Document & Biometric Verification Privacy Notice
Effective date: July 1, 2024
歡迎!此處可以了解 Socure Inc. (以下簡稱「Socure」、「我們」或「我們的」)如何透過預測證件驗證 (「DocV」)解決方案,使用個人資訊協助企業客戶進行身份驗證並防止欺詐。此證件及生物識別資訊驗證隱私通知(「隱私通知」)說明了DocV 的運作方式、我們收集的個人資訊(及其來源)、我們儲存和轉移您個人資訊的地方、我們如何使用您的資訊、我們如何披露您的資訊、您的資訊我們會保留多久、我們如何保護您的資訊、我們處理個人資訊之合法基礎、您的資料權、如何行使您的您的資料權,以及如何聯絡我們。
依據適用法律,我們可能會不時更新此通知,並在本網站上發布新版本。Socure 也維護適用於我們所有產品與服務的全球隱私聲明。如果我們的企業客戶使用 DocV 和我們的其他產品與服務,則全球隱私聲明和此隱私通知均適用。(如果您不確定我們的客戶使用哪些產品,請向他們詢問!)
DocV 的運作方式
當您使用 DocV 時,我們會要求您同意使用 Socure 的使用條款和此隱私通知。如果您拒絕同意,交易將被取消,這代表 Socure 將不會從收集您的個人資訊。由於 Socure 是服務提供商,您需要聯絡將您引導至 DocV 的 Socure 企業客戶,與他們討論是否有自動身份驗證的替代方案。如果您同意,您將需提交提交一張或多張身份證明文件的照片(例如,駕照正反面或護照)。我們可能會因初次交易或其他目的,要求您提交自拍照。在您拍攝並提交照片時,系統可能會自動收集關於您裝置及您與裝置互動的相關資訊,以協助我們偵測異常或可疑活動。
Socure 使用機器學習和人工智慧來幫助您拍攝高品質的照片,並分析您提交的照片以及用於提交照片的裝置。您的照片和生物識別資訊 可能會通過臉部驗證(1 張照片與另 1 張照片進行比對)、臉部識別(1 張照片與 2 張或多張照片進行比對),或者兩種方法均使用來進行分析。讓 DocV 預測與身份驗證和反欺詐相關問題的答案,例如:
- 照片是在提交時即時拍攝的嗎?
- 提交了哪種類型的證件?
- 此證件是偽造的或者被篡改過嗎?
- 證件上的照片和自拍照片是否相符?
- 證件上的個人資訊可以被驗證嗎?
- 此人是否達到法定年齡來使用所要求的商品或服務?
- 我們是否見過這個人和/或這台裝置?
- 這個人使用他們的裝置的方式是否如預期?這個人可能是機器人或駭客嗎?
以下為僅限 Socure 的企業客戶才能做出的決定:(a) 您被是否引導到 DocV 的及其原因; (b) 我們將代表他們收集和分析哪些個人資訊元素,包括分析哪些類型的照片或證件; (c) 可用的替代驗證方法; (e) 是否以及在什麼情況下接受、審核或拒絕特定交易。
我們收集的個人資訊(及其來源)
以 DocV 而言,Socure 可能從我們的企業客戶或潛在客戶、您的裝置、您本人、資料經紀人,以及/或我們的第三方服務提供商收集關於您的個人資訊。當您與 DocV 互動時,我們收集的個人資訊類別,包含相關的資訊來源如下所述。
| 個人資訊接收方及披露目的 | 個人資訊類別 |
|---|---|
| 企業客戶或潛在客戶可能會接收到您的個人資訊,用於驗證您的身份和防止欺詐。 | • 識別碼 |
| 第三方服務提供商可能會收到您的個人資訊,用於以下目的: (a) 代表我們完成和協助 DocV 交易;和/或 (b) 在雲端儲存資訊。 | • 識別碼 |
| 企業子公司和附屬公司可能會收到您的個人資訊,用於以下目的: (a) 完成和協助 DocV 交易; (b) 內部研究,例如持續研究欺詐和身份趨勢; (c) 執行偏見和公平性測試;以及/或者 (d) 機器學習模型的培訓、開發、驗證和/或改善。 | • 識別碼 |
加州居民:我們也會為您收集上述相同的資訊,此資訊也可能屬於以下加州消費者隱私法 (CCPA) 的個人資訊類別:加州客戶記錄法(Cal. Civ. Code § 1798.80(e)條)列出的個人資訊類別;網路或其他電子網路活動資訊;音訊、電子、視覺、熱感、嗅覺及類似資訊;推論資訊;以及敏感個人資訊。
我們儲存和轉移您個人資訊的地方
您的個人資訊將儲存於美國,代表如果您的位置若不在美國,則您的個人資訊將被轉移到美國。
我們如何使用您的資訊
我們將根據法律和客戶合約使用您的個人資訊,以便:
- 代表我們的企業客戶執行身份驗證和防欺詐服務;
- 幫助確保 DocV 的安全性和完整性;
- 辨識並修復影響現有或預期 DocV 功能或性能的錯誤;
- 以及進行內部研究以開發、改進、測試或修復 DocV 或相關服務或技術。
以下是一些非全面列舉的例子,說明 Socure 在 DocV 相關過程中如何使用您的個人資訊:
- 識別碼就如同您提供給我們企業客戶的資訊一樣,為線上交易的一部份,可以與您透過 DocV 提交給 Socure 的證件內容和可機讀組件中的識別碼進行比較。
- 生物識別資訊可能會用於提供即時拍攝指示來幫助您拍攝高品質的圖像,例如「將手機從您的臉部拿遠 」或「將手機靠近您的臉 」。生物識別資訊可以用於將您的自拍與您身份證件上的照片進行比較,或者透過評估我們是否之前見過您,為我們的企業客戶提供自拍重新驗證服務。
- 受法律保護的特質類型用於測試 DocV 的偏見,並透過跨文件類型(例如來自 X 州的駕照,來自 Y 國家的簽證或護照)、年齡、性別和種族/族裔來支持結果的公平性,以測式產品性能。
- 裝置、瀏覽器和網路資訊,包括地理位置資料可能會用於檢測交易是否從受制裁的國家進行,或者幫助您在您預設瀏覽器設置的語言中完成 DocV 交易。
- 您在工作階段中與裝置互動的行為資料和推論資訊可能會用於檢測異常(即識別出不符合您通常與設備互動方式的行為)。例如,如果您通常使用 iPhone 13,而您拍攝照片時需要 30 秒,但有人冒充您,使用 Android 設備以及非典型的 IP 地址,以數毫秒的時間拍攝照片,這可能代表您的裝置出現異常行為。
- 照片 可能被用於提取識別碼、生物識別資訊,以及受法律保護的特質類型。照片也可以用於訓練和測試機器學習模型,以及維護重複的欺詐或惡意互動中使用的圖像列表。
在法律允許或要求的情況下,Socure 還可能使用您的個人資訊來:
- 遵守聯邦、州或地方的法律、規則或法規,例如驗證和履行資料權請求;
- 遵從聯邦、州、地方或其他政府機構的民事、刑事或監管調查、傳票或傳訊;
- 配合執法機關處理我們或我們客戶合理且善意認為可能違反聯邦、州或地方法律、規則或法規的行為或活動;
- 調查、確立、行使、準備或辯護法律索賠;和/或
- 在符合您的合理預期,也與我們提供 DocV 服務的目的一致的前提下,使用您的個人資訊執行內部營運。
Socure 使用生物識別資訊的方式不符合美國州級健康隱私法中對「消費者健康資料」的定義,這是因為個人資訊用於防止、檢測、保護,或者回應安全事件、身份盜竊、欺詐、騷擾、惡意或欺騙活動。
我們如何披露您的資訊
以下表格說明了 Socure 可能向哪些接收者披露您與 DocV 相關的的個人資訊、披露的目的以及披露的個人資訊類別。
| 個人資訊接收方及披露目的 | 個人資訊類別 |
|---|---|
| 企業客戶或潛在客戶可能會接收到您的個人資訊,用於驗證您的身份和防止欺詐。 | • 識別碼 |
| 第三方服務提供商可能會收到您的個人資訊,用於以下目的: (a) 代表我們完成和協助 DocV 交易;和/或 (b) 在雲端儲存資訊。 | • 識別碼 |
| 企業子公司和附屬公司可能會收到您的個人資訊,用於以下目的: (a) 完成和協助 DocV 交易; (b) 內部研究,例如持續研究欺詐和身份趨勢; (c) 執行偏見和公平性測試;以及/或者 (d) 機器學習模型的培訓、開發、驗證和/或改善。 | • 識別碼 |
Socure 不會出售、租賃或交易生物識別資料或其他個人資訊給第三方,另根據適用法律的定義,Socure 未實際知悉其是否出售或分享未滿 16 歲消費者的個人資訊。Socure 不會將敏感個人資訊用於除了加州消費者隱私保護法第 7027(l) 條規定之外的其他目的。
您的資訊我們會保留多久
我們發現有些詐騙者會建立數百個假的身份證件和自拍照片。根據 Socure 針對您個人資訊在身份驗證和持續防欺詐中的預測價值所進行的分析,以下時間表概述了 Socure 在 DocV 中收集和使用的個人資訊的最長保留期。
| 個人資訊類別 | 保留期 |
|---|---|
| 識別碼 | 自資訊收集日起,不超過 7 年 |
| 生物識別資訊 | 自您上次與 Socure 互動起,不超過 3 年 |
| 受法律保護的特質類型 | 自您上次與 Socure 互動起,不超過 3 年 |
| 裝置、瀏覽器和網路資訊,包括地理位置數據 | 自資訊收集日起,不超過 7 年 |
| 您在工作階段中與裝置互動的行為數據和推論資訊 | 自資訊收集日起,不超過 7 年 |
| 照片 | 自您上次與 Socure 互動起,不超過 3 年 |
如果法律或合約要求刪除,或者收集該資訊的目的已消失,您的個人資訊被保留的時間可能比上述時間更短。
資料權請求的特別通知:在行使資料權請求時,用於驗證您身份的個人資訊將在驗證後 7 天內刪除。依據適用法律,您行使資料權的請求以及我們遵循履行義務的紀錄將被保留。
我們如何保護您的資訊
Socure 依據適用法律,使用適當的實體、電子和行政安全措施,以保護個人資訊免於遺失、盜竊、誤用,或未經授權存取、揭露、更改或銷毀您提供的資訊,並要求我們的客戶也做同樣做到這一點。生物識別資訊與其他敏感個人資訊同樣收到嚴格的隱私和安全保護。這包括傳輸中加密和靜態加密、嚴格的存取控制、資料最小化和資料治理程序。Socure 的資料保護實踐會定期接受審查,我們持有 ISO 27001 和 SOC 2 Type 2 認證。儘管如此,我們沒有辦法保證任何保護或安全措施足以防止安全事件的發生。
您的資料權
一般而言,您有權向相關監管機構提交投訴,並且於行使您的權利時不得受到歧視。此外,根據您的居住地,您可能享有以下一個或多個與 DocV 相關的資料權:
- 有權了解 / 被告知我們持有與您有關的的個人資訊或個人資訊類別。
- 有權要求存取我們持有的有關您的個人資料的副本。
- 有權更正 / 糾正我們持有關於您的錯誤資訊。
- 有權刪除 / 消除關於您的個人資訊。
- 有權選擇退出 / 反對某些資料處理方式,例如某些類型的個人檔案製作。
- 在符合某些有限適用情況的情況下,有限制處理權。
- 有權隨時免費撤銷同意。任何此類撤銷僅適用於將來,並不影響根據您先前給予的同意所進行的處理。
- 在您收到初步決定後的合理時間內,有權對拒絕採取行動的決定提出上訴。
任何同意的撤銷僅適用於未來的資訊處理,不影響基於您先前自願提供的明確同意之下進行的資訊處理。資料可攜性權利不適用於 Socure,但我們會盡力以結構化、常用且可機讀的格式,回應您的存取請求並提供相關資訊。
如何行使您的您的資料權
若要行使與特定 DocV 交易相關的資料權,請將您的請求提交給將您引導到 Socure 的企業客戶,他們將會將請求轉交給作為其服務提供商的 Socure。未經我們企業客戶的書面指示,我們無法處理其資料。
若要行使與 Socure 的資料供應商資料相關權利,請填寫我們的資料權表格。因為全球各地的資料權法規不斷變化,此表格列出了各種可能與您的居住地有關的資料權,您可能會或者可能不會享有這些權利。提醒您,如果法律不賦予您試圖行使的權利,我們可能無法滿足您的請求。
可驗證的資料保護權利請求:Socure 將在適用或必要的情況下,使用商業上合理的方法來確認您提交了可驗證的請求。這代表我們可能向您要求額外的資訊,使用服務驗證您的身份,並保存部分您的個人資訊以證明我們遵守了您的要求。
授權代理人: 在法律允許的情況下,您可以指定一位授權代理人代表您提出請求,但須經過適當驗證和符合其他適用法律要求。 您的授權代理人需要提供文件,以證明代理人有權限代表您提出請求。 我們也可能要求您直接與我們驗證您的身份並確認該請求。
處理個人資訊之合法基礎(非美國居民)
加拿大居民:您的個人資訊是在您明確同意下進行處理的。
英國或歐洲經濟區居民: (a) 處理您的生物識別資訊時,務必先取得您明確同意; (b) 您的種族或族裔起源資料處理,係出於重大公共利益的原因; (c) 您的其餘個人資訊的處理,係出於合法利益,如防止欺詐等目的進行。為了評估和履行資料權利請求的個人資訊處理,則是為了遵守法律義務。Socure 仰賴合法利益營運,我們會考量您基於與我們企業客戶之間關係的合理期望,並將其與 Socure 協助企業客戶驗證身份、評估風險以及預防、檢測、保護或防禦、或回應安全事件、身份盜竊、欺詐、騷擾、惡意、欺騙或非法活動的需求進行平衡。
美國資料隱私架構(僅適用於英國、歐洲經濟區和瑞士)
Socure 遵守美國商務部制定的《歐盟-美國資料隱私架構》(EU-U.S. Data Privacy Framework,《歐盟-美國 DPF》)、《英國延伸版歐盟-美國 DPF》(UK Extension to the EU-U.S. DPF) 和《瑞士-美國資料隱私架構》(Swiss-U.S. Data Privacy Framework,《瑞士-美國 DPF》)。Socure 已向美國商務部證明其遵守《歐盟-美國資料隱私架構原則》(EU-U.S. Data Privacy Framework Principles),《歐盟-美國 DPF 原則》)依據《歐盟-美國 DPF》處理來自歐盟的個人資料,以及依據《英國延伸版歐盟-美國 DPF》處理來自英國(和直布羅陀)的個人資料。 Socure 已向美國商務部證明其遵守《瑞士-美國資料隱私架構原則》(Swiss-U.S. Data Privacy Framework Principles,《瑞士-美國 DPF 原則》),依據《瑞士-美國 DPF》處理自瑞士接收的個人資料。Socure 受到美國聯邦貿易委員會的調查和執行權力約束。
歐盟和英國人士及瑞士人士,有權向我們確認我們是否於美國保留與您相關的個人資訊。根據您的要求,我們將向您提供我們持有的有關您的個人資訊的存取權。您也可以更正、修正或刪除我們持有的有關您的個人資訊。若根據資料隱私架構轉移到美國的資料不準確,並希望存取、更正、修正或刪除,應通過此表單提交請求。若提出刪除資料之要求,我們將在合理的時間內做出回應。
在我們與代理商以外的第三方分享您的資料之前,或在我們您的資料用於原始收集或隨後授權的目的以外的其他目的之前,我們將提供個人是否退出,或加入敏感資料的選擇。若要請求限制使用和披露您的個人資訊,請透過此表格提交書面請求。
在某些情況下,我們可能會根據公權力的合法請求,包括滿足國家安全或執法要求的需要,而披露個人資料。
《資料隱私架構原則》內針對 Socure 對其在美國接收並隨後轉移給第三方的個人資料之責任有相關描述。特別是,如果 Socure 委託的第三方代理商在處理其個人資料時未按照原則的方式進行,則 Socure 仍然將根據資料隱私架構原則負責並承擔責任,除非 Socure 證明其對於導致損害的事件不負責任。
依照《歐盟-美國 DPF》和《英國延伸版歐盟-美國 DPF》和《瑞士-美國 DPF》,Socure 致力於解決與我們收集和使用您的個人資訊有關的《歐盟-美國 DPF》和《英國延伸版歐盟-美國 DPF》和《瑞士-美國 DPF》相關投訴。歐盟、英國和瑞士人士如有疑問或投訴,應首先聯絡 Socure,電子郵件地址為 privacy@socure.com。
Socure 進一步承諾,《資料隱私架構》(DPF) 計畫未能解決的隱私投訴,將轉移至獨立的爭議解決機制,即由 BBB National Programs 營運的資料隱私架構服務。如果您未收到及時的投訴確認,或者如果您的投訴未得到滿意解決,請造訪此網站以取得更多資訊和 / 或提交投訴。此服務向您免費提供。
如果您的《歐盟-美國 DPF》投訴無法通過上述渠道解決,在某些條件下,您可以針對其他機制未能解決的剩餘索賠提起具有約束力的仲裁。按此查看更多資訊。
若本隱私權政策的條款與《歐盟-美國 DPF 原則》及/或《瑞士-美國 DPF 原則》相牴觸,則應以相關原則為準。 若要深入瞭解《資料隱私架構》(DPF) 計畫,請造訪此網站。您可按此驗證 Socure 的參與狀況。
如何聯絡我們
請勿透過電子郵件向我們發送您的身份證明文件、自拍照片或其他個人資訊。如果您在提交文件時遇到問題,或需要幫助進行故障排除或理解特定交易的結果,請連絡將您引導至 Socure 的企業客戶。
若要聯繫 Socure 的隱私團隊,包括我們的資料保護長,您可以發送電子郵件至 privacy@socure.com 或者致電 1-888-690-3709。 我們的資料保護官是 Socure 的總法律顧問兼法律副總裁 Aviad Levin-Gur。
根據《一般資料保護規則》(GDPR)第 27 條的規定,Socure 已經指派歐洲資料保護辦公室(EDPO) 作為其在歐盟的 GDPR 代表。您可以就 EDPR 相關的事宜聯繫 EDPO:(1) 使用 EDPO 的線上申請表;或 (2) 寫信至EDPO,地址:Avenue Huart Hamoir 71, 1030 Brussels, Belgium。
根據《英國一般資料保護規則》(UK GDPR) 第 27 條的規定,Socure 已經指派 EDPO UK Ltd 作為其在英國 GDPR 代表。您可以就英國 GDPR 相關的事宜聯繫 EDPO UK:(1) 使用 EDPO 的線上申請表;或 (2) 寫信至EDPO UK,地址:8 Northumberland Avenue, London WC2N 5BY, United Kingdom。
Socure is the leading platform for digital identity verification and trust.
Its predictive analytics platform applies artificial intelligence and machine learning technology with trusted online/offline data intelligence from email, phone address, IP, device, velocity, and the broader internet to verify identities in real time.
885 Tahoe Blvd., Suite 1, Incline Village, Nevada 89451, US
