1. 简介
本隐私政策(以下简称"本政策")说明 Lepta Payment Solutions Limited(以下简称"Lepta"、“我们"或"我方”)如何在活动捐款移动应用(以下简称"本应用")的使用过程中收集、使用、存储和共享个人数据。本应用使经授权的志愿者能够代表指定法律实体通过点击支付技术收集捐款。
本政策适用于以下两类人员:
- 志愿者: 经法律实体授权使用本应用收集捐款的个人;以及
- 捐款人: 通过本应用进行捐款的个人。
支付处理由 Stripe, Inc.(以下简称"Stripe")提供。Stripe 对您个人数据的处理受 Stripe 隐私政策约束,详见 stripe.com/privacy。接受您捐款的法律实体也可能有其自己的隐私政策,该政策将在捐款时提供给您。
2. 谁负责您的数据?
根据活动的不同,不同方对您的个人数据负责:
- 法律实体(数据控制方):接受捐款的组织是捐款交易流程的数据控制方,包括以接受捐款和开具税务收据为目的收集和处理捐款人个人数据。法律实体指示 Lepta 代其收集和传输此数据。
- Lepta 作为数据处理方:对于核心捐款交易流程——包括通过本应用收集和传输捐款人个人数据,以及将交易记录传输至法律实体系统——Lepta 代表法律实体作为数据处理方,仅按照法律实体的书面指示处理此数据。
- Lepta 作为数据控制方:对于有限的内部活动,Lepta 自行决定处理目的和方式:包括 Lepta 平台的运营、安全和维护(包括服务器日志和事件响应)、管理员用户账户的管理、Lepta 自有服务提供商的选择和管理,以及 Lepta 自身法律义务的合规。Lepta 不作为欺诈监控、反洗钱筛查或跨多个法律实体数据分析的数据控制方。
- Stripe:Stripe 以独立支付服务提供商的身份处理支付卡数据和捐款人个人数据。Stripe 不是 Lepta 的次级处理方。Stripe 的角色和义务受 Stripe 隐私政策及其与 Lepta 协议的约束。Stripe 已在欧美数据隐私框架下完成自我认证。
- Google:当本应用使用 Google Places API 进行地址自动补全时,本应用将捐款人的部分地址查询和设备位置数据发送至 Lepta 的服务器,再转发至 Google。Google 为此目的作为 Lepta 的次级处理方。Google, LLC 已在欧美数据隐私框架下完成自我认证。Google 的处理受 Google 隐私政策约束。
3. 我们收集的个人数据
3.1 志愿者数据
当您使用授权码登录本应用时,我们会收集:
- 您的姓名(名和姓)
- 您的电子邮件地址
此数据存储在您设备上的加密安全存储中,并在您退出登录时清除。它还会在支付处理过程中传输至 Stripe。
如果您下载了本应用但未输入授权码,本应用或 Lepta 不会收集、存储或传输任何有关您的个人数据。
3.2 捐款人数据
当捐款人通过本应用进行捐款时,根据会话配置,可能会收集以下数据:
- 电子邮件地址(用于发送捐款收据)
- 姓名(名和姓)
- 邮寄地址(街道地址、城市、州/省、邮政编码、国家)——仅在法律要求开具税务收据的司法管辖区收集
捐款人数据通过 Stripe API 直接传输至 Stripe 的服务器,不会写入或存储于 Lepta 自有数据库或本应用的门户。
3.3 支付卡数据
支付卡数据(卡号、有效期、CVC)完全由集成到本应用中的 Stripe SDK 处理。Lepta 在任何时候均无法访问、处理或存储支付卡数据。
3.4 设备位置数据
当您输入授权码并开始点击支付入驻流程后,本应用将请求访问您设备精确位置的权限。这有两个必要目的:
- Stripe Terminal SDK 要求:Stripe 需要确认设备的精确位置,以验证点击支付是否在已批准的国家使用。这是 Stripe Terminal SDK 的强制性先决条件,没有此权限,本应用将无法初始化或接受付款。
- 地址自动补全:本应用使用 Google Places API 在捐款人输入邮寄地址时提供高质量的地址自动补全结果。设备位置数据用于提高这些建议的相关性。
位置数据不会被 Lepta 存储于本应用的门户或数据库中。
3.5 未收集的数据
本应用不收集、使用或传输:
- 广告标识符(IDFA 或 GAID)
- 崩溃数据、性能数据或诊断遥测数据(本应用不包含崩溃报告或性能监控 SDK)
- 跨应用或跨站点跟踪数据
- 生物特征数据(包括面部识别数据)
本应用使用仅限本地的日志库进行开发诊断。在生产版本中,仅记录信息级别的消息,这些日志保留在设备上,永不传输至任何服务器。
4. 我们如何使用您的个人数据
| 目的 | 使用的数据 | 法律依据(GDPR) | 保留期 |
|---|---|---|---|
| 志愿者入驻和身份验证 | 志愿者姓名、电子邮件、授权码 | 合法利益(第 6(1)(f) 条)——运营捐款收集服务的必要条件 | 设备上:至退出登录为止。 |
| Stripe:按 Stripe 的保留政策 | |||
| 处理捐款 | 捐款人姓名、电子邮件、支付卡数据(通过 Stripe SDK)、捐款金额 | 合同履行(第 6(1)(b) 条)——处理捐款交易的必要条件 | Stripe:按 Stripe 的保留政策。 |
| 法律实体:按其财务记录保存义务 | |||
| 开具税务收据 | 捐款人姓名、电子邮件、邮寄地址 | 法律义务(第 6(1)(c) 条)——特定司法管辖区的国内税法要求 | 法律实体:按适用的税务记录保留要求 |
| 开具税务收据 | 捐款人姓名、电子邮件、邮寄地址 | 法律义务(第 6(1)(c) 条)——特定司法管辖区的国内税法要求 | 法律实体:按适用的税务记录保留要求 |
| 点击支付国家验证 | 设备精确位置 | 合法利益(第 6(1)(c),(f) 条)——遵守 Stripe Terminal SDK 要求和支付网络规则的必要条件;以及确认是否在已批准的国家使用 | 不存储 |
| 地址自动补全 | 设备位置 | 合法利益(第 6(1)(f) 条)——提高捐款人地址输入的准确性 | 不存储 |
| 服务器运营 | IP 地址、用户代理字符串、URL 参数(标准服务器日志) | 合法利益(第 6(1)(f) 条)——安全和系统完整性 | 临时;60天 |
| 宗教背景 | 当法律实体为宗教团体时,捐款数据在背景下可能揭示捐款人的宗教或哲学信仰(GDPR 第 9(1) 条) | 第 9(2)(d) 条——在宗教团体合法活动过程中进行的处理,并有适当保障措施。法律实体保证依赖此条件。 | 按上述保留期 |
5. 收据和感谢信的同意
当本应用向捐款人提供接收捐款收据或感谢信的选项时,这基于捐款人自由给予的同意。同意机制如下:
- 选择加入以单独、清晰标注的开关或复选框形式呈现,默认为关闭状态。
- 捐款本身不以选择加入为条件——捐款人可在不同意接收收据或感谢信的情况下完成捐款。
- 捐款人在选择加入时被告知,其联系方式(姓名、电子邮件,以及适用时邮寄地址)将与接受捐款的法律实体共享,用于开具收据或感谢信。
- 可随时通过联系 Lepta 或法律实体(见下方第 9 条)撤回同意。
6. 您的数据存储位置及共享对象
Lepta 不维护自己的捐款人个人数据数据库。数据流如下:
- 设备上:志愿者姓名和电子邮件存储在设备上的加密安全存储中,并在退出登录时清除。
- Stripe:捐款人姓名、电子邮件、邮寄地址(如已收集)和支付数据存储于 Stripe 的服务器。Stripe 是 PCI DSS 1 级认证的支付服务提供商。Stripe 的数据保留、安全措施和隐私实践受 Stripe 隐私政策(stripe.com/privacy)约束。Stripe 已在欧美数据隐私框架下完成自我认证。
- 法律实体:法律实体财务记录所需的交易数据从 Stripe 传输至法律实体的 IT 系统,这与 donate.jw.org 现有的数据流相同。
- 纽约守望台圣经书社(“WTNY”):WTNY 根据 IT 服务协议为 Lepta 提供更广泛的 IT 环境,包括 HuB 企业资源规划系统、Microsoft 365/SharePoint Online(Lepta 的客户资源平台)、Microsoft Azure 云服务、Microsoft Power BI、Microsoft Exchange(电子邮件)、备份服务和域名托管,均来自美国。WTNY 作为 Lepta 的处理方和次级处理方,仅按 Lepta 的书面指示处理个人数据。WTNY 针对 Microsoft 365/SharePoint Online/Azure/Power BI/Exchange 层的下游次级处理方为 Microsoft Ireland Operations Limited,后者依赖 Microsoft Corporation(美国,DPF 认证)提供服务。WTNY 本身未在欧美数据隐私框架下获得认证;Lepta 到 WTNY 传输的适当保障措施详见下方第 7 条。通过本应用提交的捐款人和志愿者个人数据不会由 Lepta 传输至 WTNY:按照本应用的数据流,捐款人和志愿者数据从本应用发送至 Lepta 门户(托管于美国 Amazon Web Services, Inc.),再从那里发送至 Stripe(记录系统)。
- Amazon Web Services, Inc.(服务器日志,美国——次级处理方):本应用的后端托管于美国(us-east-1 区域)的 Amazon Web Services, Inc.(“AWS”)。AWS 已在欧美数据隐私框架下完成自我认证。标准服务器请求日志可能临时包含 IP 地址、用户代理字符串和 URL 参数等数据。这些日志保留 60 天后删除。
- Google(地址自动补全):当捐款人输入邮寄地址时,本应用使用 Google Places API 提供自动补全建议。Google 对此数据的处理受 Google 隐私政策约束。Google, LLC 已在欧美数据隐私框架下完成自我认证。
Lepta 的门户(管理仪表板)不在其自有数据库中存储捐款人个人信息。管理仪表板通过 Stripe 的嵌入式支付界面实时从 Stripe 直接提取支付和捐款数据。
门户自有数据库中存储的唯一个人数据是管理员用户账户(姓名、电子邮件、哈希密码),用于管理系统的法律实体代表。这些不是捐款人记录。
Lepta 次级处理方的完整列表可在 lepta.io/resources 查阅。
7. 国际数据传输
您的个人数据可能会被传输至您所在国家/地区以外的国家进行处理,包括美国。涉及源自欧洲经济区(EEA)、英国或瑞士的个人数据的此类传输,均已采取适当的保障措施。传输机制的完整详情载于 Lepta 数据传输附录(可在 leptapay.com/legal/dta 查阅)。以下是各项传输保障措施的摘要。
- Stripe(美国——独立控制方):Stripe 已在欧美数据隐私框架(DPF)及其英国扩展下完成自我认证。欧盟委员会的充分性决定(2023 年 7 月 10 日实施决定(EU)2023/1795)适用于向 Stripe 的个人数据传输。Lepta 监控 Stripe 的 DPF 认证状态。
- WTNY(美国——次级处理方):WTNY 未在数据隐私框架下获得认证。Lepta 向 WTNY 的个人数据传输受欧盟标准合同条款(模块 2:控制方到处理方,Lepta 作为控制方;模块 3:处理方到处理方,Lepta 作为处理方)保护,该条款由欧盟委员会批准并纳入 Lepta 与 WTNY 之间的 IT 服务协议。标准合同条款附有附加保障附录,提供补充措施,包括传输中和静止状态下的个人数据加密、将请求重定向的合同承诺、抵制和质疑美国监控法下的政府访问请求、向 Lepta 通报任何具有约束力的个人数据法律要求(受适用法律限制),以及仅披露满足任何不可避免命令所需的最少个人数据。WTNY 针对 Microsoft 365/SharePoint Online/Azure/Power BI/Exchange 服务的下游次级处理方为 Microsoft Ireland Operations Limited(爱尔兰),依据 Microsoft 客户协议签约;Microsoft Ireland Operations Limited 依赖 Microsoft Corporation(美国,已在欧美数据隐私框架下自我认证)从美国 Microsoft 数据中心提供基础服务。
- Google(美国——次级处理方):Google, LLC 已在欧美数据隐私框架下完成自我认证。充分性决定适用于作为 Google Places API DPF 认证次级处理方的 Google 的数据传输。
- AWS(美国——次级处理方):Lepta 的后端托管于美国(us-east-1 区域)的 AWS。AWS 已在欧美数据隐私框架下完成自我认证。充分性决定适用于作为 DPF 认证次级处理方的 AWS 的数据传输。
- 向法律实体 HuB 实例的传输:交易数据从 Stripe 传输至法律实体的 HuB 系统实例。此段传输机制取决于各法律实体的所在地,并受法律实体自身的数据处理安排约束。
Lepta 在爱尔兰(EEA)设立,本身不符合数据隐私框架认证资格,该认证仅向美国境内组织开放。Lepta 依赖欧盟标准合同条款和补充措施(针对未获 DPF 认证的美国接收方)以及 DPF 充分性决定(针对已获 DPF 认证的美国接收方)作为受限传输的合法机制。
8. 数据保留
Lepta 仅在本隐私政策所述目的所需的时间内保留个人数据:
| 数据类别 | 存储位置 | 保留期 |
|---|---|---|
| 志愿者姓名和电子邮件 | 设备(加密) | 至退出登录为止 |
| 志愿者姓名和电子邮件 | Stripe | 按 Stripe 的保留政策 |
| 捐款人姓名、电子邮件、地址 | Stripe | 按 Stripe 的保留政策(服务持续期间加上适用法律要求的任何期限) |
| 捐款人交易数据 | 法律实体(HuB) | 按法律实体在适用法律下的财务记录保存义务 |
| 支付卡数据 | Stripe(专属) | 按 Stripe 的保留政策和 PCI DSS 要求 |
| 设备位置 | 不存储 | 不适用——仅实时使用 |
| 服务器日志(IP、用户代理) | AWS | 60 天 |
| Lepta IT 环境数据(HuB ERP、Microsoft 365/SharePoint 客户资源、文件/打印/电子邮件/备份) | WTNY(处理方/次级处理方) | 按 Lepta 的保留指示和 HuB 条款和条件第 9.3 条,该条款规定以结构化、通用、机器可读的格式返还客户数据,以及终止后至少 90 天的协助。 |
9. 您的权利
根据您所在的位置,您可能对您的个人数据拥有以下权利:
- 访问权:您有权请求获取我们持有的有关您的个人数据副本。
- 更正权:您有权请求更正不准确或不完整的个人数据。
- 删除权:您有权请求删除您的个人数据,但须遵守任何要求保留数据的法律义务。
- 限制权:您有权在某些情况下请求我们限制对您个人数据的处理。
- 数据可携带权:当处理基于您的同意或合同履行时,您有权以结构化、通用、机器可读的格式接收您的个人数据。
- 反对权:当处理基于合法利益时,您有权反对此类处理。除非我们能够证明有令人信服的合法理由,否则我们将停止处理。
- 撤回同意权:当处理基于同意(例如收据选择加入)时,您可随时撤回同意。撤回不影响撤回前处理的合法性。
由于捐款人个人数据由 Stripe 处理和存储,以及在适用情况下由接受捐款的法律实体处理和存储,行使捐款人数据访问、更正、删除或可携带等权利的请求可能需要与 Stripe 和/或相关法律实体协调。我们将协助促成此类请求。
对于存储在您设备本地的志愿者数据,您可随时通过退出本应用来删除此数据。
10. 儿童数据
本应用不面向 16 岁以下儿童。我们不会在未经父母授权的情况下有意收集 16 岁以下儿童的个人数据,这符合《通用数据保护条例》第 8 条的要求。未成年人(18 岁以下或其司法管辖区规定的成年年龄以下)的捐款可应父母或监护人的请求退款,请联系接受捐款的法律实体。父母或监护人可代表儿童通过联系 Lepta(使用第 12 条中的详细信息)行使数据主体权利。如果您认为儿童在未获得适当授权的情况下通过本应用提供了个人数据,请联系我们,我们将采取措施删除此类数据。
11. 本隐私政策的变更
我们可能会不时更新本隐私政策。如果我们进行重大变更,我们将在变更生效前通过本应用或其他适当方式通知您。本政策顶部的"最后更新"日期表明其最近一次修订时间。
12. 联系我们
如果您对本隐私政策有疑问、希望行使您的数据主体权利或有投诉,请联系:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Ireland
[email protected]
数据保护官/隐私联系人:Daniel Melinder
Lepta 的主要监管机构是爱尔兰数据保护委员会。
您也有权向您惯常居住地、工作地或涉嫌侵权地所在欧盟成员国的监管机构提出投诉。