数据保护要求

1. 定义

1. 个人信息。 “个人信息”是指识别或可用于识别自然人或与已识别或可识别的自然人

有关的任何信息。个人信息的示例包括但不限于：

1. 姓名、地址、电话号码、传真号码、电子邮件地址；

2. 社保号码、纳税人身份证号码、护照号码、驾驶证号码或其他政府颁发的

身份证号码；

3. 信用卡或借记卡信息、金融账号、允许访问帐户或信用记录的代码或密

码；

4. 种族、宗教、族群、性生活、性行为或性取向；

5. 医疗或健康信息、遗传或生物测定信息、生物测定模板、

6. 政治或哲学信仰、政党成员资格、工会成员资格；

7. 背景调查信息或刑事记录等司法数据或其他司法或行政诉讼的信息。

2. 处理。“处理”是指（但不限于）对 Seagate 数据所执行的操作，比如收集、记录、

整理、构建、修改、使用、访问、披露、复制、传输、存储、删除、合并、限制、

改编、检索、咨询、销毁、处置或使用个人信息。

3. Seagate 数据。 “Seagate 数据”是指由 Seagate 或为 Seagate 创建、所有或提供

的任何数据，包括个人信息、知识产权、商业机密或其他数据，这些数据可供供应

商根据本协议进行访问、获取、使用、维护或处理。

4. 分包商。 “分包商”是指由供应商或任何其他分包商所接洽的将有权访问、接收或以

其他方式处理任何 Seagate 数据的第三方。

2. 数据安全和保护

1. Seagate 数据的保密。未经 Seagate 事先书面授权，供应商不得出于任何目的，以

任何方式向任何第三方披露 Seagate 数据。供应商应实施适当的技术、组织和物理

安全措施来保护 Seagate 数据，具体规定见下文安全要求。

2. 处理限制。供应商只应出于根据协议向 Seagate 提供适用的服务和/或交付物的目

的处理 Seagate 数据。供应商不得处理或允许处理个人信息，除非按照 Seagate

的明文说明。供应商不得在本协议终止或期满后处理，除非 Seagate 另有指示。

3. 分包商限制。供应商应保留㇐份向其披露 Seagate 数据的分包商名单，并在

Seagate 提出要求时向 Seagate 提供此名单。供应商在向该名单添加任何分包商之

前，应提前至少 30 天通知 Seagate。如果 Seagate 拒绝任何分包商访问 Seagate

数据，则供应商不得向该分包商披露 Seagate 数据。如果供应商不向分包商披露

Seagate 数据就无法提供服务，则 Seagate 可以终止协议而无需对供应商承担任何

费用或责任。

4. 分包商合规和违反。供应商应确保其分包商遵守此附件的条款。供应商对分包商的

使用并不会减少供应商遵守本附件的义务。如果供应商的分包商违反本附件，则供

应商应向 Seagate 承担的责任同供应商违反本附件同等。

5. 供应商员工和分包商的义务。供应商应确保可以访问 Seagate 数据的任何个人或分

包商均应受到与本附件至少同等严格的书面隐私和数据保护协议的约束。供应商应

确保隐私和数据保护义务在其雇佣或合作期满后仍有效力。

6. 有限访问。供应商应将对 Seagate 数据的访问权限限制为仅向以下人员或分包商提

供：需要访问权限以便供应商根据协议履行其义务，接受过数据保护和安全要求培

训，以及同意在进行 Seagate 相关活动过程中及之后遵守数据保密要求。

7. 请求或投诉通知。除非法律禁止，供应商应在收到任何与处理个人信息相关的请求

或投诉后的 2 天内通知 Seagate，包括

1. 个人请求数据迁移、请求访问、更改或限制以及类似请求；或

2. 关于信息的处理侵犯个人权利的投诉或指控。

8. 供应商回应。除非获得 Seagate 明确授权，否则供应商不应回应任何请求或投诉。

供应商应就与任何请求或投诉相关而采取的行动与 Seagate 进行合作。供应商应努

力实施适当的流程（包括技术和组织措施）协助 Seagate 响应请求或投诉，除非法

律禁止。

9. 披露请求。 除非法律禁止，否则如果供应商收到任何请求或声称强制披露个人信息

的文件（比如口头问题、质询、法律诉讼中的信息或文件请求、传票、民事调查要

求或其他类似要求或程序；统称“披露请求”），供应商应立即通知 Seagate。如果

披露请求不具有约束力，供应商将不予回应。如果披露请求有约束力，则除非适用

法律禁止，供应商应在回应之前至少 48 小时通知 Seagate，以便 Seagate 行使其

阻止或限制此类披露的权利。供应商应尽合理努力阻止并限制任何披露以及保护个

人信息的机密性。供应商应就回应披露请求而采取的任何行动与 Seagate 合作，包

括合作获取适当的保护令或其他保障，以保护个人信息的机密性。

10. 合作。 供应商应提供 Seagate 所请求的相关信息和协助，以证明供应商遵守本附

件所规定的义务。供应商应协助 Seagate 履行有关数据保护法律的义务，包括 (a)

注册和通知；(b) 问责；(c) 确保个人信息的安全；以及 (d) 进行隐私和数据保护影

响评估以及数据保护部门的相关磋商。

11. 参与监管调查。 供应商应协助和支持 Seagate 进行任何监管机构的调查，前提是

调查涉及供应商处理的 Seagate 数据。

12. 潜在违反或无法遵守的通知。 如发生以下情况，供应商应立即通知 Seagate：

1. 供应商有理由相信，Seagate 关于处理个人信息的任何指示将违反适用法

律；

2. 供应商有理由相信其无法履行本附件规定的任何义务，并且无法在合理的

时间内纠正这种无法履行的情况；或者

3. 供应商意识到任何情况或适用法律的变化可能妨碍其履行本附件规定的义

务。

13. 暂停或调整以实现合规。 Seagate 可能暂停供应商的个人信息处理，以防止潜在的

违规或不合规行为。供应商应与 Seagate 合作调整处理流程，以纠正任何潜在的违

规或不合规行为。如果无法进行调整，Seagate 可能会终止本协议，而无需向供应

商承担任何费用或责任。

3. 数据传输

1. 欧洲经济区标准条款。 如果供应商将从欧洲经济区 (“EEA”) 内接收的个人信息转移

到 EEA 之外或在 EEA 之外进行处理，那么除了本附件中的条款之外，也将适用另

行提供的“标准合同条款”（“标准条款”）。供应商应确保任何分包商也执行标准条

款。

2. 隐私护盾。 “隐私护盾”是指美国商务部和欧盟委员会制定的“欧盟-美国隐私护盾框

架”以及由美国商务部和瑞士制定的“瑞士-美国隐私护盾框架”，包括“隐私护盾原则”

和“补充原则”，可从以下网址获得：https://www.privacyshield.gov/EU-US-

Framework。

3. 隐私护盾认证。 如果供应商已通过隐私护盾认证，供应商应在本协议有效期内维护

对隐私护盾的认证。如果供应商获得 Seagate 授权进行分包，供应商应在任何披露

之前与任何此类分包商签订适当的向前转移协议。如果供应商认定其无法再履行提

供隐私护盾所要求的保护级别的义务，供应商应立即书面通知 Seagate，并根据隐

私护盾认证返还或销毁所有个人信息。Seagate 可以采取任何合理的行动来停止或

补救未经授权的处理，包括终止本协议，而无需对供应商承担任何费用或责任。

4. 其他司法管辖规定。供应商应遵守下文作为附表 1提供的特定司法管辖区的要求，

了解与特定司法管辖区有关的要求。

4. 合规和问责

1. 合规性。 供应商应每年审查供应商和分包商的实践，以确保遵守本附件和所有适用

的法律。供应商应确保对 Seagate 数据的处理符合适用于供应商的所有适用法律、

自律框架和合同要求。对于 Seagate 要求供应商证明符合本附件中所提及的数据保

护和安全条款的情况，供应商应自费予以配合。

2. 审查。 Seagate 可能会审查与本附件有关的供应商实践。供应商应在合理的时间内

纠正任何不合规情况。Seagate 可以采取任何合理的行动来停止或补救任何不合规

行为，包括终止本协议，而无需对供应商承担任何费用或责任。

5. 出现安全漏洞后的供应商责任

1. 安全漏洞。 “安全漏洞”是指违反安全规定，导致意外或非法破坏、丢失、更改、未

经授权的披露、访问、获取 Seagate 数据或任何其他未经授权处理 Seagate 数据

（包括个人信息）的情况。

2. 安全漏洞通知。 供应商应在了解到潜在安全漏洞后的 24 小时内书面通知 Seagate

已知或可疑的安全漏洞，并应立即：

1. 通过 data.protection.officer@seagate.com 通知 Seagate 安全漏洞情况；

2. 调查安全漏洞或提供调查安全漏洞所需的帮助；

3. 为 Seagate 提供关于安全漏洞的详细信息；

4. 采取在商业上合理的所有措施缓解安全漏洞的影响，或协助 Seagate 缓解

影响；和

5. 实施补救计划并监控 Seagate 数据相关的违规和漏洞解决情况，以确保及

时采取适当的纠正措施。

3. 遏制和补救。 供应商应立即遏制和补救任何安全漏洞，并防止进㇐步的安全漏洞；

供应商应采取㇐切必要的行动，以遵守适用的隐私权、法律、法规和行业标准。

4. 信息沟通。 供应商不得在未经 Seagate 事先批准的情况下以任何可识别或有合理

可能识别或泄露 Seagate 身份的方式发布任何与安全漏洞相关的信息。

5. 保存证据。 发现安全漏洞后，供应商应保存与漏洞相关的证据，并根据事件响应计

划保持清晰的指挥系统。

6. 合作。 供应商应与 Seagate 合作进行任何诉讼、调查或 Seagate 要求的其他行

动，以保护 Seagate 有关使用、披露、保护和维护个人信息的权利。

7. 赔偿。 供应商应对由于供应商或分包商的行为或疏忽而导致的安全漏洞所造成的任

何第三方与安全漏洞相关的索赔为 Seagate 进行抗辩和赔偿。供应商应支付或赔偿

Seagate 与安全漏洞（包括但不限于 Seagate 数据漏洞）相关的所有罚款、处罚和

费用，包括 Seagate 的合理律师费、实付费用以及调查费用，包括与以下各项相关

的任何费用：(a) 提供由 Seagate 确定的合理必要或法律要求的通知；(b) 建立沟通

程序以应对安全漏洞以及 (c) 为受到安全漏洞影响的个人提供至少 1 年的信用监

控。

6. 返还和安全删除 SEAGATE 数据

1. 数据完整性。 供应商应遵守所有 Seagate 指示以保持数据的完整性，包括 (a) 处置

由供应商维护但已不再是提供服务所必需的个人信息；(b) 确保由供应商代表

Seagate 创建的任何个人信息准确无误并保持最新；(c) 依据适用法律删除或纠正

任何不准确或不完整的个人信息。

2. 返还和删除 Seagate 数据。 在 (a) Seagate 要求或 (b) 协议到期或提前终止时（以

较早者为准），供应商应以由 Seagate 所决定的可由机器读取和可互操作的格式将

Seagate 数据导出，或让 Seagate 或其第三方指定人员能够将所有 Seagate 数据

导出。在协议终止或期满后，供应商应在 Seagate 认为合理必要的期限内维护

Seagate 数据，以便 Seagate 能够全面访问和导出 Seagate 数据，且不会对

Seagate 产生任何费用。各方应确定㇐名负责迁移 Seagate 数据的联系人，并应本

着诚信的态度迅速、尽职地工作以便及时完成传输。在 Seagate 确认 Seagate 数

据已接收并正确转移后的 90天内，供应商应安全销毁所有 Seagate 数据，解除

Seagate 的工作区标识符链接，并用新数据覆盖或以其他通过批准的清理方法销毁

Seagate 数据。

3. 销毁旧硬盘。 如果供应商将包含 Seagate 数据副本的硬盘退役或以其他方式报

废，则供应商应安全地切碎或销毁硬盘，以使 Seagate 数据彻底销毁且无法读取。

供应商应书面证明硬盘已被切碎或销毁，且 Seagate 数据不能被读取、检索或以其

他方式重建。

4. 对任何保留的通知。 如果供应商有法定义务在本附件允许的期限之外保留 Seagate

数据，供应商应书面通知 Seagate 此等义务，并应在保留期结束后尽快返还或销毁

Seagate 数据。

5. 文档记录。 供应商应根据本附件记录其对 Seagate 数据的保留或处理。根据

Seagate 的要求，供应商应提供书面证明，证明 Seagate 数据已根据本附件返还或

安全销毁。

7. 其他

1. 优先顺序。如果本附件与本协议或 Seagate 与供应商之间的任何其他协议存在分

歧，则以本附件的规定为准。如果本附件与“标准条款”存在任何分歧，以“标准条款”

的规定为准。

2. 第三方受益人。 Seagate 的附属公司是本附件的第三方受益人；并可分别作为本协

议的签署方强制执行本附件的条款。Seagate 公司也可以代表其附属公司强制执行

隐私和数据安全规定，而不需要其附属公司单独对供应商提起诉讼。

3. 向监管机构披露附件。 Seagate 可能会向任何监管机构提供本附件中隐私条款的摘

要或副本。

安全要求

数据安全

1. 信息安全计划。供应商将建立、实施和维护㇐个信息安全计划，其中包括技术和组织

安全性以及物理措施以及保护由供应商处理的 Seagate 数据的政策和程序，避免未经

授权或非法的破坏或丢失、更改、未经授权的披露或访问或其他未经授权的处理。供应

商的信息安全计划必须合理地针对所有 Seagate 数据的机密性、完整性和可用性，包

括以下事项和本附件中规定的任何其他要求：

1. 定期风险评估。

2. 识别并记录授权用户的安全要求。

3. 用户访问、访问的性质和访问权限。

4. 通过使用有效的物理和逻辑访问控制（包括但不限于本附件中指定的物理安全

措施）防止未经授权的访问。

5. 用以添加新用户、修改现有用户的访问级别以及删除不再需要访问权限的用户

的程序。

6. 分配安全、系统变更和维护的责任和问责制度。

7. 实施系统软件升级和修补程序，对于影响安全的修补程序采用少于 90 天的修

补间隔，对于关键修补程序采用少于 15 天的修补间隔。

8. 在实施之前测试、评估和授权系统组件。

9. 解决有关安全问题的投诉和请求。

10. 处理错误和遗漏、安全漏洞和其他事件。

11. 检测实际和企图攻击或入侵系统以及主动测试安全程序（例如渗透测试）的程

序。

12. 分配培训和其他资源来支持其安全政策。

13. 对其安全程序中没有具体规定的例外和情况的处理条款。

14. 处理完整性和相关的系统安全政策。

15. 要求用户、管理层和第三方确认（最初和每年）他们对协议的理解，以遵守与

Seagate 数据安全性相关的适用隐私政策和程序。

16. 正确销毁和处理 Seagate 数据的程序。

2. 环境。供应商将安全地收集、托管、传输和存储 Seagate 数据。供应商将使用不低于

行业标准的物理和环境安全措施提供服务，以防止未经授权访问、盗窃或非法披露

Seagate 数据。供应商将采用符合防火墙和其他安全技术行业标准的技术。供应商将

通知 Seagate 每个存储或处理 Seagate 数据的位置。供应商保证 Seagate 数据不会与

其他公司的数据混在一起。

3. 安全数据传输。为了在电子传输过程中保护 Seagate 数据，供应商将使用传输层安全

(TLS) 标准。此外，在加密 Seagate 数据时，供应商最低应保持以下安全措施：采用

SSL 256 位加密技术的 HTTP (HTTPS)；通过安全文件传输协议 (SFTP) 传输文件的

功能；至少 256 位的文件 AES 加密和在传送期间进行数据编码；以及托管服务加密密

码。

4. 数据完整性。供应商将以 Seagate 公司批准的文件格式（如平面文件、关系数据库管

理系统、电子表格、ASCII、XML、原始格式）维护 Seagate 数据。如果获得 Seagate

批准，供应商可以采用供应商自己的格式维护 Seagate 数据。供应商必须支持磁带格

式或适用的介质。供应商将定期测试和验证 Seagate 数据的完整性。

5. 可恢复性。供应商将根据 Seagate 要求制作 Seagate 数据，以回应 Seagate 或第三方

审核、Seagate 事件或调查请求或根据法律的要求。供应商将根据 Seagate 的要求与

Seagate 合作，测试供应商系统和供应商备份中的 Seagate 数据的可恢复性。

6. 合规性。供应商将提供针对所提供服务的标准和控制合规性的报告：国际标准组织

(ISO) 27001 或 27002，注册会计师 (AICPA) 鉴证业务标准声明 (SSAE) 16 类型 II 或

其他类似报告。报告将至少每年根据 Seagate 的要求提供，并且必须来自 Seagate 可

合理接受的审计公司。供应商将向 Seagate 提供完整的认证副本，并提供认证报告。

根据 Seagate 的书面要求，供应商还将向 Seagate 提交管理声明书，声明经过合理调

查后，据供应商管理层所知控制环境在管理声明书日期与认证日期之间没有发生变化。

控制测试和认证报告期间未超过九十 (90) 天。

7. 审核和测试。Seagate 可能会审核或让第三方审核供应商提供服务的数据中心、应用

程序和网络基础架构的流程、控制、隐私和安全性，以确保符合 Seagate 的安全政策

和标准。这种审核权包括检查供应商与提供服务相关的任何数据中心（例如开发者账户

安全协议）进行连接的安全实践。Seagate 可能会随机进行非侵入式网络审计（基本

端口扫描等）而不事先通知。Seagate 不会尝试访问其他供应商客户的数据。Seagate

可以在供应商事先书面同意的情况下执行任何技术安全完整性审查、渗透测试、负载测

试、拒绝服务模拟或漏洞扫描。

8. 漏洞缓解。供应商将积极缓解任何时候发现的任何关键安全漏洞。Seagate 可能要求

供应商披露网络服务器和相关支持功能（如搜索引擎或数据库）的特定配置文件。披露

给 Seagate 的所有配置文件均为供应商机密信息。

9. 业务连续性计划。供应商将建立、实施、测试和维护有效的业务连续性计划（包括但不

限于灾难恢复和危机管理程序），为 Seagate 提供对服务的持续访问和支持。供应商

将确保备份和灾难恢复计划流程保护 Seagate 数据免受未经授权的使用、访问、披

露、更改或销毁。

10. 备份和存档。供应商每天都会备份、存档和维护可以完全恢复所有 Seagate 数据的复

制或冗余系统。供应商将建立并遵循将备份数据和系统传输到供应商备份地点的程序和

频率间隔。供应商会在供应商主系统位置以外的安全物理位置维护备份存储和系统。供

应商将至少每年更新并测试备份存储系统。根据书面要求，供应商将向 Seagate 提供

供应商业务连续性计划摘要，并允许 Seagate 参与灾难恢复演习。供应商将在

Seagate 和供应商双方同意的时间框架内将 Seagate 要求的任何合理修改纳入业务连

续性计划。供应商将至少每天以增量备份形式备份 Seagate 数据，并至少每周完成一

次备份。如果原始 Seagate 数据丢失或损坏，供应商将在 2 小时内从备份数据重建

Seagate 数据。

11. 受控访问。供应商负责阻止对任何托管 Seagate 数据区域的物理访问，供应商的员工

需要访问物理区域的情况除外。

12. 网络安全性。供应商将配置所有网络基础设施，以实施“最少访问原则”，包括只允许最

低必要流量的过滤器、反欺骗过滤器以及网络入口和出口过滤器。

13. 加固文档。根据书面要求，供应商将向 Seagate 提供用于保护托管 Seagate 应用程序

和 Seagate 数据的服务器的加固文档。

14. 主机监控。经书面要求，供应商将披露监控主机完整性和可用性的过程。

15. 密码。供应商将在安全的数据库服务器中存储任何密码，在供应商防火墙后使用行业

标准安全措施。供应商将使用安全哈希算法 2 (SHA-2) 或更高版本来加密或散列数据

库密码。供应商的系统在启动应用程序时必须要求这个密码才能连接到数据库。

16. Web 安全性。供应商将向 Seagate 提供针对应用程序进行特定于安全性的质量保证测

试流程，例如测试认证、授权和记帐功能，以及旨在验证安全体系结构的任何其他活

动。

17. 加密算法。供应商将使用㇐般加密社区发布和评估的加密算法。供应商将使用强度足

够等同于 256 位的加密算法或更好的加密算法。供应商可能使用哈希函数 SHA-2 或更

高函数。供应商不会使用任何“自产”密码术，例如对称、不对称或哈希算法。

18. 加密密钥管理。供应商将提供加密密钥管理。供应商将在存储、运输和备份中保护私

钥。供应商将把加密密钥和加密密钥管理过程与存储和处理数据的任何主机分离。供应

商将向 Seagate 提供安全密钥管理的安全控制文件。供应商将提供有效的密钥销毁技

术，如加密粉碎，以确保在协议终止后加密密钥被破坏且不可恢复。

19. 身份配置和取消配置。供应商将为云服务用户的入职和离职提供安全和及时的管理。

供应商将使用标准 API，例如简单云身份管理。

20. 联合身份验证。供应商将使用 Seagate 的单点登录机制，其中包括 SAML v2 联合身份

验证标准。

21. 强身份验证。供应商将使用双因素身份验证和证书来验证管理其云服务的远程管理员，

或者采用事先获得 Seagate 批准的其他强身份验证方法。

22. 授权和访问控制。供应商将维护㇐个策略和基于角色的访问控制，以记录用户访问信

息，以进行合规性、审核和事件调查。供应商将使用 OAUTH v2 等标准来避免锁定为

㇐种授权方法。

数据泄露

23. 供应商责任。请参阅上面的数据保护要求，解供应商的责任以及 Seagate 数据泄漏后

的措施。

背景调查和网站/系统访问

24. 背景调查。供应商以书面形式证明（单独提供证明附件）其对所有可以访问 Seagate

数据的人员进行背景调查，在本协议签署之日起，这些调查包括犯罪记录、推介验证、

工作和教育验证以及 OFAC。Seagate 保留审查供应商实践并对已完成的职前筛选流

程进行审核的权利，以确保符合这些标准。此外，Seagate 地点的现场工作人员应遵

守 Seagate 的政策、程序和指导原则。

25. 访问限制。供应商不得允许任何因盗窃、暴力或毒品相关的犯罪行为而被定罪的人员有

权访问用于提供服务的 Seagate 数据、系统或网络，或在无人陪同的情况下访问用于

提供服务的物理站点，除非适用法律或法规另行禁止。Seagate 可以依照本节规定，

根据所有适用的法律和法规，包括“公平信用报告法”以及数据保护和隐私条例，通过授

权的信用报告机构，酌情且自费为需要访问 Seagate 系统、网络或物理站点的供应商

人员进行所有背景筛选。Seagate 应保持所审查报告的保密性。

附表 1

特定司法管辖区的数据保护要求

以下要求适用于指定的司法管辖区：

1. 澳大利亚

1. 职业或贸易协会成员身份。“个人信息”一词还包括有关个人的职业或贸易协会成员

身份的个人信息。

2. 匿名/假名。 如果供应商被告知数据主体希望以匿名或假名的方式处理，供应商应

根据适用法律处理请求。

3. 出于执法目的使用或披露的注意事项。 如果供应商使用或披露个人信息是用于由㇐

个执法机构执行或代表其执行的㇐个或多个执法活动，供应商应保留使用和披露的

书面记录，并及时将备案副本提供给 Seagate，除非法律禁止。

4. 澳大利亚政府相关标识符。 如果个人信息包括澳大利亚政府相关标识符，供应商

(a) 不得将个人的澳大利亚政府相关标识符作为自己的个人标识符，除非 Seagate

明确指示这样做；(b) 不得使用或披露澳大利亚政府的相关标识符，除非验证该个

人的身份是合理必要的，或 Seagate 指示这样做。

2. 日本

1. 就业管理措施。 供应商应根据厚生劳动省 (“MHLW”) “就业管理准则”的规定保护有

关就业管理的个人信息。

2. 通过雇佣关系了解的个人信息。 供应商应确保其员工不会泄露或盗用通过其雇佣关

系获得的个人信息。

3. 传输或披露前的同意。 供应商在向非本协议㇐方的任何第三方（包括关联公司）披

露或传输个人信息前应向 Seagate 事先征得书面同意。

4. 达到目的后返还或销毁。 供应商在达到收集目的时，应当停止处理并返还或者销毁

其所拥有的个人信息。

5. 备份目的。 除备份目的外，供应商不得复制或重制个人信息。

3. 韩国

1. 有限访问。 供应商应将访问个人信息的权限限制为合理要求此类权限以进行处理目

的的供应商人员。

2. 必要的保护措施。 供应商应建立和维护保护措施，包括：

1. 用于安全处理个人信息的内部程序；

2. 诸如防火墙、防病毒和防恶意软件等技术保护措施；

3. 物理访问限制，如锁；

4. 防止访问日志或处理记录被更改或伪造的措施；

5. 根据“个人信息保护法” (PIPA)、“PIPA 执行条例”、“促进信息和通信网络

利用和信息保护法案” (PICNU)、“PICNU 实施条例”（“PICNU 条例”）、

“信用信息利用和保护法” (UPCIA) 或其他韩国法律的规定，安全存储和传

输个人信息的措施，比如加密个人信息。

3. 特殊识别数据的加密。 以下情况下，供应商应对居民登记号码、驾驶证号码和护照

号码进行加密：

1. 通过信息或通信网络传输；

2. 存储在便携式存储介质或外围设备上；

3. 存储在任何外部计算机网络、非军事区或任何个人计算机上；或

4. 存储在供应商的内部网络上且供应商的系统不符合 Seagate 规定的风险标

准。

4. 密码和生物特征数据的加密。 供应商应加密以任何形式存储的所有密码和生物特征

数据。

5. 披露前信息。 在向第三方数据处理者披露或传送个人信息之前，供应商应提前合理

通知 Seagate。根据 Seagate 的要求，供应商将提供以下信息：(a) 待分包的处理

活动； (b) 第三方数据处理者的身份；(c) 对 (a) 或 (b) 的任何改变。

4. 中国台湾

1. 有限处理时间。 供应商应仅在达到处理目的所需的时间内处理个人信息，除非双方

同意不同的时间长度。

2. 保留访问记录。 供应商应尽可能长时间保存访问记录，以确保对未经授权访问的情

况定期进行审查。