隐私政策

隐私政策 — SAP Business ByDesign
本隐私政策适用于思爱普(中国)有限公司（其是一家按照中国法律组建的SAP子公司，注册地址为上海市南京西路1717号会德丰广场47楼，200040）（以下简称 “SAP” ）面向中华人民共和国（中国）市场发布的SAP Business ByDesign 移动应用（以下简称“SAP Business ByDesign”）。
更新日期：2022 年 5 月
本隐私政策将帮助您了解以下内容：
I. SAP如何收集和使用您的个人信息？
II. SAP如何使用 Cookie？
III. SAP如何共享、转让、公开披露您的个人信息？
IV. SAP如何保护您的个人信息？
V. 您的权利。
VI. 儿童个人信息的处理。
VII. 您的个人信息如何在全球范围内传输？
VIII. 本隐私政策如何更新？
IX. 如何联系SAP？
I. SAP如何收集和使用您的个人信息？
本隐私政策概述了SAP如何处理可用于直接或间接识别个人的信息（“个人信息”）。
您的雇主、客户公司、业务部门、机构或其他提供实体（“贵公司”）可能订阅了由中数通信息有限公司（针对在中国境内托管的云服务）或 SAP 集团的成员公司（针对在中国境外托管的云服务）（“云服务提供商”）所提供的 SAP Business ByDesign 按需服务（“云服务”）。请咨询贵公司，了解云服务数据中心的位置。本隐私政策不会更改贵公司和云服务提供商之间就云服务达成的商业协议中的任何条款。

贵公司作为数据控制方，控制着根据适用的数据保护法在云服务中托管的个人信息。云服务提供商根据贵公司的指示处理此类个人信息。
SAP Business ByDesign 会出于以下目的，收集和处理您的个人信息：
a. 在SAP Business ByDesign 中提供与云服务类似的功能和特性。SAP Business ByDesign 与云服务互联。只要您是贵公司授权访问云服务的用户，您就能通过
SAP 提供的这款SAP Business ByDesign 在移动设备上访问云服务。在云服务中收集或获取的个人信息的类别，部分取决于贵公司订阅了哪些云服务和如何配置云服务。如对云服务如何处理您的个人信息有任何疑问，请联系贵公司。
b. 身份验证。当您登录SAP Business ByDesign 时，SAP Business ByDesign 会收集您的设备唯一标识符、用户名和相关密码信息，用于用户身份验证，然后再允许您访问SAP Business ByDesign 服务。如果您不提供此类信息，SAP Business ByDesign 就无法对您进行身份验证。不经过身份验证，您就无法访问SAP Business ByDesign 服务。
c. 地理位置。要在SAP Business ByDesign 中使用与地理位置相关的SAP Business ByDesign 功能（例如，验证到访实体店），您需要允许SAP Business ByDesign 访问移动设备的地理位置。地理位置信息被认为是个人敏感信息。您可以选择不允许SAP Business ByDesign 访问您的地理位置信息。在这种情况下，您将无法使用与地理位置相关的SAP Business ByDesign 功能，但这不会影响您正常使用其他SAP Business ByDesign 功能。此外，您随时可以通过在移动设备的设置中关闭SAP Business ByDesign 对地理位置的访问来撤回同意。
d. 日历。要使用日历功能访问日历数据，以便使用此SAP Business ByDesign 记录时间，您需要授予SAP Business ByDesign 访问移动设备日历的权限。
日历信息可能被视为敏感的个人信息。您可以选择不授予SAP Business ByDesign 访问日历的权限，这不会影响您对其他SAP Business ByDesign 功能的正常使用。
此外，您可以随时在移动设备的设置中关闭SAP Business ByDesign 对日历的访问权限，撤消您的许可。
e. 数据分析。SAP在某种程度上可以利用您的个人信息以及所述的您使用SAP Business ByDesign 所产生的信息创建分析。该信息分析将采用匿名的方式进行。分析可用于以下目的：(i) 产品改进（尤其是产品的功能、特性、工作流程以及用户界面）及新产品和服务的开发，(ii) 资源分配及支持的优化，(iii) 制定内部需求计划，(iv) 培训、开发机器学习算法，(v) 改善产品性能，(vi) 验证安全性及数据完整性，(vii) 识别行业趋势和发展指标及匿名对标。
请注意，SAP Business ByDesign 收集的个人信息将上传至由贵公司控制的云服务实例。您提供上述个人信息，即表示您授权贵公司和SAP在云服务中收集、存储、使用或以其他方式处理这些个人信息。
个人信息的保存期限将依据贵公司作为云服务实例控制方所制定的政策而定。如对个人信息的保存期限或超出保存期限的个人信息处理有任何疑问，请联系贵公司。
II. SAP如何使用 Cookie？
为便于您访问SAP Business ByDesign，SAP会在您的移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符以及一些号码和字符。借助于 Cookie，SAP Business ByDesign 能够临时存储您的个人信息（如登录信息）。SAP不会将 Cookie 用于本隐私政策所述目的之外的任何用途。您可根据自己的偏好管理或删除 Cookie。有关详情，请参见 AboutCookies.org。您随时可以清除在您的移动设备上存储的任何或所有 Cookie。
III. SAP如何共享、转让、公开披露您的个人信息？
(1) 共享
SAP不会与 SAP 及其关联公司以外的任何公司、组织和个人共享您的个人信息，但以下情况除外：
1. 贵公司。SAP Business ByDesign 与云服务互联，支持向云服务上传数据和从云服务下载数据。
2. 供应商、服务提供商和其他合作伙伴。SAP可能会将您的个人信息发送给支持SAP业务的供应商、服务提供商和其他合作伙伴，这些支持包括提供技术和基础设施服务、分析SAP服务的使用方式、衡量服务的有效性、提供客户服务。
3. 适用法律要求的外部组织。根据适用法律法规或主管部门的强制性要求，SAP可能需要与某些外部组织共享您的个人信息。
在适用法律法规允许的最大范围内，SAP会与这些公司、组织和个人签署严格的保密协议或数据处理协议，要求他们按照SAP的说明、本隐私政策以及其他任何相关的保密和安全措施来处理个人信息。
(2) 转让
如果SAP控制了任何用户个人信息，SAP不会将此类个人信息转让给 SAP 集团公司之外的任何公司、组织和个人，但以下情况除外：
1. 获得用户的明确同意。除非事先获得您的明确同意，否则SAP不会向第三方转让您的个人信息。
2. 合并、收购或破产。在发生涉及个人信息转让的合并或收购或破产或清算时，SAP会要求新的持有您个人信息的公司或组织继续受本隐私政策的约束，否则SAP将要求该公司或组织重新向您征求授权同意。
(3) 公开披露
SAP不会公开披露您的个人信息，但以下情况除外：
1. 获得您的明确同意。
2. 基于法律的披露：在适用法律、法律程序、诉讼或主管部门强制性要求的情况下，SAP可能会公开披露您的个人信息。
IV. SAP如何保护您的个人信息？
(1) SAP已使用符合业界标准的安全防护措施来保护SAP通过SAP Business ByDesign 收集的个人信息，防止此类个人信息遭到未经授权访问、公开披露、使用、修改、损坏或丢失。SAP会采取一切合理的措施来保护您的个人信息。例如，SAP会使用受信赖的保护机制防止此类个人信息遭到恶意攻击；SAP会部署访问控制机制，确保只有授权人员才可访问此类个人信息。
(2) SAP会采取一切合理的措施，确保未收集无关的个人信息。SAP只会在达成本隐私政策所述目的所需的期限内保留您的个人信息，除非根据适用法律的需要或允许延长保存期。
(3) SAP已采取适当措施来防止您的个人信息遭丢失、滥用或未经授权的访问。SAP将适当采用加密技术（例如 SSL）、匿名技术等合理的安全防护措施来确保您个人信息的安全。SAP不仅在SAP Business ByDesign 程序的沙盒环境中SAP Business ByDesign 移动端操作系统提供的保护机制，同时您的个人信息还将受到基于 256 位高级加密标准 (AES) 或更好方法的SAP Business ByDesign 程序级加密保护。此外，SAP可能会向贵公司提供一些可自行选择部署的安全防护措施来帮助管理SAP Business ByDesign，例如单点登录、多重身份验证以及其他移动设备管理安全功能。SAP将不断优化技术措施，保护SAP Business ByDesign收集的个人信息。SAP 已达到并持续符合 C5、ISO22301、ISO27001、ISO27017、ISO27018、SOC1/2 及其他类似国际技术标准的要求。如果出现个人信息安全漏洞，SAP会根据适用法律法规的要求告知贵公司。SAP将协助贵公司告知受影响的用户并处理该安全事件。
V. 您的权利。
按照适用的法律法规，SAP保障您对自己的个人信息行使特定权利。
SAP Business ByDesign 收集的大部分个人信息都由贵公司控制。对于由SAP控制的个人信息，如有任何问题或疑虑，请通过https://support.sap.com/en/contact-us.html 联系SAP。如果SAP保存的信息中包含与您关联的标识符，您可以行使以下权利：
(1) 访问您的个人信息
您有权访问由SAP控制的您的个人信息，但适用法律法规规定的例外情况除外。如果您想行使个人信息访问权，请通过https://support.sap.com/en/contact-us.html 联系SAP。在不会产生较高成本或造成其他较大困难的情况下，应您的书面请求，SAP可以提供您在使用SAP Business ByDesign 期间所产生的、由SAP控制的您的个人信息（如有）的副本。如果您想访问此类个人信息，请通过https://support.sap.com/en/contact-us.html 联系我们。
(2) 更正您的个人信息
由于SAP（作为数据控制方）收集的个人信息类型非常有限，您不太可能需要更正由SAP控制的您的个人信息。但是，如果您发现SAP控制的您的个人信息有错误，您有权要求SAP做出更正。您可以通过 https://support.sap.com/en/contact-us.html 联系SAP来要求更正。
(3) 删除您的个人信息
在以下情况下，您可以通过 https://support.sap.com/en/contact-us.html 发送删除由SAP控制的您的个人信息的请求：
1. 如果SAP处理您个人信息的行为违反了适用法律法规；
2. 如果SAP收集、使用您的个人信息，却未征得您的同意；
3. 如果SAP处理您个人信息的行为违反了与您的约定；
4. 如果您不再使用SAP Business ByDesign，或您取消了账号；
5. 如果SAP不再为您提供SAP Business ByDesign。
如果SAP同意了您的删除请求，SAP也会通知从SAP这里获取了此类个人信息的实体，要求其立即删除，除非法律法规另有规定，或这些实体已单独获得您的授权。
在SAP Business ByDesign 上删除您的个人信息时，该删除会及时同步并体现到云服务的生产实例中。不过，从备份系统中全部删除可能会需要较长时间，因为备份程序是按计划定期运行的。
(4) 取消您的账号
您随时可以取消使用SAP Business ByDesign。取消使用SAP Business ByDesign后，SAP Business ByDesign 将不会在您的移动设备中存储任何您的个人信息。由于云服务由贵公司控制，因此，如果您对如何取消云服务账号有任何疑问，请联系贵公司。
(5) 响应您的上述请求
请以书面形式提出请求。为保障安全，SAP可能会先要求您验证自己的身份，然后再处理您的请求。SAP将在您完成身份验证后的15个工作日内做出答复。如有任何疑虑，请通过 https://support.sap.com/en/contact-us.html 联系SAP。
对于合理的请求，SAP一般不收取费用。但对多次重复、超出合理限度的请求，SAP将根据处理成本酌情合理地收取一定费用。对于那些无端重复、需要过多技术手段（例如，需要开发新系统或从根本上改变现行惯例）、给他人合法权益带来风险或者非常不切实际（例如，要求用磁带备份存储的个人信息）的请求，SAP有权予以拒绝。
在下列情况下，按照适用法律法规要求，SAP将无法响应您的请求：
1. 与国家安全、国防安全直接相关；
2. 与公共安全、公共卫生、重大公共利益直接相关；
3. 与犯罪侦查、起诉、审判和判决执行等直接相关；
4. 有充分证据表明您存在主观恶意或滥用权利；
5. 响应您的请求将导致数据当事人或其他个人、组织的合法权益受到严重损害；
6. 涉及商业秘密。
VI. 儿童个人信息的处理。
SAP Business ByDesign及任何相关的网站、产品和服务主要面向成年人。SAP将所有未满 14 周岁的人视为儿童。您声明并保证您不是儿童，您是一个成年人，您不会在未经儿童父母或监护人明确同意的情况下通过SAP Business ByDesign传输任何儿童的个人信息。如果SAP发现自己在未获得可验证的儿童父母或监护人同意的情况下收集了儿童的个人信息，SAP会设法尽快删除相关数据。
VII. 您的个人信息如何在全球范围内传输？
SAP Business ByDesign与可能在中国境内或境外托管的云服务互联。（请参见上述第 I 节。）鉴于SAP可能通过遍布全球的服务器和资源提供产品或服务，您同意您的个人信息可能会传输至您使用SAP Business ByDesign时所在的国家/地区之外的辖区。此类辖区可能设有不同的数据保护法，甚至未设立相关法律。但是，对于由SAP控制的您的个人信息，SAP会确保此类个人信息获得不少于中国境内的个人信息保护法所提供的保护。同意本隐私政策，即表示您同意上述在中国境外地区存储和处理您的个人信息。
VIII. 本隐私政策如何更新？
SAP可能会不时更新本隐私政策。未经您明确同意，SAP不会削减您按照本隐私政策所应享有的权利。SAP Business ByDesign将通过弹出通知或其他有效方式提醒您相关内容的更新，并征求您对新版隐私政策的明确同意。
IX. 如何联系SAP？
如您对本隐私政策有任何疑问、意见或建议，请通过以下地址与SAP联系：https://support.sap.com/en/contact-us.html。一般情况下，SAP将在 15 个工作日内回复。