隐私政策

深圳市无影腿科技贸易有限公司(以下简称"我们"或"本公司")是YCSH E-com Manage System(ShadowKick ERP)的开发和运营方。我们深知个人信息对您的重要性,并会尽全力保护您的个人信息安全可靠。本隐私政策旨在向您说明我们在您使用本公司ERP系统及相关服务时如何收集、使用、存储、共享和保护您的个人信息,以及您所享有的相关权利。

本政策适用于您访问和使用本公司提供的所有ERP系统、云服务、应用程序及相关支持服务。请您在使用我们的服务前,仔细阅读并充分理解本政策的全部内容。如您使用我们的服务,即表示您同意本政策中所述的处理方式。

1. 信息收集与使用

为确保ERP服务的正常运行、持续优化以及提供卓越的用户体验,我们严格遵循"最小必要"原则,仅收集与实现服务目的直接相关且必要的信息。我们可能收集的信息类型包括:

1.1 账户注册与身份信息

当您注册、创建用户账户或进行服务续订时,我们将收集您的企业法人名称、统一社会信用代码、注册地址、主要联系人姓名、职务、电子邮件地址、电话号码、账户登录凭证(加密存储)以及财务支付相关信息。这些信息用于为您创建和管理账户、提供客户支持以及完成交易。

1.2 业务运营数据

您通过我们ERP系统上传、生成、处理或存储的业务核心数据,这些数据是您日常运营的数字资产。包括但不限于:

  • 订单与销售数据: 客户订单详情(商品名称、数量、价格、状态)、销售记录、交易历史、退货信息等。
  • 采购与供应链数据: 供应商信息、采购订单、入库记录、物流单据等。
  • 库存与仓储数据: 商品SKU、库存量、仓库位置、批次信息、出入库操作记录、库存盘点数据等。
  • 商品与产品数据: 商品描述、属性、分类、图片URL、价格、Listing状态等。
  • 财务与会计数据: 销售额、成本、利润、发票信息、账龄分析等。
  • 员工管理数据(如适用): 员工基本信息、考勤、薪酬等。

1.3 终端客户信息

如您的业务涉及处理您的终端客户的个人信息(例如,当我们的ERP系统通过电商平台API集成获取订单数据时,可能包含买家姓名、收货地址、联系电话、电子邮件地址等信息),这些信息将受到最高级别的保护,仅用于订单管理与履约支持,绝不用于任何其他目的。在此场景下,您作为数据控制者(Data Controller),我们作为数据处理者(Data Processor),按照您的指示处理相关个人信息。

1.4 服务使用与技术数据

关于您和您的用户如何访问、配置和使用我们ERP系统的数据,包括但不限于:您的IP地址、设备标识符、操作系统类型、浏览器类型和版本、访问时间、页面浏览、功能使用频率、错误日志、诊断信息以及API调用记录等。这些数据主要用于服务运营、故障排除、性能管理、安全审计和合规性验证。

1.5 沟通与支持信息

当您与我们的技术支持团队或客户服务团队互动时,我们可能收集您提供的相关问题描述、系统日志、屏幕截图、电话录音(经您同意)及其他诊断数据,以便更高效地解决您的问题。

1.6 信息使用目的

我们严格遵循"目的明确、合理必要"的原则,仅将收集到的信息用于以下指定目的:

  • 提供、维护和优化ERP服务: 包括账户设置、服务开通与管理、系统功能实现、数据存储、交易处理、客户支持、系统维护、版本升级及服务性能的持续改进。
  • 个性化和提升用户体验: 基于您对ERP功能的使用偏好和模式,优化界面布局、推荐相关功能或服务,提升操作便捷性和效率。
  • 数据整合与分析: 对您的业务数据进行整合、处理和分析,以生成多维度报告、提供业务洞察和辅助决策支持。
  • 确保服务安全与合规性: 执行安全验证、监控可疑活动、防止欺诈、识别和响应安全事件、确保系统稳定运行,并严格遵守所有适用的法律法规要求。
  • 履行法律义务与监管要求: 遵守法院命令、政府机构的合法要求或其他法律强制性义务。
  • 沟通与通知: 向您发送与ERP服务相关的更新、技术警报、安全通知、服务变更、维护计划、续费提醒及其他重要信息。

2. 信息存储与保护

本公司将数据安全视为企业生命线,承诺采取业界领先的、多层次、全方位的技术与组织措施,以确保您的数据在整个生命周期中的机密性、完整性和可用性。

2.1 数据加密技术

  • 传输中加密: 所有通过公共网络传输的数据,包括个人信息和业务运营数据,均采用行业标准加密协议TLS 1.2+和HTTPS进行端到端加密保护。
  • 静态加密: 所有存储在服务器、数据库和备份中的敏感数据(包括个人信息和关键业务数据),均采用高级加密标准AES-256进行加密。加密密钥经过严格管理,并与数据隔离存储。
  • 安全存储环境: 数据存储于具备国际信息安全认证的高安全云服务环境中,具备强大的物理安全控制、网络安全防护(包括WAF、DDoS防护)和环境控制。
  • 匿名化与去标识化: 在可能的情况下,我们对数据进行匿名化或去标识化处理,以降低数据泄露对个人隐私的影响。

2.2 访问控制与身份认证

  • 最小权限原则: 所有员工和服务账户的访问权限均严格限制在完成其职责所需的最低限度。
  • 基于角色的访问控制(RBAC): 对不同员工和系统功能应用精细化的权限管理,确保只有授权人员才能访问特定数据。
  • 多因素认证(MFA): 所有内部员工和外部合作伙伴访问敏感系统或数据时,必须启用MFA。
  • 访问日志与审计: 详细记录所有数据访问、修改和操作日志,并进行持续监控和定期审计,确保可追溯性并及时发现异常行为。

2.3 安全事件响应

我们制定了完善的数据安全事件应急响应计划,涵盖漏洞管理、渗透测试、代码安全审查、异常行为检测及威胁防护机制(包括WAF、IDS/IPS等),以预防、识别并应对潜在安全威胁。一旦发生任何数据安全事件(如数据泄露或未经授权访问),我们将立即启动应急响应流程,并按照适用法律法规的要求,在72小时内向相关监管机构报告,同时及时通知受影响的用户,最大限度降低对用户的影响。

3. 信息共享与披露

我们严格遵循"限制共享"原则,仅在以下严格限定的情况下,且在确保数据安全和隐私的前提下共享您的信息:

  • 第三方服务提供商: 我们可能与为我们提供基础设施、云存储、技术支持、客户服务、支付处理、数据分析等必要服务的第三方服务提供商共享您的必要信息。这些服务提供商都经过严格的背景审查,并签署了严格的数据处理协议(DPA)和保密协议,承诺遵守与我们同等或更高的数据保护标准,且仅能为我们提供服务所需的目的使用信息,不得用于其他任何目的。
  • 法律要求与监管合规: 在法律强制要求、法院命令、监管机构合法请求,或为配合法律程序、执行我们的服务协议、保护本公司或他人的权利、财产和安全的情况下,我们可能会披露您的信息。
  • 业务转移: 在发生兼并、收购、资产出售、重组、破产或其他涉及本公司业务转移的情况下,您的信息可能会作为业务资产的一部分被转移。在此类情况下,我们将确保接收方遵守本隐私政策中规定的数据保护标准,并提前通知您。
  • 获得您的明确同意: 在除上述情况外,如需共享您的个人信息,我们将事先征得您的明确同意。

特别声明:我们不会出售您的个人信息

本公司郑重承诺,我们不会向任何第三方出售、出租、交易或以任何形式有偿提供您的个人信息。我们仅在上述明确限定的情况下共享必要的信息,并且始终确保您的数据安全和隐私权益。

4. 用户权利

我们充分尊重您对自身信息的控制权。根据《中华人民共和国个人信息保护法》(PIPL)、《通用数据保护条例》(GDPR)及其他适用法律法规,您对您的个人信息享有以下权利:

  • 知情权与访问权: 您有权了解我们如何处理您的个人信息,并有权访问我们持有的您的个人信息副本。
  • 更正权: 当您的个人信息不准确或不完整时,您有权要求我们及时予以更正。
  • 删除权(被遗忘权): 在以下情形下,您有权要求我们删除您的个人信息:信息不再为收集目的所必需;您撤回同意;我们违反法律法规收集或使用信息;法律法规规定的其他情形。
  • 限制处理权: 在特定条件下,例如您对信息准确性存疑或对处理合法性存在争议时,您有权要求我们限制对您个人信息的处理。
  • 数据可携权: 在技术可行的情况下,您有权以结构化、常用且机器可读的格式获取您提供给我们的个人信息,并有权将这些信息传输给其他数据控制者。
  • 反对权: 您有权反对我们基于特定目的(例如直接营销)处理您的个人信息。
  • 撤回同意权: 如果我们处理您的个人信息是基于您的同意,您有权随时撤回该同意。撤回同意不影响撤回前基于同意进行的信息处理的合法性。
  • 投诉权: 您有权向相关数据保护监管机构提出投诉。在中国,您有权向当地网信部门或市场监督管理局投诉;在欧洲经济区内,您有权向当地数据保护监管机构投诉。
  • 自动化决策拒绝权(如适用): 我们可能在某些场景下使用自动化决策。您有权拒绝仅通过自动化决策方式做出的对您权益有重大影响的决定。

如需行使您的上述权利或对您的数据处理有任何疑问,请通过本政策末尾的联系方式与我们联系。我们将在15个工作日内(中国PIPL要求)或在30天内(GDPR要求)响应您的请求。为保障安全,我们可能需要您提供书面请求或验证您的身份,在处理您的请求前,我们可能会要求您提供相关信息以验证您的身份。

5. 数据保留与删除

我们严格遵循数据保留的最小化原则,仅在为实现特定目的、履行法律义务或解决争议所必需的时间内保留您的信息。

  • 账户信息: 在您的账户有效期内保留。如您注销账户,我们将在合理期限内删除或匿名化处理您的个人信息,但法律法规另有要求的除外。
  • 业务运营数据: 根据业务需求、法律法规要求、税务义务以及与您的服务协议约定执行。当数据不再需要时,我们将安全地删除或匿名化处理。
  • 终端客户个人信息: 此类信息仅在实现订单管理与履约所必需期间保留。在订单完成后,我们将在合理期限内自动删除或匿名化处理相关个人信息。若您提出删除指令,我们将立即执行删除。
  • 法律强制保留: 若因适用法律法规、监管要求或法院命令强制要求更长的保留期限,我们将在规定时间内保留相关信息。在此情况下,信息将进行加密并存储于安全合规的环境中,且仅在法律允许的范围内进行访问和使用,并在法定期限届满后立即删除。
  • 删除方法: 我们采用安全的数据删除方法,包括数据擦除(对电子数据进行覆写或消磁)、物理销毁(对存储介质进行物理破坏)或不可逆匿名化处理(确保数据无法被恢复或重建原始信息)。

6. Cookie与技术追踪

为了提升您的使用体验和确保服务正常运行,我们可能会使用Cookie、信标、本地存储及其他类似技术。

  • 必要Cookie: 用于维持网站和系统的基本功能,如保持登录状态、会话管理、安全验证等。如果您禁用此类Cookie,我们可能无法正常提供服务。
  • 功能Cookie: 用于记忆您的偏好设置(如语言选择、界面布局),以提供更加个性化的体验。
  • 分析Cookie: 用于收集关于您如何使用我们系统的匿名统计数据,帮助我们优化产品功能和提升服务质量。我们可能使用第三方分析服务提供商(如Google Analytics),这些服务提供商不会获取您的个人身份信息。

您可以通过浏览器设置管理或禁用Cookie。请注意,禁用某些Cookie可能会影响系统的部分功能或使用体验。我们不会使用Cookie追踪您的跨站浏览行为或用于定向广告投放。

7. 未成年人保护

我们的ERP系统是面向企业用户的商业服务工具,并非面向未成年人设计。我们不会故意收集未成年人的个人信息。如果我们发现无意中收集了未成年人的个人信息,我们将立即采取措施删除该等信息。如您是未成年人,请勿使用我们的服务。如您是未成年人的监护人,发现我们可能收集了您监护的未成年人的个人信息,请立即通过本政策所述联系方式联系我们,我们将尽快删除相关数据。

8. 国际数据传输

如因提供服务需要将个人信息传输至中华人民共和国境外的云服务器或技术服务提供商,本公司将依据《中华人民共和国个人信息保护法》《数据出境安全评估办法》及相关配套法规履行必要的合法程序,包括但不限于:进行个人信息保护影响评估、与接收方签署标准合同(Standard Contractual Clauses)、通过数据出境安全评估(如适用)等,确保个人信息在跨境传输过程中获得不低于中国法律要求的保护水平。

对于来自欧洲经济区(EEA)的用户,我们同样遵守GDPR关于国际数据传输的规定,采取适当的保障措施(包括欧盟标准合同条款SCCs),确保数据传输的合法性。如您对跨境数据传输有任何疑问,请随时联系我们。

9. 政策更新

我们可能会根据业务发展、技术进步、法律法规及监管要求的变化,不时更新本隐私政策。任何更新都将在本页面发布,并注明生效日期。我们建议您定期查阅本页面以了解最新信息。对于重大变更(例如,涉及数据收集、使用或共享方式的根本性变化),我们将在变更生效前通过电子邮件或在系统内显著位置发布通知的方式告知您,并在法律要求的情况下重新征得您的同意。

10. 联系我们

如您对本隐私政策有任何疑问、意见或疑虑,或希望行使您的数据权利,请通过以下方式与我们联系:

公司名称: 深圳市无影腿科技贸易有限公司

联系人: 朱奇华

电子邮箱: szzkiva@gmail.com

地址: 广东省深圳市宝安区西乡大道稻言大厦二楼

为便于我们及时有效处理您的请求,请在邮件主题中注明"隐私政策申请"并简要描述您的需求。我们将在收到请求后15个工作日内(中国PIPL)/ 30天内(GDPR)予以回复。如我们无法满足您的请求,我们将说明具体原因。

如有任何疑问,请联系我们: szzkiva@gmail.com