本公司作为业界领先的企业资源规划(ERP)服务提供商,深刻认识到保护客户(含使用本公司ERP服务的企业用户及其终端客户)数据与个人信息的极端重要性,切实履行相关法律义务与责任。本隐私政策旨在以透明、详尽的方式,向您说明我们如何依据国际最佳实践、适用法律法规(包括但不限于《通用数据保护条例》(GDPR)、中国《网络安全法》《个人信息保护法》等)及特定平台政策(尤其是电商平台数据保护政策(DPP)与可接受使用政策(AUP)),对您的信息进行收集、使用、存储、保护、共享及删除,全力保障您的数据资产安全与隐私权益,遵循最高标准的保护原则。
本政策适用于您访问、使用本公司提供的所有ERP系统、云服务、API接口及相关支持服务。
一、我们收集的信息类型与范围
为保障ERP服务正常运行、持续优化服务质量及提供优质用户体验,我们严格遵循"最小必要"原则,收集以下信息:
(一)账户与身份信息
当您注册、创建用户账户或办理服务续订时,我们将收集您的企业法人名称、统一社会信用代码、注册地址、主要联系人姓名、职务、电子邮箱地址、电话号码、账户登录凭证(采用加密方式存储)及财务支付相关信息。前述信息仅用于账户核验、服务开通及费用结算。
(二)业务运营数据
您通过本公司ERP系统上传、生成、处理或存储的核心业务数据,均为您日常运营的数字资产,我们仅作为服务提供方代为存储与处理,具体包括但不限于:订单与销售数据(客户订单详情、销售记录、交易历史等);采购与供应链数据(供应商信息、采购订单、物流单据等);库存与仓储数据(商品SKU、库存量、出入库记录等);商品与产品数据(商品描述、属性、定价信息等);财务与会计数据(销售额、成本、利润等);员工管理数据(若ERP包含HR模块)。
(三)终端客户个人识别信息(PII)的处理
若您的业务场景涉及处理终端客户个人信息(如通过电商平台API集成拉取订单数据时,包含的买家姓名、收货地址、联系电话、电子邮箱等敏感信息),此类PII将受到最高级别保护与使用限制,严格遵循相关数据保护法规及平台政策,仅用于您的订单履约相关场景。
(四)服务使用与技术数据
用于记录您及您的用户访问、配置、使用ERP系统的行为与技术特征,包括但不限于:IP地址、设备标识符、操作系统类型及版本、浏览器类型及版本、访问时间、页面浏览轨迹、功能使用频率、错误日志、诊断信息、API调用记录等。前述数据仅用于服务运营维护、故障排查、性能优化、安全审计及合规性验证。
(五)技术支持与沟通信息
当您与本公司技术支持团队、客户服务团队互动时,您主动提供的问题描述、系统日志、屏幕截图、经您明确同意后的电话录音及其他诊断数据,仅用于为您解决问题、优化服务响应效率。
二、我们如何使用您的信息
我们严格遵循"合法、正当、必要"原则使用您的信息,具体用途如下:提供、维护与优化ERP服务;个性化提升用户体验;数据整合分析与业务赋能;保障服务安全与合规性;履行法律义务与监管要求;服务相关沟通与通知。
(特别说明)终端客户PII的使用限制
针对从电商平台等渠道获取的终端客户PII,我们实施最严格的使用管控,仅限以下场景:订单履约支持(PII数据仅在本公司ERP系统内部处理,用于订单精准记录、内部核对、全流程追踪);客户服务辅助(在协助您处理终端客户咨询、订单纠纷等问题时,在严格权限控制下使用相关PII)。我们郑重承诺:此类PII绝不用于市场营销、广告投放、非履约类数据分析,或其他与订单履约、客户服务无关的任何场景。
三、我们如何存储和保护您的信息
(一)安全数据架构与加密技术
传输中加密:所有通过公共网络传输的数据,均采用行业标准加密协议(TLS 1.2及以上版本)及HTTPS协议进行端到端加密。静态加密:存储于服务器、数据库及备份系统中的敏感数据,采用高级加密标准(AES-256)加密处理,加密密钥实行严格分级管理。安全存储环境:数据存储于具备ISO 27001、SOC 2 Type II等国际信息安全认证的高安全级云服务环境,配备完善的物理安全管控、网络安全防护(含WAF、DDoS防护)及环境管控措施。
(二)严格的访问控制与身份认证
最小权限原则:所有员工及服务账户的访问权限,均严格限定在履行岗位职责所需的最小范围。角色化访问控制(RBAC):对不同岗位员工、系统功能实施精细化权限划分。强制多因素认证(MFA):内部员工及外部合作伙伴访问敏感系统或数据时,必须启用多因素认证。全流程日志审计:详细记录所有数据访问、修改、删除等操作日志,进行实时监测与定期审计。
(三)安全事件响应与管理
我们已制定完善的数据安全事件应急响应计划,建立漏洞管理、渗透测试、代码安全审查、实时监测、异常行为检测及自动化威胁防护机制。若发生数据泄露、未经授权访问等安全事件,我们将立即启动应急响应流程,在24小时内按照适用法律法规及合作平台要求履行通报义务,采取补救措施最大限度降低对您的影响。
四、我们如何共享您的信息
我们严格控制信息共享范围,仅在以下合法场景下共享您的信息:第三方服务提供商(经严格背景审查,签署正式数据处理协议DPA及保密协议);法律与监管要求(依法响应法院判决、监管机构合法查询);业务转移场景(兼并、收购等情形下确保接收方遵守本政策);合作伙伴(仅限聚合化、匿名化、去标识化的非个人信息)。
(重要)PII的共享限制
从电商平台获取的终端客户PII,我们绝不向任何外部第三方共享,严格限于本公司ERP系统内部处理;若服务包含物流追踪功能,我们可通过加密通道向选定第三方物流追踪服务商共享非PII订单信息(如订单ID、追踪号、承运商名称),严格遵循最小必要原则。
五、个人识别信息(PII)的保留与删除
我们严格遵循数据保留最小化原则。终端客户PII:自订单发货并成功交付后,若无特殊规定,将在30日内通过数据擦除、物理销毁或不可逆匿名化处理等方式安全删除。法律强制保留:若法律法规强制要求延长保留期限,此类PII将加密存储于合规冷存储环境,期限届满后立即执行彻底删除。其他业务数据与账户信息:根据业务需求、法律法规、税务义务及服务协议约定确定保留期限。您的删除请求:我们将在适用法律规定时限内响应,完成身份核验后彻底删除。
六、您的权利
我们充分尊重您对自身信息的控制权,您享有以下权利:知情权与访问权、更正权、删除权(被遗忘权)、限制处理权、数据可携权、反对权、撤回同意权、投诉权。如需行使上述权利或对信息处理有疑问,可通过本政策末尾联系方式与我们联系。我们将在法规规定时限内,完成身份核验后响应您的请求。
七、第三方链接与服务
本公司ERP系统、官网可能包含第三方网站、应用程序或服务的链接。本隐私政策仅适用于本公司提供的服务,不适用于任何第三方服务。我们强烈建议您访问第三方服务前,仔细阅读其隐私政策与服务条款。
八、政策变更
为适应业务发展、技术迭代、法律法规及合作平台政策更新,我们可能不时修订本隐私政策。修订后的政策将在本公司官网发布,注明生效日期。若政策发生重大变更,我们将在变更生效前通过电子邮件、系统通知等方式向您告知。
九、联系我们
若您对本隐私政策有疑问、意见、建议,或希望行使信息相关权利,可通过以下方式联系我们,我们将及时为您处理:
联系邮箱:yyfqx7187@163.com