ARIBA 数据政策及隐私声明
(称为“Ariba 数据政策”)
ARIBA 数据政策及隐私声明
本文档介绍 Ariba 处置、处理、存储或以其他方式处理作为客户使用解决方案的一部分由 Ariba 客户(本文中可能称为“您”或“买方组织”)、供应商(本文中称为“您”或“供应商”)以及买方和供应商组织的用户和员工(在本数据政策的其它地方可能统称或单独称为“您”和“您的”)向 Ariba 提供的交易数据或其他数据时遵循的政策。
- Ariba 对数据的使用
- 业务联系信息
- 推销您的组织
- 交易数据及第三方
- Ariba 对数据安全的承诺
- 个人信息
- Ariba 对个人信息的使用
- 其他公司实体
- 同意
- 传输
- 更正帐户信息(行使您访问个人信息的权力)
- Ariba 向第三方的披露
- 安全性
- 数据保留
- 更改
- 安全港计划
定义
“解决方案”是指 Ariba 客户已实际办理并付款的以下服务:
- 1) Ariba Network(“ASN”)(包括“供应商连接”服务)(https://service.ariba.com),
- 2) Ariba 代管的 On-Demand Basic 和 On-Demand Professional 服务(也称为“Ariba 技术特性”、“Ariba 按需解决方案”或“Ariba 应用程序服务”)(https://s1.ariba.com),
- 3) 由 Ariba 全球采购团队提供的项目管理、营销执行以及战略性采购服务(“Ariba 采购服务”)(https://www.sourcingservice.com),以及
- 4) Ariba 代管服务(可通过客户特定的 URL 访问)。
“交易伙伴”是指您或您的公司使用解决方案与之交易的实体。
在本文中,“您”、“买方”或“供应商”都是指 Ariba 客户。本文中各解决方案的用户(无论是买方的员工还是供应商组织)无论是共同还是单独出现时,也都可以用“您”和“您的”来指代。
在使用解决方案的过程中,Ariba 会收集您、您的员工或交易伙伴或其他数据源发送给解决方案的信息(如 IP 地址、与交易有关的数据和用户帐户信息等)。这些数据可以分为下列两类:交易数据(定义见下文)和个人信息(可以标识个人的数据或者与个人的身份相关的数据)。
交易数据处理
Ariba 了解您或您的组织在使用解决方案时提供的交易数据可能具有敏感性。交易数据可能包括您在注册、浏览目录、显示、采购/谈判、订购过程中,或通过向解决方案发送的任何电子邮件或其他通讯方式向 Ariba 或您的交易伙伴提供的信息,以及您存储在解决方案内的其他信息。它还包括您的交易伙伴和您之间通过解决方案互相发送的交易数据。交易数据中可能包含下面将详细说明的个人信息。您必须同意,您的交易数据不得包含受《国际军火交易条例》管制的信息(美国政府制订的关于国防方面的条款和服务)。
Ariba 对数据的使用
Ariba 将您的交易数据视为机密信息,并只将此类数据用于以下目的:促进解决方案及其相关服务的实施;增强您对解决方案及其相关网页的使用;执行内部跟踪和解决方案改进;分析您使用解决方案的范围(例如量和历史记录);方便我们与您联系;处理您通过解决方案进行的交易。为了确定各个供应行业的总体价格趋势、创建有助于评估可能市场价格的预测分析以及评估将来的开支管理项目应包括来自类似市场的哪些供应商,Ariba 可能会使用供应商在 Ariba 采购服务项目中提交的投标信息。Ariba 还可能在发布“高级”采购项目的结果时使用这些投标信息,但前提是 (i) 不直接或间接地指出供应商或买方的名称,或者不会为第三方提供足够的信息,使其能够确定出具体的供应商或买方,(ii) 同来自单个项目中至少 4 位彼此相当的供应商的数据汇总到一起,(iii) 不明确指出供应商的产品或服务,或这些产品或服务的价格,以及 (iv) 不表明供应商是任何特定项目的参与者。作为供应商,如果您反对通过解决方案将交易数据提交给您的交易伙伴,则请直接同您的交易伙伴联系,以寻求其他方法(例如通过 Ariba 解决方案以外的方式提交信息或者使用匿名联系信息等)。
业务联系信息
当买方组织或供应商组织的代表在解决方案中创建业务帐户时,Ariba 会请求其输入帐户管理员的姓名和联系信息。Ariba 将使用帐户管理员信息与公司取得联系,以便向其发出通知、提供服务方案信息以及进行解决方案管理。如果愿意,您的组织也可以提供其他联系人。根据您或您的公司所选择的解决方案和可见性选项,使用该解决方案的其他买方和供应商可能会看到您的用户名、电话号码、电子邮件地址以及其他概要信息。例如,使用 Ariba Network 的供应商可以选择是仅让某些买方组织还是让所有买方组织看到其联系信息。
您应该只提交适合公开的业务联系信息。提交到解决方案的个人联系信息不应包括私人的家庭联系信息。您还应同意不在解决方案中输入敏感信息,如与个人相关的身份证号码(如美国社会保障号码),或者在通过解决方案发送文档时不包含这些标识信息。与个人相关的姓名及个人信息将在下面的“个人信息”中讲述。
推销您的组织
您可以有机会向其他用户推销您的组织。此外,解决方案的其他用户也可以使用各种条件(如您组织概要中的信息或您选择让其他用户看到或搜索的其他信息)在解决方案中执行搜索,从而找到您的组织。为了更好地向买方推销供应商,Ariba 可能用来自 Ariba 系统的数据对供应商概要进行补充,或者允许其他人对您的组织提供反馈(像 eBay's? 的买方/卖方反馈系统那样)。如果愿意,您可以选择不披露特定类型的此类组织信息。
交易数据及第三方
您知道,在使用解决方案时,Ariba 会向您的交易伙伴(或者您或您的交易伙伴授权的其他人)和 Ariba 服务提供商发送您的交易数据,以使交易顺利进行。您的交易伙伴可以看到您与该交易伙伴之间交易历史记录的统计报告,并确定您是否可以和其他交易组织进行交易。此外,与解决方案相关的高级统计报告会用到交易数据,前提是这样的报告只包含不会标识您的公司或任何特定交易数据的匿名、集成数据表单,因此这些报告可以公开。
Ariba 对数据安全的承诺
Ariba Network (ASN) 应用程序;Ariba Category Management (ACM) 的共享服务业务、Ariba Enterprise Sourcing (AES)、Ariba Analysis、Ariba Spend Visibility、Ariba Procure to Pay (P2P)、Ariba Travel and Expense 和 Electronic Invoice Presentation and Payment (EIPP) 应用程序均已根据 WebTrust 的可用性、保密性、处理完整性以及安全性标准进行审核。有关 Ariba 参与 WebTrust 计划的信息,请访问 http://www.ariba.com/legal/ariba_webtrust.cfm。有关 WebTrust 计划的一般信息,请访问 http://www.webtrust.org Ariba 采取各种措施并使用建议的行业加密方法来保护信用卡和汇款信息。我们设计的各项服务使这些类型的信息只能从解决方案内部看到。我们为您提供了角色功能,您可以用它将访问权限仅授予需要查看这些信息的用户。有关 Ariba 为实现解决方案安全性而采取的措施的更多信息,请参阅我们的“安全披露”(位于每个解决方案的页脚)。
个人信息处理及隐私
个人信息
“个人信息”是指个体姓名以及与个人身份相关的信息,与之相对的是与业务相关的信息。在使用解决方案的某些功能(如 Ariba 的出差和费用服务)时,可能需要提供员工的姓名、业务地址、业务电子邮件和由个人使用的公司信用卡号等个人信息。如果不想向 Ariba 提供个人信息,或希望让 Ariba 从解决方案中删除您的个人信息,请与贵公司的 Ariba 帐户管理员联系,以了解是否有其他方式允许您在不提交个人信息的情况下执行相应的业务功能。如果您是 Ariba 客户,就有能力使用解决方案来跟踪您的哪些交易伙伴有特殊的所有权状态或者符合特定条件。如果您反对通过解决方案将这些摘要信息提交给您的交易伙伴,则请直接同您的交易伙伴联系,以寻求其他方法。
Ariba 对个人信息的使用
Ariba 将您的个人信息视为机密信息,并只将此类数据用于以下目的:促进解决方案及其相关服务的实施;增强您对解决方案及其相关网页的使用;执行内部跟踪和解决方案改进;方便我们与您联系;处理您通过解决方案进行的交易(包括对模板的使用和文档的创建);分析您使用解决方案的量和历史记录。我们解决方案的某些区域采用 Cookie 技术实现以上目的。您可以将浏览器配置为拒绝 Cookie,但这样做可能使您无法同那些接受 Cookie 的用户一样使用解决方案。我们不会将存储在 Cookie 中的信息链接到您在使用解决方案时提交的个人信息。
其他公司实体
Ariba 可能会与其在全球范围内携手向您提供解决方案及相关服务的全球联属公司、母公司、子公司、代理及集成服务提供商(“联属公司”)共享个人信息。在适用法律允许的范围内,我们的联属公司所遵循的规范对所有解决方案用户的保护力度不低于本数据政策中所述的规范。如果 Ariba 及其(或其)联属公司与另一家企业实体合并,或被其收购,您应该同意 Ariba 有权将您的部分或全部个人信息进行共享,以便继续提供解决方案。您将收到此类事件的通知(若此类事件发生),我们将要求新合并的实体遵循本数据政策中规定的规范。
同意
向解决方案提交个人信息即表示您同意 Ariba 根据本数据政策收集、处理、存储和使用这些信息。在向解决方案提供(或允许员工提供)个人信息之前,个人应同意根据本数据政策(如果使用了 Ariba Network (ASN) 的话,还有其使用条款)收集、传输、处理和使用这些信息。
传输
解决方案主要在美国实施。对通过解决方案处理个人数据的过程进行控制的是位于 807 11th Avenue, Sunnyvale, CA 94089 的 Ariba 公司总部。向解决方案提交数据即表示您同意将这些数据传输到美国和由 Ariba 选择的其他解决方案实施位置,以及 Ariba 的授权服务提供商。Ariba 公司控制的 Ariba 联属公司遍布于欧洲经济区内外。对于任何从欧洲经济区内往其外国家/地区的 Ariba 联属公司传输的个人信息,由于其可能难以提供“欧洲数据保护指令”所涵盖的足够数据保护级别,因此必须通过 Ariba 的下列确认:(A) 有恰当而足够的保护,并且 (B) 相应的数据传输协议基于欧洲委员会批准的标准契约性条款。
更正帐户信息(行使您访问个人信息的权力)
您有权访问和更改您的个人信息以及按照下述的约束条件删除您的个人信息。为了使您能够行使此权利,Ariba 为您提供了可及时更新个人信息的程序。在大多数解决方案中,您公司中的管理联系人可以通过登录到解决方案并直接管理帐户概要信息的方式直接更改大多数联系信息。对某些解决方案,则需要通过致电 Ariba 客户支持人员请求更改。对个人信息的删除需要由您的雇主批准(例如费用报告数据),并且可能需要 Ariba 公司的帮助。有些删除数据的请求还必须通过您公司的管理联系人向 Ariba 发出。Ariba 可能会由于以下合法原因拒绝提供对解决方案的访问,包括因帐户拖欠付款、法律纠纷或出于安全考虑。如果您由于不再受雇于作为帐户所有人的公司,或由于帐户已终止,而无法更正、更新或删除您的个人信息,则可以通过下面提供的地址联系 Ariba 隐私问题协调员。无论出现哪种情况,Ariba 都将采取合理措施满足您的请求,或在 30 天以内以书面形式回复拒绝您的请求的法律依据。
Ariba 向第三方的披露
除了在本政策的其他地方以及在我们与客户的合同中明确规定的之外,Ariba 不会将您的个人信息提供给第三方,除非 (1) 您请求或授权披露;(2) 处理交易或提供您请求的服务时必须进行披露(例如信用卡公司的购物卡处理或银行的结算服务,或者员工通过集成旅行服务提供商预订的旅行);(3) Ariba 被迫根据政府机构和监督机构的要求、根据传票或类似的政府要求或者为了提出或捍卫合法要求而进行披露;或 (4) 该第三方是我们的服务履行代理或分包商(如 Ariba 指定的第三方电信服务提供商)。
安全性
Ariba 采用业内标准的安全措施以防止对个人信息的非法泄露。有关 Ariba 为确保解决方案的安全和保护您的个人信息而采取的措施的信息,请参见“安全披露”。有关 Ariba 参与 WebTrust 计划的信息,请访问 http://www.ariba.com/legal/ariba_webtrust.cfm。有关 WebTrust 计划的一般信息,请参阅 http://www.webtrust.org/。
数据保留
Ariba 会将个人信息保留在活动数据库中,其时间长短取决于特定解决方案、数据类型以及适用法律。每一个解决方案都在其文档或条款中规定了各自的数据保留政策。为了与 Ariba 的备份和存储程序保持一致,以及由于数据与解决方案之间的紧密集成,Ariba 可能会将个人信息存储在备份日志和文件中,储存时间以合法需要或满足本政策规定用途所需的时间为限。但 Ariba 并不承诺无限期地存储这些数据。在您使用解决方案期间,根据您购买的特定解决方案以及其政策,您将可以在一定期限内访问您的个人信息,我们建议由您公司的管理联系人将查询转发至 Ariba 隐私问题协调员,其地址如后面所示。
对本政策的更改
Ariba 需要经常对本政策进行更改。有些更改是为响应所适用的法律和法规的改变而作出的。此外,Ariba 在为解决方案添加新的功能与服务时,也会一贯地以此政策处理个人信息,但可能会需要一些更改或澄清。如果 Ariba 寻求对其政策进行根本更改,以便将个人信息用于新的、合法的商业用途,Ariba 会在本数据政策中添加相关内容,并且在末尾注明最近的更新日期,然后以 Ariba 文件的形式向每个买方和供应商的管理联系人发送通知。我们建议您时常查看本政策,以保证与我们对政策和与个人信息有关的程序的任何更改同步。对于重大的、实质性的数据政策变化,Ariba 会尽力向那些受影响的用户提供通知,并提示这些用户查看更新后的数据政策。
安全港计划
在 Ariba Network、Ariba 按需解决方案和 Ariba 代管服务方面,Ariba 已经正式加入了由美国商务部负责的“安全港计划”,并且承诺遵守欧洲联盟有关个人数据的收集、使用和保留的安全港隐私准则。有关安全港的详细信息或者欲了解 Ariba 关于认证的声明,请转至 http://www.export.gov/safeharbor/。
问题
如果您对本数据政策存有疑问,请发送电子邮件至 privacy@ariba.com:Ariba 隐私问题协调员,或致函以下地址:Ariba Privacy Coordinator, Legal Department, Ariba, Inc., 807 11th Avenue, Sunnyvale, CA 94089。Ariba 公司获得了 TRUSTe 隐私计划的许可。TRUSTe 是一个独立的非盈利性组织,旨在通过推广信息公平活动在 Internet 上树立用户的信任和信心。本数据政策中的“个人信息处理及隐私”部分涵盖了上面的“解决方案”定义(https://service.ariba.com、https://s1.ariba.com、https://www.sourcingservice.com 和客户特定的 URL)下说明的解决方案(及其网站)。因为这些网站希望展示 Ariba 对您隐私的承诺,Ariba 已同意批露其信息活动,并查看了其隐私活动,以便遵循 TRUSTe。
如果对本政策的“个人信息处理”和“隐私”部分有疑问或顾虑,您首先应该联系您公司的管理员或上面列出的 Ariba 隐私问题协调员 (privacy@ariba.com)。如果您未收到对您询问的确认或者您的询问未能得到满意的答复,则此时您应该联系 TRUSTe,其网址为 http://www.truste.org/consumers/watchdog_complaint.php。此时 TRUSTe 将充当您与 Ariba 的联络员,以解决您在个人信息处理方面的疑虑。
其他条款
如果本数据政策的非英文版本与英文版本之间存在任何冲突或重大翻译更改,则以英文版本为准。Ariba 可提供企业对企业市场板块方面的产品和服务。同理,Ariba 所收集的个人信息仅与个人在公司中的角色相关,而不以个人或消费者的形式出现。这就是说,Ariba 收集的是个人在公司范围内的姓名、业务联系信息(例如业务电子邮件地址、业务电话号码和业务传真号码等)及其角色。Ariba 另外还有两个隐私政策。本文所述的是 Ariba 数据政策和隐私声明,针对的是购买和使用 Ariba 产品和服务的公司。此外,Ariba 还有一个针对其员工和联系人等的内部隐私政策和一个针对面向 Internet 的市场营销网站(例如 www.ariba.com)的独立隐私政策。其他的这几个政策独立且不同于本政策所控制的活动。
特定于各国家/地区的条款
意大利:在数据处理方面,本隐私声明(即,上面标题为“个人信息处理与隐私”一节,加上本条款)符合意大利数据保护法案,法令号 196(2003 年 6 月 30 日发布),统称“意大利隐私法案”的第 13 条。因此,Ariba, Inc. 特此通知您,当您通过本解决方案按以上所述方式处理您的个人数据时,我们将实施此隐私声明及意大利隐私法案。数据处理的操控方是 Ariba, Inc.(地址:807 11th Avenue, Sunnyvale, CA 94089, USA)和您的雇主。如果您对本政策有疑问或顾虑,可以使用上面列出的电子邮件地址
******
数据政策 v15.1 - 2007 年 9 月 5 日(2008 年 5 月 19 日修正)
