生效日期：2018年5月25日

欧盟《通用数据保护条例》（General Data Protection Regulation，（EU）679/2016，以下简称“GDPR”）将于2018年5月25日起实施。届时，若我们（1）向位于欧盟境内的您提供商品和服务或（2）监测您在欧盟境内的行为时，处理您的相关个人数据（“GDPR个人数据”），该数据处理将适用下述的GDPR隐私权条款（以下简称本“GDPR条款”）。本GDPR条款若有任何未尽事宜，则应按照现行的支付宝隐私权政策办理。

1、GDPR个人数据的控制者

支付宝（中国）网络技术有限公司（“支付宝”或“我们”）是您的GDPR个人数据的数据控制者（注册地址：中国（上海）自由贸易试验区银城中路501号17层1701-1708室；常用办公地址：杭州市西湖区西溪路556号阿里中心杭州Z空间）。

2、我们如何收集您的GDPR个人数据

当您在欧盟境内

（1）向欧盟商家购买产品或服务而使用我们为您提供的支付服务；

（2）使用我们与退税机构共同为您提供的退税服务；

（3）联系我们的客户支持团队或参与问卷调研；

（4）接收我们根据您的位置信息而向您提供的您可能感兴趣的广告、营销信息和优惠券；

（5）使用我们为保障您的账户与资金安全而提供的风险控制服务；以及我们为满足中国及其他相关国家或地区的法律法规及监管要求履行反洗钱审查等法定义务时，我们可能会收集以下关于您的GDPR个人数据：

• 位置信息；
• 身份验证信息；
• 交易信息；
• 技术信息，包括您访问支付宝APP或网站使用支付宝相关服务所使用的浏览器和相关设备的信息，以及搜索和浏览信息；以及
• 与您使用支付宝其它附加服务（包括退税、广告营销和折扣优惠）相关的信息。

此外，我们还会对上述信息进行综合加工。请见下文自动化决策的详细内容。

3、我们使用您的GDPR个人数据的法律依据

我们处理您的GDPR个人数据的依据包括：

• 为履行您作为一方的合同项下的义务，以便为您提供服务，包括为您提供付款渠道以完成交易支付、为您提供退税服务、验证您对支付宝账户的访问权限、就您的账户或我们的服务与您进行沟通，并比较信息的准确性和验证您的身份。
• 为履行适用于我们的任何欧盟或相关欧盟成员国的法律法规规定的义务。
• 为追求我们的合法利益而使用您的GDPR个人数据，即，帮助我们评估、改善或设计产品、服务及运营活动，为您提供更加准确、个性、流畅及便捷的服务，并根据前述信息向您提供营销活动通知、商业性电子信息或您可能感兴趣的广告和优惠，履行适用于我们的任何非欧盟国家或地区的法律法规规定的义务，或为了回应您的要求就您提交给我们的客户服务团队的问题与您联系。
• 为某特定目的并在已取得您的同意的前提下，例如根据您的请求提供折扣券或其它优惠活动通知。

4、与您的GDPR个人数据相关的权利

根据相关法律，您享有以下权利：

• 可向我们查询您的GDPR个人数据的处理情况，包括在合理范围内获取您的GDPR个人数据副本；
• 可要求查询、更正和/或在GDPR规定的情况下删除您的GDPR个人数据；
• 在GDPR规定的情况下，可向我们提出对您的GDPR个人数据的处理行为进行限制，或对处理行为提出异议；
• 可以机器可读形式重新获取您之前向我们提供的，而我们依据您的同意或基于合同履行而使用和处理的您的GDPR个人数据，或向其他组织传输这些数据；以及
• 可选择对于您已同意的我们对您的GDPR个人数据的处理行为，撤销您之前给予的同意。我们尊重并将尽力执行与撤销该等同意相关的事宜，但是我们为了合规或其它必要的目的会在法律允许的范围内继续处理您的GDPR个人数据。请注意，您撤销同意可能意味着我们无法实现相关处理行为的目的或者您无法使用我们提供的服务和产品。

您可以通过支付宝APP登录您的支付宝账户来直接行使绝大多数的权利。如您因任何原因无法行使上述的任何一项权利，请通过下文中的联系方式与我们联系。须提请您注意的是，相关法律可能对您行使上述任何一项权利有限制性规定。在这种情况下，我们会及时告知您。当您的隐私权利受到侵犯或您的GDPR个人数据被非法处理时，您可向相关监管机构投诉。

5、自动化决策

我们可能会对您的GDPR个人数据进行综合统计、分析加工，以便为您提供更加准确、个性、流畅及便捷的服务，或帮助我们评估或改善我们的服务及相关的运营活动等。例如：您在使用支付宝APP的过程中，智能客服可能会分析您的信息、快速找到您可能遇到的问题与解决办法，从而节省您的时间。我们也可能根据这些信息向您提供营销活动通知、商业性电子信息或您可能感兴趣的广告。例如：您在欧盟地区对当地餐饮、娱乐、交通、语言不熟悉的情况下，向您提供您可能感兴趣的您所在位置周边的商户及优惠活动信息。

我们不会使用自动化决策（包括画像）来做任何会对您产生法律上的或其它重大影响的决定，除非该自动化决策已获得您的同意、或是根据欧盟或相关欧盟成员国的法律要求、或为履行您与我们的任何合同所必需的。例如：为确保您交易的安全与合法合规，我们会采取风险控制、合规控制等措施监测和控制风险。在上述的情况下，我们会采取适当的措施保护您的权利、自由及正当利益，而且您随时有权拒绝自动化决策，并要求人工干预，除非法律有另行规定。

6、我们如何存储您的GDPR个人数据

您的GDPR个人数据将存储在中华人民共和国境内。我们仅在为您提供服务的目的所必需的期间和法律法规要求及监管规定的时限内保存您的GDPR个人数据。在您终止使用支付宝服务后，我们会停止对您的数据的收集和使用，法律法规或监管部门另有规定的除外。届时，我们将及时停止继续处理您的GDPR个人数据的活动，并对所持有的您的GDPR个人数据进行删除或匿名化处理。但请注意，我们力求对服务进行完善的维护，以保护信息免遭意外或恶意的破坏。因此，在某些情况下，我们可能无法立即从使用的服务器中删除这些数据的残留副本，也可能无法从备份系统中删除相应的数据。

7、您的GDPR个人数据传输给第三方的情况

我们可能与以下个人或组织分享您的部分GDPR个人数据：

• 向您提供服务的支付宝关联公司；
• 以下可信赖的第三方：
  • 通过支付宝在欧盟境内向您提供商品或服务的支付宝商家；
  • 在我们提供支付宝服务的过程中与我们合作的代理、承包商或第三方服务供应商；
  • 与我们合作向您提供上述服务的银行、支付机构和其他金融机构；
  • 向您提供或与我们共同提供产品或服务的第三方；和
  • 支付宝、支付宝的任何关联方、或第三方服务供应商依照相关法律法规或商业安排的要求，有义务向其披露信息的执法机构、保险机构、政府机构、监管机构或其他组织；
• 涉及与我们或支付宝关联公司的资产转让、收购、兼并、融资交易的公司或组织；以及我们的专业顾问。

8、我们如何将您的GDPR个人数据跨境转移至欧洲经济区之外

您在欧盟境内发起的使用支付宝服务的交易中，向我们提供的GDPR个人数据必须通过跨境转移，传输给在欧洲经济区境外运营的我们以及我们的关联公司才能完成该交易。但我们以及我们的关联公司所在的地区或国家（诸如中国、新加坡和美国）的数据隐私法对数据隐私保护的力度可能不及欧盟的法律。当您的GDPR个人数据传输到欧洲经济区以外的国家或地区并且该国家或地区未能达到欧盟委员会认定的对个人数据的充分保护水平时，我们将依照相关数据保护和隐私法律采取适当的保护措施，以确保您的GDPR个人数据的安全继续得到与欧盟的数据保护和隐私法律同等水平的保护。该等保护措施包括（在适用的情况下）就数据的传输与数据接收方签订载有欧盟委员会已批准的标准数据保护条款的数据传输协议。您可以点击此处了解更多信息。我们也可能会在相关的数据保护和隐私法律允许的情形下将您的GDPR个人数据传输到欧洲经济区以外。例如，我们在以下情形需要传输您的数据：为履行与您的合同（或应您的要求为合同订立采取相关行动）；或为您的利益履行一份合同；或涉及相关的法律诉求。如您希望了解更多的信息，请通过下文中的联系方式与我们联系。

9、本GDPR条款的更新

我们会不时对本GDPR条款进行更新。如本GDPR条款发生重大或实质性的变更，我们将通过支付宝APP向受影响的用户推送通知并发布本GDPR条款的更新版本。

10、联系方式

若您对我们使用您的GDPR个人数据有任何其它问题或要求，或需要获得更多的信息，您可以通过privacygdpr@alipay.com与我们取得联系。我们可能会要求您向我们提供附有照片的身份证明，以便能够核实您的身份并及时完成您提出的相关请求。