私隐政策

1 政策声明

1.1 任何人均有权决定如何处理其个人资料。在本集团营运期间，本集团可能收集、储存和处理关于投资者、董事、员工及其他第三方的个人资料，而本集团确认，正确及合法处理个人资料将维持对本机构的信心，并将有助业务成功营运。

1.2 本文件列明了本集团在处理个人资料时必须依循的原则，帮助确保遵守欧盟第2016/679号《通用数据保障条例》及其他适用规例，包括香港《个人资料（私隐）条例》。资料使用者代表本集团处理个人资料时有责任遵守本政策。

2 關於本政策

2.1 本集团可能需要处理的个人资料类型包括关于现时、过往及未来投资者、人员及其他与集团交易或沟通的人士的资讯。个人资料可透过纸质、电脑或其他媒体持有，并受《通用数据保障条例》指明的若干法律保护措施所规限。

2.2 本政策及其所提述之任何其他文件列明了本集团处理任何本集团从资料当事人收集，或由资料当事人或其他来源向本集团提供之个人资料的依据。

2.3 本政策列明本集团在收集、处理、转移及储存个人资料时必须遵守的保障资料规则及法律条件。

2.4 本集团董事集体对确保遵守《通用数据保障条例》、其他适用的本地私隐规例及本政策负责，其理由已按《通用数据保障条例》的规定记载。任何关于实施本政策的疑问或对政策未获依循之担忧应立即转介至本集团的保障资料主任。

3 本政策所用术语的定义

3.1 资料为以电子方式储存在电脑或储存在以纸张为结构的存档系统的资讯。

3.2 资料当事人就本政策而言包括本集团持有个人资料的所有在生个人。所有资料当事人均对其个人资料拥有合法权利。

3.3 个人资料指可直接从该资料，或间接从该资料与其他资讯中识别的在生个人的有关资料。

3.4 资料控制者指单独或与其他人共同厘定处理任何个人资料之用途及方式的人士或机构。他们负责并必须能遵守《通用数据保障条例》保障资料保原则。本集团是出于本集团自身商业用途在本集团业务中使用的所有个人资料的资料控制者。

3.5 资料使用者为本集团董事会成员、人员或工作涉及处理个人资料的代表。资料使用者必须时刻按照本保障资料政策及任何适用的资料保安程序保护他们所处理的个人资料。

3.6 资料处理者包括代表本集团及按照本集团指引处理个人资料的任何人士或机构。

3.7 处理是涉及使用个人资料的任何活动。这指对个人资料进行任何操作或一系列操作，包括收集、记录、整理、结构化、储存、修改、检索、使用、咨询、传送披露、传布或以其他方式提供、合并、限制、消除或销毁。

3.8 敏感个人资料包括关于个人的种族或族裔、政治观点、宗教或类似信仰、工会成员资格、生理或心理健康或性生活资讯。

4 保障资料原则

4.1 作为资料控制者，本集团负责并必须能遵守六大保障资料原则。这些原则规定个人资料必须：

4.1.1 公正、透明、合法地获取及处理

4.1.2 因本集团职能或活动直接相关的具体、明示及合法用途而收集，且不得以不符合该等用途的方式进一步处理

4.1.3 充分、相关及不过量

4.1.4 准确且持续更新

4.1.5 保存时间不超过所需的时间

4.1.6 安全及稳妥地保存

5 公正、透明及合法处理

5.1《通用数据保障条例》并非旨在防止处理个人资料，而是确保公正及透明地处理个人资料。

5.2 为公正及透明地处理个人资料，本集团（作为资料控制者）必须在直接向资料当事人收集个人资料时通知资料当事人以下所有事项：

5.2.1 本集团在处理个人资料方面为资料控制者，以及本集团的联络详情

5.2.2 保障资料主任的联络详情

5.2.3 本集团处理个人资料的拟作用途及法律依据

5.2.4 本集团或第三方追求的合法利益，以及对该等利益之解释（如根据该理由进行处理）

5.2.5 倘处理乃根据同意而作出，资料当事人有权随时撤销同意

5.2.6 本集团将披露个人资料的第三方或第三方类别（如有）

5.2.7 任何转移至欧洲经济区或香港以外的详情，本集团提供的保护措施以及获取该等资料的副本的方式

5.2.8 资料留存期或用于厘定留存期的准则

5.2.9 具有要求获取其个人资料；更正或消除其个人资料；限制或反对处理的权利，以及资料可携性方面的权利

5.2.10 如不满意本集团处理其个人资料的方式，有权向香港个人资料私隐专员投诉

5.2.11 任何自动决策，包括资料搜集、相关逻辑，以及处理资料对于资料当事人的意义及后果的详情

5.2.12 提供个人资料为法定或合约要求，以及未能提供相关个人资料的后果

5.3 倘本集团有意出于进一步用途而非首次收集个人资料的用途处理个人资料，本集团将向资料当事人提供该进一步用途的资讯，并在进一步处理之前获得资料当事人的明确同意。

5.4 如果本集团透过其他来源获取关于资料当事人的个人资料，则本集团将向资料当事人提供第5.2条规定的资讯以及获取个人资料的来源的相关个人资料的类别，以及是否来自可供公众查阅的来源（如适用）。本集团将在获取个人资料后一个月内，或与资料当事人的首次沟通时（如适用），或计划向另一接收者披露，且为首次披露个人资料时，向资料当事人提供该资讯。

5.5 为合法处理个人资料，必须根据《通用数据保障条例》所列明的其中一个的法律依据处理。这些依据包括：资料当事人给予他／她的自由、知情及明确同意；如有需要，履行与资料当事人签订的合同；遵守资料控制者受约束的法律义务；出于资料控制者或向其披露个人资料的第三方之合法利益，被资料当事人利益所取代者除外。

5.6 除非《通用数据保障条例》所列明的任何或一系列法律依据适用，否则禁止处理敏感个人资料，依据包括：资料当事人给予其明确同意；资料当事人公开了个人资料；如有需要，提出法律索偿或就其进行抗辩，或当资料当事人丧失生理或法律行动能力而无法给予他／她的同意时，保障资料当事人的重要利益。

6 有限用途处理

6.1 在本集团业务过程中，本集团可能收集及处理本政策附表所规定的个人资料。这或包括本集团直接从资料当事人收集的个人资料（例如，透过填写表格或以邮件、电话、电邮或其他方式与本集团联系），以及本集团从其他来源收取的个人资料（包括，例如业务伙伴、对手、技术、支付及交付服务分包商等）。
6.2 本集团仅出于本政策附表所列明的特定用途，或《通用数据保障条例》允许的其他具体用途处理个人资料。本集团将在首次收集个人资料时，或如本集团间接收集个人资料，则会尽快在收集个人资料后向资料当事人通知该等用途。

7 充分、相关及不过量
本集团将仅在通知资料当事人的具体用途规定范围内收集个人资料。

8 准确且持续更新的个人资料
本集团将采取合理步骤，确保本集团所持有的个人资料保持准确且持续更新。本集团将采取合理步骤，在收集时以及收集后定期检查任何个人资料的准确性。本集团将采取一切合理步修改或销毁不准确或过时的个人资料。

9 储存限制
本集团不会将个人资料保留超出收集用途的所需时间。本集团将采取一切合理步骤，按照本政策附表列明的规定，在不需要个人资料时把个人资料从本集团系统中销毁或消除。

10 资料安全

10.1 本集团将或将要求其代表采取适当的技术和机构安全措施，考虑处理所带来的风险，特别是意外或非法损毁、遗失、修改、未授权披露或获取所传输或所储存的个人资料。

10.2 本集团的安全措施包括，如适用：

10.2.1 确保处理系统和服务的持续保密性、完整性、可用性及稳健性

10.2.2 发生人身或技术事故时恢复个人资料可用性和获取渠道的能力

10.2.3 测试、评估和评测技术和机制措施有效性的程序，用于确保处理安全

10.3 如代表本集团进行处理，则本集团仅能聘用能够提供充分合约保证，实施适当的技术和机构安全措施，使资料处理达到《通用数据保障条例》要求，并确保保障资料当事人的权利之资料处理者。

10.4 作为资料控制者，集团必须与资料处理者订立书面合约（包括电子格式），规定处理的内容和时长，处理的性质与用途，个人资料的类型以及资料当事人类别。合约必须列明，特别是，《通用数据保障条例》第28条要求的资料处理者的特定强制义务，且必须包含防止以下行为的条款：（i）向资料处理者转移的任何个人资料保留时间长于处理个人资料的必要时间，以及（ii）未授权或意外获取、处理、消除、遗失或使用向资料处理者转移的个人资料。

11 根据资料当事人权利进行处理

11.1 作为资料控制者，本集团需要根据资料当事人的权利处理个人资料，特别是以下权利：

11.1.1 要求获取本集团持有的任何相关个人资料的副本（同时参照第13条）

11.1.2 要求更正任何不准确或不完整的个人资料（同时参照第8条）

11.1.3 在特定情况下反对或要求消除资料或限制处理资料

11.1.4 倘技术上可行（即数据可移植性方面的权利），要求获得其向本集团提供的个人资料之副本，并将个人资料传输至另一数据控制者，不受本集团阻扰，或将本集团发送的个人资料直接传输至另一数据控制者

11.1.5 不受仅根据自动处理的决策约束，包括数据搜集，而该等决策对数据当事人产生法律影响或其他重要影响，除非为履行合约的必要决策；获欧盟、爱尔兰或香港法律授权，或根据资料当事人的明确同意所作出的决策

11.1.6 防止处理个人资料用于直接营销，除非任何适用法律及规例要求，包括获取数据数据当事人同意的要求均获遵守。

11.2 本集团将立即向数据当事人提供关于行使任何该等权利所采取的措施之信息，并最迟在收到数据当事人要求后一个月内提供信息。如有多个或复杂要求，这期限可根据适用法律及规例额外延长两个月。如预期无法在一个月内完成获取个人资料的要求，本集团将在一个月期限到期前尽快通知资料当事人相关原因。

12 处理获取要求

12.1 数据当事人可要求获取本集团所持有的相关信息。该要求可透过书面或口头形式提出。

12.2 在收到电话咨询时，本集团仅在验证来电者身份后披露本集团系统上的个人资料。如无法验证身份，本集团将要求来电者以书面形式提出要求。

12.3 收到要求的数据用户应转发至保障数据主任：

转交法规事务主管

香港中环皇后大道中99号中环中心43楼

12.4 数据当事人有权获取本集团持有的相关个人资料副本及以下信息：

12.4.1 处理用途

12.4.2 相关个人资料的类别

12.4.3 已向其披露或将向其披露个人资料的接收者

12.4.4 数据留存期或用于确定留存期的准则

12.4.5 可要求数据控制者更正或消除个人资料，或限制处理数据当事人相关的个人资料，或拒绝进行处理的权利

12.4.6 向保障资料专员提出投诉的权利

12.4.7 个人资料并非从资料当事人收集，则说明数据源的任何相关信息

12.4.8 存在自动决策，包括数据搜集；相关逻辑以及数据处理对数据当事人的预期后果，以及

12.4.9 如个人资料转移至欧洲经济区外，则必须通知数据当事人所实行的适当保护措施

12.5 本集团将免费提供个人资料副本，除非该要求明显不成立或过分，特别是因为其重复特性，在此情况下本集团可根据行政费用收取合理费用。

12.6 如数据当事人以电子方式提出要求，除非数据当事人提出其他要求，否则信息将以通用电子格式提供。

13 将个人资料转移至欧洲经济区以外的国家

13.1 本集团可将本集团持有的任何个人资料转移至欧洲经济区以外的国家，前提是本集团通知了数据当事人该转移情况、所实行保护措施以及获取相关个人资料的副本的方式，且以下条件之一适用：

13.1.1 转移个人资料的目的非欧洲经济区国家确保达到数据当事人权利和自由保障的适当水平。欧盟委员会认为以下国家达到适当的个人资料保障水平：瑞士、根西岛、阿根廷、马恩岛、法罗群岛、泽西、安道尔、以色列、新西兰和乌拉圭。美国在美国个人资料接收方经过私隐防护认证时可视为达到适当的保障水平。如需关于私隐防护的更多信息，请参见美国商务部的私隐防护网站：https://www.privacyshield.gov。

13.1.2 已实行充足的保护措施，例如模型条例；约束性公司规则；获批行为守则或获批认证机制，以及第三国的数据控制者或数据处理者应用适当保障措施的约束力及可执行承诺，包括关于数据当事人权利的保护措施；

13.1.3 转移根据《通用数据保障条例》的损毁规定属合法，包括资料当事人已给予明确同意；转移对于履行合约而言属必要；出于公众利益原因；获法律授权；为抗辩法律索偿而属必要，或保障数据当事人的重要利益；或

13.1.4 如上述保护措施或损毁规定均不适用，则转移并非重复，仅与少数数据当事人相关，且为数据控制者的合法利益（并未被资料当事人的权利所替代）所必要的情况下可转移至非欧洲经济区国家。数据控制者必须向保障数据专员和数据当事人通知转移情况以及相关的合法权利。

14 本政策的更改
本集团保留随时更改本政策的权利。如适用，本集团将以邮件或电邮向数据用户和／或数据当事人通知变更情况。

附表 1 数据处理活动

文义如有歧异，以英文本为准。