1. 我们如何收集和使用您的个人信息
1.1 必要应用场景
我们仅会出于以下目的,收集和使用您的个人信息:
用户在使用我们的产品和服务时,我们需要收集和使用用户的一些个人信息,此类信息为产品与/或服务正常运行的必备信息,用户须授权我们收集。如用户拒绝提供,将无法正常使用我们的产品和服务。这些功能包括:
1.1.1. 为了向您提供我们产品/服务的基本功能,您需要授权我们收集、使用必要信息的情形。如您拒绝提供前述必要信息,您将无法正常使用我们的产品/服务。
1.1.2. 为了向您提供我们产品/服务的附加功能,您可以选择授权我们收集、使用信息的情形。如您拒绝提供前述信息,您将无法正常使用相关附加功能或无法实现我们拟达到的功能效果,但并不会影响您正常使用我们产品/服务的基本功能。
1.1.3. 请您注意,因我们向您提供的产品和服务种类众多,我们将根据您选择使用的具体产品/服务范围,遵循“合理、正当、必要”原则收集和使用您的个人信息。除此之外,您理解并同意,基于向您提供更好的产品和服务的目的,我们可能会不时推出新的或优化后的功能,可能增加或变更收集和使用个人信息的目的、范围和方式。对此,我们将通过更新本政策、弹窗或站内信等通知方式另行向您说明收集和使用对应信息的目的、范围和方式,并为您提供同意与否的选项,且在征得您的明示同意后收集、使用对应信息。在此过程中,如您有任何疑问、意见或建议,您可通过本协议第二部分第9条提供的联系方式与我们联系。
1.1.4. 为您提供搜索、浏览功能
通常情况下,您可以在同意隐私政策后且已登录状态下在胜意费控云平台上搜索和浏览各类产品。在您同意本政策后,为保障搜索、浏览功能的实现,我们会收集您在网页或APP输入的搜索关键字、您点击的页面或链接以便在胜意费控云的服务端向您返回相应的页面或结果。此外,为实现前述目的,我们也会收集您的日志信息及剪贴板内容。 请您注意,单独的日志信息或仅搜索关键词信息无法单独识别您的身份,不属于您的个人信息,只有当您的单独的日志信息或搜索关键词信息与您的其他信息相互结合使用并可以识别您的身份时,则在结合使用期间,我们会将您的日志信息或搜索关键词信息作为您的个人信息,按照本政策对其进行处理与保护。
1.1.5. 账号注册
若您想使用胜意费控云平台的产品/服务,您首先需要您的雇主注册一个胜意费控云账户成为胜意费控云平台用户。我们将基于您雇主提供的企业名称、员工姓名、手机号、邮箱、身份证件号码(如有),为您创建胜意费控云账户并在您雇主的企业商旅卡号下生成胜意费控云卡号。如您拒绝提供对应信息,请联系您的雇主,您将无法在胜意费控云平台创建账户并使用胜意费控云平台的产品/服务。 您理解并同意,您使用胜意费控云账户登录后在胜意费控云平台的一切行为均代表您本人。您的胜意费控云账户操作所产生的电子信息记录均为您行为的有效凭据,并由您本人承担由此产生的全部责任。
1.1.6. 为您展示和推送产品与/或服务
为了向您提供便捷化、快速的搜索结果以及交易安全,我们会收集关于您使用的我们的产品或服务以及使用方式的信息并将这些信息进行关联。这些信息包括:
(1) 设备信息:我们会根据您在软件安装及使用中授予的具体权限,接收并记录您所使用的设备相关信息(例如设备型号、操作系统和应用程序版本、语言设置、软件列表唯一设备识别码(如ME/DFA/OPENUDID/GUID),我们仅在您启动APP时收集。
(2) 位置信息:设备所在位置相关信息(例如IP地址、GPS位置以及能够提供相关信息的WLAN接入点、蓝牙和基站等信息)。
(3) 存储:为了使我们的软件能够更好的为您提供产品及增值服务,我们会将设备标识等需要持久化的数据缓存在您本地存储中,以提升软件的工作效率。
(4) 日志信息:当您使用我们的客户端或网站提供的产品或服务时,为了符合《中华人民共和国网络安全法》的要求,我们会自动收集您对我们服务的详细使用情况,作为有关网络日志保存。例如您的搜索内容、浏览器类型、浏览记录、订单信息、IP地址、设备MAC地址、访问日期和时间及您访问的网页记录等。请注意,单独的设备信息、日志信息等是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息,除取得您授权或法律法规另有规定外,我们会将该类个人信息做匿名化、去标识化处理。
1.1.7. 下单与订单管理功能
当您准备订购胜意费控云平台的产品/服务时,胜意费控云平台系统会自动生成您订购该产品/服务的订单。在下单和订单管理过程中,我们可能会收集如下信息:
(1) 您所选择的不同产品/服务所要求提供的信息。
(2) 您的联系人姓名、手机号。
(3) 您在使用胜意费控云平台的产品/服务过程中产生的订单信息。
我们收集这些信息是为了帮助您确定交易、支付结算、获得通知、帮助您查询和管理订单信息,以及提供客服与售后服务;我们还会使用您的订单信息来判断您的交易是否存在异常,以保护您的交易安全。
因旅行产品/服务的特殊性,您所选择的以下产品/服务,需要您进一步提交必要的信息才能完成预订,这些信息您需要自行填写,或者授权我们以其他方式帮助您完成信息录入,我们同时也提请您在具体预订过程中予以关注:
当您预订境内外机票时,视不同的服务类型,您可能需要提供不同的信息类型。当您预订境内机票时,您至少需要提供乘客姓名、性别、生日、证件类型、证件号(如身份证、护照、港澳通行证、台胞证、回乡证、军人证、外国人永久居留证、港澳居民居住证、台湾居民居住证、其他身份证明)、出行时间以及联系人手机号信息。如需我们提供邮寄服务的,您还要提供用户名、地址、收件人姓名及电话号码。当您在使用部分航司提供的会员业务时,需提供姓名、证件号码、手机号码、电子邮箱、会员密码信息用于注册、登录航司会员。当您在使用部分航司提供的上传凭证退款业务时,需提供收款人姓名、身份证号码、地址、银行卡开户行、开户支行、开户省市、银行地址、银行卡号、联系电话、银行国际代码(境外卡)、身份证照片、病退证明、拒签证明、卡注销证明、航班变动证明、退订证明,用于航空公司审核并直接向您提供退款服务。
当您预订境外机票时,您至少需要提供乘客姓名(含拼音)、性别、国籍、出生日期、证件类型、证件号、证件有效期以及联系人手机号信息,视产品不同还可能需要您提供联系人邮箱信息。部分机票需要您完成航司会员的验证/注册才能预订,在上述验证/注册页面,您至少需要提供您的邮箱、国籍、胜意会员账号等信息。您也可以选择向我们提供乘客手机号以接收航班信息。
火车票业务:为了顺利为您预订火车票并保证您合法出行,在您预订火车票时,需提供乘客姓名、证件号(如身份证、护照、港澳通行证、台胞证)、出行时间以及联系人手机号信息。如您要配送票业务时,您还需要提供用户名、地址、收件人姓名及电话号码。
当您预订境外火车票时,至少需要提供乘客姓名、出生日期、护照号、联系人手机号信息。视产品或证件类型不同,可能还需要您提供邮箱、性别、国籍、证件有效期。
汽车、船票业务:为了顺利为您预订汽车、船票并保证您合法出行,在您预订汽车、船票时,需提供乘客姓名、性别、生日、证件号(如身份证、护照、港澳通行证、台胞证、回乡证、台湾通行证、其他身份证明)、出行时间以及联系人手机号信息。如您需要配送票业务时,您还需要提供用户名、地址、收件人姓名及电话号码。
用车业务:为了您顺利使用用车业务,在您使用打车、接送机、接送站业务时,需要您提供乘客姓名、手机号、地址、乘车时间信息。
酒店业务:为了顺利为您预订酒店,在您预订酒店时,需要您提供入住人姓名、手机号、证件号(部分酒店要)、入离店时间。
当您预订境外酒店时,至少需要提供乘客姓名、出生日期、护照号、联系人手机号信息。视产品或证件类型不同,可能还需要您提供邮箱、性别、国籍、证件有效期。
保险业务:为了您顺利预订保险产品,在您预订保险产品时,需要您提供出发日期、返回日期、保期、投保人姓名、投保人出生日期、投保人证件号、投保人手机号码信息。
租车业务:为了您顺利使用租车业务,在您租车下单时,需要您提供出行人姓名、手机号、地址、用车时间信息,并会将这些信息提供给第三方租车服务提供商。
常用信息:在您添加常用旅客信息以便于快捷添加旅客信息时,需要提供姓名、手机号码、证件信息(如身份证、护照、驾照、港澳通行证、台胞证、台湾通行证、国际海员证、回乡证、军人证、港澳居民居住证、台湾居民居住证、其他身份证明)、证件有效期。在您购买产品需要使用邮寄(发票、商品)服务并添加邮寄地址时,需提供姓名、手机号码、地址。在您购买产品或者享受服务进行支付结算并添加常用银行卡时,需提供本人银行卡号、持卡人姓名、身份证、手机号码信息。添加常用银行卡后,您可在个人中心-我的银行卡中可查看银行卡信息。在您申请开具发票并添加发票抬头时,需提供公司名称、纳税人识别号信息。
当您使用差旅用车、福利采购、会议活动等服务时,平台将收集行程信息(如出发地、目的地、出行时间)、消费明细(如订单金额、供应商信息)及关联人员信息(如参会人员名单)。
1.1.8. 支付功能
在您下单后,您可以选择与应用合作的第三方支付机构(包括银行卡支付、微信支付、支付宝支付等支付通道,以下称“支付机构)所提供的支付服务,此时可能需要您提供银行卡卡号、银行预留手机号、持卡人姓名、持卡人身份证件、卡验证码信息。支付功能本身并不收集您的个人信息,但我们需要将您的订单号与交易金额信息与这些支付机构共享以实现其确认您的支付指令并完成支付。
1.1.9. 身份验证
登录验证:为了您安全、便捷地登录应用,您在登录时可选择密码登录、短信验证码等方式。手机号码和验证码匹配结果将作为我们核验您身份的方式。 重要操作行为验证:为了保障您的账户安全,在您进行一些重要的账户操作时(例如:找回或修改密码、实名认证、修改手机号),此时需要您提供手机号和验证码匹配结果,包括手机号、邮箱、钉钉、姓名中的一项或几项以核验您的身份。
1.1.10. 客服与售后功能
我们的电话客服和售后功能会使用您的账号信息和订单信息。 为保证您的账号安全,我们的呼叫中心客服和在线客服会使用您的账号信息与您核验您的身份。当您需要我们提供与您订单信息相关的客服与售后服务时,我们将会查询您的订单信息。您有可能会在与我们的客服人员沟通时,提供给出上述信息外的其他信息,如当您要求我们变更配送票地址、联系人或联系电话。您在使用我们的呼叫中心客服时,您接听和拨打我们的客服电话可能会被录音,我们可能会使用通话录音来监控我们的客服服务质量,检查您所提供的信息的准确性以防止欺诈,或为了我们内部人员培训的目的。
1.1.11. 安全保障
为提高您使用我们提供服务的安全性,保护您或其他用户或公众的人身财产安全免遭侵害,更好地预防钓鱼网站、欺诈、网络漏洞、计算机病毒、网络攻击、网络侵入等安全风险,更准确地识别违反法律法规或应用相关协议规则的情况,我们可能使用或整合您的会员信息、交易信息、设备信息、软件列表唯一设备识别码(如ME/DFA/ OPENUDID/GUID)、有关网络日志,来综合判断您账户及交易风险、进行身份验证、防范安全事件,并依法采取必要的记录、审计、分析、处置措施。
1.2. 可选择应用场景
您可选择是否授权我们收集和使用您的个人信息的情形此类信息为非核心业务功能所需的信息,您可以选择是否授权我们收集。如拒绝提供,将导致附加业务功能无法实现或无法达到我们拟达到的效果,但不影响您对核心业务功能的正常使用。
1.2.1. 基于位置信息的推荐服务:
应用的部分服务需要基于您的位置信息提供,如在预订机票时为您推荐行程出发城市、打车时为您推荐最近的上车点。如果您开启设备的地理位置信息收集权限,应用将会收集您的位置信息,向您提供以上服务。您可以通过关闭定位功能,停止对您的地理位置信息的收集。
1.2.2. 基于相机/摄像头的附加服务:
您可以在开启相机权限后使用相机拍照设置头像、拍发票图片进行OCR识别、扫描发票二维码获取发票信息、拍照上传报销凭证。请您知晓,即使您已同意开启相机权限,我们也仅会在您主动点击客户端内相机图标时通过相机拍照。
1.2.3. 基于相册/图库的图片访问的附加服务:
您可以在开启相册权限后使用该功能上传您的照片/图片,实现设置头像、选择发票图片进行OCR识别、上传报销凭证。请您知晓,即使您已同意开启相册权限,我们也仅会在您主动点击客户端内相册选择图标时访问相册图片。
1.2.4. 基于日历的附加服务:
在您开启我们可读取/写入您日历的权限后,我们将收集您的日历信息用于向您提醒临近行程和个人备忘录信息。
1.2.5. 基于通讯录的附加服务:
您可以允许我们访问您的通讯录,获取联系人姓名、手机号码信息,方便为您的联系人进行下单及预订。
1.2.6. 获取应用安装列表:
为了检查用户是否已安装某个应用,进行第三方应用唤起。包括百度地图/高德地图(导航功能:导航前需要检查用户是否已安装)、微信/QQ/企业微信/钉钉(分享+微信支付功能:分享前需要检查用户是否已安装此软件,安装后才能唤起)、支付宝(支付宝支付+支付宝卡包:需要跳转支付宝,跳转前需检查是否已安装)。
上述附加功能需要您在您的设备中向我们开启您的地理位置、相机、相册、日历、通讯录的访问权限。如您是安卓用户,您可以通过移动设备设置-权限管理逐项查看您上述权限的开启状态,并可以決定将这些权限随时的开启或关闭。如您是苹果用户,您可以通过移动设备-设置-隐私查看、开启或关闭上述权限。请您注意,您开启这些权限即代表您授权我们可以收集和使用这些个人信息来实现上述的功能,您关闭权限即代表您取消了这些授权,则我们将不再继续收集和使用您的这些个人信息,也无法为您提供上述与这些授权所对应的功能。您关闭权限的决定不会影响此前基于您的授权所进行的个人信息的处理。
1.3. 无需征得您的授权同意场景
您充分知晓,以下情形中我们使用个人信息无需征得您的授权同意:
1.3.1. 与国家安全、国防安全有关的;
1.3.2. 与公共安全、公共卫生、重大公共利益有关的;
1.3.3. 犯罪侦查、起诉、审判和判决执行等有关的;
1.3.4. 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
1.3.5. 所收集的个人信息是个人信息主体自行向社会公众公开的;
1.3.6. 从合法公开披露的信息中收集的您的个人信息的,如合法的新闻报道、政府信息公开等渠道;
1.3.7. 根据您的要求签订合同所必需的;
1.3.8. 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
1.3.9. 学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
1.3.10. 法律法规规定的其他情形。
1.4. 改进胜意费控云平台的产品/服务
1.4.1. 我们可能会对收集的信息进行去标识化地研究、统计分析和预测,用于改善胜意费控云的内容和布局,为商业决策提供产品或服务支撑,以及改进我们的产品和服务。
1.4.2. 我们可能将您的订单数据用于数据分析,以便让我们能够了解您所在的位置、喜好和人口统计信息,或与其他来源(包括第三方)的数据相匹配,从而开发和改进我们的产品和服务。
1.4.3. 我们可能会通过您提供的联系方式邀请您参与市场/服务调查,并基于您参加市场调查所提供的信息,分析、衡量您对我们的产品、服务和网站的兴趣,回访、了解您的服务体验和感受,从而开发和改进我们的产品和服务。如您选择不参与市场调查并提供有关信息(以具体市场调查展示页面为准),不会影响您使用胜意费控云的基本功能。
1.5. 收集和使用您的个人信息的特别说明
1.5.1. 若您提供的信息中含有其他用户的个人信息,例如,您通过胜意费控云为他人订购产品/服务时需要提交实际订购人的个人信息,或您通过胜意费控云主动上传、发布或共享的信息中涉及其他用户的个人信息的,在前述情形下,在向胜意费控云提供这些个人信息之前,您须确保您已经取得本人的同意,并确保其已知晓并接受本政策。若其中涉及儿童个人信息的,您需要事先取得对应儿童监护人的同意。
1.5.2. 除非符合征得授权同意的例外情形(见本政策第二部分第1条 我们如何收集和使用您的个人信息”),否则我们将会按照法律法规及国家标准的要求,针对某些场景下的敏感个人信息的处理,通过合理的方式征得您的单独同意。具体单独同意方式,以具体的功能页面显示为准。您理解并知晓,如果非适当地处理敏感个人信息,可能导致您的人格尊严受到侵害或者人身、财产安全受到危害。我们会在保证信息可用性的基础上尽量去标识化处理,以保障您的敏感个人信息安全。
1.5.3. 若我们将信息用于本政策未载明的其他用途,或者将基于特定目的收集而来的信息 用于其他目的,均会重新获得您的授权同意。
我们可能从为您提供服务的关联公司、业务合作伙伴等第三方处获得其所收集的您的相关信息。例如,您通过我们关联公司、业务合作伙伴网站及其移动应用软件等预订时,您向其提供的预订信息可能会转交给我们,以便我们处理您的订单,确保您顺利预订。我们将依据与第三方的约定,在收集前要求第三方说明您的个人信息来源,并对这些个人信息来源的合法合规性进行确认,了解第三方所收集您的个人信息的授权同意范围。如果我们收集和使用您的信息的目的,超出了第三方已获得的授权范围,我们会自行或要求该第三方另行征得您的同意后再处理您的个人信息。
2. 我们如何使用Cookie技术
这份Cookie声明解释了当您访问本系统的时候,系统如何使用Cookie和类似技术来识别您,本Cookie声明适用于本系统与应用软件(APP)。Cookie是您访问网站时放置在您的计算机或移动设备上的小型数据文件。网站所有者通过广泛使用Cookie以使其网站能够更高效地工作,或其目的在于更高效地工作,以及向其报告信息。
我们设置的Cookie称为“第一方Cookie”。 由于技术上的原因,需要一些Cookie用来识别登录用户,保证网站运行。 此类Cookie使我们的网站能够记住您所做的选择(例如您的用户名、语言或您所在的地区),以便提供更好在线体验。
我们不会将 Cookie 用于本隐私政策所述目的之外的任何用途。您可根据自己管理或删除 Cookie。您可以清除计算机上保存的所有 Cookie,大部分网络浏览器会自动接受Cookie,但您通常可根据自己的需要来修改浏览器的设置以拒绝 Cookie;另外,您也可以清除软件内保存的所有Cookie。
2.1. 其他同类技术
除Cookie外,为监测广告投放效果,我们还会在网站上使用像素标签技术,借助于像素标签,我们可以更好地了解我们投放的广告是否被用户浏览。为实现广告监测目的,在涉及第三方监测的广告页面我们可能会应广告主的要求使用嵌入第三方代码来实现广告监测服务,可能涉及的第三方监测平台的名称、使用目的、信息类型可访问第三方广告监测平台详情页。
3. 我们如何共享、转移、委托处理和公开披露您的个人信息
3.1. 共享与提供
3.1.1. 处理原则
我们可能会向合作伙伴等第三方共享您的订单信息、账户信息、设备信息以及位置信息,以保障为您提供的服务顺利完成。但我们仅会出于合法、正当、必要、特定、诚信、明确的目的共享您的个人信息,并且只会共享提供服务所必要的个人信息。我们将评估第三方收集您的个人信息的合法性、正当性、必要性,同时,要求第三方在您的授权同意范围内处理您的个人信息,采取必要的信息管理措施与技术手段,防止您的个人信息发生泄露、损毁、丢失、篡改等后果。第三方无权将所共享的您的个人信息用于任何其他用途,如要改变个人信息的处理目的、处理方式的,将重新您的授权同意
3.1.2. 单独同意
除非符合征得授权同意的例外情形(见本政策第二部分,第1条:“我们如何收集和使用您的个人信息”),否则我们将会按照法律法规及国家标准的要求,针对除前述情形之外的某些场景下的个人信息的共享与提供,采取合理的方式另外征得您的单独同意。但不论是否需要征得您的单独同意,我们均会以合理的方式向您明示告知具体向您提供所涉产品/服务的第三方供应商信息及其处理您个人信息的目的、方式和种类,例如,在您准备订购部分胜意费控云平台的产品/服务时,我们可能会在您下单前通过订单填写页面或订单确认页面向您明示告知上述信息,并在必要时征得您授权胜意科技向供应商或服务商提供您的个人信息的单独同意。具体的单独同意形式,请以具体产品/服务订单页面为准。
3.2. 我们的合作伙伴包括以下类型(包含中国境内和中国境外实体):
3.2.1. 您的雇主:您的雇主作为胜意科技的客户,我们将基于您的雇主与胜意科技的合同及您的雇主的相应需求提供必要的个人信息给您的雇主及其授权的个人,用于实现对账、数据统计、成本控制、数据分析(如帮助企业分析员工疑似不合规行为)等目的。
3.2.2. 供应商:包括但不限于为了满足您预订需求的酒店、航空公司、邮轮、汽车租赁、旅行社、景区和活动提供商和代理商,我们将向供应商共享个人基本资料、个人身份信息、联系人信息。这些供应商可能根据需要与您联系,以完成旅行产品或服务。
3.2.3. 金融机构和第三方支付机构:当您预订订单、申请退款、购买保险时,我们会与金融机构或第三方支付机构共享特定的订单信息,当我们认为用于欺诈检测和预防目的实属必要时,我们将进一步和相关金融机构共享其他必要信息,如IP地址等。您在使用此类服务前,我们将会通过页面提示、交互流程、协议在线展示等方式另行向您说明相应的个人信息共享规则,并征得您的同意。
3.2.4. 业务合作伙伴:我们可能与合作伙伴一起为您提供产品或者服务,将向合作伙伴共享相关个人信息,用于包括快递业务、通讯服务、客户服务、市场推广、广告投放、技术服务、实名认证服务、咨询服务。例如,为向您提供服务信息或商业信息推送之目的,我们会向短信服务商提供您的手机号及拟推送的信息内容。
3.2.5. 为实现网约车、酒店预订等消费场景服务,您的行程信息将向高德用车、首汽约车等供应商共享;财务结算场景中,银行卡号等支付信息将传输至银联、支付宝等持牌支付机构。
3.2.6. 关联公司:我们可能会与我们的关联公司共享您的相关个人信息,使我们能够向您提供与旅行相关的或者其他产品或服务,他们会采取不低于本政策同等严格的保护措施。
请您注意,基于业务合作伙伴和关联公司防范和检测欺诈的目的,我们可能也会审慎地提供您的必要个人信息,这些个人信息的提供会经过严格的内部安全评估和审批并通过签署相应的协议限定这些信息的使用目的。
胜意科技的关联公司允许胜意费控云的用户使用胜意科技账户登录关联公司的平台并使用其服务,胜意费控云的用户在关联公司的任何行为均需遵守相应协议的约定、公布的规则以及有关正确使用服务的说明和操作指引。
为了实现上述功能,您有权在关联公司的平台上选择是否同意胜意科技将您在胜意费控云的注册信息、交易/支付数据等信息和数据同步至关联公司系统并允许其使用。
3.2.7. 根据法律法规的规定、诉讼争议解决需要、您与我们签署的相关协议(包括在线签署的电子协议及平台规则)或法律文件,或行政、司法等有权机关依法提出要求时,我们可能会共享您的个人信息。
3.2.8. 除了上述说明或法律法规另有规定外,我们如果对其他任何公司、组织和个人共享您的个人信息,会依法再次征求您的授权。
3.3. 信息转移
我们不会将您的个人信息转移给任何公司、组织和个人,但以下情况除外:
3.3.1. 事先获得您的明确同意或授权。
3.3.2. 根据适用的法律法规、法律程序的要求、强制性的行政或司法要求。
3.3.3. 在涉及合并、分立、收购、资产转让或类似的交易时,如涉及到个人信息转移,我们会在正式进行信息转移前,向您告知接收信息公司、组织的名称和联系方式,并要求新的持有您个人信息的公司、组织继续受本政策的约束,继续履行原先由我们承担的个人信息处理义务。否则,我们将要求该公司、组织重新向您征求授权同意。
3.4. 委托处理
为了提升信息处理效率,降低信息处理成本或提高信息处理准确性,我们可能会委托有专业技术能力的关联公司或胜意科技以外的外部服务供应商处理您的个人信息。我们会与受托方签署委托处理协议,并要求受托方按照委托处理协议、本政策以及其他任何相关的保密和安全措施来处理个人信息。委托关系不生效、无效或被撤销或者终止时,我们会要求受托方返还、删除您的个人信息(包括但不限于因委托处理获取到的原始信息或副本、摘要等),不得保留。未经您的授权同意,我们禁止受托方转委托他人处理您的个人信息。
3.5. 公开披露
我们仅会在以下情形,公开披露您的个人信息:
3.5.1. 根据您的需求,在您单独同意的前提下,根据您认可的披露方式下披露您所指定的个人信息。
3.5.2. 根据法律、法规的要求、强制性的行政执法或司法要求所必须提供您个人信息的情况下,我们可能会依据所要求的个人信息类型和披露方式披露您的个人信息。在符合法律法规的前提下,当我们收到上述披露信息的请求时,我们会要求必须出具与之相应的法律文件,如传票或调查函。
4. 我们如何存储您的个人信息
4.1. 存储地点
4.1.1. 处理原则
我们会按照法律法规规定,将中华人民共和国境内收集的用户个人信息存储于中国境内。
4.1.2. 跨境传输
(1) 获得您的明确授权。
(2) 当营销场景涉及到境外服务提供商时。
(3) 当您通过胜意费控云进行跨境交易(如预订境外酒店,预订境外机票,火车票、旅游服务时涉及境外供应商提供服务时)等个人主动行为。
(4) 法律法规的明确要求。
除非符合征得授权同意的例外情形(见本政策“一、我们如何收集和使用您的个人信息”),否则我们将会按照法律法规及国家标准的要求,针对除前述情形之外的个人信息跨境传输情形,采取合理的方式另外征得您的单独同意。但不论是否需要征得您的单独同意,我们均会以合理的方式向您明示告知所涉产品/服务的境内外服务商信息及其处理您个人信息的目的、方式和种类,例如,在您准备订购胜意费控云的部分境外产品/服务时,我们将会在您下单前通过订单填写页面或订单确认页面向您明示告知上述信息,并在必要时就胜意科技向境外供应商提供您的个人信息征得您的单独同意。具体的单独同意形式,以具体产品/服务订购页面为准。
我们将按照法律、行政法规和国家网信主管部门规定(如履行安全评估义务、个人信息保护认证、按照主管部门制定的标准合同与境外接收方签订协议)条件执行,并要求境外机构对所获得的您的个人信息保密并履行相应的个人信息保护义务。
4.2. 存储期限
我们仅在本政策所述目的所必需且最短的期间内,或法律法规要求的时限内保留您的信息。我们判断个人信息的存储期限主要参考以下标准:实现与您相关的交易目的、维护相应交易及业务记录,以应对您可能的查询或投诉;保证我们为您提供服务的安全和质量;根据诉讼时效的相关需要;是否存在关于保留期限的法律规定或其他特别约定。在超出上述存储期限后,或在您行使个人信息删除权、注销账户的情况下,我们会对您的个人信息进行删除或匿名化处理。
但在下列情况下,我们可能调整个人信息的保留时间:
4.2.1. 为遵守适用的法律法规等有关规定(例如:《电子商务法》规定:商品和服务信息、交易信息保存时间自交易完成之日起不少于三年)。
4.2.2. 为遵守法院判决、裁定或其他法律程序的规定。
4.2.3. 为遵守相关政府机关或法定授权组织的要求。
4.2.4. 为维护社会公共利益,为保护胜意费控云的用户、我们或我们的关联公司、其他用户或雇员的人身财产安全或其他合法权益所合理必需的用途。
4.3. 停止运营
如我们停止运营胜意费控云产品或服务,我们将及时停止继续收集您个人信息的活动,将停止运营的通知以逐一送达或公告的形式通知您,对所持有的个人信息进行删除或匿名化处理。
5. 我们如何保护和保存您的个人信息
5.1. 我们保护您个人信息的技术与措施
我们非常重视个人信息安全,并采取一切合理可行的措施,保护您的个人信息。
5.1.1. 安全认证和服务
我们存储您个人信息的底层云技术取得了公安部信息系统安全等级保护三级认证,同时还获得了ISO27001认证。
公司内部极其重视安全意识,有着完整的安全和隐私保护培训课程体系,我们的员工对个人信息保护重要性和敏锐性的认知准确。
5.1.2. 数据安全
(1) 数据采集:对于提供注册功能来收集用户信息的系统,需提供注销账户功能;用户授权日志需永久保存。
(2) 数据传输要求:涉及外网隐私数据传输的系统,互联网段的传输,采用HTTPS通道加密或内容加密中的一种方式传输,也可两种加密方式结合的方式传输。
(3) 内部系统传输加密:对于信息安全统筹加密的隐私数据,系统上游密文传输给下游,禁止明文传输。信息安全统筹加密的隐私数据包括:电话、地址、银行卡号、邮箱、证件号(身份证、护照等)。
(4) 涉及信息安全统筹加密的隐私数据的系统,需采用信息安全提供的密码机统一加解密。信息安全统筹加密要求:
① 源端加密:各数据采集系统等作为源头开启隐私字段加密。
② 存储加密:系统如需存储隐私字段,必须密文落库,禁止明文落库。
③ 传输加密:系统上游使用密文传输给下游,禁止明文传输。
(5) 使用的算法
系统中采用国密算法,国密即国家密码局认定的国产密码算法。主要使用有SM2,SM3,SM4,密钥长度和分组长度均为128位。SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比RSA 2048位高,但运算速度快于RSA。SM3 消息摘要,校验结果为256位。SM4 无线局域网标准的分组数据算法。对称加密,密钥长度和分组长度均为128位。
对敏感数据禁止数据库和日志文件中明文存储,系统中对用户支付密码、银行卡卡号、身份证、手机号码、邮箱地址等数据使用国密SM4进行加密存储。
(6) 访问控制
必须对可访问敏感信息资源的应用权限进行细分,权限至少可以控制到应用菜单级别;访问绝密及机密数据必须得到授权,并按照最小化权限进行权限授予;绝密及机密数据必须设置访问权限,防止越权访问。
(7) 数据脱敏:需将隐私字段直接密文展示,或者脱敏展示。脱敏规则,使用星号*替代部分信息。
5.1.3. 请求安全
前端页面请求后台服务采用Post方式,避免使用Get方式时在请求地址中明文发送数据。
5.1.4. 传输安全
系统支持HTTPS协议保证传输安全,HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。
5.1.5. 存储安全
(1) 使用强壮的加密算法对保存在后台数据库中的信用卡、手机号、身份证等敏感数据进行加密保存;系统使用国密算法中SM4对电话、手机、证件号、银行卡号,支付账号加密后存储。
(2) 可对接客户方已部署的加密机,对数据进行加解密保存。
(3) 系统禁止明文密码存储,如果采用hash算法对密码进行hash,至少采用强度为带salt的SHA512用于对密码进行hash。系统采用国密SM3消息摘要算法,该算法已公开。校验结果为256位,加密后的长度是64位。
5.1.6. 接口安全
系统中对外接口经过统一规范命名、对出入参严格限制过滤多余字段,仅传递业务必须的字段。并对访问进行授权,需要有安全秘钥或IP白名单才能访问。
签名认证:签名机制使用国密sm3摘要算法,由系统提供签名的key,调用方需要通过时间戳+账号+key组合签名。
IP白名单控制:只有设定的IP来源才能访问接口,支持多个ip和ip段配置。
统一入口控制:接口地址统一,所有对外提供的接口必须经过”对外接口服务”才能访问,在这个服务中对接口访问进行鉴权和日志记录。
5.1.7. 互联网并非绝对安全的环境,而且电子邮件、即时通讯、社交软件等与其他用户的交流方式无法确定是否完全加密,我们建议您使用此类工具时请使用复杂密码,并注意保护您的个人信息安全。请您妥善保护自己的个人信息,仅在必要的情形下向他人提供。互联网环境并非百分之百安全,我们将尽力确保或担保您发送给我们的任何信息的安全性。如果我们的物理、技术或管理防护设施遭到破坏,导致信息被非授权访问、公开披露、篡改或毁坏,导致您的合法权益受损,我们将承担相应的法律责任。
5.1.8. 如果您对我们的个人信息保护有任何疑问,可通过本隐私政策中约定的联系方式联系我们。如您发现自己的个人信息泄露,尤其是您的账户及密码发生泄露,请您立即通过本隐私政策【9、如何联系我们】中约定的联系方式联络我们,以便我们采取相应措施。
5.2. 您个人信息的保存
5.2.1. 您的个人信息将存储于中华人民共和国境内。本隐私政策以及其他任何相关的保密和安全措施来处理这些个人信息。
5.2.2. 在您使用我们的产品与/或服务期间,您的个人信息将在为了实现本政策所述目的之期限内保存,同时将结合法律有强制的留存要求期限的规定确定,如《中华人民共和国民法典》要求商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。在超出保存期间后,我们会根据适用法律的要求删除您的个人信息,或进行匿名化处理。
5.2.3. 如果我们终止服务或运营,我们会至少提前三十日向您通知,并在终止服务或运营后对您的个人信息进行删除或匿名化处理。
5.2.4. 我们尊重和保护用户个人隐私。未经用户授权,我们不得对外披露用户注册资料及用户保存在我们网站或移动端中的非公开内容,但下列情形除外:(1)事先获得用户的明确授权; (2)根据有关法律法规的规定或相关政府主管部门的要求; (3)为维护社会公共利益的需要; (4)为维护胜意费控云的合法权益。(5)我们与用户签署的其他协议有约定。(6)我们的附属公司武汉市胜意之旅旅行社有限公司(即为我们软件消费场景的指定供应商和服务商)为您提供相关服务而获取的用户个人信息。
5.2.5. 基于处理用户付款退款、票据下单及配送或帮助您使用我们客户端的需要(如有些服务需要我们与第三方服务商同时向您提供服务),我们可能向上述情形外的第三方共享您的相关个人信息,但须经过您的授权(如需要您亲自操作后才可生效视为授权)。
5.2.6. 对我们与之共享个人信息的公司、组织和个人,我们会与其签署严格的保密协定,要求他们按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理个人信息。在个人敏感数据使用上,我们要求第三方采用数据脱敏和加密技术。我们接入的合作伙伴等第三方的SDK目录请查阅《第三方SDK目录》。
5.2.7. 尽管有前述的安全措施,但同时也请您理解在网络上不存在“完善的安全措施”。我们会按现有的技术提供相应的安全措施来保护您的信息,提供合理的安全保障,我们将尽力做到使您的信息不被泄露、损毁或丢失。
5.2.8. 您的账户均有安全保护功能,请妥善保管您用于登录胜意费控云的设备以及您的账户名及密码信息,切勿将设备提供他人用于登录胜意费控云或将密码告知他人,如果您发现自己的个人信息泄露,特别是您的账户名和密码发生泄露,请您立即与我们的客服联系,以便我们采取相应的措施。
5.2.9. 请您及时保存或备份您的文字、图片等其他信息,您需理解并接受,您接入我们的服务所用的系统和通讯网络,有可能因我们可控范围外的因素而出现问题。
5.2.10. 在使用胜意费控云服务进行网上交易时,请您妥善保护自己的个人信息(包括但不限于出行人姓名、联络方式或联系地址),仅在必要的情形下向他人提供。请使用复杂密码,协助我们保证您的账户安全。我们将尽力保障您发送给我们的任何信息的安全性。为防止他人未经授权使用您的密码或使用您的计算机、移动设备或SIM卡,如您发现自己的个人信息尤其是您的账户或密码发生泄露,请您立即联络胜意费控云客服,以便我们核实后根据您的申请采取相应措施。
5.2.11. 在不幸发生个人信息安全事件后,我们将按照法律法规的要求向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。事件相关情况我们将以邮件、信函、电话、推送通知等方式告知您,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,上报个人信息安全事件的处置情况。
6. 我们如何保护未成年人的个人信息
6.1. 胜意科技非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人,在使用我们的服务前,应事先取得您法定监护人的同意。我们根据《中华人民共和国未成年人保护法》等国家相关法律法规的要求对未成年人的个人信息及隐私进行保护。
6.2. 胜意科技不会主动直接向未成年人收集其个人信息。对于经监护人同意而收集未成年人个人信息的情况,我们仅在法律法规允许、监护人同意或保护未成年人所必要的情况下使用、共享、转移或披露此类信息。
6.3. 如果有事实证明未成年人并未取得监护人同意的情况下注册和使用了我们的服务,监护人可以联系胜意费控云客服,我们会在确认后尽快删除相关未成年人的个人信息。
6.4. 对于不满14周岁的儿童个人信息,我们还会遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则,按照《儿童个人信息网络保护规定》等法律法规的要求进行收集、存储、使用、转移、披露等处理儿童个人信息。
6.5. 当您作为监护人为被监护的儿童选择使用胜意费控云相关旅行服务时,我们可能需要向您收集被监护的儿童个人信息,用于向您履行相关服务之必要。如果您不提供前述信息,您将无法享受我们提供的相关服务。此外,您在使用评价功能时可能会主动向我们提供儿童个人信息,请您明确知悉并谨慎选择。您作为监护人应当正确履行监护职责,保护儿童个人信息安全。
6.6. 如果您是不满14周岁的儿童,在您使用胜意费控云的服务前,您和您的监护人还应仔细阅读我们专门制定的《胜意科技儿童个人信息保护规则及监护人须知》,确保您的监护人确认同意该规则。如果您的监护人不同意《胜意科技儿童个人信息保护规则及监护人须知》,可能将导致我们无法向您正常提供服务或无法达到我们提供服务的预定效果,您和您的监护人应立即停止注册或使用我们提供的服务。如果您使用或继续使用我们的服务,将视为已获取监护人同意我们按照本政策和《胜意科技儿童个人信息保护规则及监护人须知》收集、存储、使用、转移、披露等处理儿童的个人信息。
6.7. 如您对儿童个人信息相关事宜有任何意见、建议或投诉,请联系我们,具体联系方式详见本政策第二部分第9条。
7. 个人信息管理
7.1. 用户在申请使用我们的服务时必须提供准确的个人资料,如个人资料有任何变动,用户必须及时更新。一旦注册成功, 用户将得到一个账号和对应的密码。该账号具有唯一性,用户应妥善保管并对其账号和密码的安全承担全部责任。
7.2. 用户可随时根据提示改变其密码,但是,不得将其账号、密码转让或出借予他人使用。如用户发现其账号遭他人非法使用或存在安全漏洞的情况,应第一时间通知我们。因黑客行为或用户的保管疏忽导致账号、密码遭他人非法使用,将由客户承担所有损失,我们不承担任何赔偿或补偿责任。
7.3. 当您需要注销账号时,你需要联系您企业系统管理员,由管理员核实后进行账号注销,注销时效取决于您的系统管理员处理时间;您注销账号后,我们将停止为您提供产品与/或服务。
7.4. 您需对您个人账户中的所有活动和事件负全责。用户使用我们的服务时必须遵守本协议制定的原则,否则我们有权采取下列措施,如中断对用户提供服务,取消或封存用户服务账号、删除不当言论等,并追究您依法应承担的相应法律责任。
8. 政策修订
根据国家法律法规的更新及我们客户端运营需要,我们有权对本协议不时地进行修改,修改后的隐私协议一旦被张贴在我们客户端即生效力,并代替原来的隐私协议。您可随时登录查阅最新隐私协议内容。如您不同意更新后的隐私协议,应立即停止接受我们客户端提供的服务;如您继续使用,即视为同意更新后的隐私协议。如果本协议中任何一条被视为废止、无效或因任何理由不可执行,该条应视为可分的且并不影响任何其余协议的有效性和可执行性。
9. 如何联络我们
如您对本隐私政策或您个人信息的相关事宜有任何问题、意见或建议,请通过以下方式与我们联系:
9.1. 联系地址:湖北省武汉市东湖高新区光谷大道武汉高科数字经济产业园1号楼21-23层;
9.2. 在线客服: 您还可以随时通过访问在线客服系统或拨打我们的任何一部客服电话等多种方式与我们联系;
9.3. 产品咨询热线: 400-163-5818。
一般情况下,我们将在15个工作日内回复您。如果您对我们的回复不满意,可进行申诉,仍然没有得到合法满意的解决的且您认为个人信息处理行为损害了您的合法权益,您还可以向相关部门进行投诉或举报。
本隐私政策版本更新日期为2025年6月 26日,于2025年6月26日正式生效。
