江苏太仓农村商业银行股份有限公司隐私政策(个人版)

本版本发布日期：2020年10月20日

生效日期：2020年10月20日

前言

江苏太仓农村商业银行股份有限公司(“我行”或者“我们”)(注册地址：太仓市娄东街道上海东路198号)深知个人信息对您的重要性，并会尽全力保护您的个人信息安全可靠。我们致力于维持您对我们的信任，恪守以下原则，保护您的个人信息：权责一致原则、目的明确原则、选择同意原则、最少必要原则、确保安全原则、主体参与原则、公开透明原则。同时，我行承诺，我们将按业界成熟的安全标准，采取相应的安全保护措施来保护您的个人信息。如果您对本隐私政策有任何疑问、意见或建议，请通过以下方式与我们联系：客服热线：4001840060。

本《隐私政策(个人版)》是我行统一使用的一般性隐私条款，适用于我行所有针对个人客户的产品和服务。涉及具体的产品(或服务)，我行收集和使用您的个人信息的目的、方式和范围将通过相应的产品(或服务)协议、授权书方式向您明示，并取得您的授权或同意。上述文件与本《隐私政策(个人版)》共同构成我行针对个人客户产品和服务的完整隐私政策，两者如有不一致之处，以相应的产品(或服务)协议或授权书的约定为准。

请您在勾选“同意”之前仔细阅读本隐私政策，确保对其内容特别是字体加黑内容的含义及相应法律后果已全部知晓并充分理解。您勾选“同意”即视为您接受本隐私政策，我行将按照相关法律法规及本政策来合法使用和保护您的个人信息。

概述

本《隐私政策》将帮助您了解以下内容：

1 我行如何收集和使用您的个人信息

2 我行如何使用 Cookie和同类技术

3 我行如何存储和保护您的个人信息

4 我行如何对外提供您的个人信息

5 您如何访问和管理自己的个人信息

6 我行如何处理未成年人的个人信息

7 本政策如何更新

8 如何联系我行

一、 我行如何收集和使用您的个人信息

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、通信通讯联系方式、住址、账户信息、财产状况、行踪轨迹。个人信息中属于个人敏感信息的有：身份证件号码、银行账号、通讯地址、征信信息、财产信息、交易信息、生物识别信息、健康生理信息。

(一)我行如何收集您的个人信息

为向您提供服务并确保您的账户安全，在您使用服务过程中，会收集您在使用服务过程中主动输入或因使用服务而产生的信息：

1.当您注册手机银行账户时，依据法律法规及监管要求，我行会收集您的手机号码、身份证信息、银行卡号，并验证您的银行卡密码，以帮助您完成手机银行注册。如果您拒绝提供这些信息，您可能无法注册手机银行账户或无法正常使用我行的服务。

2.当您使用手机银行功能或服务时，您可能需要向我行提供或授权我行收集相应服务所需的个人信息。如您拒绝提供，您可能将无法使用相应功能或服务。

(1)当您登录手机银行时，我行将对登录手机号码、登录密码或者手势密码进行有效性核验。如您忘记登录密码需要重置时，我行将根据您所选择场景的需要验证您的身份信息，包括手机号码、姓名、证件类型、证件号码、卡号、银行卡交易密码。我行还会收集设备信息用于硬件绑定和登录安全加固。如您不提供以上信息，您将无法登录或者找回密码，但这不影响您正常使用未登录情况下可用的功能或服务。

(2)为了让您更安全、便捷地使用登录服务，如您的设备与手机银行版本均支持指纹/刷脸功能，您可以选择通过指纹/刷脸功能登录手机银行。您需在您的设备上录入您的指纹/面容信息，在您进行指纹/刷脸登录手机银行时，您需在您的设备上完成指纹/面容验证。我行仅接收验证结果，并不收集您的指纹/面容信息，其信息仅在您授权采集指纹/面容信息的设备上保存和处理。如您不想使用指纹/刷脸登录，仍可通过其他方式进行登录。您可以通过手机银行“我的-安全中心-指纹登录/刷脸登陆”开启或关闭指纹/刷脸登录功能。

(3)如您在手机银行中使用修改个人基本信息、金易贷+、修改支付限额、一类账户降级、手机号支付注册需要通过人脸识别服务进行身份认证的业务时，需向我行提供您的人脸图像信息，在经过您的明示同意和身份认证后，您的人脸图像信息将被加密存储于我行信息系统后台数据库中。如您拒绝授权我行采集您的人脸图像信息，我行将可能无法向您提供需完成人脸识别认证后方可使用的产品或服务。

(4)当您使用手机银行时，我行会收集您的账户信息及交易信息，以便及时向您发送账户资金变动及相关交易通知；我行也可能会向我行的合作伙伴收集其合法留存并经您授权可以共享使用的信息，以便为您提供相应消息通知服务。

(5)当您使用基于地理位置的网点查询功能时，我行会收集您的地理位置信息，目的是为了向您提供所在位置的相应服务。如您拒绝提供该信息，您将无法使用上述功能，但这不影响您正常使用手机银行的其他功能。

(6)当您使用转账汇款、手机号码支付、扫码支付收付款功能时，您需要提供收款方的手机号码、姓名、银行卡卡号/账号信息，并可能需要提供您的姓名、手机号码、证件类型及证件号码信息，以便于验证身份及使用上述功能的支付服务。此外，我行还会收集您的相关收付款交易记录以便于您查询。上述信息属于个人敏感信息，如您拒绝提供该信息，仅会使您无法使用上述功能，但不影响您正常使用手机银行的其他功能。

3.以下情形中，您可选择是否授权我行收集、使用您的个人信息：

(1)基于相机(摄像头)的功能：您可使用扫码支付、银行卡识别、更换头像和背景、刷脸认证服务。

(2)基于相册(图片库)的功能：您可使用头像上传服务。

(3)基于地理位置的功能：您可开启定位服务，提高网点查询的准确性。

(4)基于蓝牙的功能：您可使用蓝牙KEY服务。

(5)Face ID、指纹功能：您可使用登陆服务。

(6)存储空间：您可使用登陆账号的保存服务。

(7)电话功能：您可使用拨打客服电话服务。

上述功能可能需要使用您在您的设备中向我行开启您的相机(摄像头)、相册(图片库)、地理位置(位置信息)、蓝牙、Face ID、指纹、存储空间、电话的访问权限，以实现这些功能所涉及的信息的收集和使用。请您注意，您开启这些权限即代表您授权我行可以收集和使用这些信息来实现上述功能，如您取消了这些授权，则我行将不再继续收集和使用您的这些信息，也无法为您提供上述与这些授权所对应的功能。

4.在向您提供服务的过程中，我行系统还可能通过第三方服务商提供的软件开发工具包(简称“SDK”)来为您提供服务，由第三方服务商收集您的必要信息，如您拒绝提供相关信息或权限，您将无法使用相关功能。具体包括以下几种：

(1)人脸检活SDK：当您使用金易贷+、税易贷、我的信息修改、一类户降级和手机号支付注册功能时，需要使用文件读取、摄像头权限，采集您的姓名、身份证件号码、手机号、征信和人脸信息，进行身份的确认。

(2)飞天蓝牙KEY SDK：当您使用智能转账和太付盾密码修改功能时，需要获取设备蓝牙、定位、读取设备信息权限，用于蓝牙KEY的安全验证。

(3)百度定位SDK：为了向您提供基于位置的网点查询服务，我行使用了百度定位SDK，该SDK需要获取您的手机IMEI、硬件型号、操作系统版本、设备配置、MAC地址、经纬度信息，用于实现定位功能。

(4)银行卡扫码SDK：为了向您提供银行卡扫码识别卡号功能，我行使用了该SDK，需要获取您的摄像头权限。

(二) 我行收集个人信息的目的

我行收集您的个人信息，目的在于依法合规地为您提供优质的产品(或服务)，该等信息对于充分履行您和我行之间的合约很有必要，并使得我行能够遵守相关法律义务，具体可能包括：

1. 为向您提供产品或服务，识别、验证您的身份、审批、管理、处理、执行或实现您要求或授权的交易。

在我行向您提供金融服务期间，您授权我行持续收集和使用您的信息。在您注销服务时，我行将停止收集您相关的个人信息，但我行会在业务资料归档、审计、监管协查领域继续使用此前收集的您的相关个人信息。

2. 履行我行的合规责任，包括满足监管合规、税务合规及其他须遵守的监管要求。

3. 根据境内外法律法规或监管要求向相关部门进行报告(包括洗钱、恐怖主义融资、贿赂、贪污、逃税、欺诈)。

4. 进行信贷或征信调查，核验、获取或提供资信或信用信息。

5. 邀请您参与我行产品或服务有关的客户调研。

(三) 我行收集个人信息的方式

1. 我行为您提供金融服务时，您主动向我行提供的个人信息；

2. 我行为您提供金融服务过程中形成的与服务相关的个人信息；

3. 向征信机构、信用管理公司、资信评估机构或有关法律、监管机构许可的类似机构采集您的个人信用信息和行为信息；

4. 向政府机构、司法机关及公共事业单位(如人民银行、公安部、人力资源和社会保障部门、公积金管理中心、中国互联网金融协会机构)采集与服务相关的必要个人信息，如您的身份证件信息、工商信息、税务信息、诉讼信息、社保信息；

5. 经您同意或授权收集您的个人信息，如经您同意，向合法留存您个人信息的自然人、法人以及其他组织收集与我行提供的服务相关的必要个人信息。

(四) 我行收集个人信息的内容

我行收集的个人信息可能包括纸质、电子(包括但不限于通过我行自助机具、门户网站、网上银行、手机银行、微信银行、客户服务中心及其他移动设备应用程序、电子邮件、短信、电话银行渠道收集的信息)或其他形式的信息。

我行会依据不同产品服务的需要收集下述的部分个人信息。如果您不提供我行告知您必须提供的个人信息，可能导致我行不能为您提供您希望获得的服务或履行我行须向您承担的义务。

1. 个人身份信息，包括个人姓名、性别、国籍、民族、职业、住所地或者工作单位地址、联系方式、婚姻状况、学历、出生日及出生地、身份证件种类号码及有效期限、以及个人虚拟身份标识和鉴别信息(如：网银账户信息)；

2. 个人财产信息，包括个人收入状况、拥有的动产和/或不动产状况、负债状况、投资情况、纳税额、税务居民身份、纳税人识别号、公积金缴存金额；

3. 个人生物特征信息，如：签字、笔迹、肖像、指纹、声音、虹膜、人脸识别信息；

4. 个人账户信息，包括账号、账户开立时间、开户机构、账户金额、账号交易情况；

5. 个人信用信息，包括信用卡、贷款及其他信贷交易信息以及能够反映个人信用状况的信息；

6. 个人金融交易信息，包括在支付结算、理财或其他银行业务过程中获取、保存、留存的个人信息及在通过银行与保险公司、证券公司、基金公司、期货公司、支付机构第三方机构发生业务关系时产生的个人信息；

7. 个人地理位置信息，当您使用基于地理位置的相关功能时，我行会收集您的地理位置信息，意在为您提供所在位置的相应服务，如交易风控、本地优惠、热门活动。如您拒绝提供该信息，您无法使用相关功能，但这不影响您使用手机银行的其他功能。您可随时通过手机权限设置决定是否继续允许我行访问您的地理位置信息。

8. 衍生信息，包括个人消费习惯，产品、服务或网络使用习惯，交易或风险偏好，风险承受能力，投资意愿、目标、知识和经验，以及其他对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；

9. 在与个人建立、维护业务或其他关系过程中获取、保存的其他个人信息，如：使用服务的时间、地点(包括地理位置、网络地址)、网址/软件/应用程序浏览、使用、点击、操作的日志信息、录音录影录像、通话记录、通话内容、设备标识符、设备识别码、硬件型号、硬件序列号、操作系统版本。

(五) 我行征得授权收集、使用您个人信息的例外

根据相关法律法规及国家标准，在以下例外情形中，即使未获得您的同意，我行仍可能会收集并使用您的个人信息:

1. 与国家安全、公共安全、重大公共利益直接相关的；

2. 与犯罪侦查、起诉、审判和判决执行直接相关的；

3. 出于维护您或他人的生命、财产重大合法权益但又很难得到您本人同意的；

4. 所收集的个人信息是个人信息主体自行向社会公众公开的；

5. 从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开渠道；

6. 法律法规规定的其他情形。

二、 我行如何使用Cookie和同类技术

(一) Cookie

为确保网站正常运转，我行会在您的计算机或移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。借助于 Cookie，网站能够验证客户输入信息(如手机验证码)的正确性并防止向客户重复发送信息(如验证码)，分析访客人数和网站一般使用状况。您可根据自己的偏好管理或删除 Cookie。您可以清除计算机上保存的所有 Cookie，大部分网络浏览器都设有阻止Cookie 的功能。但如果您这么做，则需要在每一次访问我行的网站时更改您的设置。多数浏览器工具条中的“帮助”部分会告诉您怎样防止您的浏览器接受新的Cookie，怎样让您的浏览器在您收到一条新Cookie时通知您或者怎样彻底关闭Cookie。此外，您可以通过改变浏览器附加程序的设置，或通过访问提供商的网页，来关闭或删除浏览器附加程序使用的类似数据(例如：Flash Cookie)。但这一举动在某些情况下可能会影响您安全访问我行网站和使用我行提供的服务。

(二) 网站信标和像素标签

除 Cookie 外，我行还会在网站上使用网站信标和像素标签其他同类技术。例如，我行向您发送的电子邮件可能含有链接至我行网站内容的点击 URL。如果您点击该链接，我行则会跟踪此次点击，帮助我行了解您的产品或服务偏好并改善客户服务。网站信标通常是一种嵌入到网站或电子邮件中的透明图像。借助于电子邮件中的像素标签，我行能够获知电子邮件是否被打开。如果您不希望自己的活动以这种方式被追踪，则可以随时退订。

(三) Do Not Track(请勿追踪)

很多网络浏览器均设有 Do Not Track 功能，该功能可向网站发布 Do Not Track 请求。目前，主要互联网标准组织尚未设立相关政策来规定网站应如何应对此类请求。但如果您的浏览器启用了 Do Not Track，那么我行的所有网站都会尊重您的选择。

三、 我行如何存储和保护您的个人信息

(一) 我行存储您个人信息的情况

我行在中华人民共和国境内收集和产生的个人信息，将存储在境内。但为处理跨境业务并在获得您的授权同意后，您的个人信息可能会被转移到境外。此种情况下，我行会按照法律法规和监管规定执行，并采取有效措施保护您个人信息的安全。

我行仅在法律法规要求，以及为实现本隐私政策的目的所必须的期限内，确定您个人信息的最长储存期限以及您日志的储存期限。

(二) 我行采取的保护您个人信息的安全措施

我行已使用符合业界标准的安全防护措施保护您提供的个人信息，防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。例如：我行会使用加密技术确保数据的保密性；我行会使用受信赖的保护机制防止数据遭到恶意攻击；我行会部署访问控制机制，确保只有授权人员才可访问个人信息；以及我行会举办安全和隐私保护培训课程，加强员工对于保护个人信息重要性的认识。

我行将尽力确保您提供个人信息的安全性。同时，也请您务必妥善保管好您的账户登录名及其他身份要素。您在使用我行服务时，我行会通过您的登录名及其他身份要素来识别您的身份。一旦您泄漏了前述信息，您可能会蒙受损失，并可能产生对您不利的法律后果。如您发现账户登录名及/或其他身份要素可能或已经泄露时，请您立即和我行取得联系，以便我行及时采取相应措施以避免或降低相关损失。

若不幸发生个人信息安全事件，我行将按照法律法规的要求及时采取有效补救措施。我行将及时将事件相关情况以电子邮件、信函、电话和/或推送通知方式告知您，难以逐一告知个人信息主体时，我行会采取合理、有效的方式发布公告。同时，我行还将按照监管机构要求，主动上报个人信息安全事件的处置情况。

四、 我行如何对外提供您的个人信息

(一) 共享

我们不会与我行以外的公司、组织和个人分享您的个人信息，但以下情况除外：

1. 在获取明确同意或授权的情况下共享：获得您的明确同意后，我行会与其他方共享您的个人信息；

2. 我行可能会根据法律法规或监管规定，对外共享您的个人信息；

3. 为实现隐私政策的目的，或为向您提供服务之必须，我行会与其他授权合作伙伴共享您的某些个人信息。例如，代表您行事的收款人、受益人、中介人、往来及代理行、证券交易所、证券公司，或向您付款的人士；其他金融机构、行业协会、银行卡组织、信用评级机构、征信机构、信息服务提供商；向您提供资产管理服务的第三方资产管理机构。

我行仅会出于合法、正当、必要、明确的目的共享您的个人信息。对我行与之共享个人信息的公司、组织和个人，我行会与其签署严格的保密协定，要求他们按照我行的说明、本隐私政策以及其他相关的保密和安全措施来处理您的个人信息。

(二) 转让

我行不会将您的个人信息转让给公司、组织和个人，但以下情况除外：

1. 事先获得您的明确同意或授权；

2. 根据法律法规或强制性的行政或司法要求；

3. 在涉及资产转让、收购、兼并时，如涉及到个人信息转让，我行会向您告知相关情况，并要求新的持有您个人信息的公司、组织继续受本政策的约束。如变更个人信息使用目的时，我行将要求该公司、组织重新取得您的明确同意。

(三) 公开披露

我行仅会在以下情况，公开披露您的个人信息：

1．事先获得您明确同意或授权；

2．根据法律法规规定或监管规定，我行可能会公开披露您的个人信息。

五、 您如何访问和管理自己的个人信息

按照中国相关的法律法规和监管规定，我行保障您对自己的个人信息可以行使以下权利：

(一) 访问、更新您的个人信息

1.您在登录手机银行后，可以在“我的-安全中心”中，查询或更新您的用户信息、预留验证信息、用户名、手势密码、指纹/Face ID登录、登录密码、账户限额。

2.您可以在手机银行和个人网银的“我的-安全中心-我的信息”中修改职业分类、地址信息。如果您需要修改其他预留信息，可至我行营业网点办理。

3.您可以在手机银行主界面左上角“个人中心-隐私保密声明”中查看最新版本的隐私政策。

若您发现关于您的个人信息处理有误时，您有权要求我们做出更正。您可以通过我行网点、网上银行、手机银行、客服热线(4001840060)渠道提出更正申请。我们将在十五个工作日内回复或响应您的更正请求。

(二) 删除您的个人信息

在以下情形中，您可以通过我行网点、网上银行、手机银行渠道向我行提出删除个人信息的请求：

1. 如果我行处理个人信息的行为违反法律法规;

2. 如果我行处理个人信息的行为违反了与您的约定。

3. 如果您不再使用我行的产品或服务，或您已注销了账户。

(三)改变您授权同意的范围或撤回您的授权

您可以通过至营业网点注销手机银行用户、卸载手机银行客户端的方式撤回全部隐私授权，我行将不会再收集、使用或对外提供与该账户相关的个人信息，但您再使用手机银行服务期间提供或产生的信息我行仍需按照监管要求的时间进行匿名化保存，且在该依法保存的时间内有权机关仍有权依法查询。

您也可以通过在手机操作系统中修改隐私设置的方式改变部分您授权我行继续收集个人信息的范围或撤销您的授权。

当您撤回部分授权后，我行无法继续为您提供撤回授权所对应的手机银行服务，但不会影响此前我行基于您的授权而开展的使用、存储和对外提供您个人信息的处理。

(四) 注销您的网络金融渠道(账号)

您可以在“银行-我的账户-账户删除”功能中删除此前注册的账户(非默认卡)，但是我行不会同时注销您的银行卡或账户。

如您需要注销您的手机银行账户，您可以携带本人有效身份证件、注册银行卡原件到我行网点通过柜面或超级柜台方式注销您的手机银行账户。

(五) 响应您的上述请求

为保障安全，您可能需要提供书面请求，我行可能会先要求您验证自己的身份，然后再处理您的请求。请您理解，对于某些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求，我行可能会予以拒绝。

在以下情形中，按照法律法规或监管要求，我们将无法响应您的请求：

1．与国家安全、公共安全、重大公共利益相关的；

2．与犯罪侦查、起诉、审判和判决执行相关的；

3．有充分证据表明您存在主观恶意或滥用权利的；

4．响应您的请求将导致我行违反相关法律法规或监管规定的；

5．响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的；

6．涉及我行商业秘密的。

六、 我行如何处理未成年人的个人信息

我行期望父母或监护人指导未成年人使用我行的服务。我行将根据国家相关法律法规的规定保护未成年人的个人信息的保密性及安全性。

如您为未满16周岁的未成年人，建议请您的父母或监护人阅读本政策，并在征得您父母或监护人同意的前提下使用我行的服务或向我行提供您的个人信息。对于经父母或监护人同意而收集的您的个人信息，我行只会在受到法律允许、父母或监护人明确同意或者保护您权益所必要的情况下使用或公开披露。如您的监护人不同意您按照本政策使用我行的服务或向我行提供个人信息，请您立即终止使用我行的服务并及时通知我行，以便我行采取相应的措施。

如您为未成年人的父母或监护人，当您对您所监护的未成年人的个人信息处理存在疑问时，请通过下文第八部分中的联系方式联系我行。

七、 本政策如何更新

根据国家法律法规变化及服务运营需要，我行将对本政策及相关规则不时地进行修改，修改后的内容会通过我行门户网站、手机银行、网上银行、网点渠道公布，公布后即生效，并取代此前相关内容。您应不时关注相关公告、提示信息及协议、规则相关内容的变动。

对于重大变更，我行还会提供更为显著的通知(包括APP推送通知)。

本政策所指的重大变更包括但不限于：

1、 我们的服务模式，如处理个人信息的目的、处理个人信息的类型、个人信息的使用方式发生重大变化；

2、 个人信息共享、转让或公开披露的主要对象类型发生变化；

3、 您参与个人信息处理方面的权利及其行使方式发生重大变化；

4、 我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化。

您知悉并确认，如您不同意更新后的内容，应立即停止使用相应服务，并注销相关账户，我行将停止收集您的相关个人信息；如您继续使用服务，即视为同意接受更新内容。为了您能及时接收到通知，建议您在联系方式更新时及时通知我们。

八、 如何联系我行

如果您对本隐私政策有任何疑问、意见或建议，请通过以下方式与我们联系：

客服热线：4001840060

一般情况下，我们将在收到您疑问、意见或建议后的十五个工作日天内回复。

公司名称：江苏太仓农村商业银行股份有限公司

注册地址：太仓市娄东街道上海东路198号

如果您对我们的回复不满意，特别是若我们的个人信息处理行为损害了您的合法权益，您还有权向消费者权益保护组织相关部门投诉。