立即开启七天免费试用,抢注你的专属域名![立即点击体验]
网站首页
Card.tel

Card.tel 与 GDPR 合规说明

《通用数据保护条例》(GDPR,Regulation (EU) 2016/679)自 2018 年 5 月 25 日起适用, 对处理欧盟/欧洲经济区个人数据的组织具有域外适用效力。Card.tel 作为面向企业与个人的数字名片 与链接聚合 SaaS 平台,在提供多语言名片页、线索收集、访问分析、团队协作等功能时,遵循 GDPR 的合法性、透明性、最小化与安全性要求。

本页面说明我们如何在平台实际业务中落实 GDPR 要求,并帮助你理解可行使的权利与管理方式。

本说明覆盖内容

为便于你快速理解 Card.tel 的数据处理方式,本页重点说明:

  • 我们在数据处理中的角色与责任
  • 我们可能收集和处理的个人数据类型
  • 处理目的与对应法律依据(Article 6)
  • 数据保留期限与删除规则
  • 第三方处理者、子处理者与跨境传输机制
  • 你在 GDPR 下享有的数据主体权利
  • 如何访问、导出、更新或删除你的信息
  • 如何联系平台与监管机构

什么是 GDPR?

GDPR 的核心目标是让个人对其个人数据拥有更强控制权,并要求平台在数据生命周期中做到可解释、 可审计、可问责。其基本原则包括:合法、公平与透明,目的限制,数据最小化,准确性,存储期限限制, 完整性与保密性,以及问责(Article 5)。

这意味着即使企业不设在欧盟,只要向欧盟用户提供服务或监测其行为,也可能适用 GDPR。

Card.tel 如何落实 GDPR 要求

结合欧盟委员会与 EDPB 的持续指导及执法实践,Card.tel 在产品、流程与合同层面持续推进合规治理, 确保平台在增长与安全之间保持平衡。

我们已建立以下机制:

  • 按“隐私保护默认开启”设计功能与权限(Article 25),默认最小化展示与采集数据
  • 建立处理活动记录(Article 30)、处理者协议(Article 28)与访问控制审计流程
  • 对高风险场景执行 DPIA(Article 35),并在法定条件触发时指定 DPO(Article 37-39)
  • 采用加密、分级授权、最小权限与日志留痕等技术和组织措施(Article 32)
  • 建立数据泄露响应机制,在符合法律条件时于 72 小时内通知监管机构并按需通知个人(Article 33-34)
  • 提供权利请求通道并在法定时限内响应(Article 12、15-22)

我们可能处理的个人数据

  • 账户与身份信息: 如姓名、企业名称、邮箱、手机号、登录凭据及账号角色信息。

  • 名片与页面业务数据: 你主动发布的资料(如头像、职位、公司信息、链接、联系方式、预约时间段、线索表单字段等)。

  • 设备与使用日志: 如 IP 地址、设备/浏览器信息、访问时间、操作日志、错误日志、反欺诈与安全监测记录。

  • 结算与交易数据: 如订单、订阅、发票与付款状态。银行卡等敏感支付信息通常由持牌支付服务商处理,Card.tel 不保存完整卡号。

  • 客服与沟通数据: 如工单内容、邮件往来、问题排查记录与服务反馈。

处理目的与法律依据(Article 6)

  • 提供账户注册、登录、名片发布、线索管理等核心服务:以履行合同为法律依据
  • 履行财税、审计、反欺诈与安全义务:以法律义务或合法利益为法律依据
  • 产品优化、性能监测与服务质量改进:以合法利益为法律依据,并进行必要的利益衡量
  • 营销触达、统计分析及可选 Cookie/追踪技术:在适用法律要求下先征得同意,并支持随时撤回

第三方服务与跨境传输

  • 处理者管理(Article 28): 我们仅与通过安全与合规评估的云服务、通信服务、支付服务、分析服务供应商合作,并签署数据处理协议。

  • 跨境传输(Chapter V): 若数据传输至欧盟/欧洲经济区外,我们将优先采用充分性决定(Article 45);若无充分性决定,则采用欧盟 标准合同条款 SCC(2021/914)并按需实施补充措施(如加密、访问控制与传输风险评估)。

  • 欧盟-美国传输说明: 在适用时,可依据欧盟委员会充分性决定框架进行传输;我们会持续跟踪监管机构审查结论并动态调整合规措施。

你的 GDPR 权利

  • 访问权(Article 15):获取我们处理你个人数据的副本及处理说明

  • 更正权(Article 16):更正不准确或补全不完整的数据

  • 删除权(Article 17):在符合法定条件时请求删除个人数据

  • 限制与反对权(Article 18/21):限制处理或反对基于合法利益的处理,且可随时反对直接营销

  • 可携权(Article 20):在适用条件下以结构化、通用、机器可读格式获取并迁移你提供的数据

  • 撤回同意与申诉权:你可随时撤回同意,并向主管数据保护机构提出投诉

数据保留、儿童数据与安全事件

  • 我们遵循“最短必要保留”原则:仅在实现业务目的、履行合同与法定义务所需期间内保留个人数据,超期后删除或匿名化。
  • 如服务面向未成年人且处理依据为同意,我们将根据适用成员国法律执行儿童同意年龄门槛与监护人授权验证(GDPR Article 8)。
  • 若发生个人数据泄露,我们会按 GDPR 要求完成记录、风险评估、监管通报与用户通知,并保留处置证据链。

如何管理、导出或删除你的数据

  • 你可在账户后台随时更新名片资料、联系人信息与营销偏好设置。
  • 如需发起数据访问、可携、删除或限制处理请求,请通过平台支持页面提交工单;为保护账户安全,我们可能需要先进行身份核验。
  • 我们通常会在 1 个月内完成答复;在复杂或高并发情形下,可依法延长最多 2 个月并告知原因。你也可向主管数据保护机构投诉。