本版本发布日期：2022年10月21日
本版本生效日期：2022年10月21日

晋商银行股份有限公司（“我行”）深知用户信息对您的重要性，会尽力保护您的用户信息安全。我行致力于维护您对我行的信任，恪守以下原则保护您的用户信息：权责一致原则、目的明确原则、选择同意原则、必要性原则、确保安全原则、公开透明原则等。同时，我行承诺依法采取相应的安全保护措施来保护您的用户信息。

请您在点击“同意”之前仔细阅读本隐私政策，特别是黑体字部分。确保对其内容的含义及相应法律后果已全部知晓并充分理解。您点击“同意”并确认提交即视为您接受本隐私政策，我行将按照相关法律法规及本政策来合法使用和保护您的用户信息。

本隐私政策适用于保护您作为企业操作人员在使用我行企业手机银行过程中，我行收集和使用您的用户信息。

本《隐私政策》将帮助您了解以下内容：

1.我行如何收集和使用您的用户信息

2.人脸信息处理授权

3. 我行如何使用Cookie和同类技术

4.我行如何共享、转让和公开披露您的用户信息

5.我行如何存储和保护您的用户信息

6.您控制用户信息的权利

7.我们如何处理未成年人信息

8.本政策如何更新

9.如何联系我行

一、我行如何收集和使用您的用户信息

我行非常重视用户的隐私和用户信息保护。您在使用我行线上的产品与/或服务时，我们可能会收集和使用您的用户信息。

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、通信通讯联系方式、住址、账户信息、财产状况、行踪轨迹等。 其中一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的信息为个人敏感信息，主要包括：身份证件号码、个人生物识别信息、银行账号、征信信息、财产信息、交易信息、行踪轨迹、健康生理信息等。

（一）信息如何收集

企业手机银行是我行为用户提供以账户管理、支付结算、投资理财等金融服务为基础，的综合服务平台，您可以通过企业手机银行快捷办理账户查询、转账汇款、理财产品、对账、等服务。

在您使用我行企业手机银行服务的过程中，我们会按照如下方式收集您在使用服务时主动提供或因为使用服务而产生的信息，用以向您提供服务、优化我们的服务以及保障您的账号安全：

1.当您开通我行企业手机银行服务时，我们会收集您的企业名称、昵称、头像、手机号码，收集这些信息是为了帮助您完成开通，保护您企业手机银行账号的安全。手机号码属于敏感信息，收集此类信息是为了满足相关法律法规的网络实名制要求。若您不提供这类信息，您可能无法正常使用我们的服务。

2.当您使用我行企业手机银行服务时，为保障您正常使用我们的服务，维护我们服务的正常运行，改进及优化我们的服务体验以及保障您的账号安全，我们会收集您的如下日志信息：设备型号、操作系统、唯一设备标识符、登录IP地址、接入网络的方式、类型和状态、网络质量数据、操作日志、服务日志信息。这类信息是为提供服务必须收集的基础信息。

3.如您在企业手机银行中选择通过刷脸功能进行登录、转账或支付，需向我行提供您的人脸图像信息。您可以通过企业手机银行“安全设置-指纹/人脸”开启或关闭此功能。我行征得您的明示同意后采集的人脸信息，将加密存储于我行信息系统后台数据库中。如您不提供上述信息，我行将无法向您提供需完成人脸认证后方可使用的产品或服务。对于某些品牌或型号的手机终端自身的本地生物特征认证功能，如人脸识别功能，其信息由手机终端提供商进行处理，我行不留存您应用手机终端相关功能中的信息。

4.当您使用企业手机银行转账汇款功能时，您需要提供收款方的用户名、银行卡卡号/账号、开户银行、资金用途信息，并可能需要提供您的用户名、手机号码-信息，以便于验证身份及使用上述功能的支付服务。此外，我行还会收集您的相关收付款交易记录以便于您查询。上述信息属于敏感信息，如您拒绝提供该信息，仅会使您无法使用上述功能，但不影响您正常使用手机银行的其他功能。

5.当您使用企业手机银行转账汇款功能时，我行会收集读取剪切板信息，以便优化转账体验，如您不允许收集读取信息，您可以通过“我的-设置-其他设置-剪切板内容识别”来关闭此功能。

6.当您使用企业手机银行提供的实名认证服务时，您可能需提供您的姓名、证件类型、证件号码、银行卡号/账号，我行还可能通过验证账号/卡密码等方式对有关信息进行有效性核验。如您不提供上述信息，我行将无法向您提供需完成实名认证后方可使用的产品或服务。

7.当您使用网点预约等基于地理位置的功能时，我行会收集您的位置信息，目的是为了向您提供所在位置的相应服务。如您拒绝提供该信息，您将无法使用上述功能，但这不影响您正常使用企业手机银行的其他功能。

8.当您完成企业手机银行登录后，系统会提示您进行手机设备的绑定，该过程会收集您的唯一设备标识符，如您拒绝提供该信息，将无法完成上述绑定操作。

9. 当您使用企业手机银行服务时，我行会通过嵌入的第三方插件（含SDK）收集您的信息。收集您的地理位置信息，用于网点地图等位置类服务；获取您的摄像头、相册权限，用于注册、支付等服务；收集您的指纹等生物特征信息，用于登录等认证环节；获取您的麦克风权限，用于智能客服等服务。所有采集的信息仅保存在我行系统中，不会提供给第三方。如您拒绝提供上述信息或权限，您将无法使用上述功能，但这不影响您正常使用手机银行的其他功能。

    10.在向您提供服务的过程中，我行还可能使用第三方服务商提供的软件开发工作包（简称“SDK”）来为您提供服务，由第三方服务商收集您的必要信息，如您拒绝提供相关信息或权限，您将无法使用相关功能服务。具体包括：

    1）语音识别 SDK。为了向您提供语音交互服务，我行使用阿里云公司的语音 SDK，需要获取您的麦克风和录音权限，用于提供语音识别、语音导航服务。

    2）娜迦 SDK：为了保证交易数据传输安全，我行使用了娜迦 SDK，用于通讯报文信息加密，该 SDK 不收集您的信息。

    3）云证通（中国金融认证中心 CFCA）SDK。为了向您提供云证通电子签名服务，我行使用了云证通（中国金融认证中心 CFCA）SDK，该 SDK 需要获取您的手机终端唯一标志信息（IMEI号）、MAC 地址，用于实现电子签名功能。

    4）友盟分享 SDK：为了向您提供社交分享服务，我行使用了友盟公司的友盟分享 SDK，需要收集您的设备标识信息（如 IMEI/Android ID/IDFA/OPENUDID/GUID/MAC 地址/IP 地址）和您需要分享的社交账户公开信息，用于社交分享服务。

    5）芯盾 SDK：为了向您保证账户交易安全，我行使用了芯盾风险感知 SDK,该 SDK 需要获取您的手机终端唯一标志信息（IMEI 号）、MAC 地址等相关信息，上报到威胁感知平台，用于判断设备环境存在哪些风险，比如 root/越狱，是否有攻击框架等。

    6）短信加密 SDK:为了向您保证账户交易安全，我行使用了芯盾短信加密 SDK,该 SDK 需要获取您的手机终端唯一标志信息（IMEI 号）、MAC 地址等相关信息，用于处理交易密码重置、手机号修改等功能时，短信验证码的加密传输。

    11.当您使用我行企业手机银行服务时，在以下情形中，您可选择是否授权我行收集、使用您的个人信息：

    (1)摄像头，用于如识别二维码、人脸识别、设置头像等用途，在人脸识别登录、扫一扫、头像设置、手机号转账等场景中使用。拒绝授权后，上述功能将无法使用。我行将获取的人脸等数据，加密后存储于系统后台数据库中。
    (2)麦克风，用于如录音、语音播报、语音客服等用途。拒绝授权后，上述功能将无法使用。我行采集的声纹数据，加密后存储于系统后台数据库中。
    (3)手机通讯录，在转账、支付过程中，用于协助您通过通讯录快速选取电话号码，无需您手动输入。拒绝授权后，向手机号转账等开通功能仍可以使用，但需要手工输入手机号码。手机银行仅读取并记录指定电话号码，不读取客户全量通讯录。
    (4)手机短信，在需要短信验证码的环节可能需要读取验证码短信内容协助您进行验证码填写。如您拒绝通讯信息(短信)授权，我行手机银行将不读取短信内容，系统后台不保存短信内容。
    (5)扫描手机设备是否存在仿冒晋商银行APP应用。拒绝授权后，APP健康检查功能无法使用。系统后台不保存客户已安装应用列表信息。
    (6)网络通讯，用于与服务端进行通讯。拒绝授权后，企业手机银行所有功能无法使用。系统后台保存客户交易时所使用设备的网络信息，包括IP、端口等信息。

 (7)存储权限，用于上传相册中的照片。拒绝授权后，企业手机银行对公钱包开立功能无法使用。我行采集的照片数据，加密后存储于系统后台服务中。

 (8)设备信息权限，用于进行设备绑定功能。拒绝授权后，企业手机银行所有功能无法使用。系统后台保存客户交易时所使用设备的信息，包括设备名称、设备序列号等信息。

上述功能可能需要您在您的设备中向我行开启您的相机（摄像头）、麦克风、手机通讯录、手机短信、网络通讯、蓝牙的访问权限，以实现这些功能所涉及的信息的收集和使用。 请您注意，您开启这些权限即代表您授权我行可以收集和使用这些信息来实现上述功能，如您取消了这些授权，则我行将不再继续收集和使用您的这些信息，也无法为您提供上述与这些授权所对应的功能。

如在上述情形之外收集或使用您的信息，我们会事先征求您的同意，并向您充分告知信息收集和使用的目的、方式和范围。

（二）信息如何使用

1.在向您提供我行的企业手机银行服务，并为改进产品或服务时使用。

2.在我行向您提供企业手机银行服务期间，您授权我行持续收集和使用您的信息。在您注销服务时，我们将停止收集您相关的信息，但我行会在业务资料归档、审计、监管协查等领域继续使用此前收集的您的相关信息。

3.为提升您的产品或服务体验，或为防范风险，我行会对服务使用情况进行汇总、统计分析、加工，但这些信息不会包含您的任何身份识别信息。

4.为了使您知悉使用我行企业手机银行服务的情况或使您进一步了解我行服务，我行会向您发送服务状态通知以及相关产品或服务的商业性信息。如您不希望接收此类信息，您可按照我行提示的方法选择关闭：您可以在手机银行APP的“我的-设置-其他设置”中点击关闭“允许个性化推荐”选项。关闭该选项后，我行不再向您发送产品或服务的商业性信息。

5.您授权同意的以及于法律允许的其它用途。

（三）征得授权同意的例外

根据相关法律法规、监管要求及国家标准，以下情形中，我行可能会收集、使用您的相关信息而无需另行征求您的授权同意：

1.与国家安全、国防安全直接相关的；

2.与公共安全、公共卫生、重大公共利益直接相关的；

3.与犯罪侦查、起诉、审判和判决执行等直接相关的；

4.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到您本人同意的；

5.所收集的个人信息是您自行向社会公众公开的；

6.从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；

7.根据您要求签订和履行合同所必需的；

8．用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障；

9．为开展合法的新闻报道所必需的；

10.出于公共利益开展统计或学术研究所必需，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的；

11.法律法规及监管要求规定的其他情形。

二、人脸信息处理授权

如您在企业手机银行中选择通过指纹、人脸功能进行登录、身份认证时，根据监管规定，基于反洗钱、反恐怖融资、账户安全及风险管控等要求，我行需要对您的身份进行识别、验证、您同意我行通过收集、合作、存储等方式处理您的人脸信息（包括自然人的脸部图像、视频数据及基于人脸识别技术生成的数据），对于这些信息，基于监管要求及反洗钱之目的，我行仅在法律法规要求的时限内存储您的个人生物识别信息。您可以通过手机银行“设置-登录管理-指纹/刷脸”开启或关闭此功能。我行不会采集您的指纹，您的指纹仅保存在您授权采集指纹设备上。我行征得您的明示同意后采集的人脸信息，将加密存储于我行信息系统后台数据库中，用于业务办理过程留存、辅助识别和核实客户身份。如您不提供上述信息，我行将无法向您提供需完成指纹、人脸认证后方可使用的产品或服务。

三、我行如何使用Cookie和同类技术

（一）Cookie

为确保网站正常运转，我行会在您的计算机或移动设备上存储名为 Cookie 的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。借助于 Cookie，网站能够存储您的偏好或购物篮内的商品等数据。我行不会将 Cookie 用于本政策所述目的之外的任何用途。您可根据自己的偏好管理或删除 Cookie。您可以清除计算机上保存的所有 Cookie，大部分网络浏览器都设有阻止Cookie 的功能。但如果您这么做，则需要在每一次访问我行的网站时更改用户设置。

（二）Do Not Track（请勿追踪）

很多网络浏览器均设有 Do Not Track 功能，该功能可向网站发布 Do Not Track 请求。目前，主要互联网标准组织尚未设立相关政策来规定网站应如何应对此类请求。但如果您的浏览器启用了 Do Not Track，那么我行的所有网站都会尊重您的选择。

四、我行如何共享、转让和公开披露您的用户信息

（一）共享和转让

1.除非获得您的明确同意或授权，我行不会向其他任何公司、组织和个人共享或转让您的用户信息。

2.如业务需要对外共享或转让您的用户信息，我们会向您告知共享或转让用户信息的目的、数据接收方的类型，并征得您的授权同意。涉及敏感信息的，我们还会告知敏感信息的类型、数据接收方的身份和数据安全能力，并征得您的明示授权同意。

3.请您理解，我行可能会根据法律法规规定，或按政府主管部门的强制性要求，对外共享您的用户信息。

4.根据法律法规和商业惯例，在合并、收购、资产转让等类似交易中，如涉及到用户信息转让，我行会要求新的持有您用户信息的公司、组织继续受本隐私政策的约束，否则我行将要求该公司、组织重新向您征求授权同意。

（二）公开披露

1.我们不会公开披露您的用户信息，如确需披露，我行会告知您披露用户信息的目的、类型；涉及敏感信息的还会告知敏感信息的内容，并事先征得您的明示同意。

2．请您理解，在法律、法律程序、诉讼或政府主管部门强制性要求的情况下，我们可能会公开披露您的用户信息。

（三）征得授权同意的例外

根据相关法律法规及监管要求、国家标准，以下情形中，我们可能会共享、转让、公开披露用户信息无需事先征得您授权同意：

1.与国家安全、国防安全直接相关的；

2.与公共安全、公共卫生、重大公共利益直接相关的；

3.与犯罪侦查、起诉、审判和判决执行等直接相关的；

4.出于维护您或其他个人的生命、财产、声誉等重大合法权益但又很难得到本人同意的；

5.您自行向社会公众公开的个人信息；

6.从合法公开披露的信息中收集的用户信息，如合法的新闻报道、政府信息公开等渠道。

五、我行如何存储和保护您的用户信息

（一）存储

1. 我行在中华人民共和国境内收集和产生的用户信息，将存储在中华人民共和国境内。但为处理跨境业务并在获得您的授权同意后，您的用户信息可能会被转移到境外。此种情况下，我行会采取有效措施保护您的信息安全，例如，在跨境数据转移之前实施数据去标识化等安全措施，或通过协议、核查等措施要求境外机构为您的信息保密。

2.我行仅在法律法规要求的期限内，以及为实现本政策声明的目的所必须的时限内保留您的用户信息。 例如：

手机号码：当您需要使用企业手机银行服务时，我行需要一直保存您的手机号码，以保证您正常使用该服务，当您注销企业手机银行账户后，我行将删除相应的信息。

（二）保护

1.我行已使用符合业界标准的安全防护措施保护您提供的用户信息，防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我行会采取一切合理可行的措施，保护您的用户信息。例如：我行会使用加密技术确保数据的保密性；我行会使用受信赖的保护机制防止数据遭到恶意攻击；我行会部署访问控制机制，确保只有授权人员才可访问用户信息；以及我行会举办安全和隐私保护培训课程，加强员工对于保护用户信息重要性的认识。

2.当我行的企业手机银行服务发生停止运营的情形时，我们将以通知、公告等形式通知您，同时停止相关产品或服务对您用户信息的收集等操作，保护您的用户信息安全。如因技术故障、网络攻击、自然灾害及事故、人为因素等各种原因造成全部或部分企业手机银行业务中断，我行将采取应急处置和恢复措施予以应对，尽快恢复服务。

3.我们已经取得以下认证：目前，我们已通过国家网络安全等级保护的测评和备案，在信息安全方面数据中心已达到ISO27001认证标准的要求，并获得相应的认证。

4.我们会采取一切合理可行的措施，确保未收集无关的用户信息。

5.请您理解，由于技术水平局限以及可能存在的恶意攻击，有可能出现我行无法合理预见、防范、避免、控制的意外情况。互联网并非绝对安全的环境，请使用复杂密码，协助我行保证您的账号安全。

6.如发生用户信息安全事件，我行将按照法律法规的要求，及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您，或采取合理、有效的方式发布公告。同时，我行还将依据监管规定，上报用户信息安全事件处置情况。

六、您控制用户信息的权利

按照中国相关的法律法规和监管规定，我行保障您对自己的用户信息行使以下权利：

（一）访问、更正及更新您的用户信息

您有权通过我行企业网上银行、柜面等渠道访问及更正、更新您的相关信息，法律法规另有规定的除外。您有责任及时更新您的相关信息。在您修改相关信息之前，我们会验证您的身份。

（二）删除您的用户信息

      在以下情形中，您可以通过客服电话:95105588 向我行提出删除企业手机银行用户信息的请求：

1.如果我行处理用户信息的行为违反法律法规；

2.如果我行收集、使用您的用户信息，却未征得您的同意；

3.如果我行处理用户信息的行为违反了与您的约定；

4.如果你不再使用我们的产品或服务，或您注销了账号；

5.如果我们不再为您提供产品或服务。

      如我们决定响应您的删除请求，我们还将同时通知从我行获得你的用户信息的实体，要求其及时删除，除非法律法规另有规定，或这些实体获得您的独立授权。

      当您从我们的服务中删除信息后，我们可能不会立即在备份系统中删除相应的信息，但会在备份更新时删除这些信息。

（三）改变您授权同意的范围

      每个业务功能需要一些基本的用户信息才能得以完成。对于额外收集的用户信息的收集和使用，您可以根据手机的不同品牌和型号，通过开通或关闭位置服务权限、拨打电话权限等，随时给予或收回您的授权同意。

      请您注意，您自主注销我行企业手机银行服务的同时，将视同您撤回了对我行企业手机银行服务《隐私政策》的同意，当你收回同意后，我们将不再处理相应的用户信息。但您收回同意的决定，不会影响此前基于您的授权而开展的用户信息处理。

（四）注销用户

      您可以通过我行企业网银PC端渠道注销您的企业手机银行。

      请您注意，您仅在手机设备中删除企业手机银行 App 时，我行不会注销您的企业手机银行，有关您企业手机银行的一切信息不会删除。您仍需注销您的企业手机银行方能达到以上目的。

（五）约束信息系统自动决策

      在某些业务功能中，我们可能仅依据信息系统、算法等在内的非人工自动决策机制做出决定。如果这些决定显著影响您的合法权益，您有权要求我们做出解释，我们也将提供适当的救济方式。

（六）响应您的上述请求

      为保障安全，您可能需要提供书面请求，或以其他方式证明您的身份。我行可能会先要求您验证自己的身份，然后再处理您的请求。请您理解，对于某些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求，我行可能会予以拒绝。您可以通过拨打我行 95105588 客服热线、关注“晋商银行”微信公众号或到我行各营业网点咨询或反映。受理您的问题后，我们会及时、妥善处理。一般情况下，我们将在 15 个工作日内给予答复。

尽管有上述约定，但按照法律法规要求，如涉及以下情形我行将可能无法响应您的请求：

1．与国家安全、国防安全相关的；

2．与公共安全、公共卫生、重大公共利益相关的；

3．与犯罪侦查、起诉、审判和判决执行等相关的；

4．有充分证据表明您存在主观恶意或滥用权利的；

5.响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的；

6.涉及我行商业秘密的。

（七）获取您的个人信息副本

      您有权获取您的个人信息类型副本。您可以通过拨打我行 95105588 客服热线、关注“晋商银行”微信公众号或到我行各营业网点获取您确认的晋商银行企业手机银行隐私政策副本，以了解您在晋商企业手机银行APP的个人信息使用情况。

七、我们如何处理未成年人信息

如果没有监护人的同意，未满14周岁的未成年人不得创建自己的用户账户。如您为未满14周岁的未成年人，请您的监护人仔细阅读本指引，并在征得您的监护人同意的前提下使用我们的服务或向我们提供信息。我们只会在法律法规及监管要求允许或者保护未成年人所必要的情况下使用、对外提供此信息。

八、本政策如何更新

根据国家法律法规变化及服务运营需要，我行将对本政策及相关规则不时地进行修改，修改后的内容会通过我行国际互联网网站、企业手机银行等渠道公布，公布后即生效，并取代此前相关内容。您应不时关注相关公告、提示信息及协议、规则等相关内容的变动。您知悉并确认，如您不同意更新后的内容，应立即停止使用相应服务，并注销相关的用户，我行将停止收集您的相关用户信息；如您继续使用服务，即视为同意接受更新内容。

九、如何联系我行

如您对本隐私政策有任何疑问、意见或建议，可以通过拨打我行95105588客服热线、关注“晋商银行”微信公众号或到我行各营业网点咨询或反映。受理您的问题后，我们会及时、妥善处理。一般情况下，我们将在15个工作日内给予答复。

我行全称：晋商银行股份有限公司，注册地址：山西省太原市小店区长风街59号，邮编030000。