海航

隐私条款
您所在的位置:
首页隐私条款

隐私条款

1. 引言

    本项政策提供了有关以下各方面的重要信息:
    1.1.1 海南航空控股股份有限公司(下称“本公司”、“我们”、“我司”或者“我们的”)必须遵守的数据保护原则;
    1.1.2 个人信息(或数据)以及敏感个人信息(或数据)的含义;
    1.1.3 我们是如何依据《一般数据保护条例》(EU) 2016/679 ("GDPR") 等其他国家、地区相关法律法规要求中的数据保护原则来收集和使用个人信息以及敏感个人信息的;
    1.1.4 数据主体与数据保护有关享有的权利和承担的义务。
    1.2 本项政策适用于本公司自行或委托他方收集的所有个人信息,其中可包括有关本公司客户、潜在客户、网站用户和求职者的个人信息。本项政策可通过多种方式向您提供,包括通过访问本公司的任何网站、使用本公司推出的任何一种移动应用程序、打电话或在本公司任何一家实体门店与服务人员面对面沟通。
    1.3 我们将在必要的情况下或依据我们承担的数据保护义务,对本项政策进行审查和更新。
    1.4 本公司可为多个特定的合法目的而取得、保存并使用有关其客户、潜在客户、网站用户和求职者的个人信息(也称为“个人数据”)。
    1.5 本项政策对我司具体如何履行我们承担的数据保护义务,以及采取何种措施来保护个人信息作出了规定。起草本项政策的另一个目的是为确保我们的员工了解并遵守适用于收集、使用和删除其在履行工作职责的过程中可能接触到的个人信息的相关规则。
    1.6 我们承诺将遵守我们所承担的数据保护义务,并对我们如何取得并使用个人信息,以及当不再需要时我们如何(以及何时)删除该等数据保持简明、清晰和透明的态度。
    1.7 本公司的数据保障负责人(或称“数据保护主管”)对处理有关保护您个人信息的各方面事宜承担总体责任,并负责协助本公司监控内部合规情况、就本公司承担的数据保护义务提供信息和建议、以及作为本公司与您和任何监管机构之间的联系人。您对本项政策的内容有任何问题或意见,或需要了解更多信息的,请与下列人员联系:
    1.7.1 本公司的数据保障负责人:[HNA-DPO@hnair.com];
    1.7.2 本公司的欧盟代表:[HNA-DPO@hnair.com]。

2. 定义

    “犯罪记录信息” 指涉及刑事定罪和犯罪、指控、法律程序和相关安保措施的个人信息;
    “数据违规”或
    “数据泄露”
    指违反安保措施,导致个人信息被意外或非法损毁、丢失、更改、未经授权地披露或获取的情形;
    “数据主体” 指个人信息所涉及的个人;
    “个人信息”或
    “个人数据”
    指与某一个人相关的、从中可(直接或间接)识别此人身份的信息;
    “处理” 指获取、记录、组织、储存、修改、检索、披露及/或销毁信息、使用信息或利用信息实施任何一种行为;
    “假名化” 指对个人信息采取的一种处理方式,经处理后,不利用额外信息将无法识别相关个人的身份,而上述额外信息被单独存放,受制于技术和组织管理手段,以确保有关的个人信息无法与一名可识别的个人相关联;
    “敏感个人信息” (也称作“特殊类别个人数据”或“敏感个人数据”)指有关个人的人种、种族、政治倾向、宗教或哲学信仰、工会会员(或非会员)的个人信息、遗传信息、(用于识别个人身份的)生物信息以及有关个人健康、性生活或性取向方面的信息;
    “网站” 指本公司拥有或运营的任何一个网站。

3. 数据保护原则

    3.1 在处理个人信息时,本公司将遵守下列数据保护原则:
    3.1.1 我们将以合法、公平和透明的方式来处理个人信息;
    3.1.2 我们仅为指定、明确及合法的目的收集个人信息,不会以和该等合法目的不相符的方式来处理个人信息;
    3.1.3 我们仅在针对相关目的而言适当、有关及必要的情况下才会处理个人信息;
    3.1.4 我们将保持个人信息的准确和更新,并采取合理行动确保及时删除或更正不准确的个人信息;
    3.1.5 我们将以恰当的形式来保存个人信息,确保就识别数据主体之身份而言,信息的保存时间不长于处理信息之目的所需;
    3.1.6 我们将采取适当的技术和组织管理手段,以确保个人信息的安全,并保障信息不会受到未经授权或非法的处理,或遭受意外丢失、损毁或破坏。

4. 隐私通知

    4.1 本公司可能不时对本项政策作出补充,告知您有关本公司收集和持有的有关您的个人信息,以及本公司将会以何种方式以及为何种目的使用您的个人信息。
    4.2 我们将采取适当措施以简洁、透明、易于理解和阅读的形式,并采用清晰直白的语言通过隐私通知向您传达信息。
    4.3 何时收集个人信息
    4.3.1 我们在开展日常经营活动或履行日常职责所需时收集个人信息。
    4.3.2 以下列举了一些我们收集个人信息的情形:
    (a) 当您在本公司网站、应用程序或柜台注册账户时;
    (b) 当您(通过电话、亲自、通过邮件、表格,或通过本公司网站或任何其他方式)针对本公司产品、服务及/或设施填写采购订单、书面要求或申请时;
    (c) 当您(通过电话、亲自、通过邮件、表格,或通过本公司网站或任何其他方式)就与本公司产品、服务及/或设施有关的问题直接与我们沟通时;
    (d) 当您使用我们通过本公司网站或实体门店提供的服务及/或设施时;
    (e) 当您实施某一类交易(如购票、兑换机票、购买积分、退款)时;
    (f) 当您参加我们组织的任何一项促销、比赛、竞赛、抽奖或特别活动,并在活动期间与我们进行互动时;
    (g) 当您注册参与我们组织的任何一个会员项目时;
    (h) 当您参与我们发起的意见调查及其他类型的调研时;
    (i) 当您向本公司提出就职申请时。
    4.3.3 未经父母或监护人事先许可,我们不会向未成年人(根据适用法律)收集其个人信息。如果您认为我们在未经父母或监护人事先许可的情况下不慎收集了未成年人(根据适用法律)的个人信息,请立即通过本项政策第1.7条下所述的联系方式与本公司的数据保障负责人联系,从而确保将相关的个人信息删除。如果您是未成年人(根据适用法律),请不要通过任何方式向本公司提供您的个人信息,除非您已事先取得您父母或监护人的许可。
    4.4 何种个人信息将被收集
    4.4.1 除非指明是强制性要求,否则提供您的个人信息均是自愿性质的。如果您不向我们提供我们强制要求您提供的信息,我们可能无法向您提供所要求的产品及/或服务。
    4.4.2 我们可能收集的个人信息的种类包括:
    (a) 联络信息,例如姓名、地址、电话号码、电子邮箱地址、收货地址、用户名;
    (b) 收费信息,例如账单地址、银行卡信息和信用卡信息;
    (c) 独特信息,例如国籍、证件信息(包括但不限于身份证号码、护照号码、照片和出生日期)、职业职务、健康状况、餐食偏好;
    (d) 偏好接受的联系方式和营销资料;
    (e) 您在本公司的会员资料;
    (f) 您访问本公司网站的详情,例如流量数据、地点数据以及您进入本公司网站所访问的资源;
    (g) 您网上标识符的详情,例如IP地址、cookie标识符或诸如射频识别标签等其他标识符;
    (h) 您在本公司的交易记录;
    (i) 如果您是求职者,您在招聘过程中向我们提供的任何个人信息,包括您提交给本公司的简历和入职申请表中包含的个人详情。该等个人信息可能包括您的工作经历和就业权信息。
    4.4.3 在特定情况下,您可能向我们提供涉及第三方(比如,您的指定金鹏受益人、直系亲属、旅伴或者(若您是求职者)您的推荐人)的个人信息。在此情况下,您被视为已向本公司声明并确认,您已取得该等第三方的同意,向本公司提供其个人信息并且本公司可按照本项政策规定的方式处理该等信息。
    4.5 收集、使用和处理个人信息的目的
    4.5.1 取决于当下的情形以及您的同意,我们向您收集的个人信息可能是为各种目的而采集、使用、披露及/或处理,包括(举例而言):
    (a) 评估、处理和提供您要求的本公司的产品、服务及/或设施。包括但不限于:
    ●销售机票、机票加酒店、机上商品等
    ●向您发送产品或服务的预订确认
    ●为您提供与航班相关服务,例如值机、餐食、选座、行李服务、中转住宿、不正常航班保障、特殊旅客服务等
    ●在您的旅途中提供与产品或服务相关的通知与提示,例如登机口提示、行李转盘提示等
    (b) 向您提供您所要求的任何协助。包括但不限于:
    ●您授权我们进行相关的查询或者信息确认操作
    ●解答您的疑问咨询
    ●协助您进行交易操作
    ●为您提供技术援助
    (c) 维护并提升您与本公司之间的客户关系。包括但不限于:
    ●邀请您加入金鹏俱乐部
    ●邀请您参与形式多样的满意度调研
    (d) 确定您的身份。包括但不限于:
    ●在值机、登机、行李检查等环节要求您出示相关证件
    ●向您告知网络账号的登录行为
    ●在办理会员业务时要求您提供相关证件
    (e) 管理并处理与您要求的产品、服务及/或设施或其他商业交易有关的任何付款(包括退款)。包括但不限于:
    ●进行订单支付
    ●处理您提出的退款要求
    ●履行我们的补偿义务
    (f) 对与你我之间的任何交易有关您所提出的问询或投诉作出回复,并解决出现的任何问题和争议;
    (g) 在取得您同意的情况下,向您提供有关本公司及我们的关联合作方不时提供或组织的产品、服务、设施、客户忠诚计划、促销、产品投放、专项营销、比赛及/或会展活动的相关信息和最新资讯。包括但不限于:
    ●向您发送活动邀请
    ●向您交付或分发奖品
    (h) 在取得您同意的情况下,通过短信、电话、电子邮件、传真、邮件、即时通讯、社交媒体及/或任何其他适当的通讯手段达到直接营销的目的;
    (i) 管理我们的客户忠诚或奖励计划,包括使用机场贵宾休息室和管理金鹏俱乐部事务;
    (j) 实施航班代码共享或与其他航空公司之间的类似商业安排;
    (k) 满足您在使用我们的产品、服务及/或设施时提出的餐饮要求;
    (l) 满足内部管理和记录存档要求;
    (m) 不时向您发送节日祝福讯息;
    (n) 必要时向您发送服务、账户变动通知消息;
    (o) 监控、审查并改进我们的产品、服务、设施、促销方案及/或展会活动。包括但不限于:
    ●我们的网站、APP使用cookie
    ●我们的网站、APP使用流量分析与性能监控工具
    (p) 针对我们的产品、服务及/或设施开展市场调查或调研、内部营销分析、客户资料管理、客户模式和选择分析、规划/统计/趋势分析;
    (q) 为上述目的处理、整合及/或分析您的个人信息;
    (r) 发现、调查及防止欺诈、禁止或非法的活动;
    (s) 满足本公司审计、风险管理及安保目的;
    (t) 使本公司能够履行我们作为当事方的任何协议或文件下应承担的义务,并行使我们在该等协议或文件下享有的权利;
    (u) 转让或出让我们所订立的任何协议下所享有的权利、权益及承担的义务;
    (v) 遵循任何适用的法律或监管要求,根据不时适用于本公司的任何法律、立法、法规、指令、法庭命令、规章、指南、通知或法典(“适用法律”)的规定作出信息披露;
    (w) 行使或保障你我双方于任何适用法律项下享有的权利,及履行本公司于任何适用法律项下应承担的义务。
    4.5.2 如果本公司意图将您的数据用于任何其他目的,我们将事先向您告知并取得您的同意,除非根据GDPR或任何其他适用法律,我们获准在未取得您同意的情况下处理您的个人信息。
    4.5.3 敬请注意,您有权拒绝为达到直接营销的目的而处理您的个人数据,并有权退出本公司的任何直接营销计划,从我们将您纳入其中展开直接营销的任何短信、电话、电子邮件、传真、邮件、即时通讯、社交媒体及/或其他通讯系统中进行退订。我们将尽力在上述各种通讯系统中提供如何退订系统的说明,但如果您想行使退订系统的权利并且不清楚如何行使该权利,您也可参见本项政策第1.7条,与本公司的数据保障负责人联系。
    4.6 个人信息的传输
    4.6.1 为顺利开展我们的业务运作,及/或为履行我们对您承担的义务,我们可能会为了达成本项政策第4.5条所述的一个或多个目的,而将我们向您收集的个人信息披露给第三方。举例而言,我们可能会向其披露您个人信息的第三方包括:
    (a) 就4.5.1(a)、4.5.1(b)、4.5.1(i)、4.5.1(j)和4.5.1(k)所述之目的而言,我司集团旗下的其他公司,比如我们的姐妹航空公司;
    (b) 提供与本公司业务相关的运营服务(如数据录入、通讯、信息技术、物流、仓储、餐饮、送货、装配、安装、打印和邮递服务、信用调查、融资或与营销推广活动有关的服务)的第三方服务提供商、代理商、关联方或关联企业。包括但不限于:
    ●服务的提供商,例如酒店、保险公司、物流公司、餐食供应公司、销售产品供应商等;
    ●其他航空公司。例如代码共享合作伙伴、互售合作伙伴等。请注意:其他航空公司有其自己的隐私政策。如果您的旅行计划包含其他航空公司的旅行,我们建议您查看其他政策,因为这些政策可能与本隐私声明有所不同;
    ●信息技术提供商,例如中国民航信息集团、Amadeus、Google等。
    (c) 我们的专业顾问及/或审计师;
    (d) (根据任何适用法律行使职权的)相关政府监管机构或政府机关。包括但不限于:
    ●提交至公安机关(例如全国民航公安大数据战训中心)进行筛查,用于维护公共安全和反恐。
    4.6.2 与我们有业务往来的第三方仅有权将您的个人信息用于履行受委托的服务职责。作为我们与之订立的协议的一部分,这些第三方可能被要求遵守GDPR及/或我们提供的任何方针,并采取合理措施确保您个人信息的安全。
    4.7 将欧洲经济区数据主体的个人信息转移出欧洲经济区
    4.7.1 由于我们提供的服务具有全球性,有时我们有必要与欧洲经济区以外的各方共享欧洲经济区数据主体的个人信息,例如:
    (a) 与我们在欧洲经济区之外的办事处共享;
    (b) 与位于欧洲经济区以外的服务提供商分享;
    (c) 当数据主体在欧洲经济区工作生活;
    (d) 我们正在向数据主体提供的服务具有国际性元素。
    4.7.2 这些转移受欧洲数据保护法下的特殊规定约束。
    4.7.3 公司可将个人信息转移出欧洲经济区至:
    (a) 被指定的具有适当保护水平的国家、地区或组织;
    (b) 一个已通过有约束力的公司规则、标准数据保护条款或遵守已批准的行为规范的方式来提供适当保障措施的组织。
    4.7.4 在没有欧盟委员会适当性决定(指拟将个人数据转移至的国家、地区或组织是否具有适当保护水平的决定)或适当保障措施的情况下,我们可能需要将欧洲经济区数据主体的个人信息转移至履行合同或执行合同前措施所必需的非欧洲经济区国家。
    4.7.5 在某些情况下,为了一些并不是履行合同或实施合同前措施的其他目的,我们也可能会寻求欧洲经济区数据主体的明确同意,将人信息转移给非欧洲经济区国家。在这种情况下,我们将通知数据主体,由于缺乏保障措施以及这些非欧洲经济区国家(例如中华人民共和国)没有与欧洲经济区相同的数据保护法,这些转移可能会有增加的风险。
    4.7.6 但是,我们将确保所有将欧洲经济区数据主体的个人信息转移出欧洲经济区的转移符合GDPR。我们的做法为,在可能和适用的情况下,使用经欧盟委员会批准的标准数据保护合同条款,这些条款可在欧盟委员会的以下网站上找到:
    https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
    4.7.7 如果您想了解更多信息,请与本政策第1.7条中所述的数据保护主管联系。

5. 处理个人信息的基础

    5.1 对于任何处理活动,我们会在处理活动开始之前,以及处理活动进行的过程中定期执行以下的操作:
    5.1.1 审查特定处理活动的目的,并为该处理¬选择最适合的合法基础,即:
    (a) 数据主体已经同意该处理;
    (b) 该处理为履行数据主体所订立的合同所必需的,或者该处理是为了在订立合同前根据数据主体的要求采取措施所必需的;
    (c) 为了遵守公司所承担的法律义务,该处理是必需的;
    (d) 为保护数据主体或其他自然人的切身利益,该处理是必需的;
    (e) 为了公司或者第三方正当利益,该处理是必需的,除非这些利益被数据主体的基本权利和自由利益所凌驾¬—参见本政策第5.2条。
    5.1.2 除基于同意所进行的处理外,确保处理是为了相关的合法基础的目的所必需的(即没有其他合理的方法来达到此目的);
    5.1.3 记录我们关于适用何种合法基础的决定,以帮助证明我们遵守数据保护原则;
    5.1.4 在我们的相关隐私通知中包含有关处理的目的及其合法基础的信息;
    5.1.5 在处理敏感个人信息的情况下,还应确定处理该信息的合法特殊条件(见本政策的第6.2.2条)并予以记录;
    5.1.6 在处理刑事犯罪信息的情况下,还应确定处理该信息的合法条件并予以记录。
    5.2 当确定公司的正当利益是否为合法化处理最合适的基础时,我们将:
    5.2.1 进行正当利益评估(“LIA”)并记录下来,以确保我们能够证明我们的决定是合理的;
    5.2.2 如果LIA确定有重大的隐私影响,我们会考虑我们是否还需要进行数据保护影响评估(“DPIA”);
    5.2.3 保持对LIA的审查,并在情况发生变化时重复进行;
    5.2.4 在我们的相关隐私通知中包含有关我们正当利益的信息。

6. 敏感个人信息

    6.1 敏感个人信息有时候又被称为“特殊类别的个人数据”或者“敏感个人数据”(如您的健康状况信息)。
    6.2 公司可能时不时需要处理敏感个人信息。我们只会在以下情况下处理敏感个人信息:
    6.2.1 我们有上述第5.1.1条所述的合法基础,比如,为遵守公司的法律义务或者为公司的正当利益所必需;
    6.2.2 处理敏感个人信息的特殊条件之一适用,如:
    (a) 数据主体已经给予明确同意。包括但不限于:
    ●当您向我们申请了特殊旅客服务,例如轮椅旅客、担架旅客等
    ●当您向我们申请因病退款时
    (b) 处理是为行使公司或者数据主体的劳动法律权利或者义务之目的所必需的;
    (c) 处理是为保护数据主体的切身利益所必需,并且数据主体在身体上无法给予同意;
    (d) 处理涉及数据主体明显公开的个人资料;
    (e) 处理对于建立、行使或者辩护法律索赔所必需;
    (f) 处理是为了重大公共利益所必需的。
    6.3 在处理任何敏感个人信息之前,我们的员工应当将拟进行的处理通知予数据保护主管以便其可以评估该处理是否符合上述标准。
    6.4 敏感个人信息不会被处理直到:
    6.4.1 已进行第6.3条所述的评估;
    6.4.2 相关人士已经被适当通知了处理的性质(通过隐私通知或者其他方式),进行处理的目的以及其法律基础。
    6.5 在招聘的过程中:人力资源部门会根据来自于数据保护主管的指引来确保(除法律另有规定外):
    6.5.1 在筛选,面试和做出决定阶段,不会询问有关个人敏感信息的问题,比如种族或族裔、工会会员身份或者健康状况;
    6.5.2 如果收到敏感个人信息,例如申请人在他或她的简历或者面试过程中在未被询问的情况下提及敏感个人信息,则对于所提供的敏感个人信息不保留任何记录,并立即删除或者修改任何对其的引用;
    6.5.3 任何完成的平等机会监测表和个人申请表会分开放置并且不会被筛选、面试和做出招聘决定的人所看到;
    6.5.4 “就业权”检查在提供无条件聘用之前进行,而不是在较早的筛选、面试或做出决定阶段进行;
    6.5.5 一旦聘用决定做出,我们只会询问健康状况问题。

7. 犯罪记录信息

    7.1我们不会处理犯罪记录信息,除非有关政府机构这样要求(例如,为了移民或者安全目的)以及在有关官方机构的控制下.

8. 数据保护影响评估 (DPIA)

    8.1 在处理可能会对个人的数据保护权造成高风险的情况下,我们会在开始处理之前,进行DPIA以评估:
    8.1.1 就其目的而言,处理是否必需以及适当;
    8.1.2 对个人造成的风险;
    8.1.3 能够采取什么样的措施来解决这些风险和保护个人信息。

9. 文件和记录

    9.1 我们会保存高风险处理活动(比如,可能会对个人权利和自由造成风险或者涉及敏感个人信息或者犯罪纪录信息)的书面记录,包括:
    9.1.1 雇佣机构(如适用,以及其他控制人、雇主代表和数据保护主管)的名称和详细信息;
    9.1.2 处理的目的;
    9.1.3 个人类别和个人数据类别的描述;
    9.1.4 个人数据接收方的类别;
    9.1.5 跨境数据转移的细节,包括已制定转移机制保障措施的文件;
    9.1.6 如果可能,数据保留时间表;
    9.1.7 如果可能,技术和组织安全措施的描述。
    9.2 作为我们记录处理活动的一部分,我们会以文档记录,或者链接到文档,如下内容:
    9.2.1 隐私通知所需要的信息;
    9.2.2 同意记录;
    9.2.3 控制人—处理人合同;
    9.2.4 个人信息的位置;
    9.2.5 数据保护影响评估(DPIAs);
    9.2.6 数据泄露/数据违规的记录。
    9.3 如果我们处理敏感个人信息或者犯罪记录信息,我们会对以下内容保持书面记录:
    9.3.1 进行处理的相关目的,包括(如有需要)为何必须进行处理;
    9.3.2 我们处理的合法基础;
    9.3.3 我们是否根据我们的政策文件(包括本政策)保留和删除个人信息,如果不遵守的话,提供不遵守我们的政策的原因。
    9.4 我们将定期审查我们处理的个人信息并且相应地更新我们的文档记录。这可能包括:
    9.4.1 进行信息审查以查明公司所持有的个人信息;
    9.4.2 分发问卷并与全公司员工交谈,以更全面的了解我们的处理活动;
    9.4.3 审查我们的政策、程序、合同和协议以处理数据保留、安全以及数据共享等方面的问题。

10. 与个人信息有关的权利

    10.1 所有的数据主体对其个人信息拥有下列权利:
    10.1.1 被告知如何、为什么以及以什么为基础处理信息—参见本政策第4条关于公司隐私通知;
    10.1.2 通过提出主体访问请求,以确认您信息正在被处理并且获取您信息及其他相关信息的访问权限—参见下文的10.3条;
    10.1.3 若数据不准确或者不完整,可要求更正;
    10.1.4 如果数据对于其最初被收集/处理的目的而言已不再必需,或者处理没有可凌驾性的正当理由,可要求将数据删除(这有时被称为“被遗忘权”);
    10.1.5 当信息的准确性有争议时,或者处理不合法时(但数据主体不希望删除数据),可要求限制该个人信息的处理;
    10.1.6 当您认为数据不准确时,或者您拒绝处理时,可要求临时限制个人信息的处理。
    10.2 如果你想行使上述10.1条中的任何权利时,请联系本政策1.7条所述的数据保护主管。
    10.3 主体访问请求
    10.3.1 公司将尽力遵守主体访问请求并且在请求后的一个月内提供适当的数据。如果不可能做到,数据主体将被知会。公司可能会就如何遵守请求接受专业建议以确保提供适当的信息。通常情况下提供信息是免费的。
    10.3.2 虽然不太可能发生,但如果发生明显无理或重复的要求的情况,公司可能决定不提供信息。然而在这些情况下公司将会接受专业意见。

11. 信息安全

    11.1 公司将会采取适当的技术和组织措施来确保个人信息的安全,特别是防止未经授权或者非法地处理以及意外丢失、破坏或损坏。这些措施可能包括:
    11.1.1 可能的话,确保个人信息被假名化或者加密;
    11.1.2 确保处理系统和服务持续的保密性、完整性、可用性以及灵活性;
    11.1.3 确保在发生实地或者技术事件时及时恢复个人信息的可访问性和访问权限;
    11.1.4 定期测试、评估和评价技术和组织措施的有效性以确保处理的安全性。
    11.2 如果公司使用外部组织代表其处理个人信息,则需要在与这些外部组织签订的合同中实施额外的安全措施以保护个人信息的安全。尤其是,与外部组织的合同将规定:
    11.2.1 该组织只能按照公司的书面指示行事;
    11.2.2 处理数据的该组织有保密义务;
    11.2.3 需采取适当的措施以确保处理的安全性;
    11.2.4 只有在获得公司的事先同意并且有书面合同的情况下才能聘请分包商;
    11.2.5 该组织将协助公司提供主体访问,并协助公司允许个人行使其在数据保护方面的权利;
    11.2.6 该组织将协助公司履行其在处理安全、数据泄露通知和数据保护影响评估方面的义务;
    11.2.7 该组织将删除或者按照合同结束时要求的那样向公司返还所有个人信息;
    11.2.8 该组织同意被审计和检查,向公司提供所需的任何信息以确保双方都履行了其数据保护的义务,并且在被要求做一些侵犯数据保护法的事情时及时通知公司。

12. 个人信息的保留

    12.1 个人信息(和敏感个人信息)不应保留超过必要的时间。数据应该保留的时间长短取决于具体情况,包括获取个人信息的原因。一般而言,个人信息将在必要时保留,或者在不再使用后7年内保留,以先发生者为准。
    12.2 不再需要的个人信息(和敏感个人信息)将永久的从我们的信息系统中删除,且任何硬拷贝副本将会被安全销毁。

13. 数据泄露

    13.1 数据泄露可能有多种不同的形式,例如:
    13.1.1 储存个人信息的数据或者设备的丢失或者失窃;
    13.1.2 员工或者第三方未经授权访问或者使用个人信息;
    13.1.3 设备或者系统故障(包括硬件和软件)所造成的数据丢失;
    13.1.4 人为错误,如意外删除或者更改数据;
    13.1.5 不可预见的情形,比如火灾或者洪水;
    13.1.6 针对IT系统的蓄意攻击,如黑客攻击、病毒或者网络钓鱼诈骗;
    13.1.7 “欺诈”罪行,其中信息是通过欺诈持有它的组织而获得的。
    13.2 如果发生数据泄露事件,公司将毫不延迟地按照其个人数据泄露通知计划行事。

14. 联系我们

    14.1 在任何时候,如果您
    14.1.1 对于我们如何处理您的个人信息或者对我们遵守GDPR或者其他适用的数据保护法有任何的投诉、不满或意见;
    14.1.2 希望撤销您之前向我们做出的关于使用您个人信息的任何同意;
    我们欢迎您通过本政策第1.7条的联系方式与我们的数据保护主管和/或我们的欧盟代表联系。我们将竭尽全力迅速且公平的处理您可能提出的任何投诉、不满或意见。

15. 隐私条款修改

    本隐私条款的修改权、更新权均属中国海南航空控股股份有限公司。我们可能会不定期修订、更新本隐私条款,并在网站上公布最新版本。我们建议您在使用我们的网站时,定期查阅这一页面,以便您能了解隐私条款是否有任何的变动。
    最近更新时间:2018年6月