企業隱私權原則

2025 年 11 月 26 日起生效

ESET, spol. s r.o. 十分重視個人資料保護，其辦公室設址於 Einsteinova 24, 85101 Bratislava, Slovak Republic，公司登記號碼：31333532 (“ESET”或“我們”).我們致力於遵循 EU 一般資料保護規則 (以下稱「GDPR」) 的透明度要求。為達成此目標，我們發佈本隱私權政策的目的僅為告知使用根據商業使用條款所提供之服務的個人 (以下稱「貴用戶」)，我們如何處理與已識別或可識別自然人相關的資料 (以下稱「資料主體」)。

本隱私權政策適用於我們的商業使用條款 (以下稱「條款」) 所規範之所有 ESET 產品和服務，因此亦適用於我們的標準商業訂閱所含之所有 ESET 產品和服務 (小型商業訂閱除外) (以下稱「訂閱」)、所有 ESET 商業帳戶及其網站，包括 ESET PROTECT Hub、ESET Business Account、ESET MSP Administrator 和 ESET Services HUB (以下稱「帳戶」)，以及由 ESET 透過帳戶提供之所有服務和功能 (以下稱「訂閱」和「帳戶」，並合稱為「服務」)。我們的服務需要使用我們的標準化的 ESET 產品，其可為本機安裝和/或雲端型產品 (合稱為「產品」)。

隱私權政策主要說明我們作為資料控制方，如何處理資料主體之個人資料，但為向貴用戶提供更完整的資訊，我們亦在個人資料類別章節中說明我們作為資料處理方所處理之資料。在此情況下,適用我們的 資料處理合約。

我們可能會隨時自行修改此隱私權政策。我們將向貴用戶傳送一封電子郵件通知，其中包含修改後隱私權政策的連結，我們將通過應用程式內通知或其他電子方式通知貴用戶修改後的版本。如果貴用戶不同意或無法遵守修改後的隱私權政策，則應停止使用受影響之服務並解除安裝受影響之產品 (如適用)。如果貴用戶在隱私權政策生效後繼續使用服務，將視為貴用戶知悉修改後的隱私權政策。

特別,我們希望向貴用戶提供以下資訊:

•我們處理的個人資料類別

•個人資料處理的法律依據、

•資料共用和機密性、

•資料安全性、

•貴用戶身為資料主體的權利、

•我們的連絡資訊。

我們處理的個人資料類別

為了提供服務,我們必須處理可能與資料主體相關的各種資料。根據提供給貴用戶的特定服務及其技術設定,我們可能會根據 GDPR 作為特定資料處理活動的資料控制方和貴用戶的資料處理方。

下面我們列出可能與資料主體相關的資料類別,並考慮我們在特定資料處理中所扮演的角色。請注意,某些資料類別僅在特定服務中處理,因此可能不適用於貴用戶的特定情況。

ESET 作為控制方

訂閱和計費資料。ESET 會收集和處理貴用戶的名稱、電子郵件地址、訂閱和啟動金鑰相關資訊,以及若我們處理貴用戶的付款,亦會收集貴用戶的地址、公司關係和付款資訊,以提供貴用戶訂閱所含服務。此資料用於協助訂閱啟動、傳送啟動金鑰、傳送訂閱到期提醒、與訂閱相關的法律通訊、驗證訂閱真實性以及根據適用法律傳送其他通知。ESET 有法律義務保留計費資訊 10 年。訂閱相關資料將於您最後訂閱到期後的 12 個月內在訂閱系統中匿名化,但此等資料可能會在本隱私權政策中所述其他內部系統中用於不同時間和目的。這包括在您最後訂閱到期後的 3 年內處理訂閱相關資料以及任何法律通訊,以建立、行使或辯護法律索賠。

帳戶註冊資料。若要註冊帳戶並讓貴用戶存取相關服務,我們可能需要處理貴用戶的全名、公司名稱、居住國家、有效電子郵件地址、電話號碼以及訂閱相關資訊。

統計資料和遠測資料。為了增強基礎架構的安全性,並維護和改善我們的產品和服務,我們需要根據我們改善和更安全服務的合法利益處理服務使用相關的遠測資訊。此等資料僅以整合階層處理,包含資料,例如資料庫效能、健康統計、受管理終端點數目、終端作業系統、系統硬體、系統錯誤、原則、登入、任務、通知、受管理裝置、偵測統計、事件處理率、規則引擎統計、排除等,以及 HTTP 標題。

技術支援。您的連絡人詳細資料、訂閱資訊和支援要求所提供資料可能為技術支援目的所需。根據貴用戶選擇的通訊渠道,我們可能會收集貴用戶的電子郵件地址、電話號碼、訂閱資訊、產品詳細資料以及支援案例描述。我們可能會要求提供其他資訊以協助我們的技術支援。針對技術支援目的所處理的所有資料會保留 4 年。

行銷通訊。根據規範直接行銷的相關法律,我們可能會使用您的連絡人資訊或產品通訊渠道來直接行銷我們的產品和服務,並符合我們推廣產品的合法利益。此等使用將持續,直到您退出此等通訊,或在您最後訂閱到期後的 12 個月內將您的訂閱相關資料變為匿名。

您的意見。您的意見、答案或要求得透過我們的網站表單或其他通訊渠道提交。若要追蹤,我們可能需要您的連絡人資訊 (例如您的電子郵件) 或其他相關資料,取決於您的通訊目的和背景。資料保留期間取決於通訊的性質或目的,並根據本隱私權政策進行管理。

本機安裝產品的特定資料處理

•本機安裝產品的更新和其他統計資料。處理的資料包括安裝程序、裝置特性以及產品的運作和運作資訊,例如安裝產品的平台、作業系統、硬體規格、安裝 ID、訂閱 ID、IP 位址、MAC 位址和產品配置設定。此等資料用於更新、升級、維護、安全性以及產品、服務和後端基礎架構的發展。其儲存和處理無關計費或訂閱記錄所需的身分識別資料,因為其處理不需要識別產品終端使用者或其他資料主體。此等資料的保留期間最長 4 年。

•ESET LiveGrid® 聲譽系統 在我們的反惡意軟體本機安裝產品中。入侵相關的單向雜湊處理目的係基於 ESET LiveGrid® 信譽系統，其可比較掃描檔案與雲端中的白名單和黑名單項目，以改善我們的反惡意軟體產品的效率。此過程中不會識別產品或其他資料主體的終端使用者。

•ESET LiveGrid® 意見系統 在我們的反惡意軟體本機安裝產品中。來自全球的可疑範例及中繼資料已收集為 ESET LiveGrid® 意見系統的一部分，可讓 ESET 針對貴用戶的需求立即採取行動，並讓我們隨時掌握最新的威脅。我們仰賴您傳送

o可疑病毒範例及其他惡意程式和可疑、有問題、潛在不需要或潛在不安全物件 (例如，可執行檔、您回報為垃圾郵件或是由產品標記為垃圾郵件的電子郵件) 此類入侵行為；

o使用網路的資訊，例如 IP 位址和地理資訊、IP 封包、URL、乙太網路框架；

o當機傾印檔案及所包含的資訊。

作為本服務的一部分收到的可疑範例、檔案名稱、URL 或元資料有時可能包含資料主體的個人資料。我們不特別尋求此等個人資料,也不意收集此等個人資料。收集和處理此等範例、URL 和相關元資料的唯一目的是為貴用戶和其他客戶提供服務,包括我們的強化反惡意軟體防護。

透過 ESET LiveGrid® 意見系統取得和處理的所有資料均旨在處理而不識別產品的終端使用者或任何其他資料主體。

•ESET Secure Authentication On-Prem。為了驗證、提供和您選擇使用本產品功能的整體運作,我們可能需要使用者名稱、電話號碼、代碼名稱、代碼 ID、其他代碼資訊、啟動 URL、訂閱資訊、電話 ID、通知 ID 等資訊,以及平台資訊。

請注意,若我們在服務中處理不接受條款且因此未簽署 GDPR 第 6 (1) b) 條之合約之資料 (例如,貴用戶的員工、家庭成員、貴用戶授權使用服務的其他人或可疑範例收集的第三方),則我們會根據 GDPR 第 6 (1) f) 條的合法利益處理其資料。此處理使我們能夠向貴用戶提供服務,並保持其高品質和安全性。

ESET 作為處理器

本條款概述與服務相關處理的資料類別,其中我們作為貴用戶的資料處理方。其主要適用於我們的雲端型產品，此等產品可能需收集並處理與您網路及其上部署本機安裝產品之受監控端點裝置相關的資料。基礎架構所執行監控範圍以及所收集的確切資料，取決於您和管理員所管理之規則、排除項目和設定。因此，我們將作為資料處理方，根據資料處理合約處理此等資料，以向您提供服務。此等資料以及其他服務相關防護記錄應根據特定雲端型產品的防護記錄保留原則進行儲存，詳請參閱文件。

我們鼓勵您在設定雲端型產品時檢查並檢查您所在國家資料收集和處理的法律和法律要求。您可能需要通知受管理或監控的終端端裝置的終端使用者,或在特定司法管轄權下要求特別授權進行監控活動。

ESET PROTECT

•受管理終端裝置。管理 ESET 本機安裝產品需要下列資訊：安裝 ESET 產品的受管理裝置席位 ID 和名稱、產品名稱、訂閱資訊、啟動和到期資訊、硬體和軟體資訊。收集並提供受管理 ESET 產品和裝置的活動防護記錄，是為了協助進行管理和監督的功能和我們的服務。其他經過處理的資訊可能涵蓋安裝程序的相關資料，包括我方產品所安裝的平台，產品或受管理裝置之操作與功能的資訊，例如硬體指紋、安裝 ID、訂閱 ID、IP 位址、MAC 位址、使用的電子郵件地址、行動裝置的 GPS 座標，或產品組態設定。

•弱點與修補程式管理如果您選擇使用弱點評估和修補程式管理功能，我們將會處理更多資訊。將收集和處理與被管理裝置之弱點名稱和識別碼、嚴重性和影響分數相關的資訊，以便進行弱點評估。修補程式管理功能也需要應用程式的名稱、版本和廠商、裝置上缺少的修補程式版本和遺漏修補程式的識別碼。

•雲端工作負載防護。此功能主要收集和處理兩種記錄:Azure 活動記錄和 Microsoft Entra ID,其中可能包含您雲端環境的以下個人資料: (i) API 要求執行者的 IP 位址和 (ii) 執行要求的使用者身分 (名稱、電子郵件)。我們將處理您雲端環境中的此等資料，以偵測和回應在您的 VM 或更廣泛雲端環境中執行的潛在惡意軟體，並以連接器和工作狀態的報告形式寫入指示器，並/或將事件發佈至 ESET PROTECT 主控台和/或 OpenXDR。

•ESET 遠端存取。此試用功能 (若可用) 可讓管理員透過 ESET PROTECT 主控台，遠端存取受管端點裝置。根據網路設定，來自端點的資料會直接傳輸於主控台 (管理員的瀏覽器) 和端點之間，或透過 ESET 伺服器傳輸。無論何種情況，所有資訊皆以工作階段為基礎進行端到端加密。其中包括遠端桌面螢幕、滑鼠游標和鍵盤活動、剪貼簿內容 (僅在工作階段中複製的資料)、檔案傳輸和聊天訊息。透過 ESET 伺服器傳送時,資訊不會儲存或解密。IP 位址和路由資訊用於談判終端點與主控台之間的連線。若傳輸檔案,則會遵循相同的加密路徑,且不會保留於 ESET 伺服器上。為審核目的,我們的控制台會記錄管理操作相關的某些元資料,例如工作階段開始和結束日期和時間,以及檔案是否從終端點傳輸。亦會收集工作階段相關的其他元資料,例如傳輸檔案的檔案名稱、IP 位址、機器名稱和使用者名稱。管理員在遠端裝置上執行的動作不受監控或記錄。此外，一旦 ESET Remote Access 可以使用主控台聊天功能，管理員與終端使用者之間的通訊聊天內容也可能經記錄以進行審核。

ESET Inspect

ESET Inspect 會從受監控端點裝置和網路收集和處理資料,並傳送至雲端主控台。作為終端點偵測和回應 (EDR) 類型產品,其設計用於詳細監控和異常偵測。在部署的終端點,它會收集活動和作業系統事件的資訊,包括裝置上所有可執行模組的資料、過程創建、檔案變更、記錄變更、網路連線以及所有已發現的威脅 (例如惡意軟體、PUA、封鎖網站等) 等低層事件。請注意，已處理的資料可能包含隱私權敏感資訊，例如所有已修改檔案的名稱、所有程序的指令碼和所有造訪頁面的 URL。

ESET Secure Authentication

•ESA 雲端主控台我們的雲端主控台可讓貴用戶管理和配置我們的服務,亦可作為雲端型驗證伺服器,處理您啟用兩因素驗證的終端裝置的驗證要求。我們正在處理對 ESET Secure Authentication 運作所必需的各種資料類別,以便向您提供服務,而要處理的精確資料取決於您選擇使用的驗證方法和元件以及您所建立的服務其他設定。因此,雲端主控台可能會處理與您的終端使用者相關的資料,例如使用者名稱和 ID、IP 位址、移動號碼、電子郵件地址、組織單位以及與組織結構相關的資料 (若貴用戶選擇自動同步貴用戶組織構造中的資料與雲端主控台的資料,則可能需要輸入資料庫的登入資格)。

•第三方服務和整合。若貴用戶選擇與第三方服務和元件整合 ESET Secure Authentication,我們可能會處理與貴用戶所選擇的服務和元件整合和運作所需的其他資料,例如 Microsoft Exchange Server、Microsoft Dynamic CRM、身分識別提供者連接器或 RADIUS 所需的資料、貴用戶使用的硬體標記資料 (例如硬標記秘密) 和貴用戶訂閱相關資料。為了向貴用戶提供報告功能和相關通知，我們必須處理貴用戶組織活動 (例如登入者、登入失敗等) 以及產品運作 (例如錯誤) 相關資料。

•請注意,根據您選擇與 ESET Secure Authentication 整合之元件的特性,我們可能也需要處理用於驗證的第一因素資訊,通常是終端使用者的密碼,但僅用於傳送至主管實體進行驗證。使用 ESET Secure Authentication 進行兩因素驗證的終端使用者密碼不會儲存在 ESA 雲端主控台或其他 ESET 伺服器上。

ESET Threat Intelligence

•範例分析如果您選擇透過 ESET Threat Intelligence 門戶的範例提交功能提交範例,則其將於我們的自動範例處理和偵測系統 (即進階機器學習模組、多掃描、LiveGrid 聲譽系統、複製器服務 - Sandbox、Sisyphos) 中自動處理。結果將僅包含與範例行為相關的結果。範例內容不得用於或包含在範例分析輸出中。我們運作用於測試範例行為的範例處理系統,確保您的資料仍在我們的控制下並不由第三方處理。範例會在當地儲存 30 天,最大儲存時間僅限於為您提供此功能所需時間。

•早期警告如果您決定設定 YARA 規則以使用早期警告功能,例如搜尋,並包含包含個人資料的文字串,則此等資料將用於識別相關實例,並因此為您提供早期警告功能。您可以隨時透過 ESET Threat Intelligence 門戶刪除規則。

ESET AI Advisor若您決定使用 ESET AI Advisor,您的查詢以及我們雲端型產品所處理的監控端點裝置和網路資訊的相關資料將傳送至我們在 Azure 私人雲端上運行的創造性 AI 解決方案。僅有為處理您的查詢之必要資料會共享至 AI 解決方案，且此等資料僅用於提供所需服務。ESET 管理 AI 解決方案,確保您的資料仍在我們的控制範圍內,且不會由第三方處理。如上所述,請注意處理資料可能包含隱私權敏感資訊。

個人資料處理的法律依據

根據與保護個人資料相關的適用法律架構，我們作為資料控制方針對資料處理適用於數項法律依據。除非另有明確說明，否則 ESET 對個人資料之處理主要是為履行與資料主體之間的條款 (GDPR 第 6 (1) (b) 條)，該條款適用於 ESET 產品或服務的提供，例如：

•合法利益的法律依據 (GDPR 第 6 (1) (f) 條)，這使我們可以處理有關您如何使用我們的服務及其滿意度的資料，以便為您提供最佳的防護、支援和體驗。即使行銷也可能被適用法律認定為合法利益,因此,在某些情況下,我們可能會依賴此等利益進行行銷通訊。

•當我們將此法律依據視為最適合的法律依據，或者如果法律要求時，我們可能會在特定情況下向貴用戶 (資料主體) 要求同意 (GDPR 第 6 (1) (a) 條)。

•遵守法律義務 (GDPR 第 6 (1) (c) 條)，例如電子通訊、保留用於開票或計費文件的明訂要求。

資料共用和機密性

我們不會與第三方共用貴用戶的資料。但是，ESET 公司的全球營運透過銷售、服務和支援網路中的附屬公司或合作夥伴來進行。ESET 處理的訂閱、計費與技術支援資訊得傳輸至/自附屬機構或合作夥伴以履行提供服務或支援等條款目的。此外,為了執行專業和安全性服務,我們可能會將我們的受信任合作夥伴作為承包商,以執行此等服務的某些部分。

ESET 偏好在歐盟 (EU) 境內處理其資料。但是，根據貴用戶的位置 (使用我們產品和/或 EU 以外的服務) 和/或貴用戶選擇的服務，可能需要將貴用戶的資料傳輸至 EU 以外的國家/地區。例如，我們會使用與雲端運算相關的第三方服務。在這種情況下，我們會仔細選擇服務提供者，並透過合約以及技術和組織措施以確保適當的資料防護層級。根據 GDPR，我們只能在特定條件下將個人資料傳輸到第三國。我們確保任何此類傳輸都按照 GDPR 的嚴格要求進行，旨在保護資料受傳輸個人的權利和自由。在將任何資料傳輸到歐盟 (EU) 或歐洲經濟區 (EEA) 以外之前，我們會評估接收國家/地區資料保護法律的適當性，並考慮實施適當的保護措施，例如：

•我們會根據歐盟委員會的評估，來評估接收國家/地區是否具有足夠的資料保護等級。

•我們會使用經核准的 SCC，以契約來約束雙方，並確保接收方按照 GDPR 要求來處理個人資料。

•我們依賴於公認的行為準則或認證機制，以證明其符合資料保護要求。

透過採取這些措施，我們會確保個人資料傳輸安全且透明，且符合 GDPR 的原則。針對 EU 以外的部分國家/地區，例如英國與瑞士，EU 已決定相應的資料防護層級。基於相應的資料防護層級，向這些國家/地區傳輸資料時不需要任何特殊授權或協議。

我們依賴第三方服務，並與外部處理器提供我們與雲端運算、計費等相關的服務。

資料安全性

ESET 運用適當的技術和組織措施，以確保與潛在風險相當的安全性層級。此等措施詳細記載於我們的安全原則中,且若有,則可以在本產品文件中找到適用於特定產品的個別安全原則中。「我們」盡力確保處理系統和服務持續具備保密性、完整性、可用性和韌性。然而，若資料外洩導致貴用戶的權利和自由產生風險，我們會通知相關監管當局以及受影響的資料主體。

資料當事人權利。

我們重視每位資料主體的權利，故在此通知貴用戶，所有資料主體 (來自任何 EU 或任何非 EU 國家/地區) 在 ESET 中皆享有下列權利。若要行使資料主體的權利,您可以透過支援表格或使用下列連絡人詳細資料聯絡我們。基於身分識別目的，我們會要求貴用戶提供下列資訊：姓名、電子郵件地址與啟動金鑰或客戶號碼以及公司機構 (若適用)。請避免向我們傳送任何其他個人資料，例如出生日期。請注意，為了能夠處理貴用戶的要求，以及基於身分識別目的，我們將會處理貴用戶的個人資料。請注意,根據 GDPR,本隱私權政策條款僅適用於資料主體,因此本條款中所有指示「貴用戶」僅適用於資料主體。

撤回同意的權利。撤回同意的權利僅適用於基於同意的處理行為。如果我們基於貴用戶的同意而處理個人資料，則貴用戶有權不附帶理由隨時撤回同意。貴用戶撤回同意僅對將來有效，而不會影響撤回之前已處理資料的合法性。

拒絕的權利。拒絕處理的權利僅適用於基於 ESET 或第三方合法利益的處理行為。如果我們處理個人資料以保護合法利益，則貴用戶有權隨時反對我們主張的合法權益以及對貴用戶個人資料的處理。貴用戶的拒絕僅對將來有效，而不會影響拒絕之前已處理資料的合法性。如果我們基於直接行銷目的而處理貴用戶的個人資料，則不必提供貴用戶的拒絕理由。此規定也適用於特徵分析，因為它與此類直接行銷相關。在所有其他情況下，我們要求貴用戶簡短地告訴我們針對 ESET 處理貴用戶個人資料的合法利益提出申訴。

請注意，在部分情況下，儘管貴用戶同意撤回或反對處理，我們仍可能有權基於其他法律依據 (例如合約履行) 處理貴用戶的個人資料。

存取的權利。貴用戶有權隨時免費取得 ESET 所處理貴用戶資料的相關資訊。

修正的權利。如果我們無意中處理了關於貴用戶不正確的個人資料，則貴用戶有權修正此資料。

刪除權限。貴用戶有權要求刪除或限制處理貴用戶的個人資料。如果我們處理貴用戶的個人資料，例如在貴用戶同意的情況下，貴用戶撤回同意而無其他法律依據 (例如合約) 時，我們會立即刪除貴用戶的個人資料。針對我們保留期結束時所規定用途而不再需要的個人資料會立即刪除。

限制處理的權利。如果我們將貴用戶的個人資料用於直接行銷的唯一目的，且貴用戶已撤回同意或反對 ESET 的基本合法利益，則在我們於內部黑名單中納入貴用戶連絡人資料的範圍內，我們將限制處理貴用戶的個人資料，以避免來路不明的連絡人。否則，我們將會刪除貴用戶的個人資料。

請注意，我們可能需要儲存貴用戶的資料，直到立法機關或監管機構發出的保留義務與期間到期為止。保留義務和期間可能也來自斯洛伐克法律。此後，我們將定期刪除相應資料。

資料可攜性的權利。我們很樂意替身為資料主體的貴用戶提供由 ESET 以 xls 格式處理的個人資料。

提出申訴的權利。身為資料主體，貴用戶有權隨時向監管機構提出申訴。ESET 受斯洛伐克法規規範，「我們」身為歐盟一份子，也受資料保護法規規範。相關的資料監管機構即為斯洛伐克共和國個人資料防護辦公室，位於 Námestie 1。Mája 18, 81106 Bratislava, 斯洛伐克共和國

我們的連絡資訊

如果您想要行使您身為資料主體的權利，或您有任何疑問或疑慮，請聯絡我們：

ESET, spol. s r. o.
資料保護長
Einsteinova 24
85101 布拉迪斯拉夫
斯洛伐克共和國