江苏太仓农村商业银行股份有限公司隐私政策(企业版)

　　本版本发布日期：2020年10月20日

　　生效日期：2020年10月20日

　　前  言

　　江苏太仓农村商业银行股份有限公司(“我行”或者“我们”)(注册地址：太仓市娄东街道上海东路198号)深知个人信息对贵司以及关系人(以下简称 “您”或“关系人”)的重要性，并会尽全力保护关系人的个人信息安全可靠。我们致力于维持贵司对我们的信任，恪守以下原则，保护关系人的个人信息：权责一致原则、目的明确原则、选择同意原则、最少必要原则、确保安全原则、主体参与原则、公开透明原则。同时，我行承诺，我们将按业界成熟的安全标准，采取相应的安全保护措施来保护关系人的个人信息。如果您对本隐私政策有任何疑问、意见或建议，请通过以下方式与我们联系：客服热线4001840060。

　　本《隐私政策(企业版)》是我行统一适用的一般性隐私条款，适用于我行所有对公客户的产品和服务。涉及具体的产品(或服务)，我行收集和使用关系人的个人信息的目的、方式和范围将通过相应的产品(或服务)协议、授权书方式向贵司明示，并确保取得贵司的授权或同意。请贵司向关系人转达上述文件与本《隐私政策(企业版)》，并确保获得关系人的授权或同意。上述文件与本《隐私政策(企业版)》共同构成我行对公客户产品和服务的完整隐私政策，两者如有不一致之处，以相应的产品(或服务)协议或授权书的约定为准。

　　本政策所称的“关系人”既包括为对公客户办理业务或开展业务往来相关的自然人，如经办人、交易员；也包括与对公业务有关，但不直接参与对公客户业务办理或业务开展的自然人，如公司客户的董监高、控股股东或者实际控制人，公司客户或其他类型对公客户的法定代表人、负责人。

　　请贵司和关系人仔细阅读本隐私政策，确保对其内容特别是字体加黑内容的含义及相应法律后果已全部知晓并充分理解。本隐私政策存在中文版和英文版，若中英文版本存在不一致，以中文版为准。

　　概  述

　　本《隐私政策》将帮助公司了解以下内容：

　　1.我行如何收集和使用关系人的个人信息。

　　2.我行如何使用 Cookie和同类技术。

　　3.我行如何存储和保护关系人的个人信息。

　　4.我行如何对外提供关系人的个人信息。

　　5.关系人如何访问和管理自己的个人信息。

　　6.我行如何处理未成年人的个人信息。

　　7.本政策如何更新。

　　8.如何联系我行。

　　一、我行如何收集和使用关系人的个人信息

　　个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、通信通讯联系方式、住址、账户信息、财产状况。个人信息中属于个人敏感信息的有：身份证件号码、征信信息、财产信息、生物识别信息。

　　(一)我行收集个人信息的目的。

　　我行收集关系人的个人信息，目的在于依法合规地为公司提供优质的产品(或服务)，该等信息基于我行须履行的相关法律义务，且属于履行公司和我行之间合约所需的必要信息。具体可能包括：

　　1.为向贵司提供产品、服务或开展业务往来，识别、验证贵司及关系人的身份、审批、管理、处理、执行或实现贵司及关系人要求或授权的交易。

　　在我行向贵司提供金融服务期间，贵司授权我行持续收集和使用关系人的信息。在贵司注销服务时，我行将停止收集关系人的个人信息，但我行会在业务资料归档、审计、监管协查领域继续使用此前收集的关系人的个人信息。

　　2.履行我行的合规责任，包括满足监管合规、税务合规及其他须遵守的监管要求。

　　3.根据境内外法律法规或监管要求向相关部门进行报告(包括反洗钱、反恐怖主义融资、贿赂、贪污、逃税、欺诈)。

　　4.进行信贷或征信调查，核验、获取或提供资信或信用信息。

　　5.邀请贵司参与我行产品或服务有关的客户调研。

　　6.以下情形中，您可选择是否授权我行收集、使用您的个人信息：

　　(1)基于相机(摄像头)的功能：您可使用扫码登陆服务。

　　(2)基于蓝牙的功能：您可使用蓝牙KEY服务。

　　(3)Face ID、指纹功能：您可使用登陆服务。

　　(4)存储空间：您可使用登陆账号的保存服务。

　　上述功能可能需要使用您在您的设备中向我行开启您的相机(摄像头)、蓝牙、Face ID、指纹、存储空间的访问权限，以实现这些功能所涉及的信息的收集和使用。请您注意，您开启这些权限即代表您授权我行可以收集和使用这些信息来实现上述功能，如您取消了这些授权，则我行将不再继续收集和使用您的这些信息，也无法为您提供上述与这些授权所对应的功能。

　　7.在向您提供服务的过程中，我行系统还可能通过第三方服务商提供的软件开发工具包(简称“SDK”)来为您提供服务，由第三方服务商收集您的必要信息，如您拒绝提供相关信息或权限，您将无法使用相关功能。具体包括以下几种：

　　(1)飞天蓝牙KEY SDK：当您使用业务审核功能时，需要获取设备蓝牙、读取设备信息权限，用于蓝牙KEY的安全验证。

　　若我行需将关系人的个人信息用于本政策未载明的其他用途时，会按照法律法规及国家标准的要求再次征求贵司的同意。

　　(二)我行收集个人信息的方式。

　　1.我行为贵司提供金融服务时，贵司主动向我行提供的个人信息。

　　2.我行为贵司提供金融服务过程中形成的与服务相关的个人信息。

　　3.经贵司的授权或同意，向合法留存有关个人信息的自然人、法人以及其他组织收集与我行提供的服务相关的必要个人信息，如：

　　向征信机构、信用管理公司、资信评估机构或有关法律、监管机构许可的类似机构采集关系人的个人信用信息和行为信息；

　　向政府机构、司法机关及公共事业单位(如人民银行、公安部、中国互联网金融协会机构)采集与服务相关的必要个人信息，如贵司的注册信息、工商信息、税务信息、诉讼信息中可能涉及的个人信息。

　　(三)我行收集个人信息的内容。

　　我行收集的个人信息可能包括纸质、电子(包括但不限于通过我行自助机具、门户网站、企业金融服务平台(包括网上银行、手机银行)、客户服务中心和其他移动设备应用程序、电子邮件、短信、电话银行渠道收集的信息)或其他形式的信息。

　　我行会依据不同产品服务的需要收集下述的部分个人信息。如果贵司不提供我行告知必须提供的个人信息，可能导致我行不能为贵司提供贵司希望获得的服务或履行我行须向贵司承担的义务。

　　1.个人身份信息，包括姓名、身份证件或者身份证明文件的种类、号码、有效期限。

　　2.个人生物特征信息，如：签字、笔迹、肖像、指纹。

　　3.在与个人建立、维护业务或其他关系过程中获取、保存的其他个人信息，如：使用服务的时间、为向贵司推荐附近网点或统计我行用户分布情况收集的地点(包括地理位置、网络地址)信息、网址/软件/应用程序浏览、使用、点击、操作的日志信息、录音录影录像、通话记录、通话内容、设备标识符、设备识别码、硬件型号、硬件序列号、操作系统版本。

　　如果贵司向我们提供关系人的个人信息，或贵司要求我们向第三方分享关系人的个人信息，贵司已确认相关人员理解并同意我们使用他们的个人信息。

　　(四)我行征得授权收集、使用关系人个人信息的例外。

　　根据相关法律法规及国家标准，在以下例外情形中，即使未获得贵司的同意，我行仍可能会收集并使用关系人的个人信息:

　　1.与国家安全、公共安全、重大公共利益直接相关的。

　　2.与犯罪侦查、起诉、审判和判决执行直接相关的。

　　3.出于维护关系人或他人的生命、财产重大合法权益但又很难得到贵司以及关系人同意的。

　　4.所收集的个人信息是个人信息主体自行向社会公众公开的。

　　5.从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开渠道。

　　6.法律法规规定的其他情形。

　　二、我行如何使用Cookie和同类技术

　　(一)Cookie。

　　为确保网站正常运转，我行会在贵司的计算机或移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。借助于 Cookie，网站能够验证客户输入信息(如手机验证码)的正确性并防止向客户重复发送信息(如验证码)，分析访客人数和网站一般使用状况。贵司可根据自己的偏好管理或删除 Cookie。贵司可以清除计算机上保存的所有 Cookie，大部分网络浏览器都设有阻止Cookie 的功能。但如果贵司这么做，则需要在每一次访问我行的网站时更改贵司的设置。多数浏览器工具条中的“帮助”部分会介绍怎样防止贵司的浏览器接受新的Cookie，怎样让贵司的浏览器在贵司收到一条新Cookie时通知贵司或者怎样彻底关闭Cookie。此外，贵司可以通过改变浏览器附加程序的设置，或通过访问提供商的网页，来关闭或删除浏览器附加程序使用的类似数据(Flash Cookie)。但这一举动在某些情况下可能会影响贵司安全访问我行网站和使用我行提供的服务。

　　(二)网站信标和像素标签。

　　除 Cookie 外，我行还会在网站上使用网站信标和像素标签其他同类技术。我行向贵司发送的电子邮件可能含有链接至我行网站内容的点击 URL。如果点击该链接，我行则会跟踪此次点击，帮助我行了解贵司的产品或服务偏好并改善客户服务。网站信标通常是一种嵌入到网站或电子邮件中的透明图像。借助于电子邮件中的像素标签，我行能够获知电子邮件是否被打开。

　　(三)Do Not Track(请勿追踪)。

　　很多网络浏览器均设有 Do Not Track 功能，该功能可向网站发布 Do Not Track 请求。目前，主要互联网标准组织尚未设立相关政策来规定网站应如何应对此类请求。但如果贵司的浏览器启用了 Do Not Track，那么我行的所有网站都会尊重贵司的选择。

　　三、我行如何存储和保护关系人的个人信息

　　(一)我行存储关系人的个人信息的情况。

　　我行在中华人民共和国境内收集和产生的个人信息，将存储在境内。但为处理跨境业务并在获得贵司的授权或同意后，关系人的个人信息可能会被转移到境外。此种情况下，我行会按照法律法规和监管规定执行，并采取有效措施保护关系人的个人信息的安全。

　　我行仅在法律法规要求，以及为实现本隐私政策的目的所必须的期限内，确定关系人的个人信息的最长储存期限以及相关日志的储存期限。

　　(二)我行采取的保护关系人的个人信息的安全措施。

　　我行已使用符合业界标准的安全防护措施保护关系人提供的个人信息，防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我行会使用加密技术确保数据的保密性；我行会使用受信赖的保护机制防止数据遭到恶意攻击；我行会部署访问控制机制，确保只有授权人员才可访问个人信息；以及我行会举办安全和隐私保护培训课程，加强员工对于保护个人信息重要性的认识。

　　我行将尽力确保贵司提供个人信息的安全性。同时，也请贵司务必妥善保管好贵司及关系人的账户登录名、身份信息及其他认证要素(包括密码、数字证书K宝)。贵司在使用我行服务时，我行会通过贵司及关系人的登录名及其他身份要素来识别关系人的身份。一旦泄漏了前述信息，贵司及关系人可能会蒙受损失，并可能产生对贵司及关系人不利的法律后果。如贵司及关系人发现账户登录名及/或其他身份要素可能或已经泄露时，请贵司及关系人立即和我行取得联系，以便我行及时采取相应措施以避免或降低相关损失。

　　若不幸发生个人信息安全事件，我行将按照法律法规的要求及时采取有效补救措施。我行将及时将事件相关情况以电子邮件、信函、电话和/或推送通知方式告知公司或关系人，难以逐一告知个人信息主体时，我行会采取合理、有效的方式发布公告。同时，我行还将按照监管部门要求，主动上报个人信息安全事件的处置情况。

　　四、我行如何对外提供关系人的个人信息

　　(一)共享。

　　我们不会与我行以外的公司、组织和个人分享关系人的个人信息，但以下情况除外：

　　1.在获取授权或同意的情况下共享：在获得贵司的授权或同意后，我行会与其他方共享关系人的个人信息。

　　2.我行可能会根据法律法规或监管规定，对外共享关系人的个人信息。

　　3.为实现隐私政策的目的，我行会与其他授权合作伙伴共享关系人的某些个人信息。代表贵司行事的收款人、受益人、中介人、往来及代理行、证券交易所、证券公司，或向贵司付款的人士；其他金融机构、行业协会、银行卡组织、信用评级机构、征信机构、信息服务提供商；向贵司提供资产管理服务的第三方资产管理机构在贵司开立账户逾期未偿还贷款或我行将贵司开立账户所涉业务作为不良资产进行处置时将关系人的个人信息共享给委外清收的第三方或不良资产受让方。

　　我行仅会出于合法、正当、必要、明确的目的共享关系人的个人信息。对我行与之共享个人信息的贵司、组织和个人，我行会与其签署严格的保密协定，要求他们按照我行的说明、本隐私政策以及其他相关的保密和安全措施来处理关系人的个人信息。

　　(二)转让。

　　我行不会将关系人的个人信息转让给其他公司、组织和个人，但以下情况除外：

　　1.事先获得贵司的授权或同意。

　　2.根据法律法规或强制性的行政或司法要求。

　　3.在涉及资产转让、收购、兼并时，如涉及到个人信息转让，我行会向贵司告知相关情况，并要求新的持有关系人个人信息的公司、组织继续受本政策的约束。如变更个人信息使用目的时，我行将要求该公司、组织重新取得贵司的同意。

　　(三)公开披露。

　　我行仅会在以下情况，公开披露关系人的个人信息：

　　1.事先获得贵司的授权或同意。

　　2．根据法律法规规定或监管规定，我行可能会公开披露关系人的个人信息。

　　五、关系人如何访问和管理自己的个人信息

　　按照中国相关的法律法规和监管规定，我行保障关系人对自己的个人信息可以行使以下权利：

　　(一)访问关系人的个人信息。

　　关系人有权通过我行网点、网上银行渠道访问自己的个人信息，法律法规另有规定的除外。

　　(二)更正关系人的个人信息。

　　若关系人发现我行对自身的个人信息处理有误时，有权要求我们做出更正。关系人可以通过我行网点、网上银行渠道提出更正申请。

　　(三)删除关系人的个人信息。

　　在以下情形中，关系人可以通过我行网点渠道向我行提出删除个人信息的请求：

　　1.如果我行处理个人信息的行为违反法律法规。

　　2.如果我行处理个人信息的行为违反了与贵司的约定。

　　(四)改变您授权同意的范围或撤回您的授权

　　关系人可以通过至营业网点注销企业网银用户、卸载手机银行客户端的方式撤回全部隐私授权，我行将不会再收集、使用或对外提供与该账户相关的信息。

　　您也可以通过在手机操作系统中修改隐私设置的方式改变部分您授权我行继续收集个人信息的范围或撤销您的授权。当您撤回部分授权后，我行无法继续为您提供撤回授权所对应的企业网银服务，但不会影响此前我行基于您的授权而开展的使用、存储和对外提供您个人信息的处理。

　　(五)响应关系人的上述请求。

　　我们将在十五个工作日内回复或响应关系人的以上权利请求。为保障安全，关系人可能需要通过贵司提供书面请求，我行可能会先要求贵司验证自己的身份或授权；请理解，对于某些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求，我行可能会予以拒绝。

　　在以下情形中，按照法律法规或监管要求，我们将无法响应关系人的请求：

　　1.与国家安全、公共安全、重大公共利益相关的。

　　2.与犯罪侦查、起诉、审判和判决执行相关的。

　　3.有充分证据表明关系人存在主观恶意或滥用权利的。

　　4.响应关系人的请求将导致我行违反相关法律法规、监管要求的。

　　5.响应关系人的请求将导致公司或其他个人、组织的合法权益受到严重损害的。

　　6.涉及我行商业秘密的。

　　六、我行如何处理未成年人的个人信息

　　我行的对公产品、网站和服务主要面向企业、机构，未成年人不得创建我行的对公账号。如果我行发现在对公业务中未事先获得可证实的父母同意的情况下收集了未成年的个人数据，则会设法尽快删除相关数据。我们将不满16周岁(或相关司法辖区规定的类似最低年龄)的任何人均视为未成年人。

　　七、本政策如何更新

　　根据国家法律法规变化及服务运营需要，我行将对本政策及相关规则不时地进行修改，修改后的内容会通过我行企业金融服务平台渠道公布，公布后即生效，并取代此前相关内容。贵司应不时关注相关公告、提示信息及协议、规则相关内容的变动。

　　对于重大变更，我行还会提供更为显著的通知(包括APP推送通知、电子邮件/短信发送通知)。

　　本政策所指的重大变更包括但不限于：

　　1.我们的服务模式，如处理个人信息的目的、处理个人信息的类型、个人信息的使用方式发生重大变化。

　　2.个人信息共享、转让或公开披露的主要对象类型发生变化。

　　3.贵司参与个人信息处理方面的权利及其行使方式发生重大变化。

　　4.我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化。

　　贵司知悉并确认，如贵司及关系人不同意更新后的内容，应立即停止使用相应服务，并注销相关账户，我行将停止收集关系人的个人信息；如贵司继续使用服务，即视为贵司及关系人同意接受更新内容。为了使贵司能及时接收到通知，建议贵司在联系方式更新时及时通知我们。

　　八、如何联系我行

　　如果贵司对本隐私政策有任何疑问、意见或建议，请通过以下方式与我们联系：

　　客服热线：4001840060

　　一般情况下，我们将在收到贵司疑问、意见或建议后的十五个工作日内回复。

　　公司名称：江苏太仓农村商业银行股份有限公司

　　注册地址：太仓市娄东街道上海东路198号

　　如果贵司对我们的回复不满意，特别是若我们的个人信息处理行为损害了贵司的合法权益，贵司还有权向消费者权益保护组织相关部门投诉。