上海宝存信息科技有限公司及其关联公司(以下简称“我们”或“宝存”)尊重并致力于保护个人信息与隐私。因此,我们制定了本数据与隐私保护政策(以下简称“本政策”),其中介绍了我们的基本信息、数据保护原则等数据处理相关的整体情况。
本政策仅作为我们在个人信息与隐私保护方面的整体情况概述,以声明我们在数据处理领域的统一要求和标准。为避免歧义,本政策并不完整包含特定产品或服务场景下我们出于特定目的处理个人信息时的所有信息;有关特定产品或服务场景的具体数据处理实践情况,请同时参见该等场景下适用的、由我们的客户(以下简称“客户”)或我们另行提供的隐私保护政策或声明。此外,为作澄清,本政策独立于我们的客户可能直接向终端个人用户(以下简称“用户”或“您”)展示或提供的隐私保护政策或声明。
I 关于我们的基本信息
II 我们的数据保护原则
III 我们如何处理个人信息
IV 我们如何披露您的个人信息
V 我们如何保留您的个人信息
VI 我们如何保护您的个人信息
VII 您对您的个人信息的权利
VIII 我们如何处理儿童的个人信息
IX 本政策如何更新
X 术语定义
简介:上海宝存信息科技有限公司成立于2011年9月,专注于闪存存储设备和系统解决方案。总部位于中国上海,在北京、深圳、广州、厦门、福州、成都等地设有销售和技术支持中心。
联系地址:上海市杨浦区荆州路168号安联大厦9楼
联系方式:4009-210-345
我们在数据处理实践中,始终恪守以下原则: 1. 透明性原则: - 我们保证不利用个人信息从事任何的非法活动; - 我们将与客户一道确保个人信息的处理具有正当、有效、合理的法律基础; - 我们将尽可能地保证为个人信息的处理过程提供更多可公开的信息,以确保数据处理的透明性; - 我们尊重并承诺将依据可适用的法律保障个人信息主体的相关权利,包括但不限于查询、更正、删除、撤回同意等权利。
2. 安全性原则: - 我们将采取适当的技术和组织措施保护个人信息免遭遗失、未经授权的访问、损毁、改动或公开披露等风险; - 我们内部设置了专门的管理部门及管理人员,严格控制可接触到个人信息的人员数量,降低数据泄露的风险; - 我们将采取适当的措施确保个人信息的准确性、完整性、可用性和时效性; - 我们承诺在将个人信息转移至其他方时切实采取措施,以实现数据转移前后的充分保护。
3. 必要性原则: - 我们承诺在业务功能实现中,仅处理为特定目的而严格必要的数据(包括数据的数量和类型); - 我们承诺将仅基于合法的目的进行数据处理,且在数据处理开始前对数据处理的目的进行说明并严格遵守该等目的的限制; - 我们承诺将在内部设计并落实严格的权限控制体系,限制有权访问和操作个人信息的员工数量; - 我们承诺仅在实现处理目的所必要的时间期限内留存个人信息,除非依据强制性法律法规或监管要求不得删除; - 我们承诺将严格使用对个人信息权利影响最小的处理方式进行数据处理。
1. 我们处理哪些个人信息 WOHUI在不同的业务场景下,将与客户开展多种多样的业务合作。我们将与客户一道,确保所收集和处理的个人信息已取得您的完整、有效授权同意,但以下情况除外: 1) 与履行法律法规规定的义务相关的; 2) 与国家安全、国防安全直接相关的; 3) 与公共安全、公共卫生、重大公共利益直接相关的; 4) 与犯罪侦查、起诉、审判和判决执行等直接相关的; 5) 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的; 6) 所涉及的个人信息是您自行向社会公众公开的; 7) 根据您的要求签订和履行合同所必需的; 8) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道; 9) 维护所提供产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障; 10) 个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。
在一些业务场景下,我们可能自己作为个人信息控制者进行数据处理,例如以WOHUI自身名义开展的市场调研和其他类型的数据收集过程。此时,我们将严格按照适用法律法规的要求向您提供WOHUI的隐私保护政策或声明,并可能会另行向您提供特定的隐私声明文本,在其中提供与该具体业务场景相关的详细信息。
在一些业务场景下,我们将作为个人信息处理者,严格按照相关个人信息控制者的指示进行数据处理,例如我们接受客户委托完成数据采集、分析等过程时;该等情况下,个人信息处理的范围、目的、共享和留存等相关信息,请参阅该等具体场景下由客户向您提供的隐私政策。
总体而言,我们处理的个人信息可能包括以下类别: 1) 身份数据 – 如姓名、身份证件号码或其他标识符; 2) 联系信息 – 如地址、电子邮件地址和电话号码等; 3) 特征数据 – 包括兴趣、偏好、反馈和调查结果等其他相关信息。 在相关业务流程中,我们将按照客户的具体要求或项目的具体需要处理个人信息,确保所使用的个人信息类别均是业务流程的实现是必要的。
2. 有关Cookie的特别声明 Cookie是网站、应用程序或服务传输并存储在您设备上的小文件。WOHUI的网站、在线服务、互动应用程序、电子邮箱和广告可能会使用Cookie和其他同类技术,如像素标签和网站信标。Cookie可能会在您电脑上存储较短时间(如仅在您的浏览器开启时)或较长时间,甚至数年。请注意,我们无法访问不是由WOHUI设置的Cookie。 - 如大多数网站一样,我们会自动收集某些信息以分析累积趋势并管理我们的网站。此信息可能包括互联网协议(IP)地址、浏览器类型、互联网服务提供商(ISP)、引用/退出页面、您在我们网站上查看的文件(例如HTML页面,图形等)、操作系统、日期/时间戳记和/或点击流数据。 - 可能使用Cookie或类似的跟踪技术来分析趋势、管理网站、跟踪网站上的用户行为,并收集我们用户群的整体受众特征信息。 - 如果您的浏览器启用了Do Not Track,那么WOHUI所有的网站都会尊重您的选择。 管理Cookie以及Cookie偏好必须在您浏览器的选项/偏好内完成。关于Cookie的详细信息以及关于如何设置您的浏览器来接受、删除或禁用Cookie的说明,请参阅www.allaboutcookies.org。
我们仅会出于合法、正当、必要、特定、明确的目的共享和披露您的个人信息。我们将,同时也会敦促我们的合作伙伴一道,严格依据数据处理目的利用您的个人信息。
在涉及出售、转让或合并部分业务或资产时,我们也可能与第三方分享个人信息。如果业务控制发生变更,我们将切实采取措施,要求业务或部分业务的购买方继续按照本政策所述的相同标准处理、保护您的个人信息。
我们还可能依照法律法规或法庭要求、响应执法机构要求或在其他法律要求或许可的情况下披露个人信息。
关于在各具体的业务场景下您的个人信息将如何披露,您可参见由我们及其客户向您另行提供的隐私政策或其他相关法律文本。
除非有可适用的法律法规或监管规定明确要求,我们将仅在中国境内、根据实现处理目的所需的最短时间内保留您的个人信息。超过上述保留期限后,根据客户要求或适用的法律法规规定,我们会及时将您的个人信息以物理隔离的冷备数据库方式进行封存,非经客户或监管机关要求,任何人(包括我们)均无权访问。
我们已采取了合理的可行措施和技术措施,以保护所处理的个人信息。但是请注意,虽然我们采取了合理的措施保护您的个人信息,但没有任何网站、Internet 传输、计算机系统或无线连接是绝对安全的。
我们承诺已使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的个人信息,包括:
1) 我们会在可行的情况下及时将您的个人信息进行去标识化处理,从而降低其他组织或个人通过去标识化个人信息识别到您的风险。我们会定期审查数据处理的方式(包括物理性安全措施),以避免各种未经授权的访问。
2) 我们已在集团层面统一设置了个人信息处理权限管控制度,并切实推行至各部门与业务团队;我们只允许那些为实现处理目的所必要的员工及其他经授权代为处理的人员访问个人信息,并保证其受到严格的合同保密义务。
3) 我们将不断努力保障您的个人信息安全,并实施存储和传输全程安全加密等保障手段,以免您的个人信息在未经授权的情况下被访问、使用或披露。
4) 我们在传输和存储您的个人敏感信息时,会采用加密等安全措施。
在发生个人信息安全事件后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您。难以逐一告知时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,主动上报个人信息安全事件的处置情况。
由于中国法律法规要求,原则上,我们在全球范围内收集和产生的个人信息,均将统一存储在中国境内。
同时,请您确认已知悉并同意,根据不同国家/地区的客户要求,您的个人信息可能会被转移到该等客户所在的国家/地区,或者受到来自这些管辖区的访问。
当您的个人信息在全球范围内流转时,我们将在符合中国及其他相关司法辖区的强制性规则要求(包括但不限于中国境内的个人信息出境安全评估要求)前提下移转您的个人信息。
我们高度尊重您对您个人信息的权利。以下列出您依法享有的权利,以及我们将如何保护您的这些权利。请注意,在具体的产品或服务场景下,出于安全考虑,在处理您的请求前,我们可能需要先行验证您的身份。
1. 知情权:我们将通过本政策及其他相关法律文本向您告知我们如何处理您的个人信息。我们致力于提升数据处理的透明性。
2. 访问权:您有权访问您的个人信息。
3. 更正权:当您发现我们处理的关于您的个人信息有错误时,您有权要求我们做出更正。
4. 删除权:若我们没有合法理由继续持有并处理您的信息,您可以向我们要求删除您的个人信息。
5. 拒绝权:即便对您个人信息的处理是基于我们的正当利益、行使公共权力、直接营销(包括数据汇聚)、以及统计的原因,您也有权拒绝处理您的个人信息。
6. 撤回同意权:如果您同意我们处理您的个人信息,但稍后改变主意,你可以随时撤回您的同意,我们将及时停止处理您的个人信息。
7. 拒绝自动决策权:您有权不受制于全自动处理作出的决定,包括用户画像。若这些决定显著影响您的合法权利,您有权要求解释。
由于我们广泛服务于各行各业的企业客户,且特定项目结束后通常我们作为受委托方将向客户移交项目下涉及的原始材料(含个人信息),为您的请求能够及时、全面地得到回应,我们建议您向具体业务场景(如具体项目)下的个人信息控制者(通常为我们的客户)直接提出请求,并由其视情况向我们转交。我们会在收到您的请求后尽快进行回应。
对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将视情收取一定成本费用。对于那些无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际(例如,涉及备份磁带上存放的信息)的请求,我们可能会予以拒绝。
一般而言,我们会在三十天内或法律法规规定的期限内尽快回复,以下情形除外:
1) 与履行法律法规规定的义务相关的;
2) 与国家安全、国防安全直接相关的;
3) 与公共安全、公共卫生、重大公共利益直接相关的;
4) 与犯罪侦查、起诉、审判和执行判决等直接相关的;
5) 有充分证据表明您可能存在主观恶意或滥用权利的;
6) 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
7) 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;
8) 涉及商业秘密的。
我们的所有产品、网站和服务主要面向企业客户,我们并不会主动收集、处理儿童个人信息。如任何客户或用户希望或意图向我们提供儿童的个人信息,我们将确保已取得儿童监护的事先同意授权。对于经父母同意而收集儿童个人信息的情况,我们只会在受到法律允许、父母或监护人明确同意或者保护儿童所必要的情况下使用或公开披露此信息。我们将不满14周岁的任何人均视为儿童。
我们保留不时更新或修改本政策的权利。 未经您明确同意,我们不会削减您按照本政策所应享有的权利。我们会在本页面上发布对本政策所做的任何变更。 对于重大变更,我们还会提供更为显著的通知(包括对于某些服务, 我们会通过电子邮件发送通知,说明隐私政策的具体变更内容)。 本政策所指的重大变更包括但不限于: 1) 我们的服务模式发生重大变化。如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等; 2) 我们在所有权结构、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等; 3) 个人信息共享、转让或公开披露的主要对象发生变化; 4) 您参与个人信息处理方面的权利及其行使方式发生重大变化; 5) 我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时; 6) 个人信息安全影响评估报告表明存在高风险时。
“个人信息”指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
“个人敏感信息”是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,如身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。
“第三方”指并非因为共同所有权或控制权而存在相关关系的公司或人(即非关联公司)或者其他非相关的个人。
“个人信息主体”指个人信息的所有者,即已识别或可识别的自然人。
“个人信息控制者”指单独或与他人共同决定个人信息处理目的与方法的自然人或法人、公共机关、部门或其他机构。
“个人信息处理者”是代表控制者处理个人信息的自然人、法人或者其他主体。
“处理”是指对个人信息或个人信息系列执行的任何单一或系列操作,无论该操作是否以自动化方式进行,例如收集、记录、组织、结构化、储存、改编或变更、检索、查阅、使用、传输披露、传播或以其他方式提供、调整、组合、限制、删除或销毁。
“同意”指个人信息主体基于其意思,通过声明或明确肯定的行动,所表示的自主、具体、知情及明确的处理与其个人信息有关的同意。
“删除”是在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
