增强型尽职调查隐私声明

Refinitiv Limited（在英国注册）是伦敦证券交易所集团（“LSEG 集团”）的成员企业，并作为数据控制方，负责处理在 EDD 服务中涉及的个人信息。

本隐私声明仅适用于 EDD 服务。World-Check 是一个筛查和尽职调查解决方案，其中包含有关政治公众人物（PEP）以及其他与金融犯罪和监管风险相关的个人和组织的信息，并被用于提供 EDD 服务。World-Check 有其独立的隐私声明，您可在此处查阅。

如需了解适用于 LSEG 集团在其其他产品、服务、网站、平台、软件、应用程序及活动中收集的用户信息的 LSEG 集团通用隐私声明，请点击此处。

EDD 服务是一项详尽的诚信及高级背景调查服务，旨在为金融机构、企业、专业服务公司、政府以及其他 EDD 客户（“EDD 用户”）提供报告和信息（“报告”），协助他们对业务往来或其他关系中的企业和个人进行尽职调查（“尽职调查”），包括客户、供应商、合资合作伙伴、投资机会以及申请投资移民项目的个人，包括投资公民身份项目（CBI）和投资居留身份项目（RBI）。

EDD 用户使用报告来识别与第三方相关的潜在法律、监管、金融、声誉或其他相关风险。例如，评估其是否受到制裁、是否与洗钱、非法活动有关联，或是否涉及与公认的良好实践原则不符的行为。这样，EDD 用户能够根据相关监管要求，对其有业务往来的个人和实体做出明智决策。同时，EDD 用户也可以识别与某些个人或实体开展业务可能产生的声誉和商业问题，从而帮助他们避免进入不适当的商业关系和不良行为。EDD 用户所订购的大多数报告（约 90%）涉及法律实体，而非个人。

EDD 用户会根据报告中的信息自行决定如何开展尽职调查，尽管我们的合同条款要求 EDD 用户仅将报告中的信息用于自身内部合规流程，例如用于尽职调查和其他筛查活动。如果您对这些决策有任何疑问，请咨询相关的 EDD 用户。

在为提供 EDD 服务而进行尽职调查时，我们可能会收集并处理与您相关的个人信息。我们处理的个人信息的数量和类型将根据以下因素而有所不同：

• 属于公共领域数据的个人信息数量；
• 报告是针对您个人，还是针对与您相关的法律实体所委托进行的；以及
• EDD 用户所要求的报告类型（LSEG 作为 EDD 服务的一部分提供多种类型的报告，这些报告涉及不同程度的尽职调查，并包含不同层次的信息）。

就本隐私声明而言：

“公共领域数据”指的是个人信息，具体包括：（1）曾经或目前公开可获取的，通常是在互联网上；（2）Refinitiv 有合理依据认为该信息是由以下主体合法向公众公开的：①数据主体（即与个人信息相关的消费者或个人）；②广泛传播的媒体；③数据主体向其披露个人信息的人（前提是 Refinitiv 并不知晓数据主体已将信息限定在特定受众范围内）；或（3）通过政府机构、部门、分支机构或其他运营单位，以及其他组织或机构（如大学或雇主）的记录、数据库和/或系统以电子、纸质或其他形式合法公开的信息。公共领域数据的来源示例包括：（i）制裁或观察名单；（ii）执法、法院、监管或其他政府网站；（iii）政治网站和出版物，如议会、地方政府或个人政客网站；（iv）知名新闻媒体和出版物；以及（v）个人自行公开的信息来源，例如其个人网站、博客或任何社交媒体应用。

“参考数据”是指由组织或机构（如大学或雇主）以电子、纸质或其他任何形式提供的个人信息，并且该信息的提供已获得相关个人的明确授权或同意。例如，参考数据可用于验证护照、学历或就业历史。

我们并非总是处理与每位个人相关的下列所有类别个人信息。与 EDD 服务相关的个人信息处理类别会根据每个案件的具体情况而有所不同。

作为 EDD 服务的一部分，我们会对所有个人（包括申请投资移民的儿童和受抚养人，如 CBI 和 RBI 项目）进行 World-Check 筛查，其中包括媒体信息检索结果。该媒体数据涵盖公开可获取的新闻报道、报告及其他媒体来源，内容可能涉及有关金融犯罪、诚信或声誉等方面的指控、调查、监管行动或其他相关事项。媒体来源的信息可能会出现在 EDD 报告中，并在下方表格列出的多个个人信息类别中有所体现。

当我们进行直接访谈（详见下文说明）时，信息会直接向您（数据主体）收集，或者在投资移民或其他尽职调查过程中，您向 EDD 用户提供了相关信息或文件。这些内容可能包括 EDD 用户提交的问卷、CBI/RBI 申请表，或官方记录副本（例如无犯罪记录证明），随后由 EDD 用户转交给我们。除此之外，信息还可能通过下表所列的其他来源获得。

在某些情况下，我们收集的个人信息可能包括根据具体司法辖区及其适用的数据保护法律，被称为“敏感”或“特殊类别”的个人信息。例如，涉及您的政治观点的信息（如您是政党中担任职位的政治公众人物 (PEP)），以及涉及您的种族或民族血统的信息（如在编制报告过程中通过您的姓名、所在地及国籍等相关信息合理推断得出）。在特定情形下，我们还可能处理与您实际或被指控犯下的任何刑事犯罪相关的信息（例如，涉及洗钱或恐怖主义融资犯罪，或此类犯罪的上游犯罪）。关于我们处理此类个人信息的法律依据，详见本声明“我们如何使用您的个人信息”部分。

EDD 服务并非面向儿童。在特殊情况下，我们可能会处理有限类型的儿童个人信息。例如，当儿童属于以下情形时：

1. 作为投资移民申请中的受抚养人，我们会处理上述“受抚养人信息”部分列出的相关信息（如姓名、年龄、出生日期、性别、与报告对象的关系、国籍、护照或身份证号码及出生地），以核实儿童身份并满足相关公民身份或移民项目的尽职调查要求。我们还可能对其教育和就业经历进行核查，并将其与 World-Check 数据库进行筛查，该数据库包括如前文所述的媒体数据集。
2. 被认定为 EDD 报告中所列政治公众人物（PEP）的子女或受抚养人。
3. 被直接列入官方制裁、执法或监管名单。

在这些有限情况下，我们仅处理儿童个人信息，以确定其是否被列入此类官方名单，确认其是否为报告对象的子女或受抚养人，并在尽职调查过程中评估必要的身份、教育、就业或媒体相关信息。

在这些特殊情况下，如确有必要处理儿童个人信息，我们仅会基于重大公共利益的需要进行，例如为防止违法行为、欺诈和不诚实行为，依据英国《2018年数据保护法》附表 1 第 12 段，或根据其他适用的数据保护法律的要求。

我们会按照下表所列目的使用您的个人信息。在使用您的信息时，我们必须确定合法的使用依据，例如，为实现相关目的或活动所需的合法利益（在不损害您的隐私权益的前提下），或因履行法律或监管责任（如向相关主管机构、监管机构或政府部门披露信息）的所必须的情况。如果我们使用您的敏感个人信息，则我们还须满足额外条件。更多关于我们如何使用您的信息及合法依据的内容，请参见下表。

就本节而言，“普通类别信息”和“敏感类别信息”的详细定义，请参见上文“我们处理的个人信息”表。根据适用数据保护法律的不同，具体内容可能有所差异，此处仅为便于参考而提供摘要。

• 普通类别信息包括：身份信息（如姓名、出生日期、国籍）、联系方式、任何受抚养人的相关信息、就业信息、财务信息、职业信息、制裁信息、社交媒体信息（在明显公开的情况下），以及通信记录。
• 敏感类别信息包括：政治观点（例如针对政治公众人物（PEP）的具体信息）、种族或民族血统（在合理推断的情况下），以及犯罪记录信息（实际或涉嫌犯罪、相关上游罪行）。

我们在尽职调查（EDD）中处理普通类别（非特殊类别）个人信息，是基于我们自身及客户的合法利益。这些合法利益包括：

• 帮助 EDD 用户对第三方进行尽职调查核查，从而在业务往来中做出明智决策；
• 协助 EDD 用户遵守其监管义务以及公认的良好实践原则；
• 为 EDD 用户降低合规、监管以及商业风险；
• 维护 EDD 服务的完整性、安全性、准确性和可用性，并支持高效、有效的尽职调查工作流程。
• 使我们能够运营、维护并提供一项高效且可靠的尽职调查服务，该服务被金融机构、企业、专业公司、政府及其他 EDD 用户所依赖；
• 确保防范和发现金融犯罪、欺诈、腐败、制裁违规、人口贩运、现代奴役及其他严重不当行为，从而惠及 EDD 用户、公众和金融体系。

鉴于防范金融犯罪的重大公共利益、所进行的审查性质，且大量信息来源于公共领域数据或通过受监管的尽职调查流程提供，以及您在相关情境下可合理预期此类信息的获取方式，上述合法利益并未因您的权利和自由而被否定或排除。

对于敏感类别信息，我们主要依据《通用数据保护条例》（GDPR）第 9 条第 2 款第 (g) 项（“出于重大公共利益的需要”）进行处理，这一法律基础也反映在英国《2018 年数据保护法》附表1中，其中包括与防范或发现非法行为、不诚实、欺诈及其他严重不当行为相关的重大公共利益条件。当有明确证据表明您已有意将相关信息公开时，我们也可能依赖 GDPR 第 9 条第 2 款第 (e) 项（“已明显公开”）作为处理依据。对于刑事犯罪数据，只有在已明显公开，或根据英国《2018 年数据保护法》附表1出于重大公共利益的需要，或在欧盟/欧洲经济区范围内根据欧盟或成员国法律授权并具备适当保障措施时（GDPR 第 10 条），我们才会进行处理。

有关我们处理活动及其相应法律依据的更详细信息，请参见下方的表格。请选择“显示更多”以查看相关内容。

我们会将您的个人信息提供给第三方，包括 EDD 用户和 LSEG 集团内部的公司（如涉及为 EDD 用户编制 EDD 报告的 EDD 研究员和分析师等员工）。在适用法律允许的情况下，我们也可能会与公共机构共享您的信息，以便我们遵守相关法律规定。

我们还会使用数量有限的第三方服务提供商，他们为我们提供与尽职调查（EDD）相关的建议和服务（包括专业顾问）。在与第三方服务提供商共享您的个人数据时，我们会确保与他们签订合同，严格规范他们对我们披露的个人信息的使用方式。

关于我们会与哪些方共享您的个人信息的更多信息，请参见下表。

EDD 服务是一项全球性服务， LSEG也是一家全球性组织。因此，您的个人信息可能会被转移、存储和处理于不同的司法管辖区。具体个人信息处理所在的国家，取决于业务合作的性质以及相关接收方的所在地。这些国家和地区已在“我们向哪些方披露您的个人信息”章节中进行了说明，并根据接收方类型列举了处理所在地的示例。

当我们将您的个人信息转移至英国或欧洲经济区（“EEA”）以外的第三方，或转移至具有额外法律要求的司法管辖区时，我们会遵守适用法律，并在需要时采用保护措施，以保障您的个人信息安全。这包括：

• 根据英国 GDPR 或欧盟 GDPR 第45条的充分性决定进行的个人信息转移。
• 根据欧盟 GDPR 第 46 条批准的标准合同条款进行的信息转移。
• 根据英国国际数据转移协议（IDTA）或英国对欧盟标准合同条款（SCCs）的补充条款进行的信息转移。
• 集团内部的信息转移受我们的《集团内部转移协议》约束，该协议包含了标准合同条款（SCCs）和英国国际数据转移协议（IDTA）的相关规定。
• 根据当地法律的要求，我们可能会采取额外的保护措施，例如加强合同保护、技术措施或组织管控，以确保您的个人信息始终受到保护。

有关这些保护措施的更多信息，请访问 https://my.refinitiv.com/content/mytr/en/policies/gdpr-productinfo.html。

我们高度重视信息安全，采取多种物理、电子和管理措施，确保您的个人信息安全。我们的技术和组织措施与广泛认可的国际标准保持高度一致，并会定期审查和根据业务需求、技术进步及监管要求进行更新。具体安全措施会根据所保护个人信息的敏感性有所不同，包括数据加密、访问控制、定期网络安全评估，以及员工的数据保护培训。此外，我们还对 EDD 用户和第三方服务提供商施加限制，要求他们仅在与核查或为我们提供服务相关的情况下使用 EDD 报告中的信息。

这些政策和措施包括：

• 严谨的研究方法与质量保障：EDD 分析师遵循严格的研究指南和有据可查的流程，确保报告中所包含的所有信息均与核查目的相关，并准确地引用经批准的公开和非公开渠道。对于历史信息，会在新报告编制时重新验证其准确性。
• 信息来源核查：分析师必须核实所有信息来源的质量和可靠性，包括公共领域数据、访谈获取的信息或第三方供应商提供的数据。对于非公开信息，须按照规定的核查流程进行，包括满足最低来源要求和执行相关验证措施。
• 培训与监督：我们为 EDD 研究员和分析师定期开展培训，确保其遵循研究方法、数据质量和安全方面的要求。
• 访问控制：仅授权的研究人员可进入 EDD 系统。EDD 用户无法访问原始数据或内部数据库，只能查阅最终报告。
• 事件响应与违规检测：我们已部署违规检测工具，并制定了事件响应计划，以便及时识别和应对任何安全事件。
• 物理与技术防护措施：我们通过安全的办公场所、员工安全通行证以及技术管控，保障 EDD 数据处理和存储地点及系统的安全。
• 合规性监控：我们会定期监督各项政策、流程及管控措施的合规执行情况。

我们会根据信息处理的目的，以及我们的法律和监管义务和风险管理指引，保存您的个人信息至所需时长。

我们会根据多项因素确定您的个人信息的保存期限，包括：

• 您的个人信息在尽职调查收集后，只有在其与尽职调查目的相关的期间内才会被保留。
• 为证明我们已履行职责和义务（包括 LSEG 须遵守的任何法律义务），合理保存记录的时长；
• 任何可能提出索赔的时效期限；
• 法律规定或监管机构、专业团体、行业协会或政府间组织所要求或建议的任何信息保存期限；
• 存在任何正在进行的法律或监管程序。

根据上述标准，我们在 EDD 服务中保留个人信息的时间仅限于支持本声明所定义的核查所必需的期限。也就是说，只要有必要使 EDD 用户能够履行法律或监管义务、管理风险、遵守行业标准或合同要求，以及遵循公认的良好实践和道德商业行为原则，我们就会继续保留相关信息。

最终版本的 EDD 报告、供应商报告、往来邮件及相关个人数据通常会被保留七年，除非因法律保全（例如涉及正在进行的诉讼、监管程序或数据主体权利请求）需要更长的保留期限。保留期自相关 EDD 报告或关联文件首次创建或上传至我们的系统时开始计算。在相关保留期届满且个人信息不再为处理目的所必需时，我们将根据内部流程对其进行安全删除。

针对为不同目的（如处理权利请求或法律索赔）而处理的其他类型个人信息，其保留期限可能因处理的具体性质以及适用的法律或监管要求而有所不同。

如需了解我们信息保留期限的更多详情，请使用以下联系方式与我们取得联系。

我们不会以对您产生法律效果或以类似方式对您造成重大影响的方式使用自动化决策流程。

如果您位于欧洲经济区、瑞士或英国，数据保护法律赋予您一定的权利，我们将在下表中进行简要说明。我们会尽力尊重您根据适用数据保护法律所享有的任何权利，但请注意，这些权利在适用法律下并非绝对，可能并不总是适用于您的具体情况。如果我们认为您无法行使其中某项权利，我们会说明原因。

如果您希望行使上述任何权利，请通过以下方式联系我们的隐私办公室：contact@world-check.com，或邮寄至：Data Protection Officer, LSEG, 10 Paternoster Square, London EC4M 7LS, England, United Kingdom。

• 如果您位于加利福尼亚州，请参阅我们的《加利福尼亚州消费者隐私声明》（英文）。该声明作为本隐私声明的补充，仅适用于位于加利福尼亚州的个人。

• 如果您位于南非，我们已经建立了相关流程和程序，允许符合条件的数据主体依据南非《个人信息保护法》行使其权利。如果您希望行使您的权利，请访问此处（英文）。有关我们流程和程序及您的权利的更多信息，您可以查阅我们的《信息获取促进手册》（英文）。

• 如果您位于巴西，请参阅我们的《巴西数据保护法声明》（英文）。该声明作为本隐私声明的补充，仅适用于位于巴西的个人。

• 《中国隐私声明》作为本声明的补充，仅适用于我们公司在中华人民共和国境内处理个人信息的情况。

如果您对我们如何处理您的个人信息有任何疑问、意见、投诉或建议，或希望行使上述权利，请通过 contact@world-check.com 联系我们的隐私办公室，或书面信函寄至：

Attention: Data Protection Officer
Refinitiv Limited
10 Paternoster Square
London, EC4M 7LS
United Kingdom

如果您是欧盟公民或数据保护监管机构，根据《通用数据保护条例》（GDPR），我们在欧洲指定的代表是 Refinitiv Ireland Limited。您可以通过 contact@world-check.com 联系我们的指定代表，或书面信函寄至：

Refinitiv Ireland Limited
12-13 Exchange Place
IFSC
Dublin, D01 P8H1
Ireland

您还有权向您居住地或工作地的数据保护监管机构，或您认为涉及您的个人信息问题发生地的数据保护监管机构提出投诉。欧盟各成员国数据保护监管机构的名单可在此查阅：http://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm 。有关英国信息专员办公室的信息，请访问：https://ico.org.uk 。