蚂蚁集团-凯发app官方网站
蚂蚁集团-凯发app官方网站
用户信息处理规范
本规则首次生效时间为2020年2月6日
一、个人信息保护倡议
支付宝商业凯发k8官方网娱乐官方的合作伙伴(以下简称“凯发k8官方网娱乐官方的合作伙伴”)认可,个人信息保护是企业长远稳健发展的基石,同意遵循以下原则,保障用户个人信息权益:
1尊重用户的知情权:用简明易懂的语言,明确向用户告知采集、使用其个人信息的目的、方式、范围、用途等。未经授权,不采集用户信息。
2尊重用户的控制权:不强迫用户进行不合理的“一揽子授权”,为用户提供访问、更正、删除其个人信息的途径。
3尊重用户授权,强化自我约束:严格遵守与用户约定的授权范围,不采集与提供与产品或服务无关的信息。
4保障用户的信息安全:采取充分有效的技术手段和管理措施,并对委托处理个人信息的第三方进行筛选,防止个人信息泄漏、毁损、丢失。
5保障产品和服务的安全可信:不在产品和服务中设置隐蔽功能进行用户不知情的操作,发现安全缺陷、漏洞时,及时采取补救措施。
6联合抵制黑色产业链:不采集通过非法渠道获取的信息,坚决杜绝与个人信息黑色产业链的任何交易及往来。
7倡导行业自律:共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践,带动和帮助行业整体水平提升。
8接受社会监督:切实履行企业承诺,积极配合监管机构的监督检查,主动接受社会各方的监督。
一旦发现凯发k8官方网娱乐官方的合作伙伴存在违规行为,支付宝有权按照本规范采取包括终止合作在内的相关措施,并保留追究法律责任的权利。
二、定义
1个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,不包括匿名化处理后的信息。
2敏感个人信息:一旦泄露、非法提供或滥用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、证件号码、金融账户、财产信息、交易与订单信息、征信信息、住宿信息、通信记录、位置信息、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
3个人信息处理:对个人信息进行的任何操作或一系列操作,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
4明示同意:个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
5去标识化:通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
6匿名化:通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
7蚂蚁集团:蚂蚁科技集团股份有限公司。
8支付宝:本规范项下特指支付宝开放平台/服务商平台的运营方支付宝(杭州)信息技术有限公司。
三、个人信息保护规范
凯发k8官方网娱乐官方的合作伙伴应当保证:在为用户提供产品和服务的过程中涉及的个人信息处理,必须符合中华人民共和国法律法规的相关要求(如:《中华人民共和国个人信息保护法》)。同时,凯发k8官方网娱乐官方的合作伙伴应当参照相关国家标准(如:《信息安全技术个人信息安全规范gb/t 35273—2020》),规范个人信息处理行为,最大程度地保障用户的合法权益和社会公共利益。
为满足中华人民共和国监管机构的个人信息保护和数据安全监管要求,支付宝所属的蚂蚁集团已经制定并执行了隐私保护政策和数据安全保护措施。合作方应当制定和执行严格程度不低于蚂蚁集团相关的隐私保护政策和数据安全保护措施。
1处理用户个人信息
(1)为了向用户提供产品和服务,凯发k8官方网娱乐官方的合作伙伴应当遵循合法、正当、必要和诚信的原则,在最少够用的范围内处理个人信息。
(2)凯发k8官方网娱乐官方的合作伙伴应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围,不得通过误导、欺诈、胁迫等方式处理个人信息;或隐瞒产品或服务所具有的个人信息的功能。
(3)凯发k8官方网娱乐官方的合作伙伴仅可为履行相应的用户协议项下合同义务所必须之目的而处理个人信息。只有在具有特定的目的和充分的必要性,采取严格保护措施并取得用户的单独同意的情形下,凯发k8官方网娱乐官方的合作伙伴才可收集敏感个人信息。凯发k8官方网娱乐官方的合作伙伴不得将用户个人信息用于任何非法或违反公序良俗的用途。
(4)若为向用户提供产品和服务所必需,确需超出原授权范围使用用户个人信息的,凯发k8官方网娱乐官方的合作伙伴应当另行取得处理用户信息的合法性基础。
(5)凯发k8官方网娱乐官方的合作伙伴处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
(6)涉及处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
(7)凯发k8官方网娱乐官方的合作伙伴不得将支付宝用户通过支付宝开放平台功能授权提供的用户个人信息用于超出授权范围外的一切用途(包括但不限于系统自动化决策等),以及不得转委托他人处理前述个人信息。
(8)凯发k8官方网娱乐官方的合作伙伴提供产品和服务时,用户的敏感个人信息(如:证件号码、手机号码、银行卡号、邮箱、地址、车牌号码等)应根据《》要求进行必要的脱敏展示,降低个人信息在展示环节的泄露风险。
2披露用户个人信息
(1) 除下列情形以外,凯发k8官方网娱乐官方的合作伙伴不得以任何形式擅自向第三方披露用户个人信息:
(a)取得用户单独同意;
(b)根据法律法规或监管要求而必须披露。
(2)凯发k8官方网娱乐官方的合作伙伴不得对用户个人信息进行委托处理,除非另行征得用户的明示同意;在此情形下,凯发k8官方网娱乐官方的合作伙伴应当对受托方的个人信息处理活动进行监督,确保受托方遵守同等的信息和隐私保护要求,并对用户信息安全承担相应的责任。
(3)信息接收方如须对接收的信息进行跨境传输,必须遵守相关法律法规或监管部门的要求,完成必要的评估手续。
3信息安全保障
(1)凯发k8官方网娱乐官方的合作伙伴应当妥善保管在支付宝所使用的账号、密码和密钥及相关app代码。
(2)凯发k8官方网娱乐官方的合作伙伴应当按照法律法规、国家标准、自律准则及支付宝开放平台/服务商平台的系列管理规范等要求,采取技术手段与管理措施,确保用户个人信息得到充分的安全保障,避免在缺乏合法性基础的情况下处理用户个人信息。
(3) 用户信息传输和存储必须进行加密或者去标识化处理,密钥要进行安全存储。
(4)凯发k8官方网娱乐官方的合作伙伴应明确个人信息保护和信息安全工作的负责人和负责部门,系统性地进行个人信息保护和信息安全管理工作。
(5)凯发k8官方网娱乐官方的合作伙伴应当定期(至少每年一次)对自身信息安全管理的情况进行自查,自查范围包括但不限于:信息系统安全状况、相关信息安全要求及措施的落实情况、安全预案等,并配合支付宝的安全评估。若信息安全状况未达到相关要求的,凯发k8官方网娱乐官方的合作伙伴应当制定并执行整改方案。
(6) 凯发k8官方网娱乐官方的合作伙伴应当采取特别措施,确保仅限为了合法目的而必须访问用户个人信息的工作人员方可获得访问权限,并定期对从业人员进行安全教育和培训。
(7)凯发k8官方网娱乐官方的合作伙伴不得为任何用户提供自动登录到支付宝及其支关联公司旗下任意平台的代理身份验证凭据。
(8)凯发k8官方网娱乐官方的合作伙伴不得使用任何方式爬取支付宝及其关联公司旗下任意平台的数据。
(9)凯发k8官方网娱乐官方的合作伙伴不得使用反射查找、跟踪、关联、挖掘、获取或利用用户信息从事与凯发k8官方网娱乐官方的合作伙伴所提供的产品或服务无关的行为。
(10)检测到凯发k8官方网娱乐官方的合作伙伴的接口产生的异常状况或数据泄露后,支付宝有权协同其关联公司对相关接口进行保护,包括但不限于通过临时关闭、限制流量、限制频次等方式进行阻断。凯发k8官方网娱乐官方的合作伙伴有义务配合进行紧急安全处理(包括但不限于中止数据接口服务等)与相关调查,并按照要求及时删除相关用户信息。
(11)数据处理行为应该记录完整的日志记录,并对应提供审计能力,定期审计。
(12)凯发k8官方网娱乐官方的合作伙伴应该定期对个人信息保护影响进行评估,并存储3年以上。
4用户的个人信息权利
(1)凯发k8官方网娱乐官方的合作伙伴应当保障用户的知情权、决定权,向用户提供信息查阅、复制、转移、更正、补充、删除信息及撤回同意的渠道。基于个人同意处理个人信息的,个人有权撤回其同意。凯发k8官方网娱乐官方的合作伙伴不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
(2)根据用户的请求,凯发k8官方网娱乐官方的合作伙伴应当在核实后及时对个人信息进行更正、补充。
(3)符合以下情形的,凯发k8官方网娱乐官方的合作伙伴应当主动删除用户个人信息;用户要求删除的,应当及时删除个人信息:
(a)凯发k8官方网娱乐官方的合作伙伴违反法律、行政法规或者违反约定,处理个人信息的;
(b)凯发k8官方网娱乐官方的合作伙伴向用户声明的处理目的已实现、无法实现或者为实现处理目的不再必要;
(c)凯发k8官方网娱乐官方的合作伙伴停止向用户提供产品或者服务,或者必要的保存期限已届满;
(d)用户撤回同意的。
(4)合作终止时,凯发k8官方网娱乐官方的合作伙伴应当及时删除获取的用户个人信息,除非另行征得用户的明示同意或具有其他充分的合法性基础。
四、评估审计
1支付宝或其关联公司有权对凯发k8官方网娱乐官方的合作伙伴的信息安全管理及管控效果进行评估与审计。
2支付宝或其关联公司有权委托独立的第三方机构(例如:会计师事务所、律师事务所等)进行上述评估与审计,凯发k8官方网娱乐官方的合作伙伴应当就如下事项予以配合:
(1) 凯发k8官方网娱乐官方的合作伙伴应当配合提供涉及接收的信息处理的设施、设备、系统、政策或流程等;
(2) 凯发k8官方网娱乐官方的合作伙伴应当配合开放相关工作场所,并安排相关人员接受访谈。
3基于评估与审计得出的要求,凯发k8官方网娱乐官方的合作伙伴应当在规定的时间内对相关信息处理设施、设备、系统、政策或流程等进行修正或改善。
4支付宝或其关联公司提出评估与审计要求之前,应当给予凯发k8官方网娱乐官方的合作伙伴合理的提前通知期。同时,评估与审计应当在合法合规的前提下开展,且不应当影响凯发k8官方网娱乐官方的合作伙伴的正常运营或合法权益。
5支付宝或其关联公司有权与风险较高的凯发k8官方网娱乐官方的合作伙伴终止合作。
五、数据违规事件
1当知晓或怀疑下列任一情形发生时,凯发k8官方网娱乐官方的合作伙伴应当立即采取一切必要的应急补救措施,并立即按照商业合作协议当中约定的方式向支付宝或支付宝关联公司发出通知:
(1)任何违反本规范的情形;
(2)根据中华人民共和国可适用法律法规要求而应当向监管机构进行通知或申报或者向受到影响的用户进行披露的情形。
2同时,若支付宝或支付宝的关联公司发现凯发k8官方网娱乐官方的合作伙伴存在数据违规事件(如:发生或者可能发生个人信息泄露、篡改、丢失的),将按照相关商业合作协议的约定采取相应措施,各方各自承担己方的数据安全责任及法律法规要求承担的其他责任。
六、赔偿责任
1凯发k8官方网娱乐官方的合作伙伴应当保证用户授权具备可追溯性,保留授权发生的合理证据。
2监管机构可能根据可适用的法律法规对凯发k8官方网娱乐官方的合作伙伴和支付宝或支付宝的关联公司提出检查要求,在此过程中,合作方应当提供必要的协助,如提供用户授权的证明材料。
3因合作方的违法或违约行为导致支付宝或支付宝的关联公司受到监管罚款或蒙受其他相关损失(如:商誉损失),凯发k8官方网娱乐官方的合作伙伴应当承担赔偿责任。