第六條 為保障倉儲資料安全，各方均應以 SSL 加密機制或其他安全無虞之方式進行資料的傳輸，並應加裝防火牆防止第三人不法入侵或內部非法使用，以避免倉儲資料遭到 非法存取使用。各方並應以電腦系統隱藏加密方式儲存密碼，以確保客戶之密碼不會遭到非法竊取。

國泰金融控股股份有限公司與子公司間業務資料與客戶資料保密協定書

立協定書人：國泰金融控股股份有限公司（以下簡稱甲方）國泰人壽保險股份有限公司（以下簡稱乙方）

國泰世華商業銀行股份有限公司（以下簡稱丙方）國泰世紀產物保險股份有限公司（以下簡稱xx）國泰綜合證券股份有限公司（以下簡稱戊方）

國泰證券投資信託股份有限公司（以下簡稱己方）

緣甲方及甲方之子公司乙、丙、丁、戊、己方(以下簡稱「提供方」或「運用方」)，依金融控股公司法、金融控股公司子公司間共同行銷管理辦法、個人資料保護法及其他相關法令函釋，基於彙整報送集團營運資料予主管機關、管理被投資事業，及交互運用客戶資料進行行銷之需要，協議由甲方建立資料倉儲系統為乙、丙、丁、戊、己方業務資料及客戶資料(以下合稱倉儲資料)之蒐集、處理、儲存、整合及利用；為明確訂定各方就倉儲資料之權利義務及保密措施，茲訂定共同遵守事項如下：

第一條 x協定書所稱客戶資料，係指乙、丙、丁、戊、己方之客戶基本資料、往來交易資料及其他相關資料：

一、基本資料：包括姓名、出生年月日、身分證統一編號、電話、地址、電子郵件、行為能力樣態等資料。

二、往來交易及其他相關資料包括以下各目資料：

（一）帳務資料：包括帳戶號碼或類似功能號碼、信用卡（現金卡）帳號、存款帳號、交易帳戶號碼、存借款及其他往來交易資料及財務情況等資料。

（二）信用資料：包括退票紀錄、註銷紀錄、拒絕往來紀錄及業務經營狀況等資料。

（三）投資資料：包括投資或出售投資之標的、金額及時間等資料。

（四）保險資料：包括投保保險種類、年期、保額及繳費方式等相關資料。

第二條 提供方及運用方交互運用客戶資料進行行銷時，不得為行銷使用目的外之利用，並應切實依下列規範辦理：

ㄧ、於揭露、轉介或交互運用客戶資料時，除法令另有規定、經客戶簽訂契約或書面明示同意者外，所揭露、轉介或交互運用之資料不得含有客戶姓名或地址以外之其他資料。

二、與客戶之往來契約，有關客戶資料之使用條款應訂定讓客戶選擇是否同意提供姓名或地址以外之其他資料作為行銷建檔、揭露、轉介或交互運用之欄位，經客戶以簽名或其他得以辨識客戶同一性及其意思表示之方式確認，並應列明運用資料之所有子公司(所有子公司包含現行乙、丙、丁、戊、己方及其後新增之其他子公司)名稱，惟若不擬使用客戶資料(包含姓名、地址)，不在此限。甲方因其組織異動，而有子公司增減時，並應於各方網站公告。

三、與客戶之往來契約有關交互運用客戶資料等相關條款，應以明顯字體提醒客戶注意，並揭露交互運用客戶資料之子公司名稱，且明確告知或約定客戶得隨時要求停止對其相關資訊交互運用之簡易方式（如電話通知）。乙、丙、丁、戊、己任一方於接獲客戶通知停止使用其資料後，應立即停止甲方及所有子公司使用其資料，但如客戶明確指示停止交互運用資料之範圍非及於所有子公司者，得依客戶通知之意旨辦理。

四、依前款應停止使用之各方應依「國泰金融控股股份有限公司暨子公司保密措施共

同聲明」揭露公告之期限內停止使用客戶資料，並應通知各方所屬部門、產品線及各委外單位等之行銷人員不得繼續使用該資料，以及配合修正電腦控管系統。甲方為彙整報送集團營運資料予主管機關、管理被投資事業或任一方統計分析之

需要，運用資料庫之分析結果或產出表報，如涉及客戶個人資料、往來交易資料及其他相關資料，除法令另有規定或各方另有約定外，應僅限於甲方或原資料提供方使用，並不得損害客戶相關權益。

甲方蒐集及處理倉儲資料，應確保資料傳輸之安全性，對資料庫之運用、維護、系統使用人員權限設定及產出表報之管理等事宜，應訂定妥適之書面管理政策，並應與被授權人員簽訂保密協定切結書。

第三條 各方對客戶資料使用之作業，應建立完善之保密措施，設置專責單位或人員負責，且應建立客戶資料庫，妥善儲存、保管及管理客戶相關資料，並建置該客戶資料庫之安全措施。

任一運用方有運用倉儲資料之需求者，應依甲方「資訊作業申請系統」相關流程規定，完成資料申請及審核程序，並取得相關提供方同意後方可為之。

運用方應在目的範圍內使用倉儲資料，且僅限被授權員工始可使用。

運用方應與前項授權員工簽立保密協定切結書，聲明遵守保密約定，尊重及保護客戶隱私權。

第四條 各方應確保及維護倉儲資料之機密性，除本協定書另有規定，或依法令規定、經主管機關或法院之正式書面要求外，不得以任何形式洩露予第三人；各方如委託並揭露倉儲資料予第三人代為進行業務處理時，除應取得提供方之書面同意外，並應與該第三人簽訂合約以確保該第三人遵守本保密協定書之所有條款，並維護客戶資料之機密性或限制其用途。但依相關法令規定、經客戶同意或資料係屬於可公開取得且無害於客戶之重大利益者，不在此限。

第五條 為使客戶充分了解各方對客戶資料之保密措施，各方應向客戶揭露交互運用客戶資料之公司名稱及其保密措施，該名稱及措施內容應於各方之公司網頁公告，並以書面、電子郵件方式通知客戶或於營業處所內明顯位置公告。

前項措施應包含下列內容：

ㄧ、資料蒐集方式：各方取得客戶資料之方式。

二、資料儲存及保管方式：各方取得客戶資料後，如何保存該等資料。

三、資料安全及保護方法：各方間有關資訊防火牆之建置方式及效果。

四、資料分類、利用範圍及項目：依照客戶資料之分類，揭露欲使用之資料性質及項目。

五、資料利用目的：依照資料分類，說明對於不同性質資料使用之意圖。六、資料揭露對象：依照資料分類，說明對於不同性質資料揭露之對象。

七、客戶資料變更修改方式：客戶有更改資料之需求，提供客戶修改之申請途徑。 八、選擇退出方式：乙、丙、丁、戊、己方依照本協定之規定，為進行行銷而揭露、

轉介或交互運用客戶資料者，客戶得通知任一方停止對其個人基本資料、往來交易資料或其他相關資料之共同使用。行使方式應於保密措施聲明中揭露。

前項第七款及第八款所定事項除公告外，乙、丙、丁、戊、己方應另以書面或電子郵件方式為之。

第六條 為保障倉儲資料安全，各方均應以 SSL 加密機制或其他安全無虞之方式進行資料的傳輸，並應加裝防火牆防止第三人不法入侵或內部非法使用，以避免倉儲資料遭到非法存取使用。各方並應以電腦系統隱藏加密方式儲存密碼，以確保客戶之密碼不會遭到非法竊取。

第七條 客戶資料有變更之需要時，可通知原蒐集資料之一方修正變更。

非經客戶書面同意，任一提供方與客戶終止部分業務往來契約時，不得繼續提供該部分客戶資料進行行銷，與客戶終止全部往來契約時，不得繼續提供該客戶任何資料進行行銷，但如客戶明確指示停止交互運用資料之子公司範圍非及於所有子公司者，得依客戶通知之意旨辦理。並應於客戶資料為相關註記。

第八條 各方均應將本保密協定之規範，列入其公司內部控制與內部稽核項目，並嚴格控管執行。

第九條 各方應遵守本協定各條項規定，如任一方（包括但不限其代理人、受僱人或使用人）違反本協定任何條項損害客戶之權益致他方應負連帶賠償之責任時，無違反之一方對於違反之一方有損害賠償請求權。

第十條 x協定書得經全體立協定書人同意後修訂之，但於各別行銷活動中得經參與該活動之各方，依行銷活動之需要以書面增修之，但不得悖於本協定書之原意。

第十ㄧ條 x協定書如有未盡事宜，各方同意依金融控股公司法、金融控股公司子公司間共同行銷管理辦法、個人資料保護法及其他相關法令函釋規定辦理，修訂時亦同。

第十二條 x協定書正本乙式六份，由各方各執乙份為憑。

中 華 民 國 104 年 6 月 30 日