隐私政策

1. 我们的角色

根据具体情况,Asteria Limited (HK) 可能作为独立控制者(controller)、处理者(processor)、服务提供商或其他法律认可的角色行事。

对于网站访问者和业务联系人,我们通常决定个人数据的处理方式和原因。

对于客户提交的最终用户验证数据,客户通常决定处理的目的和法律依据,而 ASTERIA KYC 则根据合同提供服务进行数据处理,法律另有规定或书面约定除外。

客户负责向最终用户提供其自身的隐私通知,并在向 ASTERIA KYC 提交数据之前获得任何必要的同意或其他法律依据。

2. 我们可能处理的个人数据

根据所使用的服务,我们可能处理以下类别的个人数据:

• 身份数据 — 姓名、出生日期、国籍、性别、身份号码、证件号码、签发国家、签发机构、有效期及身份证件上显示的其他信息
• 联系数据 — 业务电子邮件地址、电话号码、公司名称、职务及通信记录
• 文件数据 — 护照、国民身份证、驾照、居留证、地址证明、企业文件、税务文件或其他为验证而提交的文件
• 图像和视频数据 — 自拍照、面部图像、短视频片段、活体检测帧、文件图像以及用于将身份证件照片与实时拍摄图像进行比对的图像
• 生物特征相关数据 — 面部几何信号、活体指标、相似度评分、反欺骗信号以及用于身份验证和欺诈防范的技术测量值
• 筛查和风险数据 — 制裁筛查结果、政治敏感人物(PEP)指标、负面媒体指标、欺诈信号、风险评分、监控名单匹配指标、审核备注及合规状态
• 设备和技术数据 — IP 地址、浏览器类型、设备类型、操作系统、会话信息、日志数据、时间戳、用户代理、语言偏好及安全事件数据
• 使用数据 — 浏览的页面、控制面板操作、API 使用、功能交互、工作流状态及支持互动
• 客户账户数据 — 管理员姓名、用户角色、权限、组织信息、账单相关信息及合同相关信息。

3. 我们如何收集个人数据

我们可能通过以下方式收集个人数据:

• 直接从客户、最终用户、网站访问者或业务联系人收集
• 通过使用 API 或 SDK 工具的客户集成收集
• 通过验证工作流和文件上传流程收集
• 通过控制面板、账户和支持互动收集
• 从服务提供商和基础设施系统收集
• 在客户启用的情况下,从筛查数据库、欺诈防范来源或合规数据提供商收集
• 通过 Cookie、日志、分析工具和安全监控系统自动收集。

4. 处理目的

我们可能出于以下目的处理个人数据:

• 提供身份验证和 KYC 工作流
• 验证身份证件
• 执行活体检测和生物特征比对
• 检测欺诈、欺骗、文件篡改、账户滥用和可疑活动
• 支持 AML、制裁、PEP、负面媒体和风险筛查工作流
• 生成验证结果、风险指标和审核状态
• 启用案件管理、审计跟踪、报告和合规审查
• 维护网站、控制面板、API、SDK 和服务功能
• 提供客户支持和技术援助
• 改善安全性、服务可靠性和运营性能
• 管理合同、账户、账单和客户通信
• 遵守法律义务、监管要求、法院命令和合法调查
• 执行协议、政策和可接受使用要求
• 在法律允许的情况下改善产品功能、分析和用户体验
• 保护 ASTERIA KYC、客户、最终用户及公众的权利、财产、安全和保安。

5. 处理的法律依据

根据司法管辖区和具体情况,处理可能基于:

• 合同的履行
• 同意
• 合法利益
• 遵守法律义务
• 防范欺诈和安全威胁
• 适用情况下的重大公共利益或监管合规
• 客户确定的其他合法依据。

当 ASTERIA KYC 代表客户处理数据时,客户负责确定并记录最终用户数据处理的适用法律依据。

6. 生物特征和活体检测处理

ASTERIA KYC 可能处理生物特征相关信息和活体检测信号,以帮助判断某人是否真实在场、图像或视频是否为真实、证件持有人是否与正在接受验证的人相符,以及是否存在表示攻击的指标。

生物特征和活体检测技术可能涉及面部比对、图像质量检查、反欺骗检测、运动或深度相关信号、设备相关信号和相似度评分。

客户必须确保最终用户收到法律上充分的通知,并在必要时,在生物特征相关处理发生之前提供同意。

7. 自动处理及人工审核

ASTERIA KYC 可能生成自动化评分、风险指标、匹配信号和工作流状态。这些输出旨在支持客户审核和运营决策。

在法律要求人工审核、风险水平合适或为防止不公正结果而必要的情况下,客户不应仅依赖自动化输出。客户对入职、拒绝、暂停、升级、账户关闭或交易处理的最终决定保留责任。

8. Cookie 和网站技术

我们使用 Cookie 及类似技术来运营网站、记住偏好、保障安全、分析流量和改善用户体验。更多信息请参阅《Cookie 政策》。

9. 个人数据的共享

我们可能与以下方共享个人数据:

• 提交或控制相关验证工作流的客户
• 基础设施、托管、存储和安全提供商
• 通信、支持和运营供应商
• 分析和性能监控提供商
• 在已启用的情况下,筛查、欺诈防范和合规数据提供商
• 专业顾问、审计师、保险公司或法律代表
• 法律要求情况下的监管机构、执法部门、法院、政府机关或主管当局
• 在适当保障措施下,涉及合并、收购、重组、融资或资产出售的公司交易方。

我们不出售个人信息。

10. 国际传输

个人数据可能在收集所在地以外的司法管辖区进行处理。在必要的情况下,ASTERIA KYC 及其客户负责为跨境数据传输实施适当的保障措施,例如合同保障措施、传输评估或适用法律所认可的其他机制。

11. 数据保留

我们将个人数据保留为提供服务、保障安全、防范欺诈、审计、法律合规、争议解决和合同目的所合理必要的期限。保留期限可能因数据类型、客户指示、监管要求、风险指标和运营需要而异。

当 ASTERIA KYC 处理由客户控制的数据时,保留可能受客户配置、合同条款、法律义务和《数据保留政策》管辖。

12. 安全措施

ASTERIA KYC 使用旨在保护个人数据免受未经授权的访问、丢失、误用、修改或披露的管理性、技术性和组织性保障措施。措施可能包括访问控制、加密、日志记录、监控、基于角色的权限、安全开发实践、漏洞管理和事件响应程序。

没有任何系统是完全安全的。客户还必须为其自身的系统、集成、设备、用户和凭证维护适当的安全措施。

13. 您的权利

根据适用法律,个人可能有权访问、更正、删除、限制处理、反对处理、撤回同意、请求可携性或向监管机构提出投诉。

当 ASTERIA KYC 代表客户处理最终用户数据时,请求通常应直接提交给客户,因为客户控制验证关系和处理的法律依据。

在适用协议或法律要求的情况下,我们可能协助客户响应有效的数据权利请求。

14. 儿童

ASTERIA KYC 旨在用于业务和合规用途。本服务不针对儿童。除非客户拥有有效的法律依据、必要的授权和适当的保障措施,否则客户不得提交与未成年人相关的数据。

15. 客户管理员数据

如果您是客户管理员或业务联系人,我们可能处理您的姓名、业务电子邮件、公司详细信息、职务、访问日志、支持请求和使用数据,以管理您的账户、提供支持、保障服务安全并与您沟通。

16. 营销通信

在法律允许的情况下,我们可能向您发送有关 ASTERIA KYC 服务、更新、活动或相关内容的业务通信。您可以使用退订机制或通过联系我们来选择不接收营销通信。运营、安全、法律或服务相关通信在必要时仍可能发送。

17. 本隐私政策的变更

我们可能会不时更新本隐私政策。更新版本将连同修订后的生效日期一起发布在网站上。在发布后继续使用网站或服务即表示您已确认更新后的政策。