卓越职场(中国)隐私和安全声明
范围
本《隐私和安全声明》说明了卓越职场(中国香港)(以下简称“GPTW”)就以下事物开展的隐私实践:
- 我们的网站和子页,即 https://www.greatplacetowork.cn 和 https://www.greatplacetowork.hk(以下简称“网站”)
- 我们的产品和服务
本《隐私和安全声明》所涵盖的 GPTW 隐私实践不适用于:
- GPTW 员工、承包商或求职者
- 儿童和/或未成年人。我们的网站并非旨在面向任何未满 18 周岁的访客。如果您有任何理由相信有未满 18 周岁的访客访问我们的网站,请通过 privacy_cn@greatplacetowork.com 联系我们,我们将尽力删除数据库中的信息。
什么是个人信息?
就本《隐私和安全声明》而言,个人信息是指 GPTW 收集,并以电子方式或其他方式记录的身份已识别或身份可识别自然人相关信息,但不包括经过匿名化处理的信息。
第三方网站链接
为了您的方便,网站可能包含第三方网站和/或信息链接。访问这些链接时,您将离开 GPTW 的网站,并被重定向到第三方网站。GPTW 不会管控第三方网站,且第三方的隐私实践可能与 GPTW 不同。我们不认可第三方网站或作出任何相关声明。当您与第三方网站共享个人信息时,第三方所进行的处理不受本《隐私和安全声明》约束。我们鼓励您在共享个人信息前查看任何网站或公司的隐私政策。
GPTW 影响网站用户的隐私实践
我们向网站访客收集的个人信息来源:
GPTW 通过以下方式向访问我们网站的个人收集个人信息:
- 向网站访客直接收集
- 向服务提供商或其他第三方收集;以及
- 在网站访客访问网站或在网站上活动期间自动收集。
向网站访客直接收集的信息
如果您访问了我们的网站以及选择提供个人信息,GPTW 将收集个人信息。例如,如果您通过我们的网站联系我们、提供您的电子邮箱、电话号码或其他类似联系信息(如您在报名参加网络研讨会时提供的信息),我们将收集信息。
我们收集哪些信息
我们向网站访客收集的个人信息包括:
- 姓名
- 公司
- 职务
- 联系地址
- 电话号码
- 电子邮箱地址
如果您登记参加 GPTW 赞助的活动,在某些情况下,我们可能要求提供特定数据,包括:
- 紧急联系人
- 饮食偏好
- 健康和安全信息
- 账单信息(如账单接收人姓名、账单接收地址,以及信用卡号)
第三方或公用来源提供的信息
我们可能会从其他来源收到有关您的信息,并将其与我们直接收集的信息相结合。我们可能从其他来源收到的信息示例包括:购买的业务联系信息和来自公众可访问网站的信息,如您所在公司的网站、专业人员网络服务或新闻稿。业务联系信息包括:
- 名字
- 姓氏
- 企业电子邮箱
- 电话号码
- 公司名称
- 职级
- 职务
- 企业街道地址
- 在线标识符
- 工作经历
我们将利用该等数据执行内部客户分析,以找出向潜在客户营销的机会,并提高我们网站内容和广告宣传的相关性。
Cookie 收集的信息
和众多网站一样,GPTW 会使用 cookie 和类似跟踪技术(包括用于执行分析、正常运行、广告宣传和其他目的)。
您可以对您的互联网浏览器或操作系统进行设置,以停止接受新 cookie、在收到新 cookie 时接收通知、禁用现有 cookie、忽略图像(这将禁用像素标签)或修改您的跟踪偏好。请注意,仅您选择不使用广告宣传 cookie 所用的浏览器适用“选择不使用”这一功能。如果不使用 cookie 或像素标签,您可能无法充分使用我们网站的功能。
收集用于分析的信息
我们的网站可能会记录以下相关信息:您使用应用程序的频率、应用程序中发生的活动、使用情况汇总、性能数据和您的 IP 地址。我们不会将我们存储在分析软件中的信息关联到您在网站内提交的任何个人信息。
如果您使用 GPTW 提供的特定系统,我们将向您收集数据,以启用多因素身份验证,如手机号码、电子邮箱地址或唯一验证标识符。
利用社交媒体功能直接收集的信息
我们的网站可能托管各种博客、论坛、维基和其他社交媒体应用程序或服务,以允许您与其他用户共享内容(统称为“社交媒体应用程序”)。如果您向我们几乎或完全无法管控的任何社交媒体应用程序提供任何个人信息或其他信息,该等社交媒体应用程序的其他用户可以读取、收集和使用该等个人信息或其他信息。因此,如果任何其他用户使用、滥用或盗用您向任何社交媒体应用程序提供的任何个人信息或其他信息,我们对此概不负责。
其他信息
如果 GPTW 向您收集任何其他个人信息,我们将详细说明收集哪些个人信息以及目的。
我们为什么要使用您的个人信息
我们处理个人信息的目的包括:
- 实现我们收集或提供信息的目的,包括与您沟通以及答复您的询问和请求;
- 通过测试、研究、分析和产品开发,改进我们的网站、产品和服务;
- 营销、广告宣传和推广我们的产品和服务,例如,就您可能感兴趣的产品或服务向您给出建议和推荐;
- 提供与产品和服务相关的培训,例如提供培训资料或举办活动(无论是现场还是在线),为此,我们可能会使用您的个人信息来提供有关该等培训和活动的通知和信息;
- 保障安全、审计、内部调查和防欺诈,例如防止未经授权的访问或披露、维护数据准确性、保护个人信息的机密性、完整性和可用性;只允许适当使用您的个人信息;发现任何欺诈、有害、未经授权、不道德或非法的活动;
- 管理诉讼,例如,出于保护我们或其他人的合法权益的必要,涉及确立、行使或捍卫我们的合法权利的诉讼;
- 使用 cookie 和其他类似技术改进我们的网站内容和格式,例如,衡量网站访客的偏好、分析趋势、管理网站、分析网站使用情况,以及收集有关网站访客的人口统计信息;
- 您已同意的其他目的;
- 聚合或去识别化您的个人信息,确保该等信息不再关联到您本人或您的设备,并根据适用法律,出于任何业务目的使用和共享该等数据;以及
- 履行所有适用的法律义务,例如,服从传唤令和其他法院命令,以在我们确定法律有要求的情况下处理数据。
网站安全
GPTW 利用物理、技术和管理控制措施和程序来保护我们收集的信息、防止未经授权的访问或披露、维护个人信息的数据准确性,并限制根据本《隐私和安全声明》对您的个人信息所进行的处理。
我们利用各种物理和逻辑访问控制措施、防火墙、防病毒和备份系统。经由我们的网站收集或传输敏感数据时,我们会对会话进行加密。
我们仅限出于特定业务目的维护和处理个人信息和数据之人访问该等信息和数据。我们有权访问您个人信息的员工明白自己有责任保护该等信息的机密性、完整性和可用性,并就如何做到这一点接受了培训和指导。
GPTW 影响产品用户的隐私实践
我们通常向企业营销和销售我们的产品,而非消费者。我们与企业客户签订的合同在很大程度上驱使我们对收集、使用和披露的产品最终用户相关个人信息作出承诺。以下信息旨在帮助我们的企业客户了解我们的隐私实践。如果您是我们产品或服务的最终用户,我们鼓励您联系您的雇主,了解收集、使用和披露您个人信息的方式。
我们收集的信息
在大多数情况下,GPTW 的客户是其在我们的产品中收集、创建、传播和存储的个人信息的控制者。可以存储在我们产品中的个人信息包括但不限于:
- 最终用户姓名
- 公司名称
- 职务
- 企业地址
- 电子邮箱地址
- 我们的产品用户向我们提供的任何个人信息,以及我们与客户签订协议所需的任何个人信息。
使用我们收集的信息
如果我们是处理者,我们收集的个人信息将用于向客户交付我们的产品和服务。我们根据我们与客户签订的合同使用任何个人信息。
我们的企业客户是数据控制者,因此主要是他们必须努力根据数据保护法收集和处理信息。因此,如果您作为最终用户,对处理您的信息有任何疑问或疑虑,您应当直接联系您的雇主或参阅其自行制定的隐私政策。
GPTW 不会授权任何人访问产品中维护的个人信息,但以下情况除外:
- 其与客户签订的合同允许这样做。
- 客户指示 GPTW 这样做;
- 客户同意这样做(如 GPTW 使用的子处理者);
- GPTW 有法律义务这样做;或
- GPTW 享有合法权益(《中华人民共和国个人信息保护法》(PIPL)、《通用数据保护条例》(GDPR) 和其他适用法律有规定)来这样做。
数据保留
GPTW 将仅在实现收集信息的目的所需期限内,或依据适用法律的要求或许可(包括解决争议),以及根据我们与客户签订的合同,保留个人信息。
我们将考虑个人信息的数量、性质和敏感性;未经授权使用或披露个人信息的潜在伤害风险;我们处理您个人信息的目的;我们是否可以通过其他方式实现这些目的;以及适用的法律要求来确定个人信息的适当保留期限。
当我们不再需要您的个人信息时,我们将予以删除或去识别化(匿名化),或如果不可行,我们将根据本政策安全存储,并停止使用个人信息,直至可以删除。如果我们去识别化(匿名化)您的个人信息(确保其无法再关联到您),我们可能会将该等信息保留更长时间。我们会无限期保留去识别化数据,以支持我们的研究并确保能够进行历史比较。
披露个人信息
我们不会向第三方出售您的个人信息。但我们可能会与以下各方共享您的信息:
- 附属公司、被许可方和子公司。我们可能会与我们的附属公司、被许可方和子公司共享个人信息,以交付产品或服务或完成客户要求的任务。
- 第三方供应商或服务提供商。我们可能会与第三方(供应商和/或服务提供商)合作,以交付产品或服务、履行特定职能(如改进产品),或完成客户要求的任务。我们与第三方供应商或服务提供商签订了合同,由其代表我们,以及仅依照我们的指示履行特定职能。我们的第三方受保密协议约束,仅有权出于提供这些合同服务所需访问个人信息,且仅可依照我们的指示(以及出于我们披露的目的)处理个人信息。
此外,如果我们善意地认为出于以下目的而有必要,GPTW 可能会披露个人信息:
- 遵守法律或法律流程
- 保护或捍卫我们的权利和财产
- 保护我们的网站,避免被滥用或未经授权便被使用
- 保护我们的用户或公众的人身安全或财产(除其他外,这意味着,如果您提供虚假信息或试图冒充他人,作为调查您行为的一个环节,可能会披露有关您的信息)。
- 在收购、合并、资产出售或涉及我们全部或实质上全部资产或功能的其他类似企业转让事务期间或就此进行协商期间,个人信息作为企业资产的一部分,也会被转让或共享(前提是该方同意根据我们的《隐私和安全声明》使用或披露的个人信息,或就其他披露用途征得您的同意)。
我们不会相互参照您与任何其他客户或实体的个人信息。GPTW 不支持任何政府或第三方“走后门”来获取权限享受我们的任何产品、服务或运营(包括我们的数据存储)。GPTW 不会与任何政府或第三方共享其加密密钥,也不会向其提供破坏我们的加密密钥的能力。
保护您的信息
GPTW 制定了许多专门的政策、实践和方案来保护我们的 IT 基础设施、网络、设备和数据,避免未经授权便可访问、收集、保留和使用敏感、机密和/或专有客户或用户数据(包括个人信息)。该等政策、实践和方案包括但不限于:
产品安全
使用包括但不限于单点登录、双因素身份验证、网络分段和 IP 限制的方法来限制对产品组件的工程和开发权限。使用集中账户、双因素身份验证和堡垒主机来控制对主产品边界内的服务器和服务的访问权限。我们在开发人员和运营人员之间实行职责分离,以此限制有合法业务需求之人对产品环境的访问权限。产品受网页应用程序网关和带入侵侦测防御系统 (IdP) 的出站防火墙保护。数据在传输和静止期间按照最新的美国国家标准技术研究所 (NIST) 标准进行加密。
提供访问权限和审查
我们制定了一个政策和流程,用于创建新账户、添加和移除现有账户的权限,以及在分离后收回访问权限。向主管和应用程序/组负责人获取所需的批准,以确保在授权之前,由多名领导审查请求的适当性。此外,我们每季度让主管和组负责人审查一次访问权限,且分两阶段进行。此访问权限供应和审查流程包含准许访问客户数据的产品相关 GPTW 员工权限。产品为客户实时提供其创建的用户账户相关信息,并确保其能够随时修改或撤销访问权限。客户负责通过创建和废止用户账户来管理对平台的访问权限。
终端安全
我们的员工终端(笔记本电脑和移动设备)可以连接终端管理软件。如需登录任何 GPTW 受单点登录 (SSO) 保护的资源(包括产品),员工必须使用在我们的终端管理软件中登记,且符合我们合规政策的设备进行登录。合规政策旨在确保设备符合我们就最低操作系统版本、硬盘加密、安全启动/防止获取管理员权限、启用防火墙、防病毒等设定的标准。如果设备不合规,将通知用户和管理员。合规宽限期届满后,将自动阻止不合规设备访问公司资源。
漏洞管理
我们的员工终端(笔记本电脑和移动设备)以及产品环境中的服务器可以连接漏洞管理软件。我们会积极扫描检测漏洞,并制定了漏洞管理政策和程序,旨在根据漏洞的严重性,限制已知漏洞和暴露设备的数量。我们会定期召开漏洞管理会议,以审查当前的补救情况、规划后续补救措施、控制例外情况和可接受的风险,并随着时间的推移和技术的发展,审查老旧的漏洞。我们会自动更新笔记本电脑和移动设备上的关键软件(操作系统、浏览器、生产力软件)。在生产前环境中进行验证后,我们会在产品环境中利用变更管理流程来定期更新操作系统、数据库和其他关键软件的次要版本。
备份和容灾
产品环境会定期进行备份。所有持久性数据都至少以 24 小时恢复点为目标进行备份。频繁变更的数据会更频繁地进行备份(最多包括连续备份)。至少每 24 小时备份一次来完成异地冗余在线存储,以防止既定数据中心发生灾难性故障。我们的大部分基础设施都是将其用作代码来实施。我们编制了文档和代码,确保我们能够在发生重大灾难时构建新的产品环境。我们每年对容灾程序进行一次测试。
数据分类、处理和标记
我们制订了一个数据分类、处理和标记政策。数据依据其风险进行分类。员工会就该政策及其实际运用接受培训。我们为与产品相关或由产品生成的所有数据制定了一个详细清单,其中详细说明了其分类。
全球法律、法规
我们承诺遵守所有适用的法律、法规,包括但不限于以下法律、法规。
- 中华人民共和国的《个人信息保护法》
- 欧盟的《通用数据保护条例》(GDPR)
PIPL/GDPR 的适用范围不限于中国人/欧盟。其适用于所有针对、收集或使用任何中国/欧盟居民的个人数据的组织,并要求组织:
- 了解自己掌握了哪些数据,并知道自己享有适当权力来使用该等数据。
- 负责并能够回答有关其掌握了哪些数据的问题,在某些情况下,还负责并能够删除其不再需要的数据。
- 通知监管机构数据泄露的情况。
- 使用遵循 PIPL/GDPR 原则的供应商
GPTW 承诺遵守 PIPL/GDPR 和所有适用法律。
在国际上传输个人信息
GPTW 在全球运营,因此可以处理全球范围内的个人数据,以提供客户支持;与 GPTW 子处理者(名单如下所示)及其自己的子处理者(如适用)相关的个人数据;以及与 GPTW 专业服务相关的个人数据。
从中国向其他国家传输个人数据由中华人民共和国《个人数据保护法》管辖。
如果您请求进行修订,以纳入任何新控制措施或要求,请联系 privacy_cn@greatplacetowork.com。
数据处理
作为向您提供产品的一个环节,我们目前聘请了以下子处理者:
名称 | 网站 | 详细信息 |
阿里巴巴 | https://www.alibabacloud.com | 为产品提供托管环境和软件开发工具。 |
Integral Tech for Business Management | 为产品提供软件工程和运营支持服务。 |
数据主体权利
如果您对 GPTW 掌握的个人信息(包括通过使用产品收集的个人信息)有任何疑问或请求,请发送电子邮件至 privacy_cn@greatplacetowork.com。为了保护您的隐私和安全,在答复您的请求之前,我们可能会采取合理措施验证您的身份。我们将在合理时限内,以及根据您所在地的适用法律的其他要求,答复您的请求。
更新我们的《隐私和安全声明》
GPTW 保留权利来随时更新或更改本声明的部分内容,恕不另行通知。如果我们对本声明进行实质性更改或更新,我们将根据本《全球隐私和安全声明》的条款处理根据本声明收到的新个人信息,但您另行同意的除外。
GPTW 的联系方式
如果您对本《全球隐私和安全声明》、GPTW 的隐私实践有任何疑问或意见,或您希望我们更新您提供给我们的信息或偏好,请发送电子邮件至 privacy_cn@greatplacetowork.com 联系我们
书面答复也可提交至:
总法律顾问
卓越职场®(上海)
(添加地址)