信息保护通知(隐私政策)

更新时间:2022年2月

保护客户及相关个人信息主体(统称“您”)的个人信息对法国巴黎银行(中国)有限公司(“银行”、“我行”或“我们”)至关重要。本信息保护通知提及的“相关个人信息主体”是指您(如您为银行的个人客户)以及与客户相关联的自然人,包括但不限于:工作人员(例如员工、承包商、顾问);董事、监事和其他管理人员;股东、实际控制人、受益所有人;法定代表人、授权签字人;共同借款人、担保人;支付交易的受益人;保险合同或保单和信托的受益人;家庭成员;继承人和权利持有人;房东;债务人(例如破产时)等。

本信息保护通知向您提供有关银行保护您的个人信息的透明和详细的信息。

作为个人信息处理者,我们负责收集、使用或以其他方式处理与我们业务活动相关的您的个人信息。本信息保护通知的目的是让您知道我们收集了您的哪些个人信息、我们处理这些个人信息的目的及方式、我们保存这些个人信息的时间、您的个人信息权利以及您行使这些权利的方式。我们建议您仔细阅读本信息保护通知,并特别注意采用粗体字标注的部分

信息保护通知适用于您联系我们、访问我们的网站、我们的应用程序或我们、使用我们的产品和服务、参与我们的调查或活动时,以及通过任何方式与我们沟通联络过程中所涉及的个人信息。当您申请特定产品或服务时,可能需要在必要时提供更多信息,我们可能就特定产品、服务或活动涉及的个人信息处理事宜与您另行达成约定;如我们与您就个人信息处理事宜达成的另行约定与本信息保护通知不一致的,以另行约定为准

本信息保护通知包含以下内容:

  1. 我们如何收集和使用您的个人信息
  2. 我们如何共享、委托处理、转让或公开披露您的个人信息
  3. 个人信息处理的特殊情形
  4. 我们如何使用Cookies及其他技术
  5. 未成年人的个人信息保护
  6. 我们如何存储及保护您的个人信息
  7. 您的个人信息相关权利
  8. 本信息保护通知的更新
  9. 如何联系我们

1. 我们如何收集和使用您的个人信息

您的个人信息是指以电子或者其他方式记录的与已识别或者可识别的相关个人信息主体有关的各种信息,但不包括匿名化处理后的信息;我们收集和使用的这些个人信息是在我们的业务活动范围内,为向您提供高标准的个性化产品和服务所需的个人信息。针对适用法律法规定义的某些敏感个人信息(指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息),除非根据适用法律法规、监管要求或已征得所需的授权同意,否则我们不会收集或使用您的敏感个人信息。

(1)我们向谁收集个人信息

我们会收集客户或相关个人信息主体主动提供的个人信息,也会间接收集相关个人信息主体的个人信息。当客户向我们提供相关个人信息主体或其他第三方的个人信息时,客户应确认该等个人信息的来源合法,且已经获得相关个人信息主体及第三方合法有效的授权同意;客户进一步确认相关个人信息主体及第三方已收到本信息保护通知,理解并同意本信息保护通知所载内容。 

依据适用法律法规或您的授权同意,我们还可能从以下渠道获取个人信息:

  • 法国巴黎银行集团其他实体;
  • 我行客户(企业或个人);
  • 我行的业务伙伴;
  • 支付发起服务提供商和聚合方(账户信息服务提供商);
  • 负责确保合法收集相关信息的第三方,如征信机构和欺诈预防机构或数据经纪人;
  • 官方机构或第三方提供的出版物/数据库(例如,由政府机构或金融监管机构运营的数据库);
  • 法律实体或专业客户的网站/社交媒体页面,其中包含您公开的信息(例如您自己的网站或社交媒体);
  • 新闻等公共信息。
  • 我们收集和使用您的哪些个人信息

(2)我们向谁收集个人信息

根据我们提供给您的产品或服务类型,我们收集的个人信息包括:

目的具体场景个人信息种类
遵守我们的各种法律和监管义务监控交易,以识别那些偏离正常程序/模式的交易管理、预防和检测欺诈行为,包括在法律要求的情况下,建立欺诈名单(包括欺诈者名单)监控和报告我们及/或法国巴黎银行集团可能出现的风险(财务、信贷、法律、合规或声誉风险、违约风险等)监控和记录电话、聊天、电子邮件等(我们将只在适用法律允许的范围内记录或监控通信,并遵守任何适用的条件)防止和侦查洗钱和资助恐怖主义行为,并通过我们的“了解你的客户”(KYC)流程遵守与处罚和禁运有关的法规(识别您的身份、验证您的身份、根据处罚名单筛选您的详细信息并确定您的个人资料)发现和管理可疑的命令和交易按照《金融工具市场条例》(MiFiD)对我方向各委托人提供投资服务的适当性或适宜性进行评估协助打击税务欺诈并履行税务控制和申报义务(包括遵守FATCA和AEOI要求)为会计目的记录交易预防、检测和报告与企业社会责任和可持续发展有关的风险发现和防止贿赂行为就不同的业务、交易或命令交换信息和报告,或对正式授权的金融、税务、行政、刑事或法律当局、仲裁员或调解员、执法、国家机构或公共机构的正式请求作出答复个人基本资料:如姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址、婚姻状况 个人身份识别信息:如身份证、护照、签证、驾驶证、工作证、签名、照片 个人生物识别信息:如个人录音录像 个人通信信息:您/相关个人信息主体与我们互动的通信记录和内容、短信、彩信、电子邮件 上网记录:您/相关个人信息主体使用我们网站、应用程序等在线平台操作记录,包括网站浏览记录、软件使用记录、点击记录  
履行与您签署的合同或在签订合同前应您的要求采取措施确定您的信用风险分数和偿债能力评估(例如,根据您的信用风险评分)我们是否可以为您提供产品或服务,以及适用的条件(包括价格)通过答复您的请求来帮助您为您提供产品或服务管理未偿还债务(识别和排除有未偿债务的客户)个人基本资料:如姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址、婚姻状况 个人身份识别信息:如身份证、护照、签证、驾驶证、工作证、签名、照片 个人生物识别信息:如个人录音录像 个人通信信息:您/相关个人信息主体与我们互动的通信记录和内容、短信、彩信、电子邮件
实现我们的合法利益风险管理目的;交易证明,包括电子证据;管理、预防和检测欺诈,包括在法律要求的情况下建立欺诈名单(包括欺诈者名单)监控交易以识别那些偏离正常例程/模式的交易评估您、保证人、担保提供者和/或您的最终受益人的信誉债务催收发生法律纠纷时的法律主张和抗辩开发个人统计模型,以帮助确定您、保证人、担保提供者和/或您的最终受益所有人的信誉与征信机构共享数据以识别信贷风险安全原因和IT系统性能,包括:管理IT,包括基础架构管理(如共享平台)、业务连续性和安全性(如互联网用户认证和防止数据泄漏)个人基本资料:如姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址、婚姻状况 个人身份识别信息:如身份证、护照、签证、驾驶证、工作证、签名、照片 个人通信信息:您/相关个人信息主体与我们互动的通信记录和内容、短信、彩信、电子邮件 上网记录:您/相关个人信息主体使用我们网站、应用程序等在线平台操作记录,包括网站浏览记录、软件使用记录、点击记录  

请注意上述信息系为了向您提供相关产品或服务,履行我们与您之间的合同,以及我们的法定职责义务所必需。如果您不能提供上述各场景对应所需的个人信息,我们可能无法为您提供相应的产品或服务。

此外,您可以自主选择,允许我们收集以下个人信息,如果您不提供该等信息仅会使您无法享受对应的便利或功能,但不影响您正常使用我们的其他服务:

目的具体场景个人信息种类
改善我们对您的服务我们为您提供的个性化服务:提高我们产品或服务的质量一般性服务:告知您我们的产品和服务进行用户满意度和意见调查  个人基本资料:如姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址 个人身份识别信息:如身份证、护照、签证、驾驶证、工作证、签名、照片 个人通信信息:您/相关个人信息主体与我们互动的通信记录和内容、短信、彩信、电子邮件 上网记录:您/相关个人信息主体使用我们网站、应用程序等在线平台操作记录,包括网站浏览记录、软件使用记录、点击记录  

虽然我们尽一切努力确保我们所掌握的关于您的所有个人信息是准确、完整和最新的,但如果您的个人信息有任何变化,请及时通知我们,这将对我们有很大的帮助。在适用法律法规允许的范围内,我们不对任何个人信息真实性负责,也不对您提供给我们的任何不准确或有缺陷的个人信息造成的任何损失负责

基于合法利益的情况下,我们确保个人信息处理的过程适当,并维护您的利益、基本权利和自由。如果您对将您的个人信息用于此目的或场景有任何异议或希望获得有关此平衡测试的更多信息,请通过下面第9节“如何与我们联系”中提供的联系方式与我们联系。

2. 我们如何共享、委托处理、转让或公开披露您的个人信息?

(1)共享及委托处理

a. 法国巴黎银行集团内部的信息共享或委托处理

我们可能出于以下目的在法国巴黎银行集团内共享或委托处理个人信息

  • 为履行反洗钱、反恐怖融资等义务,共享或委托处理为反洗钱、打击资助恐怖主义、处罚、禁运和“了解你的客户”而收集的数据;
  • 风险管理包括信用和运营风险(风险评级/信用评分等);
  • 预防、侦查和打击欺诈;
  • 研究和设计活动,特别是出于合规、风险、沟通和营销目的;
  • 全球一致的客户概览;
  • 为提供集团的所有产品和服务,使您能够从中受益。

如果您是我们企业及机构银行业务的客户,可能出于以下目的,(例如)访问和/或存储在持有投资及开展交易的管辖区的个人信息:

  • 为客户提供个性化的产品和服务(包括内容和价格)

b. 在法国巴黎银行集团外共享或委托处理信息

为了实现本信息保护通知中所述目的,我们可能会不时将您的个人信息共享或委托处理给以下接收方

  • 代表我们提供服务的服务提供商(例如,信息技术服务、后勤、印刷服务、电信、债务催收、顾问和咨询、分销和营销);
  • 银行和商业合作伙伴、独立代理、中介或经纪人、金融机构、交易对手、交易储存库(如果需要此类传输以允许我们向您提供服务和产品或履行我们的合同义务或交易)(例如银行、代理银行、托管机构、证券发行人、支付代理、交易所平台、保险公司、支付系统运营商、发行商或支付卡中介机构);
  • 适用法律法规允许的信用评级机构、征信机构、身份验证服务商;
  • 我行可能会根据适用法律法规或按照政府主管部门、监管机构、税务机关、法院等机构的强制性要求,共享或委托处理您的个人信息。

(2)转让

我们不会将您的个人信息转让给任何公司、组织和个人,但以下情形除外:

  • 在获得所需的同意后转让;
  • 根据法律法规、法律程序、诉讼或政府主管部门的强制性要求,我们可能会转让您的个人信息;或
  • 在涉及合并、分立、收购、业务/资产转让处置(包括资产证券化)、重组、解散、被宣告破产等类似情形时,如涉及到个人信息转让,我们会在要求新的持有您个人信息的公司、组织继续受本信息保护通知的约束,否则我们将要求该公司、组织重新征求所需的授权同意。

(3)公开披露

我们仅会在以下情形下,公开披露您的个人信息:

  • 在获得所需的同意后披露;或
  • 根据法律法规、法律程序、诉讼或政府主管部门的强制性要求,我们可能会公开披露您的个人信息。

(4)个人信息的跨境传输

当且仅当前述接收方涉及境外机构/人士时,该等共享、委托处理、转让或披露会发生个人信息的跨境传输,包括传输至境外或受到来自于境外的访问。这些境外国家/地区可能包括印度、香港特别行政区、新加坡、法国和欧盟的其他国家。无论是在境内或境外处理个人信息,根据适用法律法规,您的个人信息将受到我行以及接收方均需遵守的保密及安全规范的保护。

当个人信息被传输到适用法律不承认可以提供足够保护水平的国家或地区时,我们会根据适用法律的要求(视情况而言,包括但不限于签订国家网信部门制定的条款或欧盟标准合同条款)建立适当的数据传输机制,以确保个人信息得到保护。

3. 个人信息处理的特殊情形

在适用法律法规允许的范围内,在以下情形中,我们处理您的个人信息不必征得您的同意

  • 为订立、履行您作为一方当事人的合同所必需;
  • 为履行法定职责或者法定义务所必需;
  • 与国家安全、国防安全直接相关的;
  • 与公共安全、公共卫生、重大公共利益直接相关的;
  • 与刑事侦查、起诉、审判和判决执行等直接相关的;
  • 为应对突发公共卫生事件,或者紧急情况下为保护您或其他个人的生命健康和财产安全所必需的;
  • 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
  • 依照适用的法律法规在合理的范围内处理您自行公开或者其他已经合法公开的个人信息的;或
  • 法律、法规规定的其他情形。

4. 我们如何使用Cookies及其他技术?

当您访问、浏览、使用本行的任何网站、应用程序等线上平台时,我们可能会通过Cookies等数据文件进行记录,以分析网站、应用程序的访客人数和一般使用状况,帮助您减少信息录入的次数和频率,或协助判断您账户的安全状况。请注意Cookies收集的是去标识化的统计信息。您可以根据自己的偏好管理或删除Cookies,如果您想禁用Cookies,可更改您的浏览器、应用程序的设置,但更改后您有可能无法使用我们网站、应用程序的部分功能。

5. 未成年人的个人信息保护

未成年人不得使用我行的产品或服务,但为您办理的部分业务可能涉及到收集未成年人信息。请您确保向我们提供的相关未成年人的个人信息来源合法,且已获得其父母或监护人相应的授权同意。我们将按照适用法律法规、本信息保护通知对未成年人的个人信息进行特别保护。如我们发现在未获得所需授权同意的情况下处理了未成年的个人信息,则会设法尽快删除相关信息。

6. 我们如何存储及保护您的个人信息?

我们将根据适用法律法规、监管要求以及本信息保护通知所述目的(例如:适当的账户维护、促进客户关系管理以及响应法律索赔或监管要求),将您的个人信息存储至实现处理目的所必要的最短时间。就特定客户收集的大多数个人信息将在我们与该客户的合同关系存续期间以及合同关系终止后的特定年数内保存,或按适用法律法规的其他要求保存。当超出保存期限后,我们会对您的个人信息进行删除或匿名化处理,若删除个人信息从技术上难以实现的,我们会停止除存储和采取必要的安全保护措施之外的个人信息处理活动。

我们维护适当的物理、技术和程序保护措施,以保护您提供给我们的任何信息不会意外或未经授权的丢失、误用、损坏、修改、访问或披露。我们不会向任何第三方披露您的个人信息,除非披露是为了遵守法律、法规和监管要求,或根据本信息保护通知或其他协议(如有),或基于您的同意或授权。我们在使用外部服务商(单位或个人)提供的服务时,也对其施加严格保密义务,要求其在处理个人信息时遵守本信息保护通知的安全标准。

互联网环境并非百分之百安全,在不幸发生个人信息安全事件后,我们将按照适用法律法规的要求,及时向您告知相关信息,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,上报个人信息安全事件的处置情况。请您注意,根据适用法律法规,如果我们采取措施能够有效避免信息泄露、篡改、丢失造成危害的,我们可以选择不向您通知;但是监管部门认为可能造成危害并要求我们向您通知的,我们将根据要求进行通知

7. 您的个人信息相关权利

在适用法律规定的范围内以及适用法律许可的豁免外,您对您的个人信息享有以下权利:

  • 访问:您有权查询与您的个人信息处理相关的信息。
  • 复制:您有权对您的个人信息进行下载,以获得相应的个人信息副本。
  • 纠正:如果您认为您的个人信息不准确或不完整,您可以要求相应修改这些个人信息。
  • 删除:在某些情况下,您可以在法律允许的范围内要求删除您的个人信息。
  • 限制:在某些情况下,您可以请求限制处理您的个人信息。
  • 反对:在某些情况下,您可以基于与您的特定情况相关的理由反对处理您的个人信息。
  • 撤回您的同意:如果您不同意处理您的个人信息,您有权随时撤回您的同意。
  • 数据转移:在法律适用的情况下,您有权要求将您提供给我们的个人信息返还给您,或在技术上可行的情况下,将其转移给第三方。

如果您需要更多信息,或者您希望行使上述权利,请向我们发送书面请求或使用其他方法证明您的身份。我们可能会在处理您的请求前要求验证您的身份。对于您有关个人信息的前述合理要求,我们原则上不会向您收取费用。但对多次重复、超出合理限度的要求,我们将视情况在法律法规允许的范围内收取一定成本费用。如果有数据访问费用,我们将向您提供费用预估,并与您确认是否希望我们继续

尽管有前述规定,对于某些无端重复、需要过多技术手段、给他人合法权益带来风险,超出合理限度或者技术上非常不切实际的请求,我们可能会予以拒绝。此外,在以下情形中,我们可能无法响应您的请求

  • 与我们履行法律法规规定的义务相关的;
  • 与国家安全、国防安全直接相关的;
  • 与公共安全、公共卫生、重大公共利益直接相关的;
  • 与刑事侦查、起诉、审判和执行判决等直接相关的;
  • 我们有充分证据表明您存在主观恶意或滥用权利的;
  • 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
  • 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;或
  • 涉及商业秘密的。

8. 本信息保护通知的更新

因为身处技术不断变革的环境,以及根据适用法律法规的变化,我们可能需要不时更新此信息保护通知。未经您同意,我们不会削减或限制您按照本信息保护通知所享有的权利。我们邀请您在线查看本信息保护通知的最新版本,并且我们将通过我行网站或其他常用沟通渠道通知您任何重大变更。本信息保护通知所指的重大变更包括但不限于

  • 我们的服务模式发生重大变化,如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
  • 我们在所有权结构、组织架构等方面发生重大变化,如业务调整、破产并购等引起的所有者变更等;
  • 个人信息共享、转让或公开披露的主要对象发生变化;
  • 您参与个人信息处理方面的权利及其行使方式发生重大变化;
  • 我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;
  • 其他可能对您的个人信息权益产生重大影响的变化。

客户知悉并确认,如客户继续使用我们的产品或服务,即视为客户同意更新后的信息保护通知,且客户已将更新后的信息保护通知告知相关个人信息主体并已获得所需的授权同意

9. 如何联系我们?

如果您对我们根据本信息保护通知处理您个人信息存在任何疑问,请通过以下联系方式与我们的信息保护通讯员联系:

电子邮件:dl.prc.pdp2@asia.bnpparibas.com

电话:86-21-28962688