Z6·尊龙凯时「中国」官方网站

尊敬的商湯客戶及客戶的用戶：

北京市商湯科技開發有限公司及其關聯方（以下簡稱「商湯」或「我們」）深知個人信息對商湯客戶（以下簡稱「客戶」）及終端個人用戶（以下簡稱「用戶」或「您」）的重要性。我們將竭盡全力保護用戶的個人信息安全。我們將按國家法律法規要求，恪守權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與的原則，保護您的個人信息。為了幫助客戶和用戶整體瞭解我們在提供產品或服務的過程中遵守的個人信息處理原則及採取的個人信息安全保護措施，我們特製定《商湯個人信息保護政策》（以下簡稱「本政策」）。

敬請注意，本政策對我們在個人信息保護方面的整體情況進行了概述，以闡釋商湯在個人信息保護領域的統一實踐或遵循的標準。我們可能針對特定線上或線下的服務或產品制定具體服務或產品的個人信息保護政策、聲明、通知等（以下簡稱「具體政策」）。在其他具體政策有專門規定的情況下，以該等具體政策為準；該等具體政策未盡之處，以本政策為準。

此外，本政策僅適用於商湯向客戶和/或用戶提供的產品或服務（包括客戶在向終端用戶提供服務過程中商湯直接或間接通過客戶收集的個人信息），但不適用於其他第三方向客戶和/或用戶提供的產品或服務，亦獨立於我們的客戶或任何第三方可能或需要向用戶展示或提供的個人信息保護政策或同類法律文本。

敬請仔細閱讀本政策尤其是粗體顯示的內容。如客戶和/或用戶有任何疑問、意見或建議，客戶和/或用戶可通過本政策第十二節的聯繫方式與我們聯繫。如客戶和/或用戶不同意本政策，請立即停止使用我們的產品或服務。如客戶或用戶使用我們的產品或服務，即視為客戶已取得用戶同意，或用戶已同意我們依據本隱私政策處理用戶的個人信息。

本政策中，「個人信息」是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。「個人敏感信息」是指一旦洩露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息。「終端個人用戶」或「用戶」是指能夠直接使用我們的產品或服務，或者通過商湯的客戶間接使用到商湯產品或服務的任何個人。

如無其他說明，本政策下的其他相關定義和術語具有與《中華人民共和國網絡安全法》、《中華人民共和國民法典》、GB/T35273-2020《信息安全技術 個人信息安全規範》等法律法規、規範性文件、國家標準中相同的含義。

需要特別說明的是，當終端個人用戶使用我們的產品和服務時，我們會處理兩大類個人信息：（1）直接使用商湯產品或服務的終端個人用戶的個人信息，例如：作為商湯客戶的個人開發者，直接使用到商湯以自身名義提供的產品或者服務的終端個人用戶；以及（2）間接使用我們產品或服務的個人用戶的個人信息，例如：用戶在使用商湯客戶提供的產品或服務時，商湯客戶可能使用了我們的產品或服務，從而使得我們收集並使用了用戶的個人信息。我們處理這些類別的個人信息的方式會有所不同，請客戶和用戶注意本政策中的相關內容，特別是我們如何收集和使用這些信息以及用戶的個人信息權利。在必要的情況下，請客戶和用戶參考各產品或服務的具體政策。

本政策將幫助客戶和用戶瞭解以下內容：

一、我們的基本信息

二、我們的個人信息保護原則

三、我們如何收集和使用用戶的個人信息

四、徵得授權同意的例外

五、我們如何使用Cookie等同類技術

六、我們如何保護用戶的個人信息

七、我們如何存儲用戶的個人信息

八、我們如何共享、轉讓、公開披露用戶的個人信息

九、用戶的個人信息權利

十、我們如何處理兒童的個人信息

十一、本政策如何更新

十二、如何聯繫我們

十三、本政策的生效

一、我們的基本信息

二、作為全球領先的人工智能平台公司，商湯科技SenseTime是中國科技部指定的首個「智能視覺」國家新一代人工智能開放創新平台。同時，商湯科技也是全球總融資額及估值最高的人工智能創新企業。

三、我們的個人信息保護原則

四、我們在各業務場景中處理個人信息時，始終堅持以下原則：

1. 合法正當

我們保證遵守《中華人民共和國網絡安全法》、《中華人民共和國民法典》等不斷出台並適用於我們的法律法規，遵循誠信原則，不利用個人信息從事任何非法活動，不通過欺詐、誤導等方式處理個人信息；

我們尊重並承諾將依據適用的法律保障個人信息主體的相關權利。

2. 透明必要

我們處理個人信息具有明確、合理的目的，在實現各項業務功能時，我們僅處理為實現特定目的而必需的數據，不會進行與處理目的無關的個人信息處理； 我們將使用對個人信息主體權利影響最小的處理方式進行數據處理，僅在實現處理目的所必要的時間期限內存儲用戶的信息；

我們將遵循公開、透明的原則，及時、準確地公開個人信息處理所依據的規則，以便用戶瞭解其個人信息將被如何處理以及用戶享有哪些權利。

3. 安全可控

我們將採取法律法規規定的技術和管理措施、業界的主流實踐保護用戶的個人信息； 我們進行了信息安全等級保護的定級測評，會對可識別的個人敏感信息進行加密傳輸和加密存儲，使用安全加固後的操作系統存儲用戶的個人信息；

我們設置了專門的數據安全及個人信息保護委員會，負責處理商湯科技相關產品和服務可能涉及到用戶個人信息的各項事務。我們還會為工作人員定期舉辦個人信息保護相關法律法規培訓，以加強工作人員的用戶個人隱私保護意識。

4. 權責一致

我們能夠對可能接觸到用戶個人信息的工作人員採取最小夠用的授權原則，並定期核查訪問人員名單和訪問記錄，做好行為審計；

我們能夠對各項個人信息的處理行為進行記錄、審核、追責。

5. 堅持原創，讓AI引領人類進步

我們以「堅持原創，讓AI引領人類進步」為使命和願景；

我們將在產品設計、研發、生產、應用、運維等多個環節中均貫徹個人信息保護的合規要求，以隱私默認設計（Privacy by Design）的理念打造安全可信的AI產品。

三、我們如何收集和使用用戶的個人信息

我們對個人信息的處理方式包括對個人信息進行收集、存儲、使用、加工、傳輸、提供、公開等。在提供產品或服務的過程中，我們將制定具體服務或產品的個人信息保護政策、聲明、通知等。

一般情況下，我們處理的個人信息可以分為以下兩類。在處理這兩類個人信息時，我們的法定責任及我們所依據的個人信息保護政策可能存在一定的差異。具體的個人信息處理規則請查閱具體產品或服務的個人信息保護政策。

1. 我們直接向用戶收集並處理用戶的個人信息：在您直接使用我們的官方網站以及我們旗下的各類移動互聯網應用程序時，我們將直接決定如何收集並使用您的個人信息。在您使用我們提供的這些產品或服務時，請您查閱相關具體產品或服務的個人信息保護政策，以瞭解我們如何收集和使用您的個人信息。

2. 我們接受客戶的委託處理用戶的個人信息：在一些場景下，我們將按照我們的客戶的要求並始終按照我們與客戶之間達成的協議、本政策及具體政策處理用戶的個人信息。客戶應確保已就其收集、使用及向商湯提供用戶個人信息，對用戶進行明確告知，並已就商湯依據本政策及具體政策處理用戶個人信息獲得用戶的同意。如果您希望瞭解在這些場景下，您的個人數據被如何收集或者使用，請參見客戶向用戶單獨提示或展示的《隱私聲明》或其他具體政策。

四、徵得授權同意的例外

六、 除此之外，請用戶理解並知悉，根據相關法律法規規定，以下情形中收集和使用用戶的個人信息無需徵得用戶的授權同意：

1. 與我們履行法律法規規定的義務相關的；；

2. 與國家安全、國防安全有關的；

3. 與公共安全、公共衛生、重大公共利益有關的；

4. 與犯罪偵查、起訴、審判和判決執行等有關的；

5. 出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到用戶本人同意的；

6. 根據用戶的要求訂立或履行合同所必需的；

7. 所收集的個人信息是用戶自行向社會公眾公開的；

8. 從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道；

9. 用於維護所提供的產品或服務的安全穩定運行所必需的，例如發現、處置產品或服務的故障；

10. 為合法的新聞報道所必需的；

11. 学术研究机构基于公共利益开展统计或学术研究所必要，且对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的；

12. 法律、法規或國家標準規定的其他情形。

我們如何使用Cookie等同類技術

為確保一些網站或網頁類產品或服務的正常運轉，我們會在用戶的計算機或移動設備上存儲名為Cookie的小數據文件。Cookie通常包含標識符、站點名稱以及一些號碼和字符。借助於Cookie，產品能夠存儲用戶的偏好等數據。我們不會將Cookie用於本政策所述目的之外的任何用途。用戶可根據自己的偏好管理或刪除Cookie。有關詳情，請參見AboutCookies.org。用戶可以清除計算機上保存的所有Cookie，大部分網絡瀏覽器都設有阻止Cookie的功能。但用戶果這麼做，則需要在每一次訪問我們的官方網站時親自更改用戶設置。如需詳細瞭解如何更改瀏覽器設置，請訪問以下鏈接：

七、我們如何保護用戶的個人信息

我們非常重視用戶的個人信息安全，已採取符合業界標準的安全防護措施保護用戶提供的個人信息，以防止數據遭到未經授權訪問、公開披露、使用、修改、損壞或丟失。我們會採取一切合理可行的措施，保護用戶的個人信息。

1. 商湯科技設置了專門的個人信息保護負責人，負責處理商湯科技相關產品和服務可能涉及到用戶個人信息的各項事務，以及規劃和制定公司的政策、審核各產品的用戶使用協議、面向產品研發開展個人信息保護評估、監督各產品的工作原理和信息處理機制等。

2. 我們通過了ISO 27001信息安全管理體系認證、ISO29151個人身份信息保護管理體系認證、ISO27701隱私信息管理體系認證、關鍵產品的信息系統等級保護的測評。我們按照信息系統等級保護的要求制定了信息安全工作的總體方針和安全策略，建立了覆蓋主機、數據、應用、管理等層面的安全管理制度，成立了信息安全管理委員會及信息安全執行委員會，設立了數據安全及個人信息保護委員會，直接負責數據安全及個人信息保護；設立了系統平台部為產品安全管理工作的職能部門，明確了安全管理機構內的各個部門和崗位的職責、分工和技能要求，制定了明確的人員錄用和離職管理規範。

3. 我們會對可識別的個人敏感信息進行加密傳輸和加密存儲，加密強度符合安全要求，以確保數據的保密性。我們的應用系統提供了身份鑒別、用戶標識唯一性檢查、基於角色的訪問控制等功能，採用HTTPS安全協議進行通信，設置了最大併發會話連接數，能夠對系統服務水平降低到預先規定的最小值進行檢測和報警。我們在服務端部署訪問控制機制，對可能接觸到用戶個人信息的工作人員採取最小夠用授權原則，並定期核查訪問人員名單和訪問記錄。我們的服務器操作系統和數據庫系統口令有複雜度要求，採用SSH安全協議進行遠程管理，嚴格限制默認賬號的訪問權限，並修改了默認口令，審計記錄全面並覆蓋了所有用戶。

4. 我們存儲用戶個人信息的服務器系統均為安全加固後的操作系統。我們會對服務器操作進行賬號審計及監控。如果發現外部公告有安全問題的服務器操作系統，我們會在第一時間進行服務器安全升級，確保所有服務器系統及應用安全。

5. 我們為工作人員定期舉辦個人信息保護相關法律法規培訓，以加強工作人員的用戶個人隱私保護安全意識。

6. 我們制定了網絡安全事件應急預案，並調配足夠的資源保障確保應急預案的執行。我們每年對應急預案進行了培訓和應急事件演練。如果我們的物理、技術或管理防護措施不幸遭到破壞，我們會及時啓動應急預案，防止安全事件擴大，按照法律法規的要求上報國家主管機關，並及時採取推送、公告等合理、有效的方式向用戶告知安全事件的基本情況、可能的影響、已經採取的措施或將要採取的措施等。

七、我們如何存儲用戶的個人信息

(一) 存儲地點

我們在中華人民共和國境內收集和產生的個人信息將存儲在中華人民共和國境內。如確有必要在全球範圍內轉移用戶的個人信息時，我們將在符合中國及其他相關司法轄區的強制性規則要求（包括但不限於中國境內的個人信息出境安全評估要求、經過安全認證和/或簽署數據傳輸協議）前提下移轉用戶的個人信息。

(二) 存儲期限

我們只會在達成本政策所述目的所需的期限內保留用戶的個人信息，除非法律有強制的留存要求。我們判斷個人信息的存儲期限主要參考以下標準並以其中時間較長者為準：

客戶委託我們處理用戶個人信息的期限；

2.   完成用戶使用的業務功能；

3. 保證我們為用戶提供服務的安全和質量；

4. 用戶同意的更長的留存期間

5. 是否存在保留期限的其他特別約定。

在超出保留期間後，我們會根據適用法律的要求刪除用戶的個人信息，或使其匿名化處理。

如我們停止運營官方網站及相關服務，我們將及時停止繼續收集用戶個人信息的活動，並將以公告的形式進行停止運營通知。同時，對我們存儲的個人信息進行刪除或匿名化處理。

八、我們如何共享、轉讓、公開披露用戶的個人信息

(一) 共享

我們不會與任何公司、組織和個人共享用戶的個人信息，但以下情況除外：

1. 在我們或客戶獲取用戶明示同意的情況下，我們會與其他方共享用戶的個人信息。

2. 我們可能會根據法律法規規定、訴訟爭議解決需要，或按行政、司法機關依法提出的要求，對外共享用戶的個人信息。

3. 在法律法規允許的範圍內，為維護我們、我們的關聯公司或合作夥伴、用戶或其他商湯科技用戶或社會公眾利益、財產或安全免遭損害而有必要共享用戶的個人信息。

4. 與我們的關聯公司共享。為便於我們向客戶或用戶提供服務，我們可能會將用戶的個人信息與我們的關聯公司共享。但我們只會共享必要的個人信息，且關聯公司對用戶個人信息的使用受本政策，或經過用戶授權同意的且對用戶的個人信息提供與本政策保護水平實質相同的關聯公司政策的約束。我們和我們的關聯公司均會嚴格遵守商湯科技的個人信息及數據安全保護制度和政策。

(二) 轉讓

我們不會將用戶的個人信息轉讓給其他任何公司、組織或個人，但以下情形除外

1. 我們或客戶事先獲得用戶明確的同意或授權；

2. 根據適用的法律法規、法律程序的要求、強制性的行政或司法要求所必須的情況進行提供；

3. 符合與用戶簽署的相關協議或其他的法律文件約定所提供；

4. 隨著我們業務的發展，我們及我們的關聯公司有可能進行合併、收購、資產轉讓或其他類似的交易。如相關交易涉及到用戶的個人信息轉讓，我們會要求新持有用戶個人信息的公司、組織和個人繼續受此政策約束，否則我們將要求該公司、組織和個人重新徵得用戶的授權同意。

(三) 公開披露

我們僅會在以下情況下，公開披露用戶的個人信息：

1. 我們或客戶獲得用戶明確同意後；

2. 基於法律的披露：在法律、法律程序、訴訟或政府主管部門強制性要求的情況下，我們可能會公開披露用戶的個人信息。基于法律的披露：在法律、法律程序、诉讼或政府主管部门强制性要求的情况下，我们可能会公开披露用户的个人信息。

九、用戶的個人信息權利

(一) 針對直接使用商湯產品或服務的用戶

對於直接使用產品或服務的用戶，用戶可以直接向我們行使以下權利，為保護商湯和用戶的合法權益，在用戶行使權利時我們可能要求用戶提供必要的材料以驗證用戶的身份。

1. 查詢和複製您的個人信息

您可以通過以下第十二條的聯繫方式來聯繫我們查詢及複製您的個人信息。我們可能視您請求查詢的目的、次數及頻率等因素向您收取合理的費用。

2. 拒絕或限制處理您的個人信息

您可以通過以下第十二條的聯繫方式來聯繫我們，拒絕或限制我們處理您的個人信息。特別地，如果您不希望接收來自我們的促銷信息或者廣告信息，您也可以通過第十二條的聯繫方式與我們取得聯繫並選擇退出。請您注意，即便您拒絕接收此類營銷信息，鑒於您仍在使用我們的產品或服務，我們仍有可能向您發送與此類產品或服務相關的非促銷信息，例如：服務條款的變更、隱私條款的變更、安全警報等。

3. 更正和補充您的個人信息

如果您發現您的個人信息不準確或者不完整，您可以通過以下第十二條的聯繫方式聯繫我們更正及補充您的個人信息。

4. 刪除您的個人信息

以下情況發生時，您有權要求我們刪除您的賬號註冊信息：

您可以通過本政策第十二條提供的方式聯繫我們要求刪除您的個人信息，我們會在15個工作日內給予答復。當我們從服務器中刪除您的個人信息後，我們可能不會立即從備份系統中刪除相應的數據，但會在備份更新的時候刪除這些信息。請您注意，法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，我們可能無法刪除您的個人信息，但我們將及時停止處理您的個人信息。

5. 撤回您的授權同意

每項業務功能需要一些基本的個人信息才能得以完成。對於額外收集的個人信息的收集和使用，您可以隨時給予或收回您的授權同意。您撤回權限不影響我們此前對您個人信息的處理活動，但我們不會繼續處理您的個人信息。您可以通過以下第十二條的聯繫方式來聯繫我們改變您授權同意的範圍。

6. 註銷賬戶

如果我們的產品或服務需要註冊賬戶才能使用，您隨時可註銷此前註冊的賬戶（例如：用於應聘的賬戶）。您可以通過以下第十二條的聯繫方式來聯繫我們註銷您的賬戶。在註銷您賬戶的同時，您的個人信息也將一並刪除，法律法規規定需保留個人信息的情況除外。

(二) 針對通過我們的客戶間接使用商湯產品或服務的用戶

在具體的產品或服務場景下，我們建議用戶向具體業務場景下直接向用戶提供產品或服務的企業（通常為我們的客戶）直接提出請求，並由其視情況向我們轉交。使用商湯產品或服務的客戶應確保建立用戶個人信息權利保護和行使機制，並及時向商湯反映與商湯相關的用戶個人信息權利請求。

十、我們如何處理兒童的個人信息

我們的產品和服務主要面向成人。如果沒有父母或監護人的同意，不滿14週歲的兒童不得使用我們的產品或服務。

對於經父母同意而收集兒童個人信息的情況，我們只會在受到法律允許、父母或監護人明確同意或者保護兒童所必要的情況下使用或公開披露此信息。

如果我們發現自己在未事先獲得可證實的父母同意的情況下收集了兒童的個人信息，則會設法盡快刪除相關數據。

十一、本政策如何更新

我們的個人信息保護政策可能變更。未經用戶明確同意，我們不會限制用戶按照本政策所應享有的權利。

對於本政策的重大變更，我們會提供顯著的通知。用戶亦可以隨時瀏覽官方網站查看最新的政策。

本政策所指的重大變更包括但不限於：

1. 我們的服務模式發生重大變化。如處理個人信息的目的、處理個人信息的類型、個人信息的使用方式等；

2. 我們在控制權等方面發生重大變化。如並購重組等引起的所有者變更等；

3. 個人信息共享、轉讓或公開披露的主要對象發生變化；：

4. 用戶參與個人信息處理方面的權利及其行使方式發生重大變化；

5. 我們負責處理個人信息安全的責任部門、聯絡方式及投訴渠道發生變化時；

6. 個人信息安全影響評估報告表明存在高風險時。

用戶在此類變更和修訂之後繼續使用我們的產品或服務，將被視為用戶同意本政策的變更和修訂。

十二、如何聯繫我們

【北京市商湯科技開發有限公司】及關聯方為我們提供產品或服務的運營主體，在直接收集和使用用戶的個人信息時是用戶個人信息的控制者，註冊地址為【北京市海淀區北四環西路58號11層1101-1117室】。如果客戶或用戶對我們的政策及對您個人信息的處理有任何疑問、意見、建議或投訴，請發送郵件至【privacy@qidebank.com】，與我們進行聯繫。

在一般情況下，我們會在15個工作日內對用戶的請求予以答復。請理解，由於材料審核、業務核對、操作流程等原因，對用戶請求的處理完成時間可能會長於上述時限。如果用戶對我們的回復不滿意，特別是我們的個人信息處理行為損害了用戶的合法權益，還可以向我們所在地北京市網信、電信、公安及工商等監管部門進行投訴或舉報；或向我們所在地（北京市）具有管轄權的法院提起訴訟。我們希望用戶在向政府或法院投訴或起訴前，可以與我們進行友好協商，歡迎並感謝用戶對我們的監督和建議。

十三、本政策的生效

本政策版本發佈於2021年3月【5】日，將於2021年3月【5】日正式生效。