Document & Biometric Verification Privacy Notice
Effective date: July 1, 2024
欢迎!在这里,您可以了解 Socure 公司(统称为“Socure”或“我们”)如何使用个人信息通过我们的预测性文件验证 (DocV) 解决方案为企业客户以提供身份验证和欺诈防范服务。本《文档和生物识别信息数据隐私声明》(以下称“隐私声明”)包含 DocV 如何运作,我们收集的个人信息(及来源),我们在何处存储和传输您的个人信息,我们如何使用您的个人信息,我们如何披露您的信息,我们会将您的信息保留多久,我们如何保护您的信息,信息处理的合法依据,您的数据权利,如何行使您的数据权利,以及如何联系我们等方面。
在遵从适用法律的前提下,我们可能通过在本网站上发布新版本的方式不时更新此声明。Socure 也发布了适用于我们所有产品和服务的《全球隐私声明》,如果我们的企业客户使用 DocV 和我们其他产品和服务,则《全球隐私声明》和本隐私声明均适用。(如果您不确定我们的客户使用了哪些产品,请向他们询问!)
DocV 运行原理
当您使用 DocV 时,我们会向您请求您对 Socure 的使用条款和本隐私声明的同意。如果您拒绝同意,交易将被取消,也就是说 Socure 不会收集您的个人信息。由于 Socure 是一家服务提供商,您需要联系将您发送至 DocV 的 Socure 的企业客户,讨论他们所能提供的替代方案以进行自动身份验证。如果您同意,我们会要求您提供一张或多张身份证件照片(如驾照的正反面或护照)。在初次交易或出于自拍照重新验证的目的时,我们也可能要求您提供一张自拍照。当您拍摄和提交照片时,系统可能会自动收集您的设备信息以及您与设备交互的方式,以帮助我们检测异常或可疑活动。
Socure 使用机器学习和人工智能帮助您拍摄高质量照片,并分析您提交的照片和您提交照片所使用的设备。您的照片和生物识别信息可能会通过使用面部验证(1 张照片与另 1 张照片对比)、面部识别(1 张照片与另 2 张或更多照片对比)或以上两种方式进行分析,以便 DocV 能预测与身份验证和欺诈防范相关的几个问题的答案,如:
- 照片是在提交时现场拍摄的吗?
- 提交的文件类型是什么?
- 文件是否伪造或被篡改?
- 文件中的照片是否与自拍照吻合?
- 文件中的个人信息是否能得到验证?
- 此人是否达到使用所请求商品或服务的法定年龄?
- 我们是否曾见过此人/设备?
- 此人是否按预期使用其设备?这会是机器人或黑客吗?
Socure 企业客户可自行决定:(a) 您是否以及出于何种原因被发送至 DocV ; (b) 我们代表他们收集和分析那些个人信息要素,包括我们代表他们分析哪些类型的照片或文件; (c) 有哪些可用的替代验证方式;以及 (e) 是否以及在何种情况下接受、审核或拒绝特定交易。
我们收集的个人信息(及来源)
对于 DocV,Socure 可能通过我们的企业客户或潜在客户、您的设备、您本人、数据经纪商、和/或我们的第三方服务提供商收集您的个人信息。当您使用 DocV 时,我们收集的个人信息类别及其来源相关信息如下所述。
| 个人信息接收方和披露目的 | 披露的个人信息类别 |
|---|---|
| 企业客户或潜在客户可能会收到您的个人信息,以验证您的身份,并防范欺诈行为。 | • 标识符 |
| 第三方服务提供商可能出于以下目的收到您的个人信息: (a) 代表我们完成和支持 DocV 交易;和/或 (b) 在云端存储信息。 | • 标识符 |
| 公司子公司和附属公司可能出于以下目的收到您的个人信息: (a) 完成和支持 DocV 交易;(b) 内部研究,如研究一段时间内的欺诈行为和身份趋势;(c) 进行偏见和公平性测试;和/或 (c) 培训、开发、验证和/或改进机器学习模型。 | • 标识符 |
加州居民:我们收集与上述相同的信息,这些信息可能属于《加州消费者隐私法案》(CCPA) 条例管辖的个人信息类别:《加州客户记录法令》 (Cal. Civ.Code § 1798.80(e)) 中列出的个人信息类别;互联网或其他电子网络活动信息;音频、电子、视觉、热能、嗅觉或其他类似信息;推断;以及敏感个人信息。
我们将您的个人信息存储并传输至何处
您的个人信息被存储于美国,这意味着,如果您不在美国,您的个人信息将被传输到美国。
我们如何使用您的信息
我们根据法律及客户合同使用您的个人信息,以:
- 代表我们的企业客户进行身份验证和欺诈防范服务;
- 帮助确保 DocV 的安全性和完整性;
- 识别对现有或预期 DocV 功能或性能造成损害的错误并进行修复;以及
- 进行内部研究,以开发、改进、检测或修复 DocV 或相关服务或技术。
以下是 Socure 如何在 DocV 中使用您个人信息的非详尽示例:
- 标识符(如您作为在线交易的一部分向我们的企业客户提供的信息),可以与您通过 DocV 提交给 Socure 的文件中的文本和机器可识别部分中包含的标识符对比。
- 生物识别信息,可用于向您提供实时拍摄操作说明(如“将手机远离面部”或“将手机靠近面部”),从而帮助您拍摄高质量的图像。生物识别信息还可用于比对您的自拍照和您身份证件上的照片,或用于评估我们是否曾见过您,从而提供自拍照重新验证服务。
- 受保护类别的特征,可通过产品在不同文件类型(如 X 州的驾照、Y 国/地区的签证或护照)、年龄、性别和种族/族裔方面的表现来测试 DocV 的偏见情况并支持结果的公平性。
- 设备、浏览器和网络信息,包括地理位置数据,可被用于检测交易是否从被制裁国家/地区发起,或以默认浏览器设置的语言协助您完成 DocV 交易。
- 您在会话中与设备交互的典型行为数据和推断,可能被用于异常检测(即,识别您与设备交互的非典型行为)。例如,如果您通常使用您的 iPhone 13 花费 30 秒拍摄一张照片,但某人声称是您本人,却使用安卓设备、从异常 IP 地址、仅花费几毫秒就拍摄了一张照片,这可能表明您的设备上存在异常行为。
- 照片可能被用于提取标识符、生物识别信息和受保护类别的特征。照片还可能被用于训练和测试机器学习模型,并用于维护重复欺诈行为或恶意交互行为的图像列表。
在法律允许或要求的情况下,Socure 还可能将您的个人信息用于以下用途:
- 遵守联邦、州或当地法律、法规或规章,如验证和满足数据权利请求;
- 遵守联邦、州、地方或其他政府部门的民事、刑事或监管询问、调查、传票或传唤;
- 就我们或客户合理且善意地认为可能有违联邦、州、地方或国际法律、法规或规章的行为或活动与执法机构合作;
- 调查、确立、行使、准备法律索赔或为法律索赔进行辩护;和/或
- 在我们提供 DocV 的过程中,执行与您的合理期望或与处理您的个人信息相一致的内部操作。
Socure 对生物识别信息的使用不符合美国各州健康隐私法中关于“消费者健康数据”的定义,因为这些个人信息是被用于预防、检测、防范或应对安全事件、身份盗用、欺诈、骚扰、恶意或欺骗性活动。
我们如何披露您的信息
下表描述了 Socure 可能向其披露您与 DocV 有关的个人信息的接收方、披露目的以及披露的个人信息类别。
| 个人信息接收方和披露目的 | 披露的个人信息类别 |
|---|---|
| 企业客户或潜在客户可能会收到您的个人信息,以验证您的身份,并防范欺诈行为。 | • 标识符 |
| 第三方服务提供商可能出于以下目的收到您的个人信息: (a) 代表我们完成和支持 DocV 交易;和/或 (b) 在云端存储信息。 | • 标识符 |
| 公司子公司和附属公司可能出于以下目的收到您的个人信息: (a) 完成和支持 DocV 交易;(b) 内部研究,如研究一段时间内的欺诈行为和身份趋势;(c) 进行偏见和公平性测试;和/或 (c) 培训、开发、验证和/或改进机器学习模型。 | • 标识符 |
Socure 不向第三方出售、出租或交易生物识别信息数据或其他个人数据,此外,据 Socure 所知,也不出售或共享根据适用法律的定义 16 岁以下消费者的个人信息。除《加州消费者隐私法案》第 7027(l) 条规定的目的外,Socure 不会披露敏感个人信息。
我们会将您的信息留存多久
我们发现,某些欺诈者会在一段时间内制作数百张假身份证件和自拍照。根据 Socure 对您的个人信息在身份验证和持续欺诈防范方面的前兆价值进行的分析,以下附表概述了 Socure 在 DocV 中收集和使用的个人信息的最长保留期限。
| 个人信息类别 | 保留期限 |
|---|---|
| 标识符 | 自收集后不超过 7 年 |
| 生物识别信息 | 自您最后一次与 Socure 互动起,不超过 3 年 |
| 受保护类别的特征 | 自您最后一次与 Socure 互动起,不超过 3 年 |
| 设备、浏览器和网络信息,包括地理位置数据 | 自收集后不超过 7 年 |
| 您在会话中与设备交互的典型行为数据和推断 | 自收集后不超过 7 年 |
| 照片 | 自您最后一次与 Socure 互动起,不超过 3 年 |
如果法律或合同要求删除您的个人数据,或如果收集该信息的目的已失效,则您的个人信息保留期限可能短于上述时限。
关于数据权利请求的特别告示:在您行使数据权利请求时,用于验证您的身份的个人数据将在验证后的 7 天内删除,我们将根据适用法律,保存您要求行使数据权利的记录以及我们履行义务的记录。
我们如何保护您的信息
Socure 根据适用法律,使用商业上合理的物理、电子和程序保障措施来保护信息免遭丢失、盗用、滥用、未经授权的访问、披露、篡改和破坏,同时,我们要求客户和第三方提供商也这样做。生物识别信息与其他敏感个人信息一样受到严格的隐私和安全保护。这包括传输和静态加密、严格的访问控制、数据最小化和数据管理程序。Socure 会定期对数据保护实践进行审查,并获得了 ISO 27001 和 SOC 2 Type 2 认证。话虽如此,从根本上而言,我们无法保证任何保障或安全措施能足以防止安全事故的发生。
您的数据权利
通常而言,您有权向相关监管机构提出申诉或投诉,并有权在行使权利时不受歧视。此外,根据您的居住地,您可能享有以下一项或多项有关 DocV 的数据权利:
- 了解/被告知我们所掌握的关于您的个人信息或个人信息类别的权利。
- 获取我们所掌握的您的个人信息副本的权利。
- 更正/纠正我们所掌握的关于您的不准确个人信息的权利。
- 删除/擦除您的个人信息的权利。
- 选择退出/反对某些处理的权利,如某些类型的资料搜集。
- 限制处理的权利,如果您符合某些有限的适用情形。
- 随时免费撤回同意的权利。任何此类撤回仅适用于未来场景,不会影响之前根据您事先以自由意志同意进行的处理。
- 在收到初步决定后的一段合理时间内,对拒绝受理申请的决定提出申诉的权利。
任何撤回同意仅适用于未来处理场景,不会影响之前根据您事先以自由意志明确同意进行的处理。数据可移植性权利不适用于 Socure,但我们会尽合理努力为您提供结构化、常用且机器可识别格式的信息,以回应您的访问请求。
如何行使您的数据权利
如需行使您与特定 DocV 交易相关的数据权利,请向将您发送至 Socure 的 Socure 企业客户提交请求,以便对方将请求转交给作为其服务提供商的我们。没有客户的书面指示,我们无法处理客户的业务数据。
如需行使与 Socure 数据供应商数据相关的权利,请填写我们的数据权利表格。由于世界各地的数据权利不断变化,该表格列出了各种数据权利,根据您的居住地,您可能享有也可能不享有这些权利。请记住,如果法律向您赋予您试图行使的权利,我们可能无法满足您的请求。
可验证的数据保护权利请求:在适用或需要的情况下,Socure 将使用商业上合理的方法确认您提交了可验证的请求。这意味着我们可能需要请您提供更多信息,验证您的身份,并留存您的部分个人信息,以证明我们满足了您的请求。
授权代理: 在法律允许的情况下,您也可以通过上方链接的 Socure 数据权利表格,指定授权代理代表您提出数据权利请求,但必须经过适当的验证并满足其他适用的法律要求。 您的授权代理需要提供文件,证明代理有权代表您提出请求。 我们也可能要求您直接向我们核实身份并确认请求。
处理的合法依据(非美国居民)
加拿大居民:您的个人信息将在您明确同意的情况下进行处理。
英国或欧洲经济区居民: (a) 您的生物识别信息在您明确同意的前提下进行处理;(b) 您的种族或民族起源数据是出于重大公共利益原因进行处理;以及 (c) 您的其他个人信息是出于合法利益(如欺诈防范等)之目的进行处理。为评估和满足数据权利要求而处理的个人信息是为了履行法律义务。当以合法权益为依据时,Source 会考量您因与我们企业客户的关系而产生的合理期望,并平衡此类期望与 Socure 支持企业客户对于身份验证的请求的需求,以及预防、检测、保护、防御或应对安全事件、身份盗用、欺诈、骚扰、恶意、欺骗或非法活动的需求。
数据隐私框架(仅限英国、欧洲经济区和瑞士)
Socure 遵守美国商务部制定的《欧美数据隐私框架》(EU-U.S. DPF)、《欧美数据隐私框架英国扩展》和《瑞士-美国数据隐私框架》(Swiss-U.S. DPF)。Socure 已向美国商务部证明,在处理根据《欧美数据隐私框架》原则从欧盟收到的个人信息以及根据《欧美数据隐私框架英国扩展条款》从英国(和直布罗陀)收到的个人信息时,Socure 遵守了《欧美数据隐私框架》原则。 Socure 已向美国商务部证明,在处理根据《瑞士-美国数据隐私框架》原则从瑞士收到的个人信息时,Socure 遵守了《瑞士-美国数据隐私框架》原则。Socure 受联邦贸易委员会的调查和执法权制约。
根据数据隐私框架,欧盟、英国和瑞士的个人有权要求我们确认我们是否在美国保留了与您有关的个人信息。一经请求,我们将向您提供我们所掌握的您的个人信息。您也可以更正、修改或删除我们所掌握的您的个人信息。根据数据隐私框架要求访问或要求更正、修改或删除传输至美国的不准确数据的个人,应通过此表格提交请求。如被请求删除数据,我们会在合理时间范围内作出回应。
在与代理机构之外的第三方分享您的数据之前,或在我们将您的数据用于最初收集目的或收集后得到授权的用途之外之前,我们将提供个人退出选项或敏感数据加入选项。如需限制使用和披露您的个人信息,请通过此表格提交书面申请。
在某些情况下,我们可能需要应公共机构的合法要求(包括满足国家安全或执法要求)披露个人数据。
Socure 根据《数据隐私框架》在美国接收并随后传输给第三方的个人数据的责任在《数据隐私框架原则》中有所描述。特别是,根据《数据隐私框架原则》,如果 Socure 聘请的代表其处理个人数据的第三方代理以不符合原则的方式处理个人数据,Socure 仍将承担责任,除非 Socure 能证明其对造成损害的事件不承担责任。
根据《欧美数据隐私框架》、《欧美数据隐私框架英国扩展》和《瑞士-美国数据隐私框架》原则,有关您的隐私和我们根据《欧美数据隐私框架》、《欧美数据隐私框架英国扩展》和《瑞士-美国数据隐私框架》原则传输至美国从而收集或使用您的个人信息的投诉,Socure 承诺将进行解决。欧盟、英国和瑞士的个人如需咨询或投诉,请先通过 privacy@socure.com 与 Socure 联系。
Socure 还进一步承诺,将《欧美数据隐私框架》计划下为解决的隐私投诉提交至独立的争议解决机制,即由美国自律商业促进组织 (BBB National Programs) 运营的数据隐私框架服务进行处理。如果您未及时收到投诉确认,或者如果您的投诉未能得到满意的处理,请访问此网站以了解更多信息和/或提交投诉。我们将向您免费提供此项服务。
如果您的欧美数据隐私框架投诉无法通过上述渠道得以解决,在某些情况下,您可以就其他补救机制未能解决的剩余索取权发起强制仲裁。点此了解更多信息。
如果本隐私声明及《欧美数据隐私框架》原则和/或《瑞士-美国数据隐私框架》原则存在任何冲突,应以相关原则为准。 如需了解有关《欧美数据隐私框架》计划的更多信息,请访问此网站。您可以在此核实 Socure 的参与情况。
联系我们
请勿将您的身份证件、自拍照或其他个人信息通过电子邮件发送给我们。如果您提交文件时遇到问题,或需要有人协助您排除故障或了解特定交易的结果,请联系让您使用我们服务的 Socure 企业客户。
如需联系包括 Source 数据保护官 (DPO) 在内的 Socure 隐私团队,您可以发送电子邮件至 privacy@socure.com 或致电 1-888-690-3709。我们的 DPO 由 Socure 的法律总顾问兼副总裁 Aviad Levin-Gur 担任。
根据《通用数据保护条例》 (GDPR) 第 27 条的规定,Socure 已指定欧洲数据保护办公室 (EDPO) 为其在欧盟的 GDPR 代表。就 GDPR 的相关事宜,您可以通过以下方式联系 EDPO: (1) 使用 EDPO 的在线申请表;或 (2) 致函 EDPO,通讯地址为:Avenue Huart Hamoir 71, 1030 Brussels, Belgium。
根据《通用数据保护条例》 (GDPR) 第 27 条的规定,Socure 已指定EDPO UK Ltd 为其在英国的 GDPR 代表。就英国 GDPR 的相关事宜,您可以通过以下方式联系 EDPO UK: (1) 使用 EDPO 的在线申请表;或 (2) 致函 EDPO UK,通讯地址为:8 Northumberland Avenue, London WC2N 5BY, United Kingdom。
Socure is the leading platform for digital identity verification and trust.
Its predictive analytics platform applies artificial intelligence and machine learning technology with trusted online/offline data intelligence from email, phone address, IP, device, velocity, and the broader internet to verify identities in real time.
885 Tahoe Blvd., Suite 1, Incline Village, Nevada 89451, US
