Dropbox Business 계약

공고일: 2016년 9월 14일

본 Dropbox Business 계약(이하 '계약')은 미국, 캐나다 및 멕시코(이하 '북미') 이외 지역에 소재한 조직의 경우 Dropbox International Unlimited Company ,또는 북미에 소재한 조직의 경우 델라웨어 주에 소재한 Dropbox, Inc.(이하 각각 'Dropbox'라 함)와 본 계약 조건에 동의하는 조직(이하 '고객') 사이에 체결됩니다. 본 계약은 Dropbox Business 클라이언트 소프트웨어와 서비스(이하 'Dropbox Business'로 총칭함) 및 고객에게 제공되는 베타 서비스(이하 Dropbox Business와 함께 '서비스'로 총칭함)에 대한 액세스 및 이용에 적용됩니다. 고객은 '동의함'을 클릭하여 본 서비스 계약서에 서명하거나 본 서비스를 사용함으로써 고객으로서 본 계약에 동의합니다.

Dropbox, Inc.가 고객을 대신해 EU 개인정보 보호지침 95/46/EC(이하 'EU 개인정보 보호법')를 시행하는 국가법의 적용을 받는 고객 정보를 처리하는 범위 내에서, '동의함'을 클릭하면 개인 정보를 부속 계약서 1에 명시된 처리업체에 전송하는 것에 관한 Dropbox, Inc.와의 EU 표준 계약 조항에도 동의하는 것입니다.

고객은 본 서비스 사용에 관한 본 계약 및 부속 계약서 1(해당할 경우)에 동의하는 경우 해당 조직을 대신해 본 계약에 동의하는 것입니다. 따라서 고객은 해당 조직을 이러한 조건에 법적으로 구속할 수 있는 권한을 가져야 합니다. 그렇지 않을 경우 본 서비스에 가입할 수 없습니다.

1. 서비스
   1. 서비스 제공. 고객 및 고객의 서비스 계정 사용자(이하 '최종 사용자')는 본 계약에 따라 본 서비스에 액세스하고 서비스를 이용할 수 있습니다.
   2. 시설 및 정보 처리. Dropbox는 고객 정보를 전송, 저장 및 처리하는 데 있어 최소한의 업계 표준에 맞는 기술적 및 체계적 보안 조치를 사용합니다. 이러한 보안 조치는 고객 정보의 무결성을 유지하고, 고객 정보에 무단 또는 불법적으로 액세스하고 정보를 이용 및 처리하지 못하게 보호하도록 설계되었습니다. 고객은 Dropbox가 고객의 거주 국가 이외 미국 및 다른 곳에서 고객 정보를 전송, 저장 및 처리할 수 있음에 동의합니다. 고객 정보는 EU 개인정보 보호법의 적용을 받으며, 정보 통제자인 고객을 대신해 Dropbox가 정보 처리업체로서 고객 정보를 처리함에 있어, Dropbox는 본 계약에 따라 서비스를 제공하고 Dropbox의 의무를 이행하기 위해 고객의 지시에 따라 이러한 고객 정보를 이용하고 처리합니다. '고객 정보'란 저장된 정보 및 계정 정보를 의미합니다. '저장된 정보'란 고객 또는 최종 사용자가 본 서비스로 전송한 파일 및 구조적 데이터를 의미합니다. '계정 정보'란 고객 또는 최종 사용자가 본 서비스로 전송한 계정 정보 및 연락처 정보를 의미합니다.
   3. 서비스의 변경. 당사는 본 서비스를 수시로 업데이트할 수 있습니다. Dropbox에서 서비스의 기능을 중대하게 저하시킬 정도로 서비스를 변경한 경우, 당사는 고객 계정의 이메일 주소로 고객에게 이러한 사실을 통보합니다.
   4. 소프트웨어. 일부 서비스의 경우, 고객이 자동으로 업데이트되는 Dropbox 소프트웨어를 다운로드할 수 있습니다. 고객은 이러한 소프트웨어를 Dropbox 서비스에 액세스하기 위한 용도로만 이용할 수 있습니다. 이러한 소프트웨어의 구성요소가 오픈 소스 라이센스 하에 제공되는 경우, Dropbox는 고객이 라이센스를 이용할 수 있도록 하며, 이러한 라이센스에 관한 조항은 본 계약의 일부 조항보다 명시적으로 우선할 수 있습니다.
   5. 베타 서비스. Dropbox는 테스트 및 평가 중인 기능 또는 제품을 고객에게 제공할 수 있습니다. 이러한 제품 및 기능을 알파, 베타, 프리뷰, 초기 액세스, 평가(또는 이와 비슷한 의미의 단어 또는 구절) 버전(이하 총칭하여 '베타 서비스')이라고 부릅니다. 본 계약이나 부속 계약서 1의 여타 조항에 상반된 규정이 있더라도 모든 베타 서비스에는 아래 조건이 적용됩니다. (a) 고객은 어떠한 베타 서비스도 사용하거나 거부할 수 있습니다. (b) 베타 서비스는 지원 받을 수 없으며, 별도의 통지 없이 언제든지 변경될 수 있습니다. (c) 베타 서비스는 Dropbox Business에 비해 안정성 또는 가용성이 떨어질 수 있습니다. (d) 베타 서비스는 Dropbox Business와 동일한 보안 조치 및 감사를 거치지 않았습니다. (e) 베타 서비스 사용으로 인해 발생하는 문제는 고객의 책임이며, DROPBOX에서 책임지지 않습니다.
2. 고객의 의무
   1. 규정 준수. 고객은 해당 최종 사용자의 본 서비스 이용에 관한 책임을 집니다. 고객 및 해당 최종 사용자는 사용 제한 정책에 따라 본 서비스를 이용해야 합니다. 고객은 해당 관리자가 본 계약에 기술된 활동에 관여하고, 당사가 본 서비스를 제공하도록 허용하는 것에 대해 최종 사용자의 동의를 얻어야 합니다. 고객은 본 서비스의 이용에 있어 해당 법률과 규정을 준수해야 합니다(해당 법률과 규정이 있는 경우).
   2. 고객의 서비스 관리. 고객은 관리 콘솔을 통해 최종 사용자를 '관리자'로 지정할 수 있습니다. 관리자는 서비스 계정에서 고객 정보에 액세스하고, 데이터를 공개 또는 제한하거나 제거할 수 있습니다. 또한 관리자는 서비스 계정에 대한 액세스를 모니터링하고 액세스를 제한하거나 액세스를 중단할 수 있습니다. 고객의 서비스 내부 관리 또는 운영은 Dropbox의 책임 범위에 포함되지 않습니다. 고객은 (i) 비밀번호 및 관리자 계정의 기밀을 유지하고, (ii) 관리자 계정의 액세스 권한을 관리하며, (iii) 관리자가 본 계약에 따라 서비스를 사용하도록 할 책임이 있습니다. 고객은 리셀러를 통해 본 서비스를 구매하고 해당 리셀러의 직원을 고객의 서비스 계정 관리자로 위임할 경우, 리셀러가 고객 정보를 포함한 계정 정보를 관리하고 위에서 설명된 대로 고객의 서비스 계정에 액세스할 수 있음을 인정합니다.
   3. 무단 사용 및 액세스. 고객은 해당 최종 사용자가 본 서비스를 무단으로 사용하지 않도록 하며, 서비스에 무단으로 액세스하거나 사용하는 경우 일체 중단시켜야 합니다. 13세 미만의 최종 사용자는 본 서비스를 사용할 수 없습니다. 고객은 13세 미만의 사용자는 서비스를 사용하지 못하도록 해야 합니다. 서비스에 무단으로 액세스하거나 사용하는 일이 발생하는 경우 고객은 이 사실을 당사에 즉시 알려야 합니다.
   4. 사용의 제한. 다음과 같은 제약사항이 관련 법에 따라 금지되는 경우를 제외하고, 고객은 (i) 본 서비스를 판매, 재판매 또는 대여하거나, (ii) 서비스를 신체 부상, 사망 또는 개인 상해를 초래할 수 있는 행위에 사용하거나, (iii) 서비스를 역분석하거나 그러한 행위를 시도한다거나 그러한 행위에 협조해서는 안 됩니다.
   5. 제3자 요청
      1. '제3자 요청'이란 제3자가 최종 사용자 또는 고객의 서비스 계정 정보 등 최종 사용자의 본 서비스 사용과 관련된 기록을 요청하는 것을 의미합니다. 제3자 요청으로는 유효한 수색 영장, 법원 명령, 소환장, 그 밖의 정보 공개를 허용한다는 최종 사용자의 서면 동의서 요청 등을 들 수 있습니다.
      2. 고객은 자체적으로 해당 정보에 액세스함으로써 제3자 요청에 응해야 할 책임이 있습니다. 고객은 제3자 요청에 응하기 위해 필요한 정보를 자체적으로 찾아보고, 상당한 노력에도 불구하고 해당 정보를 얻을 수 없는 경우에만 Dropbox에 문의해야 합니다.
      3. 당사는 해당 법 및 제3자 요청 조항에 의해 허용되는 범위 내에서, (A) 제3자 요청을 수신했음을 고객에게 즉시 알리고, (B) 제3자 요청에 반대하는 고객의 상업적으로 합당한 요청을 따르며, (C) 고객이 제3자 요청에 대응하기 위해 필요한 정보를 찾을 수 없는 경우에 한해 고객에게 해당 정보 또는 도구를 제공하기 위해 상업적으로 합당한 노력을 기울입니다. 고객이 제3자 요청에 즉시 대응하지 못할 경우, 당사에서 이러한 요청에 대응할 수 있으나 그러한 의무가 있는 것은 아닙니다.
3. 타사 서비스. 고객이 본 서비스와 타사 서비스(예: Dropbox API를 사용하는 서비스)를 함께 사용하는 경우, (a) 당사는 타사에서 고객 데이터에 액세스하거나 사용하는 행위 등 타사의 어떠한 작위 또는 부작위적 행위에 대해 책임지지 않으며, (b) 당사는 타사에서 제공하는 서비스에 대해 일체 보증하거나 지원하지 않습니다.
4. 일시 중지
   1. Dropbox에 의한 최종 사용자 계정의 일시 중지. 최종 사용자가 (i) 본 계약을 위반하거나, (ii) 당사에게 법적 책임이 부과될 수 있는 방식으로 본 서비스를 이용한다고 확신할 만한 합당한 이유가 있는 경우, 당사는 고객에게 해당 최종 사용자 계정을 일시 중지하거나 해지하도록 요청할 수 있습니다. 고객이 해당 최종 사용자 계정을 즉시 일시 중지하거나 해지하지 못할 경우, 당사는 이를 대신 수행할 수 있습니다.
   2. 긴급 보안 문제. 본 계약에 규정된 내용에도 불구하고 긴급 보안 문제가 발생하는 경우, 당사는 본 서비스의 이용을 자동으로 일시 중지할 수 있습니다. 당사는 가장 적절한 방법을 동원하여 긴급 보안 문제를 방지하거나 해결하기 위해 상업적으로 합당한 노력을 기울입니다. '긴급 보안 문제'란 (i) 서비스를 방해하거나 다른 고객의 서비스 이용을 방해하거나 서비스를 제공하는 데 사용하는 인프라 작동에 지장을 주는 방식의 이용 및 (ii) 제3자의 서비스 무단 액세스를 의미합니다.
5. 지적 재산권
   1. 권리의 유보. 본 계약에 명시된 경우를 제외하고, 본 계약은 (i) 고객 데이터에 대한 지적 재산권을 당사에게 부여하거나 (ii) 본 서비스 또는 Dropbox 상표 및 브랜드 표시에 대한 지적 재산권을 고객에게 부여하지 않습니다. '지적 재산권'이란 특허, 저작권, 영업 비밀, 상표, 저작인격권 및 그 밖의 유사한 권리에 의거하여 현재 및 향후 전 세계적으로 행사할 수 있는 권리를 의미합니다.
   2. 제한된 권한. 고객은 당사에게 본 서비스를 제공하는 데 합당하게 요구되는 제한된 권한만 부여합니다.(예: 저장된 데이터 호스팅) 이러한 권한은 당사의 계열사 및 당사가 본 서비스를 제공하기 위해 협력하는 신뢰할 수 있는 타 업체에도 적용됩니다. (예: 요금 결제를 처리하는 결제 대행업체)
   3. 제안. 당사는 당사 재량에 따라 어떠한 용도로든 당사에서 고객에 대한 어떠한 의무 없이 고객 또는 최종 사용자가 당사에 보내거나 당사 포럼에 게재하는 의견 또는 제안 내용을 이용, 수정 및 당사 제품, 서비스, 라이센스 및 하위 라이센스에 포함할 수 있으므로 유의하시기 바랍니다.
   4. 고객 명단. 당사는 고객 이름을 당사 웹사이트의 Dropbox 고객 명단 또는 홍보 자료에 포함할 수 있습니다.
6. 요금 및 결제
   1. 요금. 고객은 당사 또는 고객의 리셀러가 고객이 선택한 결제 방식을 통해 모든 해당 요금을 청구할 수 있도록 승인하며, 해당 요금을 지불해야 합니다. 요금은 법률상 필요한 경우를 제외하고 환불되지 않습니다. 고객은 Dropbox 또는 고객의 리셀러에게 정확한 청구지 정보 및 연락처를 빠짐없이 제공해야 합니다. 요금이 미납되는 경우 Dropbox는 본 서비스를 일시 중단하거나 해지할 수 있습니다.
   2. 자동 갱신 및 평가판. 고객의 계정이 자동 갱신되도록 설정되었거나 평가판 사용 기간인 경우, 당사 또는 고객의 리셀러는 고객이 당사 또는 고객의 리셀러에게 계정을 해지하거나 자동 갱신을 중단한 것임을 통보하지 않는 한 평가판이 종료되는 시점 또는 계정 갱신 시점에서 요금을 자동으로 부과할 수 있습니다. Dropbox는 고객에게 그 다음 요금이 청구되기 30일 전까지 통지함으로써 본 서비스 요금을 변경할 수 있습니다.
   3. 세금. 모든 세금은 고객의 부담입니다. 당사 또는 고객의 리셀러는 해당 의무가 있는 경우 세금을 부과할 수 있습니다. 고객이 법에 따라 세금을 원천징수해야 하는 경우 고객은 당사 또는 고객의 리셀러에게 공식 세금 영수증 또는 기타 증명서를 제공해야 합니다.
   4. 구매 주문서. 고객이 구매 주문서 또는 구매 주문번호를 요구하는 경우, 고객은 (i) 구매 시 주문 번호를 당사에 제공하고, (ii) 구매 주문에 관한 어떠한 약관도 본 계약에 적용되지 않으며 무효라는 데에 동의해야 합니다. 고객이 리셀러를 통해 구매하는 경우, 고객과 리셀러 간에 이루어진 구매 주문서에 명시된 이용약관 중 Dropbox Business 계약에 저촉되는 어떠한 이용약관도 무효로 간주됩니다.
7. 계약 기간 및 해지
   1. 계약 기간. 본 계약은 고객의 서비스 가입이 만료 또는 해지되거나 본 계약이 해지될 때까지 계속 효력을 유지합니다.
   2. 계약 위반으로 인한 해지. (i) 상대방이 실질적으로 본 계약을 위반하고 서면 통지를 받은 후 30일 이내에 해당 위반사항을 시정하지 않거나 (ii) 상대방이 영업을 중단하거나 파산 절차를 밟고 90일 이내에 파산 절차가 기각되지 않을 경우, 당사 또는 고객은 본 계약을 해지할 수 있습니다.
   3. 계약 해지의 효력. 본 계약이 해지되면 (i) 본 조항에 명시된 경우를 제외하고 당사가 고객에게 부여한 권한이 즉시 상실되고, (ii) 당사는 고객에게 당시 요금으로 Dropbox 계정에 대한 액세스 권한을 제공할 수 있고 이에 따라 고객은 저장된 고객 정보를 내보낼 수 있으며, (iii) 통상 일정 기간이 경과된 후에는 당사는 고객의 계정과 관련된 저장된 데이터를 일체 삭제할 수 있습니다. 2(e) (제3자 요청), 5 (지적 재산권), 6 (요금 및 결제), 7(c) (계약 해지의 효력), 8 (배상 및 면책), 9 (책임의 부인), 10 (책임의 한계), 11 (분쟁), 12 (기타) 조항은 본 계약의 만료 또는 해지 시에도 계속 유효합니다.
8. 배상 및 면책
   1. 고객의 배상 및 면책. (i) 고객 데이터, (ii) 고객이 본 서비스를 이용하는 중에 본 계약을 위반하는 행위, (iii) 최종 사용자가 본 서비스를 이용하는 중에 본 계약을 위반하는 행위와 관련하여 제3자가 당사 및 해당 계열사를 상대로 소송을 제기하는 경우, 고객은 이로 인해 발생하는 모든 책임, 손해 및 비용(소송 비용 및 합당한 변호사 비용 포함)을 당사에 배상하고 당사를 변호하여 당사에 손해가 없도록 합니다.
   2. Dropbox의 배상 및 면책. 당사가 고객에게 본 서비스를 제공하기 위해 사용한 당사의 기술이 제3자의 저작권, 영업 비밀, 미국 특허 또는 상표를 침해 또는 도용하였다는 주장을 근거로 제3자가 고객을 상대로 소송을 제기하는 경우, 당사는 이로 인해 발생하는 모든 책임, 손해 및 비용(소송 비용 및 합당한 변호사 비용 포함)을 고객에게 배상하고 고객을 변호하여 고객에 손해가 없도록 합니다. 당사는 (i) 본 서비스를 수정된 형태 또는 Dropbox가 제공하지 않는 자료와 함께 이용하는 행위 및 (ii) 고객, 최종 사용자 또는 다른 제3자가 제공한 콘텐츠, 정보 또는 데이터로 인해 발생하는 문제에 대해 어떠한 경우에도 본 조항의 어떤 의무나 책임도 지지 않습니다.
   3. 침해 가능성. 본 서비스가 제3자의 지적 재산권을 침해한다고 생각되거나 확신할 만한 이유가 있는 경우, 당사는 (i) 당사가 비용을 부담하여 고객이 서비스를 계속 사용할 수 있는 권한을 얻거나, (ii) 지적 재산권을 침해하지 않는 기능적으로 동등한 대체물을 제공하거나, (iii) 더 이상 지적 재산권을 침해하지 않도록 서비스를 변경합니다. 당사는 본 조항에 기술한 선택사항이 상업적으로 합당하지 않다고 판단하는 경우, 해당 서비스의 이용을 일시 중지하거나 서비스를 해지할 수 있습니다. 해지 시 고객이 선결제한 요금은 남은 기간을 비율로 환산하여 환불 처리합니다.
   4. 일반. 배상을 요구하는 당사자는 상대방에게 즉시 해당 소송 내용을 통지하고 소송을 방어하기 위해 상대방과 협력합니다. 배상할 당사자는 (i) 배상을 요구하는 당사자가 책임 인정을 요구하는 합의에서 사전 서면 동의를 요구하는 경우(그러한 동의는 정당한 사유 없이 보류 또는 지연 되어서는 안 됨) 및 (ii) 상대방이 자신의 비용으로 변호사를 선임하여 변호하는 경우를 제외하고, 소송 변호에 대한 전권을 가집니다. 상기 기술한 배상은 본 계약에 따라 상대방이 제3자의 지적 재산권을 침해하는 경우에 대한 당사 및 고객의 유일한 구제책입니다.
9. 책임의 부인. 본 서비스는 '있는 그대로' 제공됩니다. 법에서 허용하는 최대 범위 내에서, 본 계약에 명시된 경우를 제외하고 고객과 당사, 해당 계열사, 공급업체 및 유통업체 그 어느 쪽도 상품성, 특정 목적에 대한 적합성 또는 비침해에 대한 보증을 비롯해 명시적, 묵시적, 법적 또는 기타 어떤 형태의 보증을 하지 않습니다. 저장된 데이터를 관리하고 백업하는 일은 고객의 책임입니다.
10. 책임의 한계
    1. 간접 책임의 한계. DROPBOX 또는 고객의 배상 및 면책 의무를 제외하고, 고객과 당사, 해당 계열사, 공급업체 및 유통업체 그 어느 쪽도 본 계약에 따라 법에서 허용하는 최대한의 범위 내에서, (I) 간접적, 특수적, 부수적, 결과적 또는 징벌적 손해 또는 (II) 사용 불능, 데이터 손실, 사업상 손실, 매출 손실 또는 이익 손실에 대해 각 경우가 직접적이든 또는 간접적이든 간에, 손해 가능성을 알고 있었거나 알아야 했더라도, 그리고 구제 조치가 본질적 목적에 부합하지 않았더라도 그러한 손해에 대해 책임지지 않습니다.
    2. 책임액의 한도. 본 계약에 따라 법에서 허용하는 최대한의 범위 내에서, DROPBOX의 총 책임 한도액은 미화 100,000달러와 책임을 야기한 사건이 발생하기 전 12개월 동안 고객이 서비스에 대해 지불한 금액 중 더 낮은 금액을 초과하지 않습니다.
11. 분쟁
    1. 비공식적으로 해결. Dropbox는 고객과 분쟁이 발생하는 경우 공식적 법적 절차를 거치지 않고 원만하게 분쟁을 해결하고 싶습니다. 각 당사자는 분쟁을 제기하기 전에 본 계약 12조 (e)항에 명시된 통지 절차에 따라 상대방에게 연락하여 분쟁을 해결하기 위해 노력할 것에 동의합니다. 통지를 보낸 후 30일 이내에 분쟁이 해결되지 않은 경우 고객 또는 당사는 공식적 절차를 밟을 수 있습니다.
    2. 중재 합의. 고객 및 Dropbox는 아래 명시된 조항을 제외하고, 본 계약 또는 본 서비스와 관련한 일체의 분쟁을 최종적이고 구속력 있는 중재를 통해 해결하는 데 동의합니다. 미국 중재 협회(AAA)는 상사 중재 규칙에 따라 중재를 집행합니다. 중재는 샌프란시스코(CA) 또는 쌍방이 서면으로 합의한 장소에서 집행됩니다.
    3. 중재 합의에 대한 예외사항. 어느 당사자나 본 서비스의 무단 또는 부당한 사용 또는 지적재산권 침해를 중단하기 위해 상기에서 기술한 비공식적 분쟁 통보 절차를 우선적으로 거치지 않고 샌프란시스코 카운티의 연방 또는 주 법원에서 금지명령 구제 소송을 단독으로 제기할 수 있습니다. 고객 및 Dropbox는 모두 해당 재판지 및 대인관할에 동의합니다.
    4. 집단 소송 불가. 고객은 Dropbox와 개인 자격으로만 분쟁을 해결할 수 있으며, 집단, 병합 또는 대표 소송으로 분쟁을 제기할 수 없습니다. 집단 중재, 집단 소송, 집단 공익 소송 및 다른 중재건과의 병합 소송은 허용되지 않습니다.
12. 기타
    1. 계약 조건의 변경. Dropbox는 본 계약을 수시로 개정할 수 있으며, 항상 Dropbox Business 웹사이트에 가장 최근에 개정된 정책을 게시합니다. Dropbox의 자유 재량에 따라 본 계약의 중요한 부분을 개정한 경우, Dropbox는 이 사실을 고객에게 통지합니다(예: 고객 계정에 등록된 이메일 주소로 이메일 발송). 이 외의 개정 내용은 Dropbox 블로그 또는 이용약관 페이지에 게시되며, 고객은 해당 게시물을 정기적으로 확인해야 합니다. 고객은 개정된 계약의 효력이 발생한 후에도 계속 본 서비스에 액세스하거나 서비스를 이용함으로써 개정된 계약에 구속된다는 것에 동의합니다. 개정된 계약 조건에 동의하지 않을 경우, 고객은 개정 사항에 대해 통지 받은 후 30일 이내에 서비스를 해지할 수 있습니다.
    2. 완전한 합의. 고객의 청구서와 Dropbox 주문서(해당되는 경우)를 비롯해 본 계약은 고객과 Dropbox 간의 완전한 합의 하에 성립되며, 본 계약의 목적과 관련해 이전 또는 같은 시기에 서면 또는 구두로 이루어진 합의 및 계약보다 우선하며 이를 대체합니다. 본 계약을 구성하는 문서 간에 상충되는 부분이 있을 경우, Dropbox 청구서 조항, Dropbox 주문서 조항, 계약 조항의 순으로 우선순위를 적용합니다.
    3. 준거법. 본 계약은 법에 저촉되는 조항을 제외하고 캘리포니아 법의 적용을 받습니다.
    4. 분리 조항. 본 계약에서 본 계약에 시행 불가능한 조항이 있는 경우, 당사자들의 의사를 반영하고 해당 조항을 시행 가능하도록 하는데 필요한 범위 내에서만 조항을 변경해야 합니다. 본 계약의 나머지 조항은 효력이 그대로 유지됩니다.
    5. 통지. 통지는 제1종 우편, 항공 우편 또는 속달로 보내야 하며, 수령 시 전달된 것으로 간주합니다. 또한 고객에게 해당 계정 및 이메일 주소로 통지할 수도 있으며, 전송 시 전달된 것으로 간주합니다. 당사에 통지할 경우 Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107로 보내야 하며, 당사 법률팀에게도 사본을 보내야 합니다.
    6. 면제. 어떠한 채무 불이행에 대해 면제 받는다고 해서 이것이 이후의 어떠한 채무 불이행에 대한 면제로 작용하지 않습니다.
    7. 양도. 고객은 Dropbox의 사전 서면 동의 없이는 본 계약에 따라 어떠한 권리나 의무를 타인에게 양도하거나 이전할 수 없습니다. 당사는 고객에게 통지 없이 본 계약을 타인에게 양도할 수 없습니다. 단, 합병, 인수, 조직 개편, 자산 전부 또는 사실상 전부 매각과 관련하여 통지 없이 해당 계열사에게 본 계약에 따라 어떠한 권리나 의무를 양도할 수 있습니다. 이 외의 이전 또는 양도 시도는 무효로 간주됩니다.
    8. 독립 관계. Dropbox 및 고객은 서로 독립적인 계약자이며, 본 계약으로 인해 법적으로 대리 또는 협력 관계가 성립되는 것은 아닙니다.
    9. 불가항력. 지급 의무를 제외하고, Dropbox와 고객 어느 쪽도 자연 재해, 전쟁 또는 테러 행위, 폭동, 노동 문제, 정부의 제한조치, 인터넷 장애 등 양 당사자가 통제하기에 불가능한 상황으로 인한 의무 불이행에 대해 책임지지 않습니다.
    10. 제3자 수혜자 없음. 본 계약에서 제3자 수혜자는 존재하지 않습니다. 본 계약에 따라 고객의 최종 사용자는 고객의 권리를 부여 받는 제3자 수혜자가 아니며, 이는 본 조항에만 국한되지 않습니다.
    11. 수출 제한. 본 서비스를 통해 고객 데이터를 수출 및 재수출하는 행위는 미국 수출 관리 규정(United States Export Administration Regulations), 기타 해당 수출 제한 또는 무역 금지에 따른 통제를 받습니다. 본 서비스는 현재 미국이 무역을 금지하고 있는 쿠바, 이란, 북한, 수단, 시리아 또는 기타 국가에서 사용할 수 없으며, 고객은 미국 또는 이 외 해당 관할구역의 수출 제한 또는 금지 규정을 위반하면서 본 서비스를 사용해서는 안 됩니다. 또한 고객은 본 서비스를 미국의 상거래 거부대상 목록(Table of Denial Orders), 허가필요대상 목록(Entity List) 또는 특별지정국민 목록(List of Specially Designated Nationals) 상의 개인에게 제공하지 않아야 합니다.

적절한 수준의 정보 보호를 보장하지 않는 제3국에 있는 처리업체로 개인 정보를 전송하는 것에 관한 EU 개인정보 보호지침 95/46/EC 제26조(2)항의 목적에 있어서

정보 송신 조직의 이름: Dropbox International Unlimited Company와 체결한 Dropbox Business 계약의 당사자인 고객
(정보 송신자)

및

정보 수신 조직의 이름: Dropbox, Inc.
주소: 333 Brannan Street, San Francisco, CA 94107 USA
(정보 수신자)

각각 '당사자', 통칭하여 '당사자들'은

부록 1에 명시된 개인 정보를 정보 송신자가 정보 수신자에게 전송하는 것에 관한 개인 정보 보호 및 개인의 기본 권리 및 자유와 관련하여 적절한 안전 대책을 제시할 수 있도록 다음 계약 조항(이하 '조항')에 합의했습니다.

본 조항의 목적상,

1. '개인 정보', '특별한 범주의 정보', '처리', '통제자', '처리업체', '정보 주체' 및 '감독 기관'은 개인 정보의 처리 및 해당 정보의 자유로운 이전과 관련된 개인 보호에 관한 유럽 의회 및 위원회의 1995년 10월 24일자 EU 개인정보 보호지침 95/46/EC와 동일한 의미를 갖습니다.¹
2. '정보 송신자'란 개인 정보를 통제하는 자로, 개인 정보를 전송합니다.
3. '정보 수신자'란 정보 송신자로부터 개인 정보를 전송 받은 후 정보 송신자의 지시 및 본 조항의 조건에 따라 정보 송신자를 대신해 개인 정보를 처리하는 데 합의한 정보 처리업체를 의미하며, EU 개인정보 보호지침 95/46/EC의 제25조(1)항의 의미 내에서 적절한 보호를 보장하면서 제3국 제도에 적용을 받지 않습니다.
4. '하청업체'란 정보 수신자 또는 정보 수신자의 다른 하청업체로부터 정보 송신자의 개인 정보를 전송 받은 후 정보 송신자의 지시, 본 조항의 조건 및 서면 하청 계약서의 조건에 따라 정보 송신자를 대신해 정보 처리 작업만 하기로 합의한 업체로, 정보 수신자 또는 정보 수신자의 다른 하청업체에 의해 고용된 처리업체를 의미합니다.
5. '해당 개인정보 보호법'이란 개인의 기본 권리 및 자유, 특히 정보 송신자가 있는 회원 국가의 정보 통제자에게 적용되는 개인 정보 처리와 관련된 개인 정보 보호 권리를 보호하는 법을 의미합니다.
6. '기술적 및 체계적 보안 조치’란 특히, 정보 처리가 네트워크를 통한 전송과 관련된 경우 우발적 또는 불법적 파기, 우발적 손실, 변경, 무단 공개 또는 액세스 및 기타 모든 불법적 형태의 처리로부터 개인 정보를 보호하기 위한 조치를 의미합니다.

전송 세부 사항 및 특히, 특별한 범주의 개인 정보(해당되는 경우)는 본 조항의 중요한 부분 중 하나인 부록 1에 명시되어 있습니다.

1. 정보 주체는 제3자 수혜자로 정보 송신자에게 본 조항, 조항 4(b)~(i), 조항 5(a)~(e) 및 (g)~(j), 조항 6(1) 및 (2), 조항 7, 조항 8(2), 조항 9~12를 적용할 수 있습니다.
2. 정보 송신자가 사실상 없어지거나 법적으로 더 이상 존재하지 않을 경우, 정보 주체는 정보 수신자에게 본 조항, 조항 5(a)~(e) 및 (g), 조항 6, 조항 7, 조항 8(2), 조항 9~12를 적용할 수 있습니다. 단, 후임 업체가 계약 또는 법적 규정에 의해 정보 송신자의 모든 법적 책임을 지고 정보 송신자의 권리와 의무를 떠맡게 된 경우, 정보 주체는 해당 업체에게 이러한 조항을 적용할 수 있습니다.
3. 정보 송신자와 정보 수신자 둘 다 사실상 없어지거나 법적으로 더 이상 존재하지 않거나 파산한 경우, 정보 주체는 하청업체에게 본 조항, 조항 5(a)~(e) 및 (g), 조항 6, 조항 7, 조항 8(2), 조항 9~12를 적용할 수 있습니다. 단, 후임 업체가 계약 또는 법적 규정에 의해 정보 송신자의 모든 법적 책임을 지고 정보 송신자의 권리와 의무를 떠맡게 된 경우, 정보 주체는 해당 업체에게 이러한 조항을 적용할 수 있습니다. 이러한 하청업체의 제3자 책임은 본 조항에 따라 업체의 자체 처리 작업으로 제한됩니다.
4. 당사자들은 정보 주체가 명시적으로 원하고 국가법에 의해 허용될 경우, 협회 또는 기타 단체가 정보 주체를 대표하는 것에 반대하지 않습니다.

정보 송신자는 다음 사항에 동의하고 이를 보증합니다.

1. 전송 자체를 포함해 개인 정보의 처리는 해당 개인정보 보호법의 관련 조항에 따라 수행되어 왔고 계속 수행될 것이며(해당될 경우, 정보 송신자가 있는 회원 국가의 관련 당국에 통지됨), 해당 국가의 관련 조항을 위반하지 않습니다.
2. 개인 정보 처리 서비스 기간 동안 해당 개인정보 보호법 및 본 조항에 따라 정보 송신자를 대신해서만 전송된 개인 정보를 처리하도록 정보 수신자에게 지시해 왔으며 계속 지시할 것입니다.
3. 정보 수신자는 본 계약의 부록 2에 명시된 기술적 및 체계적 보안 조치에 관해 충분히 보장합니다.
4. 해당 개인정보 보호법의 요구사항을 평가한 후 네트워크를 통한 정보 전송과 관련된 처리의 경우, 보안 조치가 우발적 또는 불법적 파기, 우발적 손실, 변경, 무단 공개 또는 액세스 및 기타 모든 불법적 형태의 처리로부터 개인 정보를 보호할 수 있으며, 이러한 조치가 정보 처리로 인해 발생하는 위험 및 보안 조치의 기술 상태와 비용을 감안할 때 보호할 정보의 특성에 적합한 보안 수준임을 확인합니다.
5. 보안 조치를 준수합니다.
6. 특별한 범주의 정보가 전송될 경우, 정보 주체는 EU 개인정보 보호지침 95/46/EC의 의미 내에서 적절한 보호 수단을 제공하지 않는 제3국으로 자신의 정보가 전송될 수 있음을 정보가 전송되기 전 또는 전송된 후에 최대한 빨리 통지 받습니다.
7. 정보 송신자가 정보 전송을 계속하거나 전송 중단을 해제하기로 결정한 경우, 정보 수신자 또는 하청업체로부터 받은 모든 통지를 조항 5(b) 및 조항 8(3)에 따라 정보 보호 감독 기관에 전달합니다.
8. 정보 주체가 본 조항의 사본을 요청할 경우 부록 2를 제외하고 보안 조치 요약본 및 본 조항에 따라 체결된 하청 처리 계약서 사본을 제공합니다. 단, 본 조항 또는 계약서에 상업적 정보가 포함되어 있는 경우 해당 정보는 삭제할 수 있습니다.
9. 하청의 경우, 본 조항에 따라 정보 주체의 개인 정보와 권리에 대한 정보 수신자의 보호 수준과 동일한 수준의 보호를 보장하는 하청업체가 조항 11에 따라 처리 작업을 수행합니다.
10. 조항 4(a)~(i)를 준수합니다.

정보 수신자는 다음 사항에 동의하고 이를 보증합니다.

1. 정보 송신자의 지시 및 본 조항에 따라 정보 송신자를 대신해서만 개인 정보를 처리합니다. 어떤 이유로든 이를 준수할 수 없을 경우 이를 즉시 정보 송신자에게 알릴 것에 동의하며, 이 경우 정보 송신자는 정보 전송을 중단하거나 계약을 해지할 수 있습니다.
2. 정보 수신자에게 적용되는 법은 정보 송신자로부터 받은 지시와 본 계약에 따른 의무 이행을 방해하지 않습니다. 해당 법이 변경되어 본 조항에 명시된 의무와 보증에 상당한 역효과를 미칠 가능성이 높은 경우 이 사실을 인지하는 즉시 정보 송신자에게 통지할 것이며, 이 경우 정보 송신자는 정보 전송을 중단하거나 계약을 해지할 수 있습니다.
3. 전송된 개인 정보를 처리하기 전에 부록 2에 명시된 기술적 및 체계적 보안 조치를 실시했습니다.
4. 다음의 경우 정보 송신자에게 즉시 통지합니다.
   1. 사법기관에 의한 법적으로 구속력 있는 개인 정보 공개 요청(단, 형사 조사 시 기밀 정보를 유지해야 하는 형법에 따른 금지 등과 같이 달리 금지된 경우는 제외)
   2. 우발적 또는 무단 액세스
   3. 정보 주체로부터 직접 받은 요청(이 경우 이 요청에 응대하지 않으나, 그렇게 하도록 달리 허가 받은 경우는 제외)
5. 전송 대상인 개인 정보의 처리와 관련하여 정보 송신자로부터 받은 모든 질의를 즉시 적절하게 처리하고, 전송된 정보의 처리와 관련된 감독 기관의 조언을 준수합니다.
6. 본 조항에 포함되어 있는 처리 작업의 감사를 위해 정보 송신자가 요청할 경우, 정보 처리 시설을 제공합니다. 이러한 감사는 정보 송신자 또는 기밀 유지 의무가 있는 전문 자격을 소유하고 있고 정보 송신자가 선정한 외부 회원으로 구성된 검사 기관에 의해 실시되며, 해당될 경우 감독 기관과 협의합니다.
7. 정보 주체가 요청할 경우 본 조항의 사본 또는 하청에 대한 기존 계약서를 제공합니다. 단, 본 조항 또는 계약서에 상업적 정보가 포함되어 있는 경우 해당 정보는 삭제할 수 있습니다. 정보 주체가 정보 송신자로부터 사본을 얻을 수 없는 경우 부록 2는 보안 조치 요약본으로 대체됩니다.
8. 하청을 할 경우, 정보 송신자에게 이를 사전에 알리고 사전에 서면 동의를 얻습니다.
9. 하청업체의 처리 서비스는 조항 11에 따라 수행됩니다.
10. 본 조항에 따라 체결한 모든 하청 계약 사본을 정보 송신자에게 즉시 보냅니다.

1. 일방 당사자 또는 하청업체가 조항 3 또는 조항 11과 관련된 의무를 위반하여 정보 주체가 손해를 입은 경우, 정보 주체는 해당 손해에 대해 정보 송신자로부터 보상을 받을 수 있음을 당사자들은 동의합니다.
2. 정보 송신자가 사실상 없어졌거나 법적으로 더 이상 존재하지 않거나 파산했기 때문에 정보 수신자 또는 그 하청업체가 조항 3 또는 조항 11과 관련된 의무를 위반하여 발생한 손해에 대해 정보 주체가 정보 송신자에게 상기 1항에 따른 보상을 청구할 수 없는 경우, 정보 수신자는 정보 주체가 정보 송신자에게 하는 것처럼 정보 수신자에게 보상을 청구할 수 있음에 동의합니다. 단, 후임 업체가 계약 또는 법적 규정에 의해 정보 송신자의 모든 법적 책임을 지게 된 경우, 정보 주체는 이러한 권리를 해당 업체에게 행사할 수 있습니다.
   정보 수신자는 하청업체의 의무 위반을 핑계로 자신의 책임을 회피할 수 없습니다.
3. 정보 송신자 또는 정보 수신자가 사실상 없어졌거나 법적으로 더 이상 존재하지 않거나 파산했기 때문에 하청업체가 조항 3 또는 조항 11과 관련된 의무를 위반하여 발생한 손해에 대해 정보 주체가 정보 송신자 또는 정보 수신자에게 상기 1항 및 2항에 따른 보상을 청구할 수 없는 경우, 하청업체는 정보 주체가 정보 송신자 또는 정보 수신자에게 하는 것처럼 하청업체에게 본 조항에 따른 하청업체의 자체 처리 작업과 관련해 보상을 청구할 수 있음을 동의합니다. 단, 후임 업체가 계약 또는 법적 규정에 의해 정보 송신자 또는 정보 수신자의 모든 법적 책임을 지게 된 경우, 정보 주체는 이러한 권리를 해당 업체에게 행사할 수 있습니다. 하청 처리업체의 책임은 본 조항에 따른 업체의 자체 처리 작업으로 제한됩니다.

1. 정보 수신자는 정보 주체가 제3자 수혜자 권리를 적용하거나 본 조항에 따라 손해 보상을 청구하는 경우, 다음과 같은 정보 주체의 결정을 받아들일 것에 동의합니다.
   1. 외부인 또는 감독 기관(해당될 경우)에 분쟁에 대한 중재를 회부합니다.
   2. 정보 송신자가 있는 회원 국가의 법원에 분쟁을 회부합니다.
2. 당사자들은 정보 주체의 선택이 국내법 또는 국제법의 기타 규정에 따라 해결책을 모색하기 위한 실질적 및 절차적 권리를 침해하지 않을 것에 동의합니다.

조항 8

감독 기관과의 협력

1. 정보 송신자는 해당 개인정보 보호법에 따라 요구되거나 요청이 있는 경우 감독 기관에 본 계약서 사본을 맡길 것에 동의합니다.
2. 당사자들은 해당 개인정보 보호법에 따라 감독 기관이 정보 송신자의 감사에 적용되는 것과 동일한 범위와 동일한 조건으로 정보 수신자 및 하청업체에 대해 감사를 실시할 권한을 가짐을 동의합니다.
3. 정보 수신자는 상기 2항에 따른 감사에 적용되는 법이 있거나 정보 수신자 또는 그 하청업체에 대한 감사의 실시를 막는 하청업체가 있을 경우 이를 즉시 정보 송신자에게 알립니다. 이 경우 정보 송신자는 조항 5 (b)에 예견된 조치를 취할 수 있습니다.

본 조항에는 정보 송신자가 있는 회원 국가의 법이 적용됩니다.

당사자들은 본 조항을 변경하거나 수정하지 않습니다. 이는 당사자들이 필요한 경우 본 조항과 모순되지 않는 범위에서 업무와 관련한 조항을 추가하는 것을 제한하지 않습니다.

1. 정보 수신자는 정보 송신자의 사전 서면 동의 없이 본 조항에 따라 정보 송신자를 대신해 수행하는 처리 작업을 하청하지 않습니다. 정보 수신자가 정보 송신자의 동의를 받아 본 조항에 따른 의무를 하청할 경우, 이는 본 조항에 따라 정보 수신자에 부과되는 것과 동일한 의무를 하청업체에 부과하는 서면 계약을 하청업체와 체결할 경우에만 가능합니다³. 하청업체가 해당 서면 계약에 따른 정보 보호 의무를 이행하지 못할 경우, 정보 수신자는 해당 계약에 따른 하청업체의 의무 이행과 관련하여 정보 송신자에 대한 모든 책임을 집니다.
2. 정보 송신자 또는 정보 수신자가 사실상 없어졌거나 법적으로 더 이상 존재하지 않거나 파산했으며, 계약 또는 법적 규정에 의해 정보 송신자 또는 정보 수신자의 모든 법적 책임을 지는 후임 업체가 없기 때문에 정보 주체가 정보 송신자 또는 정보 수신자에게 조항 6의 1항에 따른 보상을 청구할 수 없는 경우, 정보 수신자와 하청업체 간 사전 서면 계약은 또한 조항 3에 규정된 제3자 수혜자 조항을 제공합니다. 이러한 하청업체의 제3자 책임은 본 조항에 따라 업체의 자체 처리 작업으로 제한됩니다.
3. 1항에 언급된 계약의 작업 하청에서 정보 보호 측면과 관련된 조항에는 정보 송신자가 있는 회원 국가의 법이 적용됩니다.
4. 정보 송신자는 본 조항에 따라 체결되고 조항 5(j)에 따라 정보 수신자가 통지한 하청 계약 목록을 보관하며, 1년에 한 번 이상 업데이트합니다. 이 목록은 정보 송신자의 정보 보호 감독 기관에게 제공할 수 있습니다.

개인 정보 처리 서비스 종료 후 의무

1. 정보 처리 서비스 제공을 종료할 경우 정보 수신자 및 그 하청업체는 정보 송신자의 선택에 따라 전송된 개인 정보 및 그 사본을 모두 정보 송신자에게 반납하거나 모든 개인 정보를 파기하고 이 사실을 정보 송신자에게 증명할 것에 당사자들은 동의합니다. 단, 해당 법에 따라 정보 수신자가 전송된 정보의 전부 또는 일부를 반납하거나 파기할 수 없는 경우는 제외합니다. 이 경우 정보 수신자는 전송된 개인 정보의 기밀 유지를 보증하고 전송된 개인 정보에 대해 더 이상 처리 작업을 하지 않을 것임을 보증합니다.
2. 정보 수신자 및 하청업체는 정보 송신자 및/또는 감독 기관이 요청할 경우, 1항에서 정한 조치 감사를 위해 해당 정보 처리 시설을 제공할 것을 보장합니다.

A~C절 및 부록에서 사용되나 조항에서 정의되지 않은 대문자로 된 용어는 정보 송신자와 Dropbox International Unlimited Company 간에 체결된 Dropbox Business 계약에서 부여된 의미를 가집니다.

1. 보안 감사. 정보 수신자는 외부 감사자(제3자)가 발급한 ISO/IEC 27001:2013 및 ISO/IEC 27018:2014 인증서를 유지합니다. 정보 수신자는 해당 기간 동안 계속해서 본 서비스에 대한 이러한 인증을 유지하는 데 필요한 ISO/IEC 27001:2013 및 ISO/IEC 27018 감사를 정기적으로 받습니다. 또한 정보 수신자는 SOC 2(Service Organization Control 2) Type II 감사를 정기적으로 받습니다. 정보 수신자의 기밀 정보 유지 의무에 따라 정보 수신자는 서면으로 요청 받을 경우 일년에 한 번 정도 정보 송신자에게 SOC 2 Type II 보고서 사본을 제공합니다. 정보 수신자는 정보 수신자의 기밀 정보 유지 요구사항에 따라 새 SOC 2 보고서가 완성되면 이를 제공합니다. 정보 수신자는 하청 서비스 업체(제3자)를 정기적으로 검토합니다. 해당 업체는 해당 보안 정책, 절차 및 통제 기능의 설계 및 효과를 평가하는 SSAE 16(Standards for Attestation Engagements No. 16)/ISAE 3402(International Standard on Assurance Engagements No. 3402) SOC 1(Service Organization Control 1) Type II 또는 SOC 2(Service Organization Control 2) Type II 감사를 받습니다.

   정보 송신자는 본 A절에 명시된 정보 수신자의 의무가 조항 5(f) 및 조항 12(2)에 따른 감사 권리를 충분히 충족시켜야 한다는 데 동의합니다.

2. 하청 처리. 정보 수신자는 정보 수신자를 대신해 서비스를 일부 제한적으로 제공(지원 서비스 포함)하는 다른 업체를 고용할 수 있으며, 정보 송신자는 본 조항에 설명된 대로 정보 수신자가 개인 정보의 처리 서비스를 이러한 하청업체에 하청한다는 데에 동의합니다. 정보 수신자는 모든 하청업체가 정보 수신자와 하청업체 간에 체결된 서면 계약서에 명시된 서비스를 제공하기 위한 용도로만 개인 정보에 액세스하고 이를 이용하도록 보장해야 합니다. 정보 송신자는 정보 수신자와 하청업체 간의 하청 계약이 적어도 본 Dropbox Business 계약에서 요구하는 수준의 정보 보호를 보장할 경우, 하청업체와의 계약과 관련하여 본 조항에 따라 정보 수신자에게 적용되는 모든 요구사항이 완전히 충족되어야 함을 인정합니다.
3. 책임. 본 조항은 Dropbox Business 계약의 '책임의 한계' 절에 포함된 책임의 한계 및 책임 배제의 적용을 받습니다. 따라서 정보 수신자와 Dropbox International Unlimited Company를 합친 모든 책임은 본 Dropbox Business 계약에 명시된 한계를 초과하지 않습니다. 의심의 소지를 없애기 위해 분명히 하자면 정보 송신자는 동일한 손실에 대해 정보 수신자와 Dropbox International Unlimited Company 중 한 곳으로부터만 손해 배상을 받을 수 있습니다.

본 부록은 본 조항의 일부이며, 양 당사자가 작성하고 서명해야 합니다.

회원 국가는 국가별 절차에 따라 본 부록에 추가해야 할 정보를 기재하거나 명시할 수 있습니다.

정보 송신자

정보 송신자는 다음과 같습니다.
(정보 전송과 관련한 작업에 대해 여기에 간단히 기재):

Dropbox International Unlimited Company와 Dropbox Business 계약을 체결한 고객

정보 수신자

정보 수신자는 다음과 같습니다.
(정보 전송과 관련한 작업에 대해 여기에 간단히 기재):

Dropbox, Inc.는 전 세계적으로 개인 및 기업에 클라우드 서비스를 제공하는 글로벌 업체입니다. Dropbox, Inc.와 그 계열사는 파일을 저장하고, 파일을 여러 장치 간에 동기화하며, 다른 사람들과 협업할 수 있는 웹사이트, 소프트웨어 및 모바일 앱을 제공합니다. 또한, Dropbox, Inc.의 서비스는 API(애플리케이션 프로그래밍 인터페이스)를 통해서도 액세스할 수 있습니다.

정보 주체

전송되는 개인 정보는 다음과 같은 범주의 정보 주체와 관련되어 있습니다.
(여기에 기재):

정보 송신자 및 그 계열사의 최종 사용자. 여기에는 정보 송신자의 직원, 고문, 계약업체 및 정보 수신자가 제공하는 서비스를 통해 이들 최종 사용자와 협업 또는 공유하는 모든 개인이 포함됩니다.

정보 범주

전송되는 개인 정보는 다음과 같은 범주의 정보와 관련되어 있습니다.
(여기에 기재):

최종 사용자가 식별하는 정보 및 조직 정보(온라인 및 오프라인 둘 다) 및 최종 사용자가 정보 수신자의 서비스를 통해 전자적 형태로 전송 또는 저장하는 문서, 이미지 및 기타 콘텐츠 또는 정보

처리 작업

전송되는 개인 정보에는 다음과 같은 기본 처리 작업이 적용됩니다.
(여기에 기재):

Dropbox Business 계약에 따라 본 서비스를 제공하기 위해 정보 수신자 또는 그 하청업체는 개인 정보를 이용하고 처리하며, 정보 송신자는 정보 수신자에게 개인 정보를 이용하고 처리하도록 지시합니다.

본 부록은 본 조항의 일부이며, 양 당사자가 작성하고 서명해야 합니다.

조항 4(d) 및 5(c) 또는 첨부된 법적 서류에 따라 정보 수신자가 시행하는 기술적 및 체계적 보안 조치에 관한 설명:

개인 정보 보호 연락 담당자

정보 수신자의 개인 정보 보호 담당자는 privacy@dropbox.com으로 연락할 수 있습니다.

보안 조치

정보 수신자는 Dropbox Business 보안 백서(영문)(https://www.dropbox.com/…/Security_Whitepaper.pdf에서 해당 시행일에 제공)에서 설명되고 아래 추가로 명시된 바대로 개인 정보를 보호하기 위한 관리적, 기술적 및 물리적 보호 수단을 마련했으며 이를 지속적으로 유지합니다. 정보 수신자는 수시로 이러한 보안 조치를 업데이트하며, 상기 URL(또는 정보 수신자가 알려주는 다른 URL)에 가장 최신 버전을 제공합니다. 단, 정보 수신자의 이러한 보안 조치 업데이트로 인해 그에 설명된 또는 본 부록 2에 설명된 관리적, 기술적 및 물리적 보안 조치를 물리적으로 약화시킬 경우 이를 정보 송신자에게 통지합니다.

1. 서비스 보안
   1. Dropbox 아키텍처. 정보 수신자의 서비스는 정보 전송, 암호화, 네트워크 구성 등 여러 단계에 걸쳐 보안 기능이 구축되어 있으며, 확장 가능한 보안 인프라 전반에 애플리케이션 수준의 보안 통제가 구축되어 있습니다. 정보 수신자가 제공하는 서비스의 최종 사용자는 컴퓨터, 웹 및 모바일 클라이언트를 통해 언제든지 파일과 폴더에 액세스할 수 있습니다. 이러한 클라이언트는 모두 보안 서비스와 연결되어 사용자가 파일에 액세스하고, 다른 사람들과 파일을 공유할 수 있도록 해줍니다. 또한, 파일이 추가, 변경 또는 삭제될 때마다 연결된 장치를 업데이트합니다. 이 서비스는 많은 인터페이스를 통해 이용하고 액세스할 수 있습니다. 각 인터페이스는 정보에 쉽게 액세스하도록 해줄 뿐 아니라 정보를 처리하고 보호할 수 있는 보안 설정 및 기능을 갖추고 있습니다.
   2. 안정성. 정보 수신자의 서비스는 정보 손실을 방지하고 서비스의 가용성을 보장하기 위해 여러 단계에서 다중화 구조로 구축되어 있습니다.
   3. 암호화. 정보 송신자와 정보 수신자 간에 전송되는 정보를 보호하기 위해 정보 수신자는 정보를 전송할 때 128비트 이상 AES(고급 암호화 표준) 암호화로 보호된 보안 터널을 생성하는 SSL(Secure Sockets Layer)/TLS(전송 계층 보안) 기술을 사용합니다. 저장되는 파일 데이터는 256비트 AES 암호화를 사용하여 암호화됩니다. 정보 수신자의 암호화 키 관리 인프라는 키에 대한 직접적인 액세스를 극히 제한함으로써 운영, 기술, 절차 상의 보안을 통제하도록 설계되었습니다. 암호화 키를 생성, 교환 및 저장하는 과정은 분산 처리됩니다.
   4. 사용자 관리 기능. 정보 수신자가 제공하는 서비스의 최종 사용자는 손실된 파일을 복원하고 변경된 파일을 이전 내용으로 되돌릴 수 있습니다. 따라서 중요한 파일의 변경 내용을 추적하고 검색할 수 있습니다. 정보 수신자의 서비스는 2단계 인증 절차를 사용하므로 보호 기능이 한층 더 강화됩니다.
   5. 데이터 센터. 정보 수신자의 기업 및 운영 시스템은 하청 서비스 업체(제3자)의 데이터 센터에 상주해 있으며, 해당 업체는 미국에 소재해 있습니다. 정보 수신자는 모든 하청 서비스 업체의 데이터 센터에서 보안 통제가 충분히 이루어지는지 확인하기 위해 데이터 센터에 대한 SOC 1 및/또는 SOC 2 보고서를 최소 일년에 한 번씩 검토합니다.
2. 정보 보안.
   1. 정책. 정보 수신자는 정보 보안, 물리적 보안, 사고 대응, 논리적 접근, 물리적 시설 액세스, 변경 관리 및 지원에 대한 철저한 보안 정책을 마련했습니다. 이러한 정책은 최소 일년마다 검토를 거쳐 승인을 받아야 합니다. 정보 수신자의 담당자는 해당 정책이 업데이트될 때마다 통지 받으며, 보안 교육을 받습니다.
   2. 인력 관리 정책 및 액세스. 정보 수신자의 내부 정책은 신원 조회(지방 법에서 허용하는 경우), 보안 정책 확인, 보안 정책 업데이트 시 통지, 비밀 유지 계약을 포함한 온보딩 절차를 요구합니다. 직원 또는 계약업체가 퇴사할 경우, 이들의 모든 액세스 권한은 즉시 해지됩니다. 정보 수신자는 기술적 액세스 통제 및 내부 정책을 통해 직원 또는 계약업체가 파일 데이터에 임의로 액세스하지 못하도록 하며, 최종 사용자 계정의 메타데이터 및 기타 정보에 액세스하는 것을 제한합니다. 최종 사용자의 개인 정보를 보호하고 보안을 유지하기 위해 소수의 직원 또는 계약업체만 최종 사용자 파일을 저장하는 환경에 액세스할 수 있습니다. 액세스 요청, 사유 및 승인 내역은 관리자에 의해 기록되며, 액세스 권한은 자격을 갖춘 담당자에 의해 부여됩니다.
   3. 네트워크 보안. 정보 수신자는 여러 단계에 걸쳐 정보를 보호 및 방어할 수 있는 네트워크 보안 및 모니터링 기술을 유지 및 관리합니다. 정보 수신자는 방화벽, 네트워크 보안 모니터링, 침입 감지 시스템 등 업계 표준 보호 기술을 사용하여 적합한 트래픽만 정보 수신자 인프라에 접근할 수 있도록 합니다.
   4. 변경 관리. 보안과 관련된 변경의 경우, 정보 수신자는 먼저 이를 승인 받은 후에 운영 환경에 적용하도록 해야 합니다. 정보 수신자의 애플리케이션 또는 서비스를 향상시킬 목적으로 소스 코드를 변경할 경우 담당 개발자가 이를 수행합니다. 정보 수신자의 인프라 변경은 허가 받은 인력만 수행하도록 제한됩니다. 서비스의 애플리케이션 수준 변경은 보안 요구사항을 충족하는지 검증하기 위해 자동화된 QA(품질 관리) 테스트 절차를 거쳐야 합니다. QA 테스트를 통과한 후에는 해당 변경을 적용할 수 있습니다.
   5. 규정 준수. 정보 수신자, 정보 수신자의 데이터 센터 공급업체, 관리 서비스 업체는 정기적으로 외부인(제3자)에 의한 보안 감사를 받습니다. 정보 수신자는 지속적으로 ISO/IEC 27001:2013 및 ISO/IEC 27018:2014 정기 감사에 참여합니다. 또한, 정보 수신자는 모든 하청 서비스 업체의 SOC 1 및/또는 SOC 2 보고서를 검토합니다. 하청 서비스 업체가 SOC 1 및/또는 SOC 2 보고서를 제공하지 못할 경우, 정보 수신자는 보안 시설 현장을 방문하여 보안 시설에서의 물리적, 환경적, 운영적 보안 통제가 해당 보안 관리 기준 및 계약 상의 요구사항을 충족하는지 확인합니다. 정보 수신자는 추가적인 인증서 및 준수 증명서를 평가하며, 하청 서비스 업체는 이를 정보 수신자에게 지속적으로 제공합니다.
3. 물리적 보안
   1. 인프라. 운영 시스템이 상주해 있는 하청 서비스 업체 시설에 대해서는 정보 수신자가 허가한 인력만 업무를 수행하기 위해 필요할 때에 물리적으로 액세스할 수 있도록 제한됩니다. 운영 시설에 액세스하기 위해 별도의 권한이 필요한 개인의 경우, 자격을 갖춘 관리자의 명시적 승인을 통해 액세스할 수 있습니다.
   2. 사무실. 정보 수신자는 물리적 보안 정책을 시행하고 정보 수신자의 회사 사무실 보안을 감독하는 물리적 보안팀을 유지 및 관리합니다. 회사 내 정보 처리 서비스 구역은 출입 보안 시스템을 통해 허가 받은 담당자만 접근할 수 있도록 제한합니다.