生效日期:2023年9月23日
如果您有任何疑问、意见或建议,请通过以下联系方式与我们联系:
电子邮件:service@eidlink.com
电话:4008-185-777
为便于用户(以下称“您”)在中华人民共和国香港特别行政区(以下称“中国香港地区”)的银行APP开立银行账户的活动,金联汇通信息技术有限公司(以下称“我们”)特受理合作银行的委托 ,为您提供实证服务。实证服务基于您向中国香港地区银行(以下称“香港银行方”)提供有关身份证件信息并证明自己的身份,在此我们特发此《数据跨境业务服务声明》,向您告知服务的数据处理目的、处理方式、所涉及的个人信息种类、保存期限,以及行使您个人信息主体权利的方式和程序等事项。具体如下:
l 处理目的:您前往中国香港地区通过银行的手机APP开立个人银行账户。在银行账户开立前,银行须对您的个人身份信息进行核实,以履行KYC职责。
l 处理方式:您在中国香港地区主动向银行提交身份证件信息(包括以OCR方式和NFC(近场通信)方式提交的身份证件信息)及一张活体照片。银行分别将以上通过OCR方式采集的个人身份信息及通过NFC方式采集的个人身份证件芯片信息进行加密传输给我们。我们对您个人身份信息的完整性、真实性进行核验。数据处理完成后,我们向银行返回有关数据的比对结果及照片比对相似度结果。
l 数据处理涉及的个人信息
数据类型 | 证件类型 | 对比范围 |
个人身份信息比对结果 | 中华人民共和国居民身份证 | 姓名、公民身份号码、出生日期、性别、民族、住址、签发机关、有效期限、头像照片 |
中华人民共和国港澳通行证 | 本国姓名、英文姓名、性别、出生日期、港澳通行证号码、有效期至、机读码、头像照片 | |
个人生物识别信息比对结果 | - | 人脸图像(活体照片) |
未免疑问,特向您说明,此业务涉及的出境信息仅为有关数据的比对结果(即“一致”、“不一致”结果)及人脸图像相似度结果。您在境外主动向银行提供的身份证件信息及个人生物识别信息(包括活体照片)的原始数据并非由金联汇通向香港银行方提供,不属于敏感个人信息出境的范围。
l 保存期限
Ø 我们:基于实证服务的业务要求,我们仅在您使用实证服务时,对于每次获取的证件信息加密后缓存5分钟,用于向您授权的银行查询并返回有关数据的比对结果和照片比对相似度结果,5分钟后我们将永久删除本次读取的证件信息。我们不留存香港银行方提供的用于数据核验的您的个人身份信息。
Ø 香港银行方:根据香港金融管理局发布的《反金钱、洗钱和打击资助恐怖主义指引(认可机构适用)》(https://www.hkma.gov.hk/media/gb_chi/doc/key-information/guidelines-and-circular/guideline/Guideline_on_AML-CFT_(for_AIs)_chi_May%202023.pdf)中第8.4章 - 第8.3段提及的“所有文件和记录应在与客户的业务关系持续期间保存,并在业务关系结束后至少保存五年”;香港税务局发布的《保存业务记录要求》(https://www.ird.gov.hk/chi/tax/bus_rke.htm)对于保存业务记录第2条提及的“该等记录须保留为期最少7年”两项监管要求,银行的个人信息保存期限为与您的业务关系持续期间保存,并在业务关系结束后保存7年。
l 您的个人信息主体权利
我们已在业务合作开展之前,与香港银行方签订了《个人信息出境标准合同》(以下称“合同”,标准合同模板主体内容详见附件),并于合同条款中明确,您作为合同第三方受益者享有以下权利:
一、您依据相关法律法规,对您的个人信息享有知情权、决定权,有权限制或者拒绝他人对您的个人信息进行处理,有权要求查阅、复制、更正、补充、删除您的个人信息,有权要求对您的个人信息处理规则进行解释说明 。
鉴于我们与中国香港地区银行合作的业务模式下,我们不具备直接向您提供支持您实现个人权利的条件和能力,香港银行方作为直接向您提供服务的主体,将支持您个人权利的实现。为您提供个人信息查询、更正、删除、撤回授权同意、注销账户及获取个人信息副本的服务及途径。当您提出撤回基于实证服务的授权同意并成功实现后,香港银行方承诺将不再向我们发送以上您的委托处理请求。
二、当您要求对已经出境的个人信息处理结果行使上述权利时,您可以请求我们采取适当措施实现,或者直接向香港银行方提出请求。我们无法实现的,将会通知并要求香港银行方实现。香港银行方应当按照我们的通知,或者根据您的请求,在合理期限内实现您依照相关法律法规所享有的权利。
三、香港银行方承诺根据我们转发的通知给予书面答复,如香港银行方未在约定时间内给予书面答复的,您有权向相关监管机构提出诉讼和寻求司法救济。如香港银行方拒绝您向香港银行方提出的直接请求,应当告知您拒绝的原因,以及您向相关监管机构提出诉讼和寻求司法救济的途径。
四、香港银行方已通过《隐私政策》、《个人资料收集声明》等方式,以清晰易懂的语言真实、准确、完整地告知您以上相关信息。具体内容,请您通过香港银行方手机APP进行查看。
五、您作为合同第三方受益人有权根据合同条款向我们和香港银行方的一方或者双方主张并要求履行合同项下与您相关的合同条款:
1.第二条,但第二条第五项、第六项、第七项、第十一项除外。
2.第三条,但第三条第七项第2目和第4目、第九项、第十一项、第十二项、第十三项除外。
3.第四条,但第四条第五项、第六项除外。
4.第五条。
5.第六条。
6.第八条第二项、第三项。
7.第九条第五项。
上述约定不影响您依据《中华人民共和国个人信息保护法》享有的权益。
l 其他事项
一、鉴于我们在整个业务生命周期及个人信息处理生命周期中,是受香港银行方委托对您的个人信息进行委托处理,且我们不具备直接面向您履行告知义务及取得您合法授权同意的客观条件。故经我们与香港银行方约定:由香港银行方代我们履行合同中第二条第(三)、(四)款的个人信息处理者义务,并承担相应责任。
二、根据合同项下数据出境处理目的的限制,该服务将不涉及十四周岁以下未成年人信息的处理。香港银行方承诺,将会对个人信息主体的年龄信息进行判定,不会向我们发起十四周岁以下未成年人信息的验证请求。同时,香港银行方不可单方面随意调整以上业务处理规则。如香港银行方以各种原因向我们发起十四周岁以下未成年人信息的验证请求,香港银行方将承担因其未遵守《中华人民共和国个人信息保护法》等法律法规所引起的一切法律及赔偿责任,如因此给您造成任何损失的,香港银行方负责出面解决并承担赔偿责任。
l 如何联系我们
如您对于本声明或相关事宜有任何问题,特别是认为我们的个人信息处理行为损害了您的合法权益,您可随时通过以下方式与我们取得联系。我们将尽快审核所涉问题,并按照使用的数据保护法律的要求和期限(15天内)及时予以回复。
电子邮件:service@eidlink.com
电话:4008-185-777
附件:
个人信息出境标准合同
国家互联网信息办公室 制定
为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同。
个人信息处理者:
地址:
联系方式:
联系人: 职务:
境外接收方:
地址:
联系方式:
联系人: 职务:
个人信息处理者与境外接收方依据本合同约定开展个人信息出境活动,与此活动相关的商业行为,双方【已】/【约定】于 年 月 日订立 (商业合同,如有)。
本合同正文根据《个人信息出境标准合同办法》的要求拟定,在不与本合同正文内容相冲突的前提下,双方如有其他约定可在附录二中详述,附录构成本合同的组成部分。
第一条 定义
在本合同中,除上下文另有规定外:
(一)“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。
(二)“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。
(三)个人信息处理者或者境外接收方单称“一方”,合称“双方”。
(四)“个人信息主体”是指个人信息所识别或者关联的自然人。
(五)“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(六)“敏感个人信息”是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(七)“监管机构”是指中华人民共和国省级以上网信部门。
(八)“相关法律法规”是指《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》《中华人民共和国民事诉讼法》《个人信息出境标准合同办法》等中华人民共和国法律法规。
(九)本合同其他未定义术语的含义与相关法律法规规定的含义一致。
第二条 个人信息处理者的义务
个人信息处理者应当履行下列义务:
(一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。
(二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
(三)基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
(四)向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则可以依据本合同享有第三方受益人的权利。
(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:
(如加密、匿名化、去标识化、访问控制等技术和管理措施)
(六)根据境外接收方的要求向境外接收方提供相关法律规定和技术标准的副本。
(七)答复监管机构关于境外接收方的个人信息处理活动的询问。
(八)按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容:
1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。
2.出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险。
3.境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。
4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
5.按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。
6.其他可能影响个人信息出境安全的事项。
保存个人信息保护影响评估报告至少3年。
(九)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(十)对本合同义务的履行承担举证责任。
(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。
第三条 境外接收方的义务
境外接收方应当履行下列义务:
(一)按照附录一“个人信息出境说明”所列约定处理个人信息。如超出约定的处理目的、处理方式和处理的个人信息种类,基于个人同意处理个人信息的,应当事先取得个人信息主体的单独同意;涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。
(二)受个人信息处理者委托处理个人信息的,应当按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。
(三)根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
(四)采取对个人权益影响最小的方式处理个人信息。
(五)个人信息的保存期限为实现处理目的所必要的最短时间,保存期限届满的,应当删除个人信息(包括所有备份)。受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
(六)按下列方式保障个人信息处理安全:
1.采取包括但不限于本合同第二条第五项的技术和管理措施,并定期进行检查,确保个人信息安全。
2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限。
(七)如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,应当开展下列工作:
1.及时采取适当补救措施,减轻对个人信息主体造成的不利影响。
2.立即通知个人信息处理者,并根据相关法律法规要求报告监管机构。通知应当包含下列事项:
(1)发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。
(2)已采取的补救措施。
(3)个人信息主体可以采取的减轻危害的措施。
(4)负责处理相关情况的负责人或者负责团队的联系方式。
3.相关法律法规要求通知个人信息主体的,通知的内容包含本项第2目的事项。受个人信息处理者委托处理个人信息的,由个人信息处理者通知个人信息主体。
4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施。
(八)同时符合下列条件的,方可向中华人民共和国境外的第三方提供个人信息:
1.确有业务需要。
2.已告知个人信息主体该第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
3.基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
4.与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。
5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。
(九)受个人信息处理者委托处理个人信息,转委托第三方处理的,应当事先征得个人信息处理者同意,要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督。
(十)利用个人信息进行自动化决策的,应当保证决策的透明度和结果公平、公正,不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式。
(十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。
(十二)对开展的个人信息处理活动进行客观记录,保存记录至少3年,并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。
(十三)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。
第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响
(一)双方应当保证在本合同订立时已尽到合理注意义务,未发现境外接收方所在国家或者地区的个人信息保护政策和法规(包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定)影响境外接收方履行本合同约定的义务。
(二)双方声明,在作出本条第一项的保证时,已经结合下列情形进行评估:
1.出境的具体情况,包括个人信息处理目的、传输个人信息的种类、规模、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存期限、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。
2.境外接收方所在国家或者地区的个人信息保护政策和法规,包括下列要素:
(1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准。
(2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺。
(3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
3.境外接收方安全管理制度和技术手段保障能力。
(三)境外接收方保证,在根据本条第二项进行评估时,已尽最大努力为个人信息处理者提供了必要的相关信息。
(四)双方应当记录根据本条第二项进行评估的过程和结果。
(五)因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,境外接收方应当在知道该变化后立即通知个人信息处理者。
(六)境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。
第五条 个人信息主体的权利
双方约定个人信息主体作为本合同第三方受益人享有以下权利:
(一)个人信息主体依据相关法律法规,对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,有权要求对其个人信息处理规则进行解释说明。
(二)当个人信息主体要求对已经出境的个人信息行使上述权利时,个人信息主体可以请求个人信息处理者采取适当措施实现,或者直接向境外接收方提出请求。个人信息处理者无法实现的,应当通知并要求境外接收方协助实现。
(三)境外接收方应当按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利。
境外接收方应当以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。
(四)境外接收方拒绝个人信息主体的请求的,应当告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉和寻求司法救济的途径。
(五)个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款:
1.第二条,但第二条第五项、第六项、第七项、第十一项除外。
2.第三条,但第三条第七项第2目和第4目、第九项、第十一项、第十二项、第十三项除外。
3.第四条,但第四条第五项、第六项除外。
4.第五条。
5.第六条。
6.第八条第二项、第三项。
7.第九条第五项。
上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权益。
第六条 救济
(一)境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,并应当及时处理个人信息主体的询问或者投诉。境外接收方应当将联系人信息告知个人信息处理者,并以简洁易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息,具体为:
联系人及联系方式(办公电话或电子邮箱)
(二)一方因履行本合同与个人信息主体发生争议的,应当通知另一方,双方应当合作解决争议。
(三)争议未能友好解决,个人信息主体根据第五条行使第三方受益人的权利的,境外接收方接受个人信息主体通过下列形式维护权利:
1.向监管机构投诉。
2.向本条第五项约定的法院提起诉讼。
(四)双方同意个人信息主体就本合同争议行使第三方受益人权利,个人信息主体选择适用中华人民共和国相关法律法规的,从其选择。
(五)双方同意个人信息主体就本合同争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。
(六)双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的权利。
第七条 合同解除
(一)境外接收方违反本合同约定的义务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行本合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。
(二)有下列情形之一的,个人信息处理者有权解除本合同,并在必要时通知监管机构:
1.个人信息处理者根据本条第一项的规定暂停向境外接收方提供个人信息的时间超过1个月。
2.境外接收方遵守本合同将违反其所在国家或者地区的法律规定。
3.境外接收方严重或者持续违反本合同约定的义务。
4.根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了本合同约定的义务。
在本项第1目、第2目、第4目的情况下,境外接收方可以解除本合同。
(三)经双方同意解除本合同的,合同解除不免除其在个人信息处理过程中的个人信息保护义务。
(四)合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
第八条 违约责任
(一)双方应就其违反本合同而给对方造成的损失承担责任。
(二)任何一方因违反本合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任,且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。
(三)双方依法承担连带责任的,个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。
第九条 其他
(一)如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用。
(二)本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议,适用中华人民共和国相关法律法规。
(三)发出的通知应当以电子邮件、电报、电传、传真(以航空信件寄送确认副本)或者航空挂号信发往(具体地址) 或者书面通知取代该地址的其它地址。如以航空挂号信寄出本合同项下的通知,在邮戳日期后的 天应当视为收讫;如以电子邮件、电报、电传或者传真发出,在发出以后的 个工作日应当视为收讫。
(四)双方因本合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿,双方应当协商解决;协商解决不成的,任何一方可以采取下列第 种方式加以解决(如选择仲裁,请勾选仲裁机构):
1.仲裁。将该争议提交
□中国国际经济贸易仲裁委员会
□中国海事仲裁委员会
□北京仲裁委员会(北京国际仲裁中心)
□上海国际仲裁中心
□其他《承认及执行外国仲裁裁决公约》成员的仲裁机构
按其届时有效的仲裁规则在 (仲裁地点) 进行仲裁;
2.诉讼。依法向中华人民共和国有管辖权的人民法院提起诉讼。
(五)本合同应当按照相关法律法规的规定进行解释,不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。
(六)本合同正本一式 份,双方各执 份,其法律效力相同。
本合同在(地点) 签订
个人信息处理者:
年 月 日
境外接收方:
年 月 日
