一、我們如何收集和使用您的個人信息
1.1 必要應用場景
我們僅會出于以下目的,收集和使用您的個人信息:
用戶在使用我們的產品和服務時,我們需要收集和使用用戶的一些個人信息,此類信息為產品與/或服務正常運行的必備信息,用戶須授權我們收集。如用戶拒絕提供,將無法正常使用我們的產品和服務。這些功能包括:
(1)賬號注冊
您需要提供手機號碼,并創建用戶名和密碼。您應知悉,手機號碼和驗證碼匹配結果屬于個人敏感信息,我們收集該類信息是為了滿足相關法律法規的要求,如拒絕提供可能導致無法使用我們的此功能,請謹慎考慮后再提供。
(2)為您展示和推送產品與/或服務
為了向您提供便捷化、快速的搜索結果以及交易安全,我們會收集關于您使用的我們的產品或服務以及使用方式的信息并將這些信息進行關聯。
這些信息包括:
設備信息:我們會根據您在軟件安裝及使用中授予的具體權限,接收并記錄您所使用的設備相關信息(例如設備型號、操作系統和應用程序版本、語言設置、軟件列表唯一設備識別碼(如IME/ /android D DFA/OPENUDID/GUID)),我們僅在您啟動APP時收集。
位置信息:設備所在位置相關信息(例如IP地址、GPS位置以及能夠提供相關信息的WLAN接入點、藍牙和基站等信息)。
存儲:為了使我們的軟件能夠更好的為您提供產品及增值服務,我們會將設備標識等需要持久化的數據緩存在您本地存儲中,以提升軟件的工作效率。
日志信息:當您使用我們的客戶端或網站提供的產品或服務時,為了符合《中華人民共和國網絡安全法》的要求,我們會自動收集您對我們服務的詳細使用情況,作為有關網絡日志保存。例如您的搜索內容、瀏覽器類型、瀏覽記錄、訂單信息、IP地址、設備MAC地址、訪問日期和時間及您訪問的網頁記錄等。請注意,單獨的設備信息、日志信息等是無法識別特定自然人身份的信息。如果我們將這類非個人信息與其他信息結合用于識別特定自然人身份,或者將其與個人信息結合使用,則在結合使用期間,這類非個人信息將被視為個人信息,除取得您授權或法律法規另有規定外,我們會將該類個人信息做匿名化、去標識化處理。
(3)下單預訂
機票業務:為了順利為您預訂機票并保證您合法出行,在您預訂機票時,需提供乘客姓名、性別、生日、證件號(如身份證、護照、港澳通行證、臺胞證、回鄉證、軍人證、外國人永久居留證、港澳居民居住證、臺灣居民居住證、其他身份證明)、出行時間以及聯系人手機號、信息。如需我們提供郵寄服務的,您還要提供用戶名、地址、收件人姓名及電話號碼。當您在使用部分航司提供的會員業務時,需提供姓名、證件號碼、手機號碼、電子郵箱、會員密碼信息用于注冊、登錄航司會員。當您在使用部分航司提供的上傳憑證退款業務時,需提供收款人姓名、身份證號碼、地址、銀行卡開戶行、開戶支行、開戶省市、銀行地址、銀行卡號、聯系電話、銀行國際代碼(境外卡)、身份證照片、病退證明、拒簽證明、卡注銷證明、航班變動證明、退訂證明,用于航空公司審核并直接向您提供退款服務。
火車票業務:為了順利為您預訂火車票并保證您合法出行,在您預訂火車票時,需提供乘客姓名、證件號(如身份證、護照、港澳通行證、臺胞證)、出行時間以及聯系人手機號信息。如您要配送票業務時,您還需要提供用戶名、地址、收件人姓名及電話號碼。
汽車、船票業務:為了順利為您預訂汽車、船票并保證您合法出行,在您預訂汽車、船票時,需提供乘客姓名、性別生日、證件號(如身份證、護照、港澳通行證、臺胞證、回鄉證、臺灣通行證、其他身份證明)、出行時間以及聯系人手機號信息。如您需要配送票業務時,您還需要提供用戶名、地址、收件人姓名及電話號碼。
用車業務:為了您順利使用用車業務,在您使用打車、接送機、接送站業務時,需要您提供乘客姓名、手機號、地址、乘車時間信息。
酒店業務:為了順利為您預訂酒店,在您預訂酒店時,需要您提供入住人姓名、手機號、證件號(部分酒店要)、入離店時間。
保險業務:為了您順利預訂保險產品,在您預訂保險產品時,需要您提供出發日期、返回日期、保期、投保人姓名、投保人出生日期、投保人證件號、投保人手機號碼信息。
常用信息:在您添加常用旅客信息以便于快捷添加旅客信息時,需要提供姓名、手機號碼、證件信息(如身份證、護照、駕照、港澳通行證、臺胞證、臺灣通行證、國際海員證、回鄉證、軍人證、港澳居民居住證、臺灣居民居住證、其他身份證明)、證件有效期。在您購買產品需要使用郵寄(發票、商品)服務并添加郵寄地址時,需提供姓名、手機號碼、地址。在您購買產品或者享受服務進行支付結算并添加常用銀行卡時,需提供本人銀行卡號、持卡人姓名、身份證、手機號碼信息。添加常用銀行卡后,您可在個人中心-我的銀行卡中可查看銀行卡信息。在您申請開具發票并添加發票抬頭時,需提供公司名稱、納稅人識別號信息。
(4)支付功能
在您下單后,您可以選擇與應用合作的第三方支付機構(包括銀行卡支付、微信支付、支付寶支付等支付通道,以下稱“支付機構)所提供的支付服務,此時可能需要您提供銀行卡卡號、銀行預留手機號、持卡人姓名、持卡人身份證件、卡驗證碼信息。支付功能本身并不收集您的個人信息,但我們需要將您的訂單號與交易金額信息與這些支付機構共享以實現其確認您的支付指令并完成支付。
(5)身份驗證
登錄驗證:為了您安全、便捷地登錄應用,您在登錄時可選擇密碼登錄、短信驗證碼等方式。手機號碼和驗證碼匹配結果將作為我們核驗您身份的方式。
重要操作行為驗證:為了保障您的賬戶安全,在您進行一些重要的賬戶操作時(例如:找回或修改密碼、實名認證、修改手機號),此時需要您提供手機號和驗證碼匹配結果、姓名、證件號碼(身份證、護照、港澳通行證、臺胞證)中的一項或幾項以核驗您的身份。
(6)客服與售后功能
我們的電話客服和售后功能會使用您的賬號信息和訂單信息。
為保證您的賬號安全,我們的呼叫中心客服和在線客服會使用您的賬號信息與您核驗您的身份。當您需要我們提供與您訂單信息相關的客服與售后服務時,我們將會查詢您的訂單信息。您有可能會在與我們的客服人員溝通時,提供給出上述信息外的其他信息,如當您要求我們變更配送票地址、聯系人或聯系電話。您在使用我們的呼叫中心客服時,您接聽和撥打我們的客服電話可能會被錄音,我們可能會使用通話錄音來監控我們的客服服務質量,檢查您所提供的信息的準確性以防止欺詐,或為了我們內部人員培訓的目的。
(7)為您提供安全保障
為提高您使用我們提供服務的安全性,保護您或其他用戶或公眾的人身財產安全免遭侵害,更好地預防釣魚網站、欺詐、網絡漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險,更準確地識別違反法律法規或應用相關協議規則的情況,我們可能使用或整合您的會員信息、交易信息、設備信息、軟件列表唯一設備識別碼(如ME/ android D/DFA/ OPENUDID/GUID)、有關網絡日志,來綜合判斷您賬戶及交易風險、進行身份驗證、防范安全事件,并依法采取必要的記錄、審計、分析、處置措施。
1.2 可選擇應用場景
您可選擇是否授權我們收集和使用您的個人信息的情形此類信息為非核心業務功能所需的信息,您可以選擇是否授權我們收集。如拒絕提供,將導致附加業務功能無法實現或無法達到我們擬達到的效果,但不影響您對核心業務功能的正常使用。
(1)基于位置信息的推薦服務:應用的部分服務需要基于您的位置信息提供,如在預訂機票時為您推薦行程出發城市、打車時為您推薦最近的上車點。如果您開啟設備的地理位置信息收集權限,應用將會收集您的位置信息,向您提供以上服務。您可以通過關閉定位功能,停止對您的地理位置信息的收集。
(2)基于相機/攝像頭的附加服務:您可以在開啟相機權限后使用相機拍照設置頭像、拍發票圖片進行ocr識別、掃描發票二維碼獲取發票信息、拍照上傳報銷憑證。請您知曉,即使您已同意開啟相機權限,我們也僅會在您主動點擊客戶端內相機圖標時通過相機拍照。
(3)基于相冊/圖庫的圖片訪問的附加服務:您可以在開啟相冊權限后使用該功能上傳您的照片/圖片,實現設置頭像、選擇發票圖片進行ocr識別、上傳報銷憑證。請您知曉,即使您已同意開啟相冊權限,我們也僅會在您主動點擊客戶端內相冊選擇圖標時訪問相冊圖片。
(4)基于日歷的附加服務:在您開啟我們可讀取/寫入您日歷的權限后,我們將收集您的日歷信息用于向您提醒臨近行程和個人備忘錄信息。
(5)基于通訊錄的附加服務:您可以允許我們訪問您的通訊錄,獲取聯系人姓名、手機號碼信息,方便為您的聯系人進行下單及預訂。
(6)獲取應用安裝列表,是為了檢查用戶是否已安裝某個應用,進行第三方應用喚起:包括百度地圖/高德地圖(導航功能:導航前需要檢查用戶是否已安裝)、微信/QQ/企業微信/釘釘(分享+微信支付功能:分享前需要檢查用戶是否已安裝此軟件,安裝后才能喚起)、支付寶(支付寶支付+支付寶卡包:需要跳轉支付寶,跳轉前需檢查是否已安裝)
上述附加功能需要您在您的設備中向我們開啟您的地理位置、相機、相冊、日歷、通訊錄的訪問權限。如您是安卓用戶,您可以通過移動設備設置-權限管理逐項查看您上述權限的開啟狀態,并可以決定將這些權限隨時的開啟或關閉。如您是蘋果用戶,您可以通過移動設備-設置-隱私查看、開啟或關閉上述權限。請您注意,您開啟這些權限即代表您授權我們可以收集和使用這些個人信息來實現上述的功能,您關閉權限即代表您取消了這些授權,則我們將不再繼續收集和使用您的這些個人信息,也無法為您提供上述與這些授權所對應的功能。您關閉權限的決定不會影響此前基于您的授權所進行的個人信息的處理。
1.3 無需征得您的授權同意場景
您充分知曉,以下情形中我們使用個人信息無需征得您的授權同意:
與國家安全、國防安全有關的;
與公共安全、公共衛生、重大公共利益有關的;
犯罪偵查、起訴、審判和判決執行等有關的;
出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人同意的;
所收集的個人信息是個人信息主體自行向社會公眾公開的;
從合法公開披露的信息中收集的您的個人信息的,如合法的新聞報道、政府信息公開等渠道;
根據您的要求簽訂合同所必需的;
用于維護所提供的產品或服務的安全穩定運行所必需的,例如發現、處置產品或服務的故障;
學術研究機構基于公共利益開展統計或學術研究所必要,且對外提供學術研究或描述的結果時,對結果中所包含的個人信息進行去標識化處理的;
法律法規規定的其他情形
二、我們如何使用Cookie技術
這份Cookie聲明解釋了當您訪問本系統的時候,系統如何使用Cookies和類似技術來識別您,本Cookie聲明適用于本系統與應用軟件(APP)。Cookies是您訪問網站時放置在您的計算機或移動設備上的小型數據文件。網站所有者通過廣泛使用Cookies以使其網站能夠更高效地工作,或其目的在于更高效地工作,以及向其報告信息。
我們設置的Cookie稱為“第一方Cookies”。?由于技術上的原因,需要一些Cookies用來識別登錄用戶,保證網站運行。?此類Cookies使我們的網站能夠記住您所做的選擇(例如您的用戶名、語言或您所在的地區),以便提供更好的在線體驗。
我們不會將 Cookies 用于本隱私政策所述目的之外的任何用途。您可自己管理或刪除 Cookies。您可以清除計算機上保存的所有 Cookies,大部分網絡瀏覽器會自動接受Cookies,但您通常可根據自己的需要來修改瀏覽器的設置以拒絕 Cookies;另外,您也可以清除軟件內保存的所有Cookies。
三、我們如何保護和保存您的個人信息
3.1 我們保護您個人信息的技術與措施
我們非常重視個人信息安全,并采取一切合理可行的措施,保護您的個人信息:
3.1.1 安全認證和服務
我們存儲您個人信息的底層云技術取得了公安部安全等級保護三級認證,同時還獲得了ISO27001認證。
為加強安全意識。我們會舉辦安全和隱私保護培訓課程,加強員工對保護個人信息重要性的認識。
3.1.2 數據安全
(1)數據采集:對于提供注冊功能來收集用戶信息的系統,需提供注銷賬戶功能;用戶授權日志需永久保存;
(2)數據傳輸要求:涉及外網隱私數據傳輸的系統,互聯網段的傳輸,采用HTTPS通道加密或內容加密中的一種方式傳輸,也可兩種加密方式結合的方式傳輸;
(3)內部系統傳輸加密:對于信息安全統籌加密的隱私數據,系統上游密文傳輸給下游,禁止明文傳輸。信息安全統籌加密的隱私數據包括:電話、地址、銀行卡號、郵箱、證件號(身份證、護照等);
(4)涉及信息安全統籌加密的隱私數據的系統,需采用信息安全提供的密碼機統一加解密。信息安全統籌加密要求:
① 源端加密:各數據采集系統等作為源頭開啟隱私字段加密;
② 存儲加密:系統如需存儲隱私字段,必須密文落庫,禁止明文落庫;
③ 傳輸加密:系統上游使用密文傳輸給下游,禁止明文傳輸;
(5)使用的算法
系統中采用國密算法,國密即國家密碼局認定的國產密碼算法。主要使用有SM2,SM3,SM4,密鑰長度和分組長度均為128位。SM2為非對稱加密,基于ECC。該算法已公開。由于該算法基于ECC,故其簽名速度與秘鑰生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一種)安全強度比RSA 2048位高,但運算速度快于RSA。SM3 消息摘要,校驗結果為256位。SM4 無線局域網標準的分組數據算法。對稱加密,密鑰長度和分組長度均為128位。
對敏感數據禁止數據庫和日志文件中明文存儲,系統中對用戶支付密碼、銀行卡卡號、身份證、手機號碼、郵箱地址等數據使用國密SM4進行加密存儲。
(6)訪問控制
必須對可訪問敏感信息資源的應用權限進行細分,權限至少可以控制到應用菜單級別;訪問絕密及機密數據必須得到授權,并按照最小化權限進行權限授予;絕密及機密數據必須設置訪問權限,防止越權訪問;
(7)數據脫敏:需將隱私字段直接密文展示,或者脫敏展示。脫敏規則,使用星號*替代部分信息。
3.1.3 請求安全
前端頁面請求后臺服務采用Post方式,避免使用Get方式時在請求地址中明文發送數據。
3.1.4 傳輸安全
系統支持https協議保證傳輸安全,HTTPS 協議是由 HTTP 加上 TLS/SSL 協議構建的可進行加密傳輸、身份認證的網絡協議,主要通過數字證書、加密算法、非對稱密鑰等技術完成互聯網數據傳輸加密,實現互聯網傳輸安全保護
3.1.5 存儲安全
(1)使用強壯的加密算法對保存在后臺數據庫中的信用卡、手機號、身份證等敏感數據進行加密保存;系統使用國密算法中SM4對電話、手機、證件號、銀行卡號,支付賬號加密后存儲
(2)可對接客戶方已部署的加密機,對數據進行加解密保存;
(3)系統禁止明文密碼存儲,如果采用hash算法對密碼進行hash,至少采用強度為帶salt的SHA512用于對密碼進行hash。系統采用國密SM3消息摘要算法,該算法已公開。校驗結果為256位,加密后的長度是64位
3.1.6 接口安全
系統中對外接口經過統一規范命名、對出入參嚴格限制過濾多余字段,僅傳遞業務必須的字段。并對訪問進行授權,需要有安全秘鑰或IP白名單才能訪問。
簽名認證:簽名機制使用國密sm3摘要算法,由系統提供簽名的key,調用方需要通過時間戳+賬號+key組合簽名。
IP白名單控制:只有設定的IP來源才能訪問接口,支持多個ip和ip段配置。
統一入口控制:接口地址統一,所有對外提供的接口必須經過”對外接口服務”才能訪問,在這個服務中對接口訪問進行鑒權和日志記錄。
3.1.7 互聯網并非絕對安全的環境,而且電子郵件、即時通訊、社交軟件等與其他用戶的交流方式無法確定是否完全加密,我們建議您使用此類工具時請使用復雜密碼,并注意保護您的個人信息安全。請您妥善保護自己的個人信息,僅在必要的情形下向他人提供。互聯網環境并非百分之百安全,我們將盡力確保或擔保您發送給我們的任何信息的安全性。如果我們的物理、技術或管理防護設施遭到破壞,導致信息被非授權訪問、公開披露、篡改或毀壞,導致您的合法權益受損,我們將承擔相應的法律責任。
3.1.8 如果您對我們的個人信息保護有任何疑問,可通過本隱私政策中約定的聯系方式聯系我們。如您發現自己的個人信息泄露,尤其是您的賬戶及密碼發生泄露,請您立即通過本隱私政策【六、如何聯系我們】中約定的聯系方式聯絡我們,以便我們采取相應措施。
3.2 您個人信息的保存
1、您的個人信息將存儲于中華人民共和國境內。本隱私政策以及其他任何相關的保密和安全措施來處理這些個人信息。
2、在您使用我們的產品與/或服務期間,您的個人信息將在為了實現本政策所述目的之期限內保存,同時將結合法律有強制的留存要求期限的規定確定,如《中華人民共和國民法典》要求商品和服務信息、交易信息保存時間自交易完成之日起不少于三年。在超出保存期間后,我們會根據適用法律的要求刪除您的個人信息,或進行匿名化處理。
3、如果我們終止服務或運營,我們會至少提前三十日向您通知,并在終止服務或運營后對您的個人信息進行刪除或匿名化處理。
4、我們尊重和保護用戶個人隱私。未經用戶授權,我們不得對外披露用戶注冊資料及用戶保存在我們網站或移動端中的非公開內容,但下列情形除外:(1)事先獲得用戶的明確授權;?(2)根據有關法律法規的規定或相關政府主管部門的要求;?(3)為維護社會公共利益的需要;?(4)為維護勝意費控云的合法權益。(5)我們與用戶簽署的其他協議有約定。(6)我們的附屬公司武漢市勝意之旅旅行社有限公司(即為我們軟件消費場景的指定供應商和服務商)為您提供相關服務而獲取的用戶個人信息。
5、基于處理用戶付款退款、票據下單及配送或幫助您使用我們客戶端的需要(如有些服務需要我們與第三方服務商同時向您提供服務),我們可能向上述情形外的第三方共享您的相關個人信息,但須經過您的授權(如需要您親自操作后才可生效視為授權)。
6、對我們與之共享個人信息的公司、組織和個人,我們會與其簽署嚴格的保密協定,要求他們按照我們的說明、本隱私政策以及其他任何相關的保密和安全措施來處理個人信息。在個人敏感數據使用上,我們要求第三方采用數據脫敏和加密技術。我們接入的合作伙伴等第三方的SDK目錄請查閱《第三方SDK目錄》
四、個人信息管理
4.1 用戶在申請使用我們的服務時必須提供準確的個人資料,如個人資料有任何變動,用戶必須及時更新。一旦注冊成功, 用戶將得到一個賬號和對應的密碼。該賬號具有唯一性,用戶應妥善保管并對其賬號和密碼的安全承擔全部責任。
4.2 用戶可隨時根據提示改變其密碼,但是,不得將其賬號、密碼轉讓或出借予他人使用。如用戶發現其賬號遭他人非法使用或存在安全漏洞的情況,應第一時間通知我們。因黑客行為或用戶的保管疏忽導致賬號、密碼遭他人非法使用,將由客戶承擔所有損失,我們不承擔任何賠償或補償責任。
4.3 當您需要注銷賬號時,你需要聯系您企業系統管理員,由管理員核實后進行賬號注銷,注銷時效取決于您的系統管理員處理時間;當您注銷賬號后,我們將停止為您提供產品與/或服務。
4.4 您需對您個人賬戶中的所有活動和事件負全責。用戶使用我們的服務時必須遵守以下原則,否則我們有權采取下列措施,如中斷對用戶提供服務,取消或封存用戶服務賬號、刪除不當言論等,并追究您依法應承擔的相應法律責任。
4.5 用戶使用我們服務時必須遵守以下原則:
(1)遵守國家有關法律和法規;?
(2)遵守所有使用網絡服務的協議、規定、程序和行業習慣;?
(3)不得為任何非法目的而使用網絡服務系統;
(4)不得傳輸任何騷擾性的、中傷他人的、辱罵性的、恐嚇性的、庸俗的、淫穢的、教唆他人實施犯罪行為等非法的信息資料;
(5)不得侵犯任何第三方的知識產權(著作權、商標權等)、名譽權、肖像權及其他合法權益;
(6)?不得利用勝意費控云網絡服務系統進行任何不利于勝意費控云的行為;?
(7)不干擾或擾亂正常網絡服務;
(8)未經許可不得非法進入其他電腦系統。
4.6 用戶不得在我們的客戶端上復制、發布、傳播以下信息:
(1)反對憲法所確定的基本原則的;?
(2)危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的;?
(3)損害國家榮譽和利益的;
(4)煽動民族仇恨、民族歧視,破壞民族團結的;
(5)破壞國家宗教政策,宣揚邪教和封建迷信的;?
(6)散布謠言,擾亂社會秩序,破壞社會穩定的;?
(7)散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
(8)侮辱或者誹謗他人,侵害他人合法權益的;
(9)含有法律、行政法規禁止的其他內容的。
4.7 用戶不得利用我們的客戶端從事以下活動:
(1)未經允許,進入計算機信息網絡或者使用計算機信息網絡資源;
(2)未經允許,對計算機信息網絡功能進行刪除、修改或者增加;?
(3)未經允許,對進入計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;?
(4)故意制作、傳播計算機病毒等破壞性程序;
(5)其他危害計算機信息網絡安全的行為。
五、政策修訂
根據國家法律法規的更新及我們客戶端運營需要,我們有權對本協議不時地進行修改,修改后的隱私協議一旦被張貼在我們客戶端即生效力,并代替原來的隱私協議。您可隨時登錄查閱最新隱私協議內容。如您不同意更新后的隱私協議,應立即停止接受我們客戶端提供的服務;如您繼續使用,即視為同意更新后的隱私協議。如果本協議中任何一條被視為廢止、無效或因任何理由不可執行,該條應視為可分的且并不影響任何其余協議的有效性和可執行性。
六、如何聯系我們
1. 如您對本隱私政策或您個人信息的相關事宜有任何問題、意見或建議,請通過以下方式與我們聯系:
個人信息保護負責人郵箱: privacy@vetech.cn
聯系地址:武漢江夏區藏龍島武漢研創中心西區10棟。
您還可以隨時通過訪問在線客服系統或撥打我們的任何一部客服電話等多種方式與我們聯系。
2. 一般情況下,我們將在15天內回復。如果您對我們的回復不滿意,特別是我們的個人信息處理行為損害了您的合法權益,您還可以向網信、電信、公安及工商等監管部門進行投訴或舉報。
本隱私政策版本更新日期為2021年4月25日,于2021年5月01日正式生效。
