隐私政策
本隐私政策(以下简称“本政策”)依据欧盟《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)及相关法律法规制定,旨在明确本网站(以下简称“本网站”)运营方(以下简称“服务商”)对用户个人数据的收集、使用、存储、传输、共享等处理行为的规则,保障用户(即GDPR所指“数据主体”)的个人数据权益。请您在注册、购买或使用本网站提供的任何IDC服务前,仔细阅读并充分理解本政策全部内容,您点击“同意”、完成注册或支付服务费用,即视为您已接受本政策全部约定,自愿授权服务商按照本政策处理您的个人数据;若您不同意本政策,请勿使用本网站及相关服务。
一、适用范围
1.1 本政策适用于服务商通过本网站、移动端应用(如有)、客服渠道等所有官方途径,收集、使用、存储、传输、共享、销毁用户个人数据的全部行为,涵盖用户注册、登录、浏览、下单、使用IDC服务(域名注册、服务器租用等)、咨询反馈等全部场景。1.2 本政策不适用于第三方平台或服务(如第三方支付、第三方统计工具),第三方对用户个人数据的处理行为,由第三方自行负责,与服务商无关,服务商不承担任何责任。1.3 依据GDPR域外适用原则,本政策同样适用于向欧盟境内数据主体提供产品或服务、监控欧盟境内数据主体行为的相关个人数据处理活动,无论数据处理行为是否发生在欧盟境内[superscript:3]。
二、个人数据的收集与处理
2.1 收集的个人数据范围
服务商严格遵循“数据最小化”原则,仅收集为提供IDC服务所必需的个人数据,不收集与服务无关的信息,具体包括:2.1.1 身份识别数据:包括但不限于姓名、电子邮箱、手机号码、身份证号/护照号(用于身份验证)、企业用户的营业执照信息等,用于用户注册、身份核验、服务开通及合规备案。2.1.2 服务使用数据:包括但不限于用户登录时间、登录IP地址、浏览记录、服务订单信息(订单号、服务类型、购买时长、支付金额)、服务器使用日志、带宽使用数据等,用于提供、优化、维护IDC服务,保障服务稳定运行。2.1.3 支付相关数据:包括但不限于支付账户昵称、支付金额、支付时间、交易流水号(不含完整银行卡号、支付密码等敏感支付信息),用于完成交易结算、对账及纠纷处理。2.1.4 其他自愿提供的数据:用户主动向客服反馈的问题、意见、联系方式等,用于响应用户诉求、提升服务质量;若用户自愿提供敏感个人数据(如健康信息、宗教信仰等),需另行书面同意,服务商才会进行处理。
2.2 数据收集方式
2.2.1 主动收集:用户在注册、登录、下单、提交咨询时,主动填写或提交的个人数据。2.2.2 自动收集:通过网站后台、服务器日志、Cookie等技术手段,自动收集用户使用服务过程中的相关数据(如浏览记录、登录IP),Cookie的使用将提前获得用户同意,用户可随时在浏览器设置中禁用Cookie,但可能影响部分服务的正常使用。2.2.3 第三方收集:经用户书面同意后,从合法合规的第三方(如身份验证机构、支付机构)获取用户必要的个人数据,用于完成身份核验、支付结算等服务,服务商将对第三方提供的数据进行合规校验。
2.3 数据处理的合法性基础
依据GDPR要求,服务商处理用户个人数据的合法性基础包括以下情形,确保每一项数据处理行为均有明确法律依据[superscript:3]:2.3.1 基于用户同意:对于非必要个人数据(如营销信息推送、敏感个人数据),服务商将在用户明确同意后进行处理,用户可随时撤回同意,且撤回同意不影响此前基于合法同意进行的数据处理的有效性。2.3.2 基于合同履行:为履行与用户之间的IDC服务协议,提供用户所购买的服务(如开通服务器、域名注册),必须处理的个人数据(如身份信息、订单信息),无需另行获取同意。2.3.3 基于法律义务:为遵守欧盟及新加坡相关法律法规(如GDPR、新加坡《个人数据保护法》)、监管要求(如身份备案、数据留存),必须处理的个人数据。2.3.4 基于合法利益:在不损害用户合法权益的前提下,为提升服务质量、优化服务体验、防范网络安全风险、处理用户投诉等合法利益,处理必要的个人数据,且该合法利益未被用户的权利和自由所优先。
三、个人数据的使用
3.1 服务商将严格按照本政策约定及用户授权,使用收集的个人数据,具体用途包括:3.1.1 提供IDC服务:包括开通用户所购买的服务器、域名、带宽等服务,完成订单结算、服务续费、故障排查、技术支持等。3.1.2 优化服务质量:分析用户使用习惯、服务需求,优化网站功能、服务流程,提升服务稳定性和用户体验(如根据浏览记录推荐适配的IDC解决方案)。3.1.3 安全保障:防范网络攻击、欺诈、滥用服务等行为,检测异常登录、异常交易,保障用户账户安全和服务安全,保护用户个人数据不被非法获取、泄露。3.1.4 合规履行:按照欧盟GDPR及相关法律法规要求,完成数据备案、留存、申报等义务,配合监管部门的检查、调查。3.1.5 营销推送:经用户同意后,向用户推送IDC服务相关的优惠信息、新品通知、活动提醒等营销内容,用户可随时取消订阅。3.2 未经用户明确授权,服务商不会将个人数据用于本政策约定以外的用途;若确需变更用途,将提前通知用户,获得用户同意后再进行处理。
四、个人数据的存储与安全
4.1 数据存储
4.1.1 存储地点:用户个人数据主要存储于新加坡本土数据中心(符合GDPR跨境数据转移相关要求),该数据中心达到Tier 3+级别,遵循SS 564绿色数据中心标准,具备完善的安全防护设施。4.1.2 存储期限:遵循“必要最短期限”原则,仅在提供服务所必需的期限内存储用户个人数据;服务终止后,将在法律法规规定的留存期限届满后,采取匿名化处理或彻底删除,确保数据无法被识别到具体用户。4.1.3 存储技术:采用AES-256加密技术对个人数据进行加密存储,建立数据备份机制(跨机房双活容灾),定期进行数据备份,防止数据丢失、毁损。
4.2 安全保障措施
服务商严格遵循GDPR数据安全要求,建立完善的安全管理体系,采取技术和组织双重保障措施,保护用户个人数据安全,具体包括:4.2.1 技术措施:部署入侵检测系统、DDoS防护系统,防范网络攻击;采用访问控制技术,严格限制员工对个人数据的访问权限,仅授权人员可访问必要数据;定期对系统进行安全检测、漏洞修复,确保系统安全稳定。4.2.2 组织措施:设立数据保护专员(DPO),负责监督个人数据处理行为的合规性,协调处理数据主体权利诉求,与欧盟监管机构对接沟通;对员工进行GDPR及数据安全相关培训,明确员工数据保护责任,签订保密协议,严禁员工泄露、滥用个人数据;建立数据安全管理制度,明确数据处理各环节的安全要求,定期开展数据安全评估。4.2.3 应急处理:建立个人数据泄露应急响应机制,若发生数据泄露事件,将立即启动应急程序,采取补救措施,防止泄露范围扩大,并在GDPR规定的72小时内,向欧盟数据保护监管机构报告;若数据泄露可能对用户权益造成严重影响,将及时通知受影响用户,并告知用户应对措施。
五、个人数据的共享与跨境转移
5.1 数据共享
服务商严格限制个人数据的共享,仅在以下情形下,才会向第三方共享用户个人数据,且将确保第三方遵守GDPR及相关规定,采取与服务商同等的安全保护措施:5.1.1 经用户明确同意:在用户书面同意后,向用户指定的第三方共享必要的个人数据(如向身份验证机构共享身份信息用于核验)。5.1.2 基于合同履行:为完成IDC服务,向必要的第三方合作伙伴共享数据(如向支付机构共享支付相关数据用于结算,向服务器供应商共享设备使用数据用于维护)。5.1.3 基于法律义务:为遵守欧盟及新加坡相关法律法规、法院判决、仲裁裁决,或响应监管部门的调查、检查,向相关机构共享个人数据。5.1.4 匿名化数据共享:将个人数据进行匿名化处理后(无法识别到具体用户),可向第三方共享,用于行业研究、数据分析等,该类数据共享无需获得用户同意。服务商不会向无关联的第三方出售、出租、出借用户个人数据,不会将个人数据用于第三方的营销活动,除非获得用户明确授权。
5.2 跨境转移
由于服务商总部位于新加坡,用户个人数据存储于新加坡数据中心,属于欧盟境外的数据转移,服务商将严格遵循GDPR跨境数据转移的相关要求,确保转移后的个人数据保护水平不低于GDPR规定,具体措施包括:5.2.1 转移前提:仅在获得用户明确同意、为履行服务合同、符合法律规定的情形下,才会进行跨境数据转移。5.2.2 合规保障:与数据接收方签订欧盟标准合同条款(SCCs),明确双方的数据保护责任,确保接收方具备足够的安全保护能力,能够遵守GDPR的全部要求;定期对接收方的数据保护情况进行监督、评估。5.2.3 转移告知:在进行跨境数据转移前,将明确告知用户数据转移的目的地、接收方、转移目的及安全保障措施,用户可随时撤回对跨境转移的同意。
六、数据主体的权利(依据GDPR)
依据欧盟GDPR规定,用户作为数据主体,享有以下个人数据相关权利,服务商将为用户行使权利提供便捷、免费的渠道,不得拒绝、拖延或设置不合理障碍[superscript:3]:6.1 访问权:用户有权随时请求服务商提供其个人数据的副本,了解个人数据的收集、使用、存储、共享等处理情况,服务商将在1个月内予以响应,复杂情况可延长至3个月(需提前告知用户)。6.2 更正权:若用户发现其个人数据存在错误、不完整,有权请求服务商更正、补充,服务商核实后将立即予以更正。6.3 删除权(被遗忘权):在以下情形下,用户有权请求服务商删除其个人数据,服务商将在核实后及时删除:(1)个人数据不再用于收集时的目的;(2)用户撤回对数据处理的同意,且无其他合法处理基础;(3)用户反对数据处理,且无优先的合法利益;(4)个人数据处理违反GDPR或相关法律法规;(5)法律规定需删除的其他情形。6.4 限制处理权:用户有权请求服务商限制对其个人数据的处理(如数据存在争议、正在核实更正),在限制期间,服务商仅可在必要范围内处理该数据(如用于合规留存)。6.5 数据可携带权:用户有权请求服务商将其个人数据以结构化、常用、可机读的格式提供给用户,或直接传输给用户指定的其他数据控制者,服务商将予以配合,确保数据可携带性。6.6 反对权:用户有权反对服务商基于合法利益进行的个人数据处理,有权反对基于同意的营销类数据处理,服务商将停止相关处理行为(除非有合法的优先利益或法律义务)。6.7 免受自动化决策权:用户有权反对服务商仅通过自动化决策(如算法分析)对其作出具有法律约束力或重大影响的决定,若存在此类决策,服务商将提供人工干预、说明决策理由的渠道。6.8 权利行使方式:用户可通过本网站客服渠道、数据保护专员联系方式,提交权利行使请求,需提供有效身份验证信息(如注册邮箱、手机号码),服务商核实身份后,将及时响应处理。
七、政策更新与告知
7.1 服务商将根据欧盟GDPR及相关法律法规的更新、服务调整,定期修订本政策,修订后的政策将在本网站显著位置公示,公示期限不少于7天。7.2 若本政策的修订涉及用户个人数据权益的重大变更(如数据收集范围扩大、使用用途变更、跨境转移规则调整),将通过邮件、短信等方式主动通知用户,用户可在收到通知后,选择是否继续使用服务;若用户不同意修订后的政策,可申请终止服务,服务商将按照本政策约定删除或匿名化处理其个人数据。7.3 本政策自公示之日起生效,替代此前所有与用户个人数据保护相关的约定。
八、联系方式与数据保护专员
8.1 数据保护专员(DPO):负责监督本政策的执行,处理用户个人数据相关的咨询、投诉、权利行使请求,对接欧盟数据保护监管机构,联系方式如下:邮箱:[email protected](示例);电话:+65-XXXXXXX(示例);地址:新加坡XXX(示例)。8.2 客服联系方式:若用户有个人数据相关的疑问、投诉,可通过本网站在线客服、客服邮箱、客服电话联系服务商,服务商将在3个工作日内予以响应,及时解决用户诉求。8.3 监管投诉:若用户认为服务商的个人数据处理行为违反GDPR及相关规定,可向欧盟数据保护监管机构(如所在成员国的数据保护局)提起投诉,服务商将积极配合监管机构的调查处理。补充说明:本政策严格遵循欧盟GDPR标准,兼顾新加坡《个人数据保护法》(PDPA)相关要求,确保用户个人数据的处理全程合法、合规、安全,切实保障用户的个人数据权益。若您对本政策有任何疑问,可随时通过上述联系方式联系我们。