蚂蚁集团关于保护个人信息的平台规则

蚂蚁集团关于保护个人信息的平台规则

发布时间：2021年11月2日

生效时间：2021年11月16日

蚂蚁科技集团股份有限公司及其旗下公司（以下合称“蚂蚁集团”或“我们”）一直致力于保护个人信息。我们合作的金融机构、供应商和其他第三方（以下合称“合作伙伴”）可能会在开展业务的过程中处理个人信息。

我们与合作伙伴都认可，个人信息保护是企业长远稳健发展的基石。根据《中华人民共和国个人信息保护法》第五十八条的规定，并基于公开、公平、公正的原则，我们特制定本规则以兹合作伙伴遵守，与我们一起保障个人信息权益。

一、主要概念与定义

1、个人信息：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

2、敏感个人信息：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

3、个人金融信息：指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、鉴别信息、信用信息、金融交易信息、借贷信息及其他反映特定个人某些情况的信息。

3、个人信息处理：对个人信息进行的任何活动或一系列活动，例如个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。

4、去标识化：个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。

5、匿名化：个人信息经过处理无法识别特定自然人且不能复原的过程。个人信息经匿名化处理后所得的信息不属于个人信息。

二、个人信息保护规范及义务

合作伙伴承诺在提供产品和服务的过程中将严格按照法律法规的要求和与用户的约定处理个人信息，最大程度地保障用户的合法权益和社会公共利益。我们的合作伙伴承诺遵守下列个人信息保护规范及义务：

1、处理个人信息，应当遵循合法、正当、必要和诚信原则，坚决杜绝通过误导、欺诈、胁迫等方式处理个人信息，不得强迫用户进行不合理的“一揽子授权”。

2、处理个人信息具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

3、处理个人信息，应遵循最小必要原则，只处理与实现产品或服务的业务功能有直接关联的最少够用的个人信息类型和数量，并控制业务所必需的合理收集频率，不得收集与所提供的产品与/或服务无关的个人信息，亦不得超频次收集个人信息。同时，存储个人信息的期限亦需遵循最小必要原则，目的达成后，应及时删除个人信息或匿名化处理。

4、应以明确、易懂和合理的方式公开个人信息处理规则，包括处理个人信息的范围、目的、方式等，并提供便于访问、查阅和保存的展示界面。个人信息处理规则发生变化时，应及时更新并通过适当方式告知个人信息主体。

5、处理个人信息，应当保证个人信息的质量，及时响应个人信息主体的更正权，避免因个人信息不准确、不完整对个人权益造成不利影响。

6、应当对其个人信息处理活动负责。对于主动进行收集或处理的个人信息，如在个人信息处理活动中对个人信息主体的合法权益造成损害，将承担相应的责任。

7、处理个人信息，应具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。

8、应保障个人信息主体权利实现，建立便捷的个人行使权利的申请受理和处理机制。合作伙伴应向个人信息主体提供能够查询、复制、更正、补充、删除其个人信息，以及撤回授权同意、注销账户、投诉、限制或拒绝处理权、解释说明权、信息可携权、作为近亲属对死者个人信息行权等方法。个人信息主体行使权利的方法应在隐私政策中加以描述，拒绝个人行使权利的请求的，应当说明理由。

9、应建立个人信息保护管理履行问责制，即公司作为个人信息处理者，对其业务范围内各级组织承担职责和义务的履行情况实施责任追究制度。

10、联合抵制黑色产业链。不收集通过非法渠道获取的信息，坚决杜绝与个人信息黑色产业链的任何交易及往来。

11、倡导行业自律。共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践，带动和帮助行业整体水平提升。

12、接受社会监督。切实履行企业承诺，主动接受社会各方的监督。

蚂蚁集团已经制定并执行了隐私保护政策和数据安全保护措施，合作伙伴承诺将对个人信息采取并维持水平不低于蚂蚁集团的保护措施。

三、评估审计

1、蚂蚁集团有权对合作伙伴的个人信息安全管理及管控效果进行评估与审计。

2、蚂蚁集团有权自行或委托独立的第三方机构（例如：会计师事务所、律师事务所等）进行上述评估与审计，合作伙伴承诺就如下事项予以配合：

（a）提供涉及接收的信息处理的设施、设备、系统、政策或流程等；

（b）开放相关工作场所，并安排相关人员接受访谈。

3、基于评估与审计得出的要求，合作伙伴承诺在规定的时间内对相关信息处理设施、设备、系统、政策或流程等进行修正或改善。

4、蚂蚁集团提出评估与审计要求之前，将给予合作伙伴合理的提前通知期。同时，评估与审计会在合法合规的前提下开展，且不应当影响合作伙伴的正常运营或合法权益。

四、通知

1、我们的合作伙伴承诺，当知晓或怀疑下列任一情形发生时，将立即采取一切必要的应急补救措施，并立即按照相关合作协议中约定的方式向蚂蚁集团发出通知：

（1）任何违反本规则的情形；

（2）根据可适用的法律法规要求，应当向监管机构进行通知、申报或者向受到影响的用户进行披露的情形。

2、如蚂蚁集团发现合作伙伴存在个人信息安全事件（如发生或者可能发生个人信息泄露、篡改、丢失的），将按照相关合作协议的约定采取相应措施，各方各自承担己方的数据安全责任及法律法规要求承担的其他责任。

五、其他

1、监管机构可能根据可适用的法律法规对合作伙伴和蚂蚁集团提出检查要求，在此过程中，合作伙伴应当提供必要的协助，如提供用户授权的证明材料。

2、对违反法律、行政法规处理个人信息的合作伙伴，蚂蚁集团将视情形采取相应措施；情形严重的，我们将作出终止合作并停止提供平台接入或服务的决定。

3、因合作伙伴的违法或违约行为导致蚂蚁集团受到监管罚款或蒙受其他相关损失（如商誉损失），合作伙伴应当承担赔偿责任。

有关蚂蚁集团如何保护个人信息，请参阅《蚂蚁集团隐私权政策》。