金融级实人认证SDK隐私权政策



更新日期:2023年11月6日

生效日期:2023年11月8日

提示条款

 阿里云计算有限公司(以下可统称为“我们”或“金融级实人认证”)高度重视个人信息的保护,在您(以下可简称“开发者”)使用金融级实人认证提供的服务时(以下可简称“金融级实人认证服务”),我们将根据法律法规要求并参照行业最佳实践为您的个人信息安全提供充分保障。为此,我们制定本《隐私权政策》(下称“本政策/“本隐私权政策”)以帮助您充分了解我们对您和您的最终用户(即“您的产品的最终用户”或“您的产品的终端用户”,以下同)的个人信息的处理方式。在您开始使用我们的产品和服务前,请您务必先仔细阅读和理解本政策,特别应重点阅读我们以粗体/粗体下划线标识的条款,确保您充分理解和同意后再开始使用。

本隐私政策适用于金融级实人认证提供的SDK服务。

 在使用金融级实人认证产品或服务前,请您务必仔细阅读并透彻理解本政策,特别是以粗体下划线标识的条款,您应重点阅读,在确认充分理解并同意后使用相关产品或服务。如您对本隐私政策有任何疑问,您可以通过本隐私政策公布的联系方式与我们联系。如果您不同意本隐私政策的内容,您应停止使用金融级实人认证服务。


本隐私政策将帮助您了解以下内容:

一、我们如何收集和使用您以及您最终用户的个人信息

二、我们如何对外提供、转让、公开披露您以及您最终用户的个人信息

三、我们如何保护您以及您最终用户的个人信息

四、您以及您最终用户如何行使个人信息的权利

五、我们如何处理未成年人的信息

六、您以及您最终用户的个人信息储存与全球范围转移

七、本隐私政策如何更新

八、如何联系我们

 

一、 我们如何收集和使用您以及您最终用户的个人信息

我们收集信息是为了更好、更优、更准确的完成您所选择的服务。金融级实人认证仅会出于本政策所述的业务功能需要以及目的,并通常会在征得您同意的情况下收集和使用您以及您最终用户的信息。我们收集信息的方式如下:

(一)您向我们提供的信息

我们在您注册阿里云账号时,已收集您的相关信息,您可通过《法律声明及隐私权政策》查阅我们收集的信息及用途。

(二)在您/最终用户使用服务过程中收集的信息

1、设备信息

当您使用金融级实人认证且接入方式为SDK时,为了确认SDK服务可用性和识别虚假设备,我们会获取最终用户的:

(1)设备基础信息:设备制造商、设备品牌、设备类型及型号、设备名称、设备操作系统信息、设备内存及存储大小、电池及电量信息、基带信息、开机时间、屏幕亮度及分辨率、CPU信息、系统时区、系统语言、充电状态、系统内核信息、传感器列表、光线传感器信息;

(2)设备标识信息:IDFA (可选)、IDFV、Android ID、OAID;

(3)设备网络信息:BSSID、SSID、运营商信息、网络类型、SIM卡状态;

(4)设备应用信息:SDK宿主APP信息(包括:宿主APP应用名称、宿主APP应用版本、宿主APP安装时间)。

2、最终用户上传的人脸、语音及身份信息

在最终用户同意开启相机/摄像头/录屏/麦克风权限后,我们会在您完成指定验证动作时,获取最终用户的姓名、身份证号、人脸图片和视频流进行用于检查真实人脸、进行身份验证比对。此外,当您使用实人认证OCR功能时,我们还将通过最终用户拍照上传的身份证图片(正面)获取最终用户的姓名、性别、民族、出生日期、住址、身份证号码等身份信息,以进行安全验证;当您使用多因子意愿认证功能时,我们将通过最终用户录制并上传的音视频文件获取最终用户的语音信息及声纹特征您及最终用户知晓,即使最终用户已同意开启相机权限,我们也仅会在最终用户主动点击客户端内相机图标或录制视频时通过相机获取照片信息。

3、终端权限信息

为保障产品功能实现与安全稳定运行目的,我们可能会申请或使用最终用户操作系统的相关权限,点击《应用权限申请与使用情况说明》查看我们需要获取的权限信息详情。

4、日志信息

当您使用我们金融级实人认证时,我们会自动收集您对我们服务的详细使用情况,作为有关操作日志保存,包括您的操作参数、操作时间、服务响应时间、操作步骤、验证结果、错误原因。

5、其他

除上述信息外,我们还可能为了提供服务及改进服务质量的合理需要而收集您的其他信息,包括您与我们的客户服务团队联系时提供的相关信息,您参与问卷调查时向我们发送的问卷答复信息,以及您与金融级实人认证的关联方、金融级实人认证合作伙伴之间互动时我们收集的相关信息。

请注意,单独的设备信息、服务日志信息是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息,除取得您授权或法律法规另有规定外,我们会将这类信息做匿名化、去标识化处理。

(三)您何如合规的使用金融级实人认证

如果您接受本隐私政策并把我们的SDK集成到您的产品中,您应当根据适用的法律、法规和监管要求和本隐私政策的规定,保证我们可以合法地收集和使用您的最终用户的相关个人信息,以提供金融级实人认证的相关服务。请您务必做到如下几点:

1.  请务必确保您已经将金融级实人认证升级到满足监管新规的最新版本。

2.  请务必在您的《隐私政策》中向用户明确告知您使用了金融级实人认证,参考如下内容:

使用的SDK名称:实人认证

服务类型:【身份认证】

收集的各个信息类型:请您参考本隐私政策公示内容向您的用户明确告知SDK收集的个人信息字段;

SDK隐私政策链接:【https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202107281509_18386.html】

3.  请务必做延迟初始化配置,确保用户授权《隐私权政策》后,在人脸识别场景中再初始化金融级实人认证。

请您务必按照如上提示合规使用我们的服务,因您未合规使用SDK服务所导致的风险由您自行承担,并承担因此对金融级实人认证带来的损失。

            如果您在欧盟成员国提供服务,您理解您处理个人数据必须有适当的法律基础。这些法律基础可能包括:为履行与最终用户之间的合同(例如,为最终用户提供其所请求的服务、对其进行识别和认证,以便其可以使用网站);为遵守法律要求例如例如>如,为遵守适用的会计规则,例如执法部门强制披露的要求);为您的正当利益(例如,管理您与最终用户的关系,为确保服务的安全性,与最终用户沟通我们的产品和服务);以及基于最终用户的同意(例如,投放coo等ies,为广告宣传之目的与第三方共享最终用户的信息)。您在此进一步保证,您应在您的隐私权政策中要求您的最终用户同意我们的隐私政策。如您的最终用户因本隐私政策项下对其信息的收集、使用、披露而致使我们遭受任何形式的诉请、诉求以及投诉等,您将负责全面给予解决;如导致我们发生相应形式的损失,您将负责给予我们全额赔偿。

                如果您在欧盟成员国提供服务,根据适用法律,最终用户有权反对或要求限制对其个人数据的处理,并要求其本人数据的访问、校正、删除和可携带权。在对您对最终用户信息的使用是基于其同意的情 况下,最终用户还有权在任何时候撤回该同意。如果您需要我们的协助以满足您最终用户的权利要求,您可以通过工单系统告知我们(具体路径为登陆您的账号,点击客服工单,选择法务问题咨询以及隐私政策咨询类型进行工单反馈),我们会向您提供协助。您理解您的最终用户如果认为您对其个人数据的处理违反了适用法律,可以向监管机构投诉。

 (四)征得授权同意的例外

请您理解,在下列情形中,根据法律法规及相关国家标准,我们收集和使用您和/或您终端用户的个人信息无需征得您和/或您的终端用户的授权同意:

A.与公共安全、公共卫生、重大公共利益直接相关的;

B.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

C.所收集的您和/或您的终端用户的个人信息是您自行向社会公众公开的;

D.从合法公开披露的信息中收集的您和/或您的终端用户的个人信息的,如合法的新闻报道、政府信息公开等渠道;

E.根据您的要求签订或履行合同所必需的;

F.用于维护软件及相关服务的安全稳定运行所必需的,例如发现、处置软件及相关服务的故障;

G.法律法规规定的其他情形。


二、 我们如何对外提供、转让、公开披露您以及您最终用户的个人信息

        (一)对外提供

        我们对您的信息承担保密义务,不会为满足第三方的营销或非法目的而向其出售或出租您以及最终用户的信息。在与第三方合作过程中,将遵守法律规定,按照最小必要原则,安全审慎地处理相关数据。我们将按照法律法规的规定,要求第三方采取相应的管理措施和技术措施妥善保管终端用户个人信息,并要求其遵守与我们进行的约定,在约定的服务范围内处理个人信息。我们将要求相关第三方提供数据安全能力和信息安全资质(如等级保护测评、信息安全管理体系等)证明。在敏感个人信息的处理上, 我们会要求接收方采用数据脱敏加密技术, 从而更好地保护个人信息。如果终端用户对接收方处理个人信息有异议或发现这些接收方存在风险时, 请按照本规则的联系方式联系我们。

        除下列情况外,我们不会对外提供您以及您最终用户的个人信息:

        1、事先获得个人信息权利主体的同意或授权。

        2、根据法律法规的规定或行政或司法机构的要求。

        3、如您最终用户是适格的知识产权投诉人并已提起投诉,应被投诉人要求,向被投诉人披露,以便双方处理可能的权利纠纷。

        4、为实现SDK产品的功能所必须,我们会基于以下使用目的、使用场景委托第三方处理个人信息:

第三方公司名称

产品/类型

共享信息名称

使用目的

使用场景

共享方式

第三方官网

蚂蚁区块链科技(上海)有限公司

金融级实人认证SDK

姓名、身份证号码、人脸照片或视频

实名认证

用户在使用第三方开发者应用中与人脸核验/验证相关的功能场景时

接口调用

https://render.alipay.com/p/yuyan/180020010001196791/preview.html?agreementId=AG01000130

您可以通过访问第三方官网的方式了解更多服务供应商的相关信息,或处理您与他人的纠纷或争议。

身份证图片,及图片上的性别、民族、出生日期、住址、签发机关、有效期

身份证OCR/NFC

声纹/语音文件

意愿认证

        5、与关联公司间共享:我们可能会与我们的关联公司和/或其指定的服务提供商共享必要的个人信息,且受本隐私政策中所声明目的的约束,如果我们共享您最终用户的个人敏感信息或关联公司改变个人信息的使用及处理目的,将再次征求您最终用户的授权同意。

        (二)转让

        我们没有向任何第三方转让您的最终用户的个人信息。当我们需要向第三方转让您的最终用户的个人信息时,我们会:

        1、获得您的最终用户的同意。

        2、在涉及合并、收购或破产清算时,如涉及到个人信息转让,我们会在要求新的持有您最终用户个人信息的公司、组织继续受此隐私政策的约束,否则我们将要求该公司、组织重新向您最终用户征求授权同意。

(三)公开披露 

我们仅会在以下情况下,公开披露您最终用户的个人信息

1、获得您或您最终用户明确同意;

2、基于法律的披露:在法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会公开披露您或您最终用户的个人信息。

3、在紧急情况下,经合理判断是为了保护我们、我们的客户、最终用户或其他人的重要合法权益。

 

三、 我们如何保护您以及您最终用户的个人信息

为了保障您以及您最终用户的信息安全,我们将按照行业通行标准、努力采取合理的物理、电子和管理方面的安全措施来保护您的信息,并尽最大合理努力使您以及您最终用户的信息不会被泄漏、毁损或者丢失。在您的浏览器与服务器之间交换数据时受 SSL协议加密保护;我们对网站提供HTTPS协议安全浏览方式;我们会使用加密技术提高个人信息的安全性;我们会使用受信赖的保护机制防止个人信息遭到恶意攻击;我们会部署访问控制机制,尽力确保只有授权人员才可访问个人信息;以及我们会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。

我们有行业先进的以数据为核心、围绕数据生命周期进行的数据安全管理体系,从组织建设、制度设计、人员管理、产品技术等方面多维度提升整个系统的安全性。

我们收集的信息保存于不向公众开放的安全运行环境之中。为避免未经授权访问您的信息,我们将其保存在有防火墙保护并可能加密的服务器之中。但是,没有任何系统是绝对安全的,请您理解在信息网络上不存在“完善的安全措施”。即使我们做出了很大努力,仍有可能无法杜绝对您以及您最终用户的个人信息的非法访问。此外,由于无法判断他人的陈述是否属实,我们可能会被不可靠的、有误导性的或非法的信息所蒙蔽。

如不幸发生个人信息安全事件,我们将按照法律法规的要求向您或您的最终用户告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您以及您的最终用户可自主防范和降低风险的建议、对您以及您的最终用户的补救措施等。事件相关情况我们将以邮件、信函、电话、推送通等等方式告知您以及您的最终用户,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,上报个人信息安全事件的处置情况。

我们会采取合理可行的措施,尽力避免收集无关的个人信息。我们只会在达成本政策所述目的所需的期限内保留您及您最终用户的个人信息,除非法律有强制的存留要求。而我们判断前述期限的标准包括:

1、完成与您相关的服务目的、维护相应服务及业务记录、应对您可能的业务需求;

2、保证我们为您提供服务的安全和质量;

3、您是否同意更长的留存期间;

4、是否存在保留期限的其他特别约定。

在您的个人信息超出保留期间后,我们会根据适用法律的要求删除您的个人信息,或使其匿名化处理。


四、 您以及您最终用户如何行使个人信息的权利

我们非常重视您和/或您的终端用户对个人信息的管理,并尽全力保护您对个人信息的查询、访问、修改、删除等相关权利,您可以通过以下方式访问及管理您的信息。

        (一)针对金融级实人认证的直接用户

1、查询、更正和补充您的信息。

我们将努力使您能审阅、更正或补充您存在我们这里的信息。如需审阅、更正或补充,请访问我们的网站并登录您的账号予以操作。如某项权利的行使无法在账号页面操作,您可以通过本政策中的联系方式与我们联系,我们协助您进行相应操作。

2、删除您的个人信息。

您可以访问我们的网站并登陆您的账号予以操作。如无法在账号页面操作,您可以通过本政策中的联系方式与我们联系请求删除您提供的个人信息:在删除相关信息时,我们可能会要求您进行身份验证,以保障账户安全。以上删除请求一旦被响应,除法律法规另有规定要求保留的信息外,您的个人信息将被删除。

3、账户注销

如您不希望继续使用我们的产品,您可以通过本隐私权政策提供的联系方式联系我们,提交注销账号的申请,我们通常会在15个工作日内回应您的申请需求,但为了您的账号安全,我们会辨别您身份、核实并处理您的请求,我们将需要您提交充分有效的身份信息。账号注销后,我们将不再为您提供服务,如果您希望我们删除您的个人信息,您也可以向我们提交删除您个人信息的申请。

4、获取个人信息副本。您有权通过向我们发送请求,获取您有关个人基本资料的副本。在技术可行的前提下,例如数据接口匹配,我们还可按您的要求,直接将您的个人信息副本传输给您指定的第三方。

如您的最终用户需要获取其个人信息的副本,可以向我们发起请求,当我们完成最终用户的身份核验工作后,将返还其个人信息副本。

5、改变您授权同意的范围。

每个业务功能往往需要收集一些基本的个人信息才能得以运营,对于您个人信息的收集和使用,您可以通过本政策中的联系方式与我们联系要求撤回同意。当您撤回同意后,我们后续将不再收集和使用您相应的个人信息,但请您理解,当您撤回同意或授权后,我们无法继续为您提供撤回同意或授权所对应的特定功能和/或服务。您撤回同意的决定,不会影响此前基于您的授权而开展的个人信息处理。

(二)如果您是使用金融级实人认证的最终用户,而不是金融级实人认证的直接客户,我们建议您:

根据应用程序提供商的隐私政策,请将与您个人信息相关的请求直接发送给相关应用程序提供商处理和寻求帮助,金融级实人认证在收到来您自应用程序提供商的相关请求并验证请求的真实合法性后,会积极配合,响应请求。

(三)响应您的上述请求为保障安全。

我们可能会要求先验证您的身份,再处理您的请求。您可能需要提供书面请求,或以其他方式证明您的身份。对于您提出的本节项下的所有请求,我们将于收到您的请求并在验证您用户身份后的15日内进行反馈。

对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将酌情收取一定费用。对于与您的身份不直接关联的信息、无合理理由重复申请的信息,或者需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者不切实际的请求,我们可能会予以拒绝。

在以下情形中,按照法律法规要求,我们将无法响应您的请求:

(1)与我们履行法律法规规定的义务相关的;

(2)与国家安全、国防安全直接相关的;

(3)与公共安全、公共卫生、重大公共利益直接相关的;

(4)与刑事犯罪侦查、起诉、审判和执行判决等直接相关的;

(5)有充分证据表明个人信息主体存在主观恶意或滥用权利的;

(6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;

(7)响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;

(8)涉及商业秘密的。


五、 我们如何处理未成年人的信息

我们非常重视未成年人的个人信息保护,我们不接受任何未成年人注册成为我们的用户。

如您的应用是针对14周岁以下未成年人而开发的,请您采取必要的措施确保您最终用户的注册与使用均已获得其监护人的同意,同时,您应在您的隐私权政策中履行相应的告知义务。提醒您注意的是,作为未成年人类的应用,您还需要遵守应用市场有关未成年人类应用的审核标准与指南,以免对您的应用上架或正常运营产生影响。

受制于现有技术和业务模式,我们很难主动识别未成年人的信息,如果未成年人的监护人发现存在未经授权而收集未成年人个人信息,监护人可通知本政策中的联系方式与我们来联系删除,如我们自己发现前述情形,我们也会主动予以删除。


六、 您以及您最终用户的个人信息存储与全球范围转移

若您使用我们提供的服务,我们将在中国境内储存您的数据。为了避免您由于不了解您的最终用户所在国或所在地区关于数据保护相关法规政策而触犯当地的监管规定,我们强烈建议您仅在中华人民共和国大陆地区内使用金融级实人认证服务。如您将金融级实人认证服务应用于中华人民共和国大陆地区以外,应当遵循有关跨境传输转移的法律要求,并承担可能产生的全部风险,如导致金融级实人认证发生任何形式的损失,您负责给予我们全额赔偿。

如您的最终用户未接受本隐私政策而由此引发的一切风险及后果均由您自行承担;金融级实人认证因此遭受任何形式的诉请、诉求、投诉、处等等的,您将负责全面给予解决;如导致金融级实人认证发生任何形式的损失,您负责给予我们全额赔偿。

若您在欧盟地区提供服务,我们的业务可能需要我们转移您最终用户的个人数据至欧盟以外的国家。这些国家可能提供与欧盟国家不同水平的数据保护。我们作为您最终用户个人数据的接收者,会采取适当的措施以确保履行保密义务,并确保如标准合同条款等措施的执行。


七、 本隐私政策如何更新

我们可能适时会对本隐私政策进行调整或变更,本隐私政策的任何更新将以标注更新时间的方式公布在金融级实人认证网站上。未经您明确同意我们不会限制您按照本政策所应享有的权利。对于重大变更,我们还会提供更为显著的通知(包括通过网站或客户端首页公示的方式进行通知甚至向您提供弹窗提示)。

本政策所指的重大变更包括但不限于:

1、我们的服务模式发生重大变化。如处理用户信息的目的、用户信息的使用方式等。

2、我们在控制权、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等。

3、个人信息共享、转让或公开披露的主要对象发生变化。

4、您参与个人信息处理方面的权利及其行使方式发生重大变化;

5、我们负责处理用户信息安全的责任部门、联络方式及投诉渠道发生变化时。

6、个人信息安全影响评估报告表明存在高风险时。

 我们还会将本政策的旧版本在金融级实人认证的专门页面进行存档,供您查阅。

 

八、如何联系我们

如果您对本隐私政策有任何问题、建议或投诉,请您登录您的账户并通过客服渠道进行反馈。鉴于最终用户的信息是我们通过开发者的应用程序或网站收集的,我们建议最终用户优先联系开发者以便得到更高效的反馈。最终用户可以登录阿里云官网,通过工单服务提交工单,点击官网首页下方“联系我们”—“智能在线”与我们联系,并注明是金融级实人认证相关问题。我们将在收到咨询后的15个工作日内予以回复。 

如果您对我们的回复不满意,特别是您认为我们的个人信息处理行为损害了您的合法权益,您还可以通过向被告住所地有管辖权的法院提起诉讼来寻求解决方案。