隱私權政策 - Bristol Myers Squibb

此一般隱私權公告(下稱「公告」)為全球性公告。內容是說明您與本公司互動時，您使用BMS網站、手機應用程式、裝置和平台時，我們與您聯繫以及在我們的業務活動中，必治妥施貴寶如何使用有關您的資訊(下稱「個人資料」或「個人資訊」)。亦告知您，您的隱私權以及我們為保護您的資料所採取的措施和流程。

無論您是病患、一般公眾、訪客、利害關係或投資人、監管機構或當局成員、供應商或商業夥伴、求職者或是與我們往來或參與我們業務活動的其他任何人，均適用於本公告。在本公告中，我們稱您為「您」或「您的」。論及「處理」或「使用」時，意旨存取、蒐集、記錄、整理、結構化、檢索、揭露、儲存、傳送、刪除或以其他方式使用您的個人資訊。

遵守相關法律

將您的個人資訊用於我方活動時，我們將遵守相關資料隱私和資料保護法令行事，包括此類使用可能適用的法規和國家法律要求(若適用)，給予您居住國家適用的特定權利(合稱「相關資料保護法」)。

當您使用BMS或第三方經營的網站及其他線上資源(包括手機應用程式、其他數位工具或平台)時，我們可能會線上蒐集您的個人資訊。也可能透過與第三方或我方網站託管公司、或與我方產品、服務或活動合作夥伴的合作下進行。以下進一步說明我們如何在線上使用您的資訊。

您可能與BMS或我們合作夥伴的網站及平台互動，而這些網站及平台與BMS產品及服務、求職、病患招募、疾病認知、科學研究、聯盟網站、或病患支持或管理計畫情況下使用的應用程式有關。

關於這些合作，我們會簽署要求適當保護您個人資訊的協議。我方網站及平台的某些區域會要求您提交資訊，以便BMS回覆您的請求、允許您存取特定區域或參加特定活動。造訪我方網站時，亦請閱讀我們的法律聲明，若您出於安全原因而造訪我方網站，請見我們的聯絡頁面。

在下方舉例我們線上使用您個人資訊的情形。

與其他第三方網站的連結

為了方便使用者，我方網站會連結到提供額外資訊的其他第三方網站，例如教育或專業資料、服務和聯絡人。本公告不適用於您對此類其他網站之使用。在使用連結的網站之前，請查看他們的隱私權公告，以了解他們如何使用及保護您的個人資訊。

我們處理有關您的資訊可能包括各類的個人資料，具體將取決於您與BMS、我們合作的第三方或為我方提供您個人資料的外部來源之間的互動。以下概述我們可能會蒐集有關您的主要個人資訊類別，以及(若適用)敏感個人資訊類別。

在某些情況下，我們可能會蒐集有關您的敏感個人資訊。蒐集時我們會採用強大的保護措施來保護您的隱私。取決於您居住的國家以及蒐集此類個人資訊的特定情況，可能包括以下資訊：

在大部分情況下，BMS將直接向您蒐集資訊，但是有時我們會從公眾或第三方資訊來源、或使用以網路為基礎、裝置或其他技術等自動產出此類資訊。我們於下方概述BMS與您直接或間接互動時蒐集與處理個人資料的主要方式。

我們可能會直接蒐集有關您的資訊：

• 當您在我們的活動過程中或您參與BMS活動、事件或計畫時(例如多樣性和包容性、代表或病患支持計畫)，而與我們進行互動；
• 在特定治療的情況下，例如個人化藥物、使用醫療器材或數位平台或應用程式；
• 當我們與服務供應商、業務合作夥伴或機構進行服務、合作或活動時；
• 當您註冊接收我們的通訊成為我們資料庫成員，或註冊接收我們的新聞稿、電子郵件警報、行銷通訊或關於我方活動的更多資訊時；
• 當您透過我們各聯絡點與我們分享資訊時，例如透過我們的公司產品、商業、臨床或聯盟網站、手機應用程式、聯絡表、客服中心、求職申請網站、在辦公室或造訪製造廠或為查詢產品時；
• 當您造訪BMS網站或手機應用程式，或其他產品、我們辦公室及設施時，我們從您的電腦或您使用的其他裝置蒐集有關您的資訊；或是
• 當您與我們分享有關不良事件、藥物警戒或裝置或應用程式相關事故的醫療資訊。可以當面或遠端(含致電給我們)方式揭露，或透過我們的網站及其他數位管道或通訊方式為之。

我們可能會間接蒐集有關您的資訊：

• 當為藥物警戒、事故管理、風險管理、調查或訴訟目的所需，透過專業醫護人員接收有關您的資訊時；
• 當我們取得可從公共登記機構、資料庫或其他第三方來源(例如服務供應商、機構或私營組織)存取的資訊；
• 當您在網際網路上公開有關您的資訊，包括網站、社群媒體平台、科學評論、文章和出版物等其他來源，在此情況下，我們會通知您、將資料匿名化或事先徵求您的同意；
• 出於法規遵守、安全或身分驗證之目的，驗證您的憑證、專業資訊(例如，透過存取可公開存取的資訊、國家登記機構或第三方資料庫)或您的身分；
• 當您在我們關注的社群媒體平台上公開發表貼文時(例如，以便我們了解大眾的意見)；或是
• 當進行藥物警戒監視活動，或在事故或其他上市後監測義務的情況下。

我們也可能自動蒐集有關您的資訊，例如，當您造訪我們辦公室或在您顯而易見的其他情況下，進行安全與系統監控(例如，透過錄影(監視器))及建物門禁日誌。

在允許且可行的情況下，為了保護您的隱私權，BMS將採取合理措施刪除或匿名化可能直接或間接識別您身分的資訊，並且將BMS使用、提交或傳送給第三方、法院或政府機構的個人資訊限制在最小範圍內。

此為全球性公告。BMS會在我們的常規活動中，依據本公告、另一份公告或在相關資料保護法允許或要求之目的下，處理您的資訊。這些目的可能因您的居住地及BMS營業所在地而有所不同。若某國家法律限制或禁止本公告所述的某些活動，我們將會遵守該項要求。可能包括避免或不會為了該國限制或禁止之目的而使用您的資訊。 

以下列出我們可能會使用您個人資訊的某些主要目的(但不是全部)。

在本節中，我們會說明我們就每一主要處理活動使用您個人資訊的合法正當理由(通稱為「法律依據」)。我們將使用最適合該處理目的與情況的法律依據。以下解釋使用您的個人資訊時，我們可選擇或必須使用的法律依據。

有時我們必須取得您的同意才能處理您的個人資訊。我們也可能決定徵求您的允許處理您的個人資料，例如在自願性倡議或活動的情況下。

在下表中，您可以了解當我們處理您個人資訊所使用的法律依據或其組合的更多詳細資訊。

作為一家全球執業的跨國公司，可能會與位在您居住國以外的當事人分享或使其存取您的個人資訊。若您位於中華民國(台灣)境外，BMS可能會與他方分享您的個人資訊，且他方所在國家的隱私保護程度可能低於您居住國，包括台灣主管機關不禁止傳送您個人資訊的亞洲、歐洲、非洲、美洲與大洋洲。我們也會處理您的個人資訊，以及與我們部分的關係企業和BMS集團其他成員分享您的個人資訊，包括選定且批准幫助我們在全球營運的第三方(供應商和業務合作夥伴)。如有需要跨國傳送，我們會採取適當措施，以防止未經授權存取或使用您的個人資訊。

以下可以找到更多有關BMS如何在其實體集團內部和與第三方分享您個人資訊的方式。

在BMS集團內部分享您的個人資訊

通常，我們會在BMS公司集團(下稱「BMS集團」)內部分享您的個人資訊。其中可能包括位於美國的必治妥施貴寶公司總部及其現在與將來的所有子公司、分公司辦公室、關係企業、實體和BMS集團一部分、擁有或控制的其他公司。內部資訊交流時，我們依賴適當的協議與機制適用於您的個人資訊在我們公司架構內部的任何傳送，例如有約束力的公司規則(BCR)、主管機關批准或基於同意之合約協議。

與第三方分享您的個人資訊

為了執行我們的業務，我們與第三方分享或向第三方揭露個人資訊，例如：

•  第三方服務供應商，為了外包特定業務活動，以請求外部支持和資源。可能包括提供資訊技術服務的公司、臨床試驗與研究支持、行銷或市場研究服務、活動、會議與規劃服務，或是有關人力招募或諮詢的服務；
• 業務合作夥伴，例如審查和協助我們醫療法規遵循活動的外部科學家與專業醫護人員，以及與我們合作支持臨床或商業活動的機構和其他組織(例如為了臨床研究、病患支持計畫等等)，和台灣小野藥品工業股份有限公司(例如為了有關免疫腫瘤學資訊的活動)；
• 於相關資料保護法律許可或要求下，包含政府機構在內的法規與衛生主管機關(例如TFDA、MOHW、NHI)、資料保護當局、稅務當局或爭議繫屬之法院；以及
• BMS負法律義務對其提供該資訊的第三方，例如訴訟中或法律爭議中的其他當事人、監護人、保護人或持有授權書之人。

與第三方往來時，我們會與其就個人資料之處理簽署協議，以便按照我們的指示，透過保密、安全且公開透明的方式進行處理，藉此保護您的隱私權。無法與第三方簽署協議時(例如與法規或衛生主管機關或法院往來、報告或互動時)，在法律可能的情況下，我們將盡最大努力實施適當的安全措施與管控(例如假名化)，以保護您的個人資訊。若相關資料保護法律要求BMS進一步通知您，並就與第三方分享資料另行取得同意時，我們將會提供此類通知並另行取得您的同意。

若您位於歐洲經濟區(下稱「EEA」)、瑞士與英國

每當我們在EEA、瑞士境內傳送您的個人資訊，或將其傳送到視為「充分」的國家時，將視為這些國家提供與您國家法律要求相同的保護程度。從EEA或瑞士境外可能未提供與您國家相同保護程度的國家存取您的個人資料、或將其傳送到該境外國家時，我們將使用適當的保護措施，以保護您的隱私權。例如，這類保護措施可能包括使用標準合約條款(與EEA、瑞士和英國境外第三方資訊交流)、歐盟執委會或主管機關批准的約束性公司規則(BMS公司集團內部的資料傳送)、資料傳送協議或您的同意。 若您位於中華民國(台灣) 為了向您提供產品及服務、履行法律義務或實現本公告所述的其他目的，我們可能會將您的個人資訊傳送到位於台灣以外(含台灣當局未禁止傳送您個人資訊的亞洲、歐洲、非洲、美洲與大洋洲)的全球BMS集團內部實體或前述其他第三方。若相關資料保護法律要求我們進一步通知您，並就跨境傳送您的個人資訊另行取得同意時，我們將會提供此類通知並另行取得您的同意。 我們將使用合法的跨境傳送機制，將您的個人資訊傳送到海外，並採取必要措施確保海外收受方能提供與相關資料保護法律規定的相同保護程度。

若您位於EEA、瑞士、英國與台灣以外

在可能的情況下，我們將允許存取您的個人資訊，或將您的個人資訊傳送到您居住國家以外： 至提供合理且資料保護程度高的國家； 使用BMS可用且最適當的資料傳送機制；或是 於相關資料保護法律要求下，在我們取得您的事前許可後，蒐集、向第三方揭露以及將您的個人資訊傳送至未提供與您居住國相當的充分保護，並且為台灣當局未禁止傳送您個人資訊的國家。

除非法律許可，否則除我們於處理前另行通知您外，BMS將不會僅根據個人資料的自動化處理(含分析)作出決策。我們可能會利用讓我們能夠使用自動化決策(含建立數據圖表)的演算法。代表說當我們使用特定技術、軟體或演算法(能讓我們建立數據圖表、進行分層、進一步了解趨勢和統計)，或使用其他先進技術或自動化處理時，將有人參與驗證該等使用下產生的此類決策。

隨著此類技術的使用不斷發展，我們可能會在不需有人參與決策的情況下使用演算法。在此情況下，若我們需要為該活動處理您的非匿名個人資訊，我們將遵守相關法律要求，例如提醒您注意並提供您有關該決策相關邏輯的資訊，以及該等使用您的個人資訊對您的重要性及預期後果。取決於您居住的國家，您將有權要求由個人做成此類決策。

關於我們處理與您有關的個人資料，您擁有幾項權利(將取決於您居住地所在的司法管轄權，以及我們使用的法律依據)。大多數情況下，行使權利是免費的。我們可能還需要釐清您的請求，並解釋我們能否遵守該請求或是您的情況是否受到限制。您隨時能透過dpo@bms.com聯絡BMS，或郵寄到BMS台灣(台灣台北市健康路156號5樓，收件人：法務部)以了解更多有關您的權利與最佳行使方式的資訊。

以下列出根據您的司法管轄權可能適用的個人權利。

您可能有權利：

• 對於我們持有關於您的個人資料，審閱或收受其複本；
• 更正我們持有關於您的個人資料；
• 要求我們刪除您的個人資料或限制其使用方式；
• 反對為某些目的處理您的個人資料(若適用)，例如當我們將其用於行銷目的(選擇退出)；以及
• 當您同意我們使用您的個人資料，您可以隨時撤回您的同意，但不影響BMS在您撤回同意前對此類資訊的使用。

您權利的例外情形

本公告描述關於您的隱私權可能會有的例外情形。取決於您居住的國家、我們處理您個人資料的原因，以及您的請求是否會損及他人權利。若我們無法遵守您行使隱私權的請求，例如，當我們出於法規目的或為了調查、起訴或辯護法律主張而保留您的資訊，我們會在您與我們聯絡時向您解釋此情形。

我們的聯絡方式

若您對我們如何使用您的個人資訊有任何問題，請透過dpo@bms.com聯絡我們的資料保護處，或郵寄到BMS台灣(台灣台北市健康路156號5樓，收件人：法務部)。

注意：為了幫助我們確認您的身分，可能需要請您提供特定資訊。若您的請求較為複雜或您提出大量請求時，我們可能需要較長的回覆時間，但若有任何延誤，我們會及時通知您。您可能需要支付BMS合理費用，以便取得您個人資料的複本(或行使其他任何權利)。若您的請求明顯無根據、重覆或過度，我們可能也會收取費用。

向主管機關提出申訴

若您認為我們處理您個人資訊的行為不合法或侵犯您的權利，在某些國家，您可能有權利向相關的資料保護或主管機關提出申訴。當您所屬國家的法律賦予您此類權利，您可直接聯絡您的本地主管機關，就我們使用您個人資訊的方式提出疑問或申訴。

我們可能會無限期地保存您的個人資訊。但是，我們將考量我們當初蒐集您個人資訊的特定商業目的，以決定適當的保存期限。

我們實施適用的技術和組織管制措施，保護我們持有關於您的個人資訊，以免未經授權處理、資料遺失、揭露、使用、變更或破壞。在適當情況下，我們使用加密、假名化(例如密鑰編碼)、去識別化和可以幫助我們保護您資訊的其他技術，包括恢復存取您資訊的措施。我們也要求我們的服務供應商遵守合理且公認的資料隱私與安全規定。

我們可能會測試與審查我們的技術和流程，包括審查我們的業務合作夥伴及供應商，以維持安全管控措施的有效性。此外，當BMS最初蒐集資訊之目的不再需要該資訊時，我們可能會進一步匿名化您的個人資訊。

BMS可能會為了評估您申請的BMS職缺而處理您的個人資料。申請BMS的工作機會時，我們可能會直接或間接從我們的官方網站、第三方或在您公開該資訊或第三方為招募而存取該資訊時，蒐集與處理有關您的個人資訊。您可在此頁 查看我們的就業機會。以下可進一步找到當您申請我們的職缺時，BMS會如何處理您的個人資訊。

為了審議您的申請，我們可能會蒐集：

• 您的專業經驗，例如職稱、教育資訊、專業資格、工作經驗、出版物以及您曾參加的專業網站、計畫和活動；
• 您的聯絡資料，例如您的電子郵件地址、全名、出生日期以及提交申請所需的其他資訊；
• 從機構蒐集而來的資訊，例如來自招募機構、推薦人和(在法律許可下)背景調查供應商的資訊；
• 從公司網站、網路搜尋或社群媒體平台(例如LinkedIn或其他社群媒體平台)而得的公開資訊，以及公開的個人檔案資訊(例如您的經驗、技術和興趣)；
• 您允許我們存取的資訊，例如，若您選擇簡化您註冊就業平台的流程，以便在登入您的第三方社群媒體使用者帳戶(例如Gmail或Yahoo!)後可直接進入，或是若您欲將資訊上傳到平台(例如從LinkedIn)，而不是手動完成申請；以及
• • 您提交給我們、我們間接取得或在尋找新員工或就業機會時存取的其他資訊。

處理您的求職申請時

我們可能會要求您與我們分享其他的個人資訊，例如：

• 法定資訊，例如政府核發的身分證字號或稅務身分；
• 財務資訊，例如詳細的銀行帳戶資訊；
• 特殊類別的個人資料/敏感個人資料，包括(就您的申請所允許、必要或所規定者)與您的健康、婚姻狀況、工會會員資格、犯罪紀錄或信用等級資料相關的資訊；或是
• 與您面試或提供您工作機會所需的其他資訊，例如任何已知的身心障礙或工作場所無障礙需求的詳細資訊，背景資訊、差旅與費用、績效管理、緊急聯絡資料、薪酬、工作時間、假期與福利相關資訊。

我們使用您求職用個人資訊的地點

作為一家跨國組織，我們的關係企業會將資訊傳送到全球。當您上傳資訊到求職平台時，即把該資訊提供給我們所有的關係企業，每一間關係企業皆可能出於其自身招募之目的處理該資訊。即使是您應徵提及特定BMS關係企業的職位公告，亦同。因此，我們可能在全球傳送有關您的資訊，包括台灣當局未禁止傳送您個人資訊的亞洲、歐洲、非洲、美洲與大洋洲(例如，若您在歐洲經濟區(下稱「EEA」)內，您的資訊可能被傳送到EEA之外；若您在澳洲，您的資訊可能被傳送到澳洲境外)。

當不再需要審議您的申請後，我們即不會保留您的個人資訊。但是，我們可能會徵求您的許可，長時間保存部分與您有關資訊(例如您的簡歷或履歷、工作經驗、求職信等)，以便審議您對將來工作機會的資格。

在我們的臨床研究活動中，BMS會處理使用我們療法之病患的個人資訊。我們也可能在某些活動中使用病患的個人資訊，例如透過我們的服務、病患網站、與第三方的合作或聯盟協議(例如基因資料)、於活動訪談期間、提倡相關活動、或與我們產品相關的臨床試驗、研究或研究專案(例如，透過我方網站或業務合作夥伴招募您)。

請注意，本節與本公告均不適用於臨床試驗的參與者。

本公告適用於當您參加非臨床活動時，BMS會如何使用有關您的個人資訊。若您涉及研究專案、臨床試驗或研究，請聯絡您的醫師。以下提供有關我們在非臨床研究或研究專案的情況下，蒐集病患相關個人資料的更多資訊。

參與BMS非臨床研究活動的病患

在非臨床研究活動的情況下，BMS通常不會蒐集病患資料，除非是在某些情況下，例如我們對主管機關負有通報義務，當我們與您直接、透過第三方往來，當您聯絡我們、當存取網站或其他平台，或若您同意與我們分享這些資訊。在某些情況下，我們可能會在我方臨床研究活動外與您互動或存取有關您的資訊。可能發生於：

• 使用我們個人化藥物、其他創新療法或裝置；
• BMS與病患組織的合作；
• 我們為我們的臨床研究而招募您，無論是親自為之、或透過數位方式或透過我們的業務合作夥伴；
• 邀請您參加我們的活動；
• 我們提出病患支持計畫；或是
• 進行調查、市場研究、訪談或提出代表計畫時。

若發生前述情況，BMS將蒐集無法讓我們識別您的身分的資訊，或是使用技術措施限制身分識別風險。例如，我們會使用的措施可能包括：

• 用代碼取代您的資訊，例如姓名、身分證字號或其他任何資訊(密鑰編碼後的研究資料)；
• 使用只會以匯總方式與BMS分享您個人資訊的第三方供應商；
• 蒐集後匿名化您的個人資訊；或是
• 徵求您的事前同意。

若BMS存取有關您的敏感個人資訊，我們將充分進行保護。有關我們使用敏感資料的更多資訊，請見第4節。

BMS網站與手機應用程式非供14歲以下兒童使用或為其設計，若您未滿16或18歲(取決於您居住的國家)，您將不得使用本網站。我們不會向已知未滿14歲的任何人蒐集資訊。

取決於您居住的國家，您可以透過使用我們網站提供的同意管理工具，管理在cookies與類似追蹤技術上的偏好設定。本節適用於cookies與類似追蹤技術，而我們會說明使用cookies與類似追蹤技術對您而言有什麼意義，以及如何停用追蹤(例如使用選擇加入或選擇退出偏好)。蒐集可讓我們識別您身分的資訊時，將適用本公告其他章節的內容。

什麼是cookies？

Cookie是網站要求您的瀏覽器在您裝置上儲存的小型數據，以便記住有關您的資訊，例如您的偏好語言或登入資訊。這些由我們設定的cookies稱為第一方cookies。我們也可能使用第三方cookies－來自與您正在造訪的網站有不同網域的cookies (例如，社群媒體、即時訊息、CRM或行銷平台或廣告公司使用的cookies)。有關cookies、cookies類型與如何管理cookies的更多資訊(包括如何封鎖及刪除cookies)，請見http://www.allaboutcookies.org。

以下列出當您連結上我們網站、使用我們以網站為基礎的平台、應用程式、裝置、或當您與我們進行電子互動、或當您收到我們的電子通訊時(下稱「網路使用」)，我們可能使用的cookies與類似追蹤技術的主要類型。您可以了解更多有關BMS針對您的網路使用採用這些技術的目的。

BMS可能使用的cookies類型？

在您瀏覽我們網站上的期間，我們通常會使用特定類型的cookies (下稱「暫時性cookies」)。為改進您的體驗或記住您的偏好或選擇，除非您選擇刪除，否則我們可能會使用將保存在您裝置上的cookies (下稱「永久性cookies」)。在我們網站與其他數位服務上使用cookies時，該技術可能包括：

為何我們在網站上使用cookies？

除本公告與本節以上的說明外，我們會在各種情況下使用cookies或類似追蹤技術，例如為了下列目的：

• 讓您享受更有效、快速與輕鬆的體驗：記住您的偏好(例如偏好語言、顯示及其他設定)、保持您的工作階段以及用於身分驗證。有助於我們提供您更好的用戶體驗。這些cookies也稱為暫時性ID cookies、身分驗證cookies及使用者介面客製化cookies。
• 獲得關於如何使用網站的有用知識：透過蒐集關於訪客數量和其他使用的資訊。有助於改進我們的網站。這些cookies亦稱為分析性cookies。為此，我們使用諸如Google Analytics等服務，代表Google和類似供應商也將可存取該資訊(含您的IP位址及其他任何設備識別碼，例如IMEI號碼與MAC地址)。
• 輕鬆存取我們的網站。有助於我們引導您，在Facebook、Twitter、LinkedIn、YouTube或Pinterest等網站上與您分享我們的內容，或讓您分享您有興趣的內容。若我們使用這些技術，這些「社群媒體插件」可能會在您的電腦或其他裝置上儲存cookies與其他類似技術。代表該社群媒體網站可能會存取該資訊(包括您的IP位址)，可能會識別您與BMS網站進行互動。
• 改進我們與您的行銷溝通。像是客戶關係管理系統或幫助我們管理電子郵件活動的其他服務供應商，這些第三方系統可能會使用特定的cookies (例如網路信標或追蹤像素)。這些追蹤器能使我們更加了解我們溝通成功與否，以及我們與您分享內容的相關性。可以減少我們寄給您的電子郵件數量，並提供您更符合您興趣的內容、科學資訊或倡議活動。

您如何反對或拒絕cookies？

根據您所屬國家的法律，我們出於本節所述之目的，在您的裝置上放置追蹤技術之前，我們將提前通知您或徵求您的許可(選擇加入)，或提供給您反對的權利(選擇退出)。您的網路瀏覽器、電子郵件軟體(例如Microsoft outlook或Google Gmail)和您使用的其他客戶，可以設定管理cookies和類似追蹤器，甚至是預設拒絕cookies。請記住，若您設定您的瀏覽器自動拒絕cookies，您在訪造網站時的使用者體驗將會有所不同：可能不會記住您的偏好、可能會喪失某些功能，而您可能無法存取網站的某些區域或功能。

BMS得不時以在本網站發布修訂版的方式更新本公告。有任何重大修改時，BMS得在本網站上發布顯目公告，並且按照法律要求直接通知您。

若您對本公告有任何問題，或想取得更多有關我們隱私實務的資訊，請透過dpo@bms.com聯絡我們的資料保護專員，或透過以下郵寄地址聯絡我們：

本隱私權公告(下稱「公告」)描述必治妥施貴寶如何使用關於與我們互動的專業醫護人員、專業醫學人員、醫療機構員工及成員(例如統計學家、藥劑師、醫院、診所、大學代表人)、政府機構、非營利組織、關鍵意見領袖或網紅(下稱「HCP」、「您」、「您的」)的資訊(下稱「個人資料」或「個人資訊」)。本公告適用於您與本公司互動時，以及您涉及本公司業務活動時。亦告知您，我們為保護您的資料所採取的措施和流程。論及「處理」或「使用」時，意旨存取、蒐集、記錄、整理、結構化、檢索、揭露、儲存、傳送、刪除或以其他方式使用您的個人資訊。

遵守相關法律

將您的個人資訊用於我方活動時，我們將遵守相關資料隱私和資料保護法令行事，包括此類使用可能適用的法規和國家法律要求(若適用)，給予您居住國家適用的特定權利(合稱「相關資料保護法」)。

當您使用BMS或第三方經營的網站及其他線上資源(包括手機應用程式、其他數位工具或平台)時，我們可能會線上蒐集您的個人資訊。也可能透過與第三方或我方網站託管公司、或與我方產品、服務或活動合作夥伴的合作下進行。以下進一步說明我們如何在線上使用您的資訊。

您可能與BMS或我們合作夥伴的網站及平台互動，而這些網站及平台與BMS產品及服務、求職、病患招募、疾病認知、科學研究、聯盟網站、或病患支持或管理計畫情況下使用的應用程式有關。

關於這些合作，我們會簽署要求適當保護您個人資訊的協議。我方網站及平台的某些區域會要求您提交資訊，以便BMS回覆您的請求、允許您存取特定區域或參加特定活動。造訪我方網站時，亦請閱讀我們的法律聲明，若您出於安全原因而造訪我方網站，請見藥物警戒通知。

在下方舉例我們線上使用您個人資訊的情形。

與其他第三方網站的連結

為了方便使用者，我方網站會連結到提供額外資訊的其他第三方網站，例如教育或專業資料、服務和聯絡人。本公告不適用於您對此類其他網站之使用。在使用連結的網站之前，請查看他們的隱私權公告，以了解他們如何使用及保護您的個人資訊。

我們與身為HCP的您互動，以及在我們活動期間(例如執行臨床試驗、合作或商業活動、科學專案)使用有關您的資訊，以便了解市場或改進我們的藥品和產品。若發生前述情況，取決於您與BMS或與我們合作之第三方的互動，或是我們取得您個人資料之外部來源，我們可能會處理各類別的個人資訊。以下概述我們可能會使用有關您的個人資訊主要類別。

在某些情況下，我們可能會蒐集有關您的敏感個人資訊。蒐集時我們會採用強大的保護措施來保護您的隱私。取決於您居住的國家以及蒐集此類個人資訊的特定情況，可能包括以下資訊：

在多數情況下，BMS將直接向您蒐集個人資訊(例如，當我們與您合作時)，但是有時候我們將間接從公共或第三方資訊來源、資料庫或第三方供應商取得有關您的資訊。我們於下方概述BMS與您直接或間接互動時蒐集與處理個人資料的主要方式。

我們可能會直接蒐集有關您的資訊：

例如：

• 我們執行臨床試驗、研究、研究專案時；
• 我們為病患啟動早期給藥計畫、或當您要求我們在早期階段提供病患BMS產品、或作為恩慈療法之用；
• 我們為病患提供創新產品或器材，例如細胞療法或個人化藥品；
• 您使用或造訪辦公室與設施；
• 您在臨床或商業活動中連結或使用我們的網站、應用程式、裝置或其他數位平台；
• 您透過我們不同的聯絡方式(電子郵件、客服中心、醫療資訊)與我們聯絡，例如為了取得有關BMS產品、疾病或療法的資訊；
• 在藥物警戒或風險管理計畫中，您透過其他類似管道(例如藥物警戒或風險管理接觸點)向BMS通知或通報可能與不良事件或事故有關的醫療資訊，其中可能包括事故或其他上市後監督義務；
• 在與我們簽約之前，以及於該協議期間內，與我們交流資訊或您要求資訊時；
• 我們進行盡職調查、評估，或我們評估您所屬機構執行臨床試驗的資格，及其後當我們選擇您所屬機構時；
• 在我們活動及與您互動過程中，您與我們的BMS代表互動；
• 您訂閱我們的通訊或希望知悉我們的活動或合作機會、或在法律要求下，您同意接收宣傳資料；或是
• 就我方產品和活動進行面對面或遠端訪談或資訊交流。

我們可能會間接蒐集有關您的資訊：

• 從您所屬機構的網站或您的辦公室、網路、社群媒體及其他數位平台取得該資訊，或您在這些地方提供您的個人資訊；
• 存取公共或私人登記處、或出版品資料庫、期刊、學會、編輯委員會網站、國家登記機構、人才登錄庫和第三方HCP資料庫；
• 進行藥物警戒與風險管理監測活動；或是
• 需要驗證您的專業狀態、醫療執照或取得第三方驗證時，例如存取可公開存取的資訊、國家登記機構或第三方資料庫。

在允許且可行的情況下，為了保護您的隱私權，BMS將採取合理措施刪除或匿名化可能直接或間接識別您身分的資訊，並且將BMS使用、提交或傳送給第三方、法院或政府機構的個人資訊限制在最小範圍內。

此為全球性公告。BMS會在我們的常規活動中，依據本公告、另一份公告或在相關資料保護法允許或要求之目的下，處理您的資訊。這些目的可能因您的居住地及BMS營業所在地而有所不同。若某國家法律限制或禁止本公告所述的某些活動，我們將會遵守該項要求。可能包括避免或不會為了該國限制或禁止之目的而使用您的資訊。以下列出我們可能會使用您個人資訊的某些主要目的(但不是全部)。

作為一家全球執業的跨國公司，可能會與位在您居住國以外的當事人分享或使其存取您的個人資訊。若您位於中華民國(台灣)境外，BMS可能會與他方分享您的個人資訊，且他方所在國家的隱私保護程度可能低於您居住國，包括台灣主管機關不禁止傳送您個人資訊的亞洲、歐洲、非洲與大洋洲。我們也會處理您的個人資訊，以及與我們部分的關係企業和BMS集團其他成員分享您的個人資訊，包括選定且批准幫助我們在全球營運的第三方(供應商和業務合作夥伴)。如有需要跨國傳送，我們會採取適當措施，以防止未經授權存取或使用您的個人資訊。

以下可以找到更多有關BMS如何在其實體集團內部和與第三方分享您個人資訊的方式。

在BMS集團內部分享您的個人資訊

通常，我們會在BMS公司集團(下稱「BMS集團」)內部分享您的個人資訊。其中可能包括位於美國的必治妥施貴寶公司總部及其現在與將來的所有子公司、分公司辦公室、關係企業、實體和BMS集團一部分、擁有或控制的其他公司。內部資訊交流時，我們依賴適當的協議與機制適用於您的個人資訊在我們公司架構內部的任何傳送，例如有約束力的公司規則(BCR)、主管機關批准或基於同意之合約協議。

與第三方分享您的個人資訊

為了執行我們的業務，我們與第三方分享或向第三方揭露個人資訊，例如：

• 第三方服務供應商，為了外包特定業務活動，以請求外部支持和資源。可能包括提供資訊技術服務的公司、臨床試驗與研究支持、行銷或市場研究服務、活動、會議與規劃服務，或是有關人力招募或諮詢的服務；
• 業務合作夥伴，例如審查和協助我們醫療法規遵循活動的外部科學家與專業醫護人員，以及與我們合作支持我們臨床或商業活動的機構和其他組織(例如為了臨床研究、病患支持計畫等等，和台灣小野工業股份有限公司，例如為了有關免疫腫瘤學資訊的活動)；
• 於相關資料保護法律許可或要求下，包含政府機構在內的法規與衛生主管機關(例如TFDA、MOHW、NHI)、資料保護當局、稅務當局或爭議繫屬之法院；以及
• BMS負法律義務對其提供該資訊的第三方，例如訴訟中或法律爭議中的其他當事人、監護人、保護人或持有授權書之人。

與第三方往來時，我們會與其就個人資料之處理簽署協議，以便按照我們的指示，透過保密、安全且公開透明的方式進行處理，藉此保護您的隱私權。無法與第三方簽署協議時(例如與法規或衛生主管機關或法院往來、報告或互動時)，在法律可能的情況下，我們將盡最大努力實施適當的安全措施與管控(例如假名化)，以保護您的個人資訊。若相關資料保護法律要求BMS進一步通知您，並就與第三方分享資料另行取得同意時，我們將會提供此類通知並另行取得您的同意。

若您位於歐洲經濟區(下稱「EEA」)、瑞士與英國

每當我們在EEA、瑞士境內傳送您的個人資訊，或將其傳送到視為「充分」的國家時，將視為這些國家提供與您國家法律要求相同的保護程度。從EEA或瑞士境外可能未提供與您國家相同保護程度的國家存取您的個人資料、或將其傳送到該境外國家時，我們將使用適當的保護措施，以保護您的隱私權。例如，這類保護措施可能包括使用標準合約條款(與EEA、瑞士和英國境外第三方資訊交流)、歐盟執委會或主管機關批准的約束性公司規則(BMS公司集團內部的資料傳送)、資料傳送協議或您的同意。 若您位於中華民國(台灣) 為了向您提供產品及服務、履行法律義務或實現本公告所述的其他目的，如上所述，我們可能會將您的個人資訊傳送到位於台灣以外(含台灣當局未禁止傳送您個人資訊的亞洲、歐洲、非洲與大洋洲)的全球BMS集團內部實體或第三方。若相關資料保護法律要求我們進一步通知您，並就跨境傳送您的個人資訊另行取得同意時，我們將會提供此類通知並另行取得您的同意。 我們將使用合法的跨境傳送機制，將您的個人資訊傳送到海外，並採取必要措施確保海外收受方能提供與相關資料保護法律規定的相同保護程度。

若您位於EEA、瑞士、英國與台灣以外

在可能的情況下，我們將允許存取您的個人資訊，或將您的個人資訊傳送到您居住國家以外： 至提供合理且資料保護程度高的國家； 使用BMS可用且最適當的資料傳送機制；或是 於相關資料保護法律要求下，在我們取得您的事前許可後，蒐集、向第三方揭露以及將您的個人資訊傳送至未提供與您居住國相當的充分保護，並且為台灣當局未禁止傳送您個人資訊的國家。

BMS可能會將您的個人資料與我們已擁有或透過公開方式取得(例如科學和醫療出版物、國家登記機構、軟體、資料庫或網際網路)且有關您的其他資訊相互結合。我們也可能就您的活動及/或您站點的表現進行我們內部評鑑、評估、歸類、分類、評分或評等，包括分析(若適用)。以下提供您有關我們對您個人資料進行歸類或分類的額外資訊。

除法律許可外，否則除我們於處理前另行通知您外，BMS將不會僅根據個人資料的自動化處理(含分析)作出決策。代表說當我們使用特定技術、軟體或演算法(能讓我們建立數據圖表、進行分層或進一步了解趨勢和統計)，將有人參與驗證該等使用下產生的此類決策。

隨著此類技術的使用不斷發展，我們可能會在不需有人參與決策的情況下使用演算法。在此情況下，若我們需要為該活動處理您的非匿名個人資訊，我們將遵守相關法律要求，例如提醒您注意並提供您有關該決策相關邏輯的資訊，以及該等使用您的個人資訊對您的重要性及預期後果。取決於您居住的國家，您將有權要求由個人做成此類決策。

關於我們處理與您有關的個人資料，您擁有幾項權利(將取決於您居住地所在的司法管轄權，以及我們使用的法律依據)。大多數情況下，行使權利是免費的。我們可能還需要釐清您的請求，並解釋我們能否遵守該請求或是您的情況是否受到限制。您隨時能透過dpo@bms.com聯絡BMS，或郵寄到BMS台灣(台灣台北市健康路156號5樓，收件人：法務部)以了解更多有關您的權利與最佳行使方式的資訊。

以下列出根據您的司法管轄權可能適用的個人權利。

您可能有權利：

• 對於我們持有關於您的個人資料，審閱或收受其複本；
• 更正我們持有關於您的個人資料；
• 收到您個人資料的(可攜試)機器可讀複本(若適用)；
• 要求我們刪除您的個人資料或限制其使用方式；
• 反對為某些目的處理您的個人資料(若適用)，例如當我們將其用於行銷目的(選擇退出)；以及
• 當您同意我們使用您的個人資料，您可以隨時撤回您的同意，但不影響BMS在您撤回同意前對此類資訊的使用。

您權利的例外情形

本公告描述關於您的隱私權可能會有的例外情形。取決於您居住的國家、我們處理您個人資料的原因，以及您的請求是否會損及他人權利。若我們無法遵守您行使隱私權的請求，例如，當我們出於法規目的或為了調查、起訴或辯護法律主張而保留您的資訊，我們會在您與我們聯絡時向您解釋此情形。

我們的聯絡方式

若您對我們如何使用您的個人資訊有任何問題，請透過dpo@bms.com聯絡我們的資料保護處，或郵寄到BMS台灣(台灣台北市健康路156號5樓，收件人：法務部)。

注意：為了幫助我們確認您的身分，可能需要請您提供特定資訊。若您的請求較為複雜或您提出大量請求時，我們可能需要較長的回覆時間，但若有任何延誤，我們會及時通知您。您可能需要支付BMS合理費用，以便取得您個人資料的複本(或行使其他任何權利)。若您的請求明顯無根據、重覆或過度，我們可能也會收取費用。

向主管機關提出申訴

若您認為我們處理您個人資訊的行為不合法或侵犯您的權利，在某些國家，您可能有權利向相關的資料保護或主管機關提出申訴。當您所屬國家的法律賦予您此類權利，您可直接聯絡您的本地主管機關，就我們使用您個人資訊的方式提出疑問或申訴。

我們可能會無限期地保存您的個人資訊。但是，我們將考量我們當初蒐集您個人資訊的特定商業目的，以決定適當的保存期限。

我們實施適用的技術和組織管制措施，保護我們持有關於您的個人資訊，以免未經授權處理、資料遺失、揭露、使用、變更或破壞。在適當情況下，我們使用加密、假名化(例如密鑰編碼)、去識別化和可以幫助我們保護您資訊的其他技術，包括恢復存取您資訊的措施。我們也要求我們的服務供應商遵守合理且公認的資料隱私與安全規定。

我們可能會測試與審查我們的技術和流程，包括審查我們的業務合作夥伴及供應商，以維持安全管控措施的有效性。此外，當BMS最初蒐集資訊之目的不再需要該資訊時，我們可能會進一步匿名化您的個人資訊。

取決於您居住的國家，您可以透過使用我們網站提供的同意管理工具，管理在cookies與類似追蹤技術上的偏好設定。本節適用於cookies與類似追蹤技術，而我們會說明使用cookies與類似追蹤技術對您而言有什麼意義，以及如何停用追蹤(例如使用選擇加入或選擇退出偏好)。蒐集可讓我們識別您身分的資訊時，將適用本公告其他章節的內容。

什麼是cookies？

Cookie是網站要求您的瀏覽器在您裝置上儲存的小型數據，以便記住有關您的資訊，例如您的偏好語言或登入資訊。這些由我們設定的cookies稱為第一方cookies。我們也可能使用第三方cookies - 來自與您正在造訪的網站有不同網域的cookies (例如，社群媒體、即時訊息、CRM或行銷平台或廣告公司使用的cookies)。有關cookies、cookies類型與如何管理cookies的更多資訊(包括如何封鎖及刪除cookies)，請見https://www.allaboutcookies.org。

以下列出當您連結上我們網站、使用我們以網站為基礎的平台、應用程式、裝置、或當您與我們進行電子互動、或當您收到我們的電子通訊時(下稱「網路使用」)，我們可能使用的cookies與類似追蹤技術的主要類型。您可以了解更多有關BMS針對您的網路使用採用這些技術的目的。

BMS可能使用的cookies類型？

在您瀏覽我們網站上的期間，我們通常會使用特定類型的cookies (下稱「暫時性cookies」)。為改進您的體驗或記住您的偏好或選擇，除非您選擇刪除，否則我們可能會使用將保存在您裝置上的cookies (下稱「永久性cookies」)。在我們網站與其他數位服務上使用cookies時，該技術可能包括：

為何我們在網站上使用cookies？

除本公告與本節以上的說明外，我們會在各種情況下使用cookies或類似追蹤技術，例如為了下列目的：

• 讓您享受更有效、快速與輕鬆的體驗：記住您的偏好(例如偏好語言、顯示及其他設定)、保持您的工作階段以及用於身分驗證。有助於我們提供您更好的用戶體驗。這些cookies也稱為暫時性ID cookies、身分驗證cookies及使用者介面客製化cookies。
• 獲得關於如何使用網站的有用知識：透過蒐集關於訪客數量和其他使用的資訊。有助於改進我們的網站。這些cookies亦稱為分析性cookies。為此，我們使用諸如Google Analytics等服務，代表Google和類似供應商也將可存取該資訊(含您的IP位址及其他任何設備識別碼，例如IMEI號碼與MAC地址)。
• 輕鬆存取我們的網站。有助於我們引導您，在Facebook、Twitter、LinkedIn、YouTube或Pinterest等網站上與您分享我們的內容，或讓您分享您有興趣的內容。若我們使用這些技術，這些「社群媒體插件」可能會在您的電腦或其他裝置上儲存cookies與其他類似技術。代表該社群媒體網站可能會存取該資訊(包括您的IP位址)，可能會識別您與BMS網站進行互動。
• 改進我們與您的行銷溝通。像是客戶關係管理系統或幫助我們管理電子郵件活動的其他服務供應商，這些第三方系統可能會使用特定的cookies (例如網路信標或追蹤像素)。這些追蹤器能使我們更加了解我們溝通成功與否，以及我們與您分享內容的相關性。可以減少我們寄給您的電子郵件數量，並提供您更符合您興趣的內容、科學資訊或倡議活動。

您如何反對或拒絕cookies？

根據您所屬國家的法律(特別是歐盟)，我們出於本節所述之目的，在您的裝置上放置追蹤技術之前，我們將提前通知您、徵求您的許可(選擇加入)，或提供給您反對的權利(選擇退出)。您的網路瀏覽器、電子郵件軟體(例如Microsoft outlook或Google Gmail)和您使用的其他客戶，可以設定管理cookies和類似追蹤器，甚至是預設拒絕cookies。請記住，若您設定您的瀏覽器自動拒絕cookies，您在訪造網站時的使用者體驗將會有所不同：可能不會記住您的偏好、可能會喪失某些功能，而您可能無法存取網站的某些區域或功能。

關於我們使用cookies的更多詳細資訊，可見於以下的cookie表，或是您用於存取相關cookie通知的網站(若適用)。

BMS得不時以在本網站發布修訂版的方式更新本公告。有任何重大修改時，BMS得在本網站上發布顯目公告，並且按照法律要求直接通知您。

若您對本公告有任何問題，或想取得更多有關我們隱私實務的資訊，請透過dpo@bms.com聯絡我們的資料保護專員，或透過以下郵寄地址聯絡我們：