更新日期:2020年11月17日
生效日期:2020年11月20日
感谢您信任并使用北京数字认证股份有限公司的服务,我们将通过本政策向您说明我们会如何收集、存储、保护、使用及对外提供您的信息,并说明您享有的权利,尽力保护您的个人信息安全可控。
本政策将帮助您了解以下内容:
北京数字认证股份有限公司(以下或称“我们”)深知个人信息对您的重要性,我们致力于维持您对我们的信任,恪守以下原则,保护您的个人信息:权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则等。同时,我们承诺,我们将按业界成熟的安全标准,采取相应的安全保护措施来保护您的个人信息。本政策与您使用我们的服务关系紧密,我们建议您在使用我们的服务前,仔细阅读并了解本政策全部内容,做出您认为适当的选择。我们努力用通俗易懂、简明扼要的文字表达,并对本政策中与您的权益存在重大关系的条款和个人敏感信息,采用粗体字进行标注以提示您注意。
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致名誉、身心健康受到损害或歧视性待遇等的信息。
为了向您提供服务、保障服务的正常运行、改进和优化我们的服务以及保障帐号安全,我们会遵循“合法、正当、必要”原则,通过如下方式收集您的个人信息:
1) 当您首次注册登录成为我们的用户时,您需要提供您的姓名、国家/地区、证件类型、证件号码以及您的实名手机号、邮箱信息。如您是企业用户(包括但不限于法人、政府机构、其他组织、合伙或个体工商户等,下同),您需要提供您的企业名称、组织机构代码/统一社会信用代码、法定代表人及经办人的姓名、证件类型、证件号码以及实名手机号码、邮箱,上述信息是为了帮助您完成用户注册,创建您的用户名和密码。若您不提供这类信息,您将无法使用我们的服务。
2) 如您进行实名认证,我们将根据您所使用的不同身份核验方式收集您的相应信息。
如您是企业用户,您还需要提供您的营业执照/组织机构代码证等证照照片、对公银行账号,法定代表人及经办人的身份证/护照等证件照片,其中法定代表人及经办人提供信息的类型参考上述不同身份核验方式。。
若您不提供这类信息,您将无法完成实名认证,亦无法以实名身份申请证书、签署文件。
3) 为了让您更安全、便捷地登录,您可选择我们提供的面容ID登录、指纹识别登录或虹膜登录,您需向我们提供您的生物识别信息(人脸信息/指纹信息/虹膜信息等),以核验您的身份;如您不同意提供前述信息,您也可以选择密码登录、短信验证码登录等其他方式。
如果您仅需浏览我们的服务,查询产品、解决方案等信息服务,您不需要注册成为我们的用户,不需要提供上述信息。
您提供的上述信息,将在您使用我们服务期间持续授权我们使用。
在您使用我们以下各项业务功能(以下统称“服务”)的过程中,我们需要收集您的一些信息,用以向您提供服务、提升我们的服务质量、保障您的账户和资金安全以及符合国家法律法规及监管规定:
1) 数字证书服务
在您申请我们为您签发、更新、注销数字证书时,如您是个人用户,您需向我们提供您的【姓名、身份证号码、实名手机号码、单位名称、通讯地址、银行账户信息】,如您是企业用户,您需向我们提供您的【企业名称、组织机构代码/统一社会信用代码、企业通讯地址、法定代表人及经办人姓名、身份证号、手机号码、电子邮箱、单位银行对公账户信息】。如您是事件型数字证书用户,除上述个人用户和/或企业用户需提供的信息外,您还需要向我们提供事件特征的数字摘要信息。根据《电子认证服务管理办法》我们需要向您核验身份时,您需向我们提供上述1.1中 2)中所列信息。
这类信息属于敏感信息,若您不提供这类信息,您将无法使用我们的数字证书服务。
2) 身份核验服务
在您使用我们提供的身份核验服务前,我们将根据您所使用的不同身份核验方式收集您的相应信息。如您是个人用户:
a.当您采用运营商实名信息核验的身份核验方式时,我们会收集您的姓名、实名手机号码、身份证号码。
b.当您采用银行卡鉴权的身份核验方式时,我们会收集您的姓名、身份证号码、银行卡账号、银行预留手机号码。
c.当您采用生物识别特征比对的身份核验方式时,我们会收集您的姓名、身份证号码、身份证照片/护照等证件照片、脸部图像和视频。
如您是企业用户,您还需要提供您的营业执照/组织机构代码证等证照照片、对公银行账号,法定代表人及经办人的身份证/护照等证件照片,其中法定代表人及经办人需提供的信息种类参考上述不同身份核验方式。
这类信息属于敏感信息,若您不提供这类信息,您将无法使用我们的身份核验服务。
3) 电子签名或签章服务
在您使用我们提供的电子签名或签章服务前,您需向我们提供您的【数字证书信息、印章信息或手写签名笔迹信息、待签署内容的原文或数字摘要信息、数字签名运算结果】,若您不提供这类信息,您将无法使用我们的电子签名或签章服务。
在您提供他人的信息时,您需确保已获得对方合法有效的授权且对方也同意接受本政策之约束,因为您提供的信息造成他人损害的将由您承担全部责任。如果对方提出相反意见或者我们了解到信息主体不愿受本保护政策约束的,我们将删除相关信息。
您提供的上述信息,将在您使用我们服务期间持续授权我们使用。
1) 为了解产品适配性、识别账号异常状态,我们会收集关于您使用的服务以及使用方式的信息并将这些信息进行关联,这些信息包括:
a) 设备信息:我们会根据您在软件安装及使用中授予的具体权限,接收并记录您所使用的设备相关信息(例如设备型号、操作系统版本、设备设置、唯一设备标识符的特征信息)。
b) 日志信息:当您使用我们的服务时,我们会自动收集您对我们服务的详细使用情况,作为有关网络日志保存。例如您的搜索查询内容、IP地址、浏览器的类型、电信运营商、使用的语言、访问日期和时间及您访问的网页记录等。
c) 位置信息:如您需要使用我们的电子签名或签章服务时,我们会收集您的位置信息,请开启位置使用权限。
d) 使用相机:如您需要使用相机拍摄时,您需开启相机使用权限。
e) 相册:如您需要从相册中选取证件或人像照片时,您需开启相册权限。
f) 推送权限:如您需要接收我们发送给您通知消息时,请开启推送权限。
请您注意,您开启任一权限即代表您授权我们收集和使用与此相关的个人信息来为您提供对应服务,您一旦关闭任一权限即代表您取消了授权,我们将不再基于对应权限继续收集和使用相关个人信息,也无法为您提供该权限所对应的服务。但是,您关闭权限的决定不会影响此前基于您的授权所进行的信息收集及使用。
2) 当您与我们联系时,我们会保存您的通信/通话记录和内容或您留下的联系方式等信息,以便与您联系或帮助您解决问题,或记录相关问题的处理方案及结果。
3) 第三方提供的信息:我们会与第三方合作伙伴合作,作为其软件/服务/产品中的服务提供商为您提供服务。此等情况下,我们可能会从第三方合作伙伴处获得为实现我们服务的核心功能需要您提供的数据及您在第三方处的服务日志信息。
为提高您使用我们及我们合作伙伴提供服务的安全性,确保操作环境安全与识别注册账号异常状态,更好地保护您或其他用户或公众的人身财产安全免遭侵害,更好地预防钓鱼网站、欺诈、网络漏洞、计算机病毒、网络攻击、网络侵入等安全风险,更准确地识别违反法律法规或相关协议规则的情况,我们使用或整合您的用户信息、设备型号、IP地址、设备软件版本信息、设备识别码、设备标识符、所在地区、网络使用习惯以及其他与我们服务相关的日志信息以及我们合作伙伴取得您授权或依据法律共享的信息,来综合判断您账户及交易风险、进行身份验证、检测及防范安全事件,并依法采取必要的记录、审计、分析、处置措施。如您不同意我们记录前述信息,无法完成风控验证。
我们会对收集的信息进行去标识化地研究、统计分析和预测,用于改善我们的内容和布局,为商业决策提供产品或服务支撑,以及改进我们的产品和服务,例如使用匿名数据进行机器学习或模型算法训练。
当我们要将信息用于本政策未载明的其他用途时,会按照法律法规及国家标准的要求以确认协议、具体场景下的文案确认动作等形式再次征得您的同意。
根据相关法律法规规定,以下情形中收集、使用您的个人信息无需征得您的授权同意:
1)与国家安全、国防安全直接有关的;
2)与公共安全、公共卫生、重大公共利益直接有关的;
3)与刑事侦查、起诉、审判和判决执行等直接有关的;
4)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到您本人同意的;
5)所收集的个人信息是您自行向社会公众公开的;
6)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
7)根据您的要求签订合同所必需的;
8)用于维护所提供服务的安全稳定运行所必需的;
9)为合法的新闻报道所必需的;
10)学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
11)法律法规规定的其他情形。
我们不会与任何公司、组织和个人共享您的个人信息,但以下情况除外:
1) 事先获得您明确的同意或授权;
2) 与我们的关联公司共享:您的个人信息可能会与我们的关联公司共享。我们只会共享必要的个人信息,且受本政策中所声明目的的约束。关联公司如要改变个人信息的处理目的,将再次征求您的授权同意。
我们的关联公司包括我们现在或将来控制、受控制或与其处于共同控制下的任何公司、机构以及上述公司或机构的合法继承人。其中“控制”是指直接或间接地拥有影响所提及公司管理的能力,无论是通过所有权、有投票权的股份、合同或其他被人民法院认定的方式。
3) 与授权的供应商和服务提供方(以下统称“第三方合作机构”)共享:我们在您使用身份核验服务和证书服务时会将相关信息共享给第三方合作机构,以便完成对您的身份核验和证书服务,包括但不限于以下情形:
此时,我们将评估该第三方合作机构收集信息的合法性、正当性、必要性。我们将要求第三方合作机构对您的信息采取保护措施,并且严格遵守相关法律法规与监管要求。另外,我们会按照法律法规及国家标准的要求以签署协议、具体场景下的告知确认、弹窗提示等形式征得您的同意,或确认第三方合作机构已经征得您的同意。
对受我们委托处理您的个人信息的第三方合作机构,我们会与其签署严格的保密协议,要求他们按照我们的要求、本政策以及其他任何相关的保密和安全措施来保护您的个人信息。
4)我们可能会根据法律法规规定,或按政府主管部门、监管机构、司法机关、证券交易所的强制性要求,对外共享您的个人信息。
我们不会将您的个人信息转让给任何公司、组织和个人,但以下情况除外:
1) 事先获得您的明确同意或授权;
2) 根据适用的法律法规、法律程序的要求、强制性的行政或司法要求;
3) 在涉及合并、收购、资产转让或类似的交易时,如涉及到个人信息转让,我们会要求新的持有您个人信息的公司、组织继续受本政策的约束,否则,我们将要求该公司、组织重新向您征求授权同意。
我们仅会在以下情形,公开披露您的个人信息:
1) 在您明确同意或主动选择情况下,我们根据您授权情况公开披露您所指定的个人信息;
2) 我们会在数字证书中记载您的姓名、工作单位名称、手机号码、身份证件号码,其中手机号码、身份证件号码将在去标识化处理后记载到证书中;
3) 根据《电子认证服务管理办法》规定,我们通过证书信息查询服务提供证书信息的在线查询,您本人和其他依赖方可通过我们的证书信息查询平台查看您数字证书中的信息;
4) 根据法律、法规的要求、强制性的行政执法或司法要求所必须提供您个人信息的情况下,我们依据要求公开披露您的个人信息。在符合法律法规的前提下,当我们收到上述披露信息的请求时,我们会要求必须出具与之相应的法律文件或依据,如传票或调查函。
以下情形中,共享、转让、公开披露您的个人信息无需事先征得您的授权同意:
1)与国家安全、国防安全直接有关的;
2)与公共安全、公共卫生、重大公共利益直接有关的;
3)与刑事侦查、起诉、审判和判决执行等直接有关的;
4)出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
5)您自行向社会公众公开的个人信息;
6)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
根据法律规定,共享、转让经去标识化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向您通知并征得您的同意。
3.1 我们在中华人民共和国境内收集和产生的个人信息将存储在中华人民共和国境内。如部分服务涉及跨境业务,我们需要向境外机构传输境内收集的相关个人信息的,我们会按照法律法规和相关监管部门的规定执行,向您说明个人信息出境的目的以及涉及的个人信息类型,征得您的同意,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的您的个人信息保密。
3.2 我们会采取一切合理可行的措施,确保未收集无关的个人信息。我们只会在达成本政策所述目的所需的期限内保留您的个人信息,除非需要延长保留期或受到法律的允许。
3.3 但在下列情况下,我们有可能因需符合法律要求,更改个人信息的存储时间:
1) 为遵守适用的法律法规等有关规定;
2) 为遵守法院判决、裁定或其他法律程序的规定;
3) 为遵守相关政府机关或法定授权组织的要求;
3.4 如我们停止运营我们的服务,我们将及时停止继续收集和使用您的个人信息的活动,将停止运营的通知以公告的形式通知您,并在合理期限内对我们所持有的您的个人信息进行删除或匿名化处理。
法律法规有规定不能删除时或不能匿名化处理的情况除外,包括我们拟暂停或者终止电子认证服务时,我们需按照监管部门的要求对您在使用我们的电子认证服务期间提供或产生的信息移交至承接我们业务的其他电子认证服务机构。
3.5 我们已使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我们会采取一切可行的措施,保护您的个人信息。例如:我们采取了合适的管理、技术以及物理安全措施,在数据收集、存储、显示、处理、使用、销毁等各个环节建立了安全防护措施,根据信息敏感程度的级别采取不同的控制措施,包括但不限于通过网络安全层软件(SSL)进行加密传输、信息加密存储、严格限制数据中心的访问等,建立了与业务发展相适应的信息安全保障体系。
3.6 我们建立了相关内控制度,对可能接触到您的信息的工作人员采取最小够用授权原则;对工作人员处理您的信息的行为进行系统监控,不断对工作人员培训相关法律法规及隐私安全准则和安全意识强化宣导,并每年组织全体工作人员参加安全考试。
3.7 请您务必妥善保管好您的个人信息要素。您在使用我们的服务时,我们会通过您的信息要素来识别您的身份。一旦您泄漏了前述信息,您可能会蒙受损失,并可能对您产生不利。如您发现个人信息要素可能或已经泄露时,请您立即和我们取得联系,以便我们及时采取相应措施以避免或降低相关损失。
3.8 请您理解:互联网环境并非百分之百安全,我们将尽力确保或担保您发送给我们的任何信息的安全性,但由于技术的限制及可能存在的各种恶意手段,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百安全。如果不幸发生我们的物理、技术或管理防护措施遭到破坏的事件,我们会及时启动应急预案,防止安全事件扩大,按照法律法规的要求上报国家主管机关,并及时采取推送、公告等合理、有效的方式向您告知安全事件的基本情况、可能的影响、已经采取的措施或将要采取的措施等。
4.1 访问、更正您的个人信息
我们鼓励您更新和修改您的信息以使其更准确有效。您有权访问您的信息,并根据对应信息的管理方式自行完成或要求我们在符合法律规定和监管规定的前提下进行修改和补充。您可以发送电子邮件至service@bjca.org.cn,我们将在30天内回复您的请求。我们将采取适当的技术手段,尽可能保证您可以访问、更正自己的信息。
4.2 删除您的个人信息
在以下情形中,您可以向我们提出删除个人信息的请求:
1) 如果我们处理个人信息的行为违反法律法规;
2) 如果我们收集、使用您的个人信息,却未征得您的同意;
3) 如果我们处理个人信息的行为违反了与您的约定;
4) 如果您不再使用我们的产品或服务,或您注销了账号;
5) 如果我们不再为您提供产品或服务。
若我们决定响应您的删除请求,我们还将同时通知从我们获得您的个人信息的实体,要求其及时删除,除非法律法规另有规定,或这些实体获得您的独立授权。
当您从我们的服务中删除信息后,我们可能不会立即在备份系统中删除相应的信息,但会在备份更新时删除这些信息。
4.3 改变您授权同意的范围
您可以通过关闭设备功能来撤回您的授权。您也可以通过注销账户的方式,撤回我们继续收集和使用您个人信息的全部授权。
当您收回同意后,我们将不再处理相应的个人信息。但您收回同意的决定,不会影响此前基于您的授权而已进行的个人信息处理。
4.4 个人信息主体注销账户
在您需要终止使用我们的服务时,您可以发送电子邮件至service@bjca.org.cn,经验证您的真实身份后我们再决定注销您的账户。
我们在此善意地提醒您,您注销账户的行为会使您无法继续使用我们的服务。注销账户后您的个人信息会保持不可被检索、访问的状态,我们将不会再收集、使用或共享与该账户相关的个人信息,我们将在您的账号注销之日起【6】个月后匿名化处理您的个人信息。但已采集的信息如法律法规有规定的我们仍需按照规定时限和方法进行保存,且在保存的时间内依法配合有权机关的查询。
4.5 响应您的上述请求
为保障安全,您需要提供书面请求,或以其他方式证明您的身份。我们会先验证自己的身份,然后再处理您的请求。我们将在验证您的身份后三十天内作出答复。
对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将视情况收取一定成本费用。对于那些无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际(例如,涉及备份磁带上存放的信息)的请求,我们可能会予以拒绝。
在以下情形中,我们将无法响应您的请求:
1) 与个人信息控制者履行法律法规规定的义务相关的;
2) 与国家安全、国防安全直接有关的;
3) 与公共安全、公共卫生、重大公共利益直接有关的;
4) 与刑事侦查、起诉、审判和判决执行等直接有关的;
5) 有充分证据表明您存在主观恶意或滥用权利的;
6) 出于维护您或其他个人的生命、财产等重大合法权益又很难得到本人授权同意的;
7) 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;
8) 涉及商业秘密的。
请您注意,您的交易相对方、您访问的第三方网站经营者、通过我们接入的第三方服务可能有自己的信息保护政策;当您查看第三方创建的网页或使用第三方开发的应用程序时,这些第三方可能会放置他们自己的Cookie或网络Beacon,这些Cookie或网络Beacon不受我们的控制,且它们的使用不受本政策的约束。我们会努力去要求这些主体对您的个人信息采取保护措施,建议您与他们联系以获得关于他们的信息保护政策的详细情况。如您发现这些第三方创建的网页或第三方开发的应用程序存在风险时,建议您终止相关操作以保护您的合法权益。
我们的产品、网站和服务主要面向成人。如果没有父母或法定监护人的书面同意,儿童不应使用我们的服务。
对于经父母或法定监护人同意而收集儿童个人信息的情况,我们只会在受到法律允许、父母或法定监护人明确同意或者保护儿童所必要的情况下使用或公开披露此信息。
尽管当地法律和习俗对儿童的定义不同,但我们将不满 14 周岁的任何人均视为儿童。
如果我们发现自己在未事先获得可证实的父母或法定监护人同意的情况下收集了儿童的个人信息,则会尽快删除相关数据。
7.1 我们所有的服务均适用本政策,除非相关服务已有独立的信息保护政策或相应的用户服务协议当中存在特殊约定。
7.2 发生下列重大变化情形时,我们会适时对本政策进行更新:
1)我们的基本情况发生变化,例如:兼并、收购、重组引起的所有者变更;
2)收集、存储、使用个人信息的范围、目的、规则发生变化;
3)对外提供个人信息的对象、范围、目的发生变化;
4)您访问和管理个人信息的方式发生变化;
5)数据安全能力、信息安全风险发生变化;
6)用户询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式发生变化;
7)其他可能对您的个人信息权益产生重大影响的变化。
7.3 由于我们的用户较多,如本政策发生更新,我们将在以公告的形式或以其他适当方式来通知您,新政策公布之日即为生效日期。如您在本政策更新生效后继续使用我们的服务,即表示您已充分阅读、理解并接受更新后的政策并愿意受更新后的政策约束。
如您对本政策有任何疑问、意见或建议、需要投诉或发现您的个人信息可能被泄露,请通过发送邮件至邮箱service@bjca.org.cn或拨打我们的客服电话(4009197888)等多种方式与我们联系。一般情况下,我们将在收到您的来信或来电之日起三十天内回复。
如果您对我们的回复不满意,特别是我们的个人信息处理行为损害了您的合法权益,您还可以通过向北京仲裁委员会依照其现行有效的仲裁规则在北京申请仲裁寻求解决方案,所作裁决是终局的,对双方均有约束力。