CFCA法律声明及个人信息保护政策

 

发布日期:2021年11月17日

更新日期:2025年11月20日

生效日期:2025年11月20日

 

CFCA非常重视用户个人信息保护,我们对《CFCA法律声明及个人信息保护政策》(以下简称“本政策”)进行了更新,对内容整体进行了精简,并根据实际情况对相应内容进行了校准与优化,便于用户更清晰、透明地理解我们如何处理和保护您的个人信息。本次修订不会影响我们对您现有个人信息的处理和保护程度。

 

引言

 

 

中金金融认证中心有限公司及其关联企业(以下简称“CFCA”或“我们”)深知用户信息安全的重要性,您的信任对我们非常重要,我们将按照法律法规要求,采取安全保护措施,保护您的个人信息安全可控。

本政策旨在向您说明我们如何收集、使用、存储、共享和保护您的个人信息,以及您如何行使权利。本政策与您使用我们各项产品/服务关系密切,我们收集和处理个人信息会因具体产品/服务场景而有所不同,请以您使用产品/服务的具体场景为准,我们希望您在使用我们产品/服务前,务必仔细阅读并确认您已经充分理解本政策所写的内容,让您可以根据本隐私政策的指引做出您认为适当的选择。本政策主要要点如下:

 

1. 我们通过官方网站、APP、小程序及我们现在或将来还可能在其他客户端或场景中为您提供的产品/服务,我们可能会由此处理与您相关的个人信息。相关处理活动我们会根据合法、正当、必要和诚信的原则开展,具体包括:权责一致原则、 目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则。同时,我们承诺遵守《中华人民共和国个人信息保护法》及其他相关法律法规的规定,确保个人信息处理活动的合法性。

 

2. 我们将结合具体的产品和服务,向您说明所收集的信息类型与用途。

 

3. 我们提供的某些产品/服务,需要将您的信息与第三方进行共享,我们在评估第三方收集信息的合法、正当、必要性之后,根据现行法律、


法规的规定及国家标准,要求第三方对您的个人信息采取严格的保护措施,并遵守法律法规及相关监管要求。我们将您的个人信息与第三方共享之前,将通过弹窗、文本确认等合理方式征得您的确认及授权同意。因产品/服务所需,超出原本的授权范围时,会再次征得您的明确同意。

 

4. 您可以通过本政策所列的方式选择管理和访问您的信息,设置权限功能、注销账户、投诉举报。

 

5. 本政策适用于所有渠道输出的CFCA产品/服务,包括但不限于官方网站/小程序/微网站/APP/应用程序接口/云平台及将来可能涉及的渠道。

 

 

6.本政策中涉及的专用术语解释如下:

6.1 CFCA官网:由CFCA建立及运营的网站(域名为: https://www.cfca.com.cn/)。

6.2 个人信息:指个人数据(或称“信息”),以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

6.3 敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

6.4 CPS:中金金融认证中心有限公司发布的电子认证业务规则,详见CFCA官网。

6.5 《数字证书服务协议》:CFCA向您提供产品/服务的协议(域名为:https://www.cfca.com.cn/20150811/101230094.html)。

 

 

7.我们是由中国人民银行于1998年牵头组建,经国家信息安全管理机构批准成立的权威电子认证机构详细介绍可浏览我们官网。如果您有对我们提供的产品/服务有任何疑问、意见或建议,可与我们联系。

 

 

我们会遵循本政策,在您使用对应产品/服务时收集、使用您的信息,但不会仅因为您同意本政策而采用强制捆绑的方式收集个人信息,具体以您实际使用的产品/服务的实际情况为准,则该单独隐私政策将被优先


适用。请您使用我们提供的产品/服务前,务必仔细阅读本《法律声明及个人信息保护政策》,尤其是其中对您权益影响重大的突出显示部分内容(如加粗、标黄、倾斜等),并确认您理解并同意接受本政策的全部内容。

如您不同意本声明及政策的任何条款,请停止使用我们产品/服务。一旦您选择使用或在我们发布或修订新的保护政策后,继续使用我们提供的产品/服务,即表示您认可并接受本政策,并同意我们按本政策收集、使用、保存和处理您的相关信息。

 

 

本政策将帮助您了解以下内容:

一、 个人信息的收集和使用

二、 个人信息的委托处理、向境外提供、共享、转让与披露

三、 个人信息的保护

四、 个人信息的存储

五、 您的个人信息管理权利

六、 对未成年人的个人信息保护

七、 本政策的更新

八、 争议解决及法律适用

九、 联系方式

 

 

第一章 个人信息的收集和使用

 

 

CFCA根据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等相关法律、法规和监管要求,遵循合法、正当、必要和诚信的原则,收集和使用您的个人信息。该等个人信息因您使用产品/服务而产生,或从合作机构、第三方机构等第其他三方渠道获取。

(一)依“知情同意原则” 收集和使用个人信息的场景

 

1.用户注册及登录

CFCA产品/服务平台适用CFCA通用账号体系(以下简称“CFCA账号”)。在您首次注册CFCA账户,根据国家互联网实名制、网络信息


安全管理等要求,CFCA 将收集您的姓名、手机号码、电子邮箱等数据。CFCA将收集您的这些信息并向有权的国家机关、企事业单位或其他组织进行验证,并获取验证结果。若您不提供这类信息,将无法登录和正常使用我们的产品/服务。

在您进行身份认证时,按照CFCA CPS/CFCA 电子认证服务协议,提交包括有效身份证件或银行卡(部分场景需要)影像材料,填入姓名、有效证件号码(身份证或护照、军官证、港澳居民居住证、台湾居民居住证及其他有效证件号码)、手机号码、身份证有效期、居住

地址、邮箱地址,进行面部特征等生物特征信息的识别与采集。


在您提交身份证件副本或拍摄本人照片时,需要获得您的相机拍摄权限进行拍摄,或访问您设备的图库进行上传,我们将根据最小必要处理规则, 以完成身份鉴别核验为目的使用前述信息。如不授权该权限将不能使用该功能。

在您开启设备指纹、刷脸方式时,需要您在设备上录入指纹和面部信息,以实现您在我们产品/服务相关场景完成登录、验证、签署等目的。在您使用刷脸登录、验证功能时,需要开启摄像头权限,按照相关产品/服务的页面提示完成相应的面部动作,以核验身份。在您之后使用刷脸登录功能时,需要通过您的设备录入您的面部信息以完成身份验证。为了提高验证的准确性,您同意我们在必要时将您提供的面部信息、指纹信息与法律法规允许或政府机关授权机构所保存的您的指纹、面部信息进行比对核验。您可以通过设备系统权限设置关闭前述权限,或通过本政策所载的联系方式与我们取得联系,申请撤回信息授权,要求我们删除您留存在CFCA的信息。

CFCA收集上述有效个人身份信息后,将与国家相关权威数据库、或第三方可靠数据库进行查询、比对、核验,以确认该身份信息的真实性、匹配性。

前述场景外,我们为了确保您在CFCA账号的安全性,识别您在CFCA账号异常情况,优化我们的服务质量。在您登录、使用我们产品/服务时,CFCA可能需要收集您的常用设备信息,包括唯一设备识别码、IP

地址、设备MAC地址、操作行为日志信息,以便对您身份及行为安全性

进行核实、管理。


2.证书申请、审核、使用与生命周期管理

 

根据《中华人民共和国电子商务法》《中华人民共和国电子签名法》 《电子认证服务管理办法》等相关法律、法规和监管要求,您在申请CFCA数字证书等产品/服务时,应提交真实、完整、准确的证书申请材料,包括姓名、有效身份证件正反面副本、人脸识别信息、实名手机号码。CFCA将审查您的身份证明文件,核验您的身份真实性,审查验证通过后,为您提供各类产品/服务。若您不提供这类信息,您将无法申请和使用我们的产品/服务。

2.1      证书申请与制作

为实现您申请CFCA数字证书的目的,包括数字证书新办、续期、变更、密钥更新业务等,根据产品/服务应用场景及项目安全需求,您可以通过以下方式提交您的个人信息。

(1)   线下方式:

通过CFCA的自营网点(各受理点、营业部、分公司等CFCA的附属机构)、CFCA的合作网点、或以邮寄方式办理证书业务的,您需填写/提交本人的姓名、有效证件号、手机号、居住地址、电子邮箱、有效证件副本、本人手持有效证照的影像材料、本人手持数字证书/办证材料(如申请表、服务协议、签收单)等影像。

在CFCA/CFCA合作机构的身份认证设备办理业务的,您需授权设备采集、识别您的姓名、手机号、有效证件信息(含姓名、证件号、证件有效期、居住地址)、手机号码,授权设备摄像头拍摄您的人脸影像信息/设备指纹采集器件,采集您人脸特征/指纹特征。

(2)   线上方式:

通过CFCA的官网、APP、公众号、及其他CFCA产品/服务,或合作机构的平台,输入填写您的姓名、有效证件号、手机号码、居住地址,证件信息(含身份证号、姓名、居住地、身份证有效期),银行卡信息(部分业务场景需要:银行卡开户人姓名、身份证号、卡号、手机号),面部特征/指纹特征等。

在通过实名认证后,您所提交的个人信息将提交至 CFCA,CFCA将为您签发包含您的姓名、证件号等真实个人信息在内的数字证书。特定类型数字证书,如场景证书或将来其他场景定制化证书,将写入您的设备信息,或其他根据业务场景需要载入您的个人信息。


2.2      证书使用

为了保障数字证书使用的安全性,确保证书由您本人控制使用,CFCA将通过一种或多种方式(如:密码验证、短信OTP验证、人脸识别活体验证或指纹验证、金融打款验证及其他将来可能涉及的新型安全验证技术),核验您的身份,确认证书签署、加密、登录等使用行为均由您本人进行,证书操作指令由您本人发出。为进行证书使用的身份验证,CFCA将收集 您的手机号码、银行卡号、人脸面部影像信息、指纹特征等信息,进行 相关的比对核验。

2.3      证书生命周期管理

在您申请办理数字证书撤销、挂起、冻结、密钥恢复、数字证书资料调取、或证书证明开具等业务时,您需要提交本人身份证明材料,CFCA将核实您的身份,以保障用户数字证书的安全使用。此时您提供的上述信息,将在您使用我们产品/服务期间持续授权我们使用。在您停止使用我们的服务/产品时,我们将停止收集、使用您该项信息,并在法定保存期间届满后予以删除。关于保存期限,详见本声明及政策“第四章 个人信息的存储”。

3.在使用服务过程中收集的信息

CFCA或CFCA的合作机构,在提供服务过程中,系统可能在经过您的同意后通过Cookies、Web beacon或其他方式收集您的信息,并将该等信息储存为日志信息。 日志信息包括:设备信息或软件信息,例如您的移动设备、网页浏览器或用于接入CFCA服务/产品的其他程序所提供的配置信息(如计算机浏览器的类型、使用的语言、访问日期和时间、及访问的网页记录;终端设备的操作系统、电信运营商等)、您的IP地址和移动设备所用的版本和设备识别码。

4.第三方合作机构业务所需的防欺诈与风险控制

 

第三方合作机构作为CFCA服务/产品的服务提供商为您提供产品/服务。

在您通过我们的合作机构使用我们的产品/服务时,合作机构在征得您的授权同意后,将与我们共享、传输、提供您必要的个人信息,以实现/完成您与合作机构的业务。CFCA将依照您与合作机构的约定/本政策使用您的个人信息。在二者存在冲突时,以本政策为准。

在进行个人信息验证时,CFCA将根据合理需要,我们将根据必要且最小限度内的,提供给合法存有、收集您个人信息的第三方机构(政府机关、事业单位、商业机构)进行验证核对。在条件允许情况下,


我们将与第三方机构签订身份鉴别责任划分协议,确保我们从第三方获取信息的真实性和有效性,并要求第三方机构遵循协议约定以及本政策。基于权限限制,我们无法完全保证第三方网站的运营在实际上按照CFCA的要求采取措施,建议您仔细阅读其的服务协议及个人信息保护政策。第三方机构的名称、联系方式以及处理信息的有关规则将单独公布。

5. 提供安全保障

 

为了遵守法律法规及监管规定,也为了便于您因处理纠纷需要查询操作状态或历史记录,CFCA会将您使用服务时的身份信息、交易信息、行为信息进行存档,并严格按照法律法规的规定对这些信息进行妥善保管,以预防、发现、调查危害公共安全、侵犯个人合法权益、违反法律或协议的行为。

基于合作机构的业务需要,CFCA在确保合作机构得到用户合法授权的情况下,对合作机构提供的您的个人信息,包括姓名、有效证件号、手机号、身份证明件及银行卡影像信息、人脸影像或其他个人信息,通过CFCA的第三方机构核实个人信息的真实性,以保障您身份的真实性,防范合作机构业务过程中的欺诈或业务虚假行为。

6.协助行政机关、司法机关、审判机关调查取证

在订户、依赖方或者CFCA及其相关的第三方,因证书相关事宜产生纠纷进入诉讼程序,而公安机关、法院或检察院等依据法律规定的程序,向CFCA提出调查取证的要求,CFCA依照法律的规定履行配合、协助调查取证的义务,向国家有权机关披露订户的相关信息,不视为未经授权非法使用订户信息。

7. 其他用途

CFCA会收集您使用的服务类别和方式、使用服务时的操作信息以及有关您曾使用的移动应用(APP)和其他软件的信息;及您使用证书产品服务时的搜索记录,收集您与客户服务人员联系时提供的信息,收集您参与问卷调查时向CFCA发送的问卷答复信息。我们会对收集的信息进行去标识化的研究、统计分析和预测,用以分析、统计产品服务及相关功能的应用效果。

CFCA将结合具体的产品/服务,向您逐一说明所收集的信息类型与用途。此外,CFCA将在必要时,根据法律法规的要求/您的授权,收集和处


理其他与提供服务/产品相关的个人信息。

 

 

(二)依法豁免征得同意收集和使用个人信息的情形

1.为订立、履行您作为当事人的合同所必需的;

2.为履行法定职责/法定义务所必需;

3.为在紧急情况下为保护您/者其他人的生命健康和财产安全所必需,但在紧急情况消除后CFCA将会及时告知您;

4.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

5.在合理范围内处理个人自行公开/其他已经合法公开的个人信息;

6.法律、行政法规规定的其他情形。

(三)个人信息的收集和使用规则

 

1.  CFCA会根据本政策的约定,为实现产品/服务功能对所收集的个人信息进行使用。

2.  请您注意,您在使用CFCA的产品/服务时所提供的所有个人信息,除非您删除/要求删除/通过系统设置拒绝CFCA收集,否则将在您使用CFCA的产品/服务期间持续授权CFCA使用。

3.  对于收集到的个人信息,CFCA将采用一种/多种技术手段对其进行脱敏化、去标识化、匿名化、加密化,我们将可用于恢复/识别个人的信息与匿名化后的信息分开存储,并加强访问和使用的权限管理,匿名化处理的信息将无法直接识别特定个人信息主体。经过您授权同意,CFCA有权使用已经去标识化的信息;并在不透露您个人信息的前提下,CFCA有权对相关数据库进行分析并予以商业化的利用。

4.  CFCA会对CFCA的产品/服务使用情况进行统计,如果包含您的个人信息,经您授权同意后,可能会与公众或第三方共享这些统计信息,以展示CFCA的产品/服务的整体使用趋势。但这些统计信息不包含您的任何身份识别信息。

5.  当CFCA展示您的个人信息时,CFCA会采用内容替换、匿名等方式对您的信息进行脱敏,以保护您的信息安全。


6.  在CFCA需要将您的个人信息用于本政策未载明的其它用途时,或基于特定目的收集而来您的信息用于其他目的时,会通过您主动做出勾选等形式,事先征求您的同意。

 

 

 

第二章 个人信息的委托处理、向境外提供、共享、转让与披露

(一)个人信息的委托处理

 

CFCA仅为实现本政策中声明的目的,将涉及个人信息查询验证服务交由第三方机构提供。

1.  与CFCA合作的第三方包括但不限于:认证数据服务供应商、软件服务提供商、硬件密码产品或设备提供商、系统服务提供商、业务支持供应商。

为保障CFCA准确核实验证您的个人信息,您同意CFCA在您与合作机构约定的业务目的范围内,向保存有您有效个人信息的国家机关、事业单位或其他有合法资质的组织查询,并向CFCA、合作机构反馈核验结果,以保障您的相关业务正常办理,或正常使用合作机构的产品/服务。

为核实验证您提供个人信息的真实性和准确性,CFCA将与第三方机构合作,根据您的同意或/和授权,将姓名、身份证件号码、手机号码、银行卡号码、生物识别特征(人脸图像、指纹特征)等个人身份信息提供给第三方机构,委托第三方机构对信息进行查询、比对、验证,包括与第三方机构合法采集、整理或加工产生的其他信息提供的信息进行比对,或通过第三方机构向其他拥有合法资质或合法数据来源的第三方(包括但不限于拥有合法资质的政府机构及其下属单位、征信机构、运营商,及其代理商或关联公司)查询或核实您的个人信息,法律法规、监管政策禁止查询的除外。

对CFCA委托处理个人信息的公司、组织和个人,CFCA会与其签署严格的保密协议或/和含信息安全保护条款的合作协议,并对委托处理个人信息的处理活动进行个人信息安全影响评估。同时,CFCA将要求受托处理个人信息的组织、个人按照法律法规、本政策要求的保密和安全措施来处理您的个人信息。同时,CFCA会记录和存储委托处理个人信息的情况。一旦CFCA得知或者发现受托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,将立即要求受托者停止相关行为,且采取或要求受托者采取有效补救措施控制或消除您的个人信息面临的安全风险。必要时CFCA将终止与受委托者的业务关系,并要求受委托者及时删除、返还从CFCA获得的您的个人信息,不得做任何保留。


(二)个人信息的跨境提供

在您使用我们的跨境服务/产品时,如需向境外第三方提供您的个人信息才能完成该服务的,经您单独授权后,且在符合法律、行政法规的规定及监管允许出境的前提下,CFCA履行必需的个人信息出境安全评估程序后,会向境外第三方提供该信息。CFCA将与该境外第三方签署跨境传输安全协议,并将信息进行加密传输,尽商业上合理努力督促第三方在使用您的个人信息时遵守其适用的法律法规及协议约定的保密和安全措施。

(三)个人信息的共享

 

CFCA除以下情形将您的信息提供、分享给相关第三方外,不会向任何个人、企业或其他组织机构共享您的个人信息:

1.事先获得您明确、单独的同意或授权;

2.根据适用的法律、行政法规的要求,或者履行法定义务或职责,或者有法律、行政法规规定应当保密或者不需要告知的情形;

3.在法律、行政法规允许的范围内,在紧急状况下,为维护社会公众利益、您或者其他个人,或者CFCA、CFCA的关联方或合作伙伴的财产或安全免遭损害无法及时向您告知,但在紧急情况消除后将及时向您告知;

4.只有共享您的信息,才能实现您作为合同一方当事人的CFCA的产品/服务的核心功能或提供您需要的服务;

5.应您需求为您处理您与他人的纠纷或争议;

6.符合与您签署的相关协议(包括在线签署的电子协议以及相应的平台规则)或其他的法律文件约定所提供。

CFCA可能会出于审计、监督、 自查等业务合规目的,向CFCA的关联公司提供相关信息,如果其中包含您的个人信息,我们将确保仅共享必要的个人信息,且将受本政策中所述目的的约束。如关联公司改变处理您个人信息的目的、用途,我们将再次获得您的授权/同意。涉及到您的个人敏感信息时,我们还会在数据共享时,单独征得您的同意。

在共享您的个人信息前,CFCA尽商业上的合理努力,事先将开展个人信息安全影响评估,并依评估结果采取有效的保护您的措施,并与第三方签订数据安全和保密协议,约定数据接收方的责任和义务,要求第三方按照CFCA政策规定的相关的保密和安全措施的标准和要求来处理个人信息,或执行不低于本政策标准和要求(如网络安全三级等级保护要求)的信息和隐私安全保护政策。

在敏感个人信息使用上,CFCA要求第三方采用更为严格的数据脱敏


和加密技术,从而更好地保护用户数据。CFCA发现数据接收方违反法律法规要求或双方约定处理个人信息的,将立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除您的个人信息面临的安全风险;必要时CFCA将解除与数据接收方的业务关系,并要求数据接收方及时删除从CFCA获得的您的个人信息。

(四)个人信息的转让

 

CFCA不会将您的个人信息转让给除CFCA及其关联公司外的任何公司、组织和个人,但以下情况除外:

1.事先获得您的明确授权或同意;

2.根据法律、行政法规的要求;

3.CFCA或CFCA的关联公司若涉及合并、分立、清算、资产或业务的收购或出售等交易,您的个人信息有可能作为此类交易的一部分而被转移,CFCA将向您告知个人信息接收方的名称或者姓名和联系方式,同时确保该等信息在转移时的机密性,并要求其继续受此声明及政策的约束,履行个人信息处理者的义务;否则CFCA将要求该公司、组织重新向您征求授权同意。

4.CFCA会采取向其它服务器备份、在传输和存储过程中对您数据和鉴别信息进行加密等安全措施最大程度确保您的信息不丢失,不被滥用和变造,从而更好地保护用户数据。

(五)个人信息的公开披露

 

我们仅会在以下情形,公开披露您的个人信息:

1.在您明确同意或主动选择情况下,我们根据您授权情况公开披露您所指定的个人信息,并将事先进行个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施,准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、 目的、公开范围等;

2. 根据法律、法规的要求所必须提供您个人信息的情况下,我们依据要求公开披露您的个人信息。在符合法律法规的前提下,当我们收到上述披露信息的请求时,我们会要求必须出具与之相应的法律文件或依据,如传票或调查函。


(六)依法豁免征得同意对个人信息进行委托处理、向境外提供、共享、转让与披露的情形

在涉及以下情况时,我们对个人信息进行委托处理、向境外提供、共享、转让与披露的,我们可依法豁免征求您同意/授权:

1.与国家安全、国防安全直接有关的;

2.与公共安全、公共卫生、重大公共利益直接有关的;

3.与刑事侦查、起诉、审判和判决执行等直接有关的;

4.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

5.您自行向社会公众公开的个人信息;

6.从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。

根据法律规定,共享、转让经匿名化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向您通知并征得您的同意。

 

第三章 个人信息的保护

CFCA将尽商业上的合理努力保护其收集获取的用户个人信息。为防止用户个人信息在未经授权的情况下被非法访问、泄露、篡改、传输、

遗失、毁损、滥用或编造、处理或使用, CFCA已经并将继续采取以下措施保护您的个人信息:

(一)人员安全

 

CFCA高度重视信息安全保障工作,对于认证岗位的设置实行可信角色制。对于拟招聘任用的人员,在正式上岗前,CFCA统一进行员工背景调查,尤其是对于可信角色等关键岗位的任职员工,将进行严格的安全意识和能力的考察。此背景调查一般定期开展一次,确保我们遵循信息安全方面的规范,并且在任用时与其签订保密协议,禁止我们的员工在劳动关系存续期间及离职后非法泄露工作过程中知悉您的个人信息。

CFCA设置有专门的负责信息安全的岗位(比如:安全管理员),监督我们提供服务/产品的过程中,您的个人信息处理与传输,确保您的个人信息合法收集、使用与披露。


(二)技术安全措施

 

CFCA在数据安全保障方面,会采取一切合理可行的措施,执行符合国家标准、行业标准等安全措施与技术手段、程序,防止您的数据遭到非法访问、公开披露、使用、修改、损坏或丢失。

1.    访问控制

CFCA设立严格的数据访问制度,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。对可能接触到您个人信息的员工,CFCA采取最小够用授权原则,能访问、控制您个人信息的员工限定在因工作职责,需要且有必要知悉您个人信息的直接相关工作人员及高级管理人员。相关员工访问、改动信息的操作,需要进行身份识别与验证,接受视频及系统日志监控。上述员工被要求履行保密和安全义务,若其未能履行安全和保密义务,我们将与其解除劳动合同关系,且保留追究其法律责任的权利。以实现保护您在 CFCA账号的个人信息的目的。

此外,CFCA采取专门的数据和技术安全审计,设立日志审计和行为审计多项措施。我们会按照国家相关规定及CPS规定的程序/方式定期对您的个人信息数据访问记录进行审计检查,控制在业务必需及可支配的范围内。

2.    加密传输与存储

通过加密技术对您的个人信息进行加密脱敏保存,并通过现有技术进行隔离。

3.    脱敏显示

在我们使用您的个人信息时,我们会采用包括内容替换、数字摘要等多种数据脱敏技术,增强个人信息在使用中的安全性。CFCA将对您在我们产品/服务中提供的手机号码、身份证件、护照、港澳通行证等个人信息采取隐私处理措施,避免您因设备被不当使用时所造成的信息泄露与丢失。

同时,我们建立了两地三中心(北京、上海)的运行和灾备体系,确保数据的备份和恢复能力。

(三)数据安全管理机制

 

通过信息接触者保密协议、监控和审计机制来对数据进行全面安全控制。CFCA系统通过了公安部安全等级保护三级认证,同时还获得了ISO9001认证。


(四)应急处理措施

 

1. CFCA制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,并且将定期组织负责信息安全的重要员工进行安全预案演练。在发生危害网络安全的事件时,CFCA会立即启动应急预案,采取相应的补救措施,并按照相关规定向有关主管部门报告。

2. 在出现个人信息泄露等个人信息安全事件后,CFCA将按照法律法规的要求,及时向您告知安全事件的基本情况和可能的影响、 CFCA已采取或将要采取的处理措施、您可自主防范和降低风险的建议、对您的补救措施等。CFCA将及时将事件相关情况以网站、小程序、公众号、APP等官方渠道;或/和通过您使用CFCA账号预留的短信、电话、邮件等方式通知您,难以逐一告知时, CFCA会采取合理、有效的方式发布公告。同时,CFCA还将按照监管部门要求,主动上报个人信息安全事件的处置情况。

3. 如果您对CFCA的个人信息保护有任何疑问,或您发现自己的个人信息泄密时,尤其是您的账户及密码发生泄露,请您立即通过本政策“第九章 联系方式”的方式联络我们,以便我们采取相应措施。

(五)外部控制

 

CFCA因业务需要,或因接受审计与评估,聘请第三方专业机构的人员,其对于服务过程中接触的公司业务或认证过程中产生的订户的个人信息,CFCA会与第三方专业机构或该执行任务、进行审计评估的第三人签订保密协议或信息安全承诺书,要求其履行信息保密义务。当CFCA与第三方合作提供服务时,将对第三方进行监督,保证其执行实施不低于CFCA信息安全和政策要求的信息和隐私保护标准。

(六)特别提示

 

1.  请妥善保管您的证书、私钥及其激活与使用信息,切勿将相关介质或数据告知他人,如果您发现自己的个人信息泄露,

也请您及时通过CFCA提供的联系方式与我们取得联系,以便CFCA采取相应的措施,防止您的信息进一步非法扩散。

2.  请您理解,计算机和互联网技术飞速发展和实践应用速


度的限制,可能会导致威胁网络和设备安全的各种情形,CFCA将尽最大努力建立安全制度,采取安全措施,预防、抵御和化解各种安全风险,以此避免、减轻您因信息安全问题遭受损失或意外,但CFCA无法保证信息的完全绝对安全,无法保证完全排除、避免有关信息安全的风险或事故的发生。

3.  互联网并非封闭的绝对安全的环境,且您使用产品或服务的系统、通讯网络或硬件设备CFCA均无法控制,请您了解并注意个人信息安全的保护。

4.  如果我们的物理、技术或管理防护设施遭到破坏,导致信息被非授权访问、公开披露、篡改或毁坏,导致您的合法权益遭到损失,我们将承担相应的法律责任。

5.  除本政策明确列出的对您的个人信息处理活动外,CFCA还可能根据法律法规的要求、业务发展的需要或您的授权,将您的个人信息委托给第三方处理、向境外提供、与其他方共享、转让或披露。CFCA将确保所有此类个人信息处理活动均符合《中华人民共和国个人信息保护法》及相关法律法规的要求,并采取一切合理措施保障您的个人信息安全。

 

 

第四章 个人信息的存储

(一)保存时间

 

在认证成功后,CFCA对于为您使用CFCA产品/服务时所产生和收集您的相关个人信息将进行保存,且保存时间在提供产品服务期间将一直持续。在订购产品/服务结束证书注销后,因调查取证、归档备份等多重原因, CFCA仍将保存上述信息至少五年,涉及应用到政务领域的证书的,将至少保存至证书失效后十年,法律法规另有规定的除外。CFCA仅在本政策所述目的所必需期间和法律法规要求的期间内保留您的个人信息。

超过保存期限或您注销账户,CFCA将删除您的个人信息,或对个人信息作匿名化、脱敏化处理。

如果CFCA终止服务/产品停运,会至少提前九十(90)日通知您,并在终止服务/产品停运后对您的个人信息进行彻底删除或匿名化


处理。

(二)保存地点

 

您的个人信息将存储于中华人民共和国境内。如部分服务涉及跨境业务,在我们需要向境外机构传输境内收集您的个人信息时,我们会按照法律法规和相关监管部门的规定执行,向您说明个人信息出境的目的以及涉及的个人信息类型,征得您的同意,并通过签订协议、现场核查后进行个人信息传输动作。同时,我们将会要求境外机构在获得您的个人信息后,按照本政策进行保密,以确保您的个人信息安全。

 

 

第五章 您的个人信息管理权利

(一)查阅、复制权

 

除法律法规另有规定外,您有权访问您的个人信息,对您的姓名、身份证件号或数字证书数据进行查看、更新,其中证件号码信息将采取脱敏化方式予以显示。

您可以通过本政策记载的联系方式,告知我们您需要获取、查询的信息项,我们将在二十(20)工作日内回复您的访问请求及查看、复制方式及途径。

(二)更正、补充权

 

当您发现CFCA处理的您的个人信息错误或者不完整时,您有权通知CFCA要求CFCA在其产品和服务期内进行更正、补充。

您可以通过本政策记载的联系方式联系我们,告知需要获取的信息项,我们将在二十(20)工作日内回复您的更正请求。

(三)删除权

 

当出现以下情形,您可以请求CFCA删除您的个人信息:

1. CFCA处理您的个人信息的行为违反法律、行政法规或者违反与您的约定;

2. CFCA处理个人信息的行为,如经过司法机关或行政机机构证实,确未征得您的同意;

3. 您停止使用我们的产品或服务,或您注销了账号,或CFCA停止提供产品或服务,或个人信息保存期限达到法律法规规定的CFCA信息


保存义务的年限;

4. 法律、行政法规规定的其他您享有删除权的情形。

您也可以随时通过本声明及政策公示的联系方式联系CFCA, CFCA 将在二十(20)个工作日内回复您的删除请求。如果CFCA决定响应您的删除请求,CFCA还将同时通知从CFCA获得您的个人信息的第三方,要求其及时删除,除非法律法规另有规定,或这些实体获得您的独立授权。

(四)撤回同意权

 

我们提供的产品/服务中,大部分业务功能需要一些您的基本个人信息才能得以完成。对于额外收集的个人信息的收集和使用,您可以随时给予或收回您的授权同意。

您可以随时通过本声明记载的联系方式通知我们,我们将在二十(20)工作日内回复您,我们的处理决定和进度。

当您撤回同意后,CFCA将不再处理相应的个人信息。但您撤回同意的决定,不会影响此前基于您的授权和/或同意,而开展的个人信息处理。

(五)注销账户

 

如果您无法自行注销您的个人信息相关服务,您可以通过本政策记载的方式联系我们,我们将在二十(20)工作日内响应您的注销请求。

在注销账户之后,CFCA将停止为您提供产品/服务,并依据您的要求,删除您的个人信息,法律法规另有规定的除外。

如您向CFCA申请了数字证书进行了电子签名,您可在遵守《中华人民共和国电子签名法》及《CFCA数字证书服务协议》等相关法律法规的情况下进行注销账户,但注销账户并不等同于您能注销/否认/无效/推翻您的数字证书有效期间进行的合法行为,比如使用数字证书进行电子签名等法律行为。

(六)个人信息转移权

 

您有权获取您在我们产品/服务中留存的个人信息副本,您可以通过本政策记载的方式联系我们,提交详实的证明文件证明并确认是您本人做出的意思表示后,我们将以邮寄、电子邮件、现场复印等方式提供副本。

在满足国家监管部门规定,及技术可行的前提下,可按您的要求,


直接将您的个人信息副本加密传输给您指定的第三方。

(七)约束自动化决策的权利

 

在某些业务功能中,我们可能仅依据信息系统、算法等在内的非人工自动决策机制做出决定。在进行自动化决策时,我们将确保决策的透明度和结果公平、公正,不会对您在交易标的、价格等交易条件上实行不合理的差别待遇。

在进行信息推送时,一并为您提供不针对个人特征的选项和拒绝方式。如果您认为自动化决策结果显著影响了您的合法权益,您有权通过本政策列明的联系方式要求我们做出解释,并有权拒绝我们仅通过自动化决策的方式作出决定。

(八)对个人信息的生前安排

 

根据相关法律要求,您可以提前就您的个人信息提前进行生前安排,您可以通过本政策公布的联系方式,通过书面方式告知我们您的安排;若无另行安排,您的近亲属可以基于其合法、正当利益,对您身故后的相关个人信息依照相关法律规定及本政策约定,行使查阅、复制、更正、删除等权利。

 

(九)响应您的上述个人信息管理请求

 

为保障信息流通的安全,您可能需要提供书面请求,且提供相应的身份证明材料,我们会先验证您的身份,之后再处理您的请求。我们将在二十(20)工作日内响应您的请求。

对于您合理的请求,我们原则上不收取费用,但对于多次重复,超出合理限度的请求,我们将视情况收取一定的成本费用。对于无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际的请求,我们可能会予以拒绝。

在以下情形中,根据法律法规规定,CFCA将无法响应您的上述个人信息管理请求,包括访问、更正、删除、注销信息:

1.  与个人信息处理者履行法律法规规定的义务相关的;

2.  与国家安全、国防安全直接相关的;

3.  与公共安全、公共卫生、重大公共利益直接相关的;

4.  与刑事侦查、起诉、审判和执行判决等直接相关的;


5.  个人信息处理者有充分证据表明个人信息主体存在主观恶意或滥用权利的;

6.  出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

7.  响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;

8.   涉及商业秘密的。

 

 

第六章 对未成年人的个人信息保护

我们非常重视对未成年人的个人信息保护。我们的产品、网站和服务主要面向成年人(即法律意义上的完全民事行为能力人)。我们不会主动直接向未成年人收集其个人信息。如果我们发现未事先获得可证实的监护人同意的情况下收集了未成年人的个人信息,请您通过下文中的联系方式通知我们,我们会尽快设法删除相关数据

如您是未成年人,在未取得您监护人的同意,或您的监护人未同意的前提下,您向我们提供了您的个人信息,或使用了我们产品/服务,请您立即停止,并及时与我们联系,我们将同时停止收集、使用您的个人信息数据,并会尽快删除相关数据。

 

第七章 本政策的更新

为给您提供更好的服务,伴随我们的业务发展,本政策也会及时随之更新。未经您的同意,我们不会削减您按照本声明及政策所享有的权利。CFCA会通过合理的方式,如CFCA官方网站或其他官方应用平台等,发布新修订的声明及政策。如您在发布后五(5)日内未联系CFCA,提出对该政策的异议,并继续使用CFCA的产品或服务的,视为您同意修订后的声明及政策。我们将采取一切合理、必要的技术措施和管理措施,确保您的个人信息在收集、使用、存储、传输和披露等各个环节的安全。除本政策明确列出的保护措施外,CFCA还将根据法律法规的要求和业务发展的需要,不断更新和完善对您的个人信息保护。

当本政策发生重大变更,我们也将会通过更明显的方式通知您,包括但不限于官方微信推送、APP弹出窗 口、电话、短信、邮件等。

本政策所指的重大变更,包括但不限于:

1. 业务模式发生重大变化,如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;

2. 所有权结构、组织架构等方面发生重大变化,如业务调整、破产并购等引起的所有者变更等;


3. 个人信息共享、转让及披露的主要对象发生重大变化;

4. 信息处理方式和权利行使方式发生重大变化;

5. CFCA的联系方式或投诉渠道发生重大变化等;

6. 个人信息安全影响评估显示有高风险。

 

第八章 争议解决与法律适用

有关本声明及政策的成立、生效、履行、解释及纠纷解决均受到中华人民共和国大陆地区法律(不包含冲突法)法律管辖。如其中任何条款与中华人民共和国法律相抵触, 则这些条款将完全按法律规定重新解释,而其它条款依旧具有法律效力。您与CFCA就本声明及政策的适用或其它有关事项发生的争议,应当首先友好协商解决,协商不成时,应将纠纷或争议提请【北京仲裁委员会】进行仲裁。

除某些特定服务外,CFCA所有的产品、服务均适用本政策。这些特定服务将适用特定的政策。针对某些特定服务的特定政策,将更具体地说明在该等服务中如何使用您的信息。该特定服务的政策构成本政策的一部分。如相关特定服务的政策与本政策有不一致之处,适用该特定服务的政策。

如本政策与CFCA其他文件规范规定不一致的,如与数字证书服务协议、个人信息授权书等内容规定冲突的,适用数字证书服务协议、个人信息授权书等文件内容;如本政策与CPS规定不一致的,适用本政策。

 

请您注意,本政策不适用于以下情况:

1. 1.通过CFCA的服务而接入的第三方服务(包括任何第三方网站)收集的个人信息;

2. 2.CFCA接入其平台或向CFCA传输、提供个人信息的合作机构,为 自身服务所收集的个人信息。

 

 

第九章 联系方式

我们已经成立专利的个人信息与数据安全管理小组并配有专门的负责人员。如您对本隐私政策存在任何疑问,或对于您的个人信息处理存在任何投诉、意见,可通过以下渠道联系我们。

联系地址:北京市西城区菜市口南大街平原里20号楼1-7、1-9、

1-10。如果您有任何疑问、意见或建议,请通过以下联系方式与CFCA联系:

客服电话:400-880-9888


传真:010-63555032

 

 

一般情况下,我们将在前述约定的期限内完成身份核查和处理响应。