简介
GE 尊重个人隐私权,并承诺根据适用法律、适用的合同义务以及 GE 对个人信息保护的承诺(下文简称为“承诺”)以负责任的方式处理个人信息,具体说明如下。 该承诺列出了有关 GE 及 GE 代表处理个人信息的原则。
该承诺为 GE 集团(意指 GE 公司的全资所有部门或拥有多数股权的实体,包括 Electric Insurance Company 及其子公司)内的个人信息跨境转移确立了法律依据,包括 GE 集团成员须作为数据处理方遵守本承诺相关部分的内容。此外,GE 可根据适用法律向 GE 集团以外的第三方进行个人信息跨境转移。 GE 将在适用情况下根据本承诺处理个人信息,除非本承诺与当地法律的更严格要求存在冲突,此时将以当地法律为准。
范围
本承诺旨在确保个人信息在 GE 集团内部使用时始终受到保护,无论其地理位置如何、所用技术如何,同样适用于 GE 对 GE 个人信息和 GE 客户个人信息的处理。
个人信息的处理
在处理个人信息时,GE 遵循以下原则:
公平性 : GE 将公平合法地处理个人信息。
有目的 : GE 将限制个人信息的处理,仅允许为实现 GE 的特定合法目的而处理这些信息。GE 仅会基于该等合法目的来处理数据,除非 GE 或以 GE 为数据处理方的客户获得了为不相关的目的处理数据的明确许可。
一般而言,GE 会在以下情况下处理个人信息:
- GE 拥有合法利益,而且总体而言有合理的处理理由;
- 出于维系或履行 GE 与个人之间的法律关系而确有必要;
- 出于遵守适用法律、法规或政府机构对 GE 规定的义务而确有必要;
- 存在危及个人或他人生命、健康或安全的特殊情况;
- 在适用法律提出相应要求的情况下,获得个人的自由、明确和知情的同意之后;
- 在数据处理与客户服务协议相关时;
如果 GE 直接获得了同意,GE 将安排相应流程,允许个人在适用法律要求的范围内随时自由且免费地撤销其同意。
相称性 : GE 在处理个人信息时,仅限处理与 GE 收集和使用此类信息的目的相关的适当、切题且不超量的信息。
信息质量 : 在 GE 属于数据处理方的情况下,GE 将采取合理的措施,为客户提供确保个人信息准确且最新的方法,并且保证仅在出于收集和使用这些个人信息目的所必需的时间段内保留这些信息,在达成此类保留要求之后删除或匿名呈现这些个人信息。
透明度 : 如若适用法律要求,GE 将在收集之时或者合理的收集期内向个人提供有关 GE 身份的信息;处理其个人信息的目的和法律依据;目标接收者和跨境数据传输;个人信息的来源;个人行使其个人信息权利的方式;数据保护专员的联系方式(如适用);以及确保公平处理所需的其他说明。如果 GE 通过互联网或其他电子方式收集个人信息,GE 将发布符合这些透明度要求且易于访问的隐私声明。
机密性 : GE 将保证其处理的个人信息的机密性,仅在根据相关运营或法律要求确有需要时予以披露。 即使在 GE 与将 GE 作为数据处理方的个人或客户的关系已经结束之后,该义务仍继续保持有效。
安全性 : GE 致力于通过适当的技术和组织措施保护个人信息,以确保其完整性、机密性、安全性和可用性。 GE 将向个人通报影响其 GE 个人信息的安全漏洞,这些漏洞可能对其个人权利和自由构成高风险。 根据适用法律,GE 将为以 GE 为数据处理方的客户提供合理的帮助,以确保其数据处理的安全性,并将根据此类法律要求通知 GE 客户有关 GE 客户个人信息的安全漏洞。
共享和/或转移个人信息
在下列情况下,GE 可能会共享或转移个人信息:
- 如果 GE 集团遵循本承诺处理个人信息,则可以在 GE 集团内部出于上述目的共享个人信息。
- GE 可能会将个人信息提供给代表 GE 执行某些处理或其他服务的选定供应商或服务提供商。 GE 将通过合同或其他法律允许的方式建立法律关系,努力确保新供应商以符合本承诺和适用法律的方式处理个人信息。 根据此类合同,供应商必须实施适当的安全措施,并且只能按照 GE 的指示处理个人信息。
- GE 可能会根据法律要求向其他第三方披露某些个人信息,以保护 GE 的合法权利,或者出于与 GE 的任何合并或收购活动或 GE 任何下属部分的破产或重组工作相关的目的而披露这些信息。
处理敏感的个人信息
在 GE 处理和/或转移敏感个人信息时,GE 将通知个人有关处理和/或转移的情况,并在适用法律对 GE 有相应要求时征得个人的明确同意。 GE 将根据此信息的性质以及与其预期用途相关的风险安排适当的安全措施。
责任制度
GE 负责履行本承诺和适用法律中规定的要求。 具体来说,GE 将采取以下做法:
- 采取必要措施,以遵守本承诺和适用法律的要求;并且
- 拥有必要的内部机制来证明遵守了此类规定,包括根据保留其数据处理情况的记录。
隐私计划
GE 采用旨在支持其遵守本承诺和适用法律的隐私惯例,包括建立隐私负责人群组、教育和培训计划、事故响应协议、隐私影响评估、常规审计程序和从设计伊始就考虑隐私的方法,以支持数据处理和系统开发。
个人权利
根据适用法律,已经妥善向 GE 表明其身份的个人可以行使以下与 GE 直接从其处收集到的个人信息相关的权利;如果 GE 属于数据处理方,则 GE 将协助客户履行对个人的隐私义务:
访问 : 如果适用法律有相应要求,GE 将向个人说明 GE 持有与此人相关的个人信息,包括有关个人信息来源、GE 和信息接收者处理此类个人信息的目的、或接受此类个人信息的信息接收者的类别。
纠正与删除 : 重并认可有有关纠正或删除不完整、不准确或过度的个人信息的有效请求,但如果根据 GE 与相应个人的合同关系,法律纠纷或其他法律保留要求的规定,GE 需要保留此类个人信息,或者适用法律另有要求时,GE 将无需删除相关信息。
异议 : 如果个人根据适用法律提出合理异议,例如个人的生命或健康因此类个人信息的处理而处于危险之中,GE 将停止处理个人信息。 个人还有权对某些决策提出异议,这些决策仅根据个人信息自动化处理程序而得出且会对相关个人产生显著的法律影响,但原本是相关个人要求这样处理,或者出于 GE 与相应个人之间的法律关系而确有必要的情形除外。在后一种情况下,个人可以就自动化决策提出自己的观点。 在适用法律允许的情况下,个人有权就 GE 出于营销目的而处理其个人信息的情况提出异议。 如果 GE 能够证明其继续处理此类信息的重大合法利益优先于相应个人的利益或基本权利和自由,则个人可能无法继续行使这种异议权利。
限制 : 个人也有权要求限制 GE 对其 GE 个人信息的任何处理,只要适用法律规定其享有此类权利,例如在 GE 个人信息的准确性受到质疑的情况下。 如果限制合理,GE 将停止处理此类信息,但可以在适用法律规定的范围内存储并以其他允许的方式继续处理。
投诉 : 个人也有权要求限制 GE 对其 GE 个人信息的任何处理,只要适用法律规定其享有此类权利,例如在 GE 个人信息的准确性受到质疑的情况下。 如果限制合理,GE 将停止处理此类信息,但可以在适用法律规定的范围内存储并以其他允许的方式继续处理。
- 内部疑虑报告 : integrity.ge.com 或 security.ge.com
- 外部疑虑报告 : [email protected], [email protected] 或 [email protected]
如果 GE 认为投诉合理,则将采取合理的措施来解决投诉,达到当事人合理满意的程度。 GE 会竭力在收到投诉后的三十天内回复投诉。 在《APEC 跨境隐私规则》管辖的国家/地区内,对 GE 遵守本承诺的情况有未解决投诉的个人可以联系 GE 位于美国的第三方争议解决服务提供商(免费): https://feedback-form.truste.com/watchdog/request
法律执行 : 因 GE 违反承诺而遭受损害的个人可能有权根据适用法律和本承诺中的规定获得相关损害赔偿。 有权获得赔偿的个人可以根据适用法律直接诉诸法院或其他司法机构,以依法履行其根据本承诺享有的权利。
与监管机构合作
如若负责监督适用隐私法的任何主管国家或地区监管机构有充分理由质疑 GE 对个人信息的任何处理,GE 将与其紧密配合,并遵守此类主管监管机构对与本承诺相关的任何问题作出的决定。
本承诺的更改
GE 保留修改本承诺的权利。 任何重大更改都会在适当的时候提交给 GE 的主要数据保护权威人员和/或其信任并指定的代理,并将在 GE 的网站上发布通知。
定义
个人信息 是指与已识别身份或可识别身份的自然人有关的任何信息。
GE 个人信息 是指因个人与 GE 之间的关系而获得、由 GE 为其自身目的而处理的任何个人信息。 此类 GE 个人信息包括:基于与 GE 的雇佣关系而获得的就业数据、基于与 GE 的客户关系而获得的客户数据,以及从 GE 的供应商处获得的供应商数据。
GE 客户个人信息 是指在根据服务协议由 GE 向客户提供服务的背景下获得且由 GE 代表客户处理的任何个人信息。
客户 是指与 GE 签署了服务协议的个人或实体。
敏感个人信息 是个人信息的一种特殊类别,是指有关种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、遗传数据、生物识别数据、健康、性生活或性取向的信息。