生效日期:2023年7月10日
《高盛(中国)证券有限责任公司隐私政策》(以下简称“本项政策”)仅适用于高盛(中国)证券有限责任公司(以下简称“我们”或“本公司”)为您提供产品或服务和/或本公司与您建立其他业务合作的情形。本项政策是我们对于处理和保护您的个人信息的一般性声明。对于本公司提供的特定产品或服务和/或本公司与您建立的其他特定业务合作,我们可能还会向您提供本项政策以外的特定的隐私政策或其他声明(以下简称“补充政策”),如补充政策与本项政策有不一致之处,优先适用补充政策的规定。
我们非常重视您的个人信息保护,因此制定了本项政策,并按照本项政策收集、使用、共享、存储并保护您的个人信息。在开始使用我们的产品或服务和/或与我们建立其他业务合作前,请您务必仔细阅读并了解本项政策,特别是以粗体标识的条款,并决定是否同意我们据此处理您的个人信息。请您注意,如果处理特定个人信息是为您提供某些产品或服务和/或与您建立某些其他业务合作所必需的,但您不同意我们处理您的该等个人信息,则可能会影响您使用我们的某些产品或服务和/或与我们建立某些其他业务合作。此外,在法律允许的情况下,我们可以不基于您的同意而依据本项政策收集、使用或以其他方式处理您的个人信息。在法律要求的情况下,我们会就处理您的个人信息的特定情形征求您的单独同意。
我们深知个人信息对您的重要性,并会尽全力保护您的个人信息安全。我们致力于维持您对我们的信任,在个人信息处理活动中恪守以下原则:合法、正当、必要和诚信原则、目的明确原则、公开透明原则、质量保证原则、安全保障原则等。同时,我们承诺按照业界成熟的安全标准,采取适当的安全保护措施来保护您的个人信息。
本项政策主要包括如下内容:
一、 个人信息的收集和使用
二、 个人信息的委托处理、共享、转让、公开披露
三、 个人信息的安全保障
四、 个人信息的存储
五、 您对个人信息的权利与选择
六、 未成年人的个人信息保护
七、 隐私政策的更新
八、 联系我们
附录:相关定义
一、 个人信息的收集和使用
为了向您提供本公司的产品或服务和/或本公司与您建立其他业务合作,我们可能需要收集、使用您的个人信息,包括您在与本公司的沟通、接触、合作过程中主动提供的个人信息,或因使用我们的产品或服务和/或与我们建立其他业务合作而产生的个人信息。在此过程中,如果您向我们提供他人的个人信息,请您确保他人对该等情况充分知情并予以同意(如适用),且您的该等行为不侵犯任何人的合法权益。
我们主要在以下场景中收集、使用您的个人信息。现就各个场景涉及的处理目的、处理方式、个人信息类型(请您特别注意其中加粗显示的敏感个人信息)说明如下,有关个人信息收集、使用的更具体的说明,请同时参阅本公司在向您提供产品或服务和/或与您建立其他业务合作时提供的申请表格、产品介绍、服务说明等材料。在大部分场景下,我们处理您的个人信息是为订立、履行您与我们之间的合同所必需,或是为履行我们的法定义务所必需;在少数场景下,我们需要基于您的同意而处理您的个人信息,我们将在该等场景下予以说明。
(一) 账户开设与维护
我们采集的您的个人信息主要来自您所填写的账户申请,以及您在和本公司建立业务关系过程中向我们提交的其他表格和材料。我们还可能就本公司提供的产品和服务收集您涉及该等产品或服务的交易信息和相关经历。
您有权自行决定是否向我们提供包含您(和/或他人)个人信息的资料。但请您知悉,为了使用本公司的产品或服务,您需要向我们提供开设、维护账户所必需的个人信息,否则我们无法为您开设账户并提供相应的产品或服务。
1. 如果您以个人身份寻求本公司的产品或服务(您作为个人客户进行投资),我们可能收集、使用您的下列个人信息:
• 您的姓名、国籍、地址、联系方式;
• 您的年龄、学历、职业/职务、婚姻状况、不良诚信记录(如适用);
• 您的有效身份证件的类型、号码、有效期限;
• 为进行尽职调查或根据法律法规要求,从您护照、身份证或驾驶证中采集的免冠照片(如适用);
• 根据自律监管机构业务指南等相关要求,就您以现场或远程方式在本公司开设账户相关过程进行的录像(如适用)等。
2. 如果您是本公司的公司客户或机构客户的控股股东、实际控制人或某一交易事项的实际受益人、法定代表人/执行事务合伙人(或其委派代表)、授权代表人、雇员,在本公司和您所属/相关的公司或机构建立业务关系、进行业务合作的过程中,我们可能收集、使用您的下列个人信息(视您的具体身份适用):
• 您的姓名、联系方式;
• 您的所属/相关的公司或机构、职位;
• 您的有效身份证件的类型、号码、有效期限;
• 根据反洗钱等法律法规要求,您所提供的有效身份证件的彩色复印件或照片等。
在您与本公司的业务合作过程中,由您所提供的他人的个人信息,包括但不限于您所属/相关的公司、机构或关联方的员工、高级管理人员的个人信息,以及您及您所属/相关的公司、机构或关联方在业务经营过程中取得和使用的信息(其中可能包括他人的个人信息),请您确保他人对该等情况充分知情并予以同意(如适用),且您的该等行为不侵犯任何人的合法权益。
为确保我们所掌握的个人信息准确、完整,如果您向我们提供的个人信息发生任何变更,请您及时通知我们,这将对我们的工作提供极大的帮助。
(二) 业务运营相关的其他情形
1. 本公司在开展投资银行类业务时,需根据法律法规要求开展项目尽职调查工作。如果您是本公司的公司客户或机构客户(包括但不限于项目发行主体)的发起人、主要股东、实际控制人、董事、高级管理人员、雇员,和/或代表项目发行主体的主要客户、主要供应商参与尽职调查的访谈对象,在本公司进行项目尽职调查的过程中,我们可能收集、使用您的下列个人信息(视您的具体身份适用):
• 您的姓名、国籍、联系方式、住址;
• 您的个人履历、目前所属公司、职位;
• 您的有效身份证件的类型、号码、有效期限和/或有效身份证件的复印件或照片;
• 您及您的亲属在项目发行主体中的直接/间接持股、任职的相关情况等。
2. 本公司在开展证券投资咨询业务时,将根据业务运营的需要与行业专家开展业务合作,包括但不限于聘请行业专家协助审阅或优化本公司的研究报告,组织或邀请行业专家参加相关行业研讨会、专题讨论活动等。如果您是与本公司建立业务合作关系的行业专家,为订立、履行您与我们之间的合同或者如果您同意,我们在合作过程中可能收集、使用您的姓名、联系方式、所属公司、职位、专业领域、银行账户信息(为费用支付之目的)等。
3. 为了顺畅地向您提供产品或服务和/或与您开展其他业务合作,与您进行必要的联系与沟通,我们可能收集、使用您的邮寄地址、电话号码、电子邮箱、传真信息等,以便与您以及您指定的代表(如适用)进行联系。
4. 为了持续优化本公司提供的产品、服务或业务,或为了向您推荐本公司的其他产品、服务或业务合作机会,如果您同意,我们可能收集、使用您的电话号码、电子邮箱,向您发送相关的市场营销信息、客户调研问卷等内容,您可以联系您的销售代表要求退订。
(三) 合规管理
1. 根据反洗钱和防止欺诈等法律法规要求和监管要求,我们需要执行严格的KYC(即“充分了解你的客户”)政策。如果您以个人身份寻求本公司的产品或服务(您作为个人客户进行投资),我们可能收集、使用您的下列个人信息:
• 您的姓名、联系方式;
• 您的有效身份证件的复印件;
• 您的被授权人的姓名及其有效身份证件的复印件(如适用);
• 您的职业背景(如适用);
• 您的财产/资金来源情况(如适用)等。
如果您是本公司的公司客户或机构客户的股东(通常仅适用于达到特定持股比例的股东)、实际控制人、受益人、法定代表人/执行事务合伙人(或其委派代表)、董事、主要负责人员、被授权人,在本公司和所属/相关的公司或机构建立业务关系、进行业务合作的过程中,我们可能收集、使用您的下列个人信息(视您的具体身份适用):
• 您的姓名、地址、居住国家;
• 您的有效身份证件的类型、号码、有效期限和/或有效身份证件的复印件;
• 您的财产/资金来源情况、职业背景、反洗钱情况说明等。
2. 根据法律法规要求,本公司在向您提供相关金融产品和/或服务时,应履行风险承受能力评估等投资者适当性管理义务,充分了解您在投资相关金融产品和/或获得相关金融服务时可承受的风险程度等情况,使本公司所提供的相关产品和/或服务与您的风险承受能力等级相匹配。基于此,我们可能收集、使用您的下列个人信息:
• 您的姓名、年龄、联系方式;
• 您的学历、就业状况;
• 您的财务状况、投资经验和目标、风险偏好等情况,以及资产证明、投资经历、金融从业经历等证明材料;
• 您就财产/资金来源状况作出的保证(如适用)等。
(四) 税务管理
根据共同申报准则(CRS)及法律法规要求,本公司需要收集并向相关税务机关报送账户持有人的税收居民身份信息。如果您是本公司的个人账户持有人,在本公司和您建立业务关系、进行业务合作的过程中,我们可能收集、使用您的下列个人信息:
• 您的姓名、联系方式;
• 您的国籍、居住地、出生地;
• 您的税收居民国(地区)、纳税人识别号类型及识别号等。
如果您是本公司的公司或机构账户持有人的控制人,在特定情形下,在本公司和您相关的公司或机构建立业务关系、进行业务合作的过程中,我们可能收集、使用您的下列个人信息:
• 您的姓名、出生地、居住地;
• 您的税收居民国(地区)、纳税人识别号等。
(五) Cookie和同类技术的使用
Cookie是互联网中普遍使用的技术。如果您通过一个或多个本公司的网址获取本公司的产品或服务,为优化您的访问体验(例如,“记住”您的身份,从而使您在切换网页过程中无须重复输入密码)及保障您的访问安全性(例如,验证您的身份真实性,避免恶意攻击者篡改您的通信内容),我们可能会在您的设备上存储一个或多个名为Cookie的小型文本文件。您可以更改网络浏览器设置,以便当Cookie被设置时或被阻止设置时能够得到通知。但是,如果您拒绝使用Cookie,则网站所能够提供的功能可能会减少;如果您拒绝使用与验证相关的Cookie,则您可能无法正常使用我们的网站。
此外,我们可能会收集Clickstream或类似的信息(例如,您访问本公司网站的哪些页面以及访问的频率等信息),从而评估本公司网站的访问量以及您可能感兴趣的产品或服务。
(六) 无需您同意的情形
请您注意,根据法律法规的规定,在以下情形中,我们无需取得您的同意即可收集、使用或以其他方式处理您的个人信息:
• 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
• 为履行法定职责或者法定义务所必需;
• 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
• 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
• 依法在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
• 法律、行政法规规定的其他情形。
请您注意,匿名化处理后的信息不再属于个人信息,因此不受本项政策的约束和保护。
二、 个人信息的委托处理、共享、转让、公开披露
我们高度重视您的个人信息保护,仅在取得您的同意或法律法规允许的情况下,才会委托处理、共享、转让、公开披露您的个人信息。
(一) 委托处理
在我们为您提供产品或服务和/或与您建立其他业务合作的过程中,可能委托第三方供应商提供某些特定的业务功能。该等第三方会在既定的范围和期限内协助我们处理您的个人信息,并在完成任务后及时删除您的个人信息。
• 我们可能聘请服务提供商提供公民身份信息核查比对服务,以协助我们进行客户管理和客户身份识别。
• 我们可能聘请提供法律顾问服务、审计服务等专业服务的机构为您和本公司的某些业务合作提供支持,如开展尽职调查。
对我们委托处理个人信息的第三方供应商,我们会依法与其签署相应的协议、对其处理活动进行监督,要求他们按照法律法规、我们的要求及本项政策采取适当的安全保护措施,保障您的个人信息安全。
(二) 共享
为了更好地为您提供产品或服务和/或与您建立其他业务合作,我们可能会与关联公司、第三方合作伙伴进行业务合作,并在实现业务合作的必要合理范围内共享您的个人信息。
我们会依法评估需要共享个人信息的情形,并采取适当的保护措施,以保障您的个人信息安全。如果该等共享涉及向境外提供个人信息(例如,向境外的关联公司提供个人信息),我们将严格遵守法律法规,依法落实个人信息出境的各项要求(详见第四部分“个人信息的存储”之(一)“存储地点”)。
1. 与关联公司共享
在实现全球化服务客户、统一经营管理之目的的必要合理范围内,我们在业务运营过程中可能与特定的关联公司共享个人信息。我们的关联公司是指高盛集团有限公司(The Goldman Sachs Group, Inc.,以下简称“高盛集团”)及其附属公司。有关高盛集团的详细情况,请参阅高盛集团官网:https://www.goldmansachs.com/。
• 为了充分利用高盛集团的全球市场覆盖和产品经验,为中国境内客户提供跨地区、一体化、全方位的服务,我们可能和特定的关联公司共享您的个人信息,以便该等关联公司为您提供境内外资产配置、交易策略等方面的产品、服务或业务合作。
• 为了高盛集团的统一经营管理,我们可能与特定的关联公司共享与本公司的业务经营相关的统计数据等信息,其中可能涉及您的个人信息。
2. 与第三方合作伙伴共享
在我们为您提供产品或服务和/或与您建立其他业务合作的过程中,某些特定的业务功能可能由第三方供应商提供和/或涉及与第三方进行合作。为实现前述目的,我们需要在必要合理范围内共享您的个人信息。
• 本公司在开展金融产品/基金销售业务时,根据本公司与产品/基金管理人的合作协议约定,在不违反任何合同义务、法律义务等义务的情况下,本公司可能向产品/基金管理人提供相关产品/基金的投资者或潜在投资者的个人信息,如姓名、有效身份证件信息、投资经历、财产/资金来源状况等,以供产品/基金管理人为依法执行KYC政策、履行投资者适当性管理义务等目的使用。
(三) 转让
我们原则上不会将您的个人信息转让给任何公司、组织和个人。如果我们因合并、分立、解散、被宣告破产等原因需要转移您的个人信息,我们会向您告知接收方的名称或者姓名和联系方式,并要求接收方继续受本项政策的约束。接收方如果变更原先的处理目的、处理方式,将依法重新征求您的同意,除非法律法规另有规定。
(四) 公开披露
我们一般不会公开披露您的个人信息,除非取得您的单独同意或法律法规另有规定。
(五) 无需您同意的情形
请您注意,根据法律法规的规定,在以下情形中,我们无需取得您的同意即可共享、转让、公开披露您的个人信息:
• 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
• 为履行法定职责或者法定义务所必需;
• 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
• 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
• 依法在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
• 法律、行政法规规定的其他情形。
请您注意,匿名化处理后的信息不再属于个人信息,因此不受本项政策的约束和保护。
三、 个人信息的安全保障
1. 我们力争实施业界最高标准的安全措施,从而保证您的个人信息的高度保密。我们已使用符合业界标准的安全措施保护您的个人信息,并设立了一系列的物理性、技术性、管理性、程序性防范措施,从而保障您的个人信息免于未经授权的访问、泄露、篡改、丢失、滥用、毁损。我们采取的具体措施包括但不限于:
• 有专职人员负责设计、实施并监控本公司的信息安全措施;
• 使用专业技术(例如,防火墙);
• 在产品和服务通过互联网推出之前,对安全性和可操作性进行测试,并对公众所知的技术弱点进行持续扫描监控;
• 对本公司的网站和服务进行内部和外部审查;
• 监控本公司的系统基础设施,发现薄弱环节和潜在的入侵可能;
• 对进入相关系统或网站的身份确认、鉴别和授权实施控制;
• 通过加密或其他方式保护非公开的信息沟通;
• 向我们的相关人员提供培训,并根据新的风险和技术发展,不断更新安全措施。
2. 我们会采取一切合理可行的措施,确保未收集无关的个人信息。
3. 只有经过授权的本公司的员工、代理和服务提供者(如上文第二部分“个人信息的委托处理、共享、转让、公开披露”所述)才有权接触您的个人信息,且上述人士必须遵守严格的保密要求。
4. 我们将根据法律法规的要求适时开展个人信息保护影响评估。
5. 我们将尽力确保您的个人信息的安全性,但请您理解,互联网环境并非百分之百安全。如果我们的物理、技术或管理防护设施遭到破坏,导致您的个人信息遭受未经授权的访问、泄露、篡改、丢失、滥用、毁损,致使您的合法权益受损,我们将依法承担相应的责任。
6. 我们制定了个人信息安全事件应急预案,并注意风险的监测与预防。如果不幸发生个人信息安全事件,我们会立即启动应急预案、采取补救措施,尽力降低安全事件的影响。我们将通过邮件、信函、电话、推送、公告等合理、有效的方式,依法告知您安全事件的原因、危害、涉及个人信息的类型、补救措施等事项。我们还将依法向有关监管机构上报安全事件的相关情况。
四、 个人信息的存储
(一) 存储地点
原则上,我们将在中国境内收集和产生的个人信息存储在中国境内。我们通过高盛集团全球范围内的资源为您提供产品和服务,这意味着,我们可能需要将您的个人信息传输至中国境外的其他国家或地区,或允许境外访问您的个人信息(以下合称“出境”)。如果涉及个人信息出境,届时我们将严格依照法律法规的规定,落实个人信息出境的要求与条件。
(二) 存储期限
一般而言,我们只会在实现处理目的的必要合理期限内保留您的个人信息,除非法律法规另有规定。在超出存储期限后,我们会依法删除或匿名化处理您的个人信息。如果删除从技术上难以实现的,我们会停止除存储和采取必要的安全保护措施之外的处理活动。
五、 您对个人信息的权利与选择
我们充分尊重您对个人信息享有的合法权利与选择,并竭力保障您行使该等权利。
1. 知情、决定:您对我们如何处理您的个人信息享有知情权、决定权,您可以限制或者拒绝我们对您的个人信息进行处理,除非法律法规另有规定。您有权要求我们对您的个人信息所适用的处理规则进行解释说明。
2. 查阅、复制、转移:您有权向我们查阅、复制您的个人信息。在符合法律法规的条件下,您还有权请求我们将您的个人信息转移至您指定的个人信息处理者,我们会依法为您提供转移的路径。
3. 更正、补充:如果您发现您的个人信息不准确或者不完整,您有权向我们提出更正、补充的请求,我们会在核实之后及时进行更正、补充。
4. 撤回同意:您有权撤回同意。请您注意,当您撤回同意后,我们可能无法继续为您提供与该等同意相对应的产品或服务和/或与您保持与该等同意相对应的其他业务合作,但不会影响此前基于您的同意已进行的个人信息处理活动。
5. 删除:在法律法规规定的情形下,您有权请求我们删除您的个人信息。若法律法规规定的存储期限未届满,或者删除个人信息从技术上难以实现,我们将停止除存储和采取必要的安全保护措施之外的处理活动。
6. 注销账户:您有权申请注销您的账户,在您注销账户后,我们将在法律法规所规定的存储期限届满后删除相关个人信息。
7. 已故客户个人信息保护:如果我们的客户不幸逝世,您作为近亲属,为了自身的合法、正当利益,您可以依法对逝者的相关个人信息行使查阅、复制、更正、删除等权利,除非逝者生前另有安排。
8. 响应您的请求:如您希望行使上述的一项或多项权利,您可以通过本项政策第八部分“联系我们”中所提供的联系方式向我们提出请求。为保障安全,我们可能需要您提供书面请求,或以其他方式证明您的身份,然后再处理您的请求。我们将尽快处理您的合理请求,并在验证您的身份后的15个工作日内予以回复。对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将视情况收取一定成本费用。对于无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际的请求,我们可能会予以拒绝。
9. 投诉与起诉:如果您对我们的回复不满意,特别是您认为我们的个人信息处理活动损害了您的合法权益,您可以依法向证券监督管理机构、网信部门等监管机构投诉或向法院提起诉讼。
六、 未成年人的个人信息保护
我们高度重视对未成年人个人信息的保护。我们的产品和服务和/或其他业务合作主要面向成年人。如果您是18周岁以下的未成年人,在使用我们的产品或服务和/或与我们建立其他业务合作前,您应在您的父母或其他监护人的陪同下阅读并同意本项政策。特别地,我们原则上不会处理14周岁以下未成年人(以下简称“儿童”)的个人信息。我们不会有意地获取儿童的个人信息,如果我们发现我们在无意的情况下收集了儿童的个人信息,我们会尽快删除该等信息。
七、 隐私政策的更新
我们可能不时对本项政策进行调整,并将在本公司网站上及时公布本项政策的变更情况。对于本项政策的重大变更,我们将会以更显著的方式通知您,例如,邮件、推送、公告等适当形式。未经您的知情和同意(如适用),我们不会削减您按照本项政策所享有的权利。
本项政策的重大变更包括但不限于:
• 我们的业务、产品或服务的模式发生重大变化,影响到个人信息的处理目的、处理方式、处理的个人信息类型;
• 我们在所有权结构、组织架构等方面发生重大变化,导致处理个人信息的主体发生变化;
• 个人信息共享、转让、公开披露的主要对象发生变化;
• 您行使个人信息权利的方式和程序发生重大变化;
• 我们的个人信息保护专职部门或专员的联系方式发生变化;
• 我们的个人信息保护影响评估提示存在高风险;
• 其他可能对您的个人权益有重大影响的情形。
我们会在本公司网站上发布对本项政策所做的任何变更。
八、 联系我们
我们设立了个人信息保护专职部门或专员,如果您对本项政策有任何疑问、意见或建议,您可以通过以下方式与我们联系:
• 电子邮箱:gsgh-privacy-info@gsgh.cn
附录:相关定义
为了帮助您更好地理解本项政策,我们在附录中向您介绍以下专有名词的定义。
• 个人信息:指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
• 敏感个人信息:指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。例如,生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
• 去标识化:指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。去标识化处理后的信息仍属于个人信息。
• 匿名化:指个人信息经过处理无法识别特定自然人且不能复原的过程。匿名化处理后的信息不再属于个人信息。
• 处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
