Contract
德意志银行(中国)
个人信息处理规则告知书
德意志银行(中国)有限公司个人信息处理规则告知书
1. 您收到本《个人信息处理规则告知书》(以下简称“告知书”)的原因
您收到本告知书的原因系您属于我们所提供的银行服务的接收者、私人/财富管理服务的客户,或我们的客户或服务提供商的授权代表、最终受益人、担保人、受益人、个人联系人或代表(以下统称“您”)。
本告知书还适用于(i)我们门户网站的访问者、我们手机/网上银行应用程序的用户、潜在客户或申请使用或接收我们的产品和服务的申请者及其相关方,(ii)与我们进行任何业务或交易的人,(iii)当您参加我们的任何营销活动和调研时,或
(iv)当您以任何方式与我们联系或通信时,无论该信息是由您或您的相关方提供,还是我们根据法律法规或是基于您或您的相关方的同意或授权从其他来源收集或获 取的。
本告知书解释了我们将收集与您相关的何种个人信息(定义见下文)以及将如何使用该等个人信息。本告知书还概述了您在《个人信息保护法》(以下简称“《个保法》”)下享有的权利。我们希望您了解我们为何以及如何收集、使用、披露或以其他方式处理您的个人信息。
请您在使用我们的产品和服务前仔细阅读并理解本告知书。如您使用我们的产品和服务或向我们提供个人信息,即视为您同意我们根据本告知书收集、使用、加工、存储、披露和传输个人信息。
本告知书以英文和中文形式提供,如有相异,以中文版本为准。
个人信息是指任何以电子或其他方式记录的与已识别或可识别自然人有关的各种信息,不包括匿名化信息。
相关人员是指任何自然人,其个人信息被您、您的关联公司、您的任何代表和/或我们合理认为具有与我们分享相关信息的合法权利的任何其他方提供给我们。
本通知中的“我们”,均指德意志银行(中国)有限公司(包括其在中华人民共和国的总行和全部分行)。我们的联系方式请见本告知书结尾部分。
当您向我们提供个人信息时,我们将作为“个人信息处理者”,即:
(i) 我们“控制”您提供的个人信息,包括确保其安全性;以及
(ii) 我们有权独立决定如何使用和保护您的个人信息,但仅限于我们已告知您对该个人信息的使用方式并/或已取得您的同意,或其他法律许可的情况。
2. 我们如何收集与使用您的个人信息
我们收集与我们业务相关、基于我们履行法定义务所需或其他适用的法律法规允许收集的个人信息。我们收集的个人信息类型可能包括但不限于:
(i) 姓名、性别、签字样本、联系方式(如居住地址、电话/手机号码和电子邮件地址);
(ii) 雇主(如在收集客户代表或签字人数据时)、工作经历、资格和教育经历;
(iii) 与我们和您的业务关系和所涉服务有关的信息,包括从您在使用我们的 IT 平台(包括电子通信)、移动应用程序、电话录音、办公楼访问和参与我们的营销活动过程中衍生的数据;
(iv) KYC(了解你的客户)信息和其他进行客户尽职调查所需的个人信息,例如护照信息、社会保障号码、纳税人识别号、个人身份证号、驾驶执照、出生日期和出生地、居住地、婚姻情况、税务状况、教育背景、资金来源、财富来源、使用公司结构的合理理由、社会关系以及关联关系、包括与公职人员的关联情况,以及犯罪记录;
(v) 财务信息,例如信用评级、银行账户详情、收入状况、养老金、投资情况、资产情况、负债情况、支出情况、投资目标或活动、投资经验或策略、风险容忍度和交易历史;
(vi) 特定产品的合同数据和特定产品的交易数据;以及
(vii) 当您访问我们的网站时的位置信息和其他设备和网络相关信息,例如 IP 地址、cookie 识别信息、登录信息、网络日志和其他网络身份标识信息。
我们所收集的个人信息可能以纸质、电子或其他形式为载体。
如果我们收集敏感个人信息,我们将仅基于特定目的并以符合《个保法》和其他适用法律要求的方式进行使用。
除非适用法律法规另有限制,否则我们可能会通过与您和您的相关方、您的任何代表以及我们合理认为享有合法权利与我们分享个人信息的任何其他方的沟通和交流直接或间接收集个人信息。如果您未能提供相关个人信息,我们可能无法向您提供相应的产品或服务(或其任何部分),使用您提供的相关产品或服务(或其任何部分)或进行其他相应活动,或遵守任何适用的法律法规或监管机构(或其他有权机关)的指引和规范。
当我们收集您的个人信息时,我们将基于实现本告知书第 5 条所述的任何目的,对其进行使用、加工、修改、存储和删除,在德意志银行(中国)有限公司内部及其
分支机构间共享,或者与德意志银行集团内的其他实体、监管机构等第三方进行分享。
3. 我们如何分享您的个人信息
在为执行您对我们的指令、履行我们与您签订的合同,以及基于第 5 条所述的其他目的所必要时,我们可能会与包括(但不限于)以下的接收方分享有关您的个人信息:
- 征信机构或信用评级机构(包括但不限于金融信用信息基础数据库)
- 背景调查机构
- 金融机构、行业协会、银行卡组织或信息服务商
- 通过我们为您或相关客户提供资产管理服务的基金或任何第三方基金管理人
- 收款人
- 支付和结算基础设施供应商
- 交易所、清算所、清算或结算系统、市场交易相对方
- 根据您或相关客户的授权或依法代表您或相关客户行事的代理人,受益人、账户代名人、中介机构、代理银行(例如使用自动支付清算系统
( CHAPS ) 、银行自动清算系统( BACS) 和国际资金清算系统
(SWIFT)的代理银行)、上游扣缴义务人、掉期或交易报告库,您或相关客户在其中享有证券权益的公司(如果此类证券由我们为您或相关客户持有)
- 监管机构、法院、公共机构(包括税务机关)
- 德意志银行集团成员
- 德意志银行集团的任何承包商、分包商、代理人、第三方产品或服务提供商、许可证持有人、专业顾问、商业伙伴、相关方或供应商
- 德意志银行集团的审计师、承保人、律师
- 我们业务(或任何地区/单位)的潜在购买者
- 我们向其提供转介、代理或中介服务的任何第三方
- 与德意志银行集团的任何业务/资产转让、重组、处置(包括证券化)、合并、分立或并购交易有关的任何方
- 任何在我们向您或相关方提供的任何产品或服务、您或相关方与我们进行的业务或交易中拥有权利或义务、获得利益或承担风险、或与之存在联系的人或相关方(例如,为您或相关客户向我们承担的任何债务提供或预提供任何抵押或其他担保的人,或我们向您提供的保险产品的受益人)
这些接收方可能位于中国境外。
当适用的法律法规要求时,我们将告知您关于我们向相关实体、供应商和其他第 三方提供个人信息相关的事项,包括接收方的姓名或名称、联系方式、处理目的、处理方式、处理的个人信息的种类。如果涉及数据跨境,上述告知还包括您向境 外接收方行使相关权利的方式和程序(有关接收方的具体信息,请见本告知书的 附录 1 和附录 2),并通过您取得相关人员的单独同意。
如果接收方是德意志银行集团成员,您可以在其所在国家的网页上找到德意志银行
集团成员的详细信息和相应的个人信息处理规则。
如果我们委托相关实体和/或供应商处理个人信息,我们将根据法律法规的要求与受托方明确约定处理目的、期限、处理方式、处理的个人信息的种类、保护措施等,并监督受托方的个人信息处理活动,并要求其不得超出约定的处理目的和方式处理个人信息。如果委托合同不成立、无效、撤销或终止,我们将要求受托方根据合同约定返还、删除或匿名化接收的个人信息。
此外,我们可能根据法律法规或协议,在发生任何重组(包括在中国设立新的境内公司和将现存业务转移至这些新的境内公司)、合并、出售、清算、合资、转移、转让或对我们的全部或者部分业务、资产或股票进行其他处置(包括破产或其他类似程序)时传输相关个人信息。在这种情况下,我们将告知您接收方的姓名或
名称和联系方式,并要求接收方继续遵守并履行本告知书的义务以及在改变原始处理目的或方式时再次取得您的同意。
在需要传输或分享您的个人信息时,我们将仔细评估该数据分享的合法性、正当性和必要性。我们将遵守《个保法》和相关法律法规,并要求数据接收方采取一切依照《个保法》和相关法律法规所需的数据保护措施。
4. 我们是否会跨境提供您的个人信息
德意志银行(中国)有限公司是全球性银行的一部分。因此,与您相关的信息可能会基于第 5 条所述的目的转移到中国以外的国家或地区。如果我们与其他国家或地区的服务提供商合作,我们将以合同性承诺的方式要求他们达到与《个保法》所要求的相等的个人信息保护水平。我们将遵守《个保法》有关知情同意的要求。
我们承诺遵守国家网络信息监管机构和其他机关/监管机构可能发布的有关跨境转移个人信息的任何要求或条件,并在必要时对本部分进行更新,无论是通过修改本告知书还是通过其他方式(例如发布在我们的网站上)。
5. 我们为什么处理您的个人信息
我们处理(例如使用、存储、保留、披露或传输)您的个人信息的目的如下:
1. 履行合同
2. 遵守法律义务(例如遵守反洗钱、反恐怖融资和制裁法律要求;响应来自警察机关、监管机构、税务或其他公共机构的调查或披露命令)
3. 履行“了解你的客户”义务、进行尽职调查和信用评估
4. 客户和供应商关系管理
5. 数据存储和处理
6. 业务分析或产品、服务和流程的开发、改进
7. 与信息安全和建筑安全相关的活动,包括使用闭路电视监控
8. 以业务和合规目的进行的电话录音和电子通信监控
9. 防止和监测金融犯罪
10. 评估、提起或对抗法律诉讼
11. 德意志银行集团产品的营销
12. 监管报告
13. 审计
14. 业务重组
6. 我们处理个人信息的法律依据
根据《个保法》的规定,我们将依法取得您对个人信息处理的同意。在我们出于本告知书以外的目的或基于《个保法》或其他相关法律要求的情况下,我们也会事先征求您的书面同意。
您有权随时撤回您的同意。请注意,撤回您的同意不会使我们之前处理您的个人信息的行为丧失合法性,但可能会影响我们今后以同样方式继续提供服务。如果您需要撤回您的同意,可以联系您在德意志银行(中国)有限公司的常规联系人或我们的数据保护官。
但您理解根据适用的法律法规,在以下情况下,我们不需要取得您或相关人员的同意以收集、使用或以其他方式处理个人信息:
(i) 为一方为个人的情况下签订或履行合同,或根据依法订立的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的;
(ii) 我们需要履行相关的法定职责或义务;
(iii) 所涉及的个人信息由相关人员自行对外公开,或通过新闻报道、政府信息公开等其他合法公开渠道取得;
(iv) 为应对突发公共卫生事件,或者为紧急情况下保障您的生命健康和财产安全所必需;以及
(v) 适用的法律法规规定的其他情况。
7. 我们从何处获取您的个人信息
我们只会保留和与您的业务关系相关的数据。其中一些信息我们将直接从您那里获取,例如:
(i) 您在开设账户及/或与我们签订协议时填写的表格和相关文件;
(ii) 您在通信或沟通中向我们提供的信息;
(iii) 您在您的账户上完成或进行的交易;以及
(iv) 您自愿订阅我们的简讯、更新或提醒,或参加的我们组织或赞助的调查、营销或其他活动时提供的信息。
我们还从其他多种来源获取个人信息,这些来源可能包括:
(i) 您的雇主;
(ii) 其他德意志银行集团成员、其他公司和金融机构;
(iii) 公开来源(例如新闻、公司或资产登记、互联网网站,包括社交媒体平台);
(iv) 商业风险筛查服务的提供者,例如征信机构、反欺诈数据库、制裁名
单和新闻文章数据库;
(v) 税务机关(如果您在其他境外管辖区域涉税,还将包括中国境外的征税机关);以及
(vi) 我们对其负有义务的政府部门和相关监管机构。
我们在我们的网站上收集、处理和使用个人信息,以便为您提供更好的产品和服务,使我们的业务流程最好地适应客户的需求,并引导您获取最合适的产品信息和网上 银行应用程序。有关我们的在线隐私政策以及我们如何使用 cookie 的更多信息, 请访问德意志银行的主页。
8. 我们将于何种期限存储您的个人信息
我们只会在法律法规规定以及为实现本告知书所述(请见第 5 条)目的所必需的期限内保留您的个人信息。在决定数据存储期限时,我们考虑以下因素:
- 相关合同或业务关系的终止日期;
- 任何法律、法规或内部政策规定的存储期限;以及
- 任何为了处理现有或潜在的审计、税务事项或法律诉讼而超出上述期限的保留记录的需求.
如果删除或匿名化个人信息在技术上难以实现,除存储和采取必要的安全保护措施以外,我们将不进行任何进一步的处理。
9. 您是否具有个人信息提供义务
您并不具有向我们提供个人信息的法定义务。但是,如果您未能提供,我们可能无法为您提供相应的产品或服务(或其任何部分),使用您提供的相关产品或服务(或其任何部分)或进行其他相应活动,或者遵守任何适用的法律法规或监管机构(或其他有权机关)的准则和规范。例如,为了满足我们的反洗钱义务,我们必须识别我们客户的身份及进行其他相关事务,并因此不可避免地被要求收集潜在客户的某些个人信息。
10. 我们是否会将个人信息用于营销目的
为了向您提供我们或我们德意志银行集团关联公司认为您可能有兴趣接收的产品和服务信息,我们可能会使用您的个人信息。在我们使用您的个人信息进行直接营销之前,我们将征得您的同意。
11. 您的个人信息保护权利
根据法律规定,您拥有以下权利:
(a) 您有权请求限制对您个人信息的处理。这使您可以要求我们暂停处理您的个人信息,例如,在我们对您关于数据有误的主张作出回应的期间,或存储期限已结束但您要求延长存储期限以提起或对抗法律诉讼期间。您还有权拒绝我们处理您的个人信息。
(b) 您有权请求访问和复制您的个人信息。这使您可以收到我们持有的有关您的个人信息的副本,并索要有关我们获取的个人信息的情况。
(c) 您有权请求我们将您提供的个人信息传输给另一个人信息处理者。
(d) 您有权请求更正我们持有的有关您的个人信息。这使您可以更正或补充我们持有的有关您的不完整、不准确或误导性数据。
(e) 您有权请求删除您的个人信息。这使您可以要求我们删除您的个人信息,例如当处理目的已实现,或者我们的合同关系已结束,或者我们基于您 的同意处理您的信息后您告知我们您对同意的撤回时。
(f) 撤回您对个人信息处理的同意(请参见上述第 6 条)。
(g) 出现《个保法》规定的情形时,根据法律向适当的法院或主管机关发起投诉。
如果您希望行使(a)到(f)项中的任何权利,请与您在德意志银行(中国)有限公司的常规联系人或我们的数据保护官联系,我们将及时处理您的请求。
尽管有上述规定,在适用的法律法规或监管机关允许的前提下,或者为遵守适用的法律法规或监管机关的要求,我们可能无法满足您或相关人员的某些要求。
本告知书不应限制相关人员作为个人信息主体根据中国法律所享有的权利。
12. 我们保护您个人信息的方式
个人信息安全是我们的首要任务。我们始终致力于保护您的个人信息免受未经授权或意外的访问、处理或破坏。我们通过实施适当的物理性、技术性和组织性措施来确保您的个人信息安全,坚持我们对信息安全的承诺。
我们采取严格的安全措施,防止未经授权访问包含个人信息的系统的行为。我们对可能访问您的个人信息的员工进行严格管理,采取包括但不限于应用于不同职位的访问控制、员工同意的保密义务、制定和实施数据隐私和信息安全相关政策和程序以及向员工提供数据隐私和信息安全培训等措施。这些安全措施会定期进行审查和更新。具体而言,我们具有:
全面的信息和安全系统
• 德意志银行的安全政策和标准已经规则化并定期进行更新
• 德意志银行的信息技术(IT)供应商必须遵守这些政策和标准
• IT 供应商在提供服务时还需要接受德意志银行的风险评估和定期的供应商
控制评估
完善的信息网络
• 德意志银行的安全专家与外部安全公司、研究团体和其他公司密切合作
• 德意志银行的安全专家定期参加安全培训和会议
定期的控制
• 内部和外部系统和电子设备定期进行扫描,以识别任何漏洞
• 定期检查 IT 系统和符合安全指南和标准的情况
• 对德意志银行的关键 IT 系统进行持续监控
员工意识
• 为全球员工定期提供安全信息培训
• 通过其他渠道(例如视频和每月提供最新信息的内部信息安全网站)提高风险意识
• 我们的全球网络安全热线(88 777 9999)全天候、全地区提供服务。全球网络安全响应流程确保可以随时采取行动应对潜在的安全事件。
13. 未成年人个人信息保护
在您使用我们的某些服务时,我们可能会收集未成年人的个人信息。您有责任确保您向我们提供的任何未成年人的个人信息具有合法来源,并且已取得了他/她的父母或监护人的相应授权或同意。我们将根据法律法规为未成年人的个人信息提供特殊保护。如果在未经必要的授权或同意时,未成年人的个人信息已在任何为企业客户提供的业务中被处理,我们将努力尽快删除相关个人信息。.
14. 本告知书的更新
我们可能会不时更新本告知书,以阐明或应对法律或业务运营的变化。本告知书及其 更 新 可 在 以 下 德 意 志 银 行 ( 中 国 ) 有 限 公 司 的 网 站 上 被 获 取 : xxxxx://xxxxxxx.xx.xxx/xxxxx/xxxxx.
我们还可能以其他方式告知您有关您的个人信息处理活动的信息,例如通过某些特定产品文档。如果您对本告知书的后续更新有任何疑问,请联系我们。
请注意,如果您继续使用我们的产品或服务,则视为您已接受该等更新。
15. 联系方式/数据保护官
如果您对我们处理您的个人信息的方式或对附录 1 和附录 2 中列出的接收方的具体信息有任何疑问(或投诉),您可以与您在德意志银行(中国)有限公司的常规联系人或我们的数据保护官联系:
德意志银行(中国)有限公司法务部
职位:数据保护官
工作地址:xxxxxxxxxxx 0 x
国际金融中心二期 39 楼
电话:x00 00 0000 0000
版本生效日期:2023 年 4 月
附录 1 境内个人信息共享清单
境内接收方名 称 | 联系方式 | 共享目的 | 共享方式 | 个人信息的种类 |
德 意 志 银 行 (中国)有限公司的第三方服务提供商、合作伙伴或交易对手方 | dpo_cn@list .xx.xxx | 为客户提供银行产品/服务或与客户开展业务;保持银行业务和服务的正常和安全运营,防范与控制银行业相关风险 | 邮件投递、内部系统业务数据处理、网站 | (1) 姓名、性别、签字样本、联系方式(如居住地址、电话/手机号码和电子邮件地址); (2) 雇主(如在收集客户代表或签字人数据时)、工作经历、资格和教育经历; (3) 与我们和您的业务关系和所涉服务有关的信息,包括从您在使用我们的 IT 平台(包括电子通信)、移动应用程序、电话录音、办公楼访问和参与我们的营销活动过程中衍生的数据; (4) KYC(了解你的客户)信息和其他进行客户尽职调查所需的个人信息,例如护照信息、社会保障号码、纳税人识别号、个人身份证号、驾驶执照、出生日期和出生地、居住地、婚姻情况、税务 状况、教育背景、资金来源、财富来 |
源、使用公司结构的合理理由、社会关系以及关联关系、包括与公职人员的关联情况,以及犯罪记录; (5) 财务信息,例如信用评级、银行账户详情、收入状况、养老金、投资情况、资产情况、负债情况、支出情况、投资目标或活动、投资经验或策略、风险容忍度和交易历史; (6) 特定产品的合同数据和特定产品的交易数据;以及 (7) 当您访问我们的网站时的位置信息和其他设备和网络相关信息,例如 IP 地址、cookie 识别信息、登录信息、网络 日志和其他网络身份标识信息。 |
附录 2 个人信息出境清单
境外接收方名 称 | 联系方式 | 处理目的 | 处理方式 | 个人信息的种类 | 行使权利的方式和程 序 |
德意志银行集团成员 | dpo_cn@lis x.xx.xxx | 为客户提供银行产品/服务或与客户开展业务;保持银行业务和服务的正常和安全运营,防控银行业相关风险 | 通过服务器转移 | 1) 个人身份信息,包括姓名、出生日期、性别、国籍、电话号码、传真号码、职业、工作经验、学位、家庭电 话、办公电话、身份证件号码、护照、驾驶执照、教育背景、行为能力、公民身 份、居住地址、邮寄地址、现雇主、工作单位地址、职位、地址证明(例如账 单)、个人家庭情况(婚姻状况、其他家庭成员等)、电子邮件地址、公司地址; | 您可以通过本告知书所列的联系方式直接与我们联系,以行使您的权利 |
2) 个人财产信息,包括个人财产、资金来源、财富来源、银行账户、账户关系、国家和行业、业务领域/专业背景、纳税人识别号、个体经营性质、注册国家、注册日期、银行联系人姓名、银行办公室名称、公司实体名 称、与其他银行的银行关 系、投资经验和目标、 CRS/FATCA 信息、预估年收入、预估净资产以及其他反映个人财产和信用状况的信息; 3) 涉及相关调查的个人信息,包括:为客户或供应商尽职调查目的收集的个人信息; |
4) 为了履行合同、法律和监管合规义务,在建立和维护业务关系期间获取的其他信 息。 |