本《隐私政策》发布、更新版本信息如下:
更新日期:2023年08月24日
生效日期:2023年08月24日
本版本更新内容主要如下:
1、提供适当方式供金融消费者自主选择是否同意将其金融信息用于营销、用户体验改进或者市场调查等与非业务所必需的相关目的;
2、更新第三方SDK收集与使用个人信息情况;
玉山银行(中国)有限公司(下称“我行”)深知个人信息对贵司和您的重要性,会尽力保护您的个人信息安全。我行致力于维护您对我行的信任,恪守以下原则保护您的个人信息:权责一致原则、目的明确原则、选择同意原则、必要性原则、确保安全原则、公开透明原则等。同时,我行承诺依法采取相应的安全保护措施保护您的个人信息。
请您在注册/使用前,仔细阅读并了解本《隐私政策》。本《隐私政策》仅适用于我行运营的“玉山企业银行”移动应用程序(下称“企业手机银行”)。您在使用企业手机银行服务时,包括但不限于通过企业手机银行进行银行账户管理、支付转账、定期存款、购买结构性存款、通知存款、复核等(相关服务已有独立隐私政策或用户协议中有特殊约定的,以相应的独立隐私政策或用户协议约定为准),我行将按照本《隐私政策》收集、存储、使用及对外提供您的信息,包括个人敏感信息。
本《隐私政策》与您使用本企业手机银行服务关系紧密,建议您仔细阅读并理解本《隐私政策》的全部内容,对于本《隐私政策》中与您的权益存在重大关系的条款和个人敏感信息,我行采用粗体字进行标注以提示您特别注意。如您未完全理解或接受本政策的全部内容,请勿使用本企业手机银行。
本《隐私政策》存放于:我的>>用户协议及隐私政策中,并将帮助您了解以下内容:
一、我行如何收集和使用您的个人信息
二、我行如何存储、共享、转让、公开披露和委托处理您的个人信息
三、我行如何保护您的个人信息
四、您控制个人信息的权利
五、我行如何处理未成年人的个人信息
六、本政策如何更新
七、如何联系我行
(一)我行如何收集个人信息
为向您和贵司提供服务并确保企业手机银行账号安全,在您使用企业手机银行服务过程中,企业手机银行会收集您在使用服务过程中主动输入或因使用服务而产生的信息:
1.使用企业手机银行功能或服务时,您可能需要向我行提供或授权我行收集相应服务所需的个人信息。如您拒绝提供,可能将无法使用相应功能或服务。
(1)登录企业手机银行时,我行将对登录密码、手势密码、生物识别信息(面部识别特征、指纹)进行有效性核验。我行还会收集设备信息用于确定设备识别码、硬件绑定和登录安全加固,包括IMEI码、UUID相关信息,以保证账号登录及其他使用的安全性。如您拒绝授权,不提供以上信息,我行将自动为您的设备生成唯一识别码,将无法登录,但这不影响您正常使用未登录情况下可用的功能或服务。
对于部份品牌或型号的手机设备,可以选择基于设备本地生物特征的指纹/面容识别认证方式登录企业手机银行。您可以通过企业手机银行“我的-安全设置”开启或关闭此功能。在开启指纹/面容识别登录后,您登录企业手机银行时需要使用您的指纹或脸部图像信息进行验证。我行不会采集您的指纹及脸部图像原图,其信息仅在授权采集脸部图像的手机设备上保存和处理。
(2)使用企业手机银行消息服务时,我行会收集贵司的账户信息及交易信息,以便及时向您发送账户资金变动及相关交易通知。
(3)当您使用云证书管理服务时,我行会收集您的姓名、证件类型、证件号码、手机号,以便向您提供云证书认证服务。如您拒绝提供该信息,您将无法使用上述功能,但这不影响正常使用企业手机银行的其他功能。
(4)当您使用网点预约服务时,该服务是基于地理位置进行,我行会收集您的地理位置信息,目的是为了向您提供所在位置的相应服务。如您拒绝提供该信息,您将无法使用上述功能,但这不影响正常使用企业手机银行的其他功能。
(5)当您使用转账功能时,您需要提供收款方的账号/银行卡卡号、户名、开户行、资金用途信息。此外,我行还会收集贵司的相关收付款交易记录以便于您查询。上述信息属于敏感信息,如您拒绝提供该信息,将会使您无法使用上述功能,但不影响正常使用企业手机银行的其他功能。
2.当您使用企业手机银行服务时,为了维护服务的正常运行,及保障贵司的账号安全,我行会收集以下基础信息,包括您的设备型号、操作系统、唯一设备标识符、企业手机银行软件版本号、登录IP地址、设备MAC地址、接入网络的方式、类型和状态、网络质量数据、设备感应数据、操作日志、系统参数、应用权限、安装的应用信息或正在运行的进程信息、服务日志信息(如您在企业手机银行搜索、查看的信息、服务故障信息、引荐网址等信息)等日志信息,这些信息是为您提供服务必须收集的基础信息,以保障您正常使用我行的服务。
3.以下情形中,您可选择是否授权我行收集、使用您的个人信息:
(1)基于地理位置的功能:您可开启定位服务,用于网络金融交易风控,提高查询附近网点准确性。
(2)Face ID:您可使用于登录等服务。
(3)基于电话的功能:您可使用于拨打客服电话等服务。
(4)基于短信的功能:您可使用于短信验证码回填等服务。
上述功能可能需要您在您的设备中向我行开启您的地理位置(位置信息)、Face ID、存储空间、电话、短信的访问权限,以实现这些功能所涉及的信息的收集和使用。请您注意,您开启这些权限即代表您授权我行可以收集和使用这些信息来实现上述功能,如您取消了这些授权,则我行将不再继续收集和使用您的这些信息,也无法为您提供上述与这些授权所对应的功能。
如欲取消上述授权,您可经由手机设备“设置”功能中经由“隐私”或“APP应用”,针对我行企业手机银行权限进行设置。
4.当您在使用企业手机银行的功能或服务时,在某些特定使用场景下,我行可能会使用具有相应业务资质及能力的第三方服务商提供的软件服务工具包(简称“SDK”)来为您提供服务,由第三方服务商收集您的必要信息。具体详见附件一。
5.当您使用企业手机银行android客户端时,在点击同意隐私政策前企业手机银行会通过设备ID查询当前设备的上次登录信息。
6.为确保企业手机银行正常运转,我行会在您的移动设备上存储名为Cookie的小数据文件。Cookie通常包含标识符、站点名称以及一些号码和字符。借助于Cookie,企业手机银行能够存储您的偏好数据。我行不会将Cookie用于本政策所述目的之外的任何用途。您可根据自己的偏好管理或删除Cookie,可在移动设备的系统设置中选择清除您设备上保存的所有Cookie。
7.当您在使用企业手机银行某些需要核验身份的功能或服务时,您可以通过在页面上作出主动勾选、主动点击“同意”“获取”、主动填写或提供等行为而作出同意授权,在征得您明示同意的前提下,我行可能会将您的姓名、手机号码及证件信息发送至我行认可的第三方机构(例如电信运营商等)进行信息查询与核验。
8.权限信息,设备里的权限信息,包括通讯录信息、位置信息、相机、手机相册等。如您是ios系统,点击路径为您设备中的“设置-隐私”,如您是安卓系统,点击路径为您设备中的“设置-隐私-权限管理”。各相关业务功能可能开启您的设备访问权限的逐项列举,可以点击此处查询。
(二)我行如何使用个人信息
1.为确保服务安全,帮助我行更好地了解企业手机银行运行情况,我行可能记录企业手机银行运行的相关信息,比如,您使用企业手机银行的频率、崩溃数据、总体使用情况、性能数据等。我行不会将存储在分析软件中的信息与您在企业手机银行中输入的任何个人身份信息相结合。
2.我行在收集您的个人信息后,可能会通过技术手段对您的信息数据进行去标识化处理。 去标识化处理后的信息将无法识别个人信息主体,我行有权在不经过您同意的情况下对去标识化的数据进行分析并予以使用。
3.请您理解,我行向您提供的功能和服务是不断更新和发展的,如果某一功能或服务未在本政策载明且收集了您的个人信息,我行会通过页面提示、交互流程、网站公告等方式另行向您说明信息收集、使用的内容、范围和目的,并在使用前征得您的授权同意。授权同意是指您对您个人信息进行特定处理作出明确授权的行为,包括通过积极的行为作出授权(即明示同意,如您在页面上主动勾选、主动点击“同意”“获取”、主动填写或提供等行为),或者通过消极的不作为而作出授权(如信息采集区域内的您在被告知信息收集行为后没有离开该区域)。
(三)征得授权同意的例外
根据相关法律法规、监管要求及国家标准,以下情形中遇到国家有权机关或者监管机关要求我行提供的,或者出于对您的权利、权益进行充分保护的目的,或者符合本条约定的其他合理情形的,我行收集、使用个人信息不必征求您的授权同意:
1.与履行法律法规规定的义务相关的;
2.与国家安全、国防安全直接相关的;
3.与公共安全、公共卫生、重大公共利益直接相关的;
4.与刑事侦查、起诉、审批和判决执行等直接相关的;
5.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
6.所涉及的个人信息是您自行向社会公众公开的;
7.根据您要求签订和履行合同所必需的;
8.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
9.维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
10.法律法规及监管要求规定的其他情形。
(一)存储
1.我行在中华人民共和国境内收集和产生的个人信息,将存储在中华人民共和国境内。但部分产品/服务涉及跨境业务,我行需要向境外机构传输境内收集的相关个人信息的,如您的联络电话等,我行会根据境内法律法规规定,对您的个人信息出境前开展安全评估。同时,在相关条件具备时我行将依照国家网信部门组织的安全评估、国家网信部门的规定专业机构个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同开展个人信息跨境传输工作。
2.我行仅在法律法规要求的期限内,以及为实现本政策声明的目的所必须的期限内保留贵司及您的信息。例如:
手机号码:当您需要使用企业手机银行服务时,我行需要一直保存您的手机号码,以保证您正常使用该服务,当您注销企业电子银行账户后,我行将删除您的号码信息。
账户信息:若您需要使用企业手机银行服务,我行需要一直保存贵司的账户信息,以保证您正常使用该服务,当贵司注销账户后,我行将按照法律法规及监管规定并在合理的期限内删除贵司的账户信息。
交易信息:若您需要使用企业手机银行服务,我行需要一直保存贵司的交易信息,以保证您可以查询到历史交易信息,当贵司注销账户后,我行将按照法律法规及监管规定并在合理的期限内删除贵司的交易信息。
(二)共享
我行不会与其他任何公司、组织和个人分享您的个人信息,但以下情况除外:
1.事先获得您的明确同意或授权。
2.我行可能会根据法律法规规定,或按政府主管部门的强制性要求,对外共享您的个人信息。
3.为实现隐私政策声明的目的,或为向贵司提供服务之必须,我行可能会在获得您的明确同意或授权后与关联公司、合作伙伴提供您的某些个人信息。例如向合作的推送服务或移动设备厂商提供贵司的账户信息及交易信息,以便及时向您的移动设备发送账户资金变动及相关交易通知。我行只会共享必要的个人信息,且我行合作伙伴和关联公司无权将共享的个人信息用于任何其他用途。同时,我行会与其签署保密协议,要求他们按照我行的说明、本隐私政策以及其他任何相关的保密和安全措施来处理个人信息。
(三)转让
我行不会向其他公司、组织和个人转让您的个人信息,但以下情况除外:
1.在获取您明确同意或授权的情况下,我行才会就同意范围内的个人信息进行转让。
2.根据法律法规或强制性的行政或司法要求。
3.根据法律法规、监管规定和商业惯例,在发生合并、收购、资产转让等类似交易中,如涉及到个人信息转让,我行会向您告知有关情况,并尽最大努力要求新的持有您个人信息的公司、组织继续受本隐私政策的约束,否则我行将要求该公司、组织重新向您征求授权同意。
(四)公开披露
我行仅会在以下情况下,公开披露您的个人信息:
1.事先获得您明确同意或授权;
2.根据法律法规规定,或按政府主管部门的强制性要求,我行可能会公开披露您的个人信息。
(五)委托处理
我行业务功能中某些具体的模块或功能系与外部供应商合作提供服务,例如我们会聘请服务提供商来协助我们提供客户支持。
对我行委托处理个人信息的公司、组织或个人,我们会与其签署严格保密协议,要求他们按照我们的要求、本《隐私政策》以及其他任何相关的保密和安全措施来处理个人信息。
(一)我行已使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我行会采取一切合理可行的措施,保护您的个人信息。例如:我行会使用加密技术确保数据的保密性;我行会使用受信赖的保护机制防止数据遭到恶意攻击;我行会部署访问控制机制,确保只有授权人员才可访问个人信息;以及我行会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。
(二)我行会采取一切合理可行的措施,确保未收集无关的个人信息。我行只会在达成本政策所述目的所需的期限内并保留您的个人信息,除非需要延长保留期或受到法律的允许。
(三)请您理解,由于技术水平局限以及可能存在的恶意攻击,有可能出现我行无法合理预见、防范、避免、控制的意外情况。互联网并非绝对安全的环境,请使用复杂密码和安全工具,协助我行保证贵司账号及您的个人信息安全。
(四)如发生个人信息安全事件,我行将按照法律法规的要求,及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您,或采取合理、有效的方式发布公告。同时,我行还将依据监管规定,上报个人信息安全事件处置情况。
按照中国相关的法律法规和监管规定,我行保障您的个人信息行使以下权利:
(一)访问、更正及更新您的个人信息
您有权通过我行企业手机银行访问您的个人信息。基于安全控管考量,如您需进行个人信息更正或更新,需经由企业电子银行具“管理员”角色人员或至我行网点申请修改个人信息,请提前咨询我行网点人员以携带相关印鉴及资料。
(二)删除您的个人信息
在以下情形中,您可以向我行提出删除个人信息的请求:
1.如果我行处理个人信息的行为违反法律法规;
2.如果我行收集、使用您的个人信息,却未征得您的同意;
3.如果我行处理个人信息的行为违反了与您的约定;
4.如果贵司及您不再使用我行的产品或服务,可前往我行营业网点终止相关的产品或服务;
5.如果我行不再为贵司及您提供产品或服务。
若我行决定响应您的删除请求,我行还将同时通知从我行获得您的个人信息的实体,要求其及时删除,除非法律法规另有规定,或者这些实体已经获得您独立授权。当您从我行的服务中删除信息后,我行可能不会立即在备份系统中删除相应信息,但会在备份最近一次更新时删除这些信息。
(三)改变您授权同意的范围
对于您直接参与的部分对公业务中,您可自由选择是否接受我行收集您的个人信息。
【在企业手机银行中,您可以在手机设置中的权限管理中,开通或关闭手机的相应位置服务权限、读取设备信息权限、拨打电话权限】。
您可以通过关闭企业手机银行部分功能,或在开通使用部分功能或服务时拒绝提供相关个人信息的方式,来阻止我行或提供相关服务的第三方获取您的个人信息。上述方式可能会导致我行或相关第三方无法为您提供相应服务。
(四)信息主体注销账户
如贵司为我行企业电子银行签约用户,您可以在取得贵司授权的前提下,通过我行柜面渠道注销企业电子银行。注销企业电子银行后,贵司的企业手机银行账号权限同步注销。您注销企业电子银行账号的行为是不可逆行为,一旦您注销企业电子银行,贵司的企业手机银行账号权限会同步注销,我行将不再通过企业手机银行客户端收集您的个人信息,并将删除有关您和贵司企业手机银行账号的一切信息,法律法规或监管机关对个人信息存储时间另有规定的除外。
您可以自主选择卸载或停止使用企业手机银行客户端,以阻止我行获取您的个人信息、行为信息和贵司的交易信息。请您注意,您仅在手机设备中删除企业手机银行客户端时,我行不会注销贵司的企业手机银行账号权限,有关您和贵司的企业手机银行账号的一切信息不会删除。仍需注销贵司的企业电子银行方能达到以上目的。您注销企业电子银行的同时,将视同您撤回了对本政策的同意,我行将不再收集相应的个人信息。但您撤回同意的决定,不会影响此前基于您的授权而开展的个人信息收集。
(五)响应您的上述请求
我行将及时响应您的上述请求,如需人工处理的,我行亦将在合理期限内(一般情况下15个自然日)完成核查和处理。为保障安全,我行可能需要您提供书面请求,或以其他方式证明您的身份。我行可能会先验证您的身份或授权,然后再处理您的请求。请您理解,对于某些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求,我行可能会予以拒绝。
尽管有上述约定,但按照法律法规要求,如涉及以下情形我行将可能无法响应您的请求:
1.与您履行法律法规规定的义务相关的;
2. 与国家安全、国防安全直接相关的;
3.与公共安全、公共卫生、重大公共利益直接相关的;
4.与刑事侦查、起诉、审判和判决执行等直接相关的;
5.有充分证据表明您存在主观恶意或滥用权利的;
6.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
7. 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;
8.涉及商业秘密的。
1.我行特别重视对未成年人个人信息的保护。我行的产品、网站和服务主要面向成人。如果没有父母或监护人的同意,未成年人不应创建自己的个人信息主体账户。如您为未成年人,请您的监护人仔细阅读本政策,并在征得您的监护人同意的前提下使用我行的服务或向我行提供信息。我行只会在法律法规允许、父母或监护人明确同意或者保护未成年人所必要的情况下使用或公开披露您的个人信息。
2.根据中华人民共和国境内法规,不满十四周岁的未成年人个人信息为敏感个人信息,我行将会严格履行法律法规规定的未满十四周岁未成年人信息保护义务与责任,遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则,征得监护人的同意后收集和使用未满十四周岁未成年人的个人信息。
3.如果我行发现在未事先获得可证实的监护人同意的情况下收集了未成年人的个人信息,则会设法尽快删除相关数据。如果有监护人发现有未经监护人同意的情况下使用本产品或提供了未成年人的个人信息,请按下文联系方式与我行联系。
发生下列情形时,我行将对本政策及相关规则不时地进行更新:
1.我行提供的服务范围、模式等发生重大变化;
2.我行的经营主体、组织架构、所有权结构等方面发生重大变化;
3.您的个人信息对外提供、转移或公开披露的主要对象发生变化;
4.您参与个人信息处理方面的权利及其行使方式发生重大变化;
5.我行投诉的渠道和机制,以及外部纠纷解决机构及联络方式发生变化;
6.国家法律法规和监管政策有了新的规定或要求;
7.其他可能对您个人信息权益产生重大影响的变化。
如本政策发生更新,更新后的内容会通过我行企业手机银行以公告/“弹窗”形式及时通知您,以便您及时了解政策最新内容。本政策更新后将再次弹窗征得您的授权同意,如您点击“同意”,即视为同意接受变动内容。您知悉并确认,如您不同意更新后的内容,应立即停止使用相应服务,并注销相关的账户,我行将停止收集您的相关个人信息。
您可以在企业手机银行通过“我的>>用户协议与隐私政策”中查看本政策。我行鼓励您在每次使用企业手机银行时都查阅我行的隐私政策,并不时关注相关公告及协议、规则等相关内容变动。
如果您对本隐私政策有任何疑问、投诉、意见或建议,特别是个人信息方面或本隐私政策方面的疑问、意见或建议,您可以通过以下方式与我行联系,一般情况下,我行将在15个自然日内受理并处理:
如果您对我行的回复不满意,特别是如果您认为我行的个人信息处理行为损害了您的合法权益,您还可以向消费者权益保护组织投诉或者向有关政府部门或行业协会进行反映,您还可以依照中华人民共和国法律向深圳地区有管辖权的人民法院提起诉讼来寻求解决。
第三方信息共享清单
为保障企业手机银行APP相关功能实现及应用稳定运行,我行可能会接入由第三方提供的软件开发包(即SDK)以实现相关目的。您可以通过以下信息查看第三方的数据使用及保护规则。
1、SamsungLook
客户端: 安卓
所属公司:三星公司
收集信息:三星帐户 ID、GUID、用户名。
使用目的及场景:企业手机银行APP涉及指纹识别场景,包含指纹登录。提供指纹识别作为安全认证方式或手段。关于SamsungLook所收集的信息种类、用途、个人信息保护的规则详见
(https://eula.samsungiotcloud.cn/legal/cn/zh/ppa_main.html#InformationWeObtain)
2、CFCA 数字证书云证通SDK
客户端: iOS及安卓
所属公司:中金金融认证中心有限公司
收集信息:设备型号、IP地址、App版本号、系统版本、MAC地址、序列号、姓名、证件号
使用目的及场景:转账交易使用云证书。详见