資料請求概覽

本譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

Slack 堅守對於信任與公開透明的承諾

在以下文件和常見問答集中,您可以找到我們的政策和準則,以應對政府和執法單位的資料請求,以及民事第三方資料請求。您也可以找到我們的年度報告,其中會說明我們收到的請求和回應數。

資料請求政策

在堅守對於信任與公開透明之承諾的過程中,本資料請求政策會說明 Slack 的政策和程序,描述如何回應此類有關客戶資料的請求。此政策會指導我們在第三方資料請求、法律機構的請求、客戶通知和國際資料請求的作法。

透明度報告

Salesforce 每年都會發布 Salesforce 公司 (包括 Slack) 在上一個日曆年度收到的執法和政府要求相關資訊。這些透明度報告概述了 Salesforce 維護客戶機密的指導原則、每年收到的要求數量,以及相關回應資料。在 Slack 的法律封存中可以找到過去每一年的透明度報告。

常見問題

Slack 如何處理政府和執法機構的請求?

如我們的隱私權政策服務條款所述,Slack 是一個線上工作空間生產力平台。如果收到政府或執法單位的有效法律程序,我們就有義務根據適用的法律出示使用者資料。我們的資料請求政策說明我們對於這些請求的規定,而透明度報告則說明我們每年從政府和執法單位收到的請求類型和數量。

我應該在哪裡傳送法律程序?

執法機構和政府單位的所有請求 (包含國際政府和執法單位) 可能會傳送至我們的法律程序電子郵件別名:legalprocess@slack.com

Slack 在處理我的請求時需要哪些資訊?

除了所有必要和適用法律規定外,所有法律程序請求應包含以下資訊:(a) 政府單位或法律機構、(b) 相關刑事和民事事項,以及 (c) 識別與 Slack 工作空間相關的資訊,包含相關的客戶和使用者名稱、日期範圍、 Slack 工作空間網址 (slackname.slack.com) 和尋找的資料類型。此請求也必須來自政府發行的電子郵件帳號,並包含提出請求之官員的完整聯絡資訊。

Slack 收到執法機構的請求時會做什麼?

我們會仔細地審查所有請求的合法性是否充足,並關注使用者隱私權。Slack 可能會拒絕或質疑任何不清楚、過於廣泛或不適當的請求。

您將資料提供給政府和執法單位的頻率有多高?

我們的透明度報告詳述我們每年收到的請求數。目前報告的涵蓋範圍為 2019 年 1 月 1 日至 12 月 31 日,並具體說明該年度收到的傳票、令狀和其他資料請求。此報告也包含我們提供的資訊類型,包含內容和非內容資料。

您是否會協助執法機構和政府當局進行通訊監控?

Slack 不會對客戶進行即時監控,亦不會基於監控目的,自願向政府提供使用者相關資料。閱讀我們的透明度報告來瞭解更多資訊。

根據外國情報監控法第 702 條款,Slack 是否有資格接收「上游」或大量監控命令?

不。與所有其他美國通訊平台一樣,Slack 在為客戶提供服務時,屬於電子通訊服務 (「ECS」) 或遠端運算服務 (「RCS」) (分別如美國法典第 18 卷的第 2510 和 2711 節所定義)。因此,美國政府有可能根據外國情報監控法第 702 條款對 Slack 發送針對性的指令。

然而,Slack 沒有資格接收「上游」監控的 702 命令。因為美國政府根據外國情報監控法第 702 條款,使用上游命令,僅鎖定流經為第三方承載流量之網際網路中樞供應商的流量。請參閱隱私權和公民自由監督委員會,根據外國情報監控法第 702 節執行的監控計劃報告 (2014 年 7 月 2 日) 第 35-40 頁,網址為:https://fas.org/irp/offdocs/pclob-702.pd。Slack 不提供此類中樞服務,因為其僅承載其自身客戶的流量。因此,Slack 沒有資格接收 Schrems II 判決中主要涉及並被認為有問題的那種命令。

Slack 是否協助美國當局,根據第 12333 號行政命令大量收集資訊?

Slack 不會根據第 12333 號行政命令,為執行監控的美國當局提供任何協助。此外,第12333 號行政命令不會為美國政府提供強制公司為那些活動提供協助的能力,而 Slack 也不會自願這樣做。因此,Slack 不會、也不能被命令採取任何行動,以協助第12333 號行政命令規定的大量監控類型活動。

Slack 如何保護移動中的資料和靜態的資料?

Slack 應用各種技術和組織性的措施,來防止攔截、監控或未經授權存取傳輸中的資料。例如,Slack 會對所有的資料傳輸進行加密,以防止第三方 (例如可能會在資料傳輸過程中取得對傳輸機制實體存取權的政府當局) 獲取這類資料。Slack 只會透過 HTTPS 使用 TLS 1.2 來保護資料傳輸。此功能始終處於啟用狀態,以限制任何第三方竄改或竊聽兩個端點 (Slack 和我們的客戶) 之間的資料傳輸。

我們的企業金鑰管理工作空間透過建立不可更改的稽核日誌,提供額外的保護措施,讓客戶每次存取其資料時都能得到通知。保存或出示企業金鑰管理內容的行為將在客戶可取得的存取日誌中觸發可觀察的項目。客戶也可撤銷加密金鑰,以防止未經加密的內容遭到存取。

美國雲端法案的通過是否會影響 Slack 回應美國政府法律請求的方式?

否。2018 年頒布的雲端法明確定義美國執法請求的地理範圍,並設立法定基礎,讓 Slack 等公司在某些情況下能夠質疑與外國法律相衝突的請求。雲端法並沒有改變任何先前存在為使用者資料提供的法律和隱私權保護,Slack 對所有送達的法律程序 (包含根據雲端法發佈的法律程序) 都實施同樣嚴格的審查。

在回應執法機構或政府單位的法律程序時,可能會揭露哪種資料?

內容資料包括使用者產生的資料,例如公開及非公開訊息、貼文、檔案及私訊。需要提供搜索票,Slack 才會向執法機構出示這類資料。

非內容資料是基本帳號資訊 (例如姓名及電子郵件信箱、個人檔案資訊、註冊資訊、登入記錄及帳單資訊) 及其他非內容中繼資料 (例如日期、時間、訊息或檔案的寄件人/收件人)。根據請求的資料類型而定,Slack 可能需要強制性的傳票或法院命令才會出示此類資料。

搜索票、法院命令和執法傳票之間的差異為何?

搜索票是法官或地方法官為查明原因而發出的命令。欲取得通訊內容必須先申請搜索票。

法院命令係指當法院認定政府已證明有正當的理由,認為所尋求的資訊與正在進行的刑事調查有關且具有重要意義。政府可以透過法院命令獲得工作空間的基本非內容資料和中繼資料,但無法獲得內容。

執法傳票是由政府單位發行的強制性要求,要求出示一組有限的資訊,例如客戶的名稱、地址、服務年限或付款方式和來源,以協助獲授權的刑事調查。

政府和/或執法機構是否能夠取得從 Slack 刪除的資料?

一般來說,不會。除非客戶根據其保留設定保留遭刪除的資料,否則在客戶將資料刪除後,系統會立即將該資料從 Slack 的系統中移除。一旦刪除,資料在我們的安全備份中存留的時間可能有限 (最多 14 天,通常不超過此天數)。備份期一結束後,Slack 就會以硬刪除的方式將所有資訊從生產系統中移除。完整刪除後,Slack 就不能出於任何用途 (包括為回應政府和執法機構請求的目的) 擷取資料。

Slack 如何處理緊急請求?

如果您遇到涉及死亡或嚴重身體傷害危險的緊急狀況,並且認為 Slack 擁有可減輕這類傷害的必要資料,獲授權的執法人員應透過 legalprocess@slack.com 聯絡我們,我們會評估該請求。

在向政府或執法單位出示資料前,您們是否會通知客戶?

除非 Slack 遭禁止,無法提出通知,或明顯存在違法行為或危害風險, Slack 通常會在揭露資料前,透過向主要擁有者發送電子郵件,來通知該客戶,以便客戶能盡快尋求法律救濟。

第三方或民事請求 Slack 提供資料該如何是好?

尋求資料的第三方應直接聯絡 Slack 工作空間擁有者。只要有可能,我們鼓勵各方在 Slack 未參與的情況下管理其請求。工作空間擁有者應能夠自行處理匯出資料,以符合適當的法律請求。如果您需要協助,來處理那些匯出資料,主要擁有者能夠聯絡我們,來確認他們是否符合資格,可因法律需求進行匯出。

請留意,儲存通訊法 (於美國法典第 18 卷第 2701 節及其後各節) 嚴格禁止 Slack 等供應商向第三方揭露通訊內容。根據 SCA,民事傳票和民事法庭命令不足以要求從 Slack 工作空間獲取內容。