2019
客户个人信息保护协议
供应商适用
目录
第1条:目的 (3)
第2条:范围 (3)
第3条:定义 (4)
第4条:具体条文 (6)
客户个人信息的收集 (7)
客户个人信息的存储 (14)
客户个人信息的处理 (17)
客户个人信息的传输 (25)
客户个人信息的销毁 (28)
审计与赔偿 (29)
第5条:适用法律 (31)
附件A:数据安全要求 (33)
客人信息保护协议_供应商适用(中文版), 2020年6月1日
LVMH WATCH& JEWELRY CHINA
第1条:目的
本客户个人信息保护协议(本“协议”)由路威酩轩钟表珠宝商贸(上海)有限公司(“LVMH W&J”)和【
插入供应商名称】(“供应商”)于【插入日期】订立。本协议并入《一般服务购买协议》,并构成该协议的一部分。如本协议与《一般服务购买协议》之间有任何冲突或不一致,以本协议所载条款和条件为准。
第2条:范围
本协议承认,供应商和LVMH W&J(以下统称为“双方”)可讨论LVMH W&J客户的或与之相关的客户个人信息(定义见下文,下称“客户个人信息”)。本协议所载条文界定了在不同情况下供应商该如何保护客户个人信息,并包含LVMH W&J可就违规行为采取的救济、处罚和法律行动。
双方同意,保护客户个人信息符合其最佳利益,且本协议条款在双方之间建立了信任和保密关系。
即使本协议因任何原因终止或期满,本条规定仍然有效。
第3条:定义
“客户”指向LVMH W&J或其子公司(合称“LVMH W&J”)购买商品或服务以及通过任何渠道留下客户个人信息的人或组织。
“生命周期管理”指客户个人信息管理可能涉及以下一种或多种情况:客户个人信息的收集、存储、处理、分享、传输、披露和销毁。
“供应商”指向LVMH W&J提供产品或服务并获得报酬的个人或实体。供应商可适用于下列一种或多种情况:
1.“客户个人信息委托管理”。供应商代表LVMH W&J进行客户个人信息的生命周期管理。LVMH
W&J作为数据控制者,供应商作为数据处理者。
2.“委托开发”。供应商为LVMH W&J开发和/或运营数字渠道。
3.“数据共同控制者”。请参阅“数据共同控制者”的定义。
客人信息保护协议_供应商适用(中文版), 2020年6月1日
LVMH WATCH& JEWELRY CHINA
“个人信息”指以电子或任何其他方式记录并可单独或与其他信息相结合用于识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注:个人信息包括姓名、出生日期、身份证号码、个人生物特征信息、居住地址、、通信记录及内容、账户密码、财产信息、信用信息、行踪轨迹、酒店住宿信息、健康及生理信息、交易信息等。
“客户个人信息”(“CPI”)指LVMH W&J的客户的个人信息。
除LVMH W&J和供应商作为数据共同控制者的情况外,客户个人信息归LVMH W&J独家所有。
“客户个人敏感信息”指一旦泄露、非法提供或滥用可能危及客户的人身和财产安全,极易导致个人名誉、身心健康受到损害或导致歧视性待遇等的客户个人信息。
注:个人敏感信息包括身份证号码、生物特征信息、银行账号、通信记录和内容、财产信息、信用信息、行踪轨迹、酒店住宿信息、健康及生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
“同意”指客户通过书面声明或主动作出肯定性行动对其个人信息进行生命周期管理作出明确授权的行为。
注:肯定性行动包括客户主动作出声明(电子、纸质或口头形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
个人敏感信息“数字渠道”指经LVMH W&J授权,供应商进行客户个人信息生命周期管理活动所使用的网络渠道/平台/场景/应用,如、客户数字卡、移动应用程序(苹果或安卓)、、小程序、微博、天猫、京东等。
“数据共同控制者”指供应商作为数据控制者,拥有供应商收集并随后传输给LVMH W&J的个人信息并对该等个人信息进行生命周期管理。在个人信息传输给LVMH W&J后,该等信息可被视作客户个人信息,此时,LVMH W&J和供应商成为数据共同控制者并共享客户个人信息的所有权。
“安全事件”指从可用性、完整性、保密性和可追溯性角度而言,影响或很可能影响客户个人信息安全的任何事件。
客人信息保护协议_供应商适用(中文版), 2020年6月1日
LVMH WATCH& JEWELRY CHINA
“数据泄露”指导致客户个人信息被意外或非法销毁、遗失、篡改、未经授权披露或访问的任何事件。数据泄露构成安全事件。
第4条:具体条文
客户个人信息的收集
适用范围
如属客户个人信息委托管理,供应商应遵守第4条第1-4款的要求;
如作为数据共同控制者,供应商应遵守第4条第1-5款的要求。
条款
1.在就有关客户个人信息的类型、收集方式、收集频率、收集目的等取得LVMH W&J授权后,供
应商方可收集客户个人信息。应当根据适用法律规定依法收集客户个人信息。因此,供应商不得
a)欺骗、哄骗或者强迫客户提供其个人信息。
b)隐瞒产品或服务的个人信息收集功能。
c)从非法来源获取个人信息。
d)获取适用法律不允许收集的个人信息。
e)从LVMH W&J或适用法律认为不合适的渠道收集个人信息。
未经LVMH W&J的书面授权,供应商不得收集客户个人信息。如果供应商认为需要额外收集客户个人信息,应提前至少1周与LVMH W&J沟通,并取得书面授权。LVMH W&J不对因供应商非法收集客户个人信息而引起的任何法律纠纷负责。
供应商收集客户个人信息时应遵循适用法律规定的最低收集原则,不得超出LVMH W&J授权的收集范围(客户个人信息的类型、收集方式、收集频率、收集目的等)。
2.当供应商通过数字渠道或其他方式(如实体店线下收集渠道、商业活动)收集客户个人信息时,
供应商应明确告知客户所提供的产品或服务的不同业务功能分别将收集的客户个人信息类型,以及客户个人信息的收集和使用规则,以获得客户的同意。告知客户的方式包括:
a)供应商有义务在本协议第3条定义的各数字渠道上发布及维护LVMH W&J提供的隐私
政策。
客人信息保护协议_供应商适用(中文版), 2020年6月1日
LVMH WATCH& JEWELRY CHINA