个人信息保护政策

        本政策仅适用于上海市数字证书认证中心有限公司(以下简称“上海CA”或“我们”)的数字证书服务。
        最近更新日期:2020年6月29日。


本政策将帮助您了解以下内容:
1、我们如何收集和使用您的个人信息
2、我们如何使用 Cookie 和同类技术
3、我们如何公开披露您的个人信息
4、我们如何保护您的个人信息
5、您的权利及如何管理信息
6、我们如何处理未成年人的个人信息
7、您的个人信息如何在全球范围转移
8、本政策如何更新
9、如何联系我们

        上海CA深知个人信息对您的重要性,并会尽全力保护您的个人信息安全可靠。我们致力于维持您对我们的信任,恪守以下原则,保护您的个人信息:权责一致原则、目的明确原则、选择同意原则、最少够用原则、确保安全原则、主体参与原则、公开透明原则等。同时,上海CA承诺,我们将按业界成熟的安全标准,采取相应的安全保护措施来保护您的个人信息。
        依据《密码法》、《电子签名法》、《电子认证服务管理办法》等电子认证行业相关法律法规及工信部、国家密码管理局监管要求,为保证证书订户身份真实性,电子签名完整性、抗抵赖性而留存的相关资料从其规定。
        请在使用我们的服务前,仔细阅读并了解本《个人信息保护政策》。

一、我们如何收集和使用您的个人信息
        个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 您理解并同意:为给您带来更好的产品和服务体验,我们在持续努力改进我们的技术,随之我们可能会不时推出新的或优化后的功能,可能需要收集、使用新的个人信息或变更个人信息使用目的或方式。对此,我们将通过更新本政策、弹窗、页面提示等方式另行向您说明对应信息的收集目的、范围及使用方式,并为您提供自主选择同意的方式,且在征得您明示同意后收集、使用。在此过程中,如果您有任何疑问、意见或建议的,您可通过我们提供的各种联系方式与我们联系。 我们会利用各种技术收集和存储信息,包括 Cookie、本地存储(例如使用浏览器进行网络存储或应用数据缓存)、数据库和服务器日志。 上海CA仅会出于本政策所述的以下目的,收集和使用您的个人信息:
(一)为您提供数字证书服务
        为完成个人身份核验,可能需要您在申请数字证书服务过程中提供以下信息:您的真实姓名、身份证/护照等有效身份证明。同时,根据相关规则的数字证书安全级别的不同要求,上海CA可能将根据不同认证方式按需收集您的面部生物识别信息、电子邮箱、手机号码、银行卡号、银行预留手机号等信息。 如您通过在线方式(包括但不限于网站、微信/支付宝小程序、APP)申请数字证书的,为保障您正常使用我们的服务,上海CA可能收集您的浏览器类型和语言、互联网服务提供商 (ISP)、引荐/退出网站和应用软件、操作系统、日期/时间戳和点击流数据以及面容ID信息、信息所在地区以及其他与上海CA服务相关的日志信息。我们仅在提供服务必需时收集这些基础信息,如您不同意我们记录前述信息,您可能无法正常使用我们的产品及/或服务。 请注意,单独的设备信息、日志信息是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息,除取得您授权或法律法规另有规定外,我们会将该类个人信息做匿名化、去标识化处理。 当您与我们联系时,我们可能会保存您的通信/通话记录和内容或您留下的联系方式信息,以便与您联系或帮助您解决问题,或记录相关问题的处理方案及结果。
(二)提高为您服务的质量
        为提高我们的服务质量,上海CA可能会收集您的手机号码、电子邮箱信息或通讯地址便于我们在数字证书有效期届满前及时通知您。如您拒绝提供上述信息,可能无法获得我们的通知服务。
(三)其他用途
        我们将信息用于本政策未载明的其他用途,或者将基于特定目的收集而来的信息用于其他目的时,会事先征求您的同意。
(四)个人信息提供及转让
        除以下情况外,我们不会将您的个人信息提供或转让给上海CA以外的公司、组织和个人:
        1、获得您的明确同意后,我们会将您的个人信息提供给其他方。
        2、我们可能会根据法律法规规定、诉讼、争议解决需要,或按行政、司法机关依法提出的强制性要求,对外提供您的个人信息。
        3、仅为实现本政策中声明的目的,我们的某些服务将由我们和授权合作伙伴共同提供。我们会根据法律法规将您的某些个人信息提供给合作伙伴。您的个人身份信息出于身份核验目的会传输至第三方合法可信的数据库进行比对。我们仅会出于合法、正当、必要、特定、明确的目的提供您的个人信息,并且只会提供服务所必要的个人信息。我们的合作伙伴无权将从上海CA获取的个人信息用于身份认证产品或服务无关的其他用途。
        4、获得您的明确同意后,我们可能向其他方转让您的个人信息。
(五)5、在涉及合并、收购或破产清算时,如涉及到个人信息转让,我们会要求新的持有您个人信息的公司、组织继续受此个人信息保护政策的约束,否则,我们将要求该公司、组织重新向您征求授权同意。
(六)征得授权同意的例外
        根据相关法律法规规定,以下情形中收集您的个人信息无需征得您的授权同意:
        1、与国家安全、国防安全有关的;
        2、与公共安全、公共卫生、重大公共利益有关的;
        3、与犯罪侦查、起诉、审判和判决执行有关的;
        4、出于维护个人信息主体或其他个人的生命、财产重大合法权益但又难以征得到您本人同意的;
        5、所收集的个人信息是您自行向社会公众公开的;
        7、根据您的要求签订合同所必需的;
        8、用于维护所提供的数字证书服务的安全稳定运行所必需的;
        9、法律法规规定的其他情形。
        上海CA拟暂停或者终止数字证书服务的,将在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方,对其所持的个人信息作出妥善安排,已超出法定的信息保存期限的,进行删除或匿名化处理。

二、我们如何使用 Cookie 和同类技术
        如果我们使用Cookie或同类技术手段的话,
        如您体验我们数字证书在线申请系统(包括但不限于网站、微信/支付宝小程序、APP),为您获得更轻松的访问体验,我们会在您的计算机或移动设备上存储Cookie、Flash Cookie,或浏览器(或关联应用程序)提供的其他通常包含标识符、站点名称以及一些号码和字符的本地存储(统称“Cookie”)。Cookie 通常包含标识符、站点名称以及一些号码和字符。我们不会在Cookie里面存储个人信息。
        如果您的浏览器或浏览器附加服务允许,您可根据自己的偏好修改对Cookie的接受程度或拒绝我们的Cookie。您可以清除计算机上保存的所有 Cookie,大部分网络浏览器都设有阻止Cookie 的功能。但如果您这么做,则需要在每一次访问我们的系统页面时更改用户设置。如需详细了解如何更改浏览器设置,请访问您使用的浏览器的相关设置页面。
        除Cookie外,我们还会在网站上使用网站信标、像素标签、ETag等其他同类技术。例如,我们向您发送的电子邮件可能含有链接至我们网站内容的地址链接,如果您点击该链接,我们则会跟踪此次点击,帮助我们了解您的产品或服务偏好,以便于我们主动改善客户服务体验。网站信标通常是一种嵌入到网站或电子邮件中的透明图像。借助于电子邮件中的像素标签,我们能够获知电子邮件是否被打开。如果您不希望自己的活动以这种方式被追踪,则可以随时从我们的寄信名单中退订。
        ETag(实体标签)是在互联网浏览器与互联网服务器之间背后传送的HTTP协议标头,可代替Cookie。ETag可以帮助我们避免不必要的服务器负载,提高服务效率,节省资源、能源,同时,我们可能通过ETag来记录您的身份,以便我们可以更深入地了解和改善我们的产品或服务。大多数浏览器均为用户提供了清除浏览器缓存数据的功能,您可以在浏览器设置功能中进行相应的数据清除操作。但请注意,如果停用ETag,您可能无法享受相对更佳的产品或服务体验。

三、我们如何公开披露您的个人信息
(一)我们仅会在以下情况下,公开披露您的个人信息:
        1、获得您明确同意或基于您的主动选择,我们可能会公开披露您的个人信息; 为避免争议,您在此确认,构成数字证书内容的个人信息,为您明确同意向证书依赖方公开披露的个人信息;
        2、如果我们确定您出现违反法律法规或严重违反上海CA相关协议及规则的情况,或为了保护上海CA用户或公众的人身财产安全免遭侵害,我们可能依据法律法规或征得您同意的情况下披露关于您的个人信息,包括相关违规行为以及上海CA已经对您采取的措施。
        3、在法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会公开披露您的个人信息。执法机关提出披露要求,我们会及时通知您,除非执法机关另有禁止披露的要求。
(二)公开披露个人信息时事先征得授权同意的例外
        出于法律义务或维护您及他人重大权益的考虑,以下情形中,使用及公开披露您的个人信息无需事先征得您的授权同意:
        1、与国家安全、国防安全有关的;
        2、与公共安全、公共卫生、重大公共利益有关的;
        3、与犯罪侦查、起诉、审判和判决执行等司法或行政执法有关的;
        4、出于维护您或其他个人的生命、财产等重大合法权益但又难以及时征得本人同意的;
        5、您自行向社会公众公开的个人信息;
        6、从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开渠道。
        请知悉,根据法律规定,使用经去标识化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外使用及公开披露行为。

四、我们如何保护您的个人信息
        (一)在数字证书生命周期中,我们使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的个人信息。例如,在您使用我们在线申请系统时,您的浏览器与服务器之间交换数据时受SSL(Secure Socket Layer)协议加密保护;我们同时在上海CA官网提供HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)协议安全浏览方式;我们对已收集到的个人信息采取严格的技术手段对存储数据进行加密处理;我们会使用受信赖的保护机制防止个人信息遭到恶意攻击;我们会部署访问控制机制,确保只有授权人员才可访问个人信息;以及我们会举办安全和个人信息保护培训课程,加强员工对于保护个人信息重要性的认识。
        (二)我们已经取得以下认证:信息系统安全等级保护三级认证、ISO9001:2015质量管理体系认证、ISO27001:2013信息安全管理体系认证。
        (三)我们会采取合理可行的措施,避免收集无关的个人信息。我们只会根据电子认证相关法律、行业标准及我司电子认证业务规则要求收集个人信息。一般而言,我们在达成本政策所述目的所需的期限内保留您的个人信息,除非需要延长保留期或受到法律的允许。在您的个人信息超出保留期间后,我们会根据适用法律的要求删除您的个人信息,或使其匿名化处理。
        (四)我们强烈建议您不要使用非上海CA推荐的方式发送、提供个人信息。请您妥善保护自己的个人信息,仅在必要的情形下向他人提供。如您发现自己的个人信息尤其是您的证书制作数据失密或发生泄露,请您立即通知上海CA客服,以便我们根据您的情况采取相应措施。
        (五)我们将尽力确保或担保您提供或发送给我们的任何信息的安全性。我们将尽力保障您发送给我们的任何信息的安全性。如果我们的物理、技术或管理防护设施遭到破坏,导致信息被非授权访问、公开披露、篡改或毁坏,导致您的合法权益受损,我们将承担相应的法律责任。
        (六)在不幸发生个人信息安全事件后,我们将按照法律法规的要求及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。事件相关情况我们将以邮件、信函、电话或推送通知等方式告知您,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,上报个人信息安全事件的处置情况。

五、您的权利及如何管理信息
我们保障您对自己的个人信息行使以下权利:
(一)查询您的个人信息
        如您需要查询数字证书所涉个人信息,请您至我们受理窗口提交申请书、身份证明文件,上海CA将在15个工作日内回复您的查询请求。
(二)更新/更正您的个人信息
        如您的个人信息发生了变更或当您发现您的个人信息有错误时,请您立即停止使用数字证书并告知我们,我们将在收到您书面更新/更正材料后及时为您提供数字证书变更或撤销服务。
(三)删除您的个人信息
        在以下情形中,您可以向我们提出要求删除您的或者您本人的个人信息,或您作为监护人监护的未成年人的个人信息:
        1、如果我们处理个人信息的行为违反法律法规;
        2、如果我们收集、使用您的个人信息,却未征得您的同意;
        3、如果我们处理个人信息的行为违反了与您的约定;
        4、如果您不再使用我们的服务,且个人信息保存的期限已超过法律规定及我们已声明的电子认证服务规则;
        5、如果我们不再为您提供服务,且个人信息保存的期限已超过法律规定及我们已声明的电子认证服务规则。
        若我们决定响应您的删除请求,我们还将同时通知从我们获得您的个人信息的实体,要求其及时删除,除非法律法规另有规定,或这些实体获得您的独立授权。
        当您或我们协助您从我们的服务中删除信息后,因为适用的法律和安全技术,我们可能无法立即从备份系统中删除相应的信息,我们将安全地存储您的个人信息并将其与任何进一步处理隔离,但会在备份更新时删除这些信息或实现匿名。
(四)改变您授权同意的范围
        我们的服务需要一些基本的个人信息才能得以完成(见本个人信息保护政策“第一部分”)。除此之外,您可以通过您授权个人信息的服务平台客服渠道或与我们联系等方式给予或收回您的授权同意。当您收回同意后,我们将不再处理相应的个人信息。但您收回同意的决定,不会影响此前基于您的授权而开展的个人信息处理。
(五)注销您的账户
        如您使用上海CA在线申请系统,在需要终止使用我们服务时,您可以通过人工方式申请注销您的在线申请系统账户。
        在您主动注销账户之后,我们将停止为您提供服务,根据相关法律适用条款在保存信息届满时删除您的个人信息,或使其匿名化处理。
(六)约束信息系统自动决策
        如您使用上海CA在线申请系统,在某些业务场景中,我们可能仅依据信息系统、算法等在内的非人工自动决策机制做出决定。如果这些决定显著影响您的合法权益,您有权要求我们做出解释,我们也将提供适当的救济方式。
(七)响应您的上述请求
        为保障安全,您可能需要提供书面请求,或以其他方式证明您的身份。我们可能会先要求您验证自己的身份,然后再处理您的请求。
        在以下情形中,按照法律法规要求,我们将无法响应您的请求:
        1、与国家安全、国防安全有关的;
        2、与公共安全、公共卫生、重大公共利益有关的;
        3、与犯罪侦查、起诉、审判和执行判决有关的;
        4、有充分证据表明您存在主观恶意或滥用权利的;
        5、响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;
        6、涉及商业秘密的。

六、我们如何处理未成年人的个人信息
        我们的网站和服务主要面向成年人、法人或者非法人主体,使用我们的产品和服务,则推定您具有相应的民事行为能力。如果没有父母或监护人的同意,未成年人不能擅自使用我们的产品或服务。
        对于经父母或其他监护人同意而收集未成年人个人信息的情况,我们只会在受到法律法规允许、父母或其他监护人明确同意或者保护未成年人所必要的情况下使用、转让或公开披露此信息。
        尽管当地法律和习俗对未成年人的定义不同,但我们将不满18周岁的任何人均视为未成年人。如果我们发现自己在未事先获得可证实的监护人同意的情况下收集了未成年人的个人信息,则会设法尽快删除相关数据。
        若您是未成年人的父母或其他监护人,请您关注您监护的未成年人是否是在取得您的授权同意之后使用我们的服务的。如您对您所监护的未成年人的个人信息有疑问,请通过第九节中的联系方式与我们联系。

七、您的个人信息如何在全球范围转移
        我们在中华人民共和国境内收集和产生的个人信息,将存储在中华人民共和国境内。以下情形除外:
        1、适用的法律有明确规定;
        2、获得您的明确授权;
        3、您通过互联网进行跨境交易等个人主动行为。
        在我们根据CPA Canada WebTrust Seal Program接受第三方审计以及根据我们与Asseco Data Systems S.A.的交叉根协议配合对方执行上述审计时,需按照审计要求提供部分证书申请过程中的资料。这意味着,在获得您的授权同意后,我们将根据法律规范要求对不在数字证书中显示的个人信息进行脱敏处理,脱敏后的信息可能会被转移到上述机构所在境外管辖区,或者受到来自这些管辖区的访问。

八、本政策如何更新
        我们的个人信息保护政策可能变更。
        未经您明确同意,我们不会限制或削减您按照本个人信息保护政策所应享有的权利。我们会在上海CA官方网站上发布对本政策所做的任何变更。
        对于重大变更,我们还会提供更为显著的通知。
        本政策所指的重大变更包括但不限于:
        1、 我们的服务模式发生重大变化。如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
        2、 我们在所有权结构、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等;
        3、 个人信息使用或公开披露的主要对象发生变化;
        4、 您参与个人信息处理方面的权利及其行使方式发生重大变化;
        5、 我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;
        6、 个人信息安全影响评估报告表明存在高风险时。
        我们还会将本政策的旧版本存档,供您查阅。
        若您在本政策修订后继续使用上海CA服务,这表示您已充分阅读、理解并接受修订后的本政策并愿意受修订后的本政策约束。

九、如何联系我们
        如果您对本个人信息保护政策有任何疑问、意见或建议,通过以下方式与我们联系:
        电子邮件:policy@sheca.com
        电话:021-962600
        一般情况下,我们将在十五个工作日内回复。