同盾科技隐私政策

本版更新时间:2022年11月25日

导言

为了说明同盾科技有限公司(以下称“同盾科技”或“我们”)向您提供的服务,也为了让您了解我们将如何收集、使用、存储和分享您的个人信息以及您所享有的权利,我们将通过本《隐私政策》(以下称“本政策”)向您说明相关事宜。

我们深知个人信息保护的重要性,并将尽最大努力保护您的个人信息安全,且将恪守以下原则:权责一致原则、目的明确原则、选择同意原则、最少够用原则、确保安全原则、主体参与原则、公开透明原则等。我们将按本政策收集、存储、分析、传输、使用、处理及保护您的个人信息。

在使用我们的服务时,请仔细阅读并了解本政策。

如您想详细了解本政策的相关信息,可根据以下指引阅读相应的章节:

一、我们如何收集和使用信息

二、关于您的最终用户的授权同意

三、我们如何使用Cookie

四、我们如何共享、转让、公开披露信息

五、信息安全保护及存储期限

六、您或您的最终用户的权利

七、未成年人使用条款

八、隐私政策的生效和变更

九、权威第三方安全合规标准检测和认证

十、其他

十一、定义

一、我们如何收集和使用信息

您或您的最终用户在使用我们提供的服务的过程中,我们将按照以下目的,收集和使用您或您的最终用户在使用服务时主动提供或因使用服务产生的信息:

1. 帮助您完成注册与登录

当您作为开发者希望使用我们的业务功能时,为便于我们向您提供专门的服务,您需要提供姓名、公司名称、手机号码、电子邮箱、所在省市基本信息,并创建您的账号、用户名和密码。如您拒绝提供,则无法使用我们提供的相关产品或/和服务,但不影响您访问浏览我们的网站。

同盾设备指纹SDK服务不涉及此服务,不会采集本条下所描述的个人信息。

2. 维护基础功能的正常运行

为保障您在使用我们的服务过程中的账户与系统运行安全,识别账号异常,防范钓鱼网站欺诈,以及维护基础功能的正常运行,您理解并同意我们自动收集、保存您使用服务以及使用方式的相关信息,该等信息包括:

(1)日志信息:我们可能会自动收集您使用我们服务的详细情况,并作为网络日志进行保存,包括您曾访问的页面、浏览器类型。

同盾设备指纹SDK服务不会采集本条所描述的个人信息。

(2)设备信息:我们可能会根据您使用我们网站服务或使用产品中的具体权限授权,采集并保存您所使用设备的相关信息,包括IP地址、操作系统信息。

3. 提供内容安全检测服务

在使用我们的内容安全检测服务时,我们会为了识别文本内容的安全合规性而进行文本内容安全检测,我们将在合理、必要的范围内,收集您的最终用户的部分文本内容,包括其所发布的评论、弹幕、聊天记录、账号昵称以及个性签名等,其中可能包含该最终用户的相关个人信息。

同盾设备指纹SDK服务不涉及此服务,不会采集本条下所描述的个人信息。

4. 提供风险识别、拦截欺诈的风控服务

在提供风险识别、拦截欺诈的风控服务中,我司使用了同盾设备指纹SDK(以下称“同盾SDK”)。经过依法授权后,我们在SDK初始化时采集相关个人信息。

为了识别设备欺诈风险,该SDK需要获取您的MAC地址、SIM卡序列号、设备类型、设备型号、系统类型;

为了实现多维度交叉验证,该SDK需要获取您的手机终端唯一标志信息(IMEI/IDFA)、IMSI、AndroidID、MEID、设备序列号;

为了识别模拟操作欺诈风险,该SDK需要获取您的登录IP地址、地理位置(包含精确位置)、应用程序列表、运行中进程信息、传感器(光传感器、重力传感器、磁场传感器、加速度传感器、陀螺仪传感器)相关设备信息。

为了实现上述功能,同盾SDK需要在最终用户打开集成SDK的App并授权采集用户个人信息后向最终用户申请所需权限,同盾SDK服务所需权限及对应信息如下表:

Android

iOS

5. 关于其他用途的提示

我们可能将您的最终用户的个人信息用于我们合法开展并向您提供的其他同盾业务服务中(如相关信贷服务)。请您确保按照本政策第二条关于您的最终用户的授权同意的约定,就我们在向您提供同盾SDK服务中收集、使用及处理其个人信息的行为获取您的最终用户的合法有效授权。同时,前述信贷服务下的授权同意范围应覆盖我们将提供SDK服务过程中合法收集的部分个人信息经必要的加工处理后提供给依法成立的个人征信机构。

如我们将您或您的最终用户的个人信息用于本政策未载明的其他用途或变更处理方式,我们会通过页面提示、交互流程、网站公告或其他方式依法另行征得您或您的最终用户的同意。一旦获得您或您的最终用户的同意,该等额外用途将视为本政策的一部分,该等额外信息也将适用本政策。

6. 关于个人敏感信息的提示

以上由您提供或我们被授权收集的信息中,可能包含您或您的最终用户的个人敏感信息。您同意或保证您的最终用户同意,我们可以按照本政策所声明的目的和方式处理相关个人敏感信息。同时,我们也将按照法律法规以及监管的要求,对该等个人敏感信息进行特别的保护。

7. 个人信息采集的频率与控制

我们仅在为了向您或您的最终用户提供服务或其他法律法规规定之必要时才会收集或请求提供最小化的个人信息。我们将在您登陆、注册、交易、支付等重点业务场景才会采集您或您最终用户的个人信息,以识别身份或提供本政策中描述的其他服务。

对于同盾SDK产品而言,采集个人信息的频率由您或您最终用户使用、并集成了同盾SDK服务的软件(App)决定。为了避免App频繁采集,我们还采用了其他技术手段控制采集频率,以确保我们的个人信息收集、处理等活动满足最小必要原则。

二、关于您的最终用户的授权同意

请注意,您作为开发者将同盾SDK集成到您的应用程序中,同盾为提供与您约定的相应服务的范围内收集、使用和处理。为此,您表示同意并保证:

(1)已经按照适用的法律法规及监管的要求,通过制定并公布相关个人信息保护的隐私政策等;

(2)在告知您的最终用户为提供同盾SDK服务及与应用程序相应的目的,且将由同盾SDK收集、使用和处理其个人信息后,获取最终用户合法、充分、有效且明确的授权同意。

三、我们如何使用Cookie

为确保服务的正常运转,我们会在您的计算机或移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。借助于 Cookie,我们会存储标识数据并在后续的服务中读取该标识。我们不会将 Cookie 用于本政策所述目的之外的任何用途。您可根据自己的偏好管理或删除Cookie。

四、我们如何共享、转让、公开披露信息

(一)共享

1. 我们会按照本政策中所述的目的的范围内,与我们的关联公司共享必要的个人信息。

2. 如本政策第一条第5项“关于其他用途的提示”中所述,我们可能会将您的个人信息(包括我们通过同盾SDK服务收集的信息、风控查询记录)基于风控用途进行分析,并将分析的结果提供给百行征信有限公司及我们的服务使用方,包括银行(如泸州银行股份有限公司、珠海华润银行股份有限公司)、信托公司(如华润深国投信托有限公司)、融资担保公司(如山东省农业发展信贷担保有限责任公司)、科技公司(如深圳市欢太数字科技有限公司、卫盈联信息技术(深圳)有限公司)以及小额贷款公司(如深圳亚联财小额贷款有限公司)。

上述接收方联系方式如下:

请您注意,我们只在取得您或您的最终用户的同意或授权后,才会与我们的合作伙伴及第三方共享相关个人信息,且我们并不会提供您的原始数据而仅会提供分析结果。

3. 我们会对我们的合作伙伴及第三方的数据安全能力进行调查,并要求合作伙伴及第三方采取必要的保密和安全措施来存储、使用和处理相关信息,确保相关信息不被泄露。

(二)转让

1. 除非获得您或您的最终用户的明确授权或同意,我们不会将您或您的最终用户的个人信息转让给任何第三方。

2. 随着我们业务的持续发展,我们将有可能进行合并、分立、清算、收购、资产转让或类似的交易,您或您的最终用户的信息有可能作为此类交易的一部分而被转移。在发生前述变更时,我们将确保该等信息在转移时的机密性,并向您告知接收方的名称或姓名和联系方式。同时,我们将要求新的信息处理者按照法律法规及不低于本政策所要求的安全标准继续保护您或您的最终用户的信息;否则,我们将要求该公司、组织重新向您征求授权同意。

(三)公开披露

除非获得您或您的最终用户的明确同意,或者基于法律法规、诉讼或政府监管部门的强制性要求,我们不会公开披露您或您的最终用户的个人信息。

(四)共享、转让、公开披露个人信息时事先征得授权同意的例外

在以下情形中,我们共享、转让或公开披露您或您的最终用户的个人信息的,将无需事先征得您或您的最终用户的授权同意:

(1)您或您的最终用户自行向第三方共享或向社会大众公开的;

(2)与国家安全、国防安全、公共安全、公共卫生、公共利益直接相关的;

(3)根据相关法律法规强制性要求所必须的情况下进行披露或提供,或与犯罪侦查、起诉、审判和判决执行等直接相关的。在符合法律法规的前提下,当我们收到前述披露信息的请求时,我们会要求对方必须出具与之相应的法律文件,如传票或调查函。我们将对所有的请求都进行审慎的审查,以确保其具备合法依据,且限于行政、司法部门因特定调查目的有合法权力获取的数据;

(4)在法律法规允许的范围内,为维护我们其他客户、公司及其关联方的生命、财产等合法权益或维权产品或服务的安全所必需的,例如查找、预防、处理欺诈等违法活动和减少信用风险等;

(5)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;

(6)根据您或您的最终用户的要求签订或履行合同所必需的;

(7)学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;

(8)法律法规规定的其他情形。

五、信息安全保护及存储期限

(一)信息安全保护

1. 我们非常重视个人信息的安全,将努力采取各种符合业界标准的合理安全措施(包括技术方面和管理方面)来保护您的个人信息,防止您或您的最终用户提供的个人信息被不当使用或被未经授权访问、公开披露、使用、修改、损坏、丢失或泄漏。

2. 我们会使用加密技术、匿名化处理等合理可行的手段保护相关个人信息,并使用受信赖的保护机制防止个人信息遭到恶意攻击。

3. 我们会建立专门的信息安全工作小组、安全管理制度、数据安全流程保障个人信息安全。我们采取严格的数据使用和访问制度,确保只有授权人员才可访问您或您的最终用户的个人信息,并适时对数据和技术进行安全审计。

4. 尽管已经采取了上述合理有效措施,并已经遵守了相关法律规定要求的标准,但请您理解,由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息绝对安全,我们将尽力确保您或您的最终用户提供给我们的个人信息的安全性。您知悉并理解,您接入我们的服务所用的系统和通讯网络,有可能因我们可控范围外的因素而出现问题。因此,我们强烈建议您采取积极措施保护个人信息的安全。

5. 我们会制定应急处理预案,并在发生用户信息安全事件时立即启动应急预案,努力阻止任何安全事件的影响和后果扩大。一旦发生用户信息安全事件(泄露、丢失等)后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已经采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们将及时将事件相关情况以推送通知、邮件、信函、短信等形式告知您,难以逐一告知时,我们会采取合理、有效的方式发布公告。同时,我们还将按照相关监管部门要求,上报用户信息安全事件的处置情况。

6. 我们谨此特别提醒您或您的最终用户,本政策提供的个人信息保护措施仅适用于我们及关联方/合作方提供的相关服务。我们没有能力及义务保护您或您的最终用户在相关服务之外的应用、网站提交的任何个人信息,无论您或您的最终用户登录或浏览上述软件、网站是否基于我们的链接或引导,我们对此不承担任何法律责任。

(二)信息的存储地点

我们会按照法律法规规定,将境内收集的相关个人信息存储于中华人民共和国境内。现阶段我们不会将收集的个人信息向境外传输。

随着业务发展,我们将来可能会在法律法规允许的情况下将部分收集的个人信息向境外进行传输,以便向您和您的最终用户提供更优质的全球服务。在向境外传输我们收集的个人信息前,我们将会重新单独获得您以及您最终用户的同意。您或您的最终用户可以拒绝我们向海外传输您或您最终用户的个人信息,但这可能导致我们无法向您提供部分服务。

(三)信息的存储期限

我们将在提供服务所需的期限内保存您或您最终用户的个人信息,但法律法规对保存期限另有规定、您同意留存更长的期限、保证服务的安全与质量、实现争议解决目的、技术上难以实现等情况下,在前述存储期限到期后,我们将依法、依约或在合理范围内延长保存期限。在超出保存期限后,我们将根据法律规定删除您或您最终用户的个人信息或进行匿名化处理。如果我们或我们的关联公司涉及分立、解散、破产清算、注销、吊销等情况时,我们将对您或您最终用户的个人信息进行删除或者匿名化处理。

六、您或您的最终用户的权利

1. 我们非常重视您对个人信息的管理,并尽全力保护您或您的最终用户对相关个人信息的查询、修改(更新或更正)、删除、撤回授权以及注销账号的权利。

2. 您或您的最终用户随时可以注销账号,也可以随时注销您在使用、并集成了同盾SDK服务的软件(App)上注册的账号。当您或您的最终用户注销账户后,您可以通过APP运营者提供的途径删除相关的个人信息。

3. 一般而言,如您或您的最终用户需查询、修改(更新或更正)、删除或终止授权部分或全部信息,您或您最终用户应首先联系使用、并集成了同盾SDK服务的软件(App)控制者,并向其提出行使数据主体权利的请求。当App控制者核实了您的身份、并同意了您的请求时,该App控制者会向我们发送查询、修改、删除或撤回授权的请求。我们会在接到该类请求后一周内完成相应的操作,并给予反馈。

4. 如通过上述途径无法实现您的要求,您或您的最终用户还可通过我们提供的服务邮箱service@tongdun.cn与我们取得联系,并向我们提出书面申请,以行使数据主体权利。请理解,为保障安全,我们需要您或您的最终用户提供相应的身份证明,并将会在核验申请者的身份后的合理期限内处理相应需求,我们将确保在一周内处理您行使以上数据主体权利的请求,并向您反馈。如需申请删除个人信息或终止授权我们向您或您的最终用户提供相关服务,我们将及时在我们系统删除相关个人信息,并不再向您或您的最终用户提供相关服务,但终止授权的决定,不影响此前基于您或您的最终用户的授权已开展的个人信息处理。

5. 当您或您的最终用户注销账号、删除信息、撤回授权或提供了不准确或不真实的信息时,您或您的最终用户将无法使用部分或全部我们的服务,因此请您谨慎操作。

6. 按照法律法规的要求,当相关信息存在以下任何一种情形时,我们可能无法响应您或您的最终用户的请求:

(1)与国家安全、国防安全有关的;

(2)与公共安全、公共卫生、重大公共利益等有关的;

(3)与犯罪侦查、起诉、审判和执行判决等有关的;

(4)有充分证据表明您或您的最终用户存在主观恶意或滥用权利的;

(5)响应相关请求将导致您或其他个人、组织的合法权益受到严重损害的;

(6)涉及商业秘密的;

(7)其他法律法规规定的情形。

七、未成年人使用条款

1. 我们非常重视对未成年人个人信息的保护。若您或您的最终用户是未满18周岁的未成年人,在使用我们提供的服务前,应在您或您的最终用户的法定监护人的监护、指导下共同阅读并同意本政策。

2. 我们根据国家相关法律法规的规定保护未成年人的个人信息,只会在法律允许、父母或其他监护人明确同意或保护儿童所必要的情况下收集、使用或公开披露未成年人的个人信息。您及您的监护人应对您或您的最终用户所提供信息的真实性负责,如我们无法从所获取的信息判断出您或您的最终用户为未成年人,那么我们将不承担保护未成年人隐私权的责任。如您是未成年人的监护人,当您对您所监护的未成年人的个人信息有相关疑问时,请通过第九条中的联系方式与我们联系。

八、隐私政策的生效和变更

1. 本政策自您在向我们主动提供注册登录信息,或您的最终用户在使用我们提供的内容安全检测或风控服务时起生效。

2. 为了给您或您的最终用户提供更好的服务,相关服务将不时更新与变化,我们适时对本政策进行修订,该等修订构成本政策的一部分并具有等同于本政策的效力。但原则上我们不会削减您或您的最终用户依据当前生效的本政策所应享受的权利。

3. 本政策更新后,我们会通过在我们官方渠道或其他适当的方式,展示本政策的具体变更内容,以便您或您的最终用户及时了解本政策的最新版本,您或您的最终用户理解并同意我们不需再向您或您的最终用户作个别的通知。在前述情况下,若您或您的最终用户继续使用我们的服务,即表示同意接受修订后的本政策并受之约束。

九、权威第三方安全合规标准检测和认证

同盾始终致力于为国内外合作伙伴和用户提供合规、安全、专业、高效的产品和服务,目前已通过的检测认证,包括但不限于:

ISO 9001(质量保证体系)

ISO 27701(信息安全和隐私管理体系标准)

CMMI 5(能力成熟度集成模型5级)

PCI DSS(支付卡行业数据安全标准)

国家信息安全等级保护三级

信息产业信息安全测评中心

国家信息技术安全研究中心

中国信息通信研究院泰尔实验室

中国电子技术标准化研究院赛西实验室(工信部)

国家安全防范报警系统产品质量监督检验中心(北京)(公安一所)

国家安全防范报警系统产品质量监督检验中心(上海)(公安三所)

十、其他

1. 本政策的标题仅为方便及阅读而设,并不影响本政策中任何规定的含义或解释。

2. 同盾各方之间,独立且非连带地向您或您的最终用户承担本协议所约定的义务及责任。

3. 如对本政策或其中有关您或您的最终用户个人信息的收集、保存、使用、共享、披露、保护等功能存在意见或建议时,您可以通过我们反馈渠道反馈意见或投诉,并作充分描述,我们会在验证身份的15天内答复您的请求并尽力解决。如对我们的答复不满意,尤其是认为我们处理个人信息的行为损害了您的合法权益,您可与我们协商解决。协商不成的,您还可向同盾科技住所地杭州市余杭区有管辖权的人民法院提起诉讼。

4. 我们设立了个人信息保护的专门反馈渠道,您或您的最终用户可以通过以下方式联系我们:服务邮箱service@tongdun.cn。

5. 本政策的版权为同盾所有,在法律允许的范围内,我们保留最终解释和修改的权利。

十一、定 义

1. 同盾/我们:是指同盾科技有限公司,是一家注册于浙江省杭州市余杭区的中国公司,公司地址为浙江省杭州市余杭区五常街道文一西路998号。

2. 相关服务:是指我们通过SDK等随机调取用户的文本内容进行安全优化,以用于支持内容安全检测的服务,或收集您的最终用户的部分设备信息,以用于识别风险、拦截欺诈的风控服务。

3. 关联方:是指因合作、投资或控制(或共同控制)关系而与我们产生任何联系的公司、组织或个人。

4. 第三方:是指本政策约定的关联方范围以外的其他公司、组织或个人。

5. 您:是指我们的产品和/或服务的注册用户以及相关服务的购买方。

6. 您的最终用户:是指由您提供的嵌入我们的产品或服务的应用程序的最终用户。

7. 个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括个人基本信息、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息等。个人信息包括但不限于个人敏感信息。

8. 个人敏感信息:是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等。


本《隐私政策》修改于2022年6月6日,发布于2022年11月24日,将于2022年11月25日起正式生效。您可点击查阅旧版本旧版本《同盾科技隐私政策》。