统一身份认证系统(以下简称“本系统”)是南方科技大学的单点登录系统。我们尊重并保护所有使用本系统的用户的个人隐私权。
《统一身份认证系统隐私政策》(以下简称“本《隐私政策》”)适用于本系统提供的服务。在您使用本系统服务时,我们会按照本《隐私政策》的规定使用和披露您的个人信息,并以高度的勤勉、审慎义务对待这些信息。除本《隐私政策》另有规定外,在未征得您事先许可的情况下,我们不会将这些信息对外披露或向第三方提供。我们会不时更新本《隐私政策》,您在同意我们服务使用协议之时,即视为您已经同意本《隐私政策》全部内容。本《隐私政策》属于我们的产品和服务使用协议不可分割的一部分。
我们希望通过本《隐私政策》向您说明我们在收集和使用您相关个人信息时对应的处理规则,以及我们为您提供的访问、更正、删除和保护这些个人信息的方式,以便更好的保障您的权益。
本《隐私政策》将帮您了解以下内容:
一、我们如何收集和使用您的个人信息
二、我们如何使用Cookie技术
三、我们可能共享、转让或披露的个人信息
四、我们如何存储您的个人信息
五、我们如何保护您的个人信息
六、我们如何管理您的个人信息
七、未成年人的个人信息保护
八、政策的修订
一、我们如何收集和使用您的个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
我们提供的产品和服务需要依赖您的部分信息才得以运行,因此在您使用我们的产品和服务的时候,需要向我们提供或允许我们收集的必要信息以供我们使用这些信息向您提供基本服务及更好的服务,包括:
(一)我们将通过以下途径收集和获得您的个人信息
1、提供您的个人信息
(1)您在使用本系统服务时,向我们提供的个人资料,包括您的用户名并设置登录密码,或者使用企业微信扫码认证,用于登陆系统。
(2)手机号码、个人邮箱用于找回密码,学校邮箱用于激活部分业务服务。
2、我们获取的您的个人信息。学校学校人事系统、学工系统、研究系统、教务系统收集的您的个人信息。
3、您在使用本系统服务时,我们收集、汇总、记录的个人信息。
4、其他方分享的您的个人信息。
(二)我们会出于以下目的,收集和使用您以下类型的个人信息
1、账号注册
本系统账号注册均由管理员操作完成。所需基本信息包括姓名、性别、证件号码以及用户身份类别标识等,以上信息全部来自学校人事系统、学工系统、研究系统、教务系统。
2、密码
本系统初始密码自动生成,在入职、入校流程中告知您。首次登陆系统需要自行修改密码。
同时您需要设置找回密码的手机号码或邮箱(找回密码邮箱不能使用学校域名的邮箱)。
3、学校邮箱
学校部分系统登录需要本系统提供的学校邮箱,使用这些系统前请在本系统登记学校邮箱。
4、身份验证
( 1 )登录验证
您也可以选择密码登录和企业微信扫码登录。当您推出企业微信时,扫码登录将不可用。
( 2 )二次验证
当您绑定手机号码,且开启短信二次验证时,在您使用密码登录后将会要求提交验证码。
5、为您提供安全保障
本系统保存您的使用记录,包括登录、登出和业务系统授权的时间、客户端信息和IP地址。
为提高您使用我们服务的安全性,保护您或其他用户或公众的人身财产安全免遭侵害,更好地预防钓鱼网站、欺诈、网络漏洞、计算机病毒、网络攻击、网络侵入等安全风险,更准确地识别违反法律法规的情况,我们可能会收集、使用或整合您的账户信息、设备信息、日志信息以及我们合作伙伴取得您授权或依据法律共享的个人信息,来综合判断您账户风险、进行身份验证、检测及防范安全事件,并依法采取必要的记录、审计、分析、处置措施。
6、征得授权同意的例外
根据相关法律法规规定,以下情形中收集您的个人信息无需征得您的授权同意:
(1) 与个人信息处理者履行法律法规规定的义务相关的;
(2) 与国家安全、国防安全直接相关的;
(3) 与公共安全、公共卫生、重大公共利益直接相关的;
(4) 与刑事侦查、起诉、审判和判决执行等直接相关的;
(5) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
(6) 所涉及的个人信息是个人信息主体自行向社会公众公开的;
(7) 根据个人信息主体要求签订和履行合同所必需的;
(8) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
(9) 维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障;
7、有关个人敏感信息的提示
以上由您提供或我们收集您的个人信息中,可能包含您的个人敏感信息,包括系统账号及其有关的密码、电话号码、网页浏览记录。请您谨慎并留意个人敏感信息,您同意您的个人敏感信息我们可以按本政策所述的目的和方式来处理。
二、 我们如何使用Cookie技术
我们会将您的登陆信息保存在浏览器Cookie中,以实现单点登录。 您可以登出系统或者关闭浏览器使Cookie失效。
如果您禁止本系统访问浏览器Cookie,您将无法使用单点登录功能。
三、 我们可能共享、转让或披露的个人信息
我们充分知晓因违法共享、转让、公开披露个人信息对个人信息主体造成损害时所应承担的法律责任,对于您的个人信息的一切共享、转让、公开披露,我们将严格按照以下条款进行:
(一)共享
尊重用户个人隐私是我们的一项基本原则。除以下情形外,我们不会与任何公司、组织和个人分享您的个人信息:
1、业务共享:我们向授权的业务系统提供身份证服务,一般情况仅包含您的ID(学号/工号)和姓名。个别业务系统授权信息包括:部门/年级/个人登记的学校邮箱/用户类别等。当您使用本系统认证登录其他系统时,即视为您同意提供相关信息;
2、在获取明确同意的情况下共享:获得您的明确同意后,我们会与其他方共享您的个人信息。
3、在法定情形下的共享:我们可能会根据法律法规规定、诉讼争议解决需要,或按行政、司法机关依法提出的要求,对外共享您的个人信息。
4、与授权合作伙伴共享:我们可能委托授权合作伙伴为您提供某些服务或代表我们履行职能,我们仅会出于合法、正当、必要、特定、明确的目的共享您的信息,授权合作伙伴只能接触到为其履行职责所需信息,且我们将会通过协议要求其不得将此信息用于其他任何目的。
(二)转让
我们将不会将您的个人信息转让给任何公司、组织和个人。
(三)披露
我们仅会在以下情况下,且采取符合业界标准的安全防护措施的前提下,才会披露您的个人信息:
1、根据您的需求,在您明确同意的披露方式下披露您所指定的个人信息;
2、根据法律、法规的要求、强制性的行政执法或司法要求所必须提供您个人信息的情况下,我们可能会依据所要求的个人信息类型和披露方式披露您的个人信息。在符合法律法规的前提下,当我们收到上述披露个人信息的请求时,我们会要求接收方必须出具与之相应的法律文件,如传票或调查函。我们坚信,对于要求我们提供的个人信息,应该在法律允许的范围内尽可能保持透明。我们对所有的请求都进行了慎重的审查,以确保其具备合法依据,且仅限于执法部门因特定调查目的且有合法权利获取的数据。
(四)共享、转让、披露个人信息、获取个人信息副本时事先征得授权同意的例外
以下情形中,共享、转让、披露您的个人信息无需事先征得您的授权同意:
1、与个人信息控制者履行法律法规规定的义务相关的;
2、与国家安全、国防安全有关的;
3、与公共安全、公共卫生、重大公共利益有关的;
4、与犯罪侦查、起诉、审判和判决执行等司法或行政执法有关的;
5、出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
6、您自行向社会公众公开的个人信息;
7、从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
根据法律规定,共享、转让经去标识化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向您通知并征得您的同意。
四、 我们如何存储您的个人信息
(一)我们在中华人民共和国境内收集和产生的个人信息将存储在中华人民共和国境内。 我们仅在实现本政策所述目的的必要期限内保留您的个人信息,超出期限后将匿名化处理或删除,法律法规另有规定的除外。
(二)为了保障您的信息安全,我们在收集您的信息后,将采取各种合理必要的措施保护您的信息。
(三)为保障您的信息安全,我们致力于使用各种安全技术及配套的管理体系来尽量降低您的信息被泄露、毁损、误用、非授权访问、非授权披露和更改的风险。
(四)我们会定期聘请外部独立第三方对我们的信息安全管理体系进行评估。
(五)请您务必妥善保管好您的身份要素(您的登录名、密码、短信校验码、手机号码、电子邮箱、企业微信)。您在使用本系统认证服务时,我们会通过您的登录名及其他身份要素来识别您的身份。一旦您泄漏了前述信息,您可能会蒙受损失,并可能对您产生不利。如您发现您的身份要素可能或已经泄露时,请您立即和我们取得联系,以便我们及时采取相应措施以避免或降低相关损失。
五、 我们如何保护您的个人信息
您的个人信息安全对于我们至关重要。我们将严格遵守相关法律法规,采取业内认可的合理可行的措施,保护您的个人信息。防止信息遭到未经授权的访问、披露、使用、修改,避免信息损坏或丢失。
(一)数据安全措施:我们会采用符合业界标准的安全防护措施,包括建立合理的制度规范、采用安全技术来防止您的个人信息遭到未经授权的访问使用、修改,避免数据的损坏或丢失。我们的网络服务采取了多种加密技术,例如在某些服务中,我们将利用加密技术(例如SSL)来保护您的个人信息,采取加密技术对您的个人信息进行加密保存,并通过隔离技术进行隔离。我们通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。我们采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。
(二)安全认证:我们已通过了公安部信息安全等级保护二级认证,并与监管机构、第三方测评机构建立了良好的协调沟通机制,及时抵御并处置各类信息安全威胁,为您的信息安全提供全方位保障。
(三)我们仅允许有必要知晓这些个人信息的我们及我们关联方的员工、合作伙伴访问您的个人信息,并为此设置了严格的访问权限控制和监控机制。我们还会举办安全和隐私保护培训课程,加强员工对于保护个人信息安全重要性的认识和安全意识。我们同时要求可能接触到您的个人信息的所有人员履行相应的保密义务。如果未能履行这些义务,可能会被追究法律责任或被中止与我们的合作关系。
(四)为应对个人信息泄露、损毁和丢失等可能出现的风险,我们制定了多项制度,明确安全事件、安全漏洞的分类分级标准及相应的处理流程。我们也为安全事件建立了的应急响应团队,按照安全事件处置规范要求,针对不同安全事件启动安全预案,进行止损、分析、定位、制定补救措施、联合相关部门进行溯源和打击。我们亦定期组织内部培训和应急演练,使得我们的相关工作人员掌握相应的应急处置策略和规程。
(五)互联网并非绝对安全的环境,而且电子邮件、即时通讯、社交软件或其他服务软件等与其他用户的交流方式无法确定是否完全加密,我们建议您使用此类工具时请使用复杂密码,并注意保护您的个人信息安全。
(六)安全事件处置:在不幸发生信息安全事件后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们同时将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您,难以逐一告知信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,主动上报信息安全事件的处置情况。
(七)如您发现自己的个人信息泄密,尤其是账号及密码发生泄露,请您立即跟我们联系,以便我们可以及时采取应对措施防止或减少您的相关损失。
请您理解,由于技术的限制以及风险防范的局限,即便我们已经尽量加强安全措施,也无法始终保证信息百分之百的安全。您需要了解,您接入本系统服务所用的系统和通讯网络,有可能因我们可控范围外的情况而发生问题。
六、 我们如何管理您的个人信息
(一) 管理您的信息
您可通过登录本系统管理和查询个人信息:
1、个人信息 开启或关闭企业微信通知,开启或关闭短信二次验证;
2、学校邮箱 设置学校邮箱,部分业务依赖此信息;
3、密保邮箱 设置找回密码邮箱,用于找回密码;
4、手机号码 设置手机号码,用于找回密码或者短信二次验证;
5、审核日志 查看个人登录和授权日志
6、重置密码 重置密码
其他信息均由管理员初始化账号时导入,后续会自动与业务系统同步。
(二)如您发现我们收集、使用您个人信息的行为,违反了法律法规规定或违反了与您的约定,您可联系我们的客服,要求删除相应的信息。
(三)尽管有上述约定,但按照相关法律法规及国家标准,在以下情形中,我们可能无法响应您的请求:
1、与国家安全、国防安全直接相关的;
2、与公共安全、公共卫生、重大公共利益直接相关的;
3、与犯罪侦查、起诉、审判和执行判决等直接相关的;
4、有充分证据表明您存在主观恶意或滥用权利的;
5、响应您的请求将导致其他个人、组织的合法权益受到严重损害的。
(四)如您对本政策存在任何疑问,或对于您的个人信息处理存在任何投诉、意见,请通过以下渠道联系我们:
1、联系电话: 0755-88010777
2、电子邮箱:its@sustech.edu.cn
七、未成年人的个人信息保护
本系统主要面向教职工及成年学生提供服务。若用户为未成年人,需在监护人同意下使用。
我们不会主动收集未成年人信息,系统所需基本信息均来自被我校录取的学生或被我校聘用的人员所提供的必要信息。
八、政策的修订
我们可能适时修订本政策的内容。
该等修订构成本政策的一部分,我们将在变更生效前,通过在页面显著位置提示,对于重大变更,我们会提供更显著的通知。您如果不同意该等变更,可以选择停止使用我们的服务;如您仍然继续使用我们的服务,即表示同意受经修订的本政策的约束。
我们鼓励您在每次使用我们的服务时都查阅我们的隐私政策。