湖州银行股份有限公司手机银行隐私政策
版本发布日期:2023年1月1日
版本生效日期:2023年1月1日
湖州银行股份有限公司(以下简称“我行”)深知个人信息对您来说至关重要。我行一直以来都致力于保护您的个人信息,同时,我行积极采取相应的安全保护措施来保护您的个人信息。我行承诺严格按照本《隐私政策》(以下简称“本政策”)所阐述的内容处理您的个人信息,并且,会根据您的同意和其它可处理您个人信息的法律依据收集、使用、存储、保护、共享和转移您的个人信息。
以下是《隐私政策》的要点说明:
1.您在使用我行手机银行服务时,我行可能收集与提供服务相关的个人信息;
2.您可以访问、更新您的个人信息以及请求注销手机银行业务和您的账户;
3.我行采取了银行业标准的技术措施和数据安全措施来保护您的个人信息安全;
4.除非再次征得您的同意,我行不会将您的个人信息用于本政策未载明的其他目的;
5.当您对本政策有任何疑问,可以和我行进一步联系与咨询。
我行建议您完整阅读本《隐私政策》。
1.引言
本政策适用于湖州银行(以下简称「我行」或者「我们」)提供的手机银行产品和服务(以下统称为「我行产品和服务」)。
[特别提示]
请您在使用我行产品和服务前,仔细阅读并充分理解本政策。重点内容我行已采用粗体表示,希望您特别关注。若您同意本政策且使用或继续使用我行产品和服务,即表示您同意我行按照本政策处理您的相关信息。如对本政策有任何疑问,您可以通过拨打我行客服热线4008096528进行反馈。
我行可能会不定期对本政策进行修订。当本政策发生变更时,我行会在版本更新后以推送通知、弹窗等形式向您展示相关内容。
我行的注册地址:浙江省湖州市红旗路268号。
请您注意,只有在您确认同意后,我行才会按照本政策收集、使用、处理和存储您的个人信息;如您不同意本政策,我行无法向您提供我行手机银行上的产品和服务。
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息包括姓名、出生日期、身份证件信息、个人生物识别信息、通信通讯联系方式、住址、账户信息、财产状况、行踪轨迹等。个人敏感信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严或者人身、财产安全受到危害的个人信息,主要包括:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
2.如何收集和使用您的个人信息
我行会以正当、合法、必要和诚信的原则,出于本政策所述的以下目的,收集和使用您在使用服务过程主动提供或因使用我行产品和/或服务而产生的个人信息。如果我行要将您的个人信息用于本政策未载明的其它用途,或基于特定目的将收集而来的信息用于其他目的,我行将以合理的书面方式向您告知,并在使用前再次征得您的同意。
2.1向您提供产品和服务中您主动提供的个人信息
为了您可以正常使用湖州银行服务,在下列情形中我们需要收集您的一些信息,用以向您提供服务、提升我们的服务质量、保障您的账户和资金安全以及执行国家法律法规及监管规定:
A.注册、重置登录密码:
(1)依据法律法规及监管规定履行反洗钱义务及进行实名制管理
在您注册湖州银行手机银行或使用湖州银行手机银行服务时,您需提供手机号码或证件号码作为账户登录名。基于中国人民银行银支付(2019)55号文要求,客户开立我行II、III类账户或为II、III类账户新增绑定银行卡时,需要获取地理位置、设备标识、设备SIM卡号、设备SM卡数量、交易发起应用名称、设备类型、设备型号名称、MAC地址、I版本号、IP地址十项信息用于身份验证,以防账户风险。
(2)如果您忘记登录密码需要重置时,我们需要验证您的身份,您需要向我们提供手机号、验证码、证件号码等信息,若需通过人脸图像信息识别,我们会要求您打开手机摄像头权限,人脸图像信息识别成功后,并且需要输入新的登录密码才可以进行密码重置并重新登录。
B.理财、贷款、缴费、转账
在使用我行产品和服务过程中,我们会按照合法、正当、必要和诚信的原则收集您的信息。在您使用购买理财产品服务、贷款申请服务、积分兑换等服务时,我们会收集您的身份信息(包括证件类型、证件号码、姓名、人脸图像信息、性别、民族)、手机号码、住址、银行账号、交易信息;使用缴费、转账服务时,我们还会收集您的收款人、收款账户、转账金额信息;如您不提供前述信息,对应服务可能无法进行,但不影响您使用我们提供的其他服务。
C.特色服务场景
在您使用风险测评服务时,我们会收集您提交的风险测评问答信息,我们可能会收集您的人脸图像信息及录音视频信息以明确您的购买意愿。在您使用蓝牙KEY时,我们会要求您打开手机设备的蓝牙开关。在您使用联系银行客服热线时,我们会要求您打开手机麦克风权限。在您使用人脸图像或视频时,我们会要求您打开手机摄像头权限。为了了解用户浏览、点击习惯,从而优化页面布局和功能流程设计,提供个性化页面,我们需留存您在湖州银行手机银行上的行为信息:浏览信息、屏幕信息、关注信息、访问时间、广告点击情况、页面点击频次、页面停留时间信息。当发生客诉时,我们会使用采集到的设备信息(设备唯一标识符、设备型号、操作系统、接入网络方式和类型、wifi状态、变更网络状态)以及与湖州银行手机银行服务相关的日志信息来定位具体问题及原因。设备识别符与用户存在绑定关系,用于标识用户唯一性。
2.2为了满足法律法规及提供服务的基本要求,保障您的账户安全与系统运行安全,更准确地预防钓鱼网站欺诈,我们会收集您在使用我们服务过程中产生的相关信息,以判断您的登录和账户是否存在风险,保障我们为您正常提供服务、对于我行系统问题进行分析、统计流量,并在您选择向我们发送异常信息时予以排查。这些信息包括:
A.日志信息:
当您使用我们提供的产品和服务时,我们会自动收集您使用我们服务的详细情况,并作为网络日志进行保存,包括但不限于您使用的语言、访问的日期和时间以及您请求我行的电子记录、操作系统、软件信息、登录IP等信息。
B.设备信息:
当您使用我行产品和服务过程中,我们可能会根据您在软件安装及使用中的具体权限,接收并记录您的相关设备信息,设备型号、设备唯一标识符、操作系统、电信运营商的信息及使用情况。
C.位置信息:
当您使用我行产品和服务过程中,我们会基于相关法律法规的要求或者为了向您推荐便捷的服务网点,便于您使用网点查询、网点预约功能,收集您的位置信息。
D.其他信息:
如您在使用我行手机银行时选择通过指纹、手势、刷脸功能进行登陆、转账(手机号转账)、支付、身份认证,需向我行提供您的指纹、手势、人脸图像、手机通讯录信息。您可以通过我行手机银行开启或关闭此功能。我行不会采集您的指纹,您的指纹仅保存在您授权采集指纹设备上。我行征得您的明示同意后采集的人脸信息,将加密存储于我行信息系统后台数据库中。个人信息的存放地域在湖州银行数据中心。读取手机通讯录仅用于当次操作和手机本地使用,不会在我行后台留存。如您拒绝提供上述信息,我行将无法向您提供需完成指纹、手势、人脸认证、手机通讯录信息后方可使用的产品或服务。
对于某些品牌或型号的手机终端自身的本地生物特征认证功能,如人脸识别功能,其信息由手机终端提供商进行处理,我行不留存您应用手机终端相关功能中的信息。
以下功能中,您可选择是否授权我行收集与使用您的个人信息:
(1)基于相机(摄像头)的功能:您可使用二维码识别、银行卡识别、身份证识别、人脸识别等服务。
(2)基于相册(图片库)的功能:您可使用头像上传服务。
(3)基于地址位置(位置信息)的功能:您可开启定位,用于提供查询附近网点信息。
(4)基于蓝牙的功能:您可使用蓝牙U盾服务。
(5)基于麦克风的功能:您可使用智能语音助手服务。
(6)基于存储的功能:用于手机银行登录、头像图片保存等服务。
(7)基于电话的功能:用于读取手机设备ID等基础信息,用于拨打客服电话以及附近网点服务电话。
(8)基于通讯录的功能:您可使用手机号转账、短信通知等服务。
(9)基于指纹的功能:您可使用指纹登录等服务。
(10)基于Face ID的功能:您可使用人脸登录等服务。
上述功能可能需要您在您的设备中向我行开启您的相机(摄像头)、相册(图片库)、地址位置(位置信息)、蓝牙、麦克风、存储、电话、通讯录、指纹、Face ID的访问权限,以实现这些功能所涉及的信息的收集和使用。请您注意,您开启这些权限即代表您授权我行可以收集和使用这些信息来实现上述功能,如果您取消了这些授权,则我行将不再继续收集和使用您的这些信息,也无法为您提供上述与这些授权所对应的功能。
您可以通过手机系统权限设置、湖州银行App的“设置-安全中心-第三方授权/系统权限”页面等方式改变部分您授权我行收集个人信息的范围或撤回您的授权。您也可以通过注销我行手机银行用户的方式,撤回我行收集您个人信息的全部授权。请您注意,您注销我行手机银行用户的同时,将视同您撤回了对本政策的同意,我行将不再收集相应的个人信息。但您撤回同意的决定,不会影响此前基于您的授权而开展的个人信息处理活动的效力。
当您使用手机银行功能或服务时,我行可能会使用具有相应业务资质及能力的第三方服务商提供的软件服务工具包(简称“SDK”)来为您提供服务,由第三方服务商收集您的必要信息。具体包括以下几种:
云证书SDK。用于向您提供超过5万至50万转账时的身份认证,该SDK需要获取您的手机唯一标志信息。
蓝牙key SDK。用于向您提供超过50万至500万转账时的身份认证,该SDK需要获取您的手机唯一标志信息。
商汤SDK。用于向您提供人脸识别、身份证和银行卡的ocr识别,该SDK需要获取您的手机唯一标志信息。
安全键盘SDK。用于向您提供输入密码的安全键盘,该SDK需要获取您的手机唯一标志信息。
百度定位SDK。用于向您提供基于位置的服务,该SDK需要获取您的手机位置信息和唯一标志信息。本SDK由北京百度网讯科技有限公司提供,官网链接:https://lbs.baidu.com/,官方隐私政策链接:https://lbs.baidu.com/index.php?title=openprivacy。
Share SDK。用于向您提供QQ、微信、新浪微博的社交分享,该SDK需要获取您的手机唯一标志信息。
科大讯飞SDK。用于向您提供智能语音服务功能,该SDK需要获取您的手机音频播放和录音权限。
SDK名称
个人信息类型
个人信息描述
使用目的
百度定位SDK
设备信息
包括设备标识信息(Android ID、IDFA、IDFV)、系统信息(操作系统版本、设备品牌及型号、设备配置)和应用信息(应用名)
提供精准定位,显示附近网点位置信息服务
科大讯飞SDK
设备信息
设备号(IMEI号)、设备码(IMSI码)、IP地址、Android ID(安卓唯一设备ID)、中国移动UAID(仅限安卓设备)、OAID(仅限安卓设备)、UUID(仅限iOS设备)、mac地址(仅限Linux设备)
提供语音识别服务
如果您不同意上述第三方服务商收集前述信息,您可能无法获得相应服务。我行与上述第三方服务商约定其应保证您的个人信息安全。您同意上述第三方服务商收集后前述信息因第三方服务商原因发生信息泄露的,由相关第三方服务商承担有关法律责任。
2.3敏感信息
提示您注意,在向我行提供任何属于个人敏感信息前,请您清楚考虑该等提供是恰当的并且同意您的个人敏感信息可按本政策所述的目的和方式进行处理。我们会在得到您的同意后收集和使用您的敏感信息以实现与银行业务相关的功能,并允许您对这些敏感信息的收集与使用做出不同意的选择,但是拒绝使用这些信息会影响您使用相关功能。
2.4征得授权同意的例外根据相关法律法规的规定,在以下情形中,我行可以在不征得您的授权同意的情况下收集、使用或提供一些必要的个人信息:
a.与我们履行法律法规规定的义务相关的;
b.与国家安全、国防安全直接相关的;
c.与公共安全、公共卫生、重大公共利益直接相关的;
d.与犯罪侦查、起诉、审判和判决执行等直接相关的;
e.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的,事后会尽可能的补充通知您,且您可联系本行提出对您的信息进行删除等处理的相关要求;
f.所收集的个人信息是您自行向社会公众公开的且本行对该个人信息的使用符合该个人信息被公开时的用途;
g.从合法公开披露的信息中收集到您的个人信息,如从合法的新闻报道、公开信息等渠道,且本行对该个人信息的使用符合该个人信息被公开时的用途;
h.根据您与我行已签订和履行合同所必需的;
i.用于维护我行产品和服务的安全稳定运行所必需的,例如发现、处置产品或服务的故
障;
j.法律法规规定的其他情形。
3.如何共享、转让、公开披露您的个人信息
3.1共享您的个人信息
A.我行不会与任何公司、组织和个人共享您的个人信息,但以下情况除外:
(1)事先获得您的明确授权或同意:获得您的明确同意后,我行会与其他方共享您的个人信息;
(2)在法定情形下的共享:根据适用的法律法规、法律程序、政府的强制命令或司法裁定及要求共享的范围共享您的个人信息;
(3)在法律要求或允许的范围内,为了保护我行及其客户或社会公众的利益、财产或安全免遭损害而有必要提供您的个人信息给第三方;
3.2转让
我行不会将您的个人信息转让给任何公司、组织或个人,除非发生下列情况时:
(1)当获取您的明确同意;
(2)根据所适用的法律法规、行业规定、法律程序要求、强制性行政或司法要求所必须要求提供。
(3)如果发生合并、分立、收购、解散、被宣告破产或资产转让等类似交易中,将可能涉及到个人信息转让,此种情况下我行会要求新的持有您个人信息的公司、组织继续受本隐私政策的约束,否则我行要求该公司、组织将重新向您征求授权同意。
3.3公开披露
除非获取您的明确同意,我行不会公开披露您的个人信息。基于法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我行可能会向有权机关披露您的个人信息。但我行保证,在上述情况发生时,我行会要求披露请求方必须出具与之相应的有效法律文件,并对被披露的信息采取符合法律和业界标准的安全防护措施。
3.4共享、转让、公开披露个人信息授权同意的例外
根据相关法律法规的规定,在以下情形中,我行可以在不征得您的授权同意的情况下共享、转让、公开披露您的个人信息:
a.与我们履行法律法规规定的义务相关的;
b.与国家安全、国防安全有关的;
c.与公共安全、公共卫生、重大公共利益有关的;
d.与犯罪侦查、起诉、审判和判决执行等有关的;
e.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
f.您自行向社会公众公开的个人信息;
g.从合法公开披露的信息中收集到的个人信息的,如合法的新闻报道、公开信息等渠道;
h.法律法规规定的其他情形。
根据法律规定,共享、转让经去标识化处理的个人信息,且确保数据接收方无法复原并
重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据
的保存及处理将无需另行向您通知并征得您的同意。
4.如何保护您的个人信息
您的个人信息安全对于我行至关重要。我行将严格遵守相关法律法规,采取业内认可的合理可行的措施,保护您的个人信息。防止信息遭到未经授权的访问、披露、使用、修改,避免信息损坏或丢失。
4.1技术措施与数据安全措施我行努力采取各种符合业界标准的物理、电子和管理方面的安全措施来保护您的个人信息安全,如: SSL/应用层加密技术、HTTPS双向认证技术、数字签名等,以防止您的个人信息在收集、存储、传输等过程中遭到泄露、破坏。我行积极建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用,我行按照“授权人不参与操作,操作人不参与授权”的原则,履行审批、实施、复核
制度,尽商业努力防止您的个人信息遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。
我行会采取一切商业合理可行的措施,保护您的个人信息。例如,在您的浏览器与我行之间交换数据时受SSL加密保护;对本政策「引言」中出现的网站提供HTTPS安全浏览方式;会使用加密技术确保数据的保密性,并不断更新密钥来确保数据的保密性,并使用受信赖的保护机制防止数据遭到恶意攻击;指派专人负责信息安全保护,并直接向公司管理层汇报;举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识;以及定期进行数据安全能力评估/信息安全风险评估。
4.2安全认证
我行已通过了公安部信息安全等级保护认证,并与监管机构、第三方测评机构建立了良好的协调沟通机制,及时抵御并处置各类信息安全威胁,为您的信息安全提供全方位保障。
4.3安全事件处置
我行将尽力确保您发送给我行的任何信息的安全性,但请您理解,由于技术的限制以及在互联网行业可能存在的各种恶意手段,不可能始终保证信息百分之百的安全。您需要了解,您接入我行服务所用的系统和通讯网络,有可能因我行可控范围外的因素而出现问题。为防止安全事故的发生,我行制定了妥善的预警机制和应急预案。若不幸发生个人信息安全事件,我行将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我行已采取或将要采取的处置措施、您可自主防范和降低风险的建议和对您的补救措施,并立即启动应急预案,力求将损失最小化。我行将及时将事件相关情况以电话、邮件、推送通知等方式告知您,难以逐一告知客户时,我行会采取合理、有效的方式发布公告。同时,我行还将按照监管部门要求,主动上报个人信息安全事件的处置情况,紧密配合政府机关的工作。
需要提醒您注意的是,为了维护我行系统安全,保护我们的员工,记录交易,保护您的信息安全,以及在特定情况下,预防和发现犯罪或违规活动,我们保留权利对一切互联网交互行为进行监控。
4.4我行如何保护未成年人信息
(1)我行手机银行不受理未满16周岁未成年人的注册申请,也不会通过手机银行收集未满16周岁客户的个人信息。
(2)如果您是16周岁~18周岁的未成年人,请您的监护人仔细阅读本政策,并在征得您的监护人同意的前提下使用我行的服务或向我行提供信息。对于经监护人同意而收集未成年人个人信息的情况,我行只会在法律法规及监管要求允许、监护人明确同意或者保护未成年人所必要的情况下使用、对外提供此信息。我行将根据国家相关法律法规的规定保护未成年人的个人信息的保密性及安全性。如您的监护人不同意您按照本政策使用我行的服务或向我行提供信息,请您立即终止使用我行的服务并及时通知我行,以便我行采取相应的措施。
4.5约束信息系统自动决策
在某些业务功能中,我们可能仅依据信息系统、算法等在内的非人工自动决策机制做出决定。如果这些决定显著影响您的合法权益,您有权要求我们做出解释,我们也将在不侵害本产品商业秘密或其他用户权益、社会公共利益的前提下提供申诉方法。
5.如何行使您拥有管理个人信息的权利
我行非常重视您对个人信息的关注,并尽全力保护您对于自己个人信息访问、更新、注销账户的权利,以使您拥有充分的能力保障您的隐私和安全。您的权利包括:
5.1访问和更新您的个人信息
除法律法规规定外,您有权随时访问和更新您的个人信息。根据反洗钱管理相关要求,个人基本信息不完整、不真实,或有效证件过期且在合理期限内没有及时更新,我行将限制提供服务,为继续使用我行服务,建议您及时更新您的个人信息。在更新您的个人信息之前,我们会验证您的身份。
具体包括:
账户信息如果您希望访问或更新您的账户中的个人资料信息和支付信息、更改您的密
码或增加、关闭您的账户线上操作功能等。
5.2获取个人金融信息副本的方法
您有权获取您的个人信息副本。如您需要获取我们收集的您的个人信息副本,您可通过我行客服热线,人工客服会对您进行个人信息校验,校验通过后,将个人信息副本提交给您。在符合相关法律规定且技术可行的前提下,我们将根据您的要求向您提供您的个人信息副本。
5.3删除您的个人信息
A.在以下情形中,您可以向我行提出删除个人信息的请求:
(1)如果我行处理个人信息的行为违反法律法规;
(2)如果我行收集、使用您的个人信息,不符合本政策所述授权例外情形,却未征得您的同意;
(3)如果我行处理个人信息的行为违反了与您的约定;
(4)如果我行终止服务及运营。
B.以上删除请求一旦被响应,除法律法规另有规定要求保留的信息外(如流水记录等) ,您的个人信息将被及时删除。当您从我行的服务中删除信息后,我行可能不会立即从备份系统中删除相应的信息,但会在备份更新时删除这些信息。
5.4注销您的账户
如果您想注销此前注册的账户,您可以通过线上渠道或我行任何营业网点提出注销业务的申请。您注销账户的行为是不可逆的,同时我行将停止为您提供产品和服务,不再通过手机银行客户端收集您的个人信息,并依据您的要求删除与您账户相关的个人信息,但法律法规或监管机构有对客户信息存储时间另有规定的除外。在以下情形中,按照法律法规要求,我行将无法响应您的请求:
(1)与我们履行法律法规规定的义务相关的;
(2)与国家安全、国防安全直接相关的;
(3)与公共安全、公共卫生、重大公共利益直接相关的;
(4)与犯罪侦查、起诉、审判和判决执行等直接相关的;
(5)有充分证据表明您存在主观恶意或滥用权利的;
(6)响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;
(7)出于维护您或其他个人的生命、财产等重大合法权益但又很难得到您本人同意的;
(8)涉及商业秘密的;
(9)依照法律法规以及行业监管要求的。
6.如何发出通知
我行可在我行认为必要时(例如当我行暂停服务进行维护时)向您发出一些与服务有关的公告。您不可取消这些与服务有关、不属于推广性质的公告。
7.如何对个人信息进行存储
我行将获得的信息存放于指定的存储设备中。我行承诺您个人信息的存储时间始终处于合理必要期限内。如我行因经营不善或其他原因出现停止运营的情况,我行会立即停止对您个人信息的收集,根据国家法律法规的规定处理已收集的个人信息。我行会将此情况在官网上进行公告或者以电话、邮件等其他合理方式逐一传达到各个客户。
8.如何更新、修改本政策
8.1我行保留不定期更新或修改本政策的权利。未经您明确同意,我行不会削减您按照本政策所应享有的权利。我行会通过推送通知、弹窗形式、官网公告通知等合理方式通知您,以便您能及时了解本政策所做的任何变更(包括业务功能变更、使用目的变更等情形)。
8.2对于重大内容变更,视具体情况我行可能还会提供更为显著的通知说明本政策具体变更内容。
重大变更包括但不限于:
A.我行的服务模式和业务形态发生重大变化。如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
B.个人信息共享、转让或公开披露的主要对象发生变化;
C.您参与个人信息处理方面的权利及其行使方式发生重大变化;
D.我行负责处理个人信息安全的联络方式及投诉渠道发生变化;
E.个人信息安全影响评估报告表明存在高风险时。
8.3若您不同意修改后的隐私政策,您有权并应立即停止使用我行产品和服务。如果您同意修改后的隐私政策并继续使用我行产品和服务,则视为您接受我行对本政策相关条款所做的修改。
9.如何联系我们
当您对本政策有任何疑问或者需要向我行进行投诉、申诉,甚至因本政策产生任何争议的,您可以拨打客服热线4008096528与我行联系,我行将安排专员及时为您提供咨询或协调解决您投诉、申诉的问题。一般情况下,我行将在15个工作日内给予答复。如果您对我们的答复不满意,特别是如果您认为我们的个人信息处理行为损害了您的合法权益,您还可以向行业管理单位或网信、电信、公安及市场监管等监管部门进行投诉或举报。如发生争议,应协商解决;协商不成的,您可以通过向被告住所地有管辖权的法院提起诉讼来寻求解决。