更新日期:2025 年 2 月 28 日
生效日期:2025 年 2 月 28 日
变更修订内容告知说明:
此版本主要更新内容包括:(1)依法调整个人信息保存年限;(2)突出显著标识个人信息、个人敏感信息。
本政策适用于SZCA官网(网址:www.szca.com)、官网中的网上营业厅(网址:wt.szca.net)、SZCA在第三方平台注册运营的官方移动应用小程序、公众号,如SZCA微信企业公众号”深圳CA”(微信号:SZCA6688)及”深圳CA动态“(微信号:gh_3370f25a0a3),SZCA企业微信小程序"深圳CA"等业务平台为您提供的数字证书、电子印章等各项产品服务。
深圳市电子商务安全证书管理有限公司(简称”SZCA“、“深圳CA”、“我司”)成立于2000年,注册地址:深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦9层01、02、03、04-1、06、07、08号房。如果您对本政策有任何疑问、意见或建议,请通过以下联系方式与SZCA联系:
1) 公司名称:深圳市电子商务安全证书管理有限公司
2) 个 人 信 息 保 护 机 构 及 联 系 方 式 : 深 圳 CA 技 术 部 门 ,PUB_JRYZTSZCAJSZX@ocft.com
3) 联系电话:0755-26588388、4001123838
4) 联系邮箱:kfzz@szca.com.cn
5) 邮寄地址:深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦9层01、02、03、04-1、06、07、08号房
前言
感谢您对深圳市电子商务安全证书管理有限公司(以下简称“SZCA”或“我司”)的信任。我司深刻认识并理解个人信息对您的重要意义,并通过技术、政策、制度、流程等多项措施加强个人信息安全及保护。《SZCA个人信息保护政策》(以下简称“本政策”)将向您说明我司如何收集、存储、使用及对外提供、转让您的个人信息,并说明您所享有的访问、更正、删除、改变授权同意范围、账户注销、获取个人信息副本等权利,主要要点如下:
1、 为了向您提供产品和服务,SZCA按照合法、正当、必要和诚信的原则开展个人信息处理活动,具体包括:权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则;
2、 SZCA将结合具体的产品和服务功能,向您逐一说明所收集的信息类型与用途;
3、 为向您提供某些产品与/或服务之目的,我司可能需要将您的个人信息向第三方提供并由其处理。我司将在评估并确认第三方满足收集个人信息的合法、正当、必要性之后,向第三方提供您的个人信息,并要求其按照法律、法规的规定及国家标准,对您的个人信息采取严格的保护措施。
4、 将您的个人信息向第三方提供之前,我司将通过弹窗确认、点击勾选等方式征得您的单独同意,但依法无需获得授权同意的场景除外。因向您提供产品与/或服务所需,我司拟超出原本的获得的授权同意范围处理您的个人信息前,将会再次征得您的同意。
5、 您可以通过本政策所列的方式实现您对个人信息的有关权利,您也可以在权利受到侵害的情形下向我司进行举报。
第一部分 定义
1. 业务平台:包括域名为 szca.com 或网址为 https://www.szca.com 的网页及名称包括或含有深圳 CA、SZCA(或其变更使用的其他官方名称或简称)的网站、移动应用程序(如微信小程序)、公众号、H5 等 SZCA 注册、并运营的自有客户服务平台,包括 SZCA官网(网址为:www.szca.com)、SZCA 官网的网上营业厅(网址为: wt.szca.net)、SZCA 微信企业公众号“深圳 CA”(微信号:SZCA6688)及”深圳 CA 动态“(微信号:gh_3370f25a0a3),SZCA 企业微信小程序"深圳 CA"。
2. 个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。本政策中所涉个人信息将采用划线加粗方式标注提示。
3. 有权的国家机关、企事业单位或其他组织:拥有合法资质的数据库运营机构,包括公安部、银联、国家工商部门、运营商、征信机构,及其代理商、关联公司等。
4. 关联公司:控制某一实体、受某一实体控制或与某一实体处于共同控制下的公司、机构。“控制”指通过所有权、有投票权的股权、合同、实际运营关联或其他被依法认定的方式直接或间接拥有影响对被控制对象管理/经营的能力。
5. 敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及儿童的个人信息。本政策中所涉敏感个人信息将采用划线加粗及星号方式标注提示。
6. 儿童:不满十四周岁的未成年人。
第二部分 个人信息保护政策
在使用 SZCA 官网、网上营业厅、官方企业公众号或移动应用小程序提供的产品与/或服务或业务平台前,请您仔细阅读并了解《SZCA 个人信息保护政策》,特别是加粗字体的条款,您应当重点阅读,在充分理解后开始使用业务平台。如您不同意本政策的任何条款,请停止使用 SZCA 的产品和服务。一旦您以在线点击、勾选等数据电文的方式同意签署本政策,或实际使用、在 SZCA 发布或修订新隐私保护政策后继续使用 SZCA 公司业务平台或其相关产品和服务,即表示您认可并接受本政策,并同意 SZCA 按本政策收集、使用、保存和处理您的相关信息。
本政策将帮助您了解详细内容:
一、我司如何收集和使用您的个人信息
二、我司如何保存您的个人信息
三、我司如何使用 COOKIE 和同类技术
四、我司如何委托处理、提供、转移、公开披露您的个人信息
五、我司如何保护您的个人信息
六、您的权利
七、我司如何处理与保护儿童的个人信息
八、本政策如何更新
九、如何联系我司
一、 我司如何收集和使用您的个人信息
根据相关法律、法规和监管要求,遵循合法、正当、必要的原则,我司基于以下目的,收集和使用您的个人信息。该等个人信息因您使用业务平台具体产品与/或服务而向我司主动提供,或因您使用我司的产品与/或服务或业务平台而由我司收集,或由我司向第三方获取。无论哪种方式,原则上都在获取您的同意后进行,除非法律另有规定或者基于保护您或者其他人的重要利益。您可以选择不提供信息,或仅提供部分的信息,但这可能导致您无法使用,或无法正常使用业务平台全部的产品与/或服务。
(一)基本业务功能
1.用户注册登录与管理
1.1 账户注册登录:
在注册我司业务平台账户时,您提交的手机号码作为业务平台注册的账户名,为账户注册的必要信息,后续我司可能提供填写提交个人姓名、身份证号码*、电子邮箱作为账户名的注册方式。账户名是您登录平台的凭证或身份标识,经设置与前述账户名配对关联的账户密码,您可通过姓名、手机号码、身份证号码*、电子邮箱、密码、手机短信或电子邮箱验证码实现账户的登录。而在业务平台注册登录提供回填验证码的登录方式,或您选择输入验证码的业务平台登录方式时,您的手机号码、电子邮箱将作为接收验证码的工具,保障您可以完成注册码验证从而注册登录业务平台。
您在注册、登录业务平台时,需填写提供您本人真实完整准确合法的个人信息资料,并保证用于接收注册或登录验证信息的手机号码、电子邮箱为您本人实际控制使用。您知悉并同意授权我司为进行账户注册登录认证,通过电信运营商或短信服务商向您注册时提交的手机号码、电子邮箱发送验证短信或邮件。一旦您回填准确的验证码,即视为手机号码或电子邮箱为您本人注册所有及控制使用。
您不得将个人手机号码、电子邮箱、身份证件*信息出售、出租、出借、转授权给第三方使用,也不得将业务平台相关验证码、密码泄露、提供给第三方,否则由此产生的法律责任和后果由您本人承担。
1.2 账户实名认证:
您注册我司的业务平台账户时,根据国家互联网实名制、网络信息安全管理的要求,SZCA 将可能收集您的姓名、身份证号码*、手机号码、电子邮箱,或身份证件影印材料*(含身份证正反面图片*,或身份证扫描件*)。其中姓名、身份证号码、身份证件*,SZCA 收集您的这些信息,主要用于网站用户实名注册的身份核验,在核验您的身份时,SZCA 会将采集到的您的身份信息,提交至有权的国家机关、企事业单位或其他组织(如具备合法资质的数据服务商)等身份验证机构处进行验证,并获取验证结果,该等信息也将作为发生业务风险行为您进行账户解锁、提高账号安全等级等操作时验证为您本人操作的核验方式之一。若您不提供这类信息,将无法正常完整使用业务平台全部产品和服务或使用部分需要实名认证产品服务。
1.3 账户运行安全管理:
为了确保业务平台账号的安全性,在您登录、使用业务平台的过程中,SZCA 可能需要收集您的移动设备、软件、网页浏览器或用于接入 SZCA 服务的其他程序有关常用设备信息及设备操作日志信息,对您进行身份验证、反欺诈检测检查的账号安全运营管理。
(1) 常用设备信息:唯一设备识别码、IP 地址、MAC 地址、网络类型、运营商类型、WIFI 状态、设备端口、系统设置、系统属性、设备名称、设备型号、设备品牌、设备序列号、设备厂商、操作系统。
(2) 设备操作日志信息:包括使用业务平台产品服务的情况,如访问日期时间、访问登录记录、APP 安全使用信息、认证日志、业务办理与应用记录。
如您需要找回、修改密码,您需要通过注册登录的手机号码或电子邮箱接收并回填验证码进行验证。
本款所述信息为设备账号安全运行服务保障所必要的个人信息。
2.业务应用与管理
2.1 业务办理的实名认证
在您通过本业务平台向 SZCA 申请办理 SZCA 的数字证书、电子印章相关产品与/或服务的,您同意按照 SZCA 的业务办理要求及流程,主动填写或提交如下信息:
(1) 本人的姓名、身份证号码*、手机号码、电子邮箱,身份证影印材料*(含身份证正反面图片*,或身份证扫描件*)、联系地址、职务(办理机构个人证书的必要信息)、本人手持身份证照*、人脸识别信息*(含人脸图片/视频*)、银行卡账号*、银行预留手机号码;
(2)您所代表的机构的名称、统一社会信用代码(即营业执照号码、纳税人识别号、税务登记证号)、营业执照/统一社会信用代码证/法人登记证等登记注册证照影印材料(含营业执照图片、营业执照扫描件)、联系地址、联系方式、银行基本户或银行账户的名称、账号、开户行、纳税人识别号,及法定代表人/负责人姓名、身份证号码*、手机号码、人脸识别信息*(含人脸图片/视频*)【如办理机构类业务】;
(3) 您受托申请办理业务的个人委托人的姓名、身份证号码*、手机号码、身份证影印材料*(含身份证正反面图片*,或身份证扫描件*)【如办理机构个人类业务】;
(4)您的个人手写签名轨迹图片*,或所代表机构的章模图片、机构法定代表人/负责人的手写签名轨迹图片*,或您的个人委托人的手写签名轨迹图片(如办理电子印章业务)。
注:
a)身份证,是有效个人身份证件的统称,包括:中国大陆居民的身份证*、港澳居民来往内地通行证*、台湾居民来往大陆通行证*、华侨护照*、外国人永久居留身份证*、台湾居民身份证*、香港居民身份证*、外国公民护照*等任一有效身份证件。
b) 身份证号码,包括中国大陆居民的身份证*、港澳居民来往内地通行证*、台湾居民来往大陆通行证*、华侨护照*、外国人永久居留身份证*、台湾居民身份证*、香港居民身份证*、外国公民护照*等任一有效身份证件的证件号码。
c) 本处所指的身份证,仅表示 SZCA 认可的具有法律效力的身份证明文件,SZCA 业务平台支持上传身份证或填写提交身份证号码,并不代表您可实际使用该种类身份证件办理SZCA 业务,具体业务办理材料请按 SZCA 项目业务办理指南要求操作提交。
如您提交的非本人的个人信息,请您务必获得个人信息主体本人的合法有效授权,确保其同意您向我司提交其个人信息以办理数字证书、电子印章等业务。否则因您冒用、盗用他人个人信息申请办理的业务,及获取使用我司产品和/或服务产生的法律责任和后果将由您本人承担。
SZCA 制作签发数字证书、电子印章及为您提供其他数字证书、电子印章管理服务前,需要对您提交的包括但不限于您本人、您所代表的机构(含机构法定代表人/负责人)、及您的个人授权委托人身份信息的真实性有效性,手机号码的真实性可用性等个人信息进行验证,包括验证身份证明材料的真实性、准确性及完整性,鉴别申请人身份的真实性、业务办理意愿或授权的真实性有效性。
为实现前述业务实名认证审核的目的,您同意我司可以自行或委托第三方合作机构向依法有权保存您个人身份信息的国家机关、企事业单位或其他组织,及其授权代理机构等第三方机构提供、查询、验证您的个人信息,验证方式包括公安认证(函公安实名认证、公安实人认证)、电信运营商认证、银联认证、人脸识别认证、金融打款验证等,并同意第三方合作机构、第三方机构在前述目的范围内使用、查询、验证您的个人信息并返回验证结果给SZCA。且您同意,或您保证您已取得所代表的机构或个人委托人的授权并有权代表委托人授权同意:SZCA 在认定有需要时,可通过电话确认、人脸识别认证、手机短信验证、金融账户打款验证等方式,与申请人或申请人的法定代表人/负责人等相关人员核实业务授权情况。
SZCA 将您提交的申请认证所需的前述个人信息,及从第三方处收集验证的信息,统一汇集,进行比较甄别,在确认您身份真实性的基础上,据此作出数字证书、电子印章签发等业务办理决定。SZCA 将为您签发包含您的真实姓名、地址(包括户籍所在地或经常居住地地址信息,具体到省、市)真实个人信息的数字证书。特定类型数字证书,如场景证书或其他用户定制的证书,也将写入您的设备信息或其他您需要载入用户证书的信息。若您不提供这类信息,将无法申请、使用 SZCA 的数字证书、电子印章等产品和服务。
您填写提交的邮寄地址信息,将作为接收 SZCA 产品和/服务(如数字证书或电子印章介质)、业务办理通知文件(如有)或纸质发票收货地址。
2.2 业务应用的安全控制
为了保障数字证书、电子印章等产品和/或服务使用的安全性,确保数字证书、电子印章由您本人接收受领、保管或控制使用,SZCA 将通过密码验证、短信 OTP 验证、人脸识别认证或金融打款验证,或需要您拍摄手持身份证、数字证书/电子印章介质或签收单等其中一种或多种方式,核验您的身份,确认数字证书、电子印章使用(含签署、加密、登录等)相关行为均由您本人操作进行,数字证书、电子印章操作指令由您本人发出。为进行数字证、电子印章领取、使用的实名身份验证,您同意我司可以通过您自行填写、通过移动设备采集、或通过向保存您有关信息政府机构、企事业单位或其他组织查询并获取您的姓名、身份证号码*、手机号码、人脸识别信息*,进行相关的比对核验。
2.3 业务管理服务的实名制
在您申请办理数字证书、电子印章撤销、挂起、冻结、更新、吊销等证书生命周期管理服务,或提出办理数字证书、电子印章资料调取、或数字证书/电子印章证明开具等业务需求时,SZCA 将核实您的身份,确保为您本人申请,方会为您办理业务,以保障用户数字证书、电子印章等产品和/或服务的安全使用,或保障您的个人信息和业务信息的安全。在您使用本项产品和/或服务或功能时,SZCA 收集和使用您的个人信息,按照上述 2.1 的规定进行。您提供的上述信息,将在您使用本项产品与/或服务期间持续授权我司使用。在您停止使用我司的服务或产品时,我司将停止使用您的该项信息,并在按法律保存法定期间后予以删除。关于保存期限,详见本政策“二、我司如何保存您的个人信息”。
(二)扩展业务功能
1.服务通知推送
您知悉并同意,对于您在使用我司业务平台过程中提供的您的一种或多种联系方式(如:联系电话、电子邮箱、联系地址),我司在运营中可能会向其中的一种或多种发送多类通知,用于业务服务消息通知(含业务受理通知、业务应用安全通知)、身份验证、安全验证用途。必要时,根据您在业务平台产生的业务交易记录、行为信息,也将推送数字证书/电子印章续期、数字证书/电子印章密钥更新等业务提醒通知。
您可以通过短信回复或电话通知等方式向我司提出关闭、停止通知推送相关服务。
2.客服服务
当您使用客户服务功能(包括咨询、投诉、回访)时,我们将为您提供在线客服服务,根据您咨询的不同内容,您需要向我们提供业务平台账号、姓名/名称、手机号码、固定电话、电子邮箱、数字证书序列号,并对您的身份信息进行核验,在验证过程中,您可能还需要向我们提供相应的证明材料(包括图片、视频或文本)、其他备用的联系方式。此外,当您通过拨打人工客服寻求帮助时,您同意我们留存您与客服的通话记录与录音,以便为您处理咨询或投诉的问题提供准确性保障与证据留存。如果您不提供前述信息,您将无法通过此得到问题的及时反馈结果,但不影响您使用其他功能。
3.营销推广
我们可能会开展用户问卷调研、活动促销、商业推广等市场营销活动,如您主动点击活动链接、扫描活动二维码或填写提交活动问卷等方式提交您的个人信息,我们可能会将通过活动获得的您的相关个人信息,用于您同意参与的商业营销活动。您可以通过短信回复或电话通知等方式向我们提出关闭、停止商业营销推广服务。
(三)设备权限
在使用 SZCA 业务平台的过程中,会调用您的相关设备权限,您可以在设备或浏览器设置功能中选择关闭全部或部分权限,并选择其他方式办理 SZCA 业务、使用 SZCA 产品和/或服务。
(1)当您使用拍照上传、本地图片上传、本地文件上传等功能上传身份证件/营业执照/统一社会信用代码证/法人登记证图片或文件、签名签章图片等申请材料时,我们会在您授权同意后获取设备的相机/摄像头权限、相册权限、文件读取存储权限。拒绝提供该权限会使您无法正常使用相关上传功能。
(2)当您使用设备的二维码扫描、身份证识别、人脸识别认证功能时,我们会在您授权同意后,获取设备的相机/摄像头录像权限、相册权限、文件读取存储权限、麦克风录音权限。拒绝提供该权限会使您无法正常使用二维码扫描、人脸识别认证功能。
请您注意,您开启这些权限即代表您授权我行可以收集和使用这些信息来实现上述功能,如您取消了这些授权,则我行将不再继续收集和使用您的这些信息,也无法为您提供上述与这些授权所对应的功能。
(四)其他个人信息处理规则
4.1 在收集您的个人信息后,我司会立即通过技术手段对数据进行去标识化处理,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的内部权限管理,去标识化处理的个人信息将无法用于识别您的身份。请您了解,在不对外提供您个人信息的前提下,我司有权对数据库中去标识化的数据进行统计、分析,为我司的商业决策提供产品与/或服务支持,以及改进我司的产品与服务。
4.2 请您注意,您在使用我司的产品与/或服务时所提供的所有个人信息,除非您已经停止使用我司的产品与/或服务,并向我司提出撤回对使用您个人信息的授权同意,否则我司有权持续使用有关的个人信息。
4.3 我司会对我司的产品与/或服务使用情况进行统计,并可能会与公众或第三方共享这些统计信息,以展示我司的产品与/或服务的整体使用趋势。但这些统计信息将采用脱敏、去标识化、匿名化等方式处理并将不包含您的任何身份识别信息。
4.4 当我司业务平台展示您的个人信息时,我司会采用包括内容替换、假名处理方式对您的信息进行脱敏,以保护您的信息安全。
4.5 当我司要将您的个人信息用于本政策未载明的其它用途时,或基于特定目的收集而来的信息用于其他目的时,我司会通过页面弹窗、勾选点击或其他合理的方式征求您的同意。
4.6 征得授权同意的例外:根据法律法规及国家机关的监管要求,在以下情形中, 我司的业务平台收集、使用个人信息无需征得您的授权同意:
● 与国家安全、国防安全有关的;
● 与公共安全、公共卫生、重大公共利益有关的;
● 与犯罪侦查、起诉、审判和判决执行等有关的;
● 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
● 所收集的个人信息是个人信息主体或监护人自行向社会公众公开的;
● 从合法公开披露的信息中收集的您的个人信息的,如合法的新闻报道、政府信息公开等渠道;
● 根据您的要求签订合同所必需的;
● 用于维护所提供的产品与/或服务的安全稳定运行所必需的,例如发现、处置产品与/或服务的故障;
● 法律法规规定的其他情形。
二、我司如何保存您的个人信息
1.存储地点与存储期限
您的个人信息将存储于中华人民共和国境内。
在您申请数字证书及使用其相关服务时, SZCA对于为您提供认证服务所收集、产生的您的相关个人信息将进行保存,且保存时间在提供产品与/或服务期间将一直持续;并且按照《电子签名法》《电子认证服务管理办法》《电子政务电子认证服务管理办法》相关法律法规的规定,在订购产品与/或服务结束、证书注销后,因调查取证、归档备份等SZCA仍将保存上述信息至少证书失效后5年,其他法律法规另有规定,按其规定执行。
SZCA仅在本政策所述目的所必需期间和法律法规要求的时限内保留您的个人信息。对于为其他业务目的收集使用的信息,保存期限为您停止使用业务平台产品及服务,且您在通过业务平台与我司的合作机构的业务全部结束后五年。超过保存期限,SZCA将删除您的个人信息。但在下列情况下,我司可能会根据有关法律法规的要求,调整个人信息存储时间:
● 为遵守适用的法律法规的有关规定;
● 为遵守法院判决、裁定或其他法律程序的规定;
● 为遵守相关政府机关或法定授权组织的要求;
● 为维护社会公共利益,保护业务平台其他用户的合法权益所必须。
2.跨境传输
若有提供产品与/或服务的必要,在获得您的单独同意后,您的个人信息可能会被转移到您使用产品或服务所在国家/地区的境外管辖区。在获得您的单独同意时,我司会通过弹窗、勾选或其他合理的方式向您明示告知,以及其处理您个人信息的目的、方式和种类。具体的单独同意形式,以具体产品与/或服务的提供页面或书面材料为准。
以上境外管辖区可能设有不同的数据保护法律,甚至未设立相关法律。在此类情况下,我司会确保您的个人信息得到在中华人民共和国境内足够同等的保护。例如,我司会请求您对跨境转移您的个人信息提供单独同意,或者在跨境数据转移之前实施个人信息的匿名化举措。
3.停止存储
如果我司终止服务或运营,我司会至少提前九十日向您通知,并在终止服务或运营后对您的个人信息进行删除或匿名化处理。
三、我司如何使用 COOKIE 和同类技术
为使您获得更轻松的访问体验,您访问业务平台或使用业务平台提供的产品服务时,业务平台可能会自动存储Cookie信息到本地,这么做是帮您省去重复输入相关信息的步骤,或者帮助判断账户安全。Cookie 通常包含标识符、站点名称以及一些号码和字符。这些数据文件可能是Cookie,Flash Cookie,或您的浏览器或关联应用程序提供的其他本地存储(统称“Cookie”)。
我们不会将Cookie用于本政策所述目的之外的任何用途,且不会将cookie信息保存至后端。您可以修改对Cookie的接受程度或者拒绝业务平台的Cookie,但这一举动在某些情况下可能会影响您安全访问业务平台和使用业务平台提供的服务。
网页上常会包含一些电子图像(称为“单像素”GIF文件或“网络Beacon”),使用网络Beacon可以帮助网站计算浏览网页的您或访问某些Cookie,业务平台会通过网络Beacon收集您浏览网页活动的信息,例如您访问的页面地址、您先前访问的援引页面的位址、您停留在页面的时间、您的浏览环境以及显示设定等。
四、我司如何委托处理、提供、转移、公开披露您的个人信息
1. 委托处理
为向您提供第一条第1-2项所述功能模块及对应的服务,我司聘请具备专业技术能力的第三方供应商/第三方合作机构提供,并委托其处理相关个人信息。
对SZCA委托处理个人信息的第三方合作机构,我司会与其签署严格的委托处理协议,并对其进行个人信息安全影响评估,要求他们按照本政策以及其他任何相关的法律法规的要求来处理个人信息。同时,我司会记录和存储受委托者处理个人信息的情况。一旦我司得知或者发现受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,将立即要求受委托者停止相关行为,且采取或要求受委托者采取有效补救措施控制或消除您的个人信息面临的安全风险。
委托关系未生效、无效或被撤销、终止时,我司将终止与受委托者的业务关系,并要求受委托者及时返还或删除从业务平台获得的您的个人信息(包括但不限于因委托处理获取的原始的个人信息或副本、摘要等),不得擅自保留。未经您的授权同意,我司禁止受委托者转委托他人处理您的个人信息。
2. 提供
(1)我司不会向SZCA以外的任何公司、组织和个人提供您的个人信息,但以下情况除
外:
● 事先获得您明确的同意或授权;
● 根据适用的法律法规、法律程序的要求、强制性的行政或司法要求所必须的情况下进行提供;
● 在法律法规允许的范围内,为维护我司及关联公司或合作伙伴、您或其他用户或社会公众利益、财产或安全免遭损害而有必要提供;
● 只有提供您的信息并经您同意,才能实现业务平台的产品与/或服务的核心功能或提供您需要的服务;
● 应您需求为您处理您与他人的纠纷或争议;
● 符合与您签署的相关协议(包括在线签署的电子协议以及相应的平台规则)或其他的法律文件约定所提供;
● 基于符合法律法规的社会公共利益而使用。
(2)我司只会对外提供必要的个人信息,且受本政策中所声明目的之约束。个人信息的接收方如要改变个人信息的处理目的,将再次征求您的授权同意。
(3)为了保障数据在第三方安全可控,我司事先将开展个人信息安全影响评估,并依评估结果采取有效的个人信息保护措施,例如,通过合同约束数据接收方的个人信息保护责任。我司要求数据接收方用于存放您的个人信息的系统满足信息安全等级保护三级要求。在敏感个人信息使用上,我司要求第三方采用数据脱敏和加密技术,从而更好地保护用户数据。我司发现数据接收方违反法律法规要求或双方约定处理个人信息的,将立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除您的个人信息面临的安全风险;必要时,我司将解除与数据接收方的业务关系,并要求数据接收方及时删除从我司处获得的您的个人信息。
3.转移
我司不会将您的个人信息转移给任何公司、组织和个人,但以下情形除外:
● 事先获得您明确的同意或授权;
● 在涉及合并、收购或破产清算时,如涉及到个人信息 ,我司会要求新的持有您个人信息的公司、组织继续受本政策的约束,否则 我司将要求该公司、组织重新向您依法征得授权同意;
● 根据适用的法律法规、法律程序的要求、强制性的行政或司法要求所必须的情况进行转移。
我司会采取在其它服务器备份、在传输和存储过程中对您数据和鉴别信息进行加密等安全措施,最大程度确保您的个人信息不丢失,不被滥用和变造。但同时也请您理解,在信息网络上不存在“完善的安全措施”。我司无法承诺您数据及信息的完全安全。
4.公开披露
我司仅会在以下情形下,公开披露您的个人信息:
● 事先获得您明确的同意或授权;
● 根据适用的法律法规、法律程序的要求、强制性的行政或司法要求,我司可能会公开披露您的个人信息。
我司将对所有的请求进行慎重的审查和事先的个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施,准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等,以确保其具备合法依据,且披露的个人信息范围仅限于执法部门因特定调查目的且有合法权利获取的数据。
五、我司如何保护您的个人信息
SZCA 将尽合理努力保护其收集获取的用户个人信息。为防止用户个人信息在未经授权的情况下被非法访问、泄露、篡改、传输、遗失、毁损、滥用或编造、处理或使用,SZCA已经并将继续采取以下措施保护你的个人信息:
1.人员安全
SZCA 高度重视信息安全保障工作,对于认证岗位的设置实行可信角色制。且对于拟招聘任用的人员,在正式上岗前,都统一进行员工背景调查,尤其是对于可信角色等关键岗位的任职员工,将进行严格的安全意识和能力的考察。并且在任用时与其签订保密协议,禁止员工非法泄露工作过程中知悉的用户个人信息。
SZCA 注重员工信息安全意识与能力的培养,定期开展信息安全与隐私保护相关技术及法律等方面的培训,结合信息安全知识的考核,提高员工有关信息安全的认识。SZCA 设置有专门的负责信息安全的岗位——安全管理员,并为其配备专门的信息安全管理人员,监督认证服务过程中用户信息的处理与传输,确保用户个人信息的合法收集、使用与披露。
2.技术安全措施
SZCA 在数据安全保障方面,执行符合行业标准的安全措施与技术手段、程序,防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。SZCA 会采取一切合理可行的措施,保护您的个人信息。例如,网络服务采取传输层安全协议等加密技术,通过 https 等方式提供浏览服务,确保用户数据在传输过程中的安全。采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,SZCA 会采用包括内容替换、SHA256 在内多种数据脱敏技术增强个人信息在使用中安全性。我司采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用,采用代码安全自动检查、数据访问日志分析技术进行个人信息安全审计。
3.访问控制
SZCA 设立严格的数据访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。对可能接触到您个人信息的员工,SZCA 采取最小够用授权原则,能够访问、控制您信息的员工限定在工作职责需要有必要知悉您信息的直接相关的工作人员,及高级管理人员。且其访问、改动信息的操作,是要进行身份的识别与验证,且需接受视频监控。且要求上述员工履行保密和安全义务。如其未能履行安全和保密义务,将与其解除劳动合同关系,且保留追究其法律责任的权利。此外,SZCA 采取专门的数据和技术安全审计,设立日志审计和行为审计多项措施。定期对用户信息等数据访问记录进行审计检查,保证信息的访问、传播与扩散,是按照 CPS 规定的程序及方式进行的,控制在业务必需及可支配的范围内。
4.加密传输与存储
通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。
5.脱敏显示
在个人信息使用时,例如个人信息展示、个人信息关联计算,SZCA 会采用包括加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。SZCA 将对您服务界面中您的“个人中心“的手机号码、身份证件号码*个人信息采取隐私处理措施,避免您设备被不当使用时所造成的信息泄露与丢失。
6.数据安全管理机制
通过保密协议、监控和审计机制来对数据进行全面安全控制。SZCA 认证系统通过了公安部安全等级保护三级认证,同时还获得了 ISO/IEC 27001、ISO/IEC27701 认证。
7.应急处理措施
SZCA 制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,在发生危害网络安全的事件时,SZCA 会立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。并且将定期组织负责信息安全的重要成员进行安全预案演练。
8.安全事件处置
在不幸发生个人信息安全事件后,我司将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我司已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我司将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您,难以逐一告知个人信息主体时,我司会采取合理、有效的方式发布公告。同时,我司会严格按照有关法律法规及监管部门要求,主动上报个人信息安全事件的处置情况。
9. 其他
如果您对我司的个人信息保护有任何疑问,可通过本政策中约定的联系方式联系我司。如您发现自己的个人信息存在安全隐患,尤其是您的账户及密码发生泄露,请您立即通过本政策“九、如何联系我司”中披露的联系方式联络我司,以便与我司采取相应措施。
六、您的权利
按照我国的法律、法规及标准,SZCA 保障您对自己的个人信息行使以下权利:
1.访问、更正您的个人信息
您有权访问您的个人信息,法律法规规定的例外情况除外。若您发现我司的业务平台处理的关于您的个人信息有错误时,您有权要求我司作出更正。您可以通过以下方式自行访问或更正我司的业务平台留存的您的个人信息:
登录业务平台,点击 “个人中心”界面,对您的姓名、身份证号码*进行查询访问、更正,其中身份证件号码信息将采取脱敏化方式予以显示。
如果您无法通过上述方式访问这些个人信息,您可以通过拨打 4001123838 联系,或发送电子邮件至 kfzz@szca.com.cn,我司将在 15 个工作日内回复您的请求。对于您在使用我司业务平台的产品或服务过程中产生的其他个人信息,在核实您的真实身份的前提下,我司会以合理方式向您提供访问与/或更正的路径。
2.删除您的个人信息
在以下情形中,您可以向 SZCA 提出删除个人信息的请求:
● 如果我司处理个人信息的行为违反法律法规;
● 如果我司收集、使用您的个人信息,却未征得您的同意;
● 如果我司处理个人信息的行为违反了与您的约定;
● 如果我司不再为您提供产品或服务。
如果您需申请删除您的个人信息,您可以通过拨打 4001123838 联系,或发送电子邮件至 kfzz@szca.com.cn,我司将在 15 个工作日内回复您的请求,法律法规另有规定的除外。
若我司决定响应您的删除请求,我司还将同时通知从业务平台获得您的个人信息的第三方实体,要求其及时删除,除非法律法规另有规定,或这些实体获得您的独立授权。当您从我司的服务中删除您的个人信息后,处于安全考虑,我司可能不会立即在备份系统中删除相应的信息,但会在备份更新时删除这些信息。
3.改变您授权同意的范围
我司的业务平台的产品与服务需要一些基本的个人信息才能得以完成,在您与我司业务平台的业务发生的业务全部结束前,您无法撤回针对必要个人信息处理的授权同意。对于可选的个人信息类型的收集和使用,您可以随时给予或收回您的授权同意。
您可以通过以下方式自行操作授权同意的撤回:
● 通过删除个人信息、关闭设备权限或功能、在本业务平台中 “个人中心”界面进行设置,改变您授权我司继续收集个人信息的范围、或撤回您的授权。
● 通过注销账户的方式,撤回我司继续收集与使用您个人信息的全部授权。
如果您无法通过上述方式实现撤回授权同意的请求,您可以通过拨打 4001123838 联系,或发送电子邮件至 kfzz@szca.com.cn,我司将在 15 个工作日内回复您的请求。
当您撤回授权同意后,我司将不再处理相应的个人信息。但您收回同意的决定,不会影响此前基于您的授权而开展的个人信息处理。
4.注销账户
您可以通过以下方式自行操作:您可以通过访问“个人中心”界面,申请注销账户或停止服务。
如果您无法通过该界面注销您的个人信息相关服务,可以通过拨打 4001123838 联系,或发送电子邮件至 kfzz@szca.com.cn 联系我司提交申请,我司将在 15 个工作日内核实您的真实身份并处理。在注销账户之后,我司将停止为您提供一切产品或服务,并依据您的要求,在符合法律法规规定的前提下,删除您的个人信息。
5.获取个人信息副本
您有权获取您的个人信息副本,您可以通过以下方式自行操作:本人携带身份证至SZCA 现场,或通过邮寄本人申请文件(含身份证明文件),拨打 4001123838 联系,或发送电子邮件至 kfzz@szca.com.cn 联系我司提交申请,SZCA 将以邮寄、电子邮件、现场复印等方式提供副本。
6.其他须知
为保障安全,在通过邮件请求您的个人信息权利时,您可能需要根据我司提供的模板提供书面请求;在通过电话请求时,您允许我司对您的请求进行核实,并全程录音。但无论以何种方式,您承诺按照我司的要求提供您的身份信息用于身份核实,在此基础上,我司将会处理您的请求,并在 15 个工作日内作出答复。
对于您合理的请求,我司原则上不收取费用,但对多次重复、超出合理限度的请求,我司将视情收取一定成本费用。对于那些无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际(例如,涉及备份磁带上存放的信息)的请求,我司可能会予以拒绝。
七、我司如何处理与保护儿童的个人信息
我司的产品、服务及网站主要面向成年人。如果没有父母或监护人的同意,包括儿童在内的未成年人不得创建自己的业务平台账户。对于经父母同意而收集儿童个人信息的情况,我司只会在受到法律允许、父母或监护人明确同意或者保护儿童所必要的情况下使用此信息。
尽管当地法律和习俗对儿童的定义不同,但我司将不满 14 周岁的任何人均视为儿童。如果我司发现自己在未事先获得可证实的父母同意的情况下收集了儿童的个人信息,则会尽快删除相关数据。
八、本政策如何更新
本政策可能变更,未经您明确同意,我司不会削减您按照本政策所应享有的权利。
我司会在我司的业务平台页面上发布对本政策所做的任何变更。对于重大变更,我司还会提供更为显著的通知(包括站内信、弹窗、电子邮件等方式通知说明个人信息保护政策的具体变更内容)。
本政策所指的重大变更包括但不限于:
● 我司的服务模式发生重大变化。如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
● 我司在所有权结构、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等;
● 个人信息提供、转移、转让或公开披露的主要对象发生变化;
● 您参与个人信息处理方面的权利及其行使方式发生重大变化;
● 我司负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;
● 个人信息安全影响评估报告表明存在高风险时。
本政策发布生效后,之前发布的适用于本业务平台的隐私政策文件将自动废止,不再适用于本业务平台相关产品服务。
我 司 还 会 将 本 政 策 的 3 年 以 内 的 过 往 版 本 存 档 , 供 您 查 阅 。 访 问 网 址 :https://www.szca.com。
九、如何联系我司
1.联系方式
如果您有任何疑问、意见或建议,请通过以下方式与我司联系:
公司名称:深圳市电子商务安全证书管理有限公司
电话:0755-26588388、或 4001123838
电子邮件:kfzz@szca.com.cn
邮寄地址:深圳市福田区梅林街道孖岭社区凯丰路 10 号翠林大厦 9 层 01、02、03、04-1、06、07、08 号房
2.个人信息权益救济
一般情况下,我司将在 15 个工作日内回复您的诉求。如果您对我司的回复不满意,特别您认为我司的个人信息处理行为损害了您的合法权益,您还可以通过以下外部途径寻求解决方案:联系负责个人信息保护相关投诉的有关行业协会、主管部门,或者依据适用的法律向具有管辖权的法院提起诉讼。
