮件或其他渠道向本公司询问相关投资讯息或成为本公司股东时，本公司可能搜集、处理及使用该自然人的下列个人资料：
  - 个人资料，包含姓名、性别、工作单位、职称、身份证字号、护照或其他证件号码及照片等
  - 个人联系方式，包含通讯地址、电话及电子邮件
  - 其他得以直接或间接方式识别该个人的数据
6. 求职者应征USI职位时，USI可能搜集、处理及使用求职者的下列个人资料：
  - 求职者数据，包含姓名、性别、生日、身份证字号、护照或其他证件号码及照片等
  - 求职者专长及经验，包含学习经历、语言能力及其他专业技能与资格证照
  - 求职者联系方式，包含通讯地址、电话及电子邮件
  - 其他得以直接或间接方式识别求职者的数据
  - 其他为增进公共利益所需的数据
USI不会主动搜集、处理及使用特殊的个人资料，包含病历、医疗纪录、健康检查及犯罪前科等，但于下列情况时，USI仍可能搜集、处理及使用该等特殊的个人资料：
1. 适用法规明文规定
2. 履行法定义务所需，且适用了适当的安全维护措施
3. 依法协助政府机关执行调查不法行为、预防犯罪发生或侦查犯罪案件等法定职务所需
4. 经个人资料所有人同意
除非适用法规明文规定可不予告知，USI应向个人资料的所有人告知以下事项：
1. 搜集、处理及使用个人资料之特定目的
2. 个人资料所有人可自行选择同意或拒绝USI搜集、处理及使用USI要求或建议其提供的个人资料
3. 若个人资料所有人拒绝提供个人资料，或提供的个人资料有误或不足，可能导致USI无法向个人资料所有人提供特定或完整的讯息、反馈或服务，或导致USI无法完成聘用程序或其他员工管理事务
USI搜集、处理及使用个人资料不得超过特定目的的范围，并应确保个人资料的搜集、处理及使用与特定目的之间具有正当合理之关联性。个人资料所有人可以请求停止搜集、停止处理、停止使用、删除或销毁USI搜集、处理及使用的个人资料，USI应依该等请求行事（受限于特定例外情况，包括第八章中的例外）。若要行使个人资料所有人的权利，请通过第九章第V条中提供的联系方式提交请求。USI可能需要验证该请求。为了验证请求，USI可能会要求提供以下信息：[姓名、与USI过去的往来信息、相关公司或业务合作伙伴的名称、公司电子邮件地址或其他信息]。只有个人资料所有人或其授权代理人才可提出与个人资料有关的要求。若要指定授权代理人，请提供一份由个人资料所有人和指定代理人签署的具有法律约束力的书面文件。USI也可能仍需要验证授权代理人的身份。
如果您是加州居民，有关USI根据加州消费者隐私法案(CCPA)搜集、处理和使用个人资料的更多信息，请参阅附录“A”。

三、向第三方披露

USI可能于下列情况向第三方披露个人资料：
1. 第三方为政府机关：
  - 履行法定义务所需
  - 依法协助政府机关（例如法院、检察机关、公安部门或其他调查机关、中央或地方政府机关等）执行调查不法行为、预防犯罪发生或侦查犯罪案件等法定职务所需
  - 主张、行使或保护USI法律权利所需
  - 依个人资料所有人请求
2. 第三方为企业（包含本公司的关联企业）、非政府机构或组织或其他外部自然人：
  - 履行法定义务所需
  - 主张、行使或保护USI法律权利所需
  - 在不超过特定目的之必要范围内进行业务或商业使用
  - 依个人资料所有人请求
USI向第三方披露个人资料应遵循下列要求：
1. 确认第三方身分
2. 告知个人资料所有人并取得同意，除非适用法规明文规定可以不予告知，例如该等告知将妨害政府机关执行法定职务
3. 披露必要且最少限度之个人资料，并要求第三方遵循适用法规使用并保护个人资料
有关USI根据CCPA向第三方披露的更多信息，请参阅附录“A”。

四、个人资料正确性

USI应采取合理必要措施维护个人资料正确性，并主动或依个人资料所有人之请求予以补充或更正。

五、个人资料留存及安全维护

USI留存个人资料的时间不得超过特定目的之必要范围所需合理期间，原则不超过五年；如为员工的个人资料，则不超过雇佣期间终止后的五年。除非适用法规明文规定、因执行职务或业务所需、或经个人资料所有人同意仍得继续留存个人资料，当个人资料搜集、处理及使用的必要性消失、与特定目的不再具有正当合理之关联性或留存个人资料所依据之法规不再适用时，USI将主动或依个人资料所有人请求停止搜集、停止处理、停止使用、删除或销毁个人资料。
在个人资料留存期间内，USI应采取适当安全维护措施，对于个人资料存取、处理、传输、留存、读取权限、相关传输及储存设备之信息安全进行完整管控，防止个人资料之毁损、灭失、窃取、泄漏或未经授权读取、复制、使用、窜改，以确保个人资料安全，相关适当安全维护措施如下：
1. 使用适当安全的数据传输及储存设备保护个人资料，例如以安全加密方式（SSL、HTTPS等）进行个人资料传输及建立防火墙
2. 遵循适当作业程序订定个人资料保密等级，以确定个人资料搜集、处理及使用不超过特定目的之必要范围，保障个人资料不被未经授权者使用
3. 依风险评估结果对个人资料进行分级分类管理，并针对个人资料搜集、处理、使用及披露订定相关管理程序

六、跨境传输

在不超过原搜集、处理及使用个人资料之特定目的之必要范围内，本公司位处不同国家的关联企业间可能进行跨境传输及使用个人资料时，应遵循本政策及传输地区所适用的隐私权及个人资料保护适用法规管理跨境传输及使用。

七、网站Cookies

为改善及提升网站服务，本公司网站使用Cookies搜集、处理及使用网站用户IP位置等个人资料，欲知Cookies相关信息，请查阅本公司网站Cookie声明。

八、法律权利

对于USI搜集、处理及使用的个人资料，个人资料所有人应享有以下法律权利：

请求查询或阅览
请求复制
请求补充或更正不完整或不正确的个人资料
请求停止搜集、处理及使用（对于员工个人资料，USI仍可根据其内部政策保留日常营运、管理与提供服务所需的个人资料，但对于保留的个人资料应遵守本政策下的相关规定）
请求删除或销毁包含显示或储存于USI内部或外部公开网站、档案或其他储存设备的个人资料
在必要且技术可行之条件下，请求以电子及机器易读取形式将个人资料移转至指定第三方信息管控者
向个人资料所有人居住地或个人资料使用地之个人资料保护主管机关申诉个人资料保护违反事宜

USI不会出售或共享(根据CCPA的定义)个人资料。

USI不会在CCPA规定的允许用途之外披露或使用敏感个人资料。

USI不会歧视行使法律权利的个人资料所有人。

如需针对USI就个人资料行使法律权利所作的任何决定提出上诉，请通过privacy@usiglobal.com联系USI。

九、其他事项

隐私权及个人资料保护为本公司企业内控及风险管理系统的事务之一，本公司除进行年度风险评估及内部合规稽核外，亦不定期执行供货商合规稽核及通过外部独立单位稽核本公司隐私权及个人资料保护管理措施，以确保相关操作符合本政策及隐私权及个人资料保护相关适用法规。
USI要求新进人员须完成隐私权及个人资料保护教育课程，并定期向所有员工说明隐私权及个人资料保护相关法规的更新，并提供合规管理作业指引，以强化合规意识。
USI对于违反隐私权及个人资料保护行为采取零容忍政策。若经调查发现确有涉入违反本政策或隐私权及个人资料保护相关适用法规之事宜，USI将立即检讨改善管理措施，并依照适用纪律规范惩戒涉入违反行为之人员，必要时并将依据适用法规进行求偿或追诉。
如发现有违反、疑似违反或可能导致违反隐私权或个人资料保护情事，USI员工、外部公司或自然人可通过本公司网站最新公布的方式提供相关数据进行申诉或举报。
针对本政策或其他关于隐私权及个人资料之事项，USI员工、外部公司或自然人得参照以下信息与本公司权责单位联系：

环旭电子股份有限公司
法务合规智权总处
+866 49 2350876
privacy@usiglobal.com

本政策可能随时更新，请密切注意本公司网站以知悉最新版本。（本版本最后更新于2022年12月30日）

常见问答集

问1：	个人资料包含哪些资料? 个人资料一般包括可用于识别个人的数据，如姓名、出生日期、身份证号、护照号码、特征、指纹、婚姻、家庭、教育、职业、联络方式、财务情况、社会活动、病历、医疗、基因、性生活、健康检查、犯罪前科等资料。
问2：	USI为什么需要使用我的个人资料? 那些个人资料可能会被使用? 如何使用? 依据您与USI互动的方式，USI可能基于特定目的而使用特定可辨识您个人的数据。关于个人资料使用之完整说明，请参照本政策第一章及第二章。
问3：	我可以拒绝提供个人资料吗? 您可自行选择同意或拒绝提供个人资料，但拒绝提供个人资料，或提供之个人资料有误或不足，可能导致USI无法向您提供特定或完整的讯息、反馈或服务。相关细节请参照本政策第二章第III条。
问4：	我可以对我的个人资料提出其他请求吗? 您对您的个人资料享有特定的法律权利，例如，您可以请求USI停止搜集、停止处理、停止使用、删除或销毁您的个人资料及相关纪录。相关细节请参照本政策第二章第IV条及第八章。
问5：	我要如何联系USI查询个人资料相关事项? 你可以通过专线+886 49 2350876或寄送电子邮件至privacy@usiglobal.com以联系本公司法务合规智权总处。请查阅本政策第九章第IV-V条。
问6：	我可否对USI就我个人资料的法律权利所作的决定提出上诉? 您可以有权对USI就您个人资料的法律权利所作的决定提出上诉。相关细节请参照本政策第八章。

附录“A” - 加利福尼亚州消费者补充隐私通知

本加利福尼亚州消费者补充隐私通知(“通知”)是对隐私权及个人资料保护政策(“政策”)的补充，仅适用于USI的客户及第三方人员、访客、网站用户、投资人或股东、求职者和居住在加利福尼亚州的员工。USI通过本通知以遵守加州消费者隐私法案(CCPA)及任何修订和实施细则，并且CCPA中定义的任何术语在本通知中使用时具有相同的含义。

USI搜集的个人资料类别

在过去的十二(12)个月内，USI已向客户及第三方人员、访客、网站用户、投资人或股东、求职者和员工搜集下列类别的个人资料：

类别	示例	搜集	第三方共享
A. 标识符	真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、IP地址、电子邮件地址、账户名称、社会保障号码、驾驶证号码、护照号码或其他类似标识符。	针对所有个人资料所有人，如适用。针对网站用户，只搜集姓名、国家/位置和电子邮件地址。	(a) 人力资源信息服务提供商 (b) 金融投资服务提供商 (c) 一般事务方案服务提供商 (d) 保险提供商 (e) 工资服务提供商 (f) 物理安全供应商
B. 加利福尼亚州客户记录法案(Cal. Civ. Code § 1798.80(e))中所列的个人资料类别	姓名、签名、社会保障号码、身体特征或描述、地址、电话号码、护照号码、驾驶证或国家身份证件号码、保险单号码、教育、就业、就业历史、银行账户号码、信用卡号码、借记卡号码或任何其他财务信息、医疗信息或健康保险信息。	针对所有个人资料所有人，如适用。针对网站用户，只搜集姓名、国家/位置和电子邮件地址。	(a) 人力资源信息服务提供商 (b) 金融投资服务提供商 (c) 一般事务方案服务提供商 (d) 保险提供商 (e) 工资服务提供商 (f) 物理安全供应商
C. 受加利福尼亚州法律或联邦法律保护的分类特征	年龄（40岁或以上）、种族、肤色、血统、出生国、国籍、宗教或信仰、婚姻状况、医疗状况、身体或精神残疾、性别（包括社会性别、性别认同、性别表达、怀孕或分娩及相关医疗情况）、退伍或参军身份、遗传信息（包括家族遗传信息）。	针对所有求职者和员工。	(a) 人力资源信息服务提供商 (b) 金融投资服务提供商 (c) 一般事务方案服务提供商 (d) 保险提供商 (e) 工资服务提供商 (f) 物理安全供应商
D. 商业信息	购买、获得或有意向的产品或服务的记录，或其他购买或消费历史或倾向。	针对客户及第三方人员、访客、投资人或股东。	(a) 一般事务方案服务提供商
E. 生物特征信息	遗传、生理、行为和生物特征，或用于提取模板或其他标识符或识别信息的活动模式，例如指纹、脸印和声纹、虹膜或视网膜扫描、击键、步态或其他物理模式，以及睡眠、健康或运动数据。	针对所有个人资料所有人。	(a) 物理安全供应商
F. 互联网或其他电子网络活动信息	浏览历史、搜索历史、网站消费者交互信息、应用程序或广告。	针对所有个人资料所有人。	(a) 网络安全供应商
G. 专业或与就业有关的信息	现在或先前的工作经历或表现评价。	针对求职者和员工。	(a) 人力资源信息服务提供商
H. 非公开教育信息（依照家庭教育权利和隐私权法案(20 U.S.C. Section 1232g, 34 C.F.R. Part 99)）	教育机构或其代表机构保存的与学生直接相关的教育记录，如成绩、成绩单、班级名单、学生课程表、学生证号码、学生财务信息或学生纪律记录。	针对求职者和员工。	(a) 人力资源信息服务提供商
I. 敏感个人资料	反映政府身份证件的个人资料；提供金融账户访问权限的信息；种族或民族出身；搜集和分析与员工健康有关的个人资料。	针对求职者、员工、投资人或股东，然而，信息的搜集和使用符合CCPA所允许的用途。	(a) 人力资源信息服务提供商 (b) 金融投资服务提供商 (c) 政府实体或监管机构

隐私权政策

请输入关键字