合思隐私政策
更新日期:2023年3月13日
生效日期:2023年3月20日

您的个人信息安全对我们来说至关重要。一直以来,合思都致力于为每位用户提供更安全的互联网环境。我们将依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《信息安全技术 个人信息安全规范》(GB/T 35273-2020)以及其他相关法律法规和技术规范收集和使用您的个人信息,以帮助我们向您提供更优质的产品和服务。

本政策适用于北京合思信息技术有限公司及其关联公司(以下简称“合思”或“我们”)提供的产品和服务及其延伸的功能,包括合思费控系统、商旅产品、虚拟卡等移动端、网站、小程序以及随科学技术发展出现的新形态向您提供的各项产品和服务。

【特别提示】请仔细阅读《合思隐私政策》(尤其是粗体条款)并确认了解我们对您个人信息的处理规则。如您有任何疑问、意见或建议,可通过《合思隐私政策》中的联系方式与我们取得联系

一、我们如何收集和使用您的个人信息

我们会遵循正当、合法、必要的原则,出于本政策所述的以下目的,收集和使用您在使用产品和服务过程中主动提供或因使用产品和服务而产生的个人信息,以及从第三方获取的您的个人信息。如果我们要将您得个人信息用于本政策未载明的其他用途,或将基于特定目的收集而来的信息用于其他目的,我们将以合理的方式向您告知,并在使用前再次征得您的同意。

1. 收集和使用您个人信息的业务场景

1.1 账户注册、登录

当您注册合思账户时,您至少需要提供合思用户名、密码、您本人手机号码、电子邮箱地址、服务器地址(用于本地化部署登录),我们将通过发送短信验证或邮件的方式来验证您的身份是否有效。个人设置中上传的头像信息、显示的名字及可修改的密码等,均属于您的“账号信息”。

1.2提供商品或服务信息

在您使用合思产品和服务过程中,为保障您的账号安全、识别账号异常状态、了解产品适配性,我们可能会自动收集您的使用情况并存储为网络日志信息。其中:

1.2.1设备信息:

我们会根据您在软件安装及/或使用中的具体操作,接收并记录您所使用的设备相关信息(包括设备型号、操作系统版本、设备设置、设备广告标识符、移动设备识别码(IMEI)、移动用户识别码(IMSI)、网卡地址(MAC地址)、Android ID、移动应用列表等软硬件及设备环境信息、通讯录信息)、设备所在位置相关信息(包括您授权的GPS位置以及WLAN接入点、蓝牙和基站等传感器信息)

1.2.2服务日志信息:

当您使用合思网站或客户端提供的产品或服务时,我们会自动收集您对我们服务的详细使用情况,作为服务日志保存,包括您所属公司信息、收款信息、报销费用明细、浏览、点击查看、搜索查询、预订、交易、售后,以及IP地址、浏览器类型、电信运营商、使用语言、访问日期和时间等。

1.3下单及订单管理

当您在合思—合思商城订购具体商品或服务时,我们会通过系统为您生成购买该商品或服务的订单。在下单过程中,您需至少提供您的联系人姓名及联系电话,同时该订单中会载明您所购买的商品或服务信息、具体订单号、订单创建时间、您应支付的金额,我们收集这些信息是为了帮助您顺利完成交易、保障您的交易安全、查询订单信息、提供客服与售后服务及其他我们明确告知的目的。

另外,因旅行商品或服务的特殊性,您所选择的部分商品或服务,需要您进一步提交必要的信息才能完成预订,这些信息您需要自行填写,或者授权我们以其他方式帮助您完成信息录入,我们同时也提请您在具体预订过程中予以关注:

1.3.1在您预订火车票时,您需要提供乘车人姓名、证件类型、证件号码、联系人姓名、手机号码,以便我们/商家依据各自职责,为您提供火车票授权预订/代订、信息通知及后续退改签等服务。

1.3.2在您预订国内机票(不含港澳台)时,您应至少提供乘机人姓名、证件类型、证件号码、联系人姓名、手机号码和电子邮箱。在您预订国际及港澳台机票时,您应至少提供乘机人姓名、性别、国籍、出生日期、证件类型、证件号码、证件有效期、证件签发地、联系人姓名、手机号码、电子邮箱。以便我们/商家依据各自职责,为您提供机票预订/代订、信息通知及后续退改签等服务。

1.3.3在您预订国内酒店(不含港澳台)时,您应至少提供入住人姓名、手机号码。在您预订国际及港澳台酒店时,您应至少提供入住人姓名、手机号码、电子邮箱

其他需要您进一步提供必要信息才能完成商品或服务预订/购买的,具体以预订/购买流程中的提示或授权内容为准,请注意仔细阅读。

1.4支付结算

为完成订单支付,您需要提供支付宝账户或微信账户并选择付款方式,我们会将您的支付宝账户会员名/微信账户名、订单号、交易时间、交易对象、交易商品、订单交易金额、订单状态、订单安全相关设备信息及其他反洗钱法律要求的必要信息通过在应用程序中嵌入的支付宝/微信软件工具开发包(SDK)等方式与支付宝/微信公司共享。如您选择由其他金融机构为您提供支付服务的,我们还会将您的包括银行卡号、有效期、开户人姓名信息在内的银行卡支付必要信息与您选择的相应金融机构共享。

为使我们及时获悉并确认您的支付进度及状态,为您提供售后与争议解决服务,您同意我们可自您所选择的交易对象、支付宝/微信公司或您选择的其他支付机构处收集与支付进度相关信息(包括但不限于交易流水、回单、余额等)。

1.5客服与争议处理

当您与我们联系或提出售中售后、争议纠纷处理申请时,为了保障您的账户及系统安全,我们需要您提供必要的个人信息以核验您的身份。

为便于与您联系、尽快帮助您解决问题或记录相关问题的处理方案及结果,我们可能会保存您与我们的通信/通话记录及相关内容(包括账号信息、订单信息、您为了证明相关事实提供的其他信息,或您留下的联系方式信息),如果您针对具体订单进行咨询、投诉或提供建议的,我们会使用您的账号信息和订单信息。

为了提供服务及改进服务质量的合理需要,我们还可能使用的您的其他信息,包括您与客服联系时您提供的相关信息,您参与问卷调查时向我们发送的问卷答复信息。

1.6第三方应用工具包(SDK)

为保障合思相关功能的实现和应用的安全稳定运行,为用户提供更为多元化的服务,我们采用了第三方提供的软件开发工具包 (具体请点击《第三方SDK目录》)。这种工具包通常称为 SDK(Software Development Kit),是指用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合。我们会对第三方SDK或类似应用程序进行严格的安全评估,以保护您的个人信息安全。

2、收集信息需调取的权限

为了向您提供合思产品和/或服务,我们可能需要使用您设备中的系统权限来收集相关个人信息。为此,我们归纳整理了上文所述的相关信息需调取的权限,(具体请点击《IOS应用权限列表》《Android应用权限列表》),您可以选择是否授权我们使用您设备的相关权限。即使授权后也允许您自行关闭或再次开启。

3、以下情形中,我们收集、使用个人信息无需征得您的授权同意:

4、自启动

为确保合思处于关闭或后台运行状态下可正常接收到推送的信息,合思须使用自启动能力,将存在一定频率通过系统发送广播唤醒合思自启动行为,是因实现功能及服务所必要的。

二、我们如何使用Cookie技术

您使用合思服务时,我们会在您的计算机或移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。我们使用该等信息判断注册用户是否已经登录,提升服务/产品质量及优化用户体验。如您不希望个人信息保存在 Cookie 中,您可对浏览器进行配置,选择禁用 Cookie 功能。

您可根据自己的偏好管理或删除 Cookie。您可以清除计算机上保存的所有 Cookie,大部分网络浏览器都设有阻止 Cookie 的功能。

三、我们如何共享、转让、公开披露您的个人信息

1、共享

在以下情形下,我们会向第三方共享您的个人信息。这些信息的用途受到如下限制:改善合思提供的服务;提供技术基础设施服务;衡量广告和服务的有效性;支付便利或进行商业调查等。

a、广告、分析服务类的合作伙伴。 对于广告合作伙伴,我们会向其提供有关其广告覆盖面和有效性的信息,例如广告投放后的点击情况、广告受众的覆盖情况等,我们仅向广告合作伙伴提供群体化、匿名化的统计数据,这些数据不会识别到您个人。对于分析数据的伙伴,为了更好的分析合思用户的使用情况,我们向其提供合思用户的数量、地区分布、活跃情况等数据,但我们仅会向这些合作伙伴提供不能识别个人身份的统计信息。

b、业务供应商、服务提供商和其他合作伙伴。 为了向您提供更为完备的服务,我们需要将信息发送给支持我们业务的供应商、服务提供商和其他合作伙伴共享。这些供应商包括但不限于:为合思提供短信服务、推送通知的电信服务运营商;为合思提供文件、火车票票根的快递服务商;为合思的部分服务提供客服支持的供应商;为合思的部分功能和业务提供基础技术支持的服务商等。这些供应商会根据合思的业务情况做变更,但我们始终会对信息共享的必要性进行严格的评估。

2、转让

除非获取您的明确同意,我们不会将您的个人信息转让给任何公司、组织或个人。 如果发生合并、收购或破产清算,将涉及到个人信息转让,此种情况下我们会要求新的持有您个人信息的公司、组织继续受本政策的约束。如果本政策中约定的个人信息的收集、处理方式发生任何改变,该公司、组织将重新向您征求授权同意。

3、公开披露

除非获取您的明确同意,我们不会公开披露您的个人信息。 但基于法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们会向有权机关披露您的个人信息。但我们保证,在上述情况发生时,我们会要求披露请求方必须出具与之相应的有效法律文件,同时尽合理可能对被披露的信息采取符合法律和业界标准的安全防护措施。

特别提示:根据适用的法律及相关规范,共享、转让经去标识化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向您通知并征得您的同意。

四、我们如何保护您的个人信息

我们非常重视个人信息安全,并采取了符合业界标准的安全防护措施,防止个人信息遭到未经授权访问、公开披露、使用、修改、损坏或丢失。

1、阿里云/钉钉云基础保障

作为钉钉ISV厂商,合思产品由阿里云/钉钉云提供云服务及基础安全保障,确保合思产品及服务基础运行环境安全,包括机房物理安全、数据存储安全。

2、信息系统安全等级保护

合思产品及服务于2019年通过信息系统安全等级保护第三级测评,并完成在公安机关的等保备案。

3、网络传输安全

合思获得赛门铁克(Symantec,全球领先的信息安全解决方案提供商)的威瑞信(VeriSign)128位强制增强型(EV)服务器证书,对传输信息进行加密处理,保证信息网络传输的安全。

4、跨区数据备份

合思利用阿里云的可多用区及数据备份功能,合思通过多个地区进行数据互相备份以及存储节点定时备份,确保遇到意外时间时数据不会丢失。

5、ISO 27001、ISO 27701

我们为在管理和技术方面保证您数据的安全和隐私,已进行ISO27001信息安全管理体系认证、ISO27701隐私信息管理体系认证,并按照规定期限年审,确保管理和技术符合国际安全标准。

五、我们如何存储您的个人信息

1、存储地点

我们在中华人民共和国境内运营中收集和产生的个人信息,将存储在中国境内。以下情形下,我们会在履行了法律规定的义务后,向境外实体提供您的个人信息:

针对以上情形,我们会通过合同等形式确保以不低于本政策规定的程度保护您的个人信息。

2、存储期限

我们只会在达成本政策所述目的所需的期限内保留您的个人信息,除非法律有强制的留存要求,例如《中华人民共和国电子商务法》要求商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。我们判断个人信息的存储期限主要参考以下标准并以其中较长者为准:

六、我们如何管理您的个人信息

关于访问、更改、删除您个人信息或注销您账户的要求,可通过privacy@hosecloud.com联系我们。通常情况下,我们将在15个工作日内予以回复。如您发送邮件要求注销您账户的,完成注销后,您账户内的所有信息将被删除或匿名化,我们将停止为您提供产品或服务,并不会再收集、使用或对外提供与该账户相关的个人资料,但您在使用我们服务期间提供或产生的信息,我们仍需按照法律法规要求的时间进行保存,且在该依法保存的时间内有权机关仍有权依法查询。

七、我们如何处理未成年人的个人信息

合思提供的服务不适用于未满十四周岁的未成年人。合思不会收集十四周岁以下未成年人的信息,并认为任何年龄的未成年人在提供任何个人资料之前应获得其父母或其他监护人的同意。 如果您认为我们错误地或无意地收集了此类信息,请通知我们,以便我们可以从服务器中删除这些信息。

八、更新与修订

合思保留不时更新或修订本政策的权利。未经您同意,我们不会削减您按照本政策所应享有的权利。我们会通过客户端推送通知、弹窗等合理方式通知您,以便您能及时了解本政策所做的任何变更。

九、如何联系我们

如您对本政策有任何疑问、意见与建议,可以通过以下邮箱与我们取得联系:privacy@hosecloud.com,我们将尽快审核所涉问题,并在验证您的用户身份后的十五个工作日内回复。