数据隐私框架 隐私政策

2.1 版 — 最新更新和生效日期：2023 年 8 月 31 日

VeriSign, Inc.（以下简称“威瑞信”）尊重消费者对隐私的关注。威瑞信遵守由美国商务部制定的欧盟——美国数据隐私框架（“欧盟——美国 DPF”）和英国对欧盟——美国 DPF 的扩展，以及瑞士——美国数据隐私框架（“瑞士——美国 DPF”）（欧盟——美国 DPF、英国扩展和瑞士——美国 DPF，统称为“DPF”）。威瑞信已向美国商务部证明，其在处理依据欧盟——美国 DPF 和英国对欧盟——美国 DPF 的扩展从欧盟和英国收到的个人数据时，遵守欧盟——美国数据隐私框架原则（“欧盟——美国 DPF 原则”）。威瑞信已向美国商务部证明，其在处理依据瑞士——美国 DPF从瑞士收到的个人数据时，遵守瑞士——美国数据隐私框架原则（“瑞士——美国 DPF 原则”，与欧盟——美国 DPF 原则合称为“DPF 原则”）。如果本隐私政策中的条款与欧盟——美国 DPF 原则和/或瑞士——美国 DPF 原则之间存在任何冲突，则以原则为准。要了解关于数据隐私框架 (DPF) 计划的详细信息以及要查看我们的证书，请访问 https://www.dataprivacyframework.gov。本政策描述了威瑞信如何实施有关消费者个人数据的 DPF 原则。

就本政策而言:

“消费者”是指位于欧洲经济区、英国或瑞士的任何自然人，但不包括以员工身份行事的任何个人。

“控制者”是指单独或与他人共同确定个人数据处理目的和方式的个人或组织。

“客户”是指威瑞信为其提供产品和/或服务（包括但不限于 ICANN 批准的注册服务）的任何实体。

“员工”是指威瑞信或其欧洲经济区、英国或瑞士关联公司的任何现任、前任或潜在的员工、承包商、实习生或临时工，或者威瑞信因雇佣关系而处理其个人数据的任何身处欧洲经济区、英国或瑞士的相关个人。

“欧洲经济区”是指欧洲联盟和冰岛、列支敦士登和挪威。

“个人数据”是指符合以下条件的任何信息（包括敏感数据）：(i) 关于已识别或可识别身份的个人，(ii) 由威瑞信在美国从欧洲经济区、英国或瑞士接收，并且 (iii) 以任何形式记录。

“数据隐私框架原则”是指数据隐私框架的原则和补充原则。

“处理者”是指代表控制者处理个人数据的任何自然人或法人、公共机构、代理商或其他机构。

“敏感数据”是指特殊的个人数据，这些个人数据可指明医疗或健康状况、种族或民族血统、政治观点、宗教或哲学信仰、工会会员身份（包括与工会有关的观点或活动）、性生活（包括个人性行为）、有关社会保障措施的信息、犯罪行为或指称的犯罪行为、对个人所犯下或指称犯下的任何罪行的任何诉讼程序或对该等诉讼程序的撤销或者此类诉讼程序中的法院判决（包括行政诉讼和刑事制裁）。

“英国”是指联合王国和直布罗陀。

威瑞信的 DPF 认证以及有关 DPF 的其他信息可参见 https://www.dataprivacyframework.gov。 如需详细了解威瑞信如何处理其在消费者访问威瑞信网站时从消费者处收集的个人数据，请访问威瑞信隐私声明 (www.verisign.com/zh-cn/privacy)。

威瑞信收集的个人数据类型

对于其所获得和保留的消费者个人数据，威瑞信同时充当控制者和处理者的角色。

控制者的活动

作为控制者，威瑞信通过各种方式获取有关消费者的个人数据。例如，威瑞信会在消费者访问威瑞信网站时收集其个人数据。威瑞信可能会出于隐私声明 (www.verisign.com/zh-cn/privacy) 中所述的目的，使用其在消费者访问威瑞信网站时从消费者处收集的个人数据。由于威瑞信会变更从消费者处收集的个人数据类型，因此其隐私声明可能会不时更新。

此外，威瑞信还会获取现有和潜在客户的代表的个人数据，例如联系信息和付款或财务账户数据。威瑞信使用此信息来管理其与现有和潜在客户的关系，处理付款，并根据与客户签订的合同履行威瑞信的义务。

威瑞信还会获取其供应商和服务提供商代表的个人数据。获取的信息可能包括联系信息和付款或财务账户数据。威瑞信使用此信息来管理其与供应商和服务提供商的关系，处理付款，并根据与这些相关方签订的合同履行威瑞信的义务。

威瑞信还通过其他方式获取和使用消费者个人数据，并在收集时提供特定通知。

处理者的活动

作为处理者，威瑞信可能会在向其客户提供服务的过程中接收相关的消费者个人数据，包括从客户处接收的 Whois 信息中可能包含的域名注册人的个人数据。

威瑞信关于处理消费者个人数据的隐私惯例遵循 DPF 原则中关于以下各方面（将在下文详述）的要求：通知；选择权；再传输职责；安全；数据完整性和目的限制；访问权；以及追索、执法和责任。

通知

威瑞信在本政策和威瑞信隐私声明 (www.verisign.com/zh-cn/privacy) 中提供有关其消费者个人数据隐私惯例的信息，其中包括威瑞信收集的个人数据类型、威瑞信向其披露个人数据的第三方类型及披露目的、消费者限制其个人数据使用/披露的权利和选择权，以及如何联系威瑞信了解有关个人数据的隐私惯例。

当威瑞信作为处理者，且消费者个人数据由客户或客户代表传输到位于美国的威瑞信时，客户有责任向其消费者提供适当的通知并确保其收集此类个人数据有法律依据，例如获得消费者的必要同意。

相关信息也可参见与特定数据处理活动有关的通知。

选择权

当威瑞信作为控制者收集消费者个人数据时，威瑞信通常会允许相关消费者选择其个人数据是否可以 (i) 向第三方控制者披露或 (ii) 用于与最初信息收集目的或相关消费者随后授权目的实质上不同的其他用途。在 DPF 原则要求的范围内，威瑞信应针对敏感数据的某些使用和披露方式获得主动同意。这些消费者可以按照如下所述的方式与威瑞信联系，以了解威瑞信对其个人数据的使用或披露。除非威瑞信为这些消费者提供合适的选择权，否则威瑞信仅可将个人数据用于与本政策中所述目的实质相同的用途。

当威瑞信作为处理者获得其客户的消费者个人数据时，威瑞信的客户有责任向其消费者提供适当的通知，并确保就客户使用或披露消费者个人数据向相关消费者提供某些选择权。

威瑞信向其关联公司和子公司分享某些消费者个人数据。威瑞信可能会在未提供选择拒绝权的情况下披露消费者个人数据，并可能在如下情况下被要求披露个人数据：(i) 披露给威瑞信聘请代表威瑞信并根据其相关指示提供服务的第三方处理者，(ii) 根据法律或法律程序必须提供此类数据，或 (iii) 响应政府当局的合法要求，包括满足国家安全、政府利益或执法的要求。威瑞信还保留在接受审计的情况下或者在威瑞信出售或转让其全部或部分业务或资产（包括合并、收购、合资、重组、解散或清算）时移交此类数据的权利。

个人数据的再传输职责

本政策和威瑞信的隐私声明 (www.verisign.com/zh-cn/privacy) 说明了威瑞信如何共享其消费者个人数据。

在威瑞信作为控制者的情况下，除适用法律允许或要求外，威瑞信应向消费者提供选择不与第三方控制者共享其个人数据的权利。威瑞信要求作为此类消费者个人数据披露对象的第三方控制者以合同形式同意如下条款：(i) 仅出于与相关消费者提供同意之目的相符的有限和特定目的处理个人数据；(ii) 为个人数据提供与 DPF 原则要求相同的保护水平；以及 (iii) 如果第三方控制者确定其不能履行为个人数据提供与 DPF 原则要求相同的保护水平这项义务，则应通知威瑞信并停止处理个人数据（或采取其他合理和适当的补救措施）。

关于向第三方处理者传输消费者个人数据，威瑞信 (i) 与每位相关处理者签订合同，(ii) 仅出于有限和特定目的将个人数据传输给每位此类处理者，(iii) 确信处理者有义务为个人数据提供至少与 DPF 原则要求相同的隐私保护水平，(iv) 采取合理和适当的措施，以确保处理者有效地处理个人数据且符合威瑞信在 DPF 原则下的义务，(v) 要求处理者在确定自己不再能够履行提供与 DPF 原则要求相同的保护水平这项义务时，及时通知威瑞信，(vi) 在收到通知后，包括上述第 (v) 项中的通知，采取合理和适当的措施来停止和补救处理者对个人数据的未经授权处理，以及 (vii) 根据要求，向美国商务部提供处理者合同的相关隐私条款的摘要或代表性副本。如果威瑞信的第三方处理者作为再传输接收方采用不符合 DPF 原则的方式处理相关的个人数据，则除非威瑞信证明其对造成损害的事件没有责任，否则威瑞信仍要根据 DPF 原则承担相应责任。

安全

威瑞信充分考虑处理过程中涉及的风险和个人数据的性质，采取合理和适当的措施来保护消费者个人数据，以免其遭到丢失、滥用和未经授权的访问、披露、篡改以及破坏。

数据完整性和目的限制

威瑞信将其处理的消费者个人数据限制为与特定处理目的相关的数据。威瑞信不会采用与信息收集目的或相关消费者随后授权目的不符的方式处理消费者个人数据。此外，在达成这些目的所必需的范围内，并且根据其作为控制者或处理者的角色，威瑞信采取合理的措施确保其处理的个人数据 (i) 能够可靠地达成其预期用途，以及 (ii) 准确、完整和保持最新状态。就此方面而言，在达成信息收集目的或随后授权目的所必需的范围内，威瑞信依赖其消费者和客户（涉及与威瑞信没有直接关系的消费者的个人数据）更新和更正相关的个人数据。消费者（和客户，视情况而定）可以按照如下所述方式联系威瑞信，要求威瑞信更新或更正相关的个人数据。

根据适用法律，威瑞信以识别或可识别相关消费者身份的形式保留消费者个人数据的期限，仅限于这些数据用于个人数据收集目的或消费者随后授权目的期间。

访问权

消费者通常有权访问其个人数据。因此，在威瑞信为控制者时，威瑞信在适当情况下为消费者提供访问其所保留的消费者个人数据的合理权限。威瑞信还视情况为这些消费者提供了合理机会，使其可在信息不准确或信息处理违反 DPF 原则的情况下进行更正、修改或删除。如果提供访问权会造成与消费者在有关情况下所面临的隐私风险不相称的负担或费用，或者会侵犯消费者以外的其他人的权利，威瑞信可以限制或拒绝访问个人数据。消费者可以通过如下所述方式联系威瑞信请求访问其个人数据。

当威瑞信作为处理者获得其客户的消费者个人数据时，威瑞信的客户有责任为消费者提供访问个人数据的权利，以及在信息不准确或信息处理违反 DPF 原则的情况下进行更正、修改或删除的权利，具体视情况而定。在此类情况下，消费者应将问题提交给相应的威瑞信客户。如果消费者无法联系到相应的客户或未获得客户的回复，威瑞信将提供合理的帮助，协助向客户转发消费者的请求。

追索、执法和责任

威瑞信采取适当的机制，旨在帮助确保遵循 DPF 原则。威瑞信每年都会对其消费者个人数据惯例进行自我评估，以核实威瑞信对其 DPF 隐私惯例做出的证明和声明是否属实，以及确定威瑞信的隐私惯例按照 DPF 原则的规定实施。

根据欧盟——美国 DPF 以及英国对欧盟——美国 DPF 的扩展和瑞士——美国 DPF，威瑞信承诺解决有关我们收集和使用您的个人信息的 DPF 原则相关投诉。如果欧盟和英国的个人以及瑞士的个人对我们处理根据欧盟——美国 DPF 和英国对欧盟——美国 DPF 的扩展以及瑞士——美国 DPF收到的个人数据有疑问或投诉，应首先使用本政策“如何联系威瑞信”部分中的联系信息与威瑞信联系。

如果消费者的投诉通过威瑞信的内部处理流程无法解决，威瑞信将根据 JAMS DPF 计划与 JAMS 合作予以解决，该计划详见 JAMS 网站 (https://www.jamsadr.com/DPF-Dispute-Resolution)。双方可以根据 JAMS 规则的规定开始 JAMS 调解流程。在进行争议解决流程之后，调解员或消费者可以将此事项提交给具有 DPF 调查和执法权力的美国联邦贸易委员会。在某些情况下，消费者也可以援引具有约束力的仲裁结果来解决有关威瑞信遵循 DPF 原则的投诉。

当威瑞信作为处理者获得其客户的消费者个人数据时，消费者可以根据客户的争议解决流程向相关客户提交有关其个人数据处理的投诉。威瑞信将应客户或消费者的要求参与此流程。

如何联系威瑞信

如要联系威瑞信，提出有关本政策或威瑞信消费者个人数据惯例的问题或疑虑，或者提出投诉：

请写信至：

VeriSign, Inc.
收件人：Global Privacy Officer
12061 Bluemont Way
Reston, VA 20190, USA
contactprivacy@verisign.com