PrivacyAgreement

云证签是由北京中金国信科技有限公司开发的用于在手机端安装数字证书并实现数字签名功能的一款APP，应用实际运营者为中金金融认证中心有限公司，中金国信科技有限公司为中金金融认证中心有限公司全资子公司。中金金融认证中心有限公司已授权中金国信有限公司进行应用上架、推广等。

云证签运行时需要获取您的以下权限：

允许应用使用摄像头

申请该权限是为了实现扫码连接服务及扫码签名功能。

在应用运行时我们还需要您提交以下个人信息：

您的身份证信息（包括姓名、身份证号等）

使用以上信息是为了为您申请一张数字证书。我们会全力保护您的个人信息安全，致力于维护您对我们的信任。请您认真阅读以下协议文本，尤其是其中对您的权益影响重大的突出显出部分（如加粗、倾斜等）。

发布日期：2021年【11】月【17】日
生效日期：2021年【11】月【17】日

您的信任对我们非常重要，我们深知用户信息安全的重要性，我们将按照法律法规要求，采取安全保护措施，保护您的个人信息安全可控。中金金融认证中心有限公司(中国金融认证中心，以下简称“CFCA”)重视用户信息及隐私安全的保护，并通过技术、政策、制度、流程等多项措施加强个人信息安全及保护。本声明及政策将向您阐明CFCA 业务过程中如何收集、存储、使用、对外提供与保护您的个人信息，并说明您所享有的权利，主要要点如下:

为了向您提供产品和服务所需，CFCA 按照合法、正当、必要和诚信的原则开展个人信息处理活动，具体包括:权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则。
2.CFCA 将结合具体的产品和服务，向您逐一说明所收集的信息类型与用途。
某些产品服务需要将您的信息与第三方进行共享，CFCA 在评估第三方收集信息的合法、正当、必要性之后，按照法律、法规的规定及国家标准，要求第三方对您的信息采取严格的保护措施并遵守法律法规及国家机关监管的要求。将您的个人信息与第三方共享之前，将通过弹窗、文本确认等方式征得您的授权同意。因产品服务所需，超出原本的授权范围时，会再次征得您的明确同意。
你可以通过本声明及政策所列的方式管理和访问您的信息，设置权限功能、注销账户、投诉举报。
本声明及政策适用于CFCA 的电子认证、数字证书、电子签名、数据服务等相关产品或服务，包括但不限于CFCA 官方网站/小程序/微网站/应用程序/应用程序接口/云平台等输出的产品、服务等。
6.CFCA 是由中国人民银行于1998年牵头组建，经国家信息安全管理机构批准成立的权威电子认证机构，注册地址为:北京市西城区菜市口南大街平原里20 号楼1-7、1-9、1-10。如果您有任何疑问、意见或建议，请通过以下联系方式与CFCA 联系:
客服电话:400-880-9888
投诉电话:010-80864105
传真:010-63555032

请您在使用CFCA 的产品或服务前，务必仔细阅读本《法律声明及个人信息保护政策》，尤其是其中对您权益影响重大的突出显示部分内容(如加粗、倾斜等)，并确认您了解并同意本声明及政策的全部内容。
如您不同意本声明及政策的任何条款，请停止使用CFCA 的产品和服务。一旦您选择使用或在CFCA 发布或修订新的保护政策后，继续使用CFCA 公司产品和服务，即表示您认可并接受本声明及政策，并同意CFCA 按本声明及政策收集、使用、保存和处理您的相关信息。

本政策将帮助您了解以下内容:
一、个人信息的收集
二、个人信息的使用
三、个人信息的委托处理、向境外提供、共享、转让与披露
四、个人信息的保护
五、个人信息的存储
六、您的个人信息管理权利
七、对未成年人个人信息的处理
八、本声明及政策的变更
九、争议解决及法律适用
十、联系方式

一、个人信息的收集

CFCA 根据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等相关法律、法规和监管要求，遵循合法、正当、必要和诚信的原则，基于以下目的，收集和使用您的个人信息。该等个人信息因您使用产品或服务而产生，或从合作机构、第三方机构等第其他三方获取。无论哪种方式，原则上都征得您的同意后进行，除非CFCA 为订立、履行您作为一方当事人的合同所必需、为履行法定职责或者法定义务所必需、在紧急情况下基于保护您或者其他人的生命健康和财产安全或者法律、行政法规另有规定的其他情形;涉及敏感个人信息收集使用的，还将按照法律规定获得您的单独同意。您可以选择不提供，或仅提供部分的信息，但这可能导致无法使用，或无法正常使用全部或部分产品或服务。因为服务或产品的更新、迭代，扩展，可能需要将您的个人信息用于未载明的其他用途，CFCA 会通过平台以弹窗、文本确认或其他合理的方式重新征求您的同意。

（一）业务功能

用户注册及登录
您注册平台账户，使用CFCA 产品，根据国家互联网实名制、网络信息安全管理的要求，CFCA 将收集您的姓名、手机号码、电子邮箱。CFCA 将收集您的这些信息并向有权的国家机关、企事业单位或其他组织进行验证，并获取验证结果。若您不提供这类信息，将无法登录和正常使用产品和服务。
在前述之外，为了确保账号的安全性，识别账号使用异常，优化服务质量，在您登录、使用包括但不限于数字证书服务等App、网页、小程序的过程中，CFCA 可能需要收集您的常用设备信息，包括唯一设备识别码、IP地址、设备MAC地址、操作行为信息，以便对您身份以及行为安全性进行核实、管理，例如:在您进行特定线上操作时，通过比对您的常用设备信息确认相关操作行为是否存在异常。
证书申请、审核、使用与生命周期管理
根据《中华人民共和国电子签名法》、《电子认证服务管理办法》等相关法律、法规和监管要求，您在申请CFCA 数字证书等产品和服务时，应提交真实、完整、准确的证书申请材料(如:身份证正反面图像，人脸识别照片，手机号码)。CFCA 将审查您的身份证明文件，核验您的身份真实性，审查验证通过后，为您办理各类数字证书业务。
2.1 证书申请与制作
为申请CFCA 数字证书，包括数字证书新办、续期、变更、密钥更新业务，根据数字证书产品应用场景及项目安全需求，您可以通过以下方式提交以下个人信息。
(1) 线下方式:
通过CFCA 各自营网点(各受理点、营业部、分公司等CFCA 的附属机构)、CFCA 合作网点、或以邮寄方式办理证书业务的，您需填写或提交本人的姓名、身
份证号、手机号、居住地址、电子邮箱、身份证影印件、本人手持身份证影印件、本人手持数字证书UKEY或办证资料(如申请表、服务协议、签收单)等的影印件。
在CFCA 或CFCA 合作机构的身份认证设备办理业务的，您需授权设备采集、识别您的姓名、手机号、身份证件信息(含姓名、身份证号、身份证有效期、居住地址)、手机号码，授权设备摄像头拍摄您的人脸影像信息、或设备指纹采集器件采集您的指纹信息。
(2) 线上方式:
通过CFCA 网页、APP、公众号、及数字证书类产品等，或合作机构的平台，输入填写您的姓名、身份证号、手机号码、居住地址，身份证信息(含身份证号、姓名、居住地、身份证有效期)，银行卡信息(银行卡开户人姓名、身份证号、卡号、手机号)，面部特征、指纹特征等。
您通过实名认证后，您所提交的身份信息将提交至 CFCA，CFCA 将为您签发包含您的姓名、身份证号等真实个人信息在内的数字证书。特定类型数字证书，如场景证书或其他用户定制的证书，也将写入您的设备信息或其他您需要载入用户证书的信息。由于产品安全性设置，若您不提供这类信息(含指纹、人脸信息等)，将无法申请、使用CFCA 的数字证书、电子签名类产品和服务。
2.2 证书使用
为了保障数字证书使用的安全性，确保证书由您本人控制使用，CFCA 将通过密码验证、短信OTP验证、人脸识别活体验证或指纹验证、金融打款验证等其中一种或多种方式，核验您的身份，确认证书签署、加密、登录等使用行为均由您本人进行，证书操作指令由您本人发出。为进行证书使用的身份验证，CFCA 将收集您的手机号码、银行卡号、人脸面部影像信息、指纹特征等信息，进行相关的比对核验。
2.3 证书生命周期管理
在您申请办理数字证书撤销、挂起、冻结、密钥恢复、数字证书资料调取、或证书证明开具等业务时，CFCA 将核实您的身份，确保为您本人申请，方会为您办理业务，以保障用户数字证书的安全使用。此时您需要提交本人身份证明材料。
您提供的上述信息，将在您使用本产品或服务期间持续授权我们使用。在您停止使用我们的服务或产品时，我们将停止使用您的该项信息，并在按法律保存法定期间后予以删除。关于保存期限，详见本声明及政策“五、信息的存储”。
合作机构业务所需的防欺诈与风险控制
在您使用CFCA 的合作机构的产品服务时，当该合作机构采购应用CFCA 的身份认证服务对您进行实名认证，以进行欺诈识别筛查与业务风险控制的，您同意CFCA 通过合作机构收集您的姓名、身份证号码、手机号码、身份证信息(含身份证号、姓名、居住地、身份证有效期)，银行卡信息(银行卡开户人姓名、身份证号、卡号、手机号)，面部特征、指纹信息等。

（二）收集个人信息的方式

用户主动提交的信息
您在进行身份认证时，按照CFCA 的CPS(即电子认证业务规则，详见官网地址: www.cfca.com.cn，实际文档名称及地址以最新的文件为准)或订户电子认证服务协议，提交包括居民身份证或银行卡影像材料，填入姓名、身份证号、手机号码、身份证有效期、居住地址、邮箱地址，进行面部特征等生物特征信息的识别与采集。如您不提供上述信息，或者提供虚假伪造的信息，CFCA 将无法为您提供证书服务或实名认证服务，造成的法律责任与后果，将由您自行承担。
当您开启指纹、刷脸方式时，需要您在设备上录入指纹和面部信息。若您使用刷脸登录、验证功能时，需要开启摄像头权限，按照页面提示完成相应的面部动作，以核验身份，在此过程中CFCA 将收集您的面部特征，以完成相关信息对比及验证操作。之后，您再使用刷脸登录功能时，需要通过您的设备录入您的面部信息以完成身份验证。您同意仅使用您本人的面部信息刷脸登录。为了提高验证的准确性，您同意CFCA 可在必要时将您提供的面部信息、指纹信息与法律法规允许或政府机关授权机构所保存的您的指纹、面部信息进行比对核验。您可以通过设备系统权限设置关闭前述权限，或通过本声明及政策所载的联系方式与CFCA 取得联系，申请撤回信息授权，要求删除CFCA 留存的您的信息。
在您提交身份证照片或拍摄本人照片时，需要获得您的相机权限进行拍摄，或访问您的图库进行上传，CFCA 将使用该信息，根据最小必要处理规则，完成【账户注册登录、数字证书与电子签名，及其他业务的防欺诈与风险控制】服务身份鉴别核验的目的，如不授权该权限将不能使用该功能。
CFCA 收集上述有效身份证件信息后，将与国家相关权威数据库、或第三方可靠数据库进行查询、比对、核验，以确认该身份信息的真实性、匹配性。
CFCA 在提供产品及服务过程中记录、采集的相关信息
CFCA 或CFCA 的合作机构，在提供服务过程中，系统可能在经过您的同意后通过cookies、web beacon或其他方式收集您的信息，并将该等信息储存为日志信息。日志信息包括: 设备信息或软件信息，例如您的移动设备、网页浏览器或用于接入CFCA 服务的其他程序所提供的配置信息(如计算机浏览器的类型、使用的语言、访问日期和时间、及访问的网页记录;终端设备的操作系统、电信运营商等)、您的IP地址和移动设备所用的版本和设备识别码。
从CFCA 的合作机构采集的信息
当您与CFCA 有商业合作关系的合作机构发生交易，使用合作机构的产品或服务，且同时需要应用CFCA 的产品或服务时，合作机构在征得您的授权同意后，出于为您申办享用CFCA 产品和/或服务的目的，将向CFCA 传输、提供合作机构采集的CFCA 业务办理所必需的个人信息。CFCA 在受理审核业务申请时，除审核验证您的身份信息等个人信息之外，也将采取适当措施保障信息提供有得到您的合法授权，要求合作机构承诺采集并提供您的个人信息给CFCA 行为的合法合规。

二、个人信息的使用

（一）信息收集使用征得授权同意的例外

CFCA将根据《中华人民共和国个人信息保护法》第十三条的规定来执行。

（二）信息使用用途

CFCA 可能将收集的您的信息用于以下用途:

进行身份验证，提供产品及服务，保障产品或服务的功能的正常实现
CFCA 将您提交的申请认证所需的前述个人信息，及从第三方处收集确认的信息，统一汇集，进行比较甄别，在确认您身份真实性的基础上，据此作出数字证书签发决定。且您应知悉，CFCA 予以收集及通过各方合法渠道予以验证的您的个人信息，将用于载入到证书内容中，或者方便您与 CFCA联系。所以对于您的信息的收集，出于为您提供合法有效的数字证书等服务，或者及时通知您CFCA 的证书处理决定，及证书相关事宜，或者便利您向CFCA 及时反馈证书使用问题。
改善、优化产品服务的功能和质量，优化用户体验
CFCA 会收集您使用的服务类别和方式、使用服务时的操作信息以及有关您曾使用的移动应用(APP)和其他软件的信息;及您使用证书产品服务时的搜索记录，收集您与客户服务人员联系时提供的信息，收集您参与问卷调查时向CFCA 发送的问卷答复信息。CFCA 收集上述使用情况信息，用以分析、统计产品服务及相关功能的应用效果。
开发设计新产品服务
CFCA 认证服务系统自动收集的订户的证书使用习惯，及订户反馈的证书使用安全事件或问题，或CFCA 以当面洽谈、调查问卷或电话拜访等形式收集的订户的有关证书使用体验、使用需求的信息，都将作为产品服务开发的信息基础、来源与依据，指引、支撑CFCA 开展新产品服务的规划、设计和应用。
确保产品服务的安全性
为了遵守法律法规及监管规定，也为了便于您因处理纠纷需要查询操作状态或历史记录，CFCA 会将您使用服务时的身份信息、交易信息、行为信息进行存档，并严格按照法律法规的规定对这些信息进行妥善保管，以预防、发现、调查危害公共安全、侵犯个人和法权益、违反法律或协议行为。
确保第三方产品服务的安全性，包括但不限于防诈骗、风险控制
基于合作机构的业务需要，CFCA 在确保合作机构得到用户合法授权的情况下，对合作机构提供的您的个人信息，包括姓名、身份证号、手机号、身份证及银行卡影像信息、人脸图片或其他信息，通过CFCA 的第三方机构核实个人信息的真实性，以保障用户身份的真实性，防范合作机构业务过程中的欺诈或业务虚假行为。
协助行政机关、司法机关调查取证
在订户、依赖方或者CFCA 及其相关的第三方，因证书相关事宜产生纠纷进入诉讼程序，而公安机关、法院或检察院等依据法律规定的程序，向CFCA 提出调查取证的要求，CFCA 依照法律的规定履行配合、协助调查取证的义务，向国家有权机关披露订户的相关信息，不视为未经授权非法使用订户信息。

（三）信息使用规则

CFCA 会根据本声明及政策的约定并为实现CFCA 的产品与/或服务功能对所收集的个人信息进行使用。
请您注意，您在使用CFCA 的产品与/或服务时所提供的所有个人信息，除非您删除或通过系统设置拒绝CFCA 收集，否则将在您使用CFCA 的产品与/或服务期间持续授权CFCA 使用。
对于收集到的个人信息，CFCA 将采用相关的技术手段等对其进行脱敏化、去标识化、匿名化、加密等任意一种或多种处理方式，将可用于恢复识别个人的信息与匿名化后的信息分开存储并加强访问和使用的权限管理，匿名化处理的信息将无法直接识别特定个人信息主体。经过您授权同意，CFCA 有权使用已经去标识化的信息;并在不透露您个人信息的前提下，CFCA 有权对用户数据库进行分析并予以商业化的利用。
CFCA 会对CFCA 的产品与/或服务使用情况进行统计，如果包含您的个人信息，经您授权同意后，可能会与公众或第三方共享这些统计信息，以展示CFCA 的产品与/或服务的整体使用趋势。但这些统计信息不包含您的任何身份识别信息。
当CFCA 展示您的个人信息时，CFCA 会采用包括内容替换、匿名处理方式对您的信息进行脱敏，以保护您的信息安全。
当CFCA 要将您的个人信息用于本声明及政策未载明的其它用途时，或基于特定目的收集而来的信息用于其他目的时，会通过您主动做出勾选等形式事先征求您的同意。

三、个人信息的委托处理、向境外提供、共享、转让与披露

（一）个人信息的委托处理

本声明及政策第一条第(一)款所述的业务功能，涉及的个人信息查询验证服务，由外部供应商提供。例如CFCA 会聘请外部合作伙伴来协助CFCA 提供技术、服务支持，如数据服务提供商，以为您带来更好的客户服务和用户体验。CFCA 仅为实现本声明及政策中声明的目的，将某些服务交由第三方机构提供，包括CFCA 的合作伙伴及其他第三方服务商。

与CFCA 合作的第三方包括:
1. 认证数据服务供应商;
2. 软件服务提供商、硬件密码产品或设备提供商和系统服务提供商;
3. 业务支持供应商。

为保障CFCA 准确核实验证您的个人信息，您同意CFCA 在您与合作机构约定的业务目的范围内，向保存有您有效个人信息的国家机关、事业单位或其他有合法资质的组织查询，并向CFCA、合作机构反馈，以保障您的相关业务正常办理，或正常使用合作机构的产品服务。
为核实验证用户的个人信息的真实性准确性，CFCA 将与第三方机构合作，将姓名、身份证号码、手机号码、银行卡号码、人脸图像、指纹信息等用户个人身份信息提供给第三方机构，委托第三方机构对信息进行查询、比对、验证，包括与第三方机构合法采集、整理或加工产生的其他信息提供的信息进行比对，或通过第三方机构向其他拥有合法资质或合法数据来源的第三方(包括但不限于拥有合法资质的政府机构及其下属单位、征信机构、运营商，及其代理商或关联公司)查询或核实本人信息，法律、法规、监管政策禁止查询的除外。
对于如因第三方机构、第三方提供前述个人信息核实验证服务要求，对于CFCA 向第三方机构、第三方提供您的个人信息，及其采集、加工或整理、保存您的个人信息的，CFCA、第三方机构将依法获得您的授权同意。
对CFCA 委托处理个人信息的公司、组织和个人，CFCA 会与其签署严格的保密协定或含信息安全保护条款的合作协议，并对委托处理个人信息的处理活动进行个人信息安全影响评估。同时，CFCA将要求受托处理个人信息的组织、个人按照CFCA 的要求、本声明及政策以及其他任何相关的保密和安全措施来处理个人信息。同时，CFCA 会记录和存储委托处理个人信息的情况。一旦CFCA 得知或者发现受委托者未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任的，将立即要求受托者停止相关行为，且采取或要求受委托者采取有效补救措施控制或消除您的个人信息面临的安全风险。必要时CFCA 将终止与受委托者的业务关系，并要求受委托者及时删除、返还从CFCA 获得的您的个人信息，不得做任何保留。

（二）个人信息的跨境提供

在您发起的跨境服务中，如需向境外第三方提供个人信息才能完成该服务的，经您单独授权后，且在符合法律、行政法规及监管允许出境的前提下，CFCA 履行必需的个人信息出境安全评估程序后，会向境外第三方提供该信息。CFCA 将与该境外第三方签署跨境传输安全协议，并将信息进行加密传输，尽商业上合理努力督促第三方在使用您的个人信息时遵守其适用的法律法规及协议约定的保密和安全措施。

（三）个人信息的共享

CFCA 除在以下情形将您的信息提供、分享给相关第三方外，不会向任何个人、企业或其他组织机构共享您的个人信息:

事先获得您明确、单独的同意或授权;
根据适用的法律、行政法规的要求，或者履行法定义务或职责，如根据强制性的行政或司法要求所必须的情况下进行提供，或者有法律、行政法规规定应当保密或者不需要告知的情形;
在法律、行政法规允许的范围内，在紧急状况下，为维护或社会公众利益、您或者其他个人，或者CFCA、CFCA 的关联方或合作伙伴的财产或安全免遭损害无法及时向您告知，但在紧急情况消除后将及时向您告知;
只有共享您的信息，才能实现为您作为合同一方当事人的 CFCA 的产品与/或服务的核心功能或提供您需要的服务;
应您需求为您处理您与他人的纠纷或争议;
符合与您签署的相关协议(包括在线签署的电子协议以及相应的平台规则)或其他的法律文件约定所提供。
CFCA 可能会出于审计、监督、自查等业务合规目的，向 CFCA 的关联公司提供相关信息，如果其中包含您的个人信息，我们将确保仅共享必要的个人信息，且将受本声明及政策中所述目的的约束。如关联公司改变处理您个人信息的目的、用途，将再次获得您的授权同意。涉及到您的个人敏感信息时，还会在数据共享前，单独征得您的同意。
在共享您的个人信息前，CFCA 会尽商业上的合理努力，事先将开展个人信息安全影响评估，并依评估结果采取有效的保护您的措施，并与第三方签订数据安全和保密协议，规定数据接收方的责任和义务，要求第三方按照 CFCA 的声明及政策规定的相关的保密和安全措施的标准和要求来处理个人信息，或执行不低于本声明及政策标准和要求(如网络安全三级等级保护要求)的信息和隐私安全保护政策。
在敏感个人信息使用上，CFCA 要求第三方采用更为严格的数据脱敏和加密技术，从而更好地保护用户数据。CFCA 发现数据接收方违反法律法规要求或双方约定处理个人信息的，将立即要求数据接收方停止相关行为，且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除您的个人信息面临的安全风险;必要时CFCA 将解除与数据接收方的业务关系，并要求数据接收方及时删除从 CFCA 获得的您的个人信息。

（四）个人信息的转让

CFCA 不会将您的个人信息转让给除 CFCA 及其关联公司外的任何公司、组织和个人，但以下情况除外:

事先获得您的明确授权或同意;
根据法律、行政法规的要求;
如果 CFCA 或 CFCA 的关联公司涉及合并、分立、清算、资产或业务的收购或出售等交易，您的个人信息有可能作为此类交易的一部分而被转移，CFCA 将向您告知个人信息接收方的名称或者姓名和联系方式，同时确保该等信息在转移时的机密性，并要求其继续受此声明及政策的约束，履行个人信息处理者的义务;否则 CFCA 将要求该公司、组织重新向您征求授权同意。
CFCA会采取向其它服务器备份、在传输和存储过程中对您数据和鉴别信息进行加密等安全措施最大程度确保您的信息不丢失，不被滥用和变造措施，从而更好地保护用户数据。但同时也请您理解在信息网络上不存在“完善的安全措施”，CFCA无法承诺您数据及信息的完全安全。

（五）个人信息的公开披露

除非取得您的单独同意，CFCA 不会公开披露您的个人信息:
如涉及公开披露的，CFCA 将依法获得您单独的授权同意，并将事先进行个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施，准确记录和存储个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等。

四、个人信息的保护

CFCA 将尽合理努力保护其收集获取的用户个人信息。为防止用户个人信息在未经授权的情况下被非法访问、泄露、篡改、传输、遗失、毁损、滥用或编造、处理或使用， CFCA 已经并将继续采取以下措施保护你的个人信息:

（一）人员安全

CFCA 高度重视信息安全保障工作，对于认证岗位的设置实行可信角色制。且对于拟招聘任用的人员，在正式上岗前，都统一进行员工背景调查，尤其是对于可信角色等关键岗位的任职员工，将进行严格的安全意识和能力的考察。此背景调查一般定期开展一次，确保员工遵循信息安全方面的规范。并且在任用时与其签订保密协议，禁止员工在劳动关系期间非法泄露工作过程中知悉的用户个人信息。
CFCA 注重员工信息安全意识与能力的培养，定期开展信息安全与隐私保护相关技术及法律等方面的培训，结合信息安全知识的考核，提高员工有关信息安全的认识。
CFCA 设置有专门的负责信息安全的岗位——安全管理员，并为其配备专门的信息安全管理人员，监督认证服务过程中用户信息的处理与传输，确保用户个人信息的合法收集、使用与披露。

（二）技术安全措施

CFCA 在数据安全保障方面，执行符合行业标准的安全措施与技术手段、程序，防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。CFCA 会采取一切合理可行的措施，保护您的个人信息。例如，网络服务采取传输层安全协议等加密技术，通过 https 等方式提供浏览服务，确保用户数据在传输过程中的安全。采取加密技术对用户个人信息进行加密保存，并通过隔离技术进行隔离。在个人信息使用时，例如个人信息展示、个人信息关联计算，CFCA 会采用包括内容替换、数字摘要在内多种数据脱敏技术增强个人信息在使用中安全性。同时我们建立了两地三中心(北京、上海)的运行和灾备体系，确保了数据的备份和恢复能力。
采用严格的数据访问权限控制和多重身份认证技术保护个人信息，避免数据被违规使用，采用代码安全自动检查、数据访问日志分析技术进行个人信息安全审计。

访问控制
CFCA 设立严格的数据访问制度，采用严格的数据访问权限控制和多重身份认证技术保护个人信息，避免数据被违规使用。对可能接触到您信息的员工， CFCA 采取最小够用授权原则，能够访问、控制您信息的员工限定在工作职责需要有必要知悉您信息的直接相关的工作人员，及高级管理人员。且其访问、改动信息的操作，是要进行身份的识别与验证，且需接受视频监控。且要求上述员工履行保密和安全义务。如其未能履行安全和保密义务，将与其解除劳动合同关系，且保留追究其法律责任的权利。
此外，CFCA 采取专门的数据和技术安全审计，设立日志审计和行为审计多项措施。定期对用户信息等数据访问记录进行审计检查，保证信息的访问、传播与扩散，是按照CPS规定的程序及方式进行的，控制在业务必需及可支配的范围内。
加密传输与存储
通过采取加密技术对用户个人信息进行加密保存，并通过隔离技术进行隔离。
脱敏显示
在个人信息使用时，例如个人信息展示、个人信息关联计算，CFCA 会采用包括加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。CFCA 将对您服务界面中您的“个人中心“的手机号码、身份证件、护照、港澳通行证等个人信息采取隐私处理措施，避免您设备被不当使用时所造成的信息泄露与丢失。

（三）数据安全管理机制

通过信息接触者保密协议、监控和审计机制来对数据进行全面安全控制。 CFCA 系统通过了公安部安全等级保护三级认证，同时还获得了 ISO9001 认证。

（四）应急处理措施

CFCA 制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，在发生危害网络安全的事件时，CFCA 会立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。并且将定期组织负责信息安全的重要成员进行安全预案演练。
在出现个人信息泄露等个人信息安全事件后，CFCA 将按照法律法规的要求，及时向您告知安全事件的基本情况和可能的影响、CFCA 已采取或将要采取的处理措施、您可自主防范和降低的风险的建议、对您的补救措施等。CFCA 将及时将事件相关情况以站内通知、短信通知、电话、邮件等您预留的联系方式告知您，难以逐一告知时 CFCA 会采取合理、有效的方式发布公告。同时， CFCA 还将按照监管部门要求，主动上报个人信息安全事件的处置情况。
如果您对 CFCA 的个人信息保护有任何疑问，可通过本声明及政策中约定的联系方式联系 CFCA。如您发现自己的个人信息泄密，尤其是您的账户及密码发生泄露，请您立即通过本声明及政策【十、联系方式】中约定的联系方式联络 CFCA，以便CFCA 采取相应措施。

（五）外部控制

CFCA 因业务需要，或因接受审计与评估，聘请第三方专业机构的人员，其对于服务过程中接触的公司业务或认证过程中产生的订户的个人信息，应予以保密，CFCA 会与第三方专业机构或该执行任务、进行审计评估的第三人签订保密协议，或者信息安全承诺书，要求其履行信息保密义务。当 CFCA 与第三方合作提供服务时，将对第三方进行监督，保证其执行实施不低于 CFCA 信息安全和声明及政策要求的信息和隐私保护标准。

（六）特别提示

请妥善保管您的证书、私钥及其激活与使用信息，切勿将相关介质或数据告知他人，如果您发现自己的个人信息泄露，也请您及时通过 CFCA 提供的联系方式与 CFCA 取得联系，以便CFCA 采取相应的措施，防止您的信息进一步非法扩散。
请您理解，计算机和互联网技术飞速发展和实践应用速度的限制，可能出现威胁网络和设备安全的各种问题，CFCA 将尽最大努力建立安全制度，采取安全措施，预防、抵御和化解各种安全风险，以此减轻、避免您因信息安全问题遭受损失或意外，但 CFCA 无法保证信息的完全绝对安全，能保证完全排除、避免有关信息安全的风险或事故的发生。
互联网并非封闭的绝对安全的环境，且您使用产品或服务的系统、通讯网络或硬件设备 CFCA 均无法控制，请您了解并注意个人信息安全的保护。
如果我们的物理、技术或管理防护设施遭到破坏，导致信息被非授权访问、公开披露、篡改或毁坏，导致您的权益受损，我们将承担相应的法律责任。

五、个人信息的存储

（一）保存时间

在认证成功后，CFCA 对于为您提供认证服务所收集、产生的您的相关个人信息，将进行保存，且保存时间在提供产品服务期间将一直持续;并且按照《中华人民共和国电子签名法》等的规定，在订购产品服务结束证书注销后，因调查取证、归档备份等多重原因 CFCA 仍将保存上述信息至少 5 年，涉及应用到政务领域的证书的，将至少保存至证书失效后 10 年，法律法规另有规定的除外。CFCA 仅在本声明及政策所述目的所必需期间和法律法规要求的时限内保留您的个人信息。
超过保存期限或您注销账户，CFCA 将删除您的个人信息，或对个人信息作匿名化处理。
如果 CFCA 终止服务或运营，会至少提前九十日向您通知，并在终止服务或运营后对您的个人信息进行删除或匿名化处理。

（二）保存地点

CFCA 采取合适的安全措施和技术手段存储及保护你的个人信息，以防止丢失、被误用、受到未授权访问或泄漏、被篡改或毁坏。
您的个人信息将存储于中华人民共和国境内，具体而言，个人信息是存放在由密码控制的位于中国境内的服务器中，访问均是受到限制的。

六、您的个人信息管理权利

按照我国的法律、法规及标准，CFCA保障您对自己的个人信息行使以下权利:

（一）查阅、复制权

除法律或司法机关另有规定外，您有权访问您的个人信息，对您的姓名、身份证号或数字证书数据进行查看、更新，其中身份证件号码信息将采取脱敏化方式予以显示。
您可以通过 CFCA 提供的电子邮件或电话等联系方式联系 CFCA，告知需要获取的信息项，我们将在 20 日内回复您的访问请求及查看、复制方式及途径。

（二）更正、补充权

当您发现 CFCA 处理的您的个人信息错误或者不完整时，您有权通知 CFCA 要求 CFCA 在其产品和服务期内进行更正、补充。
您可以通过 CFCA 提供的电子邮件或电话等联系方式联系CFCA，告知需要获取的信息项，我们将在 20 日内回复您的更正请求。

（三）删除权

当出现以下情形，您可以请求 CFCA 删除您的个人信息:

CFCA 处理您的个人信息的行为，违反法律法规;
CFCA 处理个人信息的行为，如经过司法、行政机关证实，确未征得您的同意;
CFCA 处理个人信息的行为，违反与您的约定;
您停止使用我们的产品或服务，或 CFCA 不再为您提供产品或服务，且个人信息保存期限达到法律法规规定的 CFCA 信息保存义务的年限;
法律、行政法规规定的其他您享有删除权的情形。

您也可以随时通过本声明及政策公示的联系方式联系 CFCA，CFCA 将在 20 日内回复您的删除请求。如果 CFCA 决定响应您的删除请求，CFCA 还将同时通知从CFCA 获得您的个人信息的实体，要求其及时删除，除非法律法规另有规定，或这些实体获得您的独立授权。

（四）撤回同意权

每个业务功能需要一些基本的个人信息才能得以完成。对于额外收集的个人信息的收集和使用，您可以随时给予或收回您的授权同意。
您也可以随时通过本声明及政策公示的联系方式联系 CFCA，CFCA 将在 20 日内回复您的改变授权同意。
当您收回同意后，CFCA 将不再处理相应的个人信息。但您收回同意的决定，不会影响此前基于您的授权而开展的个人信息处理。

（五）注销账户

如果您无法自行注销您的个人信息相关服务，您可以通过 CFCA 提供的电子邮件或电话等联系方式联系 CFCA，我们将在20日内响应您的请求。
在注销账户之后，CFCA 将停止为您提供产品或服务，并依据您的要求，删除您的个人信息，法律法规另有规定的除外。
特别提示:如您向CFCA申请了数字证书进行了电子签名，则注销账户的权利受《中华人民共和国电子签名法》等法律法规的调整，您可在遵守《中华人民共和国电子签名法》及CFCA《数字证书服务协议》的情况下进行注销账户，但此举并不能代表您能够注销/否认/无效等您的数字证书、电子签名，及使用该数字证书进行的法律行为。
(协议参见:https://www.cfca.com.cn/20150811/101230094.html)

（六）个人信息转移权

您有权获取您的个人信息副本，获取的方式以线上为主，首先请您电话或邮件联系CFCA，在提交详实的证明文件证明是您本人后，CFCA将以邮寄、电子邮箱、现场复印等方式提供副本。
在满足国家网信部门规定的以及技术可行的前提下，如数据接口已匹配，可按您的要求，直接将您的个人信息副本传输给您指定的第三方。

（七）约束自动化决策的权利

在某些业务功能中，我们可能仅依据信息系统、算法等在内的非人工自动决策机制做出决定。在进行自动化决策时，我们将确保决策的透明度和结果公平、公正，不会对您在交易价格等交易条件上实行不合理的差别待遇;
在进行信息推送时，一并为您提供不针对个人特征的选项和拒绝方式。如果您认为自动化决策结果显著影响了您的合法权益，您有权通过本政策列明的联系方式要求我们做出解释，并有权拒绝我们仅通过自动化决策的方式作出决定。

（八）对个人信息的生前安排

根据相关法律要求，您可以提前就您的个人信息提前进行生前安排，您可以通过本政策公布的联系方式，通过书面方式告知我们您的安排;如无另行安排，您的近亲属可以基于其合法、正当利益，对您生后的相关个人信息依照相关法律规定和本政策的约定，行使查阅、复制、更正、删除等权利。

（九）响应您的上述个人信息管理请求

为保障信息流通的安全，您可能需要提供书面请求，且提供相应的身份证明材料，我们可能会先要求您证明自己的身份，之后再处理您的请求。
对于您合理的请求，我们原则上不收取费用，但对于多次重复，超出合理限度的请求，我们将视情收取一定成本费用。对于那些无端重复、需要过多技术手段(例如，需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际的请求，我们可能会予以拒绝。
在以下情形中，按照法律法规要求，CFCA 将无法响应您的上述个人信息管理请求，包括访问、更正、删除、注销信息:

与个人信息处理者履行法律法规规定的义务相关的;
与国家安全、国防安全直接相关的;
与公共安全、公共卫生、重大公共利益直接相关的;
与刑事侦查、起诉、审判和执行判决等直接相关的;
个人信息处理者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
涉及商业秘密的。

七、对未成年人个人信息的处理

我们的产品、服务及网站主要面向已满十八周岁的成年人，原则上不向未满十
四周岁的未成年人提供产品或者服务。
如您是未满十四周岁的未成年人，在未取得您监护人的同意，或您的监护人未同意的前提下您向 CFCA 提供您的个人信息，或使用 CFCA 的产品或服务，则请您立即停止使用 CFCA 的产品或服务，并及时与 CFCA 联系，CFCA 将同时停止收集、使用您的相关信息。如果 CFCA 发现在未事先获得未成年人的监护人同意的情况下收集了未满十四周岁未成年人的个人信息，则会设法尽快删除相关数据及/或停止、暂停或撤销数字证书或其他相关产品及服务。

八、本声明及政策的变更

(一) 未经您的同意，CFCA 不会削减您按照本声明及政策所享有的权利。 CFCA 会通过合理的方式，如CFCA 官方网站或其他官方应用平台等，发布新修订的声明及政策。如您在发布后 5 日内未联系 CFCA，提出对该政策的异议，并继续使用 CFCA 的产品或服务的，视为您同意修订后的声明及政策。
(二) 当声明及政策发生重大变更后，CFCA 会通过包括但不限于推送通知、电话、邮件等针对性和更为显著的、提示作用更强的方式，告知您该变更。
(三) 本声明及政策所指的重大变更，包括但不限于:

业务模式发生重大变化，如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;
所有权结构、组织架构等方面发生重大变化，如业务调整、破产并购等引起的所有者变更等;
个人信息共享、转让及披露的主要对象发生重大变化;
信息处理方式和权利行使方式发生重大变化;
CFCA 的联系方式或投诉渠道发生重大变化等;
个人信息安全影响评估显示有高风险。

九、争议解决与法律适用

(一) 有关本声明及政策的成立、生效、履行、解释及纠纷解决均受到中华人民共和国大陆地区法律(不包含冲突法)法律管辖。如其中任何条款与中华人民共和国法律相抵触，则这些条款将完全按法律规定重新解释，而其它条款依旧具有法律效力。您与 CFCA 就本声明及政策的适用或其它有关事项发生的争议，应首先友好协商解决，协商不成时，应将纠纷或争议提请 【北京仲裁委员会】进行仲裁。
(二) 除某些特定服务外，CFCA 所有的产品、服务均适用本声明及政策。这些特定服务将适用特定的声明及政策。针对某些特定服务的特定声明及政策，将更具体地说明 CFCA 在该等服务中如何使用您的信息。该特定服务的声明及政策构成本声明及政策的一部分。如相关特定服务的声明及政策与本声明及政策有不一致之处，适用该特定服务的声明及政策。
如本声明及政策与CFCA 其他文件规范规定不一致的，如与数字证书服务协议、个人信息授权书等内容规定冲突的，适用数字证书服务协议、个人信息授权书等文件内容;如本声明及政策与CPS 规定不一致的，适用本声明及政策。
(三) 请您注意，本声明及政策不适用于以下情况:

通过 CFCA 的服务而接入的第三方服务(包括任何第三方网站)收集的个人信息;
CFCA 接入其平台或向 CFCA 传输、提供个人信息的合作机构，为自身服务所收集的个人信息。

十、联系方式

如果您有任何疑问、意见或建议，请通过以下方式与我们联系：
运营者公司名称：中金金融认证中心有限公司(中国金融认证中心)
客服电话：400-880-9888
投诉电话：010-80864105
传真：010-63555032
邮寄地址：北京市西城区菜市口南大街平原里20号楼1-7、1-9、1-10

开发者公司名称：北京中金国信科技有限公司
客服电话：400-880-9888
投诉电话：010-80864105
传真：010-63555032
邮寄地址：北京市北京经济技术开发区科创十四街20号院2号楼