个人信息保护政策

首次公布时间：2022年2月

最近更新时间：2024年5月

本政策仅适用于上海市数字证书认证中心有限公司（以下简称“本公司”或“我们”）的移动认证服务平台所提供的服务。

本政策将帮助您了解以下内容：

1、我们收集、使用个人信息的目的和范围

2、我们如何使用 Cookie 和同类技术

3、我们如何共享、转让、对外提供、公开披露您的个人信息

4、我们如何保护您的个人信息

5、您的权利及如何管理信息

6、我们如何处理未成年人的个人信息

7、您的个人信息如何在全球范围转移

8、本政策如何更新

9、如何联系我们

本公司深知个人信息对您的重要性，并会尽全力保护您的个人信息安全可靠。我们致力于维持您对我们的信任，我们将合法、正当、必要和诚信地处理您的个人信息，恪守以下原则保护您的个人信息：目的明确原则、最少必要原则、权责一致原则、确保安全原则、主体参与原则、公开透明原则等。同时，本公司承诺：我们将按业界成熟的安全标准，采取相应的安全保护措施来保护您的个人信息。请在使用我们的服务前，仔细阅读并了解本《个人信息保护政策》。

您理解并同意：为给您带来更好的产品和服务体验，我们在持续努力改进我们的技术，随之我们可能会不时推出新的或优化后的功能，可能需要收集、使用新的个人信息或变更个人信息使用目的或方式。对此，我们将通过更新本政策、弹窗、页面提示等方式另行向您说明对应信息的收集目的、范围及使用方式，并为您提供自主选择同意的方式，且在征得您明示同意后收集、使用。在此过程中，如果您有任何疑问、意见或建议的，您可通过我们提供的各种联系方式与我们联系。

一、我们如何收集和使用您的个人信息

个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。对于信息的收集，上海CA可能需要您自主提供相关信息或者通过授权设备权限读取相关信息，如通过授权设备权限收集信息，您可能需要授权使用设备的摄像头、相册、NFC、位置等权限，同时我们会利用各种技术收集和存储信息，包括 Cookie、本地存储（例如使用浏览器进行网络存储或应用数据缓存）、数据库和服务器日志。本公司仅会出于本政策所述的以下目的，收集和使用您的个人信息：

(一) 为您提供移动认证服务平台的用户身份核验服务、数字证书服务、电子印章服务等服务

为提供上述服务，上海CA可能会收集个人姓名、个人身份证明（身份证/护照等）、手机号、电子邮箱、生物识别信息（人脸信息、声音、指纹、虹膜等）、手持身份证明照片、个人银行卡号与银行预留手机号、单位营业执照、统一信用代码、单位银行账号、单位法定代表人身份信息及手机号码、职务、部门等。认证等级因办理业务差异而有所不同，上海CA可采取不同的认证方式且不定时进行调整。您知悉，身份认证是提供服务的前提，如您不同意上海CA如果拒绝实名认证，您将可能无法获得相关服务，但不影响其他功能的正常使用。上述信息包含敏感个人信息，如“人脸信息”，您可以拒绝提供，如果拒绝提供你将可能无法获得相关服务，但不影响其他功能的正常使用，上海CA也会在敏感信息收集场景取得您的单独授权。

为保障您正常使用我们的服务，本公司可能收集您的浏览器类型和语言、互联网服务提供商 (ISP)、引荐/退出网站和应用软件、操作系统以及与本公司服务相关的日志信息。我们仅在提供服务必需时收集这些基础信息，如您不同意我们记录前述信息，您可能无法正常使用我们的产品及/或服务。请注意，单独的设备信息、日志信息是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份，或者将其与个人信息结合使用，则在结合使用期间，这类非个人信息将被视为个人信息，除取得您授权或法律法规另有规定外，我们会将该类个人信息做匿名化、去标识化处理。

当您与我们联系时，我们可能会保存您的通信/通话记录和内容或您留下的联系方式信息，以便与您联系或帮助您解决问题，或记录相关问题的处理方案及结果。

(二) 提高为您服务的质量

为提高我们的服务质量，本公司可能会收集您的手机号码、电子邮箱信息或通讯地址便于我们服务发生变更前及时通知您。如您拒绝提供上述信息，可能无法获得我们的通知服务。

(三) 其他用途

我们将信息用于本政策未载明的其他用途，或者将基于特定目的收集而来的信息用于其他目的时，会事先征求您的同意。

(四) 征得授权同意的例外

根据相关法律法规规定，我们在以下情形中处理您的个人信息无需征得您的授权同意：

1、为订立、履行您作为一方当事人的合同所必需。

2、为履行法定职责或者法定义务所必需。

3、为应对突发公共卫生事件。

4、紧急情况下为保护个人的生命健康和财产安全所必需。

5、为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理。

6、在合理的范围内处理您自行公开或者其他已经合法公开的您的个人信息。

7、法律法规规定的其他情形。

本公司拟暂停或者终止服务的，将在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方，对其所持的个人信息作出妥善安排，已超出法定的信息保存期限的，进行删除或匿名化处理。

(五) 我们调用的设备权限

我们可能会调用您的一些设备权限，以下是调用权限对应的业务功能，我们调用权限的目的，以及调用权限前向您询问的情况。

设备权限	调用权限说明
通讯录	联系我司
相机	上传头像、验证身份、投诉与建议时上传相应证据
NFC	读取含芯片的证件信息
GPS定位	用于获取用户当前位置、辅助用户输入地址
相册	上传头像、验证身份、投诉与建议时上传相应证据
麦克风	通知、即时聊天
后台运行	持续获取定位
通知	发送通知
直接拨打电话	与我司联络
读取文字信息（彩信或短信）	用于发送和读取验证码
基于网络的大概位置	用于获取用户当前位置、辅助用户输入服务地址

请您注意，您开启任一权限即代表您授权我们可以收集和使用相关个人信息来为您提供对应服务，您可以在设备的设置功能中选择关闭部分或全部权限（使用Android系统的不同设备中，权限显示方式及关闭方式可能有所不同，具体请联系设备及系统开发方）。您一旦关闭任一权限即代表您取消了授权，我们将不再基于对应权限继续收集和使用相关个人信息，无法为您提供该权限所对应的服务，可能会影响您使用我们的部分功能。

（六）关于人脸信息的特别说明

您同意我们基于身份认证的目的采集您的人脸信息（包括人脸图片、人脸动态视频等），采集后我们将结合您授权处理或我们有权依法处理的其他个人信息（如姓名、身份证号等），并通过合法可靠的第三方数据源进行比对核验，从而核验您的身份。

除非法律法规另有规定，我们仅在为实现本身份认证服务所必要的最短时间内保存您的人脸信息。为了保障您的个人信息安全，我们会在现有技术水平下采取合理必要的措施来保护您的人脸信息，采取物理、技术和行政管理安全措施来降低丢失、误用、非授权访问、披露和更改的风险。如发生信息安全事件，我们有权根据法律规定及其应急管理制度处理您的人脸信息，我们将及时以站内通知、短信通知、电话、邮件、公告等方式告知您。为确保人脸识别服务的安全、可靠，我们在人脸识别验证过程中可能整合第三方的技术服务，该等第三方包括：腾讯云计算（北京）有限公司、阿里云计算有限公司等，因此在需要整合第三方技术服务时，您同意授权我们通过第三方采集和核验您的人脸信息。我们将督促第三方技术服务方按照法律法规规定处理您的人脸信息，第三方技术服务方仅有权出于为我们提供技术支持之目的处理您的人脸信息，无权将人脸信息用于其他用途。我们不会公开披露您的人脸信息，原则上不会共享、转让您的人脸信息。因业务需要，确需共享、转让的，我们将按照相关法律及规范开展安全评估、告知您并征得您的授权。

二、我们如何使用 Cookie 和同类技术

如果我们使用Cookie或同类技术手段的话，为您获得更轻松的访问体验，我们会在您的计算机或移动设备上存储Cookie、Flash Cookie，或浏览器（或关联应用程序）提供的其他通常包含标识符、站点名称以及一些号码和字符的本地存储（统称“Cookie”）。Cookie 通常包含标识符、站点名称以及一些号码和字符。我们不会在Cookie里面存储个人信息。

如果您的浏览器或浏览器附加服务允许，您可根据自己的偏好修改对Cookie的接受程度或拒绝我们的Cookie。您可以清除计算机上保存的所有 Cookie，大部分网络浏览器都设有阻止Cookie 的功能。但如果您这么做，则需要在每一次访问我们的系统页面时更改用户设置。如需详细了解如何更改浏览器设置，请访问您使用的浏览器的相关设置页面。

除Cookie外，我们还会在网站上使用网站信标、像素标签、ETag等其他同类技术。例如，我们向您发送的电子邮件可能含有链接至我们网站内容的地址链接，如果您点击该链接，我们则会跟踪此次点击，帮助我们了解您的产品或服务偏好，以便于我们主动改善客户服务体验。网站信标通常是一种嵌入到网站或电子邮件中的透明图像。借助于电子邮件中的像素标签，我们能够获知电子邮件是否被打开。如果您不希望自己的活动以这种方式被追踪，则可以随时从我们的寄信名单中退订。

ETag（实体标签）是在互联网浏览器与互联网服务器之间背后传送的HTTP协议标头，可代替Cookie。ETag可以帮助我们避免不必要的服务器负载，提高服务效率，节省资源、能源，同时，我们可能通过ETag来记录您的身份，以便我们可以更深入地了解和改善我们的产品或服务。大多数浏览器均为用户提供了清除浏览器缓存数据的功能，您可以在浏览器设置功能中进行相应的数据清除操作。但请注意，如果停用ETag，您可能无法享受相对更佳的产品或服务体验。

三、我们如何共享、转让、对外提供、公开披露您的个人信息

(一) 共享

未经您的授权同意，我们不会与其他任何公司、组织和个人分享您的个人信息。但以下情况除外:

1、获取您的明确同意和授权；

2、根据法律法规规定，或按政府主管部门的强制性要求；

3、为更好地提供产品及服务质量，与我们的关联公司共享。例如，对于使用同一账户体系的业务，我们会在关联公司内共享您的账户信息（账户、昵称及其他用户基础资料）。我们只会共享必要的个人信息，且受本协议中所述目的的约束。关联公司如要改变个人信息的处理目的，将再次征求您的授权同意；

4、与授权合作伙伴共享。仅为实现本协议中所述的目的，我们的某些服务将由授权合作伙伴提供。我们可能会与合作伙伴共享您的某些个人信息，以提供更好的客户服务和用户体验。我们仅会出于合法、正当、必要、特定、明确的目的共享您的个人信息，并且只会共享提供服务所必要的个人信息。我们的合作伙伴无权将共享的个人信息用于任何其他用途；

5、为维护用户合法权益，在协助处理与您有关的交易纠纷或争议时，我们可能向存在利害关系的第三方提供解决交易纠纷或争议所必需的信息；

6、为保障平台相关服务的实现与应用的稳定运行，我们可能会嵌入第三方提供的软件工具开发包（SDK）以实现相关目的。

为了向您提供更多服务、保证服务稳定性和质量或升级相关功能时，我们可能需要不时调整我们接入的第三方SDK。我们会及时更新平台接入第三方的SDK目录，向您说明涉及收集用户信息的第三方SDK的最新情况，以便您查看第三方的数据使用规则。

平台接入第三方的SDK目录

功能

目的

第三方名称

所涉个人信息

第三方隐私政策或官网地址

人脸识别

身份认证

腾讯人脸识别sdk

姓名、身份证

https://www.tencent.com/zh-cn

身份识别

身份认证

支付宝sdk

姓名、身份证

https://www.alipay.com/

对我们与之共享个人信息的公司、组织和个人，我们会与其签署严格的保密协议，要求他们按照我们的说明、本协议以及其他任何相关的保密和安全措施来处理个人信息。

请您注意，当您与他人、社交网络或第三方服务提供商共享您的位置、行程或其他个人信息，或结合第三方的服务使用、或使用第三方的服务链接时，您可能会披露或使第三方获取您的个人信息。我们建议您查看此类社交网络或第三方服务提供商的隐私声明，以了解他们如何处理您的信息，对于您使用第三方服务时向其提供或与他人分享个人信息而产生的后果由您自行承担，并由相应责任方在法律法规范围内承担。

(二) 转让

我们不会将您的个人信息转让给任何公司、组织和个人，但以下情况除外：

1、获得您的单独同意后，我们会向其他方转让您的个人信息；

2、在涉及合并、收购或破产清算时，如涉及到个人信息转让，我们会在要求新的持有您个人信息的公司、组织继续受本协议的约束，否则我们将要求该公司、组织重新向您征求授权同意。

(三) 对外提供

除以下情况外，我们不会将您的个人信息提供给本公司以外的公司、组织和个人：

1、获得您的单独同意后，我们会将您的个人信息提供给其他方。

2、我们可能会根据法律法规规定、诉讼、争议解决需要，或按行政、司法机关依法提出的强制性要求，对外提供您的个人信息。

3、仅为实现本政策中声明的目的，我们的某些服务将由我们和授权合作伙伴共同提供。我们会根据法律法规将您的某些个人信息提供给合作伙伴。比如：您的个人身份信息出于身份核验目的会传输至第三方合法可信的数据库进行比对。我们仅会出于合法、正当、必要、特定、明确的目的提供您的个人信息，并且只会提供服务所必要的个人信息。我们的合作伙伴无权将从本公司获取的个人信息用于为本公司或者为您提供产品或服务无关的其他用途。

4、法律法规规定的其他可对外提供的情形。

(四) 公开披露

我们仅会在以下情况下，公开披露您的个人信息:

1、获得您单独同意或基于您的主动选择，我们可能会公开披露您的个人信息。

2、为避免争议，您在此确认，构成数字证书内容的个人信息，属于您明确同意向证书依赖方公开披露的个人信息。

3、如果我们确定您出现违反法律法规或严重违反相关协议及规则的情况，或为了保护本公司用户或公众的人身财产安全免遭侵害，我们可能依据法律法规或征得您同意的情况下披露关于您的个人信息、相关违法违规行为以及本公司已经对您采取的措施。

4、我们因履行法定职责或法定义务，可能会公开披露您的个人信息。

(五) 根据相关法律法规及国家标准，在以下情形中，我们可以依法共享、转让、对外提供、公开披露您的个人信息而无需征得您的同意：

（1）为订立、履行您与我司签署的协议所必需；

（2）为履行法定职责或者法定义务所必需；

（3）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（5）依照本法规定在合理的范围内处理您自行公开或者其他已经合法公开的您的个人信息；

（6）维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障；

（7）法律、行政法规规定的其他情形。

四、我们如何保护您的个人信息

（一）我们使用符合业界标准的安全防护措施保护您提供的个人信息，防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施，保护您的个人信息。例如，我们对已收集到的个人信息采取严格的技术手段对存储数据进行加密处理；我们会使用受信赖的保护机制防止个人信息遭到恶意攻击；我们会部署访问控制机制，确保只有授权人员才可访问个人信息；以及我们会举办安全和个人信息保护培训课程，加强员工对于保护个人信息重要性的认识。

（二）我们会采取合理可行的措施，避免收集无关的个人信息。我们只会根据相关法律、行业标准及业务规则要求收集个人信息。一般而言，我们在达成本政策所述目的所需的期限内保留您的个人信息，除非需要延长保留期或受到法律的允许。在您的个人信息超出保留期间后，我们会根据适用法律的要求删除您的个人信息，或使其匿名化处理。

（三）我们强烈建议您不要使用非经本公司推荐的方式发送、提供个人信息。请您妥善保护自己的个人信息，仅在必要的情形下向他人提供。如您发现自己的个人信息尤其是您的证书制作数据失密或发生泄露，请您立即通知我们，以便我们根据您的情况采取相应措施。

（四）我们将尽力确保或担保您提供或发送给我们的任何信息的安全性。我们将尽力保障您发送给我们的任何信息的安全性。如果我们的物理、技术或管理防护设施遭到破坏，导致信息被非授权访问、公开披露、篡改或毁坏，导致您的合法权益受损，我们将承担相应的法律责任。

（五）在不幸发生个人信息安全事件后，我们将按照法律法规的要求及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。事件相关情况我们将以邮件、信函、电话或推送通知等方式告知您，难以逐一告知个人信息主体时，我们会采取合理、有效的方式发布公告。同时，我们还将按照监管部门要求，上报个人信息安全事件的处置情况。

五、您的权利及如何管理信息

我们保障您对自己的个人信息行使以下权利：

(一) 查询、复制您的个人信息

如您需要查询使用本服务所涉个人信息，请您按照我们的联系方式联系我们，提交申请书、身份证明文件，我们将在15个工作日内回复您的查询、复制请求。但是有法律、行政法规规定应当保密的，我们无法响应您的请求。

(二) 更新/更正/补正您的个人信息

如您的个人信息发生了变更或当您发现您的个人信息有错误或者不完整时，请您立即停止使用我们的服务并告知我们，我们将在收到您书面更新/更正/补正材料后及时为您办理相应的变更。

(三) 删除您的个人信息

在以下情形中，您可以向我们提出要求删除您的或者您本人的个人信息，或您作为监护人监护的未成年人的个人信息：

1、如果我们处理个人信息的行为违反法律、行政法规或者违反约定。

2、如果我们收集、使用您的个人信息没有法定理由，却未征得您的同意。

3、如果我们处理您的个人信息没有法定理由，而您已经撤回同意。

4、如果您不再使用我们的服务或我们不再为您提供服务，且个人信息保存的期限已超过法律规定及我们已声明的规则。

5、信息处理目的已实现、无法实现或者为实现处理目的不再必要，且个人信息保存的期限已超过法律规定及我们已声明的规则。

6、法律、行政法规规定的其他情形。

若我们决定响应您的删除请求，我们还将同时通知从我们获得您的个人信息的实体，要求其及时删除，除非法律法规另有规定，或这些实体获得您的独立授权。

当您或我们协助您从我们的服务中删除信息后，若因为法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，我们将停止除存储和采取必要的安全保护措施之外的处理。

(四) 改变您授权同意的范围

我们的服务需要一些基本的个人信息才能得以完成（见本个人信息保护政策“第一部分”）。除此之外，您可以通过我司客服渠道或与我们联系等方式给予或收回您的授权同意。若不存在处理个人信息的法定理由和依据，当您收回同意后，我们将不再处理相应的个人信息。但您收回同意的决定，不会影响此前基于您的授权而开展的个人信息处理。

(五) 注销您的账户

如您在需要终止使用我们服务时，您可以通过人工方式或我司平台公布的方式申请注销您的在线账户。

在您主动注销账户之后，我们将停止为您提供服务，根据相关法律适用条款在保存信息届满时删除您的个人信息，或使其匿名化处理。

(六) 规则透明

您有权要求我们对本个人信息处理规则进行解释说明。

(七) 自动化决策

在某些业务场景中，我们可能仅依据信息系统、算法等在内的非人工自动决策机制做出决定。我们保证决策的透明度和结果公平、公正，不会实行不合理的差别待遇。

如果这些自动化决策对您的个人权益有重大影响，您有权要求我们做出解释。若您不希望我们仅仅通过自动化决策的方式作出决定，请您及时联系告知，我们也将提供适当的救济方式。

(八) 响应您的上述请求

为保障安全，您可能需要提供书面请求，或以其他方式证明您的身份。我们可能会先要求您验证自己的身份，然后再处理您的请求。

按照法律法规要求，我们可能将无法响应您的请求，但我们将提供合法正当的理由。

六、我们如何处理未成年人的个人信息

我们的平台和服务主要面向成年人、法人或者非法人主体，您使用我们的产品和服务，则推定您具有相应的民事行为能力。如果没有父母或监护人的同意，未成年人不能擅自使用我们的产品或服务。

对于经父母或其他监护人同意而收集未成年人个人信息的情况，我们只会在受到法律法规允许、父母或其他监护人明确同意或者保护未成年人所必要的情况下使用、转让或公开披露此信息。

尽管当地法律和习俗对未成年人的定义不同，但我们将不满18周岁的任何人均视为未成年人。如果我们发现自己在未事先获得可证实的监护人同意的情况下收集了未成年人的个人信息，则会设法尽快删除相关数据。

若您是未成年人的父母或其他监护人，请您关注您监护的未成年人是否是在取得您的授权同意之后使用我们的服务的。如您对您所监护的未成年人的个人信息有疑问，请通过本政策中的联系方式与我们联系。

七、您的个人信息如何在全球范围转移

我们在中华人民共和国境内收集和产生的个人信息，将存储在中华人民共和国境内。但在以下情形下，我司才能向境外提供您的个人信息：

1、获得您的单独授权同意。

2、法律、行政法规有明确规定。

我们在向境外提供您的个人信息时，将向您告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及您向境外接收方行使法定权利的方式和程序等事项。我们将严格履行相应的法定程序，如：事前进行个人信息保护影响评估、通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同等。

八、本政策如何更新

我们的个人信息保护政策可能变更。

未经您明确同意，我们不会限制或削减您按照本个人信息保护政策所应享有的权利。我们会在本平台或者我司官方网站上发布对本政策所做的任何变更。

对于重大变更，我们还会提供更为显著的通知。

本政策所指的重大变更包括但不限于：

1、我们的服务模式发生重大变化。如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等。

2、我们在所有权结构、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等。

3、个人信息使用或公开披露的主要对象发生变化。

4、您参与个人信息处理方面的权利及其行使方式发生重大变化。

5、我们负责处理个人信息安全的责任人/责任部门、联络方式及投诉渠道发生变化时。

6、个人信息安全影响评估报告表明存在高风险时。

我们还会将本政策的旧版本存档，供您查阅。

若您在本政策修订后继续使用我们的服务，这表示您已充分阅读、理解并接受修订后的本政策并愿意受修订后的本政策约束。

九、如何联系我们

如果您对本个人信息保护政策有任何疑问、意见或建议，通过以下方式与我们联系：

地址：上海市虹口区四川北路1717号嘉杰国际广场18楼

电子邮件：support@sheca.com

电话：021-962600