登录
注册

ComplyCube 商业隐私政策

更新于2026年1月12日

本 ComplyCube 企业隐私政策(“政策”)解释了当您使用 ComplyCube for Business 应用程序(“”)时,ComplyCube(定义见下文)如何收集、使用、披露和以其他方式处理信息。“应用程序”)与身份验证有关,了解你的客户(“了解客户”),反洗钱(“反洗钱”)、制裁筛查、欺诈预防和相关合规工作流程(“服务”).

关键角色澄清: 该应用程序使用客户端 API 密钥激活。要求您使用此应用程序完成验证检查的组织(“客户”)是 数据控制器 对于与该核查相关的个人数据,ComplyCube 充当 数据处理者/服务提供商 并处理个人数据 仅根据客户的书面指示。.

1. 定义

  • “客户” 指向您提供应用程序访问权限或要求您完成验证检查的组织(例如,企业、银行、金融科技公司、市场、雇主或其他实体)。.
  • “客户数据” 指客户(或您代表客户)向服务提交的个人数据和其他信息,用于 KYC/AML 或相关工作流程的处理。.
  • “ComplyCube”、“我们”、“我们”、“我们的” 指 TEEMO TECHNOLOGY LTD(以 ComplyCube 名义进行交易),公司编号 12392069,注册地址:Crown House, 27 Old Gloucester Street, London, WC1N 3AX, United Kingdom。.
  • “个人资料” 指能够识别、关联、描述、合理地与已识别或可识别的个人相关联或可以合理地与已识别或可识别的个人关联的信息,包括某些美国州法律定义的“个人信息”。.
  • “敏感个人数据/敏感个人信息” 包括(如适用)生物识别信息以及根据 GDPR/英国 GDPR 和/或美国州隐私法被视为敏感的其他类别。.

2. 适用范围及适用对象

本政策适用于通过应用程序处理的、与客户发起的验证检查相关的个人数据。本政策不取代或凌驾于客户的隐私政策之上。客户有责任向您提供关于其数据处理活动的适当通知,并确定数据处理的合法依据。.

3. 控制者/处理者和服务提供商身份

为进行验证检查,客户是 数据控制器 (或根据某些美国法律称为“企业”)。ComplyCube 处理客户数据的方式如下:

  • 一个 数据处理器 (GDPR/英国GDPR术语)和/或
  • 一个 服务提供商/处理商 (CCPA/CPRA术语),

并且不会将客户数据用于提供服务、提高安全性、防止欺诈、遵守法律以及适用的处理者/服务提供商框架和我们与客户之间的协议允许的其他目的之外的其他目的。.

4. 我们通过应用程序处理的个人数据

根据客户选择的工作流程,我们可能会收集和处理以下几类个人数据:

4.1 身份和联系数据

  • 名称
  • 出生日期
  • 住宅地址
  • 电子邮件
  • 电话/手机号码
  • 国籍和/或居住身份(如适用)

4.2 身份证明文件数据

  • 身份证明文件照片(例如,护照、国民身份证、居留许可、驾驶执照)
  • 文件编号、有效期、签发机构
  • 机器可读区 (MRZ) 数据
  • 条形码数据(如适用)
  • NFC芯片数据及相关安全检查(如客户端支持并启用)

4.3 生物识别数据(敏感/特殊类别)

  • 用于活体检测的自拍图像和/或视频
  • 从图像/视频中提取的面部几何模板(生物特征标识符)用于人脸匹配和活体检测

4.4 设备、网络和技术数据

  • IP地址
  • 设备型号、制造商
  • 操作系统及版本
  • 应用版本
  • 设备标识符和设备信号(例如,设备 ID、适用且允许的广告标识符、完整性信号)
  • 语言/地区、时区
  • 网络和连接元数据

4.5 验证、安全和防欺诈数据

  • 验证尝试时间戳
  • 会话和审计日志
  • 欺诈信号、风险指标和诚信检查
  • 根据 IP 地址推断出的大致位置(并非精确的 GPS 定位,除非客户端明确启用且您授予权限)

4.6 通信和支持数据

  • 支持请求和与 ComplyCube 的通信(如果您直接联系我们)
  • 共享技术诊断信息以排查问题

4.7 一次性密码 (OTP)

在客户允许的情况下,我们可能会发送功能性、非营销性质的一次性密码 (OTP) 信息,以方便客户工作流程中的身份验证。可能适用标准短信费用。.

5. 应用如何使用权限(iOS 和安卓)

该应用程序可能会请求访问以下设备功能:

  • 相机: 用于采集身份证明文件和面部图像/视频,以进行身份验证和活体检测。.
  • 麦克风(可选): 如果客户端启用了需要音频的视频实时功能。.
  • 本地存储(有限): 在安全传输之前,对捕获的图像/视频进行临时存储/处理。从设备上传。
  • 网络访问: 安全地传输验证数据并检索工作流程指令/结果。.

权限仅用于提供服务。您可以在设备设置中管理权限;但是,禁用某些权限可能会导致验证流程无法完成。.

6. 处理目的

ComplyCube 通过应用程序处理个人数据,仅用于代表客户提供服务。典型用途包括:

  • 身份验证和文件真实性检查
  • 生物特征活体检测和人脸匹配
  • 欺诈检测与预防、风险评估和平台安全
  • 审计日志记录和合规性记录保存(按客户指示和/或法律要求)
  • 客户支持、故障排除和事件响应
  • 服务可靠性、性能监控和安全改进

ComplyCube 不会将客户数据用于广告宣传或出售个人数据。.

7. 法律依据(GDPR/英国GDPR)

客户负责确定并告知根据 GDPR/英国 GDPR 进行数据处理的合法依据。根据工作流程和司法管辖区的不同,合法依据可能包括:

  • 履行合同
  • 遵守法律义务
  • 合法权益(例如,防止欺诈、安全)
  • 同意,包括 明确同意 生物特征处理所需之处

当生物识别数据构成特殊类别数据时,处理通常基于 明确同意 (GDPR 第 9(2)(a) 条/英国 GDPR)或客户确定的其他适用例外情况。.

8. 个人数据的披露

我们可能会按以下方式披露个人数据:

  • 致客户: 提出验证请求的组织,即数据控制者/企业。.
  • 致分包商/服务提供商: 值得信赖的供应商,他们提供主机托管、基础设施、安全、欺诈预防、仅限于运营绩效的分析以及相关服务。他们受合同保密和数据保护义务的约束。.
  • 出于法律原因: 为了遵守适用的法律、合法要求、法院命令,或为了保护权利、安全和保障。.
  • 公司交易: 在合并、收购、融资、重组、破产或资产出售的情况下,须遵守适当的保密和数据保护措施。.

我们不出售客户数据。我们不会共享客户数据用于跨情境行为广告。.

9. 国际数据传输

如果个人数据被传输到英国/欧洲经济区以外,我们会使用适当的保障措施,例如标准合同条款和/或其他合法的传输机制,并且我们会要求分包商实施适当的安全措施。.

10. 数据保留

数据保留期限由客户和适用的法律要求决定。ComplyCube 仅保留以下个人数据:

  • 在提供服务和维护审计/安全记录所需的时间内,,
  • 按照客户指示,并且
  • 根据法律要求或允许(例如,为了解决争议、执行协议或履行法律义务)。.

11. 您的权利(GDPR/英国GDPR及其他地区)

根据适用法律,您可能享有访问权、更正权、删除权、限制处理权、反对权、数据可移植权和撤回同意权等权利。.

由于 ComplyCube 作为数据处理方/服务提供商负责验证工作,因此与客户数据相关的请求应直接联系发起验证的客户。如果您联系 ComplyCube,我们可能会将您的请求转交给客户,或根据法律要求协助客户完成请求。.

12. 美国州隐私声明(包括加州 CCPA/CPRA)

本节适用于居住在美国某些州(包括加利福尼亚州,适用经《加州隐私权法案》(CPRA)修订的《加州消费者隐私法案》(CCPA))的居民。在验证过程中,客户通常指“企业”,而ComplyCube则指客户数据的“服务提供商”/“处理者”。.

12.1 收集的个人信息类别

过去 12 个月内,通过该应用程序处理的个人信息可能包括:

  • 标识符: 姓名、电子邮件地址、电话号码、IP 地址、设备标识符
  • 客户记录: 地址、出生日期、身份证件详情
  • 生物特征信息(敏感信息): 用于人脸匹配和活体检测的面部图像和生物特征模板
  • 互联网/网络活动: 应用使用日志、技术事件、会话标识符
  • 地理位置数据: 根据 IP 地址估算位置(除非另行启用)
  • 敏感个人信息: 生物识别信息和身份证明文件数据(根据适用法律被视为敏感信息的情况)

12.2 收集/使用目的

  • 向客户提供身份验证和合规性审查服务
  • 维护安全、防止欺诈、调试和执行质量保证
  • 为了履行法律义务并执行我们的协议

12.3 个人信息的出售/共享

ComplyCube 不会“出售”个人信息,也不会“共享”个人信息用于跨情境行为广告,这些术语均按照 CCPA/CPRA 的定义进行定义。.

12.4 个人信息的披露

我们可能会向以下机构披露个人信息:

  • 提出验证请求的客户(企业),,
  • 协助提供服务的服务提供商/分包商,以及
  • 根据法律要求或CCPA/CPRA允许,向有关当局或其他方提供信息。.

12.5 消费者权益

根据您所在州的法律,您可能享有以下权利:

  • 知情权/获取权
  • 删除权
  • 更正权
  • 数据可移植权
  • 选择退出出售/共享的权利(如适用)
  • 限制使用和披露敏感个人信息的权利(如适用)
  • 行使隐私权时不受歧视的权利

由于客户是验证检查的业务/控制方,您应首先向客户提交请求。如果您向 ComplyCube 提交请求,我们可能会将其转发给客户,或者根据法律允许的情况作为服务提供商进行处理。.

12.6 授权代理商(加利福尼亚州)

加州居民可委托授权代理人提交申请。我们(或客户)可能会要求核实代理人的授权资格以及您的身份。.

13. 儿童

除非客户明确授权且适用法律允许,否则本应用程序不适用于 18 岁以下人士使用。.

14. 本政策的变更

我们可能会不时更新本政策。“最后更新”日期表明本政策的最新修订时间。如法律要求,我们将就重大变更另行通知。.

15. 联系我们

如果您对本政策或 ComplyCube 的隐私保护措施有任何疑问:

  • 电子邮件: privacy@complycube.com
  • 数据保护官: dpo@complycube.com

生物识别同意通知(应用程序)

本生物识别同意声明解释了当您在应用程序中完成身份验证工作流程时,如何收集和使用生物识别数据。.

1. 可以处理哪些生物识别数据

根据工作流程,该应用程序可能会拍摄您的自拍照和/或面部短视频,用于活体检测。由此,系统可能会创建生物特征标识符(例如面部几何模板),将您的面部与您身份证件上的照片进行比对,以确认您是真人。.

2. 生物特征处理的目的

  • 为了验证您的身份
  • 对您的自拍照和身份证件进行人脸匹配
  • 执行活体检测并检测欺骗尝试
  • 为了防止欺诈并保障验证过程的安全

3. 明确同意

通过在应用程序中完成生物识别步骤并按照屏幕上的说明操作,您即提供了您的 明确同意 同意为上述目的处理您的生物识别数据,前提是适用法律(包括 GDPR 第 9(2)(a) 条/英国 GDPR)要求获得您的同意。.

4. 谁会接收生物识别数据

生物识别数据由请求验证的客户代表其进行处理。客户是数据控制者/企业。ComplyCube 作为数据处理者/服务提供商。生物识别数据可能仅在为完成验证流程所必需的情况下,并受合同保障措施的约束,才会披露给客户和 ComplyCube 的授权子处理者。.

5. 保留

生物识别数据的保留期限由客户根据监管要求和自身政策决定。ComplyCube 仅在客户指示的期限内以及法律允许/要求的范围内保留生物识别数据。.

6.撤回同意

您可以随时撤回您的同意,方法是中止验证流程或联系提出验证请求的客户。请注意,撤回同意可能会导致客户请求的验证无法完成。.

7. 问题

如果您对验证过程中需要进行生物识别处理的原因有任何疑问,请联系要求您完成验证的客户。您也可以联系 ComplyCube。 privacy@complycube.com.