个人电子银行隐私政策

尊敬的用户:我们对《个人电子银行隐私政策》进行了更新,一是完善我行如何收集和使用用户人脸信息的相关政策;二是“附件五”关于收集、使用用户信息的SDK情况予以更新,新增了“阿里云设备风险识别SDK”相关内容

本版本发布日期:202261

生效日期:202261

重庆农村商业银行股份有限公司(注册地址:重庆市江北区金沙门路36号;联系方式:95389;以下简称“我行”或“我们”)深知个人信息对我行电子银行用户(以下简称“用户”)的重要性,会尽力保护用户的个人信息安全。同时,我行承诺依法采取相应的安全保护措施来保护用户的个人信息。鉴此,我行制定《个人电子银行隐私政策》(以下简称“本《隐私政策》”或“本政策”)。

本政策对用户使用我行电子银行服务非常重要,我行在此特别提醒:

1成年人用户

成年人用户使用我行电子银行服务时,请仔细阅读并充分理解本《隐私政策》。如用户就本政策点击“同意”或主动勾选,即表示已同意并授权我行按照本政策收集、存储、使用、共享和保护用户信息,也表示用户已同意本《隐私政策》项下所涉的其他事项。

2未成年人用户

1)监护人特别说明

请监护人仔细阅读和选择是否同意本《隐私政策》。我们希望监护人与我们共同保护未成年人的个人信息,教育、引导未成年人增强个人信息保护意识和能力,指导、提醒和要求未成年人在未经监护人同意的情况下,不向任何产品和服务提供者提供任何个人信息。如监护人对所监护的未成年人的个人信息处理存在疑问时,请监护人按本《隐私政策》第八条中的联系方式及时与我们联系。

2)未成年人特别说明

未成年人在使用我行产品和服务或提供任何个人信息前,请和监护人一起仔细阅读本《隐私政策》,并在征得监护人同意后,使用我行的产品、服务或向我行提供信息。如未成年人的监护人不同意未成年人按照本《隐私政策》使用我行的服务或向我行提供信息,请未成年人立即终止使用我行的服务并及时通知我们,以便我们采取相应的措施。

本政策一经点击“同意”或被主动勾选,即表示监护人及未成年人已同意并授权我行按照本政策收集、存储、使用、共享和保护未成年人的信息,也表示监护人及未成年人已同意本《隐私政策》项下所涉的其他事项。

本《隐私政策》涉及以下专用术语或关键词:

电子银行服务:指我行通过面向社会公众开放的通讯渠道或开放型公众网络、为特定自助服务设施或客户建立的专用网络等方式为用户提供的自助金融交易服务及信息类服务。

电子银行用户:指通过我行电子银行渠道使用我行电子银行服务的自然人客户,包括成年人用户、未成年人用户及代理未成年人申请电子银行服务的监护人。

个人信息:指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。主要包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

个人敏感信息:指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息主要包括:身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。

转让:指“将个人信息控制权由一个控制者向另一个控制者转移的过程”,详见本政策第四条

本《隐私政策》将帮助用户了解以下内容:

1.我行如何收集和使用用户的个人信息

2.我行如何收集和使用用户的人脸信息

3.我行如何使用Cookie和同类技术

4.我行如何存储和保护用户的个人信息

5.我行如何共享、转让和公开披露用户的个人信息

6.用户控制个人信息的权利

7.我行如何保护未成年人信息

8.本政策如何更新

9.如何联系我行

一、我行如何收集和使用用户的个人信息

(一)我行收集和使用个人信息的原则

我行收集使用用户的个人信息将遵循合法、正当、必要的原则,按照法律法规要求以及业务需要收集用户的个人信息,不会收集与业务无关的信息或采取不正当方式收集信息。

(二)我行收集和使用个人信息的目的

我行收集用户个人信息,目的在于依法合规的提供优质产品(或服务),该等信息对于充分履行用户和我行之间的合约很有必要,并使得我行能够遵守相关法律义务,具体可能包括:

1.为保护用户的账户安全,对用户的身份进行识别、验证等;

2.为评估用户的履约能力及履约状况,用于业务准入和防控风险;

3.为用户提供产品(或服务)所必须;

4.为保护用户的资金安全;

5.为改善产品(或服务)、提升客户体验;

6.为履行法定义务(如反洗钱义务);

7.经用户许可的其他用途。

(三)我行收集个人信息的方式

为向用户提供服务并确保电子银行服务安全,在用户使用电子银行服务过程中,我行会收集用户在使用服务过程中主动输入或因使用服务而产生的信息。请注意:如果用户提供的是他人个人信息,请确保已取得相关主体的授权。

1.当用户开通电子银行服务时,依据法律法规及监管要求,我行须验证用户的姓名、性别、国籍、职业、住所地、身份证件信息、手机号码信息、动态短信验证码、银行卡信息。当用户为未成年人时,除上述信息外,我行还须收集验证监护人的姓名、性别、国籍、职业、住所地、身份证件信息、手机号码信息、电子银行开通状态及监护关系证明文件。

如果未提供上述信息,则用户可能无法完成注册或无法正常使用我行的服务。

2.当用户使用电子银行功能或服务时,用户需向我行提供或授权我行收集相应服务所需的用户个人信息,如拒绝提供部分功能或服务所需的用户个人信息,则可能无法使用部分功能或服务,但不影响用户正常使用我行其他电子银行服务或功能。

1)通过手机银行App使用我行电子银行服务时,涉及收集、使用个人信息及个人敏感信息的相关情况介绍,成年人用户详见本政策附件一、未成年人用户详见本政策附件二

2)通过个人网上银行使用我行电子银行服务时,涉及收集、使用个人信息及个人敏感信息的相关情况介绍,详见本政策附件三

3)通过微信小程序使用我行电子银行服务时,涉及收集、使用个人信息及个人敏感信息的相关情况介绍,详见本政策附件四

3.当用户使用电子银行服务时,为了维持服务的安全稳定运行,降低交易和资金风险,我行会收集以下非客户信息,包括:

1用户使用手机银行App时,将收集移动设备型号、操作系统、唯一设备标识符、我行手机银行App软件版本号、登录IP地址、接入网络的方式、类型和状态、WiFi信息、地理位置信息与我行手机银行App操作日志及服务日志相关的信息。

2用户使用个人网上银行时,将收集计算机操作系统、IP地址、MAC地址、CPU信息、硬盘信息(硬盘序列号、硬件ID)及主板信息(主板型号、序列号)。

4.当用户使用我行电子银行渠道的功能或服务时,在某些特定使用场景下,我行可能会使用具有相应业务资质及能力的第三方服务商提供的软件服务工具包(简称“SDK”)来提供服务,由第三方服务商收集用户的必要信息。

1)通过手机银行App使用我行电子银行服务时,涉及收集、使用用户信息的SDK相关情况介绍,详见本政策附件五

2)通过个人网上银行使用我行电子银行服务时,涉及收集、使用用户信息的SDK相关情况介绍,详见本政策附件六

如用户不同意上述第三方服务商收集、使用前述信息,可能无法获得相应服务,但不影响正常使用我行其他电子银行服务或功能。如同意上述相关第三方服务商收集、使用前述信息发生信息泄露的,由相关第三方服务商承担相应的法律责任。

5.在使用我行电子银行服务时,部分功能可能需要用户在所使用的设备中开启设备的相机(摄像头)、相册、地理位置(位置信息)、手机通讯录、麦克风、网络通讯、设备信息、设备存储、拨打电话、通知推送的访问权限,以实现这些功能所涉及的信息的收集和使用,详见本政策附件七

请注意,若开启这些权限即代表授权我行可以收集和使用这些信息来实现上述功能,如取消了这些授权,则我行将不再继续收集和使用这些信息,也无法提供上述与这些授权所对应的功能。

6.其他

如在上述情形之外收集或使用用户的信息,我们会事先征求用户的同意,并充分告知信息收集和使用的目的、方式和范围。

(四)我行如何使用个人信息

1.实现本政策中“我行收集和使用个人信息的目的”。

2.向用户提供我行的金融产品、服务,并为改进这些产品或服务时使用。

3.我行向用户提供金融服务期间,用户授权我行持续收集、使用个人信息。在用户注销服务时,我们将停止收集相关的个人信息,但我行会在业务资料归档、审计、监管协查等领域继续使用此前收集的用户相关个人信息。

4.为提升用户的产品或服务体验,或为防范风险,我行会对服务使用情况进行汇总、统计分析、加工。

5.为了使用户知悉使用我行金融产品、服务的情况,或为了使用户进一步了解我行服务,为用户推荐更为优质或适合的服务,从而满足用户的个性化需求,我行可能会根据用户信息形成特征标签,用于向用户发送服务状态通知以及相关产品或服务的商业性信息。

6.根据法律法规或监管要求,将用户的个人信息用于法律允许的其它用途。

(五)征得授权同意例外

根据相关法律法规及监管要求、国家标准,以下情形中遇到国家有权机关或者监管机关要求我行提供的,或者出于对用户的权利、权益进行充分保护的目的,或者符合此处约定的其他合理情形的,我行可能会收集、使用用户的相关个人信息而无需另行征求用户的授权同意:

1.与履行国家法律法规及行业主管部门有关规定的义务相关的。

2.与国家安全、国防安全直接相关的。

3.与公共安全、公共卫生、重大公共利益直接相关的。

4.与犯罪侦查、起诉、审判和判决执行等直接相关的。

5.出于维护用户或其他个人的生命、财产等重大合法权益但又很难得到用户同意的。

6.所收集的个人信息是用户自行向社会公众公开的。

7.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。

8.根据用户要求签订和履行合同所必需的。

9.用于维护所提供的金融产品或服务的安全稳定运行所必需的,例如识别、处置金融产品或服务中的欺诈或被盗用等。

10.法律法规及监管要求规定的其他情形。

二、我行如何收集和使用用户的人脸信息

用户提供服务并确保电子银行服务安全,用户使用我行手机银行App时,所操作内容涉及监管文件规定或系统监测发现操作行为存在一定风险,需确保是本人操作时,系统会要求进行人脸识别,此时将采集用户本人的现场照片并与人民银行身份证核查返回的证件照或用户在我行预留的照片进行对比以识别是否本人,如此时人脸识别未通过或拒绝进行人脸识别,对应服务将无法使用。我们基于监管、反洗钱等相关要求,将按照相关法律法规要求的最低期限对用户的人脸信息进行存储。

、我行如何使用Cookie和同类技术

(一)Cookie

为确保网站正常运转,我行会在用户的计算机或移动设备上存储名为Cookie的小数据文件。Cookie通常包含标识符、站点名称以及一些号码和字符。借助于Cookie,网站能够存储用户的偏好内的商品等数据。我行不会将Cookie用于本政策所述目的之外的任何用途。用户可根据自己的偏好管理或删除Cookie。用户可以清除计算机上保存的所有Cookie,大部分网络浏览器都设有阻止Cookie的功能。但如果用户这么做,则需要在每一次访问我行的网站时更改用户设置。

(二)Do Not Track(请勿追踪)

很多网络浏览器均设有Do Not Track功能,该功能可向网站发布Do Not Track请求。目前,主要互联网标准组织尚未设立相关政策来规定网站应如何应对此类请求。但如果用户使用的浏览器启用了 Do Not Track,那么我行的所有网站都会尊重用户的选择。

(三)日志与位置信息

为了提升用户体验和防范风险,我们可能会自动收集用户日志信息和位置信息。我行不会将这些信息用于本政策所述目的之外的任何用途。

日志信息:指设备或软件信息,例如用户的移动设备、网页浏览器或用于接入我行服务的其他程序所提供的配置信息、IP地址、无线网络接入信息和移动设备所用的版本和设备识别码。

位置信息:指用户开启设备定位功能并使用我们基于位置提供的相关服务时,我们收集的有关位置信息。用户可以通过关闭定位功能随时停止我们收集地理位置信息。

、我行如何存储和保护用户的个人信息

(一)存储

1.我行在中华人民共和国境内收集和产生的个人信息,将存储在中华人民共和国境内。但为处理跨境业务并在获得用户的授权同意后,用户的个人信息可能会被转移到境外。

2.我行仅在法律法规要求的期限内,以及为实现本政策声明的目的所必须的期限内,确定单个用户数据的最长储存期限以及用户日志的储存期限。

(二)保护

1.我行已采取合理可行的安全防护措施保护用户的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。例如:我行会使用加密技术确保数据的保密性;我行会使用受信赖的保护机制防止数据遭到恶意攻击;我行会部署访问控制机制,限定只有授权人员才可访问个人信息;以及我行会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。

2.请理解,由于技术水平日新月异以及可能存在的恶意攻击,有可能出现我行无法合理预见、防范、避免、控制的意外情况。互联网并非绝对安全的环境,请用户务必妥善保护好自身的个人信息,且监护人需指导未成年人用户保护好个人信息,协助我行保护用户的账户安全。

3.如发生个人信息安全事件,我行将按照法律法规的要求,及时将事件相关情况以邮件、信函、电话、推送通知等方式中的一种或多种告知用户,或采取合理、有效的方式发布公告。同时,我行还将依据监管规定,上报个人信息安全事件处置情况。

4.如监护人发现我们在未事先征得监护人同意的情况下收集了未成年人的个人信息,请按下述第八条联系方式与我们联系。

、我行如何共享、转让和公开披露用户的个人信息

(一)共享

我行不会与其他任何公司、组织和个人共享用户的个人信息,但以下情况除外:

1.在获得用户明确同意或授权后,我行会与相关方共享用户个人信息。

2.我行可能会根据法律法规规定,或按政府主管部门、司法行政部门等的强制性要求,对外共享用户个人信息。

3.为实现隐私政策声明的目的,或为向用户提供服务之必须,我行会与关联公司、合作伙伴共享用户的某些个人信息,但我行只会共享必要的个人信息。同时,我行会与其签署保密协定,要求他们按照我行的说明、本政策以及其他任何相关的保密和安全措施来妥善处理个人信息。

4.我行可能与合作伙伴举办营销活动,如用户选择参加,我行可能会与合作伙伴共享活动过程中产生的、为完成活动所必要的一些信息,以便能及时与用户联系或发放奖品等。

5.当用户在手机银行App、个人网上银行中使用第三方提供的服务时,第三方可能会获取用户的昵称、头像、位置、姓名、证件类型、证件号码、证件有效期、手机号码信息及其他提供第三方服务所必须的信息;在经过用户的明示同意后,第三方可获取以上信息;对于用户在使用第三方提供的服务时主动提供给第三方的相关信息,我行将视为用户允许该第三方获取上述此类信息;对于用户在使用该第三方服务时产生的信息,应由用户与该第三方依法约定上述信息的收集和使用事项。如用户拒绝第三方在提供服务时收集、使用或者传递上述信息,将可能会导致无法在手机银行App、个人网上银行中使用第三方的相应服务,但这不影响使用手机银行App、个人网上银行的其他功能。我行不对第三方服务提供者的身份信息保护能力和数据安全能力负责,若发现个人身份信息被侵犯,请联系第三方进行投诉。

(二)转让

我行仅会在以下情况下,转让用户个人信息:

1.事先获得用户明确同意或授权。

2.根据法律法规规定,或按政府主管部门、司法行政部门等的强制性要求,我行可能会转让用户的个人信息。

3.根据法律法规、监管规定和商业惯例,在合并、收购、资产转让等类似交易中,如涉及到个人信息转让,我行会要求新的持有用户个人信息的公司、组织继续受本隐私政策的约束,否则我行将要求该公司、组织重新向用户征求授权同意。

(三)公开披露

我行仅会在以下情况下,公开披露用户个人信息:

1.事先获得用户明确同意或授权。

2.根据法律法规规定,或按政府主管部门、司法行政部门等的强制性要求,我行可能会公开披露用户个人信息。

(四)征得授权同意例外

根据相关法律法规及监管要求、国家标准,以下情形中遇到国家有权机关或者监管机关强制性要求的,或者出于对用户的权利、权益进行充分保护的目的,或者符合此处约定的其他合理情形的,我行可能会共享、转让、公开披露用户相关个人信息而无需另行征求用户的授权同意:

1.与履行国家法律法规及行业主管部门有关规定的义务相关的。

2.与国家安全、国防安全直接相关的。

3.与公共安全、公共卫生、重大公共利益直接相关的。

4.与犯罪侦查、起诉、审判和判决执行等直接相关的。

5.出于维护用户或其他个人的生命、财产等重大合法权益但又很难得到用户同意的。

6.用户自行向社会公众公开的个人信息。

7.从合法公开披露的信息中收集的用户信息,如合法的新闻报道、政府信息公开等渠道。

8.法律法规及监管要求规定的其他情形。

、用户控制个人信息的权利

我行非常重视用户对个人信息的关注,并尽全力保护用户对于个人信息查询、更正、删除、注销账户的权利,以使用户拥有充分的能力保障隐私和安全。我们将在15日内受理并处理用户的请求。按照中国相关的法律法规和监管规定,我行保障用户对个人信息行使以下权利:

访问、更正及更新用户的个人信息

成年人用户有权通过我行网点、电子银行等渠道访问及更正、更新个人信息,法律法规、监管政策另有规定的除外。用户有责任及时更新个人信息。

监护人有权通过本人的手机银行App访问未成年人用户的姓名、手机号码、昵称、生日、学校、年级、亲情圈关系等信息。

未成年人用户有权通过手机银行App访问及更正、更新未成年人的头像、注册手机号、证件信息、邮箱等个人信息。监护人有责任协助未成年人通过手机银行App更新其个人信息。

获取个人信息副本

用户有权获取自身的个人信息副本,监护人有权获取未成年人的个人信息副本,并可通过我行网点,完成个人信息校验后,查询和打印个人信息副本。

删除用户的个人信息

在以下情形中,用户可以向我行提出删除个人信息的请求:

1.如果我行处理用户个人信息的行为违反法律法规。

2.如果我行收集、使用用户个人信息,却未征得用户同意。

3.如果我行处理用户个人信息的行为违反了与用户的约定。

拒绝我行活动资讯或服务提醒

我行基于个人信息向用户推送的活动资讯或服务提醒,用户可通过我行手机银行App消息中心中对“活动资讯”、“服务提醒”的推送服务予以关闭,关闭后我行将不再推送相关信息,但用户仍可在手机银行App消息中心查看相关消息。

改变授权同意的范围

每个业务功能需要一些基本的个人信息才能得以完成。对于额外收集的个人信息的收集和使用,用户可以根据手机的不同品牌和型号,通过开通或关闭位置服务权限、读取联系人权限、拨打电话权限等,随时给予或收回授权同意。

请特别注意,用户注销我行电子银行服务时,我行将视同所注销的用户撤回了对我行《隐私政策》的同意,我们将不再收集相应的个人信息;但用户撤回同意的决定,不会影响此前基于用户授权而开展的个人信息处理。

个人信息主体注销账户

1.自助注销

1)用户登录手机银行App后,可以通过在首页搜索“注销”功能或点击“登录设置-用户注销”页面等方式进行注销操作。

2)用户登录个人网上银行后,可以通过在首页搜索“注销”功能或点击“安全设置-自助注销”页面等方式进行注销操作。

2.营业网点注销

用户可到我行营业网点注销其在我行的电子银行账户。当用户为未成年人时,需由监护人到我行营业网点办理注销手续。

请特别注意,我行电子银行注册用户仅在手机设备中删除手机银行App或在计算机中卸载个人网上银行客户端时,我行不会注销用户在我行的电子银行账户,有关用户的一切信息亦不会删除,仍需注销在我行的电子银行账户方能达到以上目的。

用户注销电子银行账户后,不会自动注销快捷支付授权,用户可以在第三方主动注销授权。

用户注销电子银行账户后,我们将停止向其提供电子银行服务,并依据相关法律法规的要求处理其个人信息。

响应上述请求

为保障安全,用户可能需要提供书面请求,或以其他方式证明用户身份。我行可能会先要求验证用户身份,然后再处理用户的请求。请理解,对于某些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求,我行可能会予以拒绝。

尽管有上述约定,但按照法律法规要求,如涉及以下情形我行将可能无法响应用户的请求:

1.与国家安全、国防安全直接相关的。

2.与公共安全、公共卫生、重大公共利益直接相关的。

3.与犯罪侦查、起诉、审判和判决执行等直接相关的。

4.有充分证据表明用户存在主观恶意或滥用权利的。

5.如响应用户的请求,将导致用户或其他个人、组织的合法权益受到严重损害的。

6.涉及我行或其他第三方商业秘密的。

、我们如何保护未成年人信息

如果没有监护人的同意,未成年人不得创建自己的用户账户。如未成年人使用我行服务或向我行提供信息,须请监护人仔细阅读并同意本政策。对于经监护人同意而收集未成年人个人信息的情况,我行只会在法律法规及监管要求允许或者保护未成年人所必要的情况下使用、对外提供此信息。如监护人不同意按照本政策使用我行的服务或向我行提供信息,请监护人或未成年人立即终止使用我行的服务并及时通知我行,以便我行采取相应的措施。当监护人对未成年人的个人信息处理存在疑问时,请通过本政策中的联系方式联系我行。

、本政策如何更新

根据国家法律法规、监管政策变化及服务运营需要,我行将对本政策及相关规则不时地进行修改,修改后的内容会通过我行电子银行渠道公布,公布后即生效,并取代此前相关内容。用户应不时关注相关公告、提示信息及协议、规则等相关内容的变动,同时用户需知悉并确认,如不同意更新后的内容,用户有权停止使用相应服务并注销相关电子银行账户,我行将停止收集已注销用户的个人信息;如用户继续使用服务,即视为同意接受变动内容。

请理解,我行向用户提供的服务是不断更新和发展的,如用户选择使用的服务未包含在前述说明中,基于该服务我行需要收集、使用用户个人信息的,我行会通过页面提示、交互流程、协议约定、网页公告等方式另行向用户说明,该内容将构成本政策的有效组成部分。

我们会将《隐私政策》的历史版本予以存档,以便于用户查阅。

、如何联系我行

如果用户对本隐私政策有任何疑问、意见或建议可致电我行24小时热线:95389或到我行营业网点进行咨询或投诉。我们受理问题后,会及时、妥善处理。一般情况下,我们将在15日内给予答复。