本「PayPal 網站付款專業版 - 代管解決方案 / 虛擬終端機同意書」(下稱「網站付款專業版 / 虛擬終端機同意書」)是你(亦稱為「商家」)與 PayPal Hong Kong Limited(亦即「PayPal」、「我們」、「我方」或「我們的」,視乎情況而定)之間的合約。你同意當你使用 PayPal 服務時,即構成你同意接受本「網站付款專業版 / 虛擬終端機同意書」。建議你儲存或列印本「網站付款專業版 / 虛擬終端機同意書」。
本「網站付款專業版 / 虛擬終端機同意書」在你使用相關產品時適用。若要取得一項或以上產品,你必須閱讀、同意並接受本「網站付款專業版 / 虛擬終端機同意書」中所有條款和細則。
我們或會變更本「網站付款專業版 / 虛擬終端機同意書」,事前會在 PayPal 網站上發佈本「網站付款專業版 / 虛擬終端機同意書」的修正版本,藉此發出變更通知。當你收到變更通知後,將被視為已接受變更。若有任何變更,我們會提前 30 天向你發出通知,而該等變更將在 30 天通知期結束後隨即生效。若變更涉及新推出之服務或現有 PayPal 服務的額外功能,或我們合理地認為所作變更無損你的權利或未有增加你的責任,則 30 天通知期安排並不適用。在上述情況下,我們在進行變更前並不會通知你,而我們發出通知後,變更就會即時生效。
如果你不接受任何變更,你必須按照「用戶同意書」所列明的帳戶關閉程序,將你的 PayPal 帳戶關閉。如果你未有在 30 天通知期內關閉你的 PayPal 帳戶以示反對變更,你將被視為已接受變更。請注意,雖然你可隨時免費關閉你的 PayPal 帳戶,但你可能仍須在終止本「網站付款專業版 / 虛擬終端機同意書」後,為終止本「網站付款專業版 / 虛擬終端機同意書」前所產生的一切責任及本應負上的責任而向我們負責。請進一步了解我們根據「用戶同意書」所享有的權利。
括號中的字詞之定義如下。
1.設定並啟用你的產品
- 開始使用。若要取得並使用你的產品,你必須先完成以下各項:
- 為你的產品完成網上申請程序,並開設 PayPal 商業帳戶(如尚未開設),然後按照 PayPal 提供的操作說明來存取及使用產品。
- 如所選用的產品為網站付款專業版 — 代管解決方案,則須將你的產品整合至你網站的付款程序。如你只存取及使用虛擬終端機,則不一定需要將你的產品整合至你網站的付款程序。對於你將產品整合至你的「正式」網站而可能發生的任何問題,PayPal 概不負責。你必須自行負責選用、設定、整合及自訂你的產品,並自行確保產品切合你的需要。
- 各種付款方式的平等地位。當你在你的網站上展示付款選項時,PayPal 和各個國際卡組織的標誌大小必須相同並同樣顯眼,而且上述兩者的標誌之尺寸和顯眼程度,亦必須與其他付款方式的標誌一致。你的展示方式絕對不能反映你對其中任何付款方式的偏好。當你使用 PayPal 標誌和按鈕,即表示你亦同意遵守列明於 https://www.paypal.com/webapps/mpp/logos-buttons 的標誌使用標準。
- 信貸報告授權。你同意允許 PayPal 以 PayPal「私隱權政策」所規定的方式從第三方取得你的信貸紀錄和財務資料,以了解你根據本「網站付款專業版 / 虛擬終端機同意書」履行自身義務的能力。PayPal 會持續審查你的信貸狀況以及你 PayPal 帳戶的其他風險因素(撤銷款項及撤銷付款、客戶投訴、索償等)。PayPal 會以符合 PayPal「私隱權政策」規定的方式,儲存、使用和披露所得資料。如果 PayPal 認為有需要評估你的商業信貸申請,你同意 PayPal 可就其提供的商業信貸,向信貸報告機構索取包含你的個人信貸資料之信貸報告。
- 取消。PayPal 可能基於你的信貸紀錄、PayPal 的紀錄或任何其他原因而拒絕你申請產品。你同意並確認我們和 / 或我們的代理人保留拒絕你申請及註冊使用產品的絕對酌情權,而且 PayPal 可限制你存取或使用產品的權限而不必對你進一步履行任何義務。
2.費用
就 PayPal 為你提供 PayPal 服務,你同意支付由 PayPal 分別通知你的費用。
3.資訊安全;資料保障
- 按照資料保安列表行事。下方列表 1 為本「網站付款專業版 / 虛擬終端機同意書」的一部分,你同意按照此表行事。
- 遵守 PCI DSS。你亦同意遵守 PCI 資料安全標準 (PCI DSS),而這套標準可能在特定情況下適用於你。在你的最大控制範圍內,你必須根據 PCI DSS 保護所有信用卡資料;你亦必須以符合 PCI DSS 規定的方式設計、維護和經營你的網站及其他系統。對於你不遵守 PCI DSS 而產生的任何費用,PayPal 概不負責。
- 稽核。如果 PayPal 得悉你的網站涉及安全事故,或者信用卡資料有可能已遭外洩,PayPal 或會要求你找來 PayPal 認可的獨立第三方審計人員,為你的系統及設施進行安全性稽核並核發報告。你同意遵守 PayPal 根據此條款而作出的要求,費用自理。你必須向 PayPal 提供審計報告的副本,而 PayPal 可能將報告副本交予有份為 PayPal 處理信用卡交易的銀行(包括但不限於收單機構)及國際卡組織。如果你未有在 PayPal 提出要求的 10 個工作天內進行安全稽核,PayPal 或會代為進行稽核或取得稽核結果,所需費用由你承擔。若 PayPal 有理由相信可能出現或經己出現欺詐或其他非法活動,而且 PayPal 合理地認為此等活動有機會影響該些共同客戶的 PayPal 帳戶,則或會為共同客戶提供建議。
- 信用卡資料保安。除非你獲得持卡人的明確許可,並為此事保存紀錄,否則︰
- 你不得保留、追蹤、監察或儲存任何信用卡資料,或在獲准使用特定交易的信用卡資料之範圍以外運用該等資料;以及
- 在你獲悉關乎該些信用卡資料的授權決定後,你必須在 24 小時內完全移除你系統中以及所有信用卡資料儲存位置中的全部卡資料。
即使持卡人同意你可保留信用卡資料,你亦只能夠保留處理付款交易的必要信用卡資料。你絕對不能向任何人提供或披露所保留的信用卡資料,更不能將之用作業務銷售用途。此外,就算存在任何相反的規定,你亦絕對不能保留或披露 CVV2 資料,即使你獲得持卡人的許可亦然。
- 價格和貨幣。你不可提交透過動態貨幣兌換而得出金額的付款交易。換句話說,你不能在刊登物品時以一種貨幣標價,然後接受其他貨幣的付款。若你接受多種貨幣的付款,你必須分別以每種貨幣列出相應價格。
按照資料保障列表行事。下方列表 2 為本「網站付款專業版 / 虛擬終端機同意書」的一部分,你(以「商家」身份)同意遵守此同意書。如本同意書和個人資料保障列表在與相關個人資料保護及私隱權的條款上有任何衝突,則以個人資料保障列表中的條款為準。
4.用戶同意書
- 「用戶同意書」的適用範圍。「用戶同意書」的條款適用於你,並以提述方式被納入本「網站付款專業版 / 虛擬終端機同意書」。「用戶同意書」對「PayPal 服務」一詞的定義將被修訂,以涵蓋你的產品,而「同意書」的定義則會涵蓋本「網站付款專業版 / 虛擬終端機同意書」。本「網站付款專業版 / 虛擬終端機同意書」與「用戶同意書」之間如有任何歧異之處,本「網站付款專業版 / 虛擬終端機同意書」會取代「用戶同意書」,但僅以該歧異之處為限。「用戶同意書」包含重要條款,作用如下︰
- 允許 PayPal 保留準備金,以確保你可履行支付撤銷付款、撤銷款項和費用的義務;
- 規範你在使用 PayPal 服務時須遵守 PayPal「合理使用政策」;
- 使 PayPal「私隱權政策」具有法律效力,以規範我們如何使用及披露你的資料以及共同客戶的資料;以及
- 允許 PayPal 在「用戶同意書」所列情況下對付款或你 PayPal 帳戶設下限制。
- 失敗付款及產品工具。不論你如何使用及設定你的產品,包括其欺詐篩選技術及類似的防禦工具(如適用),亦必須按照「用戶同意書」的規定對撤銷付款、撤銷款項及其他無效的付款承擔責任。該些工具可用於偵測欺詐行為與避免出現付款失敗情況,但不會影響你須根據「用戶同意書」而對撤銷付款、撤銷款項及其他無效付款而承擔的責任及義務。
5.軟件許可
- 許可。PayPal 特此授予你非專屬、不可轉讓、可撤銷、不可再授權、受制限的許可,
- 讓你可按照 PayPal 網站所提供文件的規定而使用你的產品;以及
- 使用 PayPal 為你的產品而提供的文件,並複製文件僅供公司內部參考之用。你獲許可使用的產品可能有所變化,並會隨著 PayPal 系統的其他部分持續發展而改變,詳情請參閱條款 8(a)。你必須遵循所有不時由 PayPal 刊發的 PayPal 產品隨附文件及操作說明中的執行與使用規定(包括但不限於我們根據適用法律及信用卡計劃規定及法規而對你作出的任何執行與使用規定)。
- ID 代碼。PayPal 會向你提供用於識別你身份的專屬代碼。你可能需要使用該些代碼,否則 PayPal 系統無法處理來自你(或你的網站)的指示。你同意遵循不時由 PayPal 提供的合理防禦建議,以保障該些身份識別代碼的安全,詳情請參閱列表 1。若你無法遵循建議以保障代碼的安全,你必須盡快通知 PayPal,PayPal 會取消並重發代碼。此外,若 PayPal 有理由相信代碼的安全性受損,亦有機會取消並重發代碼,並會盡可能在合理情況下事先通知你。
- 無擔保。你的產品及所有隨附文件會「照現狀」向你提供。針對向你提供的產品、授權軟件或用戶文件,PayPal 不會作出或提供任何明確或隱含的擔保,不論擔保具法律效力與否。PayPal 根據本「網站付款專業版 / 虛擬終端機同意書」或在其他情況下為你的產品提供的一切,並不包括 PayPal 授權你提供擔保,而 PayPal 因應所提供的任何產品、授權軟件及用戶文件而提供的技術、編碼或其他建議或服務(包括但不限於可協助你自訂產品而提供的服務),均不會導致或衍生任何義務或責任。PayPal 建議你為產品執行事宜進行全面測試,對於因產品執行有所不足而引起的任何損失,PayPal 概不負責。
6. 適用於信用卡交易的銀行條款
PayPal 會使用由銀行業(包括但不限於收單機構)合作夥伴所提供的服務來處理信用卡交易,這些交易包括直接以信用卡向你發出的付款,以及以信用卡交易作為資金來源而向你發出的 PayPal 付款。下方列表 3 在涉及該些服務時適用。當你接受本「網站付款專業版 / 虛擬終端機同意書」,即表示你亦接受列表 3 中的信用卡交易條款,而這些條款為本「網站付款專業版 / 虛擬終端機同意書」的一部分。
7. 終止及暫停合約
- 由你提出。你可透過下列兩種做法之一來終止本「網站付款專業版 / 虛擬終端機同意書」:
- 在你 PayPal 帳戶的「偏好設定」部分取消結帳同意書,或提前 10 天通知 PayPal 客戶服務部,提出你決定終止本「網站付款專業版 / 虛擬終端機同意書」的意向。PayPal 客戶服務部將透過電郵確認成功終止與否。選用此選項後,你便可停止使用你的產品,並停止為產品支付費用,但你仍可自由使用你的 PayPal 帳戶,而該帳戶的「用戶同意書」會持續生效。
- 關閉你用於執行產品的 PayPal 帳戶(詳情請參閱「用戶同意書」)。
- 由 PayPal 提出。PayPal 可透過下列任何一種做法來終止本「網站付款專業版 / 虛擬終端機同意書」:
- 提前 30 天向你 PayPal 帳戶的登記電郵地址發出通知電郵,提出 PayPal 決定終止本「網站付款專業版 / 虛擬終端機同意書」的意向。除非另行通知,否則此選項不會影響你的「用戶同意書」,而你仍可自由使用你的 PayPal 帳戶。
- 終止你用於執行產品的 PayPal 帳戶之適用「用戶同意書」。
- 受事件影響。若你的情況符合下列條件,PayPal 可能終止本「網站付款專業版 / 虛擬終端機同意書」而無需事先通知你︰
- 違反本「網站付款專業版 / 虛擬終端機同意書」或「用戶同意書」;
- 再無法支付到期款項或無法依期履行義務;
- 再無法清償債務、承認你無力償債,或者破產;
- 有人按照任何判決執行程序、扣押程序或類似程序而對你或你的資產執行判決、扣押或採取行動,或有人對你發出或執行第三債務人命令;
- 成為任何呈請、已頒命令或已通過決議的對象,令你的全部或部分業務清盤、由他方接管、破產或解散(根據已獲 PayPal 核准的條款而提出、並以恢復償債能力為目的之合併或重組程序,則不包括在內);
- 因接管人、管理人、委托人、清盤人或類似人員被委任而導致你喪失全部或部分資產的一切管理權,或你的管理權因而受限;
- 就你的債務與你的債權人(或任何類別的償權人)訂立或擬訂任何債務重整協議或償債安排;
- 你的業務、營運或財務狀況出現重大不利變動;或
- 你在申請使用產品或與我們往來時所提供的資料不正確。
- 終止之效力。本「網站付款專業版 / 虛擬終端機同意書」一旦終止,你必須即時停用產品,而且屆時 PayPal 可能防止或阻擋你使用產品。若你在本「網站付款專業版 / 虛擬終端機同意書」終止後仍然使用產品,則本「網站付款專業版 / 虛擬終端機同意書」將繼續規範你如何使用該產品,直至你透過停用該產品而落實終止為止。本「網站付款專業版 / 虛擬終端機同意書」中的部分條款在本「網站付款專業版 / 虛擬終端機同意書」終止後將不受影響並繼續具有完整效力,包括條款 2、4(a)、8(b)、8(d)。終止本「網站付款專業版 / 虛擬終端機同意書」,並不會影響各方在終止前所累積或到期履行的任何權利、補救措施或義務,而你在終止前所繳付的月費將不獲安排退款。
- 違反及暫停契約。若你違反本「網站付款專業版 / 虛擬終端機同意書」、「用戶同意書」或按照 PCI DSS 而實施的安全規定,PayPal 可即時暫停你使用產品的權限。PayPal 或會要求你採取指定糾正行動以解決安全事故,作為重新讓你使用產品的條件,而且本「網站付款專業版 / 虛擬終端機同意書」並未排除 PayPal 就安全事故而採取任何其他補救措施。此外,若 PayPal 合理地懷疑你可能違反本「網站付款專業版 / 虛擬終端機同意書」或 PCI DSS,PayPal 可能暫停你使用產品的權限以作進一步調查。
8. 雜項
- 產品的未來發展。PayPal 保留全權及絕對酌情權,以決定
- 產品的未來方向及發展;
- 產品的改進事項及時機;以及
- 產品瑕疵會否被修正及何時修正,以及新功能會否推出及何時推出。
PayPal 歡迎用戶就產品的未來規劃提供意見,但未必會按照所收意見而採取行動。當你向我們提供意見,即表示你無意要求獲得你意見的相關知識產權。
- 彌償。若有任何直接損失、損害或責任,或因你違反本「網站付款專業版 / 虛擬終端機同意書」、「用戶同意書」及以提述方式被納入契約(包括「合理使用政策」)的文件或違反任何法律而造成任何來自第三方(包括共同客戶)的任何索償、要求或費用(包括合理的律師費),你同意彌償 PayPal,並保證持續並完全彌償 PayPal。
- 網站付款專業版 — 代管解決方案和你的知識產權。你特此向 PayPal 授予免版稅、全球適用的非專屬許可,讓我們使用你或你關聯公司的名稱、圖片、標誌、商標、服務標記和 / 或貿易名稱,亦即你在使用產品時以啟用產品為唯一目的而向 PayPal 提供的標記(下稱「你的標記」)。你的標記之權屬和擁有權以及根據契約使用標記而帶來的商譽,則仍然歸你所有。你聲明並保證你有權向 PayPal 授權使用你的標記,而且若將你的標記用於與產品相關的用途而導致 PayPal 遭索償或蒙受損失,你同意彌償 PayPal,並保證持續並完全彌償 PayPal。
- 轉讓、修訂及棄權。除非事先得到 PayPal 的書面同意,否則你不能轉讓本「網站付款專業版 / 虛擬終端機同意書」。PayPal 可能會通知你關於在無需經你同意下轉讓、安排約務更替或轉移本「網站付款專業版 / 虛擬終端機同意書」的事宜。除非雙方已簽署書面文件,否則任何一方均不得修訂本「網站付款專業版 / 虛擬終端機同意書」或放棄所列之任何權利。
- 適用法律及司法管轄權。本「網站付款專業版 / 虛擬終端機同意書」受香港法律規管。各方均須服從香港法院的專屬司法管轄權。
9. 定義
本條款中未有列出的括號中之字詞,其定義見於「用戶同意書」或本「網站付款專業版 / 虛擬終端機同意書」的上述文本。
- 收單機構︰指為你提供服務的金融機構或銀行,以讓你 (a) 接受持卡人使用信用卡而發出的付款;以及 (b) 收到信用卡交易的相應價值。
- 國際卡組織︰指頒佈信用卡交易規定的公司或金融機構集團,該些規定適用於透過涉及該公司或集團品牌的信用卡而進行的交易。國際卡組織的例子包括(如適用)Visa 美國、Visa 歐洲及其他地區的 Visa;MasterCard International;American Express Company 及類似的機構。
- 信用卡資料︰指與信用卡交易相關的所有個人資料或財務資料,包括卡上所載資料(不論是可用肉眼閱讀的資料或數碼資料)。
- 信用卡交易︰指透過信用卡、扣帳卡或任何其他運用實體資料載物(應由付款人所管有)的付款方式而進行的付款交易。產品僅支援特定類型的信用卡交易,詳情請參閱 PayPal 網站。
- CVV2 資料︰指列印於信用卡背面簽名欄位的卡號右側之 3 位數字。(American Express 信用卡的代碼則是位於該卡正面的卡號上方之 4 位凹印數字。)每張塑料製信用卡均設有不重複並與信用卡帳戶號碼連繫的 CVV2 資料。
- 月費︰指上述條款 2 訂明的每月應付費用。
- PayPal 網站:指www.paypal.com.hk 或 www.paypal.com/hk。
- PCI DSS︰「付款卡產業資料安全標準」指國際卡組織為確保信用卡交易的資料安全而訂明的規定。PCI DSS 的文本於網上提供,網址為 https://www.pcisecuritystandards.org。
- 產品︰指網站付款專業版 - 代管解決方案及 / 或虛擬終端機。
- 共同客戶︰指擁有 PayPal 帳戶並是你客戶的人士。
- 用戶同意書︰指於網上簽訂的契約,作為開設 PayPal 帳戶必須完成的網上註冊程序之一部分。你可透過 PayPal 網站幾乎所有網頁頁尾部分之連結,存取現行的「用戶同意書」。「用戶同意書」涵蓋若干政策,特別是同樣列明於 PayPal 網站的「合理使用政策」及「私隱權政策」。
- 虛擬終端機︰是一項由 PayPal 提供的功能,讓你手動輸入持卡人向你提供的信用卡資料,以收取信用卡付款。
- 網站付款專業版 - 代管解決方案:為執行信用卡及扣帳卡交易而設的功能,持卡人會在網上輸入信用卡詳細資料。此方案由 PayPal 代管。你無須在你的網站上取得或儲存信用卡資料。
列表 1
資訊安全規定
- PayPal 網站付款專業版代管解決方案資料和內容的擁有權
- 作為商家存取及使用 PayPal 網站付款專業版 - 代管解決方案的權利一部分,商家將獲提供若干資料和內容(下稱「專業版內容」),憑之可使用 PayPal 網站付款專業版 - 代管解決方案。
- 專業版內容的一切相關知識產權仍屬 PayPal 或相關收單機構(視乎情況而定)的財產。
- 商家同意不會將專業版內容授予、轉移、轉讓、安排約務更替、出售、轉售給任何人士。
- 商家安全代碼的義務
- 商家確認並同意自行負責為任何及所有由 PayPal 或收單機構向你發出的 ID、密碼或其他安全代碼(統稱為「安全代碼」),提供充分的安全保障及控制。
- 商家同意對在合理而必要的情況下授予商家的員工、代理商或承辦商之商家安全代碼設下使用和存取限制,讓商家使用產品之餘,同時確保該等人士遵守本附表所涵蓋的條款或按照由 PayPal 或收單機構(視乎情況而定)向商家提供的其他保安建議。
- 商家遵守資料安全規定的義務
- 商家確認並同意為其網站上的資料或其管有的資料之安全性而承擔全部責任。
- 針對商家處理其客戶的個人識別資料以及在商家網站上收集、保障和發佈資料的情況,商家同意採取下列行動:
- 遵守所有適用法律和規例;
- 遵守履行由 Visa 美國、Visa 歐洲、Visa 亞太地區、Visa 加拿大和所有地區的 Visa、MasterCard International Incorporated 或其他適用的國際卡組織所頒佈的適用義務、規定及指引(下稱「組織」及「組織規定」),包括但不限於 Visa 持卡人資料保安計劃 (CISP)、Visa 帳戶資料保安計劃 (AISP)、MasterCard 網站資料保障計劃,以及付款卡產業資料安全標準(下稱「PCI DSS」)。如欲取得更多資料,請瀏覽以下 URL:www.visabrc.com、www.visaeurope.com/accepting visa/ais.html 及 https://sdp.mastercardintl.com。
- PCI/DSS 包括但不限於下列這些商家必須遵守的規定:
- 安裝防火牆及維護防火牆設定,以保障資料安全;
- 不使用由供應商提供的預設系統密碼及其他安全參數;
- 保護所儲存的資料;
- 在透過公用網絡傳輸持卡人資料及敏感資料時,傳輸必須加密;
- 使用及定期更新防毒軟件;
- 開發及維護保安系統和應用程式;
- 按業務上的需知原則限制資料存取權限;
- 為每位存取電腦的人士分配不重複的 ID;
- 限制存取實體持卡人資料;
- 追蹤及監控網絡資源存取情況與持卡人資料;
- 定期測試保安系統和程序;以及
- 持續實施保障資料安全的政策。
若 PayPal 提出要求,商家必須向 PayPal 提供證據,讓 PayPal 信納商家遵守 PCI DSS 的規定。商家確認並同意,本「網站付款專業版 / 虛擬終端機同意書」或 PayPal 提供產品一事並不構成商家透過第三方「合資格安全評估人員」而符合 PCI DSS 的規定,而且該等合規諮詢服務並非按照本「網站付款專業版 / 虛擬終端機同意書」的規定而提供。商家同意自行安排由合資格安全評估人員提供可讓 PayPal 信納的證據。
- 針對可經由互聯網存取的商家連接埠而執行非滲透式掃描(每季或每年執行,視乎由 PayPal 或收單機構知會商家的每年交易量而定);若商家每年處理 600 萬筆 Visa 及 / 或 MasterCard/Maestro 交易,則必須由合資格安全評估人員完成實地稽核。有關 Visa 及 MasterCard 合資格安全評估人員的詳情,請瀏覽http://www.mastercard.com/us/sdp/serviceproviders/compliant_serviceprovider.html 或 https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf。
- 在商家網站的當眼處展示私隱權政策並遵守該政策,而該政策須符合子段落 3(b)(i) 及 3 (b)(ii) 所提述的法律、規例、規定及指引,並符合良好的經營手法;
- 通知 PayPal 有哪些代理商(包括任何提供網頁代管服務、付款閘道、購物車或其他服務的第三方供應商)擁有持卡人資料的存取權限,並確保該等代理商遵守關乎收集、保障和發佈資料以及處理個人資料的 PCI DSS 規定和所有現行法律義務。若因有人違反上述子段落中該等第三方義務而導致 PayPal 蒙受任何損害、損失、費用、開支及 / 或遭到索償,商家會承擔全部責任;
- 向 PayPal 提供為確保商家遵守上述段落 3 的規定而需要取得的全部資料或紀錄存取權限;以及
- 若商家的紀錄或系統發生任何關乎商家存取及 / 或使用產品的安全事故,則會即時通知 PayPal。
- 商家同意不會儲存任何持卡人的任何個人識別號碼資料、地址認證系統(地址認證服務)資料或信用卡認證碼(例如列印於大部分信用卡簽名欄位的 3 位數字,以及列印於 American Express 信用卡正面的 4 位數字代碼),或任何持卡人的任何其他付款方式資料(不論是透過電子方式、口述、傳真、書面形式或其他途徑向你提供),並同意支付因違反任何相關組織規定或指引而導致的罰款。
- 商家確認並同意,若 PayPal 得悉關乎商家的安全事故或持卡人資料外洩事故,商家會允許獲組織認可的第三方法證審計人員為商家的系統、管控及設施進行安全性稽核,然後向 PayPal 及相關組織核發報告。若商家未有在 PayPal 提出要求後執行上述程序,則商家授權 PayPal 代為採取該等行動,所需費用由你承擔。
- 當 PayPal 得悉商家有機會違規或違反上述段落 3 所訂明的任何條款,便可能即時暫停商家存取或使用產品的權限,或在無需通知的情況下終止本「網站付款專業版 / 虛擬終端機同意書」。
- 若 PayPal 決定暫停你存取或使用產品的權限,PayPal 會於發給商家的通知中列明決定,並說明暫停商家權限的行動依據(包括為整頓安全事故而合理地釐訂的措施)。PayPal 暫停商家存取或使用產品的權限之安排會一直生效,直到商家為補救相關安全事故而採取的行動令 PayPal 感到滿意為止。
- PayPal 確保資料安全的義務
當處理持卡人向 PayPal 提交的交易資料中之個人資料時,PayPal 只會按照商家的指示處理資料,而且會時刻確保或促使任何代表我們處理資料的第三方就儲存、傳輸或以任何其他形式處理該等個人資料而採用的保安措施務必符合業界標準,甚至採用適合金融機構使用、更佳的加密及保安方式。
- 商家使用持卡人資料的情況
- 商家同意只使用、披露或處理關乎信用卡交易的任何持卡人資料(包括持卡人的姓名、地址及信用卡帳戶號碼),目的包括授權、完成及處理信用卡交易及解決任何撤銷付款或撤銷款項的糾紛申訴、檢索申請或涉及信用卡交易的類似問題。除非事先取得 PayPal 及各適用組織、發卡銀行及持卡人的書面同意,或必須遵守法院命令或按法律行事,否則商家只能以本段落所訂明的方式處理持卡人資料。
- 商家同意︰
- 對所有載有持卡人帳戶號碼及信用卡印痕的紀錄,會持續嚴格控制、限制存取權,以及在棄置前使之無法被讀取;
- 不會出售或發佈因信用卡交易而取得並存放於資料庫或其他位置的任何持卡人資料(包括持卡人的姓名、地址及信用卡帳戶號碼);
- 在交易已獲授權後,不會保留或包含持卡人資料的儲存磁帶資料或書面文本(包括傳真);以及
- 除非是為了符合 PayPal 提出的特定要求(而且商家同意遵守該要求),否則不會複製任何以電子方式取得的持卡人簽名。
- 商家確認,若出現經營失敗的情況,組織規定禁止商家將包含持卡人帳戶號碼、個人資料或其他組織交易資料的資料庫視為資產一部分而向第三方出售或公開。在該等情況下,商家同意將交易資料歸還給收單機構,或提供此資料已被銷毀的有效證明。
- 商家同意會負責確保其委任處理或儲存持卡人資料的任何第三方處理商、代管服務商或其他代理商均會遵守上述段落 5 的規定,並會為此承擔法律責任。商家同意事先以書面形式通知 PayPal 關於被任何第三方處理商、代管服務商或其他代理商委任的任何第三方,然後才會委任該等第三方;此外,若有任何未經授權人士存取交易資料,商家亦同意即時以書面形式通知 PayPal。
- 商家僱用技術服務供應商的情況
- 商家可僱用第三方代為執行本附表所涵蓋的若干商家義務,唯須事先獲得我們的書面同意,而該書面同意文本或會包含商家僱用該人士(各第三方會被視為「技術服務供應商」)的條件。若要符合取得我們同意的資格,每個技術服務供應商必須(但不限於)已向適用組織註冊。
- 若商家獲允許僱用技術服務供應商,商家同意並會促使技術服務供應商遵守本附表所涵蓋的數據及資料安全的相關條款(包括但不限於 PCI DSS 規定),以規範技術服務供應商如何儲存、處理或傳輸持卡人資料至 PayPal。
- 在委任技術服務供應商之前或由委任一刻起,商家同意︰
- 以書面形式通知 PayPal 關於代表商家行事而涉及處理、儲存或傳輸持卡人資料的技術服務供應商(不論該等活動的進行形式或活動時間長短);
- 向 PayPal 提供令人信納的證據,證明技術服務供應商已向適用組織註冊;
- 遵守技術服務供應商的任何規定,包括但不限於遵守與技術服務供應商的服務、硬件或軟件相關的任何規定,並為經由技術服務供應商傳輸資料一事而向最終用戶取得任何必要的用戶同意;以及
- 按照 PayPal 的要求,允許 PayPal 向相關技術服務供應商註冊商家(如必要)。
- 商家同意就與技術服務供應商的關係及傳輸或供應予技術服務供應商的資料自行承擔一切責任。若商家未有遵守上述段落 6 所涵蓋的條款,或技術服務供應商或付款閘道處理商未有註冊及 / 或遵守適用的資料安全規定,則可能被罰款或懲罰,而商家會為此承擔責任。若商家違反上述段落 6 的規定,則 PayPal 可能即時終止本「網站付款專業版 / 虛擬終端機同意書」。
列表 2
資料保障列表
此資料保障列表只於 PayPal 作為商家的處理商或子處理商時適用。
在此列表使用的詞彙如無定義,其含意則與載於「同意書」的定義相同。
1 定義及釋義
1.1 本列表使用的詞彙定義如下:
「信用卡資料」定義如本列表第 2.15 節所述。
「客戶」指商家使用 PayPal 服務的歐盟客戶,在此列表中是資料主體。
「客戶資料」是指客戶提供予商家的個人資料,而商家使用 PayPal 服務將其傳送給 PayPal。
「資料控制方」(或簡稱「控制方」)及「資料處理商」(或簡稱「處理商」)和「資料主體」具有資料保障法例下這些術語的含意。
「資料保障法例」是指適用於 PayPal 提供的 PayPal 服務之一般資料保障條例(歐盟)2016/679 (GDPR) 以及任何相關規定或法規、任何其他資料保障法例、法規、監管要求和歐盟成員國行為守則。
「資料接收方」定義如本列表第 2.15 節所述。
「PayPal 集團」是指 PayPal 及所有 PayPal 或其繼任者直接或間接不時擁有或控制的公司。
「個人資料」具有資料保障法例中的含意。
「處理」具有資料保障法例中的含意,而不同語法的「處理」將相應詮釋。
「子處理商」指受 PayPal 和 / 或其附屬公司委託處理個人資料的任何處理商。
1.2 列表。此列表包括 (i) 第 1 至 2 節,作為列表的正文;(ii) 附件 1;(iii) 附件 2;及 (iv) 附件 3(及其附錄)。
2 執行服務而處理個人資料
2.1 商家資料控制方。根據本同意書而由 PayPal 處理的任何個人資料,在相關資料處理中,商家將為控制方,而 PayPal 則為處理商。商家會承擔所有責任,釐清已處理或將處理客戶資料的目的和處理方式。
2.2 商家書面指示。PayPal 應僅代表及根據商家書面指示處理客戶資料。各方同意此列表是商家就客戶資料提供給 PayPal 的完整及最終書面指示。此列表範圍以外的額外指示(若有)需要事先獲 PayPal 與商家的書面同意,包括商家同意就 PayPal 執行額外指示而應付給 PayPal 的任何額外費用。商家應確保該等指示遵守所有適用法律,包括資料保障法例,亦應確保不會導致 PayPal 根據商家指示處理客戶資料時違反資料保障法例。此章節條款受安全條款第 2.14 節約束。商家在此指示 PayPal 就以下目的處理客戶資料:
2.2.1 就合理需要向商家及客戶提供 PayPal 服務;
2.2.2 將客戶資料匿名後,以匿名客戶資料(即不能再識別的個人資料)直接或間接用於任何目的。
2.3 與 PayPal 合作。就根據本同意書由 PayPal 處理的客戶資料,PayPal 應與商家合作,使商家能夠充分履行控制方在資料保障法例的責任,有關商家責任包括但不限於:
2.3.1 按商家要求,協助商家根據資料保障法例規定編制資料保障影響評估;及
2.3.2 根據適用法律的要求,回應資料保障機構對披露客戶資料的約束要求。
2.4 PayPal 處理客戶資料的範圍及詳細資料。 PayPal 處理客戶資料的目的旨在根據本同意書提供服務。PayPal 應根據載於附件 2(客戶資料數據處理)中的指定時限、目的、類型及資料主體類別處理客戶資料。
2.5 遵守法律規定。 各方會始終遵守資料保障法例。
2.6 修正、封鎖和刪除。如果商家在使用 PayPal 服務時無法按照資料保障法例要求修正、修訂、拒絕或刪除客戶資料,PayPal 應在法律允許情況下遵守商家提出任何商業上合理的要求,促進該等操作。在法律允許的情況下,商家必須負責支付任何因 PayPal 提供協助而產生的費用。
2.7 資料主體要求。PayPal 如收到客戶要求修正、修訂或刪除該客戶的個人資料,則應在法律允許的情況下及時通知商家。商家須負責回應所有此類要求。如法律允許,PayPal 須就此客戶要求向商家提供商業上合理的合作和協助,而商家必須負責支付任何因 PayPal 提供協助而產生的費用。
2.8 培訓。PayPal 有責任就 PayPal 於此列表的義務不時按需要向 PayPal 人員提供培訓,以確保 PayPal 人員知悉並遵守此等義務。
2.9 使用權限制。PayPal 應確保僅限根據同意書執行 PayPal 服務的 PayPal 人員有權使用客戶資料。
2.10 子處理商。商家明確授權 PayPal 集團成員作為子處理商參與以提供 PayPal 服務。此外,商家一般授權任何其他第三方作為子處理商參與以提供 PayPal 服務。任何子處理商參與時,PayPal 會與子處理商執行書面合約,當中包含保障客戶資料的條款,其條款的保障程度不會低於載於此列表的條款。PayPal 應向商家就各 PayPal 服務提供目前子處理商的清單,清單上列出這些子處理商的身份。
2.11 審計及認證。商家提出要求時,在遵守本同意書的保密義務情況下,PayPal 應向商家(或商戶的獨立第三方審計人員,而審計人員不應為 PayPal 的競爭對手、PayPal 或 PayPal 集團的任何成員)提供有關 PayPal 遵守本列表中規定的義務,並採用載於我們網站上的隱私政策中規定的第三方認證和審計(如有)。商家可根據同意書與 PayPal 聯絡,要求進行個人資料保障相關程序的現場審計。商家須根據 PayPal 當時的 PayPal 專業服務費用就任何此類現場審計任何所用時間為 PayPal 償付費用,服務費用須按商家請求向商家出示。任何此等現場審計開始前,商家與 PayPal 應互相同意審計範圍、時間及需時和商家應付的償付費用。所有償付費用應同時合理納入 PayPal 所使用的資源。審計時發現任何未有遵守規則的情況,商家應立即通知 PayPal。
2.12 安全性。PayPal 應按此列表附件 1 所述,最少應實施及維持適當的技術和組織措施,在提供 Pay al 服務時,保障客戶資訊安全並防止未經授權或非法處理及意外損失、銷毀或損壞。由於 PayPal 一致透過代管、網絡應用程式向所有商家提供 PayPal 服務,因此所有適當和現行技術和組織措施適用於代管在同一個數據中心及訂用相同服務的 PayPal 所有客戶群。商家了解並同意技術和組織措施均受技術進展和研發限制。在此情況下,只要提供 PayPal 服務時措施維持安全等級,PayPal 獲明確允許執行充分的其他措施。
2.13 安全事件通知。如 PayPal 留意到有關處理客戶資料的安全事件,PayPal 會根據資料保障法例:(a) 迅速通知商家該安全事件,不作延遲;(b) 即時採取合理措施來降低損害和保護客戶資料;(c) 盡可能描述安全事件的合理詳細資料,包括說明為緩解潛在風險而採取的措施;及 (d) 以 PayPal 選擇的途徑通知商家管理員,包括透過電郵。商家承擔所有責任維持聯絡資料正確無誤,並確保任何聯絡資料為最新及有效。
2.14 刪除。同意書終止或到期時,PayPal 將會刪除或向商家歸還所有代商家處理的客戶資料,除僅因遵守適用法律規定的目的而保留的客戶資料外,PayPal 應刪除現有此等客戶資料的副本。
2.15 資料傳輸。本同意書終止或到期時,PayPal 同意在接到商家的書面請求後,向商家的新收單銀行或付款服務供應商(「資料接收方」)提供任何有效的信用卡資料,包括與商家客戶有關的個人資料(「信用卡資料」)。因此,商家必須向 PayPal 提供所有要求的資料,包括證明資料接收方遵守 PCI DSS 組織規定和符合 PCI 等級 1 規範。PayPal 同意在下例情況下將信用卡資料轉移給資料接收方:(a) 商家向 PayPal 提供由合資格供應商發出的符合 PCI-DSS 組織要求證書或報告以及任何 PayPal 要求的其他合理資料,證明資料接收方符合 PCI-DSS 組織規定(符合 PCI 等級 1);(b) 轉移此等信用卡資料符合 PCI-DSS 組織規定最新版本的要求;及 (c) 適用的組織規則、任何適用的法律、規定或法例(包括資料保障法例)允許轉移此等信用卡資料。
附件 1
技術和組織措施
以下技術和組織措施將會執行:
- 採取措施避免未經授權人士接觸用作資料處理的設施;
- 採取措施避免任何未經授權人士閱讀、複製、修訂或移動資料媒體;
- 採取措施避免任何資料未經授權存入資料系統,以及避免任何未經授權的知悉、修訂或刪除已記錄資料;
- 採取措施避免未經授權人士以資料傳輸設施使用資料處理系統;
- 採取措施保證獲授權人士在使用自動資料處理系統時只能存取權限範圍內的資料;
- 採取措施保證檢查及記錄能以資料傳輸設施轉移資料的第三方身份;
- 採取措施保證,曾使用資料系統和將資料存入系統資料的人士,其身份事後可隨時由任何授權人士檢查及記錄;
- 採取措施在披露資料或運送資料媒介時,避免任何未經授權的讀取、複製、修訂或刪除;
- 透過建立備用副本以保護資料。
附件 2
客戶資料的資料處理
資料主體類別
客戶資料 - 客戶提供予商家的個人資料,而商家使用 PayPal 服務將其傳送給 PayPal。
處理的內容
PayPal 提供的付款處理服務,使商家能夠在網站或流動應用程式中接受客戶的信用卡、扣帳卡和其他付款方式。
處理的性質和用途
PayPal 處理由商家發送給 PayPal 的客戶資料,旨在為客戶就付款給商家所銷售商品或服務的付款方式取得認證或授權。
個人資料類型
客戶資料 - 商家應告知 PayPal 根據本同意書 PayPal 需要處理的客戶資料類型。PayPal 需要處理的客戶資料類型如有更改,商家應立即通知 PayPal。就商家向 PayPal 不時提供的客戶資料,PayPal 會處理下列的客戶資料:
| 虛擬終端機 | HSS |
全名 | X | X |
運送地址 | X | X |
帳單地址 | X | X |
電郵地址 | X | X |
電話號碼 | X | X |
信用卡或付款工具類型(選填) | X | X |
信用卡主要帳戶號碼 (PAN) | X | X |
信用卡認證碼 (CVV) | X | X |
信用卡到期日 | X | X |
資料的特殊類別(如相關)
不預期會轉移資料的特殊類別。
處理期限
同意書的有效期。
列表 3
處理信用卡交易的條款
PayPal 選用 WorldPay 和 HSBC Bank 作為收單機構,使用其服務來處理信用卡交易。相關同意書可在以下網址找到:https://www.paypal.com/hk/webapps/mpp/ua/ceagreement-full。這些同意書的其中之一(視乎哪間收單機構負責處理交易而定)會適用於信用卡交易。