上班族令牌隐私保护政策
更新日期:2023年6月25日生效日期:2023年6月25日
上海上班族数字科技有限公司(简称“我们”)依据《中华人民共和国网络安全法》、《个人信息保护法》、《信息安全技术个人信息安全规范》(GB/T35273-2017)》以及其他相关法律法规和技术规范对《上班
族令牌隐私保护政策》(下称“本隐私政策”)进行了更新,详细说明上班族令牌会如何收集、使用和存储你的个人信息及你享有何种权利,请你在使用上班族令牌之前,阅读、了解并同意本隐私政策。如您对本隐私政策条款有任何异议或疑问,您可通过本《上班族令牌隐私保护政策》第9条“联系我们”中公布的联系方式与我们沟通。其中要点如下:
i.我们将逐一说明我们收集的你的个人信息类型及其对应的用途,以便你了解我们针对某一特定功能所收集的具体个人信息的类别、使用理由及收集方式。
i.当你使用一些功能时,我们会在获得你的同意后,收集你的一些敏感信息,例如你在使用上班族令牌健步走功能时我们会收集你的微信运动步数信息。除非按照相关法律法规要求必须收集,拒绝提供这些信息仅会使你无法使用相关特定功能,但不影响你正常使用上班族令牌的其他功能。
i.目前,上班族令牌不会主动共享或转让你的个人信息至上海上班族数字科技有限公司外的第三方,如存在其他共享或转让你的个人信息或你需要我们将你的个人信息共享或转让至上海上班族数字科技有限公司外的第三方情形时,我们会直接征得或确认第三方已征得你对上述行为的明示同意,但因保护用户权益或保护上班族令牌生态安全需要除外。此外,我们会对对外提供信息的行为进行风险评估。
iv.目前,上班族令牌不会主动从上海上班族数字科技有限公司外的第三方获取你的个人信息。如未来为业务发展需要从第三方间接获取你的个人信息,我们会在获取前向你明示你个人信息的来源、类型及使用范围,如上班族令牌开展业务需进行的个人信息处理活动超出你原本向第三方提供个人信息时的授权同意范围,我们将在处理你的该等个人信息前,征得你的明示同意;此外,我们也将会严格遵守相关法律法规的规定,并要求第三方保障其提供的信息的合法性。
v.你可以通过本指引所列途径访问、更正、删除你的个人信息,也可以撤回同意、注销帐号、投诉举报以等隐私功能。
vi.为了在本指引下收集你的信息,或者向你提供服务、优化我们的服务以及保障你的帐号安全,我们将需要向你索取相关的权限;其中的敏感权限例如精确地理位置、摄像头、麦克风、相册等均不会默认开启,只有在你明确同意后才会向我们授权。
需要特别说明的是,获得敏感权限是我们收集特定信息的必要而非充分条件。我们获得具体某一项敏感权限并不代表我们必然会收集你的相关信息;即使我们已经获得敏感权限,也仅在必要时、根据本指引来收集你的相关信息。
如你想了解更加详尽的信息,请根据以下索引阅读相应章节:
本隐私政策适用于上班族令牌产品自身的功能及服务,不适用于任何其他第三方提供的产品或服务(以下统称“第三方服务”),你在选择使用第三方服务前应充分了解第三方服务的产品功能及隐私保护政策。
本隐私指引将帮助你了解以下内容:
1.我们收集哪些类型的信息
2.我们如何存储这些信息
3.我们如何保护这些信息
4.我们如何使用这些信息
5.信息的分享和对外提供
6.你如何访问和管理个人信息
7.未成年人保护
8.本隐私指引的变更
9.联系我们相关定义:
上班族令牌:上班族令牌是由上班族公司提供的一款专注于为上班族SaaS系统景提供令牌解决方案的产品。将手机令牌与身份认证系统(例如OTP Server4.8身份认证系统)相结合,可以为用户提供一个使用简单、安全性高、稳定性好、成本低廉的双因子身份认证解决方案。为提升登录及交易体验,维护服务的安全稳定运行,预防交易和资金风险,当您使用“我们的”服务时,我公司会收集以下信息,包括您的设备型号、操作系统、唯一设备标识符、登录IP地址、接入网络的方式、类型和状态、网络质量数据及服务日志相关的信息地理位置信息。
个人用户:指被企业用户邀请加入企业工作平台,注册使用上班族令牌的个人用户,以下称“你”或“最终用户”。当企业用户邀请你作为最终用户接入其工作平台,你会收到邀请并可以选择是否加入该企业用户。
个人信息:指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人敏感信息:指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、通信记录和内容、财产信息、行踪轨迹、健康、生理信息、交易信息 等。
1.我们收集哪些类型的信息为了向你和企业用户提供服务、保障服务的正常运行、改进和优化我们的服务以及保障帐号安全,上班族令牌会按照如下方式收集你在注册、使用服务时主动提供、授权提供或因为使用服务而产生的信息:
1.1帐号注册信息:当你首次登录/注册上班族令牌,你需要提供你的手机号或提供你的邮箱帐号,上述信息为你使用上班族令牌所必需,若你不提供这类信息,你将无法正常使用我们的服务。
1.2当你使用上班族令牌服务时,为向你及企业用户提供上班族令牌产品及服务,维护我们服务的正常运行,改进及优化我们的服务体验以及保障你的帐号安全,我们会收集你下述信息:
1.2.1设备信息:根据你在安装及使用上班族令牌服务过程中的设备型号及授予的权限,我们会收集使用上班族令牌服务的设备相关信息,包括设备型号、操作系统、唯一设备标识符、设备所在位置信息(如登录IP地址、
GPS位置以及能够提供相关信息的Wi-Fi接入点等相关信息)、上班族令牌软件版本号以及设备加速器(如重力感应设备)等。
1.2.2日志信息:当你使用上班族令牌服务时,我们会收集你对服务使用的日志信息,包括接入网络的方式、类型和状态、网络质量数据、操作日志、服务日志信息(如你在上班族令牌查看的网址信息、服务故障信息等)。
1.3为提供办公管理及通讯服务,我们会收集企业用户和该企业用户的最终用户使用上班族令牌过程中提交或产生的信息和数据(下称“企业控制数据”),企业控制数据可能包括:
1.3.1你的姓名、照片、性别、手机号码以及身份证等企业用户提交或要求你提供的个人信息;
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。本隐私政策中可能涉及的个人信息包括:基本信息;网络身份标识信息(包括账号、IP地址及与前述有关的密码);个人常用设备信息(包括设备名称、设备型号、操作系统和应用程序版本、设备设置、唯一设备标识符、设备环境等软硬件特征信息);个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,本隐私政策中可能涉及的个人敏感信息包括:您的生物识别特征(静态或动态的面部特征);个人身份信息(包括身份证、驾驶证、户口本);网络身份识别信息(包括账户名、账户昵称、及与前述有关的密码与密码保护问题和答案);个人财产信息(银行账号、交易和消费记录、信贷记录以及虚拟财产信息等);其他信息(行踪轨迹、通讯录信息、住宿信息、精准定位信息等);14周岁以下的儿童信息。以上个人信息和个人敏感信息包含的内容出自于GB/T35273-2017《个人信息安全规范》。
1.3.2你在使用签到功能时的地理位置信息及签到记录、审批记录、文件盘文档信息等;
1.3.3其他由企业用户提交的数据,如组织架构、审批流程等。
你理解并同意,企业用户为企业控制数据的控制者,我们仅根据企业用户的指示(包括企业用户以及企业用户管理员通过管理后台进行的操作等)以及我们与企业用户间的协议进行相应的处理。如果你对以上企业控制数据的收集目的、范围和使用方式有任何疑问或意见,请联系你所在企业用户或企业用户管理员处理。
1.4来自第三方提供的信息
我们会收集你同意或授权第三方向上班族令牌共享或提供的相关数据,如当你或你所在企业用户通过上班族令牌网页或终端使用第三方产品或服务,第三方服务提供者可使用我们的API或SDK告知我们你使用了哪些第三方产品或服务。
为了维护和改善我们的服务,为你提供更好的体验,在某些特定的使用场景下,我们会使用具有相应业务资质及能力的第三方服务SDK来为你提供服务,具体包含以下几种:
SDK名称 使用目的 涉及个人信息
隐私权政策链接
uni-app(5+、web2app) 基础模块 存储的个人文件,设备信息(IMEI、MAC、AN
https://ask.dcloud.net.cn/article/36
移动安全联盟 OAID Fresco图库
glide图库 gif-drawable
fastjson
获取oaid
用于nvue页面加载图片使用用于图片预览使用
加载gif图
JSON解析
DROID_ID、DEVICE_ID、IMSI),网络信息
设备信息
存储的个人文件存储的个人文件
存储文件
无
937
http://www.msa-alliance.cn/col.jsp
?id=105
https://www.fresco-cn.org/ http://bumptech.github.io/glide/
https://github.com/koral--/android- gif-drawable
https://github.com/alibaba/fastjson
需要特别说明的是,第三方服务提供者可以通过上班族令牌网页或终端向你或企业用户提供产品或者服务,你所加入的企业用户可以选择是否开发或使用第三方服务、可以选择使用何种第三方服务以及何时终止或取消对第三方服务的使用。在使用过程中,第三方服务提供者可能会收集、使用和存储你的相关数据或信息。你在决定是否使用该等服务前,请向第三方服务提供者充分了解其个人信息和隐私保护策略,或联系你的企业用户了解更多信息。
特别地,如你使用部分手机厂商(如小米、华为、VIVO、OPPO等品牌)的手机使用上班族令牌,我们接入的上述手机厂商PushSDK需要收集手机唯一标识信息(例如IMEI),并可能会收集你的手机型号、系统类型、系统版本、设备屏幕尺寸等参数用于实现我们产品信息的发送,具体情况请参见SDK运营方的隐私政策或相关声明。
APP其他关于IMEI的描述:
(1)获取手机设备识别码和状态:用于获取用户设备的IMEI,通过IMEI对用户进行唯一标识,以便提供统计用户数量,不开启不影响应用正常使用。
(2)我们会收集您的IMEI、SIM卡IMSI信息、SD卡数据、设备MAC地址、设备序列号、androidID、安装的应用信息或运行中的进程信息。目的:存储为服务日志信息。当我们的系统发生故障时,我们
会记录和分析系统故障时产生的信息,优化我们的服务。方式:当您使用我们的服务时,系统自动上传。
请你理解,我们向你提供的功能和服务是不断更新和发展的,如果某一功能或服务未在前述说明中且需要收集你的信息,我们会通过页面提示、交互流程、网站公告等方式另行向你说明信息收集的内容、范围和目的,以征得你的同意。
自启动和关联启动说明
1、为确保本应用处于关闭或后台运行状态下可正常接收到客户端推送的信息,本应用须使用(自启动)能力,将存在一定频率通过系统发送广播唤醒本应用自启动或关联启动行为,是因实现功能及服务所必要的。
2、当您打开内容类推送消息,在征得您的明确同意后,会跳转打开相关内容。在未征得您同意的情况下,则不会有自启动或关联启动。
3、当您打开本App内部下载的文件后,会关联启动第三方APP。
2.我们如何存储这些信息2.1信息存储的地点
我们会按照法律法规规定,将境内收集的用户个人信息存储于中国境内。如果你的个人信息存储地点从中国境内转移到境外
的,我们将严格依照法律的规定执行。
2.2 信息存储的期限
一般而言,我们仅在为实现目的所必需的时间内保留你的个人信息,例如:
手机号码:无论你是通过手机号码注册还是已有上班族令牌帐号辅助注册新上班族令牌帐号,若你需要使用上班族令牌服务,我们需要一直保存你的手机号码(包括初始注册手机号码、绑定的手机号码等),以保证你正常使用该
服务。当你注销上班族令牌帐号后,我们将删除相应的信息;
当我们的产品或服务发生停止运营的情形时,我们将以发送通知、公告等形式通知你,并在合理的期限内删除你的个人信息或进行匿名化处理(所谓“匿名化处理”,是指通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的信息不属于个人信息。)。
3.我们如何保护这些信息
3.1我们努力为用户的信息安全提供保障,以防止信息的丢失、不当使用、未经授权访问或披露。
3.2我们将在合理的安全水平内使用各种安全保护措施以保障信息的安全。例如,我们会使用加密技术(例如,SSL/TLS)、匿名化处理等手段来保护你的个人信息。
3.3我们建立专门的管理制度、流程和组织以保障信息的安全。例如,我们严格限制访问信息的人员范围,要求他们遵守保密义务,并进行审计。
3.4若发生个人信息泄露等安全事件,我们会依法启动应急预案,阻止安全事件扩大,并以发送通知、公告等形式告知你安全事件的情况、事件可能对你的影响以及我们将采取的补救措施。我们还将按照法律法规和监管部门要求,上报个人信息安全事件的处置情况。
3.5目前,上班族令牌在信息安全方面已达到ISO/IEC27001等国际及国内权威认证标准的要求,并已获得了相应的认证。
4.我们如何使用信息我们严格遵守法律法规的规定及与用户的约定,将收集的信息按照本隐私保护指引的规定用于以下用途。
4.1我们在你使用上班族令牌服务过程中收集相关的信息是为了向上班族令牌用户(包括企业用户和最终用户)打造和提供更好的服务。我们会将收集的信息用于以下用途:
4.1.1提供、维护及开发上班族令牌服务:我们会利用收集的信息来提供和优化改进上班族令牌服务,例如,跟踪服务中断情况或排查上班族令牌用户向我们报告的问题;根据上班族令牌日志、服务使用信息等为你或你所在企业用户提供各类数据统计分析功能及服务。
4.1.2安全保障:为保障你以及所有上班族令牌用户的安全,我们会利用相关信息协助提升上班族令牌服务的安全性和可靠性,包括检测、防范和应对可能危害上班族令牌、我们的用户或公众的欺诈行为、滥用行为、非法行为、安全风险和技术问题等;
4.1.3与你沟通:我们会利用收集的信息(例如你提供的电子邮件地址、企业用户的管理者联系邮箱、电话等)直接与你沟通。例如,如果我们检测到可疑活动(如尝试从不同于平常的位置登录你的上班族令牌),则可能会向你发送通知,我们可能会让你了解上班族令牌即将发生的变化或即将进行的改进。
4.1.4为了遵从相关法律法规、部门规章、政府指令的相关要求。目前,我们不会将你的个人信息用于展示。如我们使用你的个人信息,超出了与收集时所声称的目的及具有直接或合理关联的范围,我们将在使用你的个人信息前,通过页面提示、交互流程、网站公告等方式另行向你告知并征得你的明示同意。
4.2对于企业控制数据的使用,我们将根据企业用户的决定以及我们与企业用户的相关协议依法予以处理。例如,企业用户有权决定在上班族令牌内展示哪些以及如何展示最终用户的相关信息。
4.3根据相关法律法规及国家标准,以下情形中,我们可能会收集、使用你的相关个人信息无需征求你的授权同意:
a) 与个人信息控制者履行法律法规规定的义务相关的;
b) 与国家安全、国防安全直接相关的;
c) 与公共安全、公共卫生、重大公共利益直接相关的;
d) 与刑事侦查、起诉、审判和判决执行等直接相关的;
e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
f) 所涉及的个人信息是个人信息主体自行向社会公众公开的;
g) 根据个人信息主体要求签订和履行合同所必需的;
h) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
i) 维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障;
j) 个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;
k) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要, 且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标 识化处理的。
5.信息的分享及对外提供我们不会共享或转让你的个人信息至第三方,但以下情况除外:
5.1获取你的明确同意:经你事先同意,我们可能与第三方分享你的个人信息;
5.2为实现外部处理的目的,我们可能会与关联公司或其他第三方合作伙伴(第三方服务供应商、承包商、代理、应用开发者等)分享你的个人信息,让他们按照我们的说明、隐私政策以及其他相关的保密和安全措施来为我们处理上述信息,并用于向你提供我们的服务,实现“我们如何使用信息”部分所述目的。如我们与上述关联公司或第三方分享你的信息,我们将会采用加密、匿名化处理等手段保障你的信息安全。
5.3我们不会对外公开披露所收集的个人信息,如必须公开披露时,我们会向你告知此次公开披露的目的、披露信息的类型及可能涉及的敏感信息,并征得你的明示同意。需要特别说明的是,对最终用户相关信息如何在其加入的企业用户工作平台中披露或对外共享,由企业用户决定并管理。
5.4随着我们业务的持续发展,我们有可能进行合并、收购、资产转让等交易,我们将告知你相关情形,按照法律法规及不低于本隐私指引所要求的标准继续保护或要求新的控制者继续保护你的个人信息。
5.5我们可能基于法律要求或相关部门的执法要求披露你的个人信息。
6.如何撤回同意收集个人信息你可以将你的问题发送到邮箱:kefu@shangbanzu.gift我们将尽快审核所涉问题,并在验证你的用户身份后1-3个工作日内为你取消授权收集个人信息。
7.未成年人保护我们非常重视对未成年人个人信息的保护。根据相关法律法规的规定,若你是未成年人,在使用上班族令牌服务前,应事先取得你的家长或法定监护人的书面同意。若你是未成年人的监护人,当你对你所监护的未成年人的个人信息有相关疑问时,请通过第9节中的联系方式与我们联系。
8.本隐私指引的变更我们可能会适时对本隐私指引进行修订。当本隐私指引的条款发生重大变更时,我们将会通过官网公告(https://www.shangbanzugroup.com/)、发送通知或者更为显著的弹窗方式向你告知。本条所指的重大变更包括但不限于:
1)我们的服务模式发生重大变化,如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
2)我们在所有权结构、组织架构等方面发生重大变化,如业务调整、破产并购等引起的所有者变更等;
3)个人信息共享、转让或公开披露的主要对象发生变化;
4)你参与个人信息处理方面的权利及其行使方式发生重大变化;
5)我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;
6)个人信息安全影响评估报告表明存在高风险时。
9.与我们联系当你有其他的投诉、建议、未成年人个人信息相关问题时,请通过客服热线:400-088-8635与我们联系。你也可
以将你的问题寄到如下地址:
上海市静安区中山北路470号3号楼403-410室法务部数据及隐私保护中心(收)邮编:200040
我们将尽快审核所涉问题,并在验证你的用户身份后的十五天内予以回复。