欧盟/瑞士-美国隐私之盾的隐私政策

上次更新:2018 年 7 月 30 日

VeriSign, Inc.(以下简称“威瑞信”)充分尊重消费者对隐私的顾虑。威瑞信参与了由美国商务部发布的欧盟-美国和瑞士-美国隐私之盾框架(统称为“隐私之盾”)的制定工作。威瑞信致力于遵守有关消费者个人数据的隐私之盾原则,威瑞信根据隐私之盾框架从欧盟和瑞士处收取这些个人数据。本政策描述了威瑞信如何实施有关消费者个人数据的隐私之盾原则。

对于本政策来说:

“消费者”是指位于欧盟或瑞士的任何自然人,但不包括以员工身份行事的任何个人。

“管理员”是指单独或与他人共同确定个人数据处理之目的和方式的个人或组织。

“客户”是指威瑞信为其提供产品和/或服务的任何实体,这些服务包括但不限于 ICANN 批准的注册服务、DDoS 防护服务或托管 DNS 服务。

“员工”是指威瑞信或其欧盟或瑞士关联公司的任何现任/前任/潜在员工、承包商、实习生或临时工,或者是威瑞信根据雇佣关系处理其个人数据的任何身处欧盟或瑞士的相关个人。

“欧盟”是指欧盟联盟和冰岛、列支敦斯登和挪威。

“个人数据”是指包括敏感数据的任何信息,即 (i) 关于已识别或可识别个人的数据,(ii) 美国威瑞信从欧盟或瑞士收取的信息,以及 (iii) 以任何形式记录的数据。

“隐私之盾原则”是指隐私之盾的原则和补充原则。

“处理者”是指代表管理员处理个人数据的任何自然人或法人、公共机构、代理商或其他机构。

“敏感数据”是指各种个人数据,这些数据指定医疗或健康状况、种族或民族血统、政治观点、宗教或哲学信仰、工会会员关系(包括与工会有关的观点或活动)、性生活(包括个人性行为)、有关社会保障措施的信息、犯罪行为或指称的犯罪行为、对个人所犯下或指称犯下的任何罪行的任何诉讼程序或者此类诉讼程序中的法院判决(包括行政诉讼和刑事诉讼制裁)。

可在 https://www.privacyshield.gov/ 中了解威瑞信的隐私之盾认证以及有关隐私之盾的其他信息。有关威瑞信如何处理在消费者访问威瑞信网站时从其处收集的个人数据的更多信息,请访问位于 http://www.verisign.com/en_US/privacy/index.xhtml 的威瑞信隐私声明。

威瑞信所收集个人数据的类型

对于其所获得和维护的消费者个人数据,威瑞信同时充当管理员和处理者的角色。

管理员的活动

作为管理员,威瑞信以各种方式获取有关消费者的个人数据。例如,威瑞信会在消费者访问威瑞信网站时收集其个人数据。威瑞信可能会根据隐私声明 (http://www.verisign.com/en_US/privacy/index.xhtml) 中所述的目的,使用在消费者访问威瑞信网站时从其处收集的个人数据。由于会更改从消费者处收集的个人数据类型,因此威瑞信可能不时更新其隐私声明。

此外,威瑞信还从当前和潜在客户的代表处获取个人数据,例如联系信息和付款或财务账户数据。威瑞信使用此信息来管理其与当前和潜在客户的关系,处理付款,并根据与客户签订的合同履行威瑞信的义务。

威瑞信还会获取其供应商和服务提供商代表的个人数据。获得的信息可能包括联系信息和支付或财务账户数据。威瑞信使用此信息来管理其与供应商和服务提供商的关系,处理付款,并根据与这些相关方签订的合同履行威瑞信的义务。

威瑞信还以其他方式获取和使用消费者个人数据,并在收集此类数据时提供特定通知。

处理者的活动

作为处理者,威瑞信可能会收取与向其客户提供服务相关的消费者个人数据,包括可能包含在从客户处收取之 WHOIS 信息中的域名注册商个人数据、托管 DNS 请求,以及转接威瑞信系统的加密数据流,该加密数据流的作用是为其客户提供在线安全服务,例如在 DDoS 攻击期间提供安全性。

威瑞信关于消费者个人数据处理的隐私惯例在通知;选择;转送职责;安全;数据完整性和目的限制;访问权;

以及追索、执法和责任方面均遵从隐私之盾原则,下面详细介绍每一方面。

通知

威瑞信在此政策和威瑞信隐私声明 (http://www.verisign.com/en_US/privacy/index.xhtml) 中提供有关其消费者个人数据隐私惯例的信息,其中包括威瑞信收集的个人数据类型、威瑞信向其披露个人数据的第三方类型及披露目的、消费者限制其个人数据之使用/披露的权利和选择权,以及如何联系威瑞信了解有关个人数据的隐私惯例。

当威瑞信作为处理者,且消费者个人数据由客户或客户代表转送到位于美国的威瑞信时,客户有责任向其消费者提供适当的通知并确保其以合法的基础收集此类个人数据,例如获得消费者的必要同意。

也可以在与特定数据处理活动有关的通知中获得相关信息。

选择

当威瑞信以管理员身份收集消费者个人数据时,威瑞信通常会让相关消费者有机会选择其个人数据是否可以 (i) 向第三方管理员披露或 (ii) 用于与最初收集信息或随后相关消费者授权之目的严重不符的其他用途。在隐私之盾原则要求的范围内,威瑞信应获得敏感数据的某些使用和披露方式的选择性同意。这些消费者可以按照下文所述的方式与威瑞信联系,以了解威瑞信对其个人数据的使用或披露。除非威瑞信为这些消费者提供合适的选择权,否则威瑞信仅将个人数据用于与本政策中所述目的完全相同的用途。

当威瑞信作为处理者获得其客户的消费者个人数据时,威瑞信的客户有责任向其消费者提供适当的通知,并确保其向相关消费者提供有关客户使用或披露消费者个人数据的特定选择权。

威瑞信向其相关公司和子公司分享某些消费者个人数据。威瑞信可能会在未提供选择退出机会的情况下披露消费者个人数据,并可能在如下情况下被要求披露个人数据:(i) 披露给第三方处理者,威瑞信聘请这些处理者代表其根据相关指示提供服务,(ii) 根据法律或法律程序要求提供此类数据,或(iii)响应政府当局的合法要求,包括满足国家安全、政府利益或执法的要求。威瑞信还保留在接受审计的情况下转移消费者个人数据的权利,或者在威瑞信销售或转让其全部或部分业务或资产(包括合并、收购、合资、重组、解散或清算)时转移此类数据的权利。

个人数据的转送职责

本政策和威瑞信的隐私声明 (http://www.verisign.com/en_US/privacy/index.xhtml) 描述了威瑞信如何共享其消费者个人数据。

在威瑞信充当管理员的范围内,除适用法律允许或要求外,威瑞信应向消费者提供选择不与第三方管理员共享其个人数据的机会。威瑞信要求向其披露此类消费者个人数据的第三方管理员以合同形式同意如下条款:(i) 仅出于与相关消费者提供同意之内容相符的有限和特定目的处理个人数据;(ii) 根据隐私之盾原则的要求为个人数据提供相同程度保护;以及 (iii) 如果第三方管理员确定其不能履行根据隐私之盾原则的要求为个人数据提供相同程度保护的义务,则应通知威瑞信并停止处理个人数据(或采取其他合理和适当的补救措施)。

关于向第三方处理者转移消费者个人数据,威瑞信 (i) 与每位相关处理者签订合同,(ii) 仅出于有限和特定目的将个人数据转移给每位此类处理者,(iii) 确信处理者有义务为个人数据提供至少与隐私之盾原则所要求之相同程度的隐私保护,(iv) 采取合理和适当的步骤,以确保处理者采用与威瑞信根据隐私之盾原则所承担义务一致的方式有效地处理个人数据,(v) 如果处理方确定其不再能够履行根据隐私之盾原则要求提供相同程度保护的义务,则要求处理者通知威瑞信,(vi) 在收到通知后,包括上述第 (v) 项中的通知,采取合理和适当的步骤来停止和修复处理者对个人数据的未经授权处理,以及 (vii) 根据要求,向美国商务部提供处理者合同的相关隐私条款的摘要或代表性副本。如果威瑞信的第三方处理者转送接收方采用与隐私之盾原则不一致的方式处理相关的个人数据,则除非威瑞信证明此方式不会引发损害,否则其仍然根据隐私之盾原则承担相应责任。

安全

威瑞信充分考虑处理过程中涉及的风险和个人数据的性质,采取合理和适当的措施,切实保护消费者个人数据免受丢失、滥用和未经授权的访问、披露、更改以及破坏。

数据完整性和目的限制

威瑞信将其处理的消费者个人数据限制为与特定处理相关的数据。威瑞信不会采用与收集信息或随后由相关消费者授权之目的不相容的方式处理消费者个人数据。此外,在达成这些目的所必需的范围内,并且根据其作为管理员或处理者的角色,威瑞信采取合理的措施确保其处理的个人数据 (i) 能够可靠地达成其预期用途,以及 (ii) 准确、完整和保持最新状态。就此方面而言,在达成收集信息或随后授权之目的所必需的范围内,威瑞信依赖其消费者和客户(涉及与威瑞信没有直接关系的消费者的个人数据)更新和修正相关的个人数据。消费者(和客户,视情况而定)可以按照以下说明联系威瑞信,要求威瑞信更新或更正相关的个人数据。

根据适用法律,威瑞信以适当形式保留消费者个人数据,只有在符合与收集或随后消费者授权之个人数据的目的时,这些数据才能识别或呈现相关消费者的可识别性。

访问权

消费者通常有权访问其个人数据。因此,在威瑞信充当管理员的范围内,威瑞信在适当情况下为消费者提供访问其所维护之个人数据的合理权限。威瑞信还为这些消费者提供了合理的机会,使其可在信息不正确或在违反隐私之盾原则进行处理的情况下进行更正、修改或删除。如果提供访问权的负担或费用与有关情况下消费者隐私的风险不成比例,或者违反了消费者以外之人员的权利,威瑞信可以限制或拒绝访问个人数据。消费者可以通过按如下所述方式联系威瑞信请求访问其个人数据。

当威瑞信作为处理者获得其客户的消费者个人数据时,威瑞信的客户有责任为消费者提供访问个人数据的权利,并且有权在数据不合适或已违反隐私之盾原则进行处理的信息下,酌情更正、修改或删除信息。在此类情况下,消费者应将问题提交给相应的威瑞信客户。如果消费者无法联系相应的客户或未获得客户的回复,威瑞信将提供合理的帮助,协助向客户转发消费者的请求。

追索、执法和责任

威瑞信采取适当的机制,旨在帮助确保遵从隐私之盾原则。威瑞信每年都会对其消费者个人数据惯例进行自我评估,以验证威瑞信对其隐私之盾隐私惯例做出的证明和断言是否属实,以及确定威瑞信的隐私惯例是否按照隐私之盾原则的规定实施。

消费者可以向威瑞信提出有关威瑞信处理其个人数据的投诉。威瑞信将采取措施纠正因涉嫌未遵守隐私之盾原则而引发的问题。消费者可以按照以下指定的方式联系威瑞信,了解有关威瑞信消费者个人数据惯例的投诉方式。

如果消费者的投诉无法通过威瑞信的内部处理流程解决,威瑞信将根据 JAMS 隐私之盾计划与 JAMS 合作予以解决,该计划在 JAMS 网站 (https://www.jamsadr.com/eu-us-privacy-shield) 中有所描述。可以按照 JAMS 规则的规定开始 JAMS 调节流程。在实施争议解决程序且未能解决问题之后,调解员或消费者可以将此事项提交给具有隐私之盾调查和执法权力的美国联邦贸易委员会。在某些情况下,消费者也可以援引具有约束力的仲裁来解决有关威瑞信遵守隐私之盾原则的投诉。

当威瑞信作为处理者获得其客户的消费者个人数据时,消费者可以根据客户的争议解决流程向相关客户提交有关处理其个人数据的投诉。威瑞信将应客户或消费者的要求参与此流程。

如何联系威瑞信

若要联系威瑞信,提出有关本政策或威瑞信消费者个人数据惯例的问题或疑虑,或者提出投诉:

请写信并寄至:

VeriSign, Inc.
12061 Bluemont Way
Reston, VA 20176
Attn:Privacy Committee

contactprivacy@verisign.com