发布日期:2024 年 4 月 11 日
生效日期:2024 年 4 月 11 日
变更修订内容告知说明:
此版本主要更新内容包括:(1)增加基本业务功能、扩展业务功能分类并列举对应的必要个人信息、非必要个人信息;(2)补充电子签章业务获取手机相机、文件权限的目的、方式、范围;(3)提供个人信息保护机构或负责人联系方式。
感谢您对深圳市电子商务安全证书管理有限公司(以下简称“SZCA”或“我们”)的信任。我们深刻认识并理解个人信息对您的重要意义,并通过技术、政策、制度、流程等多项措施加强个人信息安全及保护。
《SZCA掌信签个人信息保护政策》(以下简称“本政策”)将向您说明我们如何收集、存储、使用及对外提供、转让您的个人信息,并说明您所享有的访问、更正、删除、改变授权同意范围、账户注销、获取个人信息副本等权利。
本政策适用于SZCA掌信签网站、APP、微信小程序、H5、公众号及SDK等业务平台提供的产品及其相关服务。对于SZCA掌信签业务平台中接入提供产品服务、广告推广、或建立其他关联业务合作关系的第三方的产品服务,适用第三方的个人信息保护政策。
SZCA成立于2000年,注册地址为:深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦9层01、02、03、04-1、06、07、08号房。如果您有任何疑问、意见或建议,请通过以下联系方式与SZCA联系:
1)公司名称:深圳市电子商务安全证书管理有限公司
2)联系电话:0755-26588388、4001123838
3)联系邮箱:kfzz@szca.com.cn
4)个人信息保护机构及联系方式:深圳CA技术部门,PUB_JRYZTSZCAJSZX@ocft.com
5)邮寄地址:深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦9层01、02、03、04-1、06、07、08号房
本政策的主要要点如下:
1、为了向您提供产品和服务,SZCA按照合法、正当、必要和诚信的原则开展个人信息处理活动,具体包括:权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则;
2、SZCA将结合具体的产品和服务功能,向您逐一说明所收集的信息类型与用途;
3、为向您提供某些产品与/或服务之目的,我们可能需要将您的个人信息向第三方提供并由其处理。我们将在评估并确认第三方满足收集个人信息的合法、正当、必要性之后,向第三方提供您的个人信息,并要求其按照法律、法规的规定及国家标准,对您的个人信息采取严格的保护措施。
4、将您的个人信息向第三方提供之前,我们将通过弹窗、勾选等方式征得您的单独同意,但依法无需获得授权同意的场景除外。因向您提供产品与/或服务所需,我们拟超出原本的获得的授权同意范围处理您的个人信息前,将会再次征得您的同意。
5、您可以通过本政策所列的方式实现您对个人信息的有关权利,您也可以在权利受到侵害的情形下向我们进行举报。
1.业务平台:包括域名或网址为 https://msec.szca.com/ 的网页及名称包括或含有掌信签(或其变更使用的其他官方名称)的APP、微信小程序、公众号、H5、网站等SZCA注册、备案、开发并运营的自有客户服务平台。
2.个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。本政策中所涉个人信息将采用划线加粗方式标注提示。
3.有权的国家机关、企事业单位或其他组织:拥有合法资质的数据库运营机构,包括公安部、银联、国家工商部门、运营商、征信机构,及其代理商、关联公司等。
4.关联公司:控制某一实体、受某一实体控制或与某一实体处于共同控制下的公司、机构。“控制”指通过所有权、有投票权的股权、合同、实际运营关联或其他被依法认定的方式直接或间接拥有影响对被控制对象管理/经营的能力。
5.敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及儿童的个人信息。本政策中所涉敏感个人信息将采用划线加粗及星号方式标注提示。
6.儿童:不满十四周岁的未成年人。
在使用SZCA的掌信签产品与/或服务或业务平台前,请您务必仔细阅读并理解《SZCA掌信签个人信息保护政策》,特别是加粗字体、下划线加粗、标注星号等显著方式标识的条款,请您特别注意,并请在充分理解同意本政策后开始使用业务平台。如果您不同意本政策的全部内容,请不要进行后续操作并提供您的任何个人信息。
本政策将帮助您了解详细内容:
根据相关法律、法规和监管要求,遵循合法、正当、必要的原则,收集和使用您的个人信息。如果您提供的是他人个人信息,请您确保已取得相关主体的授权,我们保留随时核查这些个人信息合法来源的权利。我们收集和使用您的个人信息区分两类不同功能需求:
基本业务功能。基本业务功能是实现向您提供产品与服务所必需,或是为防范风险、保障安全、实现合规所必要,您应按照我们的功能需求向我们提供或允许我们收集和使用您的必要个人信息;
扩展业务功能。扩展业务功能是为了向您提供更多可自主选择的相关便捷服务,进一步提升您的用户体验。您可以自主决定是否向我们提供相关个人信息以使用我们提供的扩展业务功能。如果您拒绝在扩展业务功能下授权个人信息,将导致这些功能无法实现,但并不会影响您对基本业务功能的使用。我们亦会为您提供扩展业务功能下个人信息授权的撤回取消途径。
本政策下基本业务功能和扩展业务功能下收集和使用个人信息说明如下,其中个人信息我们将采用下划线加粗、下划线加粗及星号方式分别标注个人信息、个人敏感信息:
(一)基本业务功能
1.账户注册与认证
掌信签官网仅提供产品展示下载功能,您无需主动提供任何个人信息即可浏览。
掌信签的app、小程序、公众号等直接提供产品服务的业务平台注册登录,您需主动输入填写设置授权的账号,并输入填写授权码。授权码是由SZCA客户购买、获取并分配给您唯一使用,如需获取您的个人授权,需联系您归属的机构,或在您完成实名认证并提供电子邮箱、手机号码给SZCA后,通过电子邮箱、手机号码接收获取。您选择使用微信授权登录掌信签app、小程序、公众号,我们会收集您的微信昵称和头像信息,同时您需要提供手机号码或授权我们获取您的微信关联手机号码注册登录前述业务平台。账号、手机号码为账号注册登录所必要的个人信息。
您注册我们的业务平台账户时,根据法律法规规定的网络实名的要求,SZCA将收集您的姓名、身份证号码*、手机号码用于网站用户实名注册的身份核验。其中姓名、身份证号码、手机号码属于网站注册实名认证所需的必要信息,如您拒绝提供此类信息,将导致无法注册,无法使用业务平台提供的产品服务或基本业务功能。实名认证时,SZCA会将采集到的您的个人姓名、身份证号码*、手机号码身份信息,提交至有权的国家机关、企事业单位或其他组织(即具备合法资质的第三方服务商)进行验证,并获取验证结果。
2.运行安全保障:
为了确保业务平台账号的安全性,在您登录、使用掌信签业务平台的过程中,SZCA可能需要收集您的您的移动设备、软件、网页浏览器或用于接入SZCA服务的其他程序有关常用设备信息及设备操作日志信息,对您进行身份验证、反欺诈检测检查的账号安全运营管理。
(1)常用设备信息:唯一设备识别码、IP地址、MAC 地址、网络类型、运营商类型、WIFI状态、设备端口、系统设置、系统属性、设备型号、设备品牌、设备序列号、设备厂商、操作系统。
(2)设备操作日志信息:包括使用业务平台产品服务的情况,如访问日期时间、访问登录记录、APP安全使用信息、认证日志、业务办理与应用记录。
本款所述信息为设备账号安全运行服务保障所必要的个人信息。
3.业务办理与应用
3.1业务实名认证
在您通过掌信签业务平台向SZCA申请办理SZCA的数字证书产品与/或服务的,您同意按照SZCA的依法设定的业务办理要求及流程,提交本人身份证证件正反面照片*,或填写确认本人的姓名、身份证号码*、手机号码、人脸识别信息(面部静态头像、面部动态视频)*、地址(户籍地址或联系地址)或银行卡开户预留手机号、银行账号申请资料、信息。您申请制作电子印章,还需提交您或您的个人亲笔书写的个人真实姓名的手写签名轨迹图片*。本款所述的姓名、身份证号码、手机号码、人脸识别信息(面部静态头像、面部动态视频)、地址个人信息为数字证书、电子签章认证签发、制作管理所必要的个人信息,银行卡开户的预留手机号、银行账号非必要个人信息,仅在您提供的手机号码非实名注册时以银行卡银联认证作为备用补充认证方式时需提供。
当您与通过SZCA的合作机构业务平台使用掌信签业务平台的有关产品与/或服务时,合作机构在征得您的授权同意后,出于为您申请办理SZCA掌信签产品与/或服务的目的,将通过掌信签业务平台向SZCA传输、提供合作机构采集的SZCA业务办理所必须的上述个人信息。SZCA在受理审核业务申请时,除审核验证您的身份信息之外,也将采取适当措施保障信息提供有得到您的合法授权,要求合作机构承诺采集并提供您的个人信息给SZCA行为的合法合规。
SZCA受理数字证书、电子印章业务的新办、续期、变更、撤销各类业务申请及提供数字证书、电子印章生命周期管理服务时,为了审核验证您的真实身份提供人脸识别服务验证方式,我们将收集您的身份证正反面照片*、人脸识别信息(面部静态头像、面部动态视频)*进行人脸识别认证,收集您的姓名、身份证号码*、手机号码进行电信运营商认证,以审查认证您的身份,验证申请材料、信息的真实性。为实现业务办理实名认证的目的,您同意我们可以自行或委托第三方向依法有权保存您个人身份信息的国家机关、企事业单位或其他组织提供、查询、验证您的前述身份信息并获取验证结果信息(含公安二要素验证结果、电信运营三要素认证结果、银行卡银联四要素认证结果、人脸识别结果)。
SZCA将您提交的申请认证所需的前述个人信息,及从第三方处收集验证的信息,统一汇集,进行比较甄别,在确认您身份真实性的基础上,据此作出数字证书、电子印章业务受理决定。
SZCA开展数字证书、电子签章制作、颁发,处理证书撤销、挂起业务,并公布新办、更新、变更的公钥证书及证书状态信息时,根据国家数字证书、电子印章相关法规、国家标准,签发制作的数字证书将包含您的姓名、地址(包括身份证户籍地或您提交填写的个人联系地址的省、市信息)真实个人信息,电子印章将包含您的个人手写签名轨迹图片*。特定类型数字证书,如场景证书或其他用户定制的证书,也将写入您的设备信息或其他您同意写入证书的个人信息。若您不提供这类信息(含姓名、身份证号码*、身份证正反面图片*、人脸识别信息*、手写签名轨迹图片*),将无法办理、使用SZCA的数字证书、电子印章、电子签署等产品和服务。
3.2业务应用安全控制
为了保障数字证书、电子印章使用的安全性,确保数字证书、电子印章由您本人接收受领、保管或控制使用,SZCA将通过密码验证、短信OTP验证、电话人工验证、人脸识别活体验证方式验证,您同意我们可以通过您自行填写提交的手机号码、电子邮箱或邮寄地址,或授权获取的微信关联手机号码向您发送业务通知、验证信息或寄送业务文件(如发票),或通过使用您的人脸识别信息*、身份证正反面图片*或个人姓名、身份证号码*进行人脸识别认证的身份信息核验,包括授权SZCA通过第三方向政府机构、企事业单位或其他组织查询并获取您的身份信息验证结果(含公安二要素验证结果、电信运营三要素认证结果、人脸识别结果)。其中手机号码、电子邮箱、邮寄地址为联系、通知您进行业务本人使用操作核实确认所必要的个人信息,个人姓名、身份证号码或身份证正反面图片,及人脸识别信息为进行务本人使用操作核实在线人脸识别认证的必要个人信息。
(二)扩展业务功能
1.签名验证服务实名认证
在您办理了数字证书、电子印章业务后,如您提出调取数字证书、电子印章业务办理资料、开具数字证书/电子印章业务证明、或验证电子签署文件的签名效力或完整性等业务需求时,需要您提供个人姓名、身份证号码*、手机号码或电子邮箱,SZCA将与您取得联系,核实您的身份及业务办理情况,方会为您办理资料调取、签名验证出证业务,以保障您的个人信息和业务信息的安全。本款前述信息为核实业务需求所必要的个人信息。在您使用本项产品与/或服务或功能时,SZCA收集和使用您的个人信息,按照上述3.1的规定进行。2.防欺诈风险控制
在您通过掌信签业务平台与我司或第三方因业务发生资金往来,为保障账户资金安全,及履行反洗钱等法律义务,我们会将您的信息用于身份验证、安全防范、可疑或风险交易的检测、预防或禁止非法活动、风险行为之用。
在您使用SZCA的合作机构的产品与/或服务时,当该合作机构采购应用SZCA的身份认证服务对您进行实名认证,以进行欺诈识别筛查与业务风险控制的,您同意SZCA通过合作机构收集您的姓名、身份证号码*、手机号码、身份证正反面图片*、人脸识别信息*,其中姓名、身份证号为业务风险控制实名认证的必要个人信息,身份证正反面、人脸识别信息是否必要取决于业务应用系统的安全需求。SZCA在确保合作机构得到用户合法授权的情况下,对合作机构提供的您的前述个人信息,提供或通过第三方机构给合法存有您信息的国家机关、企事业单位或其他组织核实个人信息的真实性,以保障用户身份的真实性,防范合作机构业务过程中的欺诈或业务虚假行为。
SZCA会对该等合作机构提供的信息来源合法性及获取用户授权作出要求,并在条件允许情况下,与合作机构签订身份鉴别责任划分的协议,确保从合作机构获取的信息的真实性、有效性。但请您理解,基于现有法律法规的规定和权限限制,我们无法保证合作机构网站的运营会完全按照SZCA的要求采取措施,您应当仔细阅读他们的服务协议及隐私保护政策。
3.服务推送与商业营销
您知悉并同意,对于您在使用我们业务平台过程中提供的您的一种或多种联系方式(如:手机号码、电子邮箱、联系地址),我们在运营中可能会向其中的一种或多种发送多类通知,用于业务服务通知(含业务受理通知、业务应用安全通知)、身份验证、安全验证等用途。必要时,也将推送数字证书/电子印章续期或密钥更新通知。手机号码、电子邮箱、联系地址为与您开展业务通知联系的必要个人信息。
另外我们可能会开展用户问卷调研、活动促销、商业推广等市场营销活动,如您主动点击活动链接、扫描活动二维码或填写提交活动问卷等方式提交您的个人信息,我们可能会将通过活动获得的您的相关个人信息,用于您同意参与的商业营销活动。
您可以通过短信回复或电话通知等方式向我们提出关闭、停止通知推送相关服务。
(三)其他个人信息处理规则
1.在收集您的个人信息后,我们会立即通过技术手段对数据进行去标识化处理,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的内部权限管理,去标识化处理的个人信息将无法用于识别您的身份。请您了解,在不对外提供您个人信息的前提下,我们有权对数据库中去标识化的数据进行统计、分析,为我们的商业决策提供产品与/或服务支持,以及改进我们的产品与服务。
2.请您注意,您在使用我们的产品与/或服务时所提供的所有个人信息,除非您已经停止使用我们的产品与/或服务,并向我们提出撤回对使用您个人信息的授权同意,否则我们有权持续使用有关的个人信息。
3.我们会对我们的产品与/或服务使用情况进行统计,并可能会与公众或第三方共享这些统计信息,以展示我们的产品与/或服务的整体使用趋势。但这些统计信息将采用脱敏、去标识化、匿名化等方式处理并将不包含您的任何身份识别信息。
4.当我们业务平台展示您的个人信息时,我们会采用包括内容替换、假名处理方式对您的信息进行脱敏,以保护您的信息安全。
5.当我们要将您的个人信息用于本政策未载明的其它用途时,或基于特定目的收集而来的信息用于其他目的时,我们会通过弹窗、文本确认或其他合理的方式征求您的同意。
6.征得授权同意的例外:根据法律法规及国家机关的监管要求,在以下情形中, 我们的业务平台收集、使用个人信息无需征得您的授权同意:
您提供的上述信息,将在您使用本项产品与/或服务期间持续授权我们使用。在您停止使用我们的服务或产品时,我们将停止使用您的该项信息,并在按法律保存法定期间后予以删除。关于保存期限,详见本政策“二、我们如何保存您的个人信息”。
7.掌信签app权限访问与获取
为了向您提供产品服务及保障您的账户的安全,掌信签APP可能需要在必要范围内向您申请获取相应设备授权。但掌信签APP不会默认开启这些权限,仅在您主动确认开启或您同意开启后,才会通过这些权限收集您的信息,且仅在下列规定的业务目的和范围内使用。如果您不同意为掌信签app开启全部或部分权限,对于需要获取该权限才能使用的特定产品服务功能或业务,您可能无法使用。
安卓系统应用权限列表
1.权限名称:CAMERA 相机权限
权限功能说明:允许程序使用摄像功能。
使用场景和目的:扫码;拍摄或选择上传身份证件图片、手写签名轨迹图片/签章图片;活体认证录制视频。
2.权限名称:ALBUM相册权限
权限功能说明:运行程序使用相册功能。
使用场景和目的:上传身份证正反面图片、手写签名轨迹图片/签章图片,扫描相册二维码图片
3.权限名称:RECORD_AUDIO 麦克风权限
权限功能说明:运行程序录制音频。
使用场景和目的:活体认证视频录音
4.权限名称:READ_EXTERNAL_STORAGE 读取权限
权限功能说明:允许程序读程序外的存储数据。
使用场景和目的:扫码时可以选择手机中的图片文件作为数据源;身份认证,选择身份证图片;电子印章制作,选取手写签名轨迹图片、签章图片;获取本地存储的二维码图片进行扫描
5.权限名称:WRITE_EXTERNAL_STORAGE 存储权限
权限功能说明:允许程序写数据到程序外的存储。
使用场景和目的:图片裁切文件保存;活体认证视频文件保存。
6.权限名称:通知权限
权限功能说明:允许程序接收通知。
使用场景和目的:提示用户接收到签章业务推送信息。
7.权限名称:悬浮窗权限
权限功能说明:运行程序悬浮窗。
使用场景和目的:录制活体认证视频使用。
8.权限名称:后台运行权限
权限功能说明:运行程序后台运行。
使用场景和目的:后台服务用于接收服务端下发的签章业务请求。
iOS系统应用权限列表
1. 权限名称:CAMERA 相机权限
权限功能说明:允许程序使用摄像功能。
使用场景和目的:扫码;拍摄或选择上传身份证件图片、手写签名轨迹图片/签章图片;活体认证录制视频。
2.权限名称:ALBUM相册权限
权限功能说明:运行程序使用相册功能。
使用场景和目的:上传身份证正反面图片、手写签名轨迹图片/签章图片,扫描相册二维码图片
3.权限名称:RECORD_AUDIO 麦克风权限
权限功能说明:运行程序录制音频。
使用场景和目的:活体认证视频录音
4.权限名称:READ_EXTERNAL_STORAGE 读取权限
权限功能说明:允许程序读程序外的存储数据。
使用场景和目的:扫码时可以选择手机中的图片文件作为数据源;身份认证,选择身份证图片;电子印章制作,选取手写签名轨迹图片、签章图片;获取本地存储的二维码图片进行扫描
5.权限名称:WRITE_EXTERNAL_STORAGE 存储权限
权限功能说明:允许程序写数据到程序外的存储。
使用场景和目的:图片裁切文件保存;活体认证视频文件保存。
6.权限名称:通知权限
权限功能说明:允许程序接收通知。
使用场景和目的:提示用户接收到签章业务推送信息。
7.权限名称:悬浮窗权限
权限功能说明:运行程序悬浮窗。
使用场景和目的:录制活体认证视频使用。
8.权限名称:后台运行权限
权限功能说明:运行程序后台运行。
使用场景和目的:后台服务用于接收服务端下发的签章业务请求。
1.存储地点与存储期限
您的个人信息将存储于中华人民共和国境内。在您申请数字证书及使用其相关服务时, SZCA对于为您提供认证服务所收集、产生的您的相关个人信息将进行保存,且保存时间在提供产品与/或服务期间将一直持续;并且按照《电子签名法》等相关法律法规规定,在订购产品与/或服务结束证书注销后,因调查取证、归档备份等SZCA仍将保存上述信息至少5年,涉及为政务部门颁发提供数字证书、电子签章产品服务的,将至少保存至证书失效后10年,其他法律法规另有规定,按其规定执行。
SZCA仅在本政策所述目的所必需期间和法律法规要求的时限内保留您的个人信息。对于为其他业务目的收集使用的信息,保存期限为您停止使用业务平台产品及服务,且您在通过业务平台与我们的合作机构的业务全部结束后五年或十年(如您为政务单位)。超过保存期限,SZCA将删除您的个人信息。但在下列情况下,我们可能会根据有关法律法规的要求,调整个人信息存储时间:
2.跨境传输
若有提供产品与/或服务的必要,在获得您的单独同意后,您的个人信息可能会被转移到您使用产品或服务所在国家/地区的境外管辖区。在获得您的单独同意时,我们会通过弹窗、文本确认或其他合理的方式向您明示告知接收,以及其处理您个人信息的目的、方式和种类。具体的单独同意形式,以具体产品与/或服务的提供页面或书面材料为准。
以上境外管辖区可能设有不同的数据保护法律,甚至未设立相关法律。在此类情况下,我们会确保您的个人信息得到在中华人民共和国境内足够同等的保护。例如,我们会请求您对跨境转移您的个人信息提供单独同意,或者在跨境数据转移之前实施个人信息的匿名化举措。
3.停止存储
如果我们终止服务或运营,我们会至少提前九十日向您通知,并在终止服务或运营后对您的个人信息进行删除或匿名化处理。
为使您获得更轻松的访问体验,您访问业务平台或使用业务平台提供的产品服务时,业务平台可能会自动存储Cookie信息到本地,这么做是帮您省去重复输入相关信息的步骤,或者帮助判断账户安全。Cookie 通常包含标识符、站点名称以及一些号码和字符。这些数据文件可能是Cookie,Flash Cookie,或您的浏览器或关联应用程序提供的其他本地存储(统称“Cookie”)。
我们不会将Cookie用于本政策所述目的之外的任何用途,且不会将cookie信息保存至后端。您可以修改对Cookie的接受程度或者拒绝业务平台的Cookie,但这一举动在某些情况下可能会影响您安全访问业务平台和使用业务平台提供的服务。
网页上常会包含一些电子图象(称为“单像素”GIF文件或“网络Beacon”),使用网络Beacon可以帮助网站计算浏览网页的您或访问某些Cookie,业务平台会通过网络Beacon收集您浏览网页活动的信息,例如您访问的页面地址、您先前访问的援引页面的位址、您停留在页面的时间、您的浏览环境以及显示设定等。
1. 委托处理
为向您提供基本业务功能第3项“业务办理与应用”对应的服务,我们聘请具备专业技术能力的第三方供应商提供,并委托其处理相关个人信息。
对SZCA委托处理个人信息的公司、组织和个人,我们会与其签署严格的委托处理协议,并对其进行个人信息安全影响评估,要求他们按照本政策以及其他任何相关的法律法规的要求来处理个人信息。同时,我们会记录和存储受委托者处理个人信息的情况。一旦我们得知或者发现受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,将立即要求受委托者停止相关行为,且采取或要求受委托者采取有效补救措施控制或消除您的个人信息面临的安全风险。
委托关系未生效、无效或被撤销、终止时,我们将终止与受委托者的业务关系,并要求受委托者及时返还或删除从业务平台获得的您的个人信息(包括但不限于因委托处理获取的原始的个人信息或副本、摘要等),不得擅自保留。未经您的授权同意,我们禁止受委托者转委托他人处理您的个人信息。
2. 提供
(1)我们不会向SZCA以外的任何公司、组织和个人提供您的个人信息,但以下情况除外:
(2)我们只会对外提供必要的个人信息,且受本政策中所声明目的之约束。个人信息的接收方如要改变个人信息的处理目的,将再次征求您的授权同意。
(3)为了保障数据在第三方安全可控,我们事先将开展个人信息安全影响评估,并依评估结果采取有效的个人信息保护措施,例如,通过合同约束数据接收方的个人信息保护责任。我们要求数据接收方用于存放您的个人信息的系统满足信息安全等级保护三级要求。在敏感个人信息使用上,我们要求第三方采用数据脱敏和加密技术,从而更好地保护用户数据。我们发现数据接收方违反法律法规要求或双方约定处理个人信息的,将立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除您的个人信息面临的安全风险;必要时,我们将解除与数据接收方的业务关系,并要求数据接收方及时删除从我们处获得的您的个人信息。
3.转移
我们不会将您的个人信息转移给任何公司、组织和个人,但以下情形除外:
我们会采取在其它服务器备份、在传输和存储过程中对您数据和鉴别信息进行加密等安全措施,最大程度确保您的个人信息不丢失,不被滥用和变造。但同时也请您理解,在信息网络上不存在“完善的安全措施”。我们无法承诺您数据及信息的完全安全。
4.公开披露
我们仅会在以下情形下,公开披露您的个人信息:
我们将对所有的请求进行慎重的审查和事先的个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施,准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等,以确保其具备合法依据,且披露的个人信息范围仅限于执法部门因特定调查目的且有合法权利获取的数据。在法律法规许可的前提下,我们披露的数据和文件均在加密密钥的保护之下。
5.第三方SDK服务商
为保障掌信签业务平台的稳定运行和功能实现,在某些特定使用场景下,会嵌入具有相应资质及能力的第三方服务商提供的软件服务工具包(以下简称“SDK”)或其他类似应用程序。我们会对业务合作伙伴获取个人信息的SDK及其中的应用程序接口(以下简称“API”)进行严格的安全检测,令其按照第三方服务商披露的个人信息保护政策及类似文本来处理您的个人信息。我们接入的第三方SDK服务商的名称、收集的您的个人信息的类型与目的如下:
1.Bugly SDK
2.com.iqiyi.xcrash SDK
3.BGAQRCode SDK
4.Chromium SDK
我们将通过弹窗等方式获取您对于通过SDK收集您的上述信息的授权同意,经您授权同意后方会收集及将上述信息用于故障处理、分析、修复和产品服务改善提升相关工作。
但请您理解,基于现有法律法规的规定和权限限制,我们无法保证第三方服务商的运营会完全按照我们的个人信息保护政策与要求,您应当仔细阅读该等第三方的服务协议及个人信息保护政策。
SZCA将尽合理努力保护其收集获取的用户个人信息。为防止用户个人信息在未经授权的情况下被非法访问、泄露、篡改、传输、遗失、毁损、滥用或编造、处理或使用,SZCA已经并将继续采取以下措施保护你的个人信息:
1.人员安全
SZCA高度重视信息安全保障工作,对于认证岗位的设置实行可信角色制。且对于拟招聘任用的人员,在正式上岗前,都统一进行员工背景调查,尤其是对于可信角色等关键岗位的任职员工,将进行严格的安全意识和能力的考察。此背景调查一般每3年开展一次,确保员工遵循信息安全方面的规范。并且在任用时与其签订保密协议,禁止员工在劳动关系期间及合同期满2年内非法泄露工作过程中知悉的用户个人信息。
SZCA注重员工信息安全意识与能力的培养,定期开展信息安全与隐私保护相关技术及法律等方面的培训,结合信息安全知识的考核,提高员工有关信息安全的认识。
SZCA设置有专门的负责信息安全的岗位——安全管理员,并为其配备专门的信息安全管理人员,监督认证服务过程中用户信息的处理与传输,确保用户个人信息的合法收集、使用与披露。
2.技术安全措施
SZCA在数据安全保障方面,执行符合行业标准的安全措施与技术手段、程序,防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。SZCA会采取一切合理可行的措施,保护您的个人信息。例如,网络服务采取传输层安全协议等加密技术,通过https等方式提供浏览服务,确保用户数据在传输过程中的安全。采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。在个人信息使用时,例如个人信息展示、个人信息关联计算,SZCA会采用包括内容替换、SHA256在内多种数据脱敏技术增强个人信息在使用中安全性。我们采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用,采用代码安全自动检查、数据访问日志分析技术进行个人信息安全审计。
3.访问控制
SZCA设立严格的数据访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。对可能接触到您信息的员工,SZCA采取最小够用授权原则,能够访问、控制您信息的员工限定在工作职责需要有必要知悉您信息的直接相关的工作人员,及高级管理人员。且其访问、改动信息的操作,是要进行身份的识别与验证,且需接受视频监控。且要求上述员工履行保密和安全义务。如其未能履行安全和保密义务,将与其解除劳动合同关系,且保留追究其法律责任的权利。
此外,SZCA采取专门的数据和技术安全审计,设立日志审计和行为审计多项措施。定期对用户信息等数据访问记录进行审计检查,保证信息的访问、传播与扩散,是按照CPS规定的程序及方式进行的,控制在业务必需及可支配的范围内。
4.加密传输与存储
通过采取加密技术对用户个人信息进行加密保存,并通过隔离技术进行隔离。
5.脱敏显示
在个人信息使用时,例如个人信息展示、个人信息关联计算,SZCA会采用包括加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。SZCA将对您服务界面中您的“个人中心“的手机号码、身份证件、护照、港澳通行证等个人信息采取隐私处理措施,避免您设备被不当使用时所造成的信息泄露与丢失。
6.数据安全管理机制
通过信息接触者保密协议、监控和审计机制来对数据进行全面安全控制。SZCA认证系统通过了公安部安全等级保护三级认证,同时还获得了ISO/IEC 27001:2013、ISO/IEC27701:2019认证。
7.应急处理措施
SZCA制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,在发生危害网络安全的事件时,SZCA会立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。并且将定期组织负责信息安全的重要成员进行安全预案演练。
8.安全事件处置
在不幸发生个人信息安全事件后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们会严格按照有关法律法规及监管部门要求,主动上报个人信息安全事件的处置情况。
9. 其他
如果您对我们的个人信息保护有任何疑问,可通过本政策中约定的联系方式联系我们。如您发现自己的个人信息存在安全隐患,尤其是您的账户及密码发生泄露,请您立即通过本政策九、如何联系我们中披露的联系方式联络我们,以便与我们采取相应措施。
按照我国的法律、法规及标准,SZCA保障您对自己的个人信息行使以下权利:
1.访问、更正您的个人信息
您有权访问您的个人信息,法律法规规定的例外情况除外。若您发现我们的业务平台处理的关于您的个人信息有错误时,您有权要求我们作出更正。您可以通过以下方式自行访问或更正我们的业务平台留存的您的个人信息:
登录业务平台,点击 “个人中心”界面,对您的姓名、身份证号或数字证书数据进行查询访问、更正,其中身份证件号码信息将采取脱敏化方式予以显示。
如果您无法通过上述方式访问这些个人信息,您可以通过拨打4001123838联系,或发送电子邮件至kfzz@szca.com.cn,我们将在15个工作日内回复您的请求。对于您在使用我们业务平台的产品或服务过程中产生的其他个人信息,在核实您的真实身份的前提下,我们会以合理方式向您提供访问与/或更正的路径。
2.删除您的个人信息
在以下情形中,您可以向SZCA提出删除个人信息的请求:
如果您需申请删除您的个人信息,您可以通过拨打4001123838联系,或发送电子邮件至kfzz@szca.com.cn,我们将在15个工作日内回复您的请求,法律法规另有规定的除外。
若我们决定响应您的删除请求,我们还将同时通知从业务平台获得您的个人信息的第三方实体,要求其及时删除,除非法律法规另有规定,或这些实体获得您的独立授权。当您从我们的服务中删除您的个人信息后,处于安全考虑,我们可能不会立即在备份系统中删除相应的信息,但会在备份更新时删除这些信息。
3.改变您授权同意的范围
我们的业务平台的产品与服务需要一些基本的个人信息才能得以完成,在您与我们业务平台的业务以及通过我们的业务平台与我们的合作机构发生的业务全部结束前,您无法撤回针对必要个人信息处理的授权同意。对于可选的个人信息类型的收集和使用,您可以随时给予或收回您的授权同意。
您可以通过以下方式自行操作授权同意的撤回:
如果您无法通过上述方式实现撤回授权同意的请求,您可以通过拨打4001123838联系,或发送电子邮件至kfzz@szca.com.cn,我们将在15个工作日内回复您的请求。
当您撤回授权同意后,我们将不再处理相应的个人信息。但您收回同意的决定,不会影响此前基于您的授权而开展的个人信息处理。
4.注销账户
您可以通过以下方式自行操作:您可以通过访问“个人中心”界面,申请注销证书或停止服务。
如果您无法通过该界面注销您的个人信息相关服务,可以通过拨打4001123838联系,或发送电子邮件至kfzz@szca.com.cn联系我们提交申请,我们将在15个工作日内核实您的真实身份并处理。在注销账户之后,我们将停止为您提供一切产品或服务,并依据您的要求,在符合法律法规规定的前提下,删除您的个人信息。
5.获取个人信息副本
您有权获取您的个人信息副本,您可以通过以下方式自行操作:本人携带身份证至SZCA现场,或通过邮寄本人申请文件,拨打4001123838联系,或发送电子邮件至kfzz@szca.com.cn联系我们提交申请,SZCA将以邮寄、电子邮件、现场复印等方式提供副本。
6.其他须知
为保障安全,在通过邮件请求您的个人信息权利时,您可能需要根据我们提供的模板提供书面请求;在通过电话请求时,您允许我们对您的请求进行核实,并全程录音。但无论以何种方式,您承诺按照我们的要求提供您的身份信息用于身份核实,在此基础上,我们将会处理您的请求,并在15个工作日内作出答复。
对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将视情收取一定成本费用。对于那些无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际(例如,涉及备份磁带上存放的信息)的请求,我们可能会予以拒绝。
我们的产品、服务及网站主要面向成年人。如果没有父母或监护人的同意,包括儿童在内的未成年人不得创建自己的业务平台账户。对于经父母同意而收集儿童个人信息的情况,我们只会在受到法律允许、父母或监护人明确同意或者保护儿童所必要的情况下使用此信息。
尽管当地法律和习俗对儿童的定义不同,但我们将不满14周岁的任何人均视为儿童。如果我们发现自己在未事先获得可证实的父母同意的情况下收集了儿童的个人信息,则会尽快删除相关数据。
本政策可能变更,未经您明确同意,我们不会削减您按照本政策所应享有的权利。
我们会在我们的业务平台页面上发布对本政策所做的任何变更。对于重大变更,我们还会提供更为显著的通知(包括站内信、登录界面弹窗显示或通过电子邮件发送通知等方式,说明个人信息保护政策的具体变更内容)。
本政策所指的重大变更包括但不限于:
本政策发布生效后,之前发布的适用于掌信签业务平台的隐私政策文件将自动废止,不再适用于掌信签业务平台相关产品服务。
我们还会将本政策的3年以内的过往版本存档,供您查阅。访问地址:https://msec.szca.com/docs/#/lib/privacy/privacy-history。
1.联系方式
如果您有任何疑问、意见或建议,请通过以下方式与我们联系:
公司名称:深圳市电子商务安全证书管理有限公司
电话:0755-26588388、4001123838
电子邮件:kfzz@szca.com.cn
邮寄地址:深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦9层01、02、03、04-1、06、07、08号房
个人信息保护机构及联系方式:深圳CA技术部门,PUB_JRYZTSZCAJSZX@ocft.com
2.个人信息权益救济
一般情况下,我们将在15个工作日内回复您的诉求。如果您对我们的回复不满意,特别您认为我们的个人信息处理行为损害了您的合法权益,您还可以通过以下外部途径寻求解决方案:联系负责个人信息保护相关投诉的有关行业协会、主管部门,或者依据适用的法律向具有管辖权的法院提起诉讼。