除上述信息外,我们还可能为了提供服务及改进服务质量的合理需要而收集您的其他信息,包括您与我们的客户服务团队联系时提供的相关信息,您参与问卷调查时向我们发送的问卷答复信息,以及您与EMAS的关联方、EMAS合作伙伴之间互动时我们收集的相关信息。
请注意,单独的设备信息、服务日志信息是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息,除取得您授权或法律法规另有规定外,我们会将这类信息做匿名化、去标识化处理。
2、SDK使用权限情况
为保障产品功能实现与安全稳定运行目的,我们可能会申请或使用操作系统的相关权限,点击《EMAS应用权限申请与使用情况说明》查看我们需要获取的权限信息详情。关于我们接入的授权合作伙伴 SDK 详情及其采集的具体信息请见《第三方SDK收集使用信息说明》。
3、您何如合规的使用EMAS
如果您接受本隐私政策并把我们的SDK集成到您的产品中,您应当根据适用的法律、法规和监管要求和本隐私政策的规定,保证我们可以合法地收集和使用您的最终用户的相关个人信息,以提供EMAS的相关服务。请您务必做到如下几点:
(1) 请务必确保您已经将EMAS升级到满足监管新规的最新版本。
(2) 请务必在您的《隐私政策》中向用户明确告知SDK名称,详述SDK服务类型,并明示SDK隐私政策链接。
(3) 请务必做延迟初始化配置,确保用户授权《隐私权政策》后再初始化EMAS。
请您务必按照如上提示合规使用我们的服务,因您未合规使用SDK服务所导致的风险由您自行承担,并承担因此对EMAS带来的损失。
如果您在欧盟成员国提供服务,您理解您处理个人数据必须有适当的法律基础。这些法律基础可能包括:为履行与最终用户之间的合同(例如,为最终用户提供其所请求的服务、对其进行识别和认证,以便其可以使用网站);为遵守法律要求(例如,为遵守适用的会计规则,履行执法部门强制披露的要求);为您的正当利益(例如,管理您与最终用户的关系,为确保服务的安全性,与最终用户沟通我们的产品和服务);以及基于最终用户的同意(例如,投放cookies,为广告宣传之目的与第三方共享最终用户的信息)。您在此进一步保证,您应在您的隐私权政策中要求您的最终用户同意我们的隐私政策。如您的最终用户因本隐私政策项下对其信息的收集、使用、披露而致使我们遭受任何形式的诉请、诉求以及投诉等,您将负责全面给予解决;如导致我们发生相应形式的损失,您将负责给予我们全额赔偿。
如果您在欧盟成员国提供服务,根据适用法律,最终用户有权反对或要求限制对其个人数据的处理,并要求其本人数据的访问、校正、删除和可携带权。在对您对最终用户信息的使用是基于其同意的情况下,最终用户还有权在任何时候撤回该同意。如果您需要我们的协助以满足您最终用户的权利要求,您可以通过工单系统告知我们(具体路径为登陆您的账号,点击客服工单,选择法务问题咨询以及隐私政策咨询类型进行工单反馈),我们会向您提供协助。您理解您的最终用户如果认为您对其个人数据的处理违反了适用法律,可以向监管机构投诉。
4、征得授权同意的例外
请您理解,在下列情形中,根据法律法规及相关国家标准,我们收集和使用您和/或您终端用户的个人信息无需征得您和/或您的终端用户的授权同意:
A.与公共安全、公共卫生、重大公共利益直接相关的;
B.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
C.所收集的您和/或您的终端用户的个人信息是您自行向社会公众公开的;
D.从合法公开披露的信息中收集的您和/或您的终端用户的个人信息的,如合法的新闻报道、政府信息公开等渠道;
E.根据您的要求签订或履行合同所必需的;
F.用于维护软件及相关服务的安全稳定运行所必需的,例如发现、处置软件及相关服务的故障;
G.法律法规规定的其他情形。
二、我们如何共享、转让、公开披露您以及您最终用户的个人信息
1、共享
我们对您的信息承担保密义务,不会为满足第三方的营销或非法目的而向其出售或出租您以及最终用户的信息。除下列情况外,我们不会与任何第三方共享您最终用户的个人信息:
(1)事先获得个人信息权利主体的同意或授权。
(2)根据法律法规的规定或行政或司法机构的要求。
(3)如您最终用户是适格的知识产权投诉人并已提起投诉,应被投诉人要求,向被投诉人披露,以便双方处理可能的权利纠纷。
(4)只有共享您最终用户的信息,才能提供服务,或处理您最终用户与他人的纠纷或争议。我们会与共享的合作伙伴签署严格的保密协定,要求他们按照我们的隐私政策以及采取严格的数据安全措施来处理和使用数据。
(5)与关联公司间共享:我们可能会与我们的关联公司和/或其指定的服务提供商共享必要的个人信息,且受本隐私政策中所声明目的的约束,如果我们共享您最终用户的个人敏感信息或关联公司改变个人信息的使用及处理目的,将再次征求您最终用户的授权同意。
2、转让
我们不会向任何第三方转让您最终用户的个人信息,除非以下情形:
(1)获得您最终用户的同意。
(2)在涉及合并、收购或破产清算时,如涉及到个人信息转让,我们会在要求新的持有您最终用户个人信息的公司、组织继续受此隐私政策的约束,否则我们将要求该公司、组织重新向您最终用户征求授权同意。
3、公开披露
我们仅会在以下情况下,公开披露您最终用户的个人信息:
(1)获得您或您最终用户明确同意;
(2)基于法律的披露:在法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会公开披露您或您最终用户的个人信息。
(3)在紧急情况下,经合理判断是为了保护我们、我们的客户、最终用户或其他人的重要合法权益。
三、我们如何保护您以及您最终用户的个人信息
为了保障您以及您最终用户的信息安全,我们将按照行业通行标准、努力采取合理的物理、电子和管理方面的安全措施来保护您的信息,并尽最大合理努力使您以及您最终用户的信息不会被泄漏、毁损或者丢失。在您的浏览器与服务器之间交换数据时受 SSL协议加密保护;我们对网站提供HTTPS协议安全浏览方式;我们会使用加密技术提高个人信息的安全性;我们会使用受信赖的保护机制防止个人信息遭到恶意攻击;我们会部署访问控制机制,尽力确保只有授权人员才可访问个人信息;以及我们会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。
我们有行业先进的以数据为核心、围绕数据生命周期进行的数据安全管理体系,从组织建设、制度设计、人员管理、产品技术等方面多维度提升整个系统的安全性。
我们收集的信息保存于不向公众开放的安全运行环境之中。为避免未经授权访问您的信息,我们将其保存在有防火墙保护并可能加密的服务器之中。但是,没有任何系统是绝对安全的,请您理解在信息网络上不存在“完善的安全措施”。即使我们做出了很大努力,仍有可能无法杜绝对您以及您最终用户的个人信息的非法访问。此外,由于无法判断他人的陈述是否属实,我们可能会被不可靠的、有误导性的或非法的信息所蒙蔽。
如不幸发生个人信息安全事件,我们将按照法律法规的要求向您或您的最终用户告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您以及您的最终用户可自主防范和降低风险的建议、对您以及您的最终用户的补救措施等。事件相关情况我们将以邮件、信函、电话、推送通知等方式告知您以及您的最终用户,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,上报个人信息安全事件的处置情况。
我们会采取合理可行的措施,尽力避免收集无关的个人信息。我们只会在达成本政策所述目的所需的期限内保留您及您最终用户的个人信息,除非法律有强制的存留要求。而我们判断前述期限的标准包括:
(1)完成与您相关的服务目的、维护相应服务及业务记录、应对您可能的业务需求;
(2)保证我们为您提供服务的安全和质量;
(3)您是否同意更长的留存期间;
(4)是否存在保留期限的其他特别约定。
在您的个人信息超出保留期间后,我们会根据适用法律的要求删除您的个人信息,或使其匿名化处理。
四、您以及您最终用户如何行使个人信息的权利
我们非常重视您和/或您的终端用户对个人信息的管理,并尽全力保护您对个人信息的查询、访问、修改、删除等相关权利,您可以通过以下方式访问及管理您的信息。
1、 针对EMAS的直接用户
如果您是使用EMAS的最终用户,而不是EMAS的直接客户,我们建议您:
根据应用程序提供商的隐私政策,请将与您个人信息相关的请求直接发送给相关应用程序提供商处理和寻求帮助,EMAS在收到来您自应用程序提供商的相关请求并验证请求的真实合法性后,会积极配合,响应请求。
2、响应您的上述请求为保障安全。
我们可能会要求先验证您的身份,再处理您的请求。您可能需要提供书面请求,或以其他方式证明您的身份。对于您提出的本节项下的所有请求,我们将于收到您的请求并在验证您用户身份后的15日内进行反馈。
对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将酌情收取一定费用。对于与您的身份不直接关联的信息、无合理理由重复申请的信息,或者需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者不切实际的请求,我们可能会予以拒绝。
在以下情形中,按照法律法规要求,我们将无法响应您的请求:
(1)与我们履行法律法规规定的义务相关的;
(2)与国家安全、国防安全直接相关的;
(3)与公共安全、公共卫生、重大公共利益直接相关的;
(4)与刑事犯罪侦查、起诉、审判和执行判决等直接相关的;
(5)有充分证据表明个人信息主体存在主观恶意或滥用权利的;
(6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
(7)响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;
(8)涉及商业秘密的。
五、我们如何处理未成年人的信息
我们非常重视未成年人的个人信息保护,我们不接受任何未成年人注册成为我们的用户。
如您的应用是针对14周岁以下未成年人而开发的,请您采取必要的措施确保您最终用户的注册与使用均已获得其监护人的同意,同时,您应在您的隐私权政策中履行相应的告知义务。提醒您注意的是,作为未成年人类的应用,您还需要遵守应用市场有关未成年人类应用的审核标准与指南,以免对您的应用上架或正常运营产生影响。
受制于现有技术和业务模式,我们很难主动识别未成年人的信息,如果未成年人的监护人发现存在未经授权而收集未成年人个人信息,监护人可通知本政策中的联系方式与我们来联系删除,如我们自己发现前述情形,我们也会主动予以删除。
六、您以及您最终用户的个人信息存储与全球范围转移
若您使用我们提供的服务,我们将在中国境内储存您的数据。为了避免您由于不了解您的最终用户所在国或所在地区关于数据保护相关法规政策而触犯当地的监管规定,我们强烈建议您仅在中华人民共和国大陆地区内使用EMAS服务。如您将EMAS服务应用于中华人民共和国大陆地区以外,应当遵循有关跨境传输转移的法律要求,并承担可能产生的全部风险,如导致EMAS发生任何形式的损失,您负责给予我们全额赔偿。
如您的最终用户未接受本隐私政策而由此引发的一切风险及后果均由您自行承担;EMAS因此遭受任何形式的诉请、诉求、投诉、处罚等的,您将负责全面给予解决;如导致EMAS发生任何形式的损失,您负责给予我们全额赔偿。
若您在欧盟地区提供服务,我们的业务可能需要我们转移您最终用户的个人数据至欧盟以外的国家。这些国家可能提供与欧盟国家不同水平的数据保护。我们作为您最终用户个人数据的接收者,会采取适当的措施以确保履行保密义务,并确保如标准合同条款等措施的执行。
七、本隐私政策如何更新
我们可能适时会对本隐私政策进行调整或变更,本隐私政策的任何更新将以标注更新时间的方式公布在EMAS网站上。未经您明确同意我们不会限制您按照本政策所应享有的权利。对于重大变更,我们还会提供更为显著的通知(包括通过网站或客户端首页公示的方式进行通知甚至向您提供弹窗提示)。
本政策所指的重大变更包括但不限于:
1、我们的服务模式发生重大变化。如处理用户信息的目的、用户信息的使用方式等。
2、我们在控制权、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等。
3、个人信息共享、转让或公开披露的主要对象发生变化。
4、您参与个人信息处理方面的权利及其行使方式发生重大变化。
5、我们负责处理用户信息安全的责任部门、联络方式及投诉渠道发生变化时。
6、个人信息安全影响评估报告表明存在高风险时。
我们还会将本政策的旧版本在EMAS的专门页面进行存档,供您查阅。
八、如何联系我们
如果您对本隐私政策有任何问题、建议或投诉,请您登录您的账户并通过客服渠道进行反馈。请通过邮箱【aliyun-emas@alibaba-inc.com】与我们取得联系。 我们将在收到咨询后的15个工作日内予以回复。
需注意的是,我们可能不会回复与本政策或与个人信息保护无关的问题。
如果您对我们的回复不满意,特别是您认为我们的个人信息处理行为损害了您的合法权益,您还可以通过向被告住所地有管辖权的法院提起诉讼来寻求解决方案。