最近更新:2022年10月4日。
我们是 Spark 邮箱有限公司(“我们”)。我们按照服务条款向您提供服务。 在 Spark 应用程序(“应用”或 “Spark”)内,您可集中(通过“邮箱账号”)管理邮箱账号、聊天、会话。
我们了解您关心自己的隐私权利,我们亦向您对我们的信任表示感谢。 为了守护您对我们的信任,我们持续践行最新的数据安全标准,增强我们对隐私权利的保护意识,并始终遵守欧盟《通用数据保护条例》(GDPR)和其他隐私法规。
隐私政策说明应用数据的个人数据及其存储和处理方式,也包括您使用 Spark 时的运行情况。
请注意,我们并不收集、跟踪、存储任何个人数据,除非按本政策描述之用于提供或改善产品和服务质量,和宣发营销广告,并遵守我们的法律义务。
免责声明! 我们告知您,不同版本的 Spark 或不同的平台的功能可能存在差异。 因此,请注意,通过 macOS、Windows、iOS 或 Android 的 Spark 的用户体验可能有所不同,一些版本或平台可能缺乏其他版本中的特定功能。
2022年9月14日: 桌面版(Windows,macOS)的 Spark 3 版本将缺少模板、整合、共享收件箱、日历和发送大附件功能。 我们还可能不时增加新功能,也将随时向您通报这些功能的情况。
Spark 保留增加、删除、重命名其功能的权利,并在发生任何变化时立即更新本免责声明。
只要您持有 Spark 账号,您作为我们的当前用户,仍可免费使用 Spark 邮箱历史版本中的所有功能。
请注意:Spark 官网有其隐私政策,涵盖任何通过网站流动的数据。
我们根据 App 用户对我们服务的使用情况,将其分为以下不同类别:免费用户、付费用户、企业、合作伙伴和企业会员,以保护其隐私。
用户(免费版) | 任何免费使用本应用程序的自然人。 |
用户(专业版) | 订阅 Spark 邮箱专业套餐的自然人。 用户(专业版)可以是代表组织或企业使用 App 或由其支付费用的雇员或其他人员。 |
群组 | 两个或更多的用户(免费版或专业版),使用团队特定的功能(例如,团队计费、邮件指派/委派、共享收件箱)。 |
组织 | 购买 Spark 邮箱专业版套餐的法律实体。 |
企业 | 购买个性化订阅套餐的法律实体。 |
您拥有并控制我们收集的关于您的个人数据。 您可以选择不提供某些信息,或者通过改变您账号的设置(例如,通过撤销同意或在复选框选择退出),通过致函我们的邮箱dpo@sparkmailapp.com或通过任何可供您使用的通信方式,禁用并阻止我们收集、储存和处理这些信息。 请注意,在此情况下,您可能无法享用 Spark 的一些功能。
任何收集和处理数据的组织都可以根据特定的数据处理操作扮演不同的角色。 例如,根据您使用的功能,Spark 具有不同的角色。 在本章节中,我们将解释 Spark 如何满足角色要求。
自用户同意服务条款的那一刻起,我们是用户(免费)、用户(专业)、团队、组织和企业(组织或企业的代表)的个人数据的控制者。
这意味着我们在您使用 App 时决定个人数据处理的用量、目的、方式。
根据适用的隐私保护规则,我们也可以根据特定的数据保护操作作为数据处理者。 此情况是指 Spark 提供自助工具、产品或功能,在没有用户指示的情况下不使用个人数据。 例如,Spark 不会将发件人的邮址用于其营销活动,而只是为了让用户能够通过 Spark 服务接收和发送邮件。
我们代表组织或企业处理数据(基于数据处理协议中提供的商定的指示;您可致函 dpo@sparkmailapp.com 索取我们数据处理协议的副本)。
案例:A 公司为员工购买了15条序列码。 雇员数据的控制者是 A 公司,而我们是有关这一处理活动的处理者(即我们在 A 公司的资助下向其提供 Spark 服务)。 作为数据处理者,Spark 不会将这些数据(例如,第三方的邮址)用于我们自己的目的,例如,用于陌生电话营销。
因此,我们是组织、企业和用户(免费版或专业版)这三类用户、雇员或承包商的所有个人数据的处理者。
关于我们作为个人数据控制者及其处理者的更多细节,请致函 dpo@sparkmailapp.com。 此外,您也可以来信。
公司:Spark Mail Limited.
地址: Grand Canal House, 1 Grand Canal Street Upper, Dublin 4, D04 Y7R5, 爱尔兰。
外部数据保护官: Legal IT Group LLC
Address: Office 1, 38 Volodymyrska Str., 01050 Kyiv, 乌克兰
您如果有特别敏感的要求,请通过传统信件联系我们或我们的数据保护官。
本隐私政策适用于与 macOS、iOS、Android 和 Windows 兼容的电脑和手机版本 Spark,可通过我们的网站、App Store、华为应用市场以及谷歌 Play 商店下载。
我们可以根据以下法律依据来处理个人数据:
特别的是,当我们为以下目的处理您的个人数据时,是依赖于合法利益:
我们只有在仔细评估目的性、必要性和相称性的平衡之后,才会依赖于合法利益,而且是以可预期的方式,不限制您的权利。
同意的案例:
“Spark” 想要向您发送通知
通知可能包括闹铃、提醒、图标角标。 上述功能都可在设置里配置。
不允许 / 允许
“Spark” 需要照片访问权限
获取照片权限,添加照片更便捷:
选择照片… / 允许获取照片权限 / 不允许
合法权益案例:
我们收集您在 App 上提出的历史请求记录,以便定制我们向您提供的服务。 有时,我们致函注册用户,向其通知我们的新功能和产品。
本章节解释我们在 App 的不同功能中处理个人数据的方法和实践。
我们处理两类数据:技术数据和您提供给我们的个人数据。 有些数据可在客户端(界面)看到,有些则在后台处理。
客户端是在用户的设备上显示或运行的应用程序的一部分。
后端是应用程序内肉眼无法识别的关键部分,算法在其中对变量和数据点进行操作。 在大多数情况下,为了向您提供我们的服务,处理这些数据是至关重要的。 例如,我们保存后台数据时考虑到组织和技术措施,以确保您的数据安全。
按照定义,您可能属于以下某一类别的用户:
当您使用 App 时,我们根据本隐私政策收集您的个人数据。 当您使用我们的网站时,您的个人数据将按照网站的隐私政策来处理。 App 自动收集的一些数据,如 App 使用的国家或地区:我们根据 IP 地址或从 App Store 获得这些数据(我们以概括的形式收集这些信息)。 一般来说,提供给我们的所有数据既可以与您关联,也可以不与您关联(即匿名数据)。
我们新建个人数据,或者从您那收集到这些数据。 例如,
我们处理一些个人数据纯粹是为了商业目的:让您能够使用我们的服务,通知您我们的新产品和功能,邀请您享受我们的特优套餐和优惠,并使用您的部分数据(通常是假名)来监测趋势和发展我们的产品和业务。 当您直接向我们提供信息或使用我们的应用程序和服务时,我们会收集您的某些信息。 我们只收集为您提供服务所需的信息。
除非我们指定特定的法律依据,否则我们会根据合同(我们的服务条款)来处理您的个人数据(GDPR 第6(1)(b)条:履行合同)。
邮址:作为一款邮件客户端,我们产品的核心功能是基于为您提供管理邮件的功能。 因此,当您开始使用 App 时,Spark 服务将获取您的邮箱账号权限。 您的邮址是您在我们系统中作为用户的唯一标识,帮助我们保护您的数据。 您的邮址也将被用作我们与您就 App 和服务的任何变化有关的主要通信方式,如隐私政策、服务条款或 App 或服务的核心功能。 我们也可能偶尔因营销目的与您联系,这样做符合我们的合法利益。 您将始终有机会在任何时候选择退订类似产品和/或服务的此类营销邮件。 请注意,您的邮件安全储存于我们的服务器,我们不会将其用于分析或定位。
OAuth 登录或邮件服务器凭证:Spark 需要您的凭证来登录您的邮件系统,以便接收、搜索、撰写和发送邮件信息和其他通信。 您如果未登录,我们的产品将无法为您提供必要的通信体验。 为了让您充分享用额外的应用程序和服务功能,如“稍后发送”、“设备间同步”以及在苹果允许的情况下“推送通知”,我们使用 Spark 服务。 您若不使用这些服务,上述功能将无法生效。
付费数据。 我们可能需要处理您的个人数据,以确保您的订阅套餐正常运作,并遵守适用的法律。 我们无法接触到您的敏感支付数据(因支付机构只收集您的个人数据来处理支付),但我们可能会存储您的支付机构 ID、支付状态以及有关您的订阅条款(如类型和期限)的信息。
您加入的团队的身份:为了使 Spark 内部的团队合作成为可能,我们允许您和您的同事在“服务”内创建团队。 您即可分享信息,如邮件会话、共享邮件草稿、私密讨论,或创建指向特定邮件链接。 团队身份是必要的,可以将您与其联系起来,并确保您的信息不被团队成员以外的人员知晓。 我们的系统仅在您创建团队后才创建一条与其相关的记录。
使用 Spark 服务时的邮件内容:我们允许您和您的同事在“服务”内创建团队。 它让您有一个安全的空间以分享信息,如邮件会话,共享邮件草稿,私密讨论,或创建特定邮件的链接。 当您使用“稍后发送”功能时,我们可能会保留您的邮件一段时间(应您要求)。 此类信息存储在我们的安全服务器上,以向您提供服务,方便您通过邮件与团队成员合作。
IP 地址和设置:我们产品的核心功能基于网络连接,因此我们的应用程序和服务在未连接网络的情况下将无法正常运行。 您的 IP 地址是一个让您连接网络的独特标识符,我们的服务将记录连接情况,用于安全和故障排除。 我们还保留有关您的设置的信息,以便您可以确保在设备之间同步选择和体验。
APNS 设备令牌(苹果推送通知服务)。推送通知让您在邮件收件箱内立即获得有关新邮件或私密团队评论的更新。 您可以在初始应用程序设置中,或在往后系统首选项自由启用或禁用设置。
我们分派的应用令牌:该令牌能让我们的系统识别您的设备,排除您可能遇到的故障。
设备、应用版本、iOS 版本信息:我们需要这些信息,以便让安装在设备上的应用能正常工作。
有关应用程序使用的统计信息:为了更好地了解一般应用程序的使用模式并改进产品及其用户体验,Spark 收集有关产品使用的一般统计信息。 收集这些数据有助于我们在未来更新优化 App,而且此类使用不影响您的权利和自由,也不会披露您自己或您的联系人的任何个人数据。 您可以阅读 Amplitude 的隐私政策,了解更多关于其处理个人数据的情况。
最近访问的邮件信息、邮件协作串和共享收件箱。我们需要这些信息来为您和您的团队成员提供 Spark 服务,例如围绕邮件的私密讨论、共享草稿、共享邮件会话和共享收件箱。 通过收集和存储此类数据,我们能通过您的 Spark 应用程序呈现信息讨论帖,并为您的团队提供更好的通信体验。
您的部分邮箱联系人:Spark 智能通知将向您推送来自真实发件人的重要信息通知。 为了屏蔽促销邮件和垃圾邮件的推送通知,我们需要保留推送通知的发件人“白名单”。 我们将此通讯录“白名单”同步到我们的服务器上,以启用智能通知。 您如果决定不使用智能通知,我们将永远不会同步您的邮件联系人。
日志:我们或您的设备可能会储存关于您使用 Spark 邮箱服务的一些信息。 我们在服务器上收集这些信息是为了防止欺诈和对您的个人信息的潜在未经授权的访问,以保证 App 技术特性和安全性能。 托管 App 的服务器可能会记录您的设备向服务器发出的请求、您使用的设备和浏览器的详细信息、您的 IP 地址、访问的日期和时间、城市和国家或地区、操作系统、浏览器类型、移动网络信息。 这些数据仅用于技术目的,即确保 App 的正常运行和安全,调查可能的安全事件,以及解决您报告的 App 的错误和问题。 您如果报告的问题是您无法使用 Spark,我们可能需要您设备上包含的日志数据来调查该问题并排除故障。 由于在您未向我们发送日志前,我们无法获取其信息,因此我们需提前获得您的同意。
客户支持沟通:关于邮件:每当您与我们的支持团队沟通时,我们都会保存沟通记录,包括附件和您自愿决定与我们分享的信息,用于故障排除。
您决定向我们提供的其他信息:基于您的决定和同意,我们也可能处理您提供的任何其他个人数据(例如,您的邮件签名中的信息或向您显示推送通知的邮件的前几行),以提升您在使用我们的一些功能的使用体验,并根据您的目的和需要进行定制。
请注意:一些数据(如公司数据)在没有背景的情况下处理时,可被视为非个人数据。 然而,这些数据如果与其他数据点或数据项(如姓名、电话号码、邮件等)一起被收集和处理,它就可以识别一个特定的用户,从而构成用户数据。 您可以通过阅读下列条款来核实欧盟的官方立场:
请注意,我们不会储存从您那里收集的所有数据。 数据主要储存在您的设备上。 这表示我们看到的是假名甚至是匿名的数据。 关于您的个人数据的保留期的更多信息,请参见本隐私政策的“存储期限和保留期”部分。
Spark 对从谷歌 API 收到的信息的使用将遵守谷歌 API 服务用户数据政策,包括有限使用要求。 您如果将 Spark 与您的 Gmail 账户结合使用,本章节可能对您有所帮助。
许可。 当寻求访问您的谷歌用户数据时,所有的许可请求都由 Spark 邮箱 App 发送。 我们将保密您向我们提供的访问您的 Gmail 账户的授权客户凭证。 我们只要求使用我们需要的信息;我们如果运行新功能,会提示您刷新使用权限。 我们可能将使用递增式认证。
撤销对谷歌用户数据的权限。 您可通过 Gmail 设置撤销 Spark 对您 Gmail 账户的使用权限。我的账户 -> 安全选项卡 -> 有账户访问权限的第三方应用程序 -> 管理第三方访问权限 -> Spark -> 删除访问权限。
您如果决定如此操作,我们将失去对您在 Spark 中的 Gmail 账户的使用权限,无法再向您显示邮件,也无法显示和同步谷歌日历。 根据您的要求(以及当您删除您的 Spark 账号时),我们将删除从您的 Gmail 账户中收集的所有数据;然而,在这种情况下,我们可能无法为您提供使用 Spark 邮件功能以收发 Gmail 邮件。
要求的数据类型。 我们将在许可请求网页上列出所要求的数据类型。 如果我们需要更多(或更少)的权限来运行我们的服务,我们将提示一个新的权限请求,供您审查和同意(或拒绝)。 并非所有谷歌用户数据都可能包含个人数据。 一些统计数据将被匿名化。
请求目的。 本应用程序要求您提供用户数据的目的是让您在处理您的 Gmail 账户邮件时能够使用 Spark 邮箱功能。 如果无法获取邮件权限,我们就不能向您提供包括评估、使用、撰写、更改、删除、存储、共享、过滤、白名单以及本数据处理(按功能)部分所述的以您的名义(换言之,根据您通过操作 Spark 界面发出的指令)对邮件进行的其他操作的功能。 我们不会将您的谷歌用户数据用于任何其他目的,而是让您能够使用 Spark 邮箱服务。
免责声明。 我们不使用谷歌用户数据向任何进行监视的第三方来显示、出售或分发这些数据。 Spark 邮箱没有在本隐私政策或服务条款中未提及的隐藏功能、服务或行为。 Spark 采取合理和适当的措施来保护所有使用谷歌用户数据的应用程序或系统,防止未经授权或非法的访问、使用、破坏、丢失、更改或披露。 Spark 邮箱属于谷歌 API 服务用户数据政策中提到的允许的应用程序类型(即为提高效率而增强邮件体验的应用程序)。
关于上述对谷歌用户数据的权限,我们将:
请注意。 我们不会故意处理 16 岁以下用户的数据而不经法定代表人的同意。 您如果是这样的用户或用户的法律代表,请致函:dpo@sparkmailapp.com。
本章节中提到的保留期是在考虑到 GDPR 中规定的数据最小化原则和影响个人数据处理的适用法律后计算出来的。 我们分析了数据处理的每一步,并计算出满足数据处理目的所需的最短期限。
请阅读本章节与功能描述中提及的保留期。
一般来说,我们会在以下时间段内储存个人数据:
用户(免费版) | 用户(专业版)以及组织和企业的代表 | 团队 (免费版和高级版) |
---|---|---|
处理和保留:合同的期限(服务条款)。 用户如果在36个月内未活动,Spark 将发送两封提醒邮件,通知用户将暂停账号(并删除个人数据),除非用户主动登录。 然后用户将有一段时间(“续用期”)登录账号并更新其免费订阅。 否则,在续用期满后将删除账号。 根据用户的要求,其账号可在删除后收回,但不晚于用户拒绝激活账户或无视提醒邮件后的 12 个月。 |
处理和保留:合同的期限(服务条款或企业的个性化服务合同)。 如果不能从用户那里撤回费用,其账号则降级到免费用户的订阅条款。订阅套餐改变的当天触发保留期,Spark 将在 36 个月未活动后发送两封提醒邮件,如左栏所述。 保留期和归档期与服务合同条款相一致。 | 处理和保留:合同的期限(服务条款)。 最后剩下的团队成员如果在 36 个月内未活动(他们如果使用的是免费订阅版),Spark 将向最后剩下的用户发送提醒邮件,除非用户在提醒信中列出的续用期登录,否则将删除团队数据。
只要团队所有者仍然是活跃的高级用户,被保留包含个人数据的团队内部通信。 在用户的要求下,其账号可在删除后收回,但不晚于用户拒绝激活账户或无视提醒邮件后的 36 个月。 |
同意。 在一般情况下,我们会根据您的同意来处理数据,除非您撤回同意。 在您撤回同意后,我们将需要长达 30 个日历日的时间来删除您的数据。
更新和营销邮件。 我们可能会向您发送邮件,介绍我们的更新、功能、折扣或动向。 鉴于重大更新很少,而且 Spark 紧密关注用户对新功能的要求,我们可能会将您的数据保留长达数年(但在用户账号被视为放弃后不超过 3 年),以便让您了解 Spark 提供的新动向。 您总是可以通过使用邮件末尾的链接取消订阅邮件,或致函:dpo@sparkmailapp.com,选择不接收此类邮件。
客服支持通信。 我们可能会将您和我们客户支持团队之间的通信历史(包括通信内容、附件文件等)保留几年,但不超过 6 年(根据爱尔兰的一般时效规定),以便能够回应您的所有进一步问题和要求或您授权代表您行事的实体的询问,包括那些法律性质的问题。 我们采取必要的安全措施,以确保归档通信和附件,并限制对其的权限。
删除。 我们将在收到您的请求后的 1 个月内删除我们作为 GDPR 规定的控制者所处理的数据。 请求如果很复杂,或者我们收到了来自同一个人的若干请求,我们可能会将答复时间再延长 2 个月。 我们将在收到请求后 1 个月内通知您任何此类延长,并说明延迟答复的原因。
我们保存您的个人数据,直到您删除账号,或者根据数据类型,在一定时间后删除。 当保留期过后,我们会删除您的个人数据或对其进行匿名处理,使其无法恢复。
信息类型 | 储存条款 |
---|---|
邮址、邮件内容、邮件服务器凭证、APNS 设备令牌、我们发放的应用程序令牌、设备信息 | 在服务提供期间服务+存档时间。。 您如果删除 Spark 账号:在删除您的 Spark 账号后 3 个月。 。 您如果要求删除数据:我们将在您提出要求后 30 天内删除您的数据。 请求如果很复杂,或者我们收到了来自同一个人的若干请求,我们可能会将答复时间再延长 2 个月。 在我们删除您的数据后,它将在我们的备份中存储 1 周。 |
收件箱的最近信息 | 删除后的 4 个小时 |
在“稍后发送”的邮件、IP 地址 | 信息发送后即删除 |
共享收件箱的邮件 | 邮件在服务期间储存,一旦删除共享收件箱,邮件即删除。 |
在上述各自的期限结束后,我们会删除您的个人数据。 它可能为统计和分析目的以匿名形式储存。
在提供服务期间,在存储期限内(如上文所定义),或在您撤回同意之前,我们根据您的同意来处理您的个人数据,具体时间视情况而定。
我们将您的数据存储在数据库的备份中。 我们定期备份我们的数据库:至少每天一次,通常存储 1 周。
我们使用谷歌云 SQL 服务进行备份。 您可以点击此处的指南了解更多关于该程序的信息。
我们在履行合同的基础上使用您的个人数据,以提供服务并与用户通信。
我们可能会在开发和/或支持 Spark 的必要范围内与我们的附属机构分享个人数据。 我们在提供服务、技术和客户支持的必要范围内与我们的承包商分享您的个人数据。 此外,我们可以基于以下理由分享您的数据:同意、遵守法律(或法律义务)和合法利益。 此外,我们还采取了组织和技术措施,以确保在向第三方传输数据时个人数据的安全。
详情:
同意。 我们在您明确同意的基础上分享您的个人数据。
遵纪守法。 我们将在必要的范围内向第三方披露您的个人数据:
合法利益或履行合同。 我们可以根据公开请求与第三方分享您的个人数据,代表我们进行处理,但必须采取技术和组织措施保护您的个人数据。 我们可能会将您的个人数据转移给某些公司、顾问和承包商,他们受雇代表我们提供某些服务。
分包商。 我们将征求您的同意,除非数据传输是合同履行的一部分。 以下是我们的可能参与处理个人数据的第三方名单。
我们可能会与其他分包商分享您的个人数据,如审计师、律师、会计师、软件工程师以及我们根据合同聘用的其他专家和学者。
我们收集的个人数据被储存在美国的服务器上。 这些数据默认存储在美国,但我们可能需要在其他国家处理您的个人数据。 我们还与我们在乌克兰的服务提供商分享一些数据。
欧盟委员会对美国和乌克兰都没有做出适当的决定。 因此,我们已经根据标准合同条款的标准准备了一份数据处理协议,并根据 GDPR 在第三国(如美国和乌克兰)转移和存储期间进行了数据保护的立法评估。
您可以在此阅读我们为保护您的个人数据所采取的措施的详细信息,您如果签署,则在我们与您的数据处理协议中。 您如果通过我们的某项服务上传、发送或创建您的客户或其他数据主体的个人数据,您可致函 dpo@sparkmailapp.com 要求签署数据处理协议。
我们定期执行数据保护影响评估,以确保我们使用适当水平的技术和组织措施,防止意外或非法破坏、丢失、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。 我们遵循 ISO 27001 标准,将所有的安全控制作为基础。
具体而言,为了保护您的个人数据,我们使用 HTTPS 和加密,分为小组和个人权限(若适当),报警系统,企业 VPN,书面批准的内部政策(如密码政策和物理权限政策)。
此外,我们系统地监测我们的技术状态,并且从不忘记备份。 我们所有的承包商都承担着符合 GDPR 要求的合同义务。
您可再次找到关于我们上面提到的步骤的信息:
我们的团队有能力处理您的个人数据保护问题。 公司定期开展培训,以确保每位团队成员有足够的知识来确保您的数据安全,并按照欧洲和美国规定的最佳实践来保护您的数据。 数据保护法规。
我们确保所有的传输都有 HTTPS 的安全保障,因此没有其他人可以获取您的数据权限。 您的邮件和账号凭证存储在安全的云端服务器上,使用对称和非对称加密:私人和公共密钥。
我们目前使用 Hetzner 和谷歌(“托管供应商”)。 这些主机供应商已获得诸多国际安全证书,足以确保您数据安全。
1. 物理权限控制:组别权限和报警系统
我们通过 ID 读取功能确保安全进入场所,因此只有被授权的用户才能获取权限。 可单独封锁 ID 卡;也记录人员出入。
在场所内安装了报警系统,防止未经授权人员渗透。 警报系统与门的锁定机制相连。
2. 系统权限控制:个人权限和密码政策
每位员工只能通过他们的员工权限访问这些系统/服务。 所涉及的访问权限仅限于各自雇员和/或团队的责任。
密码政策。 我们通过密码程序和使用长度至少为 4096 比特的 SSH 密钥来管理系统权限。 SSH 密钥加强了生产系统对针对弱口令的攻击,因为禁止基于口令的对相关系统的访问。
此外,我们还有一项关于创建密码的规定。 这也保证了提供基于密码访问的系统的更高安全性。
密码必须符合特定要求。 密码至少:
我们的系统受到防火墙的保护,默认情况下拒绝所有进入的连接。 只接受由例外定义的连接类型。
3. 数据权限控制:监测和物理权限政策。
所有的服务器和服务都受到持续监控。 这包括记录个人的用户界面访问权限。
由于员工密集,视频监控也可能在任何时候启用。
下班前上锁和、或登出也是明文规定且得以实行。
4. 传输控制权:合同义务和公司 VPN
在传输任何数据之前,我们会在数据处理和数据传输协议(若适用)中明确规定组织和安全要求。 这些协议对每家企业和作为控制者的我们来说都是强制性的。
此外,对本地数据储存设备的处理,如 USB 闪存盘,受到协议的规范。
要通过公司以外的网络访问系统,只能使用安全的 VPN。
5. 输入控制:一般限制
我们的员工并非直接接触数据库层,而是通过应用程序访问数据。
IT 员工通过个人凭证和常规登录访问系统。
6. 可用性控制:备份和划分
我们通过几种方式确保数据的可用性。 例如,对整个系统进行定期备份。 如果其他可用性措施失败,则以使用此方式。
重要的服务在多处数据中心重复运行,且由可用性较高的系统管控。
我们的工作站也受到了常规措施的保护。 例如,安装病毒扫描软件,并加密笔记本电脑。
我们想说明的是,我们使用 MDM-解决方案,用安全设置保护员工的设备。
7. 隔离控制:限制权限。
我们使用逻辑上独立的数据库,以防止未经授权人员意外读取有限制权限的数据。
且数据权限也受限,因为员工使用的是管控权限的服务(应用程序)。
作为个人数据的主体,您有以下权利:
权利 | 说明 |
---|---|
权限权利 | 您可以要求对您的个人数据的处理作出解释。 |
纠正权利 | 信息如果不准确或不完整,您可以更改信息。 |
删除权利 | 您可以向我们发出请求,从我们的系统中删除您的个人数据。 |
数据可移植性的权利 | 您可以要求获得您提供给我们的所有数据,也可以要求将数据转移给另一位控制者。 |
反对权利 | 您有权利拒绝处理您的数据。 |
限制权利 | 您可以部分或全部禁止我们处理您的个人数据。 |
撤回同意的权利 | 您可随时撤回您的同意。 |
提出申诉的权利 | 您的要求如果没有得到满足,可以向监管机构提出投诉。 |
要行使您的权利,请致函 dpo@sparkmailapp.com
此外,您有权向数据保护委员会(DPC)监管机构提出投诉,地址是 21 Fitzwilliam Square, South, Dublin 2, D02 RD28, Ireland 或使用网络表单。 请注意,您可以联系当地监管机构。 您的地方当局将联系爱尔兰监管机构,传达您的投诉或要求。
作为个人数据的主体,您有一些特定的隐私权利。 要行使您的权利,请致函 dpo@sparkmailapp.com
您的权利因适用于您的法律存在差异,但可能包括:
请在单独的章节中查看有关您所在州的隐私数据保护法的更多详细信息;您可以在页面右侧的导航中找到该信息。
弗吉尼亚州《消费者数据保护法》 | 《消费者隐私法案》和《加州隐私权利法案》 | 《科罗拉多州隐私法案》 | 《内华达州隐私法》 | 《特拉华州在线隐私和保护法案》 |
---|---|---|---|---|
有权知晓控制者是否在处理客户的个人数据。 | 知晓收集了哪些个人信息的权利和获取个人信息的权利。 | 获取信息的权利。 | 有权知晓控制者是否在处理客户的个人数据。 | 获取信息的权利。 |
纠正的权利。 | 有权知晓个人数据是否被出售。 | 有权确认个人数据的处理情况。 | 有权选择退出销售方案。 | 有权撤回同意。 |
纠正的权利。 。 删除的权利。 。 数据可移植性的权利。 。 有权选择退出有针对性的广告、出售个人数据、或剖析。 |
删除的权利。 除某些例外情况外。 数据可移植的权利。 纠正的权利。 选择退出销售方案的权利。 限制使用和披露敏感个人信息的权利。 |
获取信息的权利。 纠正的权利。 删除的权利。 数据可移植性的权利。 有权通过一项通用的选择退出机制,选择退出有针对性的广告、个人数据的销售方案,或剖析。 |
纠正的权利。 | 纠正的权利。 要求“不跟踪”的权利 选择退出销售方案的权利。 |
上述权利意味为何?
根据国家和立法要求,我们有 30 天至 60 天的时间来执行您的请求,并有权再延长 30 天。
GDPR 规定了本隐私政策和属于其效力范围的关系。 关于处理个人数据的现有法律和要求可能会发生变化。 在此情况下,我们将在我们的网站上发布新版本的隐私政策。
我们如果对本政策(或 App)做出的实质性修改影响了您的隐私权和保密性,我们将通过邮件通知您或在 App 中显示信息并要求您查阅。 我们将提前通知您,您如果在变化生效后继续使用我们的服务,我们将由此推定您同意更新后的隐私政策。
对于加州的居民,我们提供更多关于相关立法和加州消费者隐私法案(CCPA)和加州隐私权利法案授予您的隐私权利的信息。
选择拒绝为直接营销目的披露信息。 加州法律允许居民了解为营销目的接收其个人数据的实体的身份以及披露的信息类别。 您可以通过邮件联系我们,要求提供此类信息,邮址是 dpo@sparkmailapp.com。
请注意,该选择退出并不禁止我们为直接营销以外的任何目的披露个人数据。
自动收集信息。 我们收集您在网上和通过无关联的第三方网站提供给我们的数据。
由第三方自动收集信息。 当您访问我们的网站时,第三方可以在您访问或使用我们的网站和其他网站时,在不同的时间和不同的网站上收集有关您的在线活动的个人数据。
未成年人。 企业如果切实知晓客户是 16 岁以下的儿童,则不得出售该客户的个人信息。 企业只有在父母或监护人的要求下,并在核实了父母/监护人的身份和代表儿童的权力后,才可以处理 16 岁以下儿童的数据。 故意无视顾客年龄的企业应被视为切实了解顾客的年龄。 该项权利可称为“选择加入的权利”。
未得到同意出售未成年客户个人信息的企业应禁止出售该个人信息,除非客户随后提供明确授权。
使用我们应用程序的加州居民可以要求我们不自动收集和跟踪他们在互联网上的在线浏览活动信息。 此类要求通常是通过控制信号的网络浏览器设置或其他机制提出的,这些机制为客户提供了对收集个人客户在一段时间内和跨第三方网站或在线服务的个人数据的选择权利。 我们目前无法满足这些要求。 我们保留在我们的能力发生变化时修改本隐私政策的权利。
加州消费者隐私法案("CCPA")和加州隐私权利法案向我们的加州居民用户提供了以下额外权利。
您可以随时通过邮件与我们联系以行使这些权利:dpo@sparkmailapp.com。
注意,CCPA 设想了一些与行使这些数据保护权利有关的具体要求。 考虑此类要求,我们可能:
另外,请注意,在 CCPA 允许的情况下,我们可以在收到删除请求后保留个人数据(例如,为了检测安全事件、修复错误、遵守法律义务和完成交易)。
我们希望提请您特别注意,Spark 不会向任何人出售、出租或交易您的个人数据。 您如果行使您在 CCPA 下的权利,我们不会歧视您。
我们为行动不便的客户提供无障碍服务。 行动不便消费者也可以通过邮件联系我们,要求提供本隐私政策的副本。
对于弗吉尼亚州的居民,我们提供更多关于相关立法和弗吉尼亚州《消费者数据保护法案》赋予您的隐私权利的信息。
《消费者数据保护法案》规定,一些企业有义务让消费者能够访问和控制企业收集的有关他们的个人数据。
未成年人。 符合 COPPA 可核实的家长同意要求的控制者和处理者,应被视为符合 CDPA 规定的任何获得家长同意的义务。
已知儿童的父母或法定监护人可以代表该儿童就属于该已知儿童的个人处理数据援引客户权利。
无歧视。 控制者不得在违反州和联邦客户反歧视法的情况下处理个人数据,或因客户行使 CDPA 规定的权利而对其歧视。
权限请求。 控制者需要建立并在隐私政策中说明一种或多种安全可靠的方式,供客户提交行使其权利的请求。 所用的方法需要考虑客户通常如何与控制者互动,对这种请求的安全和可靠通信的需要,以及控制者验证请求的能力。
控制者不得要求客户创建一个新账号来行使其客户权利,但可以要求客户使用现有账号。
回应时间。 控制者必须在四十五(45)天内对客户的要求作出回应。 如果符合某些要求,这一期限可以延长一次,即增加四十五(45)天。
信息不收费。 控制者必须根据客户的要求免费提供信息,每位客户每年最多两次。 如果请求明显缺乏依据、过度或重复,控制者可以向客户收取合理的费用或拒绝对请求采取措施,但需证明请求明显缺乏依据、过度或重复的责任在控制者。
退出的权利。 弗吉尼亚州的居民在访问我们的网站时,可以要求选择退出有针对性的广告方案,出售个人数据,或剖析。 弗吉尼亚州允许居民了解为营销目的接收其个人数据的实体的身份以及披露的信息类别。 您可以通过邮件联系我们,要求提供此类信息,邮址是 dpo@sparkmailapp.com。
对于科罗拉多州的居民,我们提供更多关于相关立法和科罗拉多州隐私法案赋予您的隐私权利的信息。
未成年人。 控制者在未获得儿童的父母或合法监护人的同意之前,不得处理已知儿童的个人资料。
权限请求。 消费者可以通过使用控制者在所需的隐私政策中指定的方法提交请求来行使其权利。
您必须考虑到的方法:
控制者不得要求客户创建一个新账号来行使客户权利。 然而,控制者可能要求客户使用现有账号。
回应时间。 回应时间为 45 天。 控制者应在 45天 内通知客户对请求采取的任何措施。 在某些情况下,该 45 天的答复窗口期限可以再延长 45 天。
信息不收费。 控制者必须每年免费提供一次所要求的信息。 控制者可以对 12 个月内的额外请求收取额外费用。
未能作为的理由。 控制者如果不按客户的要求采取措施,控制者应在收到请求后 45 天内通知客户不采取行动的原因,并说明如何对该决定提出上诉。
拒绝请求。 控制者如果不能用合理的商业实践来验证客户的任何权利的请求,则不需要遵守该请求,并可要求提供验证该请求所需的合理的额外信息。
上诉的权利。 控制者应建立一个内部程序,使客户可以对拒绝对客户请求采取行动的行为提出上诉。 客户必须在接到控制者通知,控制者拒绝该请求后的合理期限内提出上诉。 必须在显眼处提供上诉程序,且易于使用。
对上诉的回应。 控制者应在收到上诉后 45 天内将上诉结果通知客户,并书面解释支持该结果的理由。 在某些情况下,该 45 天可以再延长 60 天。
对于特拉华州的居民,我们提供更多关于相关立法和特拉华州在线隐私和保护法案授予您的隐私权利的信息。
面向儿童的广告。 DOPPA 仅在运营商提供“针对或旨在接触主要由儿童组成的受众”的服务或平台时对其进行监管。 然而,这并不包括仅仅参考或链接到另一个面向儿童的服务或平台的服务或平台。
运营商如果尽管没有将其服务或平台指向儿童,但切实知道儿童正在访问这些服务或平台,那么他们也应根据 DOPPA 承担责任。 在这种情况下,运营商不得在知情的情况下使用、披露或汇编该儿童的个人信息,运营商也不能允许其人员存在这种行为。 提供覆盖服务或平台的运营商不能宣传或推销不适合儿童的内容。 因此,DOPPA 提供了一个列举的禁止内容清单,包括酒精、烟草、火器、烟花、鞣制设备和设施、彩票和赌博、纹身、吸毒用具和色情制品。 您应该注意到,运营商如果使用广告服务并确保其符合 DOPPA 的规定,则不需要监测上述内容。
不跟踪请求。 访问我们网站的特拉华州居民可以要求我们不自动收集和跟踪他们在互联网上的在线浏览活动信息。 此类要求通常是通过控制信号的网络浏览器设置或其他机制提出的,这些机制为客户提供了对收集个人客户在一段时间内和跨第三方网站或在线服务的个人数据的选择权利。 我们目前无法执行此类请求。 我们可能在能力发生变更时修改此政策。
对于内华达州的居民,我们提供更多关于相关立法和内华达州隐私法参议院 220 法案授予您的隐私权利的信息。
退出销售方案。 内华达州允许消费者选择不出售通过网站或在线服务收集的“覆盖信息”。 根据法律,“涵盖的信息”包括:
不销售请求。 内华达州未要求实体在其网站上包含一个“不要出售我的个人信息”的按钮或链接。 相反,内华达州规定实体向消费者提供一个邮址、一个免费电话号码或一个互联网网站,以提交经核实的选择退出请求。
回应时间。 在收到“经核实的消费者请求”后,企业有 45 天的时间,在“合理必要”并通知消费者的情况下,可以延长 90 天,总共 135 天。
您可在此查找到完整隐私政策中使用的术语的定义。
“Spark”、“Spark 邮箱”、“我们”、“我们的”:Spark Mail Limited,一家位于爱尔兰的技术公司,维护和运营 Spark 邮箱 App(“App”)。
“控制者”,“数据控制者”:(单独或共同或与其他人共同)决定处理任何个人数据的目的和方式的自然人或法人。 在 CCPA 中,“企业”一词是指履行类似职能的人员。
“数据保护官”、“DPO”:由 Spark Mail Limited 指定的雇员或承包商,帮助其遵守 GDPR 和其他数据保护法律,并被指派帮助您保护您的个人数据权利。 您可联系 DPO(数据保护官),请致函 dpo@sparkmailapp.com。
“数据主体”: Spark 持有其个人数据的自然人(已识别或可识别的自然人)。
"GDPR":欧盟的《通用数据保护条例》。
“个人数据”:任何与您有关并有助于识别您(直接或间接)的信息,如您的名字、姓氏、邮件、位置数据。
“处理”:对个人数据或个人数据集进行的任何操作或一组操作,无论是否通过自动化手段,如收集、记录、组织、结构化、储存、改编或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、调整或组合、限制、删除或销毁。
“处理者”、“数据处理者”:代表数据控制者处理个人数据的自然人或法人。 在 CCPA 中,术语“服务提供商”可用于将数据处理的某些部分根据企业的指示委托给另一人员的情况。
“服务”、“Spark 邮件服务”(无论是否加粗): Spark 邮箱 App 和通过使用 Spark 邮箱 App 提供的功能,无论是基本功能还是专业功能,共同或单独。
“次级处理者”:除我们之外,我们指定处理客户个人数据的任何人员。 次级处理者看到的数据量跟我们看到的一致(除非您向他们提供您在Spark 邮箱 App 之外的个人数据)。 例如,我们的数据托管供应商和支付处理商。
“监管机构”:GDPR 下辖的当地监管机构,其工作是确保我们适当保护您的数据。