隐私与数据保护


华住集团数据保护章程

一、简介

本数据保护章程(以下简称“章程”)帮助您了解华住集团及其直接和间接子公司、关联公司,以及管理、运营、特许经营、许可、拥有华住品牌旗下酒店或与之相关的酒店和/或向其提供服务的、位于不同地区的单独和不同的法律实体(统称为“华住”、“华住集团”或“我们”,关于我们的集团架构请参考我们的年报)收集、使用和分享您个人信息时遵循的一般原则。

您对我们的完全满意和信任对我们而言非常重要。为履行承诺,不负您的期望,我们对我们提供的产品或者服务制定有专门的数据隐私政策。我们希望您通过这些专门的数据隐私政策了解我们对您的个人信息(统称为“数据”)的收集、使用和披露方式。在您使用相应的产品或者服务时,这些专门的数据隐私政策将优先适用。

目前,我们制定的专门的数据隐私政策主要包括:

  1. 华住会个人会员隐私声明
  2. H Rewards数据保护信息
  3. 新加坡个人数据保护指引

除此之外,对于我们的产品或者服务可能链接、跳转至的第三方产品或者服务,您应阅读并遵守由第三方制定并发布的数据隐私政策。

二、数据保护原则

作为一家全球企业,华住致力于遵守所有适用于我们的数据保护相关法律并制定了华住集团内部个人数据处理原则:

  1. 合法:我们只在下列情况下使用个人数据:
  • 我们已征得个人同意,或
  • 订立或履行合同(该个人为合同一方)所必要,或
  • 履行法定义务所必要,或
  • 在适用法律允许的范围内,该处理对于控制者或第三方追求的合法利益所必要,或
  • 应对突发公共卫生事件或紧急状况保护个人切身利益需要,或
  • 在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,或
  • 法律、行政法规规定的其他情形。
  1. 诚信:我们将向您说明我们收集的个人数据对我们有何用处
  2. 最小化:我们只收集对我们来说真正需要的个人数据。如果使用较少个人数据就可以达到同样的结果,那么我们保证仅使用需要的最少数据。
  3. 透明:我们会通知个人我们使用其个人数据的方式。
  4. 我们会为相关个人行使其权利提供便利,包括访问其个人数据、修改和清除其个人数据,有权禁止使用其个人数据以及其他适用的法律规定 的权利。
  5. 我们会确保个人数据的安全,即数据的完整和保密
  6. 如果第三方必须使用个人数据,我们会确保其能够保护这些数据。
  7. 如果个人数据须传输至居住的国家/地区之外,我们会确保数据传输符合相关法律规定。

有关华住集团个人数据保护原则的任何问题,请与数据安全响应组联系,联系方式见第十章“问题及联系方式”条款。

三、华住数据保护章程涵盖的数据

本章程介绍了华住集团在通过下列方式收集数据时的隐私实践:

  1. 通过我们运营的网站(包括域名为 ir.hworld.com以及华住集团拥有或控制的其他网站(统称为网站);
  2. 通过我们提供的、在计算机和移动设备上使用的华住会软件应用程序(即应用程序),包括App、小程序及H5页面;
  3. 通过我们控制的社交媒体页面,即您访问本章程时所在的页面(统称为社交媒体页面);
  4. 通过我们向您发送的、可链接至本章程的电子邮件以及您与我们之间的在线交流或面对面交流;
  5. 通过第三方(例如:授权许可方、业主和特许经营商)和其他来源(例如:公共数据库、营销合作伙伴和其他第三方);和当您以宾客身份造访或入住我们的酒店、酒店式公寓之时,以及通过其他线下互动(统称为酒店造访和线下互动)。

请您了解:

华住集团作为与我们的业主和特许经营商相关的独立数据控制方,业主与特许经营商享有按照以下方式对我们收集的数据进行有限使用的权利:

  • 业主:在委托经营模式下,酒店的所有权和经营管理权分离,业主拥有酒店的所有权,业主按照华住集团的标准建造酒店,建成后将酒店的经营管理全权授予酒店管理公司,即由酒店管理公司兼顾运营和品牌管理以确保其酒店成员满足该品牌的特质。因此我们可能出于本章程中所述目的,向华住集团的业主披露数据。业主可出于其自身目的,对某些个人数据进行有限使用,因此,业主有资格作为独立数据控制方履行其自身的法定义务(包括记账、记录及其他合规义务)。
  • 加盟公司:在管理加盟模式下,加盟商根据加盟合同经营特许经营酒店。因此,出于本章程中所述之目的,我们可能会向华住集团旗下品牌酒店的管理加盟公司披露数据。特许经营商可出于其自身目的,对某些个人数据进行有限使用,因此,特许经营商有资格作为独立数据控制方以管理及协助您的酒店住宿,以及履行其自身的法定义务(包括记账、记录及其他合规义务)。

我们已将本政策中规定的原则传达给了华住集团旗下任一品牌运营的所有酒店,酒店业主和加盟商。我们将尽我们所能确保所有酒店在处理您的个人数据时遵守个人数据保护的适用法律及本政策。

四、我们可能收集的个人数据

为向您提供更好的服务,我们会按照相关法律规定,在不同场景下收集您的相关信息。

我们收集并处理关于您的以下种类的个人数据:

  • 联系方式(例如,电话号码、电子邮件、邮寄地址);
  • 财务信息(例如,信用卡和借记卡号码或其他付款数据);
  • 身份证件信息(例如,身份证、驾驶证、护照);
  • 您的第三方账号信息(例如,社交媒体账户ID、头像、昵称);
  • 您的酒店会员信息(例如,会员ID以及您参与的会员活动相关的信息);
  • 酒店入住信息(例如,酒店信息、商品或服务信息、入住及退房时间、订单号、下单时间、金额、订单支付状态及其他相关信息);
  • 订单支付信息(例如,对应的第三方支付账号、订单号、交易时间、交易对象、交易商品、订单交易金额、订单状态);
  • 雇主详情(例如,您所服务的公司名称或用于企业相关预订的ID);
  • 华住会平台的服务日志信息(例如,浏览记录、点击查看记录、搜索查询记录、收藏信息、订单信息);
  • 您的偏好和兴趣(例如,吸烟房或无烟房、偏好的楼层、寝具类型、饮食和饮品偏好等);
  • 使用我们的网站和应用程序时生成的技术信息和定位;
  • 您主动提交的问题和争议信息以及您为了证明相关事实提供的其他信息;
  • 图像和音、视频数据:为了相关合规要求,我们会通过下列方式获得您的图像和音、视频数据:

(a)位于我们酒店公共区域(例如走廊和大堂)的安保摄像头;

(b)在办理入住时根据相关法律法规向相关监管部门提供生物特征数据和身份证数据信息。

五、我们如何共享、转移、公开披露您的数据

我们将基于您的同意共享、转让或公开披露您的数据,或者在我们认为必要或适当的情况下共享、转让或公开披露您的数据。这些情形主要包括:(1)遵守适用法律;(2)与您订立合同或履行与您的合同;(3)在适用法律允许的范围内,优化服务质量和安全风控或实现控制者或第三方追求的合法利益;(4)适用法律规定的其他情况。

六、我们如何存储您的个人数据及我们的数据安全能力

  1. 我们将仅基于本章程所述目的,在法律法规规定的最短期限内存储个人信息。在超出前述存储期限后,我们会对您的个人信息进行删除或匿名化处理。如果我们的产品或服务发生停止运营的情形,我们将通过适当的方式(例如:电子邮件、公告等形式)对您进行通知,并在合理的期限内删除您的个人信息或进行匿名化处理。
  2. 作为一家全球企业,无论您身在何处,我们都努力为您提供您所期待的同等水平的服务。为此,您认可我们可能会根据适用法律要求的数据传输协议,将您的个人信息提供给位于您所在国家或地区以外华住集团旗下的成员、我们的服务提供商以及其他第三方。当适用的法律要求时,数据控制者也将在本地保留一份您的个人信息。尽管不同国家或地区的数据保护法律可能与您所在国家或地区的不同,但我们将采取适当措施,确保您的个人信息按照本章程依法处理。
  3. 我们非常重视数据安全,为此成立了专门的负责团队。我们努力为您提供数据保护,采取了合适的管理、技术以及物理安全措施,参照国内外信息安全标准及最佳实践建立了与业务发展相适应的信息安全风控体系。
  4. 我们的主要系统已获得中国网络安全等级保护三级认证,我们已获得ISO27001/27701信息及隐私安全管理体系标准认证及第三方支付行业(支付卡行业PCI DSS)数据安全标准。
  5. 为规范和指导员工相关操作,有效提高信息安全风险控制能力,我们根据ISO27001/27701相关标准,制定了完善的信息安全政策和制度,主要涉及信息安全总纲、运维安全、网络安全、人员安全、应急处理预案、数据分类分级及个人隐私保护等安全相关的各个方面,共计30多项制度(见《部分相关制度列表》)。通过制度规范,我们形成了统一、明确的信息安全指导思想,建立了完善的安全体系,提高了员工的信息安全意识和信息安全管理水平,增强了组织抵御灾难性事件的能力,从而保障组织安全目标的实现。
  6. 我们从数据的生命周期角度出发,在数据收集、保存、显示、使用、删除、销毁等各个环节建立了安全防护措施,根据信息敏感程度的级别采取不同的控制措施,包括但不限于访问控制、加密存储、通过SSL或以上强度的加密算法加密传输、敏感信息脱敏显示等。
  7. 我们与可能接触到您信息的华住员工及华住的合作伙伴签署保密协议和数据处理协议,并对其定期进行数据安全意识培训,要求在日常工作中形成良好的操作习惯,提升数据保护意识,对于数据访问、内外部传输使用、脱敏、解密等重要操作建立了审批机制
  8. 我们按照SOX审计要求由第三方专业审计公司对信息安全体系进行每年两次的评估和审计,并提供相关审计报告。
  9. 我们将尽力确保或保证您发送给我们的任何信息的安全性。如果我们的物理、技术、或管理防护设施遭到破坏,导致信息被非授权访问、公开披露、篡改或毁坏,导致您的合法权益受损,我们将承担相应的法律责任。
  10. 如果我们的物理、技术或管理防护设施遭到破坏,导致信息被非授权访问、公开披露、篡改或毁坏,导致您的合法权益受损,我们会及时启动应急预案,采取合理必要的措施,尽可能降低对您个人的影响。如发生个人数据安全事件,我们还将按照法律法规的要求向您告知安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施。我们将以邮件、信函、电话、推送通知方式告知您,难以逐一告知个人数据主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,上报个人数据安全事件的处置情况。

附:部分相关制度列表

  • ISMS-L1-01华住集团信息安全管理总纲V2.1
  • ISMS-L2-01 华住集团ISMS管理评审管理办法V1.0
  • ISMS-L2-02-华住集团人员安全管理办法V1.2
  • ISMS-L2-03 华住集团ISMS内部审核管理办法V1.2
  • ISMS-L2-04 华住集团ISMS有效性测量管理办法V1.1
  • ISMS-L2-05-华住集团ISMS文件管理办法V1.1
  • ISMS-L2-06 华住集团供应商安全管理办法V1.1
  • ISMS-L2-07 华住集团数据分类分级管理办法V3.0
  • ISMS-L2-08 华住集团ISMS改进管理办法V1.1
  • ISMS-L2-09 华住集团网络安全管理办法V1.0
  • ISMS-L2-10 华住集团信息系统运维安全管理办法V1.3
  • ISMS-L2-11 华住集团设计和开发安全管理办法
  • ISMS-L2-12 物理和环境安全管理办法V1.1
  • ISMS-L2-13 信息安全事件处理流程V2.1
  • ISMS-L2-14华住集团信息安全风险评估管理办法V1.1
  • ISMS-L2-15信息资产管理办法 V1.1
  • ISMS-L2-16 个人信息主体请求处理规章V1.1
  • ISMS-L2-17华住集团华通相关流程管理办法V1.0
  • ISMS-L2-18 华住集团门店信息安全标准 202012v 0.1
  • ISMS-L2-19 新应用上线安全测试流程规范 V1.0
  • ISMS-L2-20 数据安全教育培训管理制度
  • ISMS-L2-21-华住集团安全软件安装及使用管理规范
  • PIMS-L2-1 华住集团数据泄露事件处理流程V1.1
  • IT硬件资产管理办法V2.0
  • 华住机房应急处置预案V2.0
  • 华住集团机房管理条例v3.0
  • 华住集团VPN管理办法V2.0
  • 漏洞管理指引文档之员工信息安全守则及红线V5
  • 华住数据对外披露流程规范
  • 华住数据提取管理规范V1.5
  • 华住集团门店信息安全规范V1.0

七、Cookie和其他跟踪工具

我们可能会使用Cookie以确保我们的网站的正常运转。大多数浏览器均为用户提供了清除浏览器缓存数据的功能,您可以进行相应的数据清除操作,或可修改对Cookie的接受程度或拒绝我们的Cookie。您可能因为这些修改,无法使用依赖于Cookie的服务或相应功能您可以在我们的Cookie Policy中查看更多信息。

八、您的权利

您有权依据您所在国家或地区适用的法律条款行使数据主体的权利。若您想行使您的权利,您可以通过第十章问题及联系方式提供的信息联系我们或者通过其他具体的数据隐私政策中的联系方式联系我们。

为保护您的个人⼈数据,防止⽌泄露,我们须识别您的身份,以便满足您的要求。为此,如果我们对您的身份有合理疑问,可能会要求您提交其他信息或者材料,用以支持您的请求。 我们将尽快处理所有请求。酒店作为数据处理负责⼈可存储并处理您的个⼈数据,对于此类数据,您也可以⾏使相关权利。

我们的网站不销售适合儿童购买的产品或服务,且我们不会有意要求或收集儿童个人信息。您必须年满十八(18)岁且能够在适用法律下订立具有法律约束力的合同,方可使用本网站的服务。本网站的服务对象不包括未成年人,亦不应为未成年人所用。如果您未满十八(18)岁或根据适用法律无法订立具有法律约束力的合同,您可以直接联系酒店寻求帮助。

九、更新

请您理解,我们可能会在必要的时候根据适用的法律适时修订本章程并经华住数据安全委员会批准后发布。我们将标注本章程最近更新的日期,更新将于发布时生效。因此,建议您时常查阅,特别是在预订我们的酒店时,仔细阅读本章程。 请您经常回访本声明,以阅读最新版本。

十、问题及联系方式

就我们在中国的个人数据处理活动而言,汉庭星空(上海)酒店管理有限公司是主要的个人信息处理者(数据控制者)。如果您对本声明或个人数据保护有任何问题,请通过以下方式与我们联系:

客服热线:(0086) 4008-121-121

同时,我们设置了专门的个人数据安全责任人,如联系客服后您的问题仍未得到解决,请与我们的个人数据安全责任人取得联系:

邮箱:datasecurityoffice@hworld.com

根据各地法律要求,租用酒店可能设置代表该酒店的数据保护官 (Data Protection Officer, DPO)。

就我们在欧盟与会员项目相关的数据处理活动而言, H World Holdings Singapore Pte. Ltd. 为处理个人数据的主要数据控制者, DPO联系方式如下:

Wodianka privacy legal GmbH
Dockenhudener Str. 12a, 22587 Hamburg, Germany
邮箱: dpo@hworld.com

就我们在欧盟与会员项目相关的数据处理活动而言, Steigenberger Hotels GmbH为处理个人数据的主要数据处理者,DPO联系方式如下:

TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen, Germany
邮箱: datenschutz@deutschehospitality.com

就我们在新加坡的数据处理活动而言,H World Holdings Singapore Pte. Ltd. 为处理个人数据的主要数据控制者,DPO联系方式如下

YONG, SEOW &LIM LEGAL LLP
114 Lavender Street #11-72 CT Hub 2 Singapore 338729
邮箱:dpo.singapore@hworld.com

一般情况下,我们将在您所在国家或地区适用法律规定的时限内回复。如果您对我们的回复不满意,特别是我们的个人数据处理行为损害了您的合法权益,您还可以向监管部门进行投诉或举报(或向具有管辖权的法院提起诉讼)。我们希望您在向政府或法院投诉或起诉前,可以与我们进行友好协商,欢迎并感谢您对我们的监督和建议。

所有访问您的个人信息的申请均须以书面形式并通过信件或电子邮件提交。我们将以信件、电子邮件、电话或任何其他适用方法回复您的申请。

生效日期:2023 年 1月

若本章程的英文版本与其他任何语言版本之间存在不一致的情况,请以英文版本为准。

 

搜索投资者关系