本版发布日期:2023年3月15日
生效日期:2023年3月15日
正信银行有限公司(以下简称“我行”)深知个人信息对您的重要性,会尽力保护您的个人信息安全。我行致力于维护您对我行的信任,恪守以下原则保护您的个人信息:权责一致原则、目的明确原则、选择同意原则、必要性原则、确保安全原则、公开透明原则等。同时,我行承诺依法采取相应的安全保护措施来保护您的个人信息。
本《隐私政策》将帮助您了解以下内容:
1.我行如何收集和使用您的个人信息
2.我行如何使用Cookie和同类技术
3.我行如何共享、转让和公开披露您的个人信息
4.我行如何存储和保护您的个人信息
5.您控制个人信息的权利
6.我行如何处理未成年人信息
7.本政策如何更新
8.如何联系我行
一、我行如何收集和使用您的个人信息
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(一)信息如何收集
为向您提供服务并确保您的电子银行服务(包括手机银行和网上银行服务等)安全,在您使用电子银行服务过程中,我行会收集您在使用服务过程中主动输入或因使用服务而产生的信息:
1.当您开通电子银行服务时,依据法律法规及监管要求,我行会收集您的个人基本资料、身份信息、财产信息、生物识别信息、手机号码信息,以帮助您完成电子银行注册,如果您或您的监护人(如适用)拒绝提供这些信息,您可能无法开通电子银行或无法正常使用我行的服务。
2.当您使用电子银行功能或服务时,例如在下列情形中,您可能需要向我行提供或授权我行收集相应服务所需的用户信息。如您拒绝提供部分功能或服务所需信息,您可能无法使用相应部分功能或服务,但这不影响您正常使用电子银行的其他功能或服务。
(1)为了让您更安全、快速地使用手机银行,在首次绑定手机银行时,需要短信验证码的环节,该环节需要您配合进行短信验证码填写。
(2)如您在手机银行中选择通过指纹、刷脸功能进行登录时,需向我行提供您的指纹、人脸图像信息。您可以通过手机银行“我的-设置—人脸/指纹登录”开启或关闭此功能。我行不会采集您的指纹/面容信息,我行仅接收验证结果,您的指纹/面容信息仅保存在您授权采集指纹/面容设备上。如您未选择使用指纹/刷脸登录,仍可通过其他方式进行登录。
对于某些品牌或型号的手机终端自身的本地生物特征认证功能,如人脸识别功能,其信息由手机终端提供商进行处理,我行不留存您应用手机终端相关功能中的信息。
(3)当您使用转账汇款时,您需要提供收款方的手机号码、姓名、银行卡卡号/账号、开户银行、SWIFTCODE、国别、地址及资金用途信息,并可能需要提供您的姓名、地址等相关信息,以便于验证身份及使用上述功能的支付服务。此外,我行还会收集您的相关收付款交易记录以便于您查询。上述信息属于敏感个人信息,如您拒绝提供该信息,仅会使您无法使用上述功能,但不影响您正常使用电子银行的其他功能。
(4)当您使用手机银行提供的实名认证服务时,您可能需提供您的姓名、证件类型、证件号码、银行卡号/账号、设备信息、指纹认证、刷脸认证信息,我行还可能通过验证账号/交易密码、短信验证码方式对有关信息进行有效性核验。如您不提供上述信息,我行将无法向您提供需完成实名认证后方可使用的产品或服务。
(5)当您在做定转活、存款产品支取等服务时,可以通过人脸识别进行身份认证,我行通过腾讯云采集您的人脸信息,并将您的人脸信息发送至公安部系统进行核验并接收验证结果,我行不保存您的人脸信息,仅保存验证结果。如您拒绝腾讯云采集您的人脸信息,您可以用其他方式进行交易验证。
(6)以下情形中,您可选择是否授权我行收集、使用您的个人信息:
①基于相机(摄像头)的功能:您可使用二维码识别、人脸验证等服务。
②基于相册(图片库)的功能:您可选择图片上传或访问相册等服务。
③FaceID:您可使用面容登录等服务。
④基于指纹的功能:您可使用指纹登录等服务。
⑤基于存储的功能:您可使用图片保存等服务。
⑥基于音频的功能:您可使用人脸核身等服务。
上述功能需要您在您的设备中向我行确认是否开启您的相机(摄像头)、相册(图片库)、FaceID、指纹、存储空间、音频的访问权限,以实现这些功能所涉及的信息的使用。您开启这些权限即代表您授权我行可以收集和使用这些信息来实现上述功能。
如您拒绝提供该信息或权限,或您取消了这些授权(我行即不再收集和使用您的这些信息),您将无法使用上述功能,但这不影响您正常使用手机银行的其他功能。
(7)当您使用我行手机银行时,为了维护服务的正常运行,优化我行的服务体验及保障您的账户安全,我行会收集基础信息:国际移动设备身份码(IMEI)、ANDROID_ID (AndroidId)、设备序列号(Serial Number)、通用唯一识别码(uuid)、MAC、登录IP地址、安装的应用信息或正在运行的进程信息、操作日志等日志信息,这些信息是为您提供服务必须收集的基础信息,以保障您正常使用我行的服务。
(8)当您通过手机银行进行信息管理时,我行可能会验证您的原登录密码、签约手机号短信验证码、原使用设备、生物特征。
(9)当您使用电子银行服务时,我行会收集您的交易信息,形成收款人名册,以简化您的转账操作。
(10)当您使用我行电子银行的过程中,我行系统还可能通过第三方服务商提供的软件开发工具包(简称”SDK”)、相应接口来为您提供服务,由第三方服务商收集您的必要信息,如您拒绝提供相关信息或权限,您将无法使用下述相关功能,具体有:
①云证通(CFCA)SDK:为了保证您身份认证和资金交易安全,我行使用了云证通SDK,该SDK需要获取您的手机国际移动设备身份码(IMEI)、姓名、身份证类型、身份证号、手机号,用于构建安全的身份认证及交易保障机制。
②腾讯云人脸核身(包含活体检测与人脸比对)服务:为了提供人脸识别作为安全认证方式,我行使用了腾讯云人脸核身服务,该服务需要获取您的手机国际移动设备身份码(IMEI)、姓名、身份证号码、人脸图像及视频信息、网银客户号、会话ID,用于实现交易中的刷脸认证。同时,为识别和排除恶意请求、维护服务安全,还将获取并使用您的设备型号、设备唯一识别码、操作记录信息。
③极光推送SDK:为了向您及时推送消息通知,我行使用了极光推送SDK,该SDK需要采集设备信息、网络信息和地理位置信息,设备信息包括设备标识符(IMEI、IDFA、Android ID、MAC、OAID、IMSI等相关信息)、应用信息(应用崩溃信息、通知开关状态、软件列表等相关信息)、设备参数及系统信息(设备类型、设备型号、操作系统及硬件相关信息),网络信息包括IP地址、WiFi信息、基站信息等,用于实现电子银行移动端推送服务。
④U盾(CFCA):为了保证您身份认证和资金交易安全,我行在个人网上银行上使用了中金金融认证中心有限公司(简称CFCA)的U盾和数字证书。当您在个人网上银行端进行交易认证时,我行提供的U盾控件会收集您在个人网上银行端使用U盾认证时的U盾密码和交易信息,并对其进行加密保护后上传至我行服务器,以增强交易认证的安全性。上述信息属于个人敏感信息,如您拒绝提供该信息,您将登录后无法进行交易认证,但这不会影响您正常使用个人网上银行的其他功能或服务。
(11)如有手机短信发送,您有权选择我行提供的方式(如:短信回复“T”)拒绝有我行通过手机短信发送的营销类信息。
(12)请您理解,我行向您提供的功能和服务是不断更新和发展的,如果某一功能或服务未在本政策载明且收集了您的个人信息,我行会通过页面提示、交互流程、网站公告等方式另行向您说明信息收集、使用的内容、范围和目的,并在使用前征得您的授权同意。授权同意是指您对您个人信息进行特定处理作出明确授权的行为,包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内您被告知信息收集行为后没有离开或退出该区域)。
(二)信息如何使用
1. 在向您提供我行的金融产品或服务,并为改进这些产品或服务时使用。
2. 在我行向您提供金融服务期间,您授权我行持续收集和使用您的信息。在您注销服务时,我行将停止收集您相关的个人信息,但我行会在业务资料归档、审计、监管协查等领域继续使用此前收集的您的相关个人信息。
3. 为提升您的产品或服务体验,或为防范风险,我行会对服务使用情况进行汇总、统计分析、加工,但这些信息不会包含您的任何身份识别信息。我行可能会通过技术手段对您的信息数据进行去标识化处理,去标识化处理后的信息将无法直接识别个人信息主体,您同意我行对去标识化的数据进行分析并予以使用。
4. 为了使您知悉使用我行金融产品或服务的情况或使您进一步了解我行服务,我行会向您发送服务状态通知以及相关产品或服务的商业性信息。
5. 您授权同意的以及于法律允许的其它用途。
(三)征得授权同意的例外
根据相关法律法规、监管要求及国家标准,以下情形中,我行收集、使用您的相关个人信息而无需另行征求您的授权同意:
1.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
2.为履行法定职责或者法定义务所必需;
3.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
4.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
5.依照《中华人民共和国个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
6.与国家安全、国防安全直接相关的;
7.与公共安全、公共卫生、重大公共利益直接相关的;
8.与犯罪侦查、起诉、审判和判决执行等直接相关的;
9.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
10.用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
11.个人信息控制者为新闻单位,且其在开展合法的新闻报道所必需的;
12.个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必需,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
13.法律法规及监管要求规定的其他情形。
二、我行如何使用Cookie和同类技术
为确保网站正常运转,我行会在您的计算机或移动设备上的缓存中存储一个小数据文件。Cookie 通常包含用户标识符、会话ID、客户端型号等信息。我行不会将 Cookie 用于本政策所述目的之外的任何用途。您可以清除计算机上保存的所有 Cookie,大部分网络浏览器都设有阻止Cookie 的功能。但如果您这么做,则需要在每一次访问我行的网站时更改用户设置。
三、我行如何共享、转让和公开披露您的个人信息
(一)共享和转让
我行不会向其他任何公司、组织和个人共享或转让您的个人信息,但以下情况除外:
1.事先获得您的明确同意或授权。
2.如业务需要对外共享或转让您的个人信息,我行会向您告知共享或转让个人信息的目的、数据接收方的类型,并征得您的授权同意。涉及敏感信息的,我行还会告知敏感信息的类型、数据接收方的身份和数据安全能力,并征得您的明示授权同意。
3.请您理解,我行可能会根据法律法规规定,或按政府主管部门的强制性要求,对外共享您的个人信息。
4.根据法律法规和商业惯例,在我行发生合并、收购、资产转让等类似交易中,如涉及到个人信息转让,我行会向您告知新的持有您个人信息的公司、组织等接收方的名称或姓名和联系方式。并要求接收方继续受本隐私政策的约束,否则我行将要求该公司、组织重新向您征求授权同意。
(二)公开披露
1.我行原则上不会公开披露您的个人信息,如确需披露,我行会事先征得您的明示同意并告知您披露个人信息的目的、披露信息的类型、数据接收方的类型;涉及敏感个人信息的还会告知敏感个人信息的内容,披露敏感个人信息的必要性及对个人权益的影响,并征得您的明示同意。
2.尽管有上述原则,但请您理解,在法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我行可能会公开披露您的个人信息。
(三)征得授权同意的例外
根据相关法律法规及监管要求、国家标准,以下情形中,我行可能会共享、转让、公开披露用户信息无需事先征得您授权同意:
1.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
2.为履行法定职责或者法定义务所必需;
3.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
4.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
5.依照《中华人民共和国个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
6.与国家安全、国防安全直接相关的;
7.与公共安全、公共卫生、重大公共利益直接相关的;
8.与犯罪侦查、起诉、审判和判决执行等直接相关的;
9.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
10.用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
11.个人信息控制者为新闻单位,且其在开展合法的新闻报道所必需的;
12.个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必需,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
13.法律法规及监管要求规定的其他情形。
四、我行如何存储和保护您的个人信息
(一)存储
1. 我行在中华人民共和国境内收集和产生的个人信息,将存储在中华人民共和国境内。但为处理跨境业务(如跨境汇款等)并在获得您的授权同意后,您的部分个人信息(如汇款人名称、地址、联系电话、转出账号及收款人名称、地址等)将作为交易信息的一部分被传输到境外。此种情形下,我行会向您告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及您向境外接收方行使《中华人民共和国个人信息保护法》规定权利的方式和程序等事项。同时我行会采取有效措施保护您的信息安全,例如:对跨境汇款业务中的客户姓名、汇款人账号、汇款人地址等数据通过加密传输等方式进行保护。
2. 我行仅在法律法规要求的期限内,以及为实现本政策声明的目的所必须的时限内保留您的个人信息。例如:
手机号码:当您需要使用手机银行服务时,我行需要一直保存您的手机号码,以保证您正常使用该服务,当您注销手机银行账户后,我行将删除相应的信息。
(二)保护
1. 我行已使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我行会采取一切合理可行的措施,保护您的个人信息。例如:我行会使用加密技术确保数据的保密性;我行会使用受信赖的保护机制防止数据遭到恶意攻击;我行会部署访问控制机制,确保只有授权人员才可访问个人信息;以及我行会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。
2. 如我行提供的全部或部分电子银行业务停止运营,我行相关产品或服务将通过公告等形式向您进行告知,同时停止相关产品或服务对您个人信息的收集等操作,保护您的个人信息安全。如因技术故障、网络攻击、自然灾害及事故、人为因素等各种原因造成全部或部分电子银行业务中断,我行将采取应急处置和恢复措施予以应对,尽快恢复服务。
3. 我行会采取一切合理可行的措施,确保未收集无关的个人信息。
4. 请您理解,由于技术水平局限以及可能存在的恶意攻击,有可能出现我行无法合理预见、防范、避免、控制的意外情况。互联网并非绝对安全的环境,请使用复杂密码,协助我行保证您的账号安全。
五、您控制个人信息的权利
按照中国相关的法律法规和监管规定,我行保障您对自己的个人信息行使以下权利:
(一)访问、更正及更新您的个人信息
您有权通过我行门户网站、网上银行、手机银行访问及更正、更新您的个人信息,法律法规另有规定的除外。您有责任及时更新您的个人信息。在您修改个人信息之前,我行会验证您的身份。
您登录手机银行后,可以在“我的—个人信息查询”中,查询姓名、性别、证件类型、职业、电子邮箱、邮政编码、国籍、证件号码、签约手机号码等相关信息;在客户信息修改中,可以修改职业、电子邮箱、邮政编码等。
(二)删除您的个人信息
在以下情形中,您可以向我行提出删除个人信息的请求:
1.如果我行处理个人信息的行为违反法律法规;
2.如果我行收集、使用您的个人信息,却未征得您的同意;
3.如果我行处理个人信息的行为违反了与您的约定;
4.如果你不再使用我行的产品或服务,或您注销了账号;或法律、行政法规规定的个人信息保存期限已届满;
5.如果我行对您的个人信息处理目的已实现、无法实现或为实现处理目的不再必要;
6.如果您撤回对我行收集个人信息的授权同意;
7.如果我行不再为您提供产品或服务。
8.法律、行政法规规定的其他情形。
如我行决定响应您的删除请求,我行还将同时通知从我行获得您的个人信息的实体,要求其及时删除,除非法律法规另有规定,或这些实体获得您的独立授权。
当您从我行的服务中删除信息后,我行可能不会立即在备份系统中删除相应的信息,但会在备份更新时删除这些信息。
(三)个人信息主体注销账户
如您为我行电子银行注册用户,您可以到网点通过我行柜面注销您的电子银行。
如您非我行电子银行注册用户,您可以自主选择卸载或停止使用手机银行客户端,以阻止我行获取您的个人信息。我行将不再通过手机银行客户端收集您的个人信息,并将删除有关您手机银行的一切信息,法律法规或监管机构对个人信息存储时间另有规定的除外。
请您注意,我行电子银行注册用户仅在手机设备中删除手机银行App时,我行不会注销您的手机银行,有关您手机银行的一切信息不会删除。您仍需注销您的电子银行方能达到以上目的。
(四)响应您的上述请求
为保障安全,您可能需要提供书面请求,或以其他方式证明您的身份。我行可能会先要求您验证自己的身份,然后再处理您的请求。原则上,我行将在身份信息验证通过后的尽快处理完成您的上述请求,我行将在三十天内或法律法规规定期限内做出答复。请您理解,对于某些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求,我行可能会予以拒绝。
尽管有上述约定,但按照法律法规要求,如涉及以下情形我行将可能无法响应您的请求:
1.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
2.为履行法定职责或者法定义务所必需;
3.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
4.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
5.依照《中华人民共和国个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
6.与国家安全、国防安全直接相关的;
7.与公共安全、公共卫生、重大公共利益直接相关的;
8.与犯罪侦查、起诉、审判和判决执行等直接相关的;
9.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
10.用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
11.个人信息控制者为新闻单位,且其在开展合法的新闻报道所必需的;
12.个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必需,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
13.法律法规及监管要求规定的其他情形。
六、我行如何处理未成年人信息
如果没有监护人的同意,未成年人不得创建自己的用户账户。如您为未成年人,请您的监护人仔细阅读本指引,并在征得您的监护人同意的前提下使用我行的服务或向我行提供信息,若您为年满14周岁的未成年人,我行在收集您的个人信息前,将征得您或您的监护人明示同意,若您不满14周岁,我行将征得您监护人的明示同意。我行只会在法律法规及监管要求允许、监护人明示同意或者保护未成年人所必要的情况下使用、对外提供此信息。
七、本政策如何更新
根据国家法律法规变化及服务运营需要,我行将对本政策及相关规则不时地进行修改,修改后的内容会通过我行门户网站、手机银行、网上银行等渠道公布,公布后即生效,并取代此前相关内容。您应不时关注相关公告、提示信息及协议、规则等相关内容的变动。您知悉并确认,如您不同意更新后的内容,应立即停止使用相应服务,并注销相关的用户,我行将停止收集您的相关个人信息。如您继续使用服务,即视为同意接受更新内容。
八、如何联系我行
如您对本隐私政策有任何疑问、意见或建议,可以通过拨打我行86-21-63351650咨询热线、登录我行官方网站(https://www.zxbk.com.cn)、关注“正信银行”微信公众号或到我行营业网点咨询或反映。
我行全称:正信银行有限公司,地址:上海市黄浦区四川中路213号久事商务大厦17楼02-03室,邮编200002。
请您在使用我行电子银行应用程序之前仔细阅读本隐私政策,确保对其内容特别是字体加黑内容的含义及相应法律后果已全部知晓并充分理解。您使用我行电子银行应用程序即视为您接受本隐私协议,我行将按照相关法律法规及本政策来合法使用和保护您的个人信息。
正信银行有限公司
2023年3月15日