生效日期:2021 年 11 月 16 日
蚂蚁科技集团有限公司及其子公司(以下统称“蚂蚁集团”或“我们”)一直致力于保护个人信息。与我们合作的金融机构、供应商和其他第三方(统称为“合作伙伴”)可能会在开展业务的过程中处理个人信息。
我们和我们的合作伙伴认识到,个人信息保护是公司长期稳定发展的基石。根据《中华人民共和国个人信息保护法》第五十八条的规定,本着公开、公平、公正的原则,我们制定本规则,供合作伙伴遵守,并与我们共同致力于保护个人信息的权益。
一、主要概念和定义
1、个人信息:以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名信息。
2、敏感个人信息:一旦泄露或被非法使用,可能对自然人的人格尊严造成损害或危及人身和财产安全的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、财务账户、行踪等信息,以及未满十四周岁未成年人的个人信息。
3、个人金融信息:指金融机构通过业务或其他途径获取、处理和存储的个人信息,包括个人身份信息、财产信息、账户信息、身份信息、信用信息、金融交易信息、贷款信息以及反映特定个人某些情况的其他信息。
3、个人信息处理:关于个人信息的任何活动或一系列活动,如个人信息的收集、存储、使用、处理、传输、提供、披露、删除等。
4、De-Identification:处理个人信息的过程,使其在没有附加信息的帮助下无法识别特定自然人。去标识化是以个人为基础,保留个人粒度,利用假名、加密、哈希函数等技术手段代替对个人信息的识别。
5、匿名化:对不能识别特定自然人且无法恢复的个人信息进行处理的过程。通过对个人信息进行匿名化获得的信息不属于个人信息。
二、个人信息保护规范和义务
合作伙伴承诺在提供产品和服务的过程中,严格按照法律法规的要求以及与用户的约定处理个人信息,最大限度保护用户的合法权益和社会公共利益程度。我们的合作伙伴承诺遵守以下个人信息保护规范和义务:
1、个人信息的处理应当遵循合法、正当、必要、完整的原则,坚决杜绝以误导、欺诈、强制等手段处理个人信息,不得强迫用户进行不合理的“包授权”。
2、个人信息的处理目的明确、合理,应与处理目的直接相关,并采取对个人权益影响最小的方式。个人信息的收集应限制在达到处理目的的最小范围内,不得过度收集个人信息。
3、处理个人信息时,应遵循最小必要性原则,只处理与产品或服务的业务功能实现直接相关的最少、足够种类和数量的个人信息,并根据业务需要控制合理的收集频率。收集与所提供产品和/或服务无关的个人信息,不要频繁收集个人信息。同时,个人信息的保存期限也应遵循最小必要性原则。达到目的后,应及时删除或匿名化个人信息。
4、个人信息处理规则应以清晰、易懂、合理的方式公开,包括处理个人信息的范围、目的、方式,并提供易于访问、查看和保存的展示界面. 个人信息处理规则发生变化时,应当及时更新,并通过适当方式通知个人信息主体。
5、在处理个人信息时个人信息保护图片大全,应保证个人信息的质量,并及时回复主体的更正权,避免因信息不准确、不完整而对个人权益造成不利影响的个人信息。
6、 应对其个人信息处理活动负责。对于主动收集或处理的个人信息,如个人信息处理活动造成个人信息主体合法权益受损的,将承担相应责任。
7、在处理个人信息时,应具备与其面临的安全风险相匹配的安全能力,并采取充分的管理措施和技术手段保护个人信息的机密性、完整性和可用性。
8、应保障个人信息主体权利的实现,建立方便个人行使权利的申请受理和处理机制。合作伙伴应为个人信息主体提供查询、复制、更正、补充、删除其个人信息,以及撤销授权同意、注销账户、投诉、限制或拒绝处理、说明权利、信息可携性、近亲属等能力对死者的个人信息行使权利等方式。个人信息主体行使权利的方式应当在隐私政策中予以说明,并说明拒绝个人行使权利请求的理由。
9、应建立个人信息保护管理绩效责任追究制度,即公司作为个人信息处理者个人信息保护图片大全,对各级组织在其业务范围内所承担的责任和义务的履行情况实行责任追究制度。 .
10、抵制黑色产业链。不收集通过非法渠道获得的信息,坚决杜绝与个人信息黑色产业链的任何交易和交换。
11、倡导行业自律。共同探索可推广、可复制、与国际接轨的个人信息保护最佳实践,带动和帮助提升行业整体水平。
12、接受社会监督。认真履行企业承诺,主动接受社会各方的监督。
蚂蚁集团制定并实施了隐私保护政策和数据安全保护措施,合作伙伴承诺在不低于蚂蚁集团保护措施的水平上采取和维护个人信息。
三、评估审计
1、蚂蚁集团有权对合作伙伴的个人信息安全管控效果进行评估和审计。
2、蚂蚁集团有权自行或委托独立的第三方机构(如会计师事务所、律师事务所等)进行上述评估和审计,合作伙伴承诺配合以下事项:
(a) 提供处理收到的信息所涉及的设施、设备、系统、政策或程序等;
(b) 开放相关工作场所,安排相关人员面谈。
3、合作方承诺根据评估和审核获得的要求,在规定时间内对相关信息处理设施、设备、系统、政策或程序进行修改或完善。
4、蚂蚁集团会在提出评估和审计要求前给予合作伙伴合理的提前通知期。同时,评估和审计将在合法合规的前提下进行,不得影响合作伙伴的正常经营或合法权益。
四、通知
1、我们的合作伙伴承诺,当他们知道或怀疑有以下任何一种情况时,将立即采取一切必要的紧急补救措施,并立即按照相关合作协议约定的方式通知蚂蚁集团:
(1)任何违反这些规则的行为;
(2)根据适用法律法规的要求,应通知监管机构,向受影响的用户报告或披露。
2、如果蚂蚁集团发现其合作伙伴存在个人信息安全事件(如个人信息泄露、篡改、丢失等),将按照相关合作协议采取相应措施,各方为对自己的数据负责。安全责任和法律法规规定的其他责任。
五、其他
1、监管机构可以根据适用的法律法规对合作伙伴和蚂蚁集团提出检查要求。在此过程中,合作伙伴应提供必要的协助,例如提供用户授权的证明材料。
2、蚂蚁集团将根据合作伙伴违反法律、行政法规处理个人信息的情况采取相应措施;情节严重的,我们将作出终止合作的决定,停止提供平台接入或服务。
3、因合伙人违法或违约,蚂蚁集团将受到监管罚款或遭受其他相关损失(如商誉损失),合伙人应承担赔偿责任。
有关蚂蚁集团如何保护个人信息的信息,请参阅蚂蚁集团隐私政策。
