遵循欧盟/瑞士-美国隐私之盾的隐私政策
2.0 版 — 最新更新和生效日期:2020 年 7 月 30 日
VeriSign, Inc.(以下简称“威瑞信”)尊重消费者对隐私的关注。威瑞信参与了由美国商务部发布的欧盟-美国和瑞士-美国隐私之盾框架(统称为“隐私之盾”)。威瑞信致力于遵循有关消费者个人数据的隐私之盾原则,并依据隐私之盾框架从欧盟和瑞士接收这些个人数据。本政策描述了威瑞信如何实施有关消费者个人数据的隐私之盾原则。
就本政策的目的而言:
“消费者”是指位于欧盟或瑞士的任何自然人,但不包括以员工身份行事的任何个人。
“控制者”是指单独或与他人共同确定个人数据处理目的和方式的个人或组织。
“客户”是指威瑞信为其提供产品和/或服务(包括但不限于 ICANN 批准的注册服务)的任何实体。
“员工”是指威瑞信或其欧盟或瑞士关联公司的任何现任、前任或潜在的员工、承包商、实习生或临时工,或者威瑞信因雇佣关系而处理其个人数据的任何身处欧盟或瑞士的相关个人。
“欧盟”是指欧洲联盟和冰岛、列支敦士登和挪威。
“个人数据”是指符合以下条件的任何信息(包括敏感数据):(i) 关于已识别或可识别身份的个人,(ii) 由威瑞信在美国从欧盟或瑞士接收,并且 (iii) 以任何形式记录。
“隐私之盾原则”是指隐私之盾的原则和补充原则。
“处理者”是指代表控制者处理个人数据的任何自然人或法人、公共机构、代理商或其他机构。
“敏感数据”是指特殊的个人数据,这些个人数据可指明医疗或健康状况、种族或民族血统、政治观点、宗教或哲学信仰、工会会员身份(包括与工会有关的观点或活动)、性生活(包括个人性行为)、有关社会保障措施的信息、犯罪行为或指称的犯罪行为、对个人所犯下或指称犯下的任何罪行的任何诉讼程序或者此类诉讼程序中的法院判决(包括行政诉讼和刑事诉讼制裁)。
威瑞信的隐私之盾认证以及有关隐私之盾的其他信息可参见 https://www.privacyshield.gov/。如需详细了解威瑞信如何处理其在消费者访问威瑞信网站时从消费者处收集的个人数据,请访问威瑞信隐私声明 (http://www.verisign.com/privacy-center/index.xhtml)。
威瑞信收集的个人数据类型
对于其所获得和维护的消费者个人数据,威瑞信同时充当控制者和处理者的角色。
控制者的活动
作为控制者,威瑞信通过各种方式获取有关消费者的个人数据。例如,威瑞信会在消费者访问威瑞信网站时收集其个人数据。威瑞信可能会出于隐私声明 (http://www.verisign.com/privacy-center/index.xhtml) 中所述的目的,使用其在消费者访问威瑞信网站时从消费者处收集的个人数据。由于威瑞信会变更从消费者处收集的个人数据类型,因此其隐私声明可能会不时更新。
此外,威瑞信还会获取现有和潜在客户的代表的个人数据,例如联系信息和付款或财务账户数据。威瑞信使用此信息来管理其与现有和潜在客户的关系,处理付款,并根据与客户签订的合同履行威瑞信的义务。
威瑞信还会获取其供应商和服务提供商代表的个人数据。获取的信息可能包括联系信息和付款或财务账户数据。威瑞信使用此信息来管理其与供应商和服务提供商的关系,处理付款,并根据与这些相关方签订的合同履行威瑞信的义务。
威瑞信还通过其他方式获取和使用消费者个人数据,并在收集时提供特定通知。
处理者的活动
作为处理者,威瑞信可能会在向其客户提供服务的过程中接收相关的消费者个人数据,包括从客户处接收的 WHOIS 信息中可能包含的域名注册商个人数据。
威瑞信关于消费者个人数据处理的隐私惯例遵循隐私之盾原则中关于以下各方面(将在下文详述)的要求:通知;选择权;转送职责;安全;数据完整性和目的限制;访问权;以及追索、执法和责任。
通知
威瑞信在本政策和威瑞信隐私声明 (http://www.verisign.com/privacy-center/index.xhtml) 中提供有关其消费者个人数据隐私惯例的信息,其中包括威瑞信收集的个人数据类型、威瑞信向其披露个人数据的第三方类型及披露目的、消费者限制其个人数据使用/披露的权利和选择权,以及如何联系威瑞信了解有关个人数据的隐私惯例。
当威瑞信作为处理者,且消费者个人数据由客户或客户代表转送到位于美国的威瑞信时,客户有责任向其消费者提供适当的通知并确保合法地收集此类个人数据,例如获得消费者的必要同意。
相关信息也可参见与特定数据处理活动有关的通知。
选择权
当威瑞信作为控制者收集消费者个人数据时,威瑞信通常会为相关消费者提供机会,允许他们选择其个人数据是否可以 (i) 向第三方控制者披露或 (ii) 用于与最初信息收集目的或相关消费者随后授权目的实质上不同的其他用途。在隐私之盾原则要求的范围内,威瑞信应针对敏感数据的某些使用和披露方式获得选择同意。这些消费者可以按照如下所述的方式与威瑞信联系,以了解威瑞信对其个人数据的使用或披露。除非威瑞信为这些消费者提供合适的选择权,否则威瑞信仅可将个人数据用于与本政策中所述目的完全相同的用途。
当威瑞信作为处理者获得其客户的消费者个人数据时,威瑞信的客户有责任向其消费者提供适当的通知,并确保就客户使用或披露消费者个人数据向相关消费者提供某些选择权。
威瑞信向其关联公司和子公司分享某些消费者个人数据。威瑞信可能会在未提供选择拒绝机会的情况下披露消费者个人数据,并可能在如下情况下被要求披露个人数据:(i) 披露给第三方处理者,前提是威瑞信聘请这些第三方代表威瑞信根据相关指示提供服务,(ii) 根据法律或法律程序必须提供此类数据,或 (iii) 响应政府当局的合法要求,包括满足国家安全、政府利益或执法的要求。威瑞信还保留在接受审计的情况下移交消费者个人数据的权利,或者在威瑞信销售或转让其全部或部分业务或资产(包括合并、收购、合资、重组、解散或清算)时移交此类数据的权利。
个人数据的转送职责
本政策和威瑞信的隐私声明 (http://www.verisign.com/privacy-center/index.xhtml) 说明了威瑞信如何共享其消费者个人数据。
在威瑞信作为控制者的情况下,除适用法律允许或要求外,威瑞信应向消费者提供选择不与第三方控制者共享其个人数据的机会。威瑞信要求作为此类消费者个人数据披露对象的第三方控制者以合同形式同意如下条款:(i) 仅出于与相关消费者提供同意之目的相符的有限和特定目的处理个人数据;(ii) 为个人数据提供与隐私之盾原则要求相同的保护水平;以及 (iii) 如果第三方控制者确定其不能履行为个人数据提供与隐私之盾原则要求相同的保护水平这项义务,则应通知威瑞信并停止处理个人数据(或采取其他合理和适当的补救措施)。
关于向第三方处理者移交消费者个人数据,威瑞信 (i) 与每位相关处理者签订合同,(ii) 仅出于有限和特定目的将个人数据移交给每位此类处理者,(iii) 确信处理者有义务为个人数据提供至少与隐私之盾原则要求相同的隐私保护水平,(iv) 采取合理和适当的措施,以确保处理者有效地处理个人数据且符合威瑞信在隐私保护原则下的义务,(v) 要求处理者在确定自己不再能够履行提供与隐私之盾原则要求相同的保护水平这项义务时,及时通知威瑞信,(vi) 在收到通知后,包括上述第 (v) 项中的通知,采取合理和适当的措施来停止和补救处理者对个人数据的未经授权处理,以及 (vii) 根据要求,向美国商务部提供处理者合同的相关隐私条款的摘要或代表性副本。如果威瑞信的第三方处理者转送接收方采用不符合隐私之盾原则的方式处理相关的个人数据,则除非威瑞信证明其对引发损害的事件没有责任,否则威瑞信仍要根据隐私之盾原则承担相应责任。
安全
威瑞信充分考虑处理过程中涉及的风险和个人数据的性质,采取合理和适当的措施来保护消费者个人数据,以免其遭到丢失、滥用和未经授权的访问、披露、更改以及破坏。
数据完整性和目的限制
威瑞信将其处理的消费者个人数据限制为与特定处理目的相关的数据。威瑞信不会采用与信息收集目的或相关消费者随后授权目的不符的方式处理消费者个人数据。此外,在达成这些目的所必需的范围内,并且根据其作为控制者或处理者的角色,威瑞信采取合理的措施确保其处理的个人数据 (i) 能够可靠地达成其预期用途,以及 (ii) 准确、完整和保持最新状态。就此方面而言,在达成信息收集目的或随后授权目的所必需的范围内,威瑞信依赖其消费者和客户(涉及与威瑞信没有直接关系的消费者的个人数据)更新和更正相关的个人数据。消费者(和客户,视情况而定)可以按照如下所述方式联系威瑞信,要求威瑞信更新或更正相关的个人数据。
根据适用法律,威瑞信以识别或可识别相关消费者身份的形式保留消费者个人数据的期限,仅限于这些数据用于个人数据收集目的或消费者随后授权目的期间。
访问权
消费者通常有权访问其个人数据。因此, 在威瑞信作为控制者的情况下,威瑞信在适当情况下为消费者提供合理权限,允许其访问威瑞信所维护的消费者个人数据。威瑞信还为这些消费者提供了合理机会,使其可在信息不正确或信息处理违反隐私之盾原则的情况下进行更正、修改或删除。如果提供访问权造成了与消费者在有关情况下所面临的隐私风险不相称的负担或费用,或者侵犯了消费者以外的其他人的权利,威瑞信可以限制或拒绝访问个人数据。消费者可以通过如下所述方式联系威瑞信请求访问其个人数据。
当威瑞信作为处理者获得其客户的消费者个人数据时,威瑞信的客户有责任为消费者提供访问个人数据的权利,以及在信息不正确或信息处理违反隐私之盾原则的情况下进行更正、修改或删除的权利,具体视情况而定。在此类情况下,消费者应将问题提交给相应的威瑞信客户。如果消费者无法联系到相应的客户或未获得客户的回复,威瑞信将提供合理的帮助,协助向客户转发消费者的请求。
追索、执法和责任
威瑞信采取适当的机制,旨在帮助确保遵循隐私之盾原则。威瑞信每年都会对其消费者个人数据惯例进行自我评估,以验证威瑞信对其隐私之盾隐私惯例做出的证明和断言是否属实,以及确定威瑞信的隐私惯例是否按照隐私之盾原则的规定实施。
对于威瑞信对消费者个人数据的处理,消费者可以向威瑞信提出相关投诉。威瑞信将采取措施补救因涉嫌未遵循隐私之盾原则而引发的问题。消费者可以按照以下指定的方式联系威瑞信,了解有关威瑞信消费者个人数据惯例的投诉方式。
如果消费者的投诉通过威瑞信的内部处理流程无法解决,威瑞信将根据 JAMS 隐私之盾计划与 JAMS 合作予以解决,该计划详见 JAMS 网站 (https://www.jamsadr.com/eu-us-privacy-shield)。根据 JAMS 规则的规定,双方可以开始 JAMS 调解流程。在进行争议解决流程且未能解决问题之后,调解员或消费者可以将此事项提交给具有隐私之盾调查和执法权力的美国联邦贸易委员会。在某些情况下,消费者也可以援引具有约束力的仲裁结果来解决有关威瑞信遵循隐私之盾原则的投诉。
当威瑞信作为处理者获得其客户的消费者个人数据时,消费者可以根据客户的争议解决流程向相关客户提交有关其个人数据处理的投诉。威瑞信将应客户或消费者的要求参与此流程。
如何联系威瑞信
如要联系威瑞信,提出有关本政策或威瑞信消费者个人数据惯例的问题或疑虑,或者提出投诉:
请写信至:
VeriSign, Inc.
12061 Bluemont Way
Reston, VA 20176
收件人:Privacy Committee
contactprivacy@verisign.com