(适用于常银生意App)
本政策发布日期:2022 年 11 月 10 日
本政策生效日期:2022 年 11 月 10 日
尊敬的常银生意App用户(以下简称“您”):
江苏常熟农村商业银行股份有限公司(注册地址:江苏省常熟市新世纪大道58号,联系方式:956020;以下简称“常熟农商银行”或“我行”)重视保护用户(以下可简称“您”)的隐私。您在登陆、使用、注销常银生意App时,常熟农商银行按照《江苏常熟农村商业银行股份有限公司隐私政策》(以下可简称“本政策”或“隐私政策”)收集、使用、存储、共享及对外提供您的个人信息。此外,我行将通过本政策向您说明如何访问和管理您的个人信息以及行使您的相关权利。本政策在您和常熟农商银行间具有合同上的法律效力。
我行深知个人信息对您的重要性,并会尽全力保护您的个人信息安全可靠。我行致力于维护您对我行的信任,恪守以下原则,保护您的个人信息:权责一致原则、目的明确原则、选择同意原则、最小必要原则、公开透明原则、确保安全原则、主体参与原则。我行承诺, 将按法律法规的要求以及业界成熟的安全标准,采取相应的安全保护措施来保护您的个人信息。
除非另行说明,本政策仅适用于我行的常银生意App (以下也称“客户端”)以及我行基于客户端向您提供的账户服务及其他产品或服务(以下统称“常银生意服务”)。如果您在使用常银生意服务的过程中还使用到本行其他产品或第三方的产品或服务,请您查阅本行其他产品或第三方的相关隐私政策或规定。
常熟农商银行在此提醒用户认真阅读、充分理解本政策各条款,特别是其中涉及的免除、限制常熟农商银行责任的条款、对用户权利限制条款、管辖与法律适用条款等。当您通过勾选或点击“同意”的方式确认本政策时,您即表示同意我行按照相关法律法规及本政策收集、使用、存储、共享和对外提供您的个人信息。您也可以通过客户端上的“关于我们 — 《常银生意App用户隐私政策》”查看本政策。
本隐私政策将帮助您了解以下内容:
一、我行如何收集和使用您的个人信息
二、我行申请和使用您的哪些系统权限
三、关于 Cookies 技术
四、我行如何委托处理、共享、转让和公开披露您的个人信息
五、我行如何存储和保护您的个人信息
六、您可以如何访问和管理自己的信息
七、本政策如何更新
八、我行如何收费
九、我行如何处理 18 周岁以下人士和中国大陆境外人士的信息
十、我行如何处理儿童的个人信息保护
十一、管辖法律与争端解决
十二、如何联系我行
一、我行如何收集和使用您的个人信息
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、住址、手机号码、电子邮箱、身份证件信息、个人生物识别信息、账户信息、征信信息、财产信息、交易信息、位置信息。
个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇的信息,包括身份证件信息、个人生物识别信息、账户信息、征信信息、财产信息、交易信息、位置信息、14岁以下(含)未成年人的个人信息。
(一)我行如何收集您的个人信息
1.基本业务功能所需的个人信息
为履行法律法规及行业主管部门有关规定以及我行为您提供金融服务之必需,我行将向您收集以下个人信息,如果您选择不提供或不同意我行收集、使用这些个人信息,我行将无法正常为您提供常银生意服务:
(1)客户端必须完成个人实名认证才可以进行使用。在您使用客户端时,我行将收集您的移动电话号码、姓名、证件类型、证件号码、证件影像件、证件有效期限、人脸图像或视频。如您不同意提供本款所列信息,您将无法正常使用全部常银生意服务,但您可以使用游客身份或注册用户(注册将收集您的移动电话号码)浏览客户端上的产品或服务。
(2)客户端必须完成企业信息认证才可以使用企业相关的产品服务。在您使用此类产品服务时,我行将收集您企业的企业名称、统一社会信用代码、注册币种、注册金额、注册地址、办公地址、邮寄地址。如您不同意提供本款所列信息,您将无法正常使用全部企业相关的常银生意服务,但您可以使用游客身份浏览客户端上的产品或服务。企业相关的产品服务包括: 企业信息查询、修改。
(3)为了保障您的账户安全,预防交易风险,保障资金安全,我行将收集您使用常银生意服务的日志信息(包括使用的服务类别及方式)、IP地址、软件版本信息、设备型号,用于身份验证、客户服务、安全防范、诈骗监测、存档和备份用途,确保我行向您提供的产品和服务的安全性。如您不同意提供本款所列信息,您将无法正常登录客户端并使用常银生意服务,但您可以使用游客身份浏览客户端上的产品或服务。
(4)当您使用客户端进行转账汇款类交易时,我行将收集收款方名称、收款方账号、开户银行信息,进而实现转账功能。本款所列信息为个人信息的,属于个人敏感信息,如果您不提供该信息,仅会使您无法使用转账功能,但不影响您正常登陆客户端并使用常银生意服务。
(5)当您在客户端中选择通过指纹、面容、刷脸、手势验证服务进行登录、转账、支付、身份认证,需向我行提供您的人脸信息或允许我行使用您设备提供的指纹、面容识别功能。我行征得您的单独同意后采集的人脸信息,将加密存储于我行信息系统后台数据库中。如您拒绝提供上述信息,我行将无法向您提供需完成指纹、面容、刷脸、手势验证后方可使用的产品或服务。
其中,刷脸验证应用范围包括刷脸实名认证、身份验证功能。
其中,指纹验证应用范围包括指纹登录、指纹支付功能。您可以通过客户端“我的-设置-指纹”开启或关闭上述单独一项或多项功能。我行不会采集您的指纹,您的指纹仅保存在您授权采集指纹的设备上,您可以在您设备上的指纹识别功能中进行指纹信息更新。
其中,面容验证应用范围包括面容登录、面容支付功能。您可以通过客户端“我的-设置-面容FaceID”开启或关闭上述单独一项或多项功能。我行不会采集您用于面容验证服务的脸部信息,该脸部信息仅保存在您授权采集脸部信息设备上,您可以在您设备上的面容识别功能中进行脸部信息更新。
其中,手势验证应用范围包括手势登录功能、手势支付功能。您可以通过客户端“我的-设置-手势密码”开启或关闭上述单独一项或多项功能,您也可以在该菜单进行手势信息更新。
对于某些品牌或型号的手机终端自身的本地生物特征认证功能,如人脸识别功能,其信息由手机终端提供商进行处理,我行不留存您应用手机终端相关项中的信息。
2.拓展业务功能所需的个人信息
为了向您提供服务,我行将向您收集以下个人信息,您可以选择同意或拒绝;如果您拒绝,将导致这些功能无法实现,但不影响您使用常银生意服务的基本业务功能:
(1)当您将您的微信与您的常银生意账户进行关联时,我行将收集您的微信昵称、头像、地区、性别信息、微信 OpenID、微信 UnionID,以实现使用微信进行登录的功能。当您将您的支付宝账号与您的常银生意账户进行关联时,我行将收集您的支付宝昵称、头像、地区、性别信息、支付宝UserID,以实现使用支付宝账号进行登录的功能。如果您不提供本款所列信息, 您将无法使用您的微信或支付宝账号进行登录,但您可以使用手机号登录,也可以使用游客身份浏览客户端上的产品或服务。
(2)当您使用客户端进行转账汇款类交易(包括转账汇款、代发工资等)时,我行除了收集收款方的个人姓名或企业名称、收款方账号、开户银行信息进而为您实现转账功能,我行还可能收集收款人的手机号码,以便为您发送短信通知收款人。同时,我行将请求收集保存上述信息,形成收款人名册,以简化您之后的转账操作。此外,我行还会收集您的交易金额、交易时间,以便您可以查询您的转账或支付状态或历史交易信息。本款所列信息为个人信息的,属于个人敏感信息,如果您不提供本款所列信息,您可能无法使用转账汇款类功能,但不影响您使用我行提供的其他服务。
(3)当您办理票据贴现业务时,我行将遵照法律法规及监管要求,收集您的姓名、身份证件号码、手机号码、身份证影像件、企业名称、注册地址、统一社会信用代码、受益所有人信息、营业执照影像件,以便协助您完成贴现业务办理。如果您不提供本款所列信息,我行将无法为您提供票据贴现相关服务,但不影响您使用我行提供的其他服务。
(4)当您在使用人脸验证服务时,我行将收集您在使用人脸认证服务过程中的语音及人脸视频信息,以便于验证您的身份。我行将使用腾讯人脸识别 SDK,通过腾讯人脸 SDK 提供的算法技术支持,协助完成人脸核实比对,腾讯人脸SDK并不会传输或收集存储您的个人信息。在我行收集您的上述信息前,我行会在提供人脸验证服务的页面向您详细说明信息收集的目的、方式、范围并征求您的明确同意,请在使用人脸验证服务前仔细阅读《人脸验证服务及信息授权协议》。如果您不同意提供上述信息,您可能无法使用《人脸验证服务及信息授权协议》中列出的具体服务,但不影响您使用我行提供的其他服务。
(5)当您选择参与我行开展的抽奖、竞赛或类似推广活动时,我行会收集您报名参加活动时提供的信息、您在活动过程中产生的信息(如,当您参与送话费活动,我行会收集您的手机号码),以便能及时向您发放奖品或为您提供服务。如果您不想提供活动相关的信息,您可能无法进行抽奖、竞赛或类似推广活动的参与,但不影响您使用我行提供的其他服务。
(6)当您使用本行常银生意App需要通过验证码服务进行辅助认证时,需向我行提供短信验证码,我行会向您申请读取手机短信权限,目的是为了复制手机银行短信验证码。如您拒绝该授权的,您将无法自动复制手机银行短信验证码,但不影响您使用我行提供的其他服务。
3.第三方 SDK 说明
我行提供的某些服务和(或)产品功能可能由我行的第三方合作伙伴提供或由我行与合作伙伴共同提供,只有通过该第三方 SDK 处理您的信息,我行才能实现相应功能。第三方SDK技术服务提供方会基于向您提供功能或服务之必需获取相应信息。
以下为第三方SDK服务相关授权信息:
(1)腾讯人脸:为了进行人脸识别验证身份,需要获取您的用户信息,包括您法定代表人及/或授权经办人员的人脸信息、身份证、性别、年龄,在远程视频开户认证、登录认证以及云证通下载时用到。
(2)微信SDK:为了向您提供社交分享功能,我行使用了微信SDK,该SDK需要获取企业名称和头像,用于分享企业二维码信息到微信好友和微信朋友圈。
(3)mpaas SDK:为了提高应用的安全性和可持续维护性,我行使用了mpaas SDK,该SDK需要获取您的用户手机号、 手机系统版本、手机型号、网络状态信息、设备的IP地址,用于生成运行日志。
(4)云证通:为了您的帐号安全,我行使用云证通获取您手机的IP地址、唯一设备标识等信息。该功能在企业转账汇款等交易最后提交时使用。
(5)盒盒OCR:为了辅助人脸识别验证身份,需要获取您的用户身份信息,包括您法定代表人及/或授权经办人员身份证、性别、年龄等,在远程视频开户认证时用到。
(6)华为云视频:为了保障企业客户远程视频认证时确认企业法定代表人身份信息,需要获取您用户视频信息以及生物信息。
(7)IFAA:为了提升客户体验以及应用的安全性,此SDK需要获取您授权经办人员指纹信息、手机系统版本、手机型号、网络状态信息,用于准确地识别用户身份信息。
(8)高德地图SDK:为了向您提供基于位置的服务,我行使用了高德地图SDK,该SDK需要获取您的手机设备信息、经纬度信息,用于实现定位功能。
(二)我行如何使用您的个人信息
为了遵守国家法律法规及监管要求,以及向您提供服务及提升服务质量,或保障您的账户和资金安全,我行会在以下情形中使用您的信息:
1.我行会根据本政策的约定并为实现我行的服务或功能对所收集的您的个人信息进行使用。
2.为确保服务的安全性和稳定性,我行会记录您使用本行App的相关信息,比如:您使用本行App的频率、崩溃数据、总体使用情况、性能数据等;我行会将您的信息用于身份验证、安全防范、诈骗监测、预防或禁止非法活动、降低风险、存档和备份用途。
3.根据法律法规或监管要求向相关部门进行报告。
4.我行在收集您的个人信息后,可能会通过技术手段对您的信息数据进行去标识化处理。去标识化处理后的信息将无法识别个人信息主体,我行有权在不经过您同意的情况下对去标识化的数据进行分析并予以使用。
5.我行会对我行的服务或功能使用情况进行统计,并可能会与公众或第三方共享这些统计信息,以展示我行的服务或功能的整体使用趋势。但这些统计信息不包含您的任何身份识别信息。
(三)征得授权同意的例外
根据法律法规及行业主管部门有关规定,以下情形中,收集、使用个人信息不必事先征得您的授权同意:
1.与我行履行法律法规及行业主管部门有关规定的义务相关的;
2.与国家安全、国防安全直接相关的;
3.与公共安全、公共卫生、重大公共利益直接相关的;
4.与刑事侦查、起诉、审判和执行判决等直接相关的;
5.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到您本人授权同意的;
6.所涉及的个人信息是您自行向社会公众公开的;
7.根据您要求签订和履行合同所必需的;
8.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
9.维护所提供产品或服务的安全稳定运行和合规所必需的,如发现、处置产品或服务的故障;
10.法律法规及监管要求规定的其他情形。
二、我行申请和使用您的哪些系统权限
您在使用我行常银生意服务过程中,客户端会向您申请下列与个人信息相关的系统权限。您可通过您的手机、iPad 等登录设备,在相关设备的“设置”中对客户端的相关权限进行设置,也可以在客户端的“关于我们—隐私设置”中对部分权限进行设置。
(一)基本业务功能所需的权限
为向您提供常银生意服务之必需,我行将向您申请获取以下权限,如果您拒绝,我行将无法正常向您提供常银生意服务:
1.网络通讯权限:为了向您提供常银生意服务,我行会向您申请获取此权限,读取您使用设备的 IP 地址、网络信息(运营商/WIFI),目的是为了我行与客户端进行网络通讯,向您提供常银生意服务。如您不开启此权限,客户端所有功能将无法正常启动或使用。
2.读取电话状态权限(Android):当您登录客户端后,我行会向您申请获取此权限, 读取您的设备信息(包括设备识别码(IMEI)、设备标识符)、设备状态信息以及设备环境信息,目的是为了进行安全风险控制,保证账号登录的安全性。如您不开启此权限,将降低我行进行安全风险控制的能力,但不影响您使用我行提供的其他服务。
3.跟踪权限(iOS):当您登录客户端后,我行会向您申请获取此权限,读取您的广告客户识别码(IDFA), 目的是为了进行安全风险控制,保证账号登录的安全性。如您不开启此权限,将降低我行进行安全风险控制的能力,但不影响您使用我行提供的其他服务。
4.相机及相册权限:当您在个人实名认证过程中使用人脸验证或上传身份证影像功能时, 我行会向您申请获取此权限,以便您进行实时拍摄或图片上传。如您不开启此权限,您将无法完成人脸验证、上传身份证影像功能,但不影响您使用我行提供的其他服务。
5.麦克风权限:当您在个人实名认证过程中使用人脸验证功能时,我行会根据您提供的人脸图像进行身份核验,并评估您当前账号的安全等级。当系统判定您的账号存在风险时,我行会向您申请获取此权限,以便您进一步与客服在线视频进行语音沟通,核验您的身份信息。如您不开启此权限,将无法完成在线视频核验,但不影响您使用我行提供的其他服务。
6.剪切板权限:主要用于账号复制功能,我行不会保存您的剪切板内容。如您不开启此权限,将无法完成在线视频核验,但不影响您使用我行提供的其他服务。
(二)拓展业务功能所需的权限
为了向您提供服务,我行将向您申请获取以下权限,如果您拒绝,将导致这些功能无法实现,但不影响您使用常银生意服务的基本业务功能:
1.读取及写入存储权限:当您登录客户端后,我行会向您申请获取此权限,读取或缓存您在使用客户端过程中产生的文本、图像、视频信息,目的是为了保障客户端的稳定运行。如您不开启此权限,您将无法使用常银生意服务,但您可以使用游客身份浏览客户端上的产品或服务。
2.读取电话状态权限(Android):当您登录客户端后,我行会向您申请获取此权限,读取您的设备信息(包括设备识别码(IMEI)、设备标识符)、设备状态信息以及设备环境信息,目的是为了进行安全风险控制,保证账号登录的安全性。如您不开启此权限,将降低我行进行安全风险控制的能力,但不影响您使用我行提供的其他服务。
3.跟踪权限(iOS):当您登录客户端后,我行会向您申请获取此权限,读取您的广告客户识别码(IDFA),目的是为了进行安全风险控制,保证账号登录的安全性。如您不开启此权限,将降低我行进行安全风险控制的能力,但不影响您使用我行提供的其他服务。
4.位置信息权限:当您登录客户端后,我行会向您申请获取此权限,读取您的经纬度,目的是为了进行安全风险控制以及提供基于地理位置的服务;如您不开启此权限,将降低我行进行安全风险控制的能力,但不影响您使用我行提供的其他服务。
5.相机及相册权限:当您使用便捷开户、证照识别时,我行会向您申请获取相机和/或相册权限(以您使用的具体功能为准),以便您实时拍摄或图片/视频上传。如您不开启此权限,您将无法使用与实时拍摄或图片/视频上传相关的特定功能,但不影响您使用我行提供的其他服务。
6.麦克风权限:当您在视频核验与客服进行语音沟通时,我行会向您申请获取此权限,以便您使用麦克风设备进行语音输入,我行将读取您的语音,目的是在视频核验时,实现数字版人脸验证读数录音以及与客服进行语音沟通功能。如您不开启此权限,您将无法使用与语音输入相关的特定功能,但不影响您使用我行提供的其他服务。
7.面容 ID 或指纹功能权限:为了让您更安全、便捷地使用我行提供的服务,如您的设备与我行客户端版本均支持面容 ID 或指纹功能,您可以选择开启面容 ID 或指纹功能权限。您需在您的设备上录入您的面容 ID或指纹功能信息,在您进行面容 ID 或指纹功能进行、转账或支付操作时,您需在您的设备上完成面容 ID 或指纹验证。我行仅接收验证结果,并不收集您的面容 ID 或指纹功能信息。如您不想使用面容 ID或指纹功能验证,您可以关闭此权限,但仍可通过其他方式进行登录、转账或支付操作。
8.蓝牙权限:为了向您提供在线视频服务,我行会向您申请获取此权限,目的是为了通过蓝牙激活蓝牙耳机,以便向您发起在线视频。我行不保存您的蓝牙配置信息。如您不开启此权限,您将可能无法借助耳机使用在线视频服务,但不影响您使用我行提供的其他服务。
9.拨打客服热线:为了向您提供拨打电话的服务,我行会向您申请获取此权限,目的是为了您可以直接在客户端进行拨打客服热线,以解决您遇到的问题。如您不开启此权限,您将无法使用拨打客服热线的服务,但不影响您使用我行提供的其他服务。
10.访问通讯录权限:当您使用添加员工、转账等功能时,为了提升您的服务体验,您可以选择开启此权限,我行将访问您的通讯录内容用于协助您从通讯录中直接选择并导入选中的指定联系人的姓名和手机号码,以上所访问的通讯录内容仅用于当此操作和手机本地使用,我行并不会收集或存储您的全部通讯录内容。上述信息属于个人敏感信息,如您不需要使用上述功能,可选择不开启此权限,将不会影响您正常使用上述功能,但需要您手动输入手机号码。
三、关于 Cookies 技术
当您使用客户端时,我行会使用 Cookies 技术并且为您分配一个或多个“Cookies”。Cookies 文件将保存在您的设备终端的内存上,服务端仅在您使用客户端期间读取您的Cookies 文件。您在关闭客户端时,Cookies 文件也将随之删除。
我行使用 Cookies 技术用于以下目的:
1.缓存登录信息。客户端会保留您的登录信息,以便于您切换使用其他 后继续保留客户端的登录状态,而无需重复输入信息进行登录。
2.了解并协助解决问题。我行将通过 Cookies 技术来了解并协助排除您在使用客户端过程中遇到的问题。
四、我行如何委托处理、对外提供和公开披露您的个人信息
(一)委托处理
我行可能委托第三方(如接受我行委托提供客户服务的机构、提供支付服务的机构、提供贷款催收的机构、提供诉讼处理的机构)处理您的个人信息,委托行为将不会超出我行已征得您授权同意的范围或遵守本政策第一条中所列情形。对我行委托的第三方,我行会开展个人信息安全影响评估并与第三方签署合同,要求第三方按照法律法规、本政策以及我行其他保密和安全要求来处理您的个人信息,并对第三方进行监督。一旦发现第三方存在未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的行为的,我行将立即制止相关行为,且采取或要求第三方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时我行将终止与第三方的业务关系,并要求第三方及时删除从我行获得的个人信息。
(二)对外提供
如果为了向您提供服务或应您的请求而需要将您的信息提供给第三方,在将信息提供给第三方前,我行将向您告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得您的单独同意。我行将评估该第三方收集信息的合法性、正当性、必要性,并依评估结果采取有效的保护个人信息主体的措施。对外提供您的个人信息的,我行会事先开展个人信息安全影响评估并与第三方签署合同规定其责任和义务。一旦发现第三方违反法律法规要求或与我行约定处理个人信息的,我行将立即制止相关行为,且采取或要求第三方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时我行将终止与第三方的业务关系,并要求第三方及时删除从我行获得的个人信息。
除非另行获得您的单独同意或为满足法律法规的规定、有权机关的要求外,我行仅在以下情形中与第三方提供您的个人信息:
1.当您申请个人实名认证、企业信息认证时,为了对信息进行有效认证,我行需要将您的个人基本信息、个人身份信息、企业信息共享给第三方,以便我行对个人、企业身份信息进行查询、校验或获取并展示与您存在关联关系的企业信息。我行与第三方之间会签署相关法律文件,我行会要求第三方对您的信息采取保护措施。
2.当您登录第三方客户端或网站、使用第三方的产品或服务时,在取得您的单独同意后,为了您能够方便快捷地使用第三方客户端或网站、使用第三方的产品或服务,我行可能会将您的个人基本信息、企业信息提供给第三方。部分第三方的产品或服务的使用还要求提供个人身份信息、个人财产信息,我行将特别对您进行提示,并在您明确同意授权的情况下,将相应信息提供给第三方,该第三方按照其与您的相关约定或其独立的隐私政策处理您的信息。
3.当您选择参与我行和第三方合作开展的抽奖、竞赛或类似推广活动时,我行可能与其共享活动过程中产生的、为完成活动所必要的个人基本信息,以便第三方能及时向您发放奖品或为您提供服务。我行与第三方之间会签署相关法律文件,我行会要求第三方对您的信息采取保护措施。
4.当您与我行发生贷款或者担保业务时,我行可能会向依法设立的征信机构及其他相关合法机构查询、使用或提供您的信用、资产信息。我行依法对您的相关信息承担保密责任,并保证要求合作机构对您的相关信息承担保密责任。我行与第三方之间会签署相关法律文件,要求第三方对您的信息采取保护措施。
(三)收购、兼并、重组、破产时的个人信息转让
当我行发生收购、兼并、重组、破产等变更时,我行将:
1.向您告知有关情况;
2.如发生主体变更的,变更后的公司应继续,如变更个人信息使用目的,应重新取得您的明示同意;
3.如破产且无承接方的,对您的个人信息做删除处理。
(四)公开披露
1.我行原则上不会公开披露您的个人信息。如确需公开披露, 我行会事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施,告知您公开披露个人信息的目的、类型,如公开披露的是个人敏感信息的,还应告知您涉及的个人敏感信息的内容,并事先征得您的明示同意。
2.请您理解,在法律法规、法律程序、诉讼或政府主管部门强制性要求的情况下,我行可能会根据要求公开披露您的相关个人信息,而无需事先征得您的明示同意。
(五)共同控制
为提供和优化我行的服务,常银生意中内嵌了第三方的 SDK。我行提供的某些服务和(或)产品功能可能由我行的第三方合作伙伴提供或由我行与合作伙伴共同提供,只有通过该第三方 SDK处理您的信息,我行才能实现相应功能。第三方 SDK 技术服务提供方会基于向您提供功能或服务之必需获取相应权限及信息。我行将采取必要方式控制该等第三方 SDK对您个人信息的收集与使用,确保您的个人信息得到有效保护。关于第三方的身份、SDK 的类型、收集的个人信息的类型、收集目的以及第三方的隐私政策链接等,详情请见上述“第三方 SDK 说明”的描述。
(六)共享、转让、公开披露个人信息时事先征得授权同意的例外
根据法律法规及行业主管部门有关规定,以下情形中,共享、转让、公开披露个人信息不必事先征得您的授权同意:
1.与我行履行法律法规及行业主管部门有关规定的法定职责或法定义务相关的;
2.与国家安全、国防安全直接相关的;
3.与公共安全、公共卫生、重大公共利益直接相关的;
4.与刑事侦查、起诉、审判和执行判决等直接相关的;
5.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到您本人同意的;
6.您自行向社会公众公开的个人信息;
7.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
8.法律法规及监管规定要求的其他情形。
五、我行如何存储和保护您的个人信息
(一)存储
我行将收集和产生的个人信息存储在中华人民共和国(以下简称“中国”)大陆境内, 此业务不会将您的个人信息传输至境外。
我行承诺您个人信息的存储时间始终处于合理、必要期限内。我行仅在本政策所述目的所必需期间和法律法规及监管要求的时限内保留您的个人信息。
(二)保护
1.为了保障您的信息安全,我行会在现有技术水平下采取符合法律法规及业界标准的物理、技术和行政管理安全措施来保护您的个人信息,来降低丢失、误用、非授权访问、披露和更改的风险,包括但不限于传输层数据加密、防火墙和加密存储、物理访问控制以及信息访问授权控制。我行也会采取一切合理可行的措施,确保未收集无关的个人信息。我行只会在达成本政策所述目的所需的期限内保留您的个人信息,除非确需延长保留期或遵循法律法规的要求。
2.我行对信息安全设立了专门的信息安全管理部门,负责在我行建立信息安全管理机制,组织落实信息安全管理的各项政策制度,以及建立信息系统安全技术防御体系,应对信息系统主机入侵、网络 DDOS攻击和 WEB应用攻击等威胁。我行也制定了信息安全事件应急响应预案,确保我行能够及时对信息安全事件进行应急响应,组织或在应监管机构的要求配合 开展调查,采取相应处理和整改措施,加强后续防范。
3.我行信息安全管理部门会定期评估和分析信息系统的安全性,检查信息安全规范、流程及配置基线等的执行情况,监控我行可能遇到的互联网威胁,对发现的问题提出意见并督促整改。此外,我行也不定期接受中国银行保险监督管理委员会、中国人民银行、工业和信息化部、公安部等部委下属机构或派出机构的指导及检查。
4.针对个人信息的处置,我行对访问个人信息设置了严格的访问权限控制和监控机制,对确有需要处理个人信息的工作人员采取最小必要授权原则,也通过签署劳动合同、发布规章制度、系统流程提示等手段要求可能接触到个人信息的所有人员履行信息安全及保密义务。我行也对所有人员持续提供信息安全保护相关的培训和法律法规宣导,并定期组织信息安全考试。
(三)风险提示
1.互联网环境并非百分之百安全,我行将尽最大努力确保您在使用我行常银生意服务时个人信息的安全性,并采取合理、可行措施降低因我行的物理、技术防护设施遭到破坏或管理不当,导致您个人信息被非授权访问、公开披露、篡改或毁坏而致使您的合法权益受损的情形。
2.在不幸发生个人信息安全事件后,我行将按照法律法规的要求,及时向您告知安全事件的基本情况和可能的影响、我行已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我行将及时以邮件、信函、电话等方式告知您事件相关情况,难以逐一告知个人信息主体时,我行会采取合理、有效的方式发布公告。同时,我行还将按照监管部门要求,主动上报个人信息安全事件的处置情况。
此外,请您妥善保管好您的常银生意账户和密码信息,这是识别您身份的重要信息。一旦您泄露了前述信息,您可能会蒙受损失,并可能对您产生不利,因您自身泄露、遗失前述信息等而造成的损失,将由您承担;如您发现您的信息可能或已经泄露时,请您立即和我行取得联系,以便我行及时采取相应措施以避免或降低相关损失。我行建议您使用复杂密码,并注意保护您的个人信息安全。
六、您可以如何访问和管理自己的信息
在您使用客户端期间,为了让您可以更加便捷地访问和管理您的信息,我行在客户端中为您提供了相应的操作设置,您可以参考下面的指引进行操作。
在登录客户端后,您可以:
(一)访问、更正及更新
1.您可在登录常银生意App后,在“设置”中修改您的手势密码、以及修改、重置您的交易密码。出于安全性和身份识别的考虑,您应通过验证方可修改您的手势密码,以及修改、重置您的交易密码。
2.在“设置”中开通或关闭您的面容/指纹支付。出于安全性和身份识别的考虑,您应通过验证方可开通或关闭面容/指纹支付。
如您无法通过上述路径访问、更正及更新这些个人信息,您可以致电我行客服热线956020联系我行,我行将在核实您的身份后及时响应您的请求,但法律法规另有规定或本政策另有约定的除外。
我们将在15个工作日内回复您的访问、更正及更新请求并完成核查与处理。
(二)删除您的个人信息
在法律法规允许或符合以下情形的情况下,您可以向我行提出删除个人信息的请求,我行将在15个工作日内回复您的删除请求并完成核查与处理。请您理解,如果因法律法规及行业主管部门有关规定而确需留存您的个人信息,我行可能无法响应您的请求对个人信息进行删除,但我行将采取措施确保您的个人信息不再用于我行的日常业务活动中。
(1)如果我行收集、处理个人信息的行为违反法律法规;
(2)如果我行收集、使用您的个人信息,却未征得您的同意;
(3)如果我行收集、处理个人信息的行为违反了与您的约定;
(4)如果我行不再为您提供产品或服务。
当涉及违反法律法规规定或与您的约定向第三方共享、转让个人信息的,我行将应您的请求立即停止共享、转让的行为,并通知第三方及时删除;当涉及违反法律法规规定或与您的约定公开披露个人信息的,我行将应您的请求立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
(三)获取个人信息副本
根据法律法规或国家标准的规定,您有权获取您的个人信息副本,如有需要,您可以致电我行24小时客服热线956020与本行联系,我行在验证您的身份后,将在15个工作日内回复您,协助解决您的问题。
(四)约束信息系统自动决策
在某些业务功能中,我行可能仅依据信息系统、算法等在内的非人工自动决策机制做出决定。如果这些决定显著影响您的合法权益,您有权要求我行作出解释,我行也将提供适当的救济方式。
(五)响应您的请求
如果您无法通过上述方式访问、更正或删除您的用户信息,或您需要访问、更正或删除您在使用我行服务或功能时所产生的其他用户信息,或您认为我行存在任何违反法律法规或与您关于用户信息的收集或使用的约定,您均可通过本隐私政策中的联系方式与我行取得联系。为保障安全,我行可能需要您以人脸核验或其他方式验证您的身份。我行将在收到您反馈并验证您的身份后的15个⼯作⽇内完成核查并处理。
此外,根据相关法律法规、监管要求,以下情形中,我行将无法响应您的请求:
1.与我行履行法律法规及行业主管部门有关规定的法定职责或法定义务相关的;
2.与国家安全、国防安全直接相关的;
3.与公共安全、公共卫生、重大公共利益直接相关的;
4.与刑事侦查、起诉、审判和执行判决等直接相关的;
5.有充分证据表明您存在主观恶意、存在严重误解或滥用权利的;
6.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到您本人授权同意的;
7.响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;
8.涉及我行或第三方商业秘密的。
对于您的合理请求,我行原则上不收取费用,但对多次重复、超过合理限度的请求,我行将视情况收取一定成本费用。对于那些无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际(例如,涉及备份磁带上存放的信息)的请求,我行可能予以拒绝。
七、本政策如何更新
根据国家法律法规、监管政策变化及服务运营的需要,我行将对本政策不时地进行修改。我行会在客户端发布对本政策所做的任何变更,当本政策将发生重大变更时,我行还会以更为显著的方式(例如,通过弹框提示)通知您,并征得您的同意。
您需要不时关注相关公告,更新本行App版本等。如您不接受修改后本政策的,您可停止使用本行常银生意App,卸载常银生意App并注销相关用户,我行将停止收集您的相关个人信息;如您仍继续使用的,即表示您已充分阅读、理解、同意并接受修改后的本政策。
本政策的“重大变更”包括但不限于:
1.我行的服务模式发生重大变化。如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
2.我行在所有权结构、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等;
3.个人信息共享、转让或公开披露的主要对象发生变化;
4.您参与个人信息处理方面的权利及其行使方式发生重大变化;
5.我行负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;
6.个人信息安全影响评估报告表明存在高风险时。
如果我行对本政策做出变更,我行将发布变更后的本政策,并更新本政策顶端的“更新日期”。
八、我行如何收费
您通过我行常银生意App办理业务的,我行将按照我行对外公示的收费项目及收费标准收取相关费用,具体以我行最新公告为准。您可通过我行官网(www.csrcbank.com)、客服热线(956020)、我行营业网点或我行支持的其他渠道查询。
如遇收费项目或标准调整的,我行通过公告形式告知您。您有权决定是否接受,如您不接受的,您可向我行提出申请变更或终止相关服务;否则,视为您同意接受公告内容。
九、我行如何处理 18 周岁以下人士和中国大陆境外人士的信息
我行客户端上的产品、服务面向 16 周岁及以上人士,我行暂不支持 16 周岁以下人士创建自己的银行账户。
如果您为16周岁及以上但不满 18周岁的人士,请您在您的父母或者监护人仔细阅读本政策,并在征得您父母或监护人同意本政策及有关协议的前提下,向我行提供您的个人信息和使用我行的服务。对于经父母或监护人同意而收集的个人信息,我行只会在法律允许、父母或监护人明确同意或者保护您的权益所必要的情况下使用或共享或公开披露此信息。如果您的父母或监护人不同意您按照本政策使用我行的服务,请您立即终止使用我行的常银生意服务并及时通知我行,以便我行采取相应的措施。如果您为未成年人的父母或监护人,当您对您所监护的未成年人的个人信息处理存在疑问时,请通过本政策中的联系方式联系我行。
如果您为16周岁及以上的中国大陆境外人士,对于经您同意而收集的个人信息,我行将按照中国相关法律法规及本政策收集、使用、储存和共享您的相关信息。本政策中的“中国大陆境外人士”是指未持有有效的中国大陆境内居民身份证或者临时居民身份证的人士。
十、我行如何处理儿童的个人信息保护
1.我行客户端上的产品、服务主要面向成人。如果没有父母或监护人的同意,未成年人不得创建自己的用户账户。对于经父母或监护人同意而收集未成年个人信息的情况,我们只会在受到法律允许、父母或监护人明确同意或者保护儿童所必要的情况下使用或公开披露此信息;
2.尽管当地法律和习俗对未成年人的定义不同,但我们将不满14周岁的任何人均视为未成年人;
3.如果我们发现自己在未事先获得可证实的父母或监护人同意的情况下收集了未成年人的个人信息,则会设法尽快删除相关数据;
4.如您为未成年人的父母或监护人,当您对您所监护的未成年人的个人信息处理存在疑问时,可以通过拨打我行的24小时客服热线956020与我行联系。
十一、管辖法律与争端解决
本政策的生效、履行、解释及纠纷解决,适用中华人民共和国大陆地区法律。
本政策签订地为中华人民共和国江苏省常熟市。
若您与我行之间发生任何纠纷或争议,首先应友好协商解决;协商不成的,您同意将纠纷或争议提交本政策签订地(即中国江苏省常熟市)有管辖权的人民法院管辖。
十二、如何联系我行
如您对本政策存在任何疑问,或任何相关的投诉、意见,您可以通过我行营业网点或致电我行24小时客服热线956020等客户服务渠道与我行联系;
在受理您的问题后,我行会及时、妥善处理,一般情况下我行将在15个工作日内予以答复并处理,但法律法规或监管机构另有规定的除外。
公司名称:江苏常熟农村商业银行股份有限公司
注册地址:江苏省常熟市新世纪大道58号
个人信息保护电子邮箱地址:jsc@csrcbank.com