关于在中华人民共和国境内收集到的个人信息处理的通知

个人信息是指以电子方式或其他方式记录的各种信息，这些信息单独或与其他信息结合起来，可以识别特定自然人或反映特定自然人的活动。
本公司收集和使用下列的个人信息。

• 信用卡数据（卡号、有效期、卡片认证码）：当您使用本公司品牌的信用卡、向JCB PLAZA进行咨询或享受本公司提供的促销活动时，本公司直接或从金融机构、特约商户收集的信息。
• 交易信息（使用时间、日期、货币、金额）：当您使用本公司品牌的信用卡或当本公司调解、仲裁、解决发卡方、收单方、特约商户之间的纠纷等情况时，本公司从金融机构、特约商户收集到的信息。
• 持卡人姓名、电话号码：当您使用本公司品牌的信用卡、向JCB PLAZA进行咨询或享受本公司提供的促销活动时，本公司直接或从金融机构、特约商户收集的信息。
• 姓名、住址、社交媒体账号信息：当您使用社交媒体时，本公司向您收集的信息。
• 通话内容、旅行者性别、护照号码、同行者详细信息：当您向JCB PLAZA咨询并希望预订机票或餐厅时，本公司向您收集的信息。
• 访问日志（IP地址、浏览历史记录等）、Cookie、浏览器信息、OS信息、使用移动设备访问时除上述以外的网站信标、终端信息：当您访问本公司网站时本公司向您收集的信息。此外，使用Cookie及网站信标收集到的信息不包括您的姓名、信用卡号等个人信息。
• 发卡方、收单方的业务联系人信息（姓名（组织名称、代表人姓名、负责人姓名）、住址、电话号码、电子邮箱、出生日期）：与本公司品牌的信用卡发卡方、收单方合作时，本公司向这些组织机构收集的信息。
• 特约商户、供应商的业务联系人信息（姓名（组织名称、代表人姓名、负责人姓名）、住址、电话号码、电子邮箱）：与特约商户及供应商负责人进行必要联系时，本公司向这些组织收集的信息。

本公司出于以下目的使用您的个人信息：

• 为了使您能够使用本公司发行的信用卡。
• 运营结算网络。
• 防止卡号被第三方冒用、洗钱、诈骗等行为，以及发现不正当行为时通知相关方
• 为您提供本公司、发卡方、收单方、特约商户及本公司合作方提供的服务、促销、优惠等。
• 为应答您对JCB PLAZA的咨询。（旅行信息、JCB折扣和促销信息指引、酒店、餐厅、出租车、旅行等相关的JCB特约商户的预约、JCB卡丢失或被盗时的联络受理、使领馆、当地的警察、医疗机构、保险公司等的介绍）
• 提升JCB PLAZA呼叫中心的服务质量和处理投诉等。
• 与您及金融机构、特约商户等进行必要的联系。
• 调解、仲裁和解决发卡方、收单方、特约商户之间的纠纷。
• 本公司内部审计、调查、分析、报告。
• 数据分析和营销目的。
• 评估广告、宣传及营销效果。
• 利用社交媒体进行信息发布、统计、分析。
• 评估本公司业务及开发新产品、新功能、新服务等。
• 调查本公司网站的用户数和流量。
• 与金融机构签订合同及根据合同开展业务。
• 通过发送宣传资料或电话、电子邮件及其他通信方式等方法介绍本公司的业务。
• 基于风险的身份验证解决方案提供商用作计算风险评分，而该风险评分作为身份验证解决方案提供商的一部分服务，可能会被第三方使用。但个人信息仅以假名形式，即第三方只能以无法识别ID的方法使用。
• 应对所适用法律法规及执法机关提出的要求。

此外，如果我们需要改变收集和使用个人信息的目的，我们将重新征求您或金融机构、特约商户的同意。

本公司将按照以下规定委托处理、共享、转让、披露您的个人信息：

（1）委托处理
为了将客户的用卡信息保存在更安全的环境中，我们可能会使用外部供应商提供的环境。另外，我们还将以下服务进行外包，包括应对客户的咨询、运营促销活动、提供附加价值服务、运营和管理网站、分析网站访问、通过社交媒体发布信息、统计和分析等业务。
我们将与供应商签订个人信息处理协议，并要求供应商按照本公司的指示、本政策及其他相关保密和安全措施处理您的个人信息。

（2）共享
除非得到您的明确同意，否则本公司不会与本公司以外的任何公司、组织和个人分享您的个人信息。
为了实现上述目的，我们可能会与以下组织分享您的信用卡数据、交易信息、持卡人姓名等个人信息。
-代表本公司提供服务的供应商
-金融机构、特约商户及其他参与支付结算处理的组织
-监视和制止非法冒用、洗钱、诈骗等行为的执法机关等
-根据适用法律，或者在出售或转让本公司业务或资产的情况下有义务分享个人信息的其他实体

（3）转让
本公司不会将个人信息转让给第三方，但以下情况除外：

• 在征得您的同意的情况下向第三方提供个人信息时
• 在发生涉及个人信息转让的合并、收购、清算时
  我们将承诺要求新的持有您个人信息的公司、组织继续受本政策的约束，否则我们将要求该公司、组织重新向您征求授权同意。

（4）披露
本公司不会将您的个人信息披露给第三方，但以下情况除外：

• 获得您明确同意后
• 政府机关根据法律法规要求查询时
• 其他配合搜查和诉讼、保护您的重要利益、保护本公司免受经济损失时

＜保护措施＞
本公司已制定相关管理制度，以纠正和防止个人信息遭到非授权访问、丢失、破坏、篡改、或泄露，并采取适当的技术和管理措施来应对此类风险。这些措施的目标是维护数据保护标准，为个人信息处理确保防护措施。

（1）只有经授权的高层和员工才可以访问个人信息。

（2）我们将收集和使用个人信息限制在提供服务及管理业务所需的最小必要范围内。

（3）如果我们将个人信息处理工作外包给第三方，将会选择符合中华人民共和国个人信息保护标准并具备相应保护措施的第三方，并定期审查，以确保遵守该数据保护政策和法律法规。

（4）我们努力确保正确、高效地管理您的个人信息。

（5）在必要的情况下，我们对个人信息进行假名化或加密处理（如在本公司网站收发个人信息时）。

（6）我们努力确保系统和服务的保密性、一致性、可用性和可恢复性。

（7）我们建立了相关制度，以确保在发生物理或技术故障时，能够及时恢复对个人信息的提供和访问。

（8）我们定期对技术和管理措施的有效性进行检查、审计和评估，以确保处理过程的安全性。

＜保存期限＞
本公司会采取合理可行的措施，避免收集无关的个人信息，以保护您的个人信息。
我们只会在达成上述“2.个人信息的使用目的”所需的期限内保留您的个人信息，并在达成目的后立即删除，除非需要延长保留期或受到法律的允许。
请注意，本公司受世界各地适用的法律和规制的约束，可能会要求长时间保留个人信息，以配合税务申报、政府调查、诈骗调查、交易监视、诉讼、纠纷解决等。在这种情况下，您的个人信息仍将按照我们的数据保存政策被安全地保存。如果您对个人信息的保存方法和期限有任何疑问，请通过“9.如何联系我们”所述的联系方式与我们联系。

＜个人信息提供后的安全风险＞
请务必注意,没有一个互联网环境是百分之百安全。我们将尽力确保您向本公司提供的个人信息的安全性。如果我们的物理、技术或管理防护设施遭到破坏，导致信息被非授权访问、泄露、篡改或侵犯您的合法权益的情况，我们将依法承担相应责任。
此外，请注意，当您自愿通过我们的服务共享或披露信息时，可能会包括您自身或他人的个人信息。

＜安全事件＞
在不幸发生个人信息安全事件时，如非授权访问、泄露、篡改等，本公司将根据法律法规的要求，通过邮件、信函、电话、推送通知等方式及时向您告知以下事项。难以逐一告知个人信息主体时，我们会采用合理、有效的方式发布公告。

• 安全事件的基本情况及可能的影响
• 我们已采取或将要采取的措施
• 您可自主防范和降低风险的建议
• 对您的补救措施
• 个人信息保护负责人或本公司的联系方式等

同时，我们将根据监管部门要求，主动上报安全事件的处置情况。

根据本公司产品或服务所适用的法律法规，本公司保障您对自己的个人信息行使以下权利：

（1）访问您的个人信息
除法律法规另有规定外，您有权查阅您的个人信息。如果您想行使访问权，可以通过“9.如何联系我们”所述的联系方式与我们联系。
我们将在30天内回应您的访问请求。另外，关于您在使用本公司产品或服务过程中产生的个人信息，将在本公司业务负担允许的范围内向您提供。

（2）更正您的个人信息
如果您的个人信息发生变更，您有权要求我们作出更正。您可以通过上述“（1）访问您的个人信息”中所述的方式提出更正申请。
我们将在30天内回应您的更正要求。

（3）删除您的个人信息
在以下情形中，您可以向我们提出删除个人信息的要求。您可以通过上述“（1）访问个人信息”中所述的方式提出删除申请。

1. 我们处理个人信息的行为违反法律法规
2. 我们收集和使用您的个人信息，却未征得您的同意
3. 我们处理个人信息的行为违反了与您的约定
4. 您不再使用我们的产品或服务
5. 我们不再为您提供产品或服务

若我们决定响应您的删除请求，我们还将同时通知获的您个人信息的相关组织，要求其立即删除，除非法律法规另有规定，或这些组织获得您的独立授权。
如果我们删除您的个人信息，我们可能不会立即在备份系统中删除相应的信息，但会在备份更新时删除这些信息。

（4）变更同意范围
为了便于我们向您提供产品或服务，需要您提供一定的个人信息。关于我们进一步收集或处理您的个人信息，您可以随时予以同意或撤回。
如果您撤回同意，该个人信息处理将被终止。但不会影响您之前同意的个人信息的处理。
如果您不希望接收我们使用cookie信息推送的广告，可以通过访问本公司品牌网站更改您的cookie设置。

（5）要求提供个人信息副本
在技术可行的范围内，我们可能会向您提供您的个人信息副本。例如，在数据接口通用的情况下，我们会在技术可行的范围内，根据您的要求，直接将您的个人信息副本发送给指定的第三方。

（6）约束自动化决策（使用AI等进行决策）
除非我们获得您的明确同意，或者您与我们签订的合同中必要的情况下，否则我们不会完全基于自动化处理做出任何会带来法律方面或类似重要影响的决定（包括用户画像等）。

（7）响应上述请求
通过联系“9.如何联系我们”，验证您的身份后再处理您的请求。
原则上，我们不会向客户收取手续费。但是对于无端重复的要求，我们将根据情况收取费用。
此外，对于那些无端重复、需要过多技术手段（例如，需要开发新系统或从根本上改变现行惯例）、危害他人合法权益或非常不切实际（例如，涉及备份磁带上存放的数据等）的请求，我们可能会予以拒绝。
请注意，在以下情形中，我们将无法响应您的请求：

1. 本公司需要履行法律法规规定的义务
2. 与国家安全、国防安全直接相关的
3. 与公共安全、公共卫生、重大公共利益直接相关的
4. 与犯罪侦查、起诉、审判和判决执行等直接相关的
5. 有充分证据表明您存在主观恶意或滥用权利的
6. 为了保护您或他人的生命、财产或其他重要的合法权益，且难以获得本人同意的
7. 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的
8. 涉及商业秘密的

本公司发行的信用卡及相关服务不针对未满14周岁的儿童，我们也不会有意在未征得父母或监护人同意的情况下收集这些儿童的个人信息。

原则上，我们在中华人民共和国境内收集和产生的个人信息，将存储在中华人民共和国境内。
由于本公司在包括日本在内的世界各地都有关联公司和服务提供商，这意味着，在获得您的授权同意后，您的个人信息可能会被转移到中华人民共和国以外的国家，其中一些国家／地区可能未实施与中华人民共和国同等程度的数据保护法，甚至未制定相关法律。在此类情况下，我们将根据本政策确保您的个人信息得到在中华人民共和国境内同等的保护。

我们可能会在不事先通知的情况下变更本政策，如有变更将会在本页面进行发布。未经您明确同意，我们不会削弱您基于本政策所应享有的权利。
本政策所指的变更包括但不限于：

1. 本公司的产品或服务发生变化。或者个人信息的处理目的、处理的个人信息的类型、个人信息的使用方法等；
2. 我们的组织架构发生变化。如业务调整、破产并购等引起的所有者变更等；
3. 共享、转移或披露个人信息的主要目的或接收方的变更；
4. 您处理个人信息的权利的重大变化及其行使方法的变化；
5. 我们的联系方式发生变化；
6. 通过风险评估（安全影响评估）发现漏洞，或无法遵守与您的约定而引起的上述1～5项的变更。

此外，本政策的最新版一般会发布在网站上，我们还会将本政策的旧版本存档。

本公司已任命专门的信息管理负责人。如果您对本政策有任何疑问或意见，或者对提供的信息有任何要求，请通过以下联系方式与我们联系。
每个组织的业务内容和处理的信息会有所不同，但是每个组织将协作快速响应您的要求。

• JCB Co., Ltd.
  东京都港区南青山5-1-22 AOYAMA RISE SQUARE
  jcb-eudataprotection@info.jcb.co.jp

本政策的部分单词具有以下含义：

• 发卡方：指发行信用卡的金融机构。
• 收单方：指JCB卡交易中与特约商户签约的金融机构或其他当事人。
• 特约商户：指可以使用JCB卡进行结算交易的店铺。
• 基于风险的身份验证解决方案提供商：通过分析各种来源的交易数据和相关信息，协助验证持卡人和交易的专业的服务提供商。
• Cookie：指存储在您计算机上的文件，当您访问计算机和站点时，将交换站点上记录的站点使用历史记录或数据相关信息。
• 网站信标：指网站页面上隐藏的图像，会收集有关您网站浏览历史记录信息。