本隐私政策（以下简称“本政策”）适用于网站所有者北京内峰科技有限公司（以下合称“她山”、“她山平台”、“inner mountain”或“我们”）向您提供的网站（innermountain.org）、产品、应用程序、技术、软件或服务，在您使用她山提供的各项服务时，我们将按照本隐私政策收集和使用您的个人信息。我们希望通过本隐私政策向您清晰地介绍我们对您的个人信息的处理方式，因此我们建议您完整地阅读本隐私政策，以帮助您了解维护自己隐私权的方式。

我们努力以简明、清晰、易于理解的方式展现本政策。我们深知个人信息对您的重要性，并会尽全力保护您的个人信息安全可靠。我们致力于维持您对我们的信任，恪守以下原则，保护您的个人信息：合法、公平和透明；目的限制；数据最小化；准确性；存储限制；完整性和保密性；以及问责制。同时，我们承诺将按业界成熟的安全标准，采取相应的安全保护措施来保护您的个人信息。

请在使用我们的产品前，仔细阅读并了解本政策，以便您更好地了解我们的产品及其提供的各项服务，并作出适当的选择。为了使您充分理解和知悉我们对您的个人信息的处理方式、处理范围和处理后果等规则，我们特别撰写了《重要定义和个人信息处理说明》，以落实我们应向您履行的法定告知义务。基于此，我们强烈建议您首先仔细阅读该说明，并在充分理解附录和本政策内容的基础上做出授权同意或明示同意。

本政策中的重要定义以欧盟《通用数据保护条例》（“GDPR”）和《加州消费者隐私法案》（“CCPA”）、《加州消隐私权法案》（“CPRA”）中的相关定义为基准，针对我们的实际情况进行了相关补充，若有不一致之处应以GDPR和CCPA、CPRA的规定为准。提请阁下额外注意的是，本说明的核心目的在于指导您充分理解和知悉我们对您的个人信息的处理方式、处理范围和处理后果等规则，以落实我们应向您履行的法定告知义务。基于此，我们强烈建议您仔细阅读本说明，并在充分理解说明内容的基础上做出授权同意或明示同意。

1.1 个人信息：GDPR项下是指与已识别或可识别的自然人（数据主体）相关的任何数据，如个人电话号码、个人信息主体账号、IP地址、唯一设备识别码等。CCPA项下系指直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息，包含了标识符、个人位置信息、商业信息、个人财务信息、生物信息、个人健康资料、网络活动信息、感官信息、个人教育工作信息等。

本政策中，个人信息将以字体加粗形式提示您注意；若个人信息为GDPR项下特殊类别个人信息或者为CCPA及CPRA项下的敏感个人信息的，我们将以字体加粗并标注*号的形式提示您注意并获取您的明示同意，您应额外关注此类信息的列举。同时，为方便您了解个人信息收集的必要性，我们将以列表形式区分说明您在某一业务功能项下向我们提供的个人信息是否属于必要个人信息。

1.1.1 GDPR项下的特殊类别个人信息：是指能识别种族或民族起源、政治观点、宗教或哲学信仰、工会成员资格的个人数据，以识别自然人身份为目的的个人基因数据、生物特征数据，与个人健康相关的数据，以及与个人性生活、性取向相关的数据。本服务中，我们没有处理您的特殊类别个人信息。

1.1.2 CPRA列举的敏感个人信息：是指 (A) 消费者的社会保障、驾驶执照、国家身份证或护照号码；(B)消费者的账户登录、金融账户、借记卡或信用卡号码，以及任何所需的安全或访问代码、密码或允许访问账户的凭证。(C)消费者的精确地理定位；(D)消费者的种族或民族出身、宗教或哲学信仰或工会成员资格；(E)消费者的邮件、电子邮件和短信的内容，除非该企业是通信的预定收件人；(F)消费者的基因数据；以及(G)消费者的身份信息。本服务中，我们处理了“银行账户信息、精确地理位置信息”，我们将仅在本隐私政策所述处理目的的必要范围内处理您的敏感个人信息。

1.1.3 必要个人信息：指实现某项基本业务功能或扩展业务功能所必须收集的个人信息，缺乏该等个人信息，您将无法使用相关业务功能。

1.1.4 非必要个人信息：指缺乏该等个人信息也不会影响您使用相应基本业务功能或扩展业务功能的有关个人信息。

1.2 处理：是指对个人数据进行的任何或一系列操作，无论其是否通过自动化手段进行，如数据收集、记录、组织、建构、存储、改编或修改，恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁的操作。有关我们如何收集和使用您的个人信息，您可查看“2. 我们如何收集和使用您的个人信息”。

1.2.1 收集：本隐私政策中的“收集”是指获得个人信息的控制权的行为，包括由个人信息主体主动向我们提供、通过我们与个人信息主体交互或记录个人信息主体行为等“自动采集”方式，以及我们通过被动接受、搜集公开信息等“间接获取”方式。我们将会在“2.我们如何收集和使用您的个人信息”列表中列明我们获取个人信息的具体形式，以便您确认我们的法定义务范围，并告知您我们处理您的个人信息的合法性基础。例如，若您拒绝我们收集的个人信息为基本业务功能所需之必要个人信息，则您将无法使用相应的基本业务功能，相应的，我们将告知您我们处理前述必要个人信息的合理理由为履约必要。

1.2.3 共享：指本服务中，我们会将您的个人信息对外分享给接收者以完成您选择的功能或服务。有关接收者的身份和类别（如果有），我们将在2.4“共享”中进行详细披露。

1.2.4 匿名化：通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。匿名化处理后所得的信息不属于个人信息。

1.2.5 假名化（去识别化）：是指以如下方式处理个人信息，即：除非适用额外信息，否则无法将个人数据联结到某个具体的数据主体，且上述额外信息应当被独立存储并受制于适当的技术和组织措施，以确保个人数据不会链接到某个已识别或可识别的自然人。

1.2.6 关联公司：一方控制、共同控制另一方或对另一方施加重大影响，以及两方或两方以上同受一方控制、共同控制或重大影响的，构成关联方。

我们会遵循合法、正当、必要的原则，出于实现相关功能的目的向您收集并处理您的个人信息并列示如下，我们尽可能全面、完整、及时地向您披露您的个人信息的收集和使用情况，若您发现我们的披露存在错误或遗漏，请及时与我们联系。

2.1 基本业务功能的个人信息收集和使用

基本业务功能指我们提供的满足您选择和使用我们所提供的服务的根本期待和最主要的需求的相关业务功能，随着产品或服务的迭代、拓展、升级，基本业务功能及其收集和使用的个人信息将会发生变化。基本业务功能下，您可以拒绝授权或关闭相关功能以停止我们对相应个人信息的收集，但这将导致我们无法向您提供相应的服务或无法达到服务效果。

2.2 扩展业务功能的个人信息收集和使用

指我们所提供的基本业务功能之外的其他功能。对于如下扩展业务功能，您可以拒绝授权或关闭相关功能以停止我们对相应个人信息的收集，这将导致我们无法向您提供相应的服务或无法达到服务效果，但不会影响您使用本服务的基本业务功能。

2.3 我们如何使用Cookie和同类技术

2.3.1 Cookies和同类技术的使用

为实现您联机体验的个性化需求，使您获得更轻松的访问体验。我们会在您的计算机或移动设备上发送一个或多个名为 Cookies的小数据文件或同类技术文件，指定给您的Cookies 是唯一的，它只能被将Cookies发布给您的域中的Web服务器读取。我们向您发送Cookies是为了简化您重复登录的步骤、帮助判断您的登录状态以及账户或数据安全。

我们不会将 Cookies 用于本隐私政策所述目的之外的任何用途。您可根据自己的偏好管理或删除 Cookies。有关详情，请参阅AboutCookies.org。您可以清除计算机上保存的所有 Cookies，大部分网络浏览器会自动接受Cookies，但您通常可根据自己的需要来修改浏览器的设置以拒绝 Cookies；另外，您也可以清除软件内保存的所有Cookies。但如果您这么做，您可能需要在每一次访问户户通时亲自更改用户设置，而且您之前所记录的相应信息也均会被删除，并且可能会对您所使用服务的安全性有一定影响。如需详细了解如何更改浏览器设置，请访问您使用的浏览器的相关设置页面。

2.3.2 网站信标和像素标签

除Cookies外，我们将在网站上应用信息标签、像素标签和其他类似技术。例如，我们向您发送的电子邮件可能包括链接到我们网站内容的URL。如果您点击此类链接，我们可以跟踪您的点击，从而帮助我们了解您的产品或服务偏好，改善客户服务。一般来说，网站信标是一种嵌入网站或电子邮件中的透明图像。凭借电子邮件中的像素标签，我们可以知道该邮件是否被打开。如果您不希望被这种方法跟踪，您可以随时取消订阅邮件列表。

2.3.3 Do Not Track（请勿追踪）

很多网络浏览器均设有 Do Not Track 功能，该功能可向网站发布 Do Not Track 请求。目前，主要互联网标准组织尚未设立相关政策来规定网站应如何应对此类请求。但如果您的浏览器启用了 Do Not Track，那么我们会尊重您的选择。

2.4 共享

我们可能出于业务需求/商业目的，以符合GDPR和CCPA的形式向第三方披露您的个人信息（合作名单见链接：）。第三方共享的具体情况请见下表汇总披露。对我们与之共享个人信息的公司、组织和个人，我们会与其签署严格的数据安全责任协定，要求他们按照我们的说明、本政策以及其他任何相关的保密和安全措施来处理个人信息，不得将其用于除履行合同外的任何其他目的。如您是加州居民，在过去的12个月中，我们出于商业目的向以下类别的第三方披露了您的个人信息，披露的个人信息类别如下表所列：

2.4.2 为避免歧义，您应知悉并了解，相关产品中可能含有其他独立第三方运营的网站、应用程序、产品和服务的链接，我们对此第三方网站、应用程序、产品和服务不作任何明示和默示的保证，该类链接仅为方便用户浏览相关页面而提供。当您访问该等第三方网站、应用程序、产品和服务链接时，应另行同意其为您提供的隐私政策或个人信息保护条款。我们与该等第三方网站、应用程序、产品和服务提供者在法律规定和双方约定的范围内各自向您承担独立的个人信息保护责任。

2.4.3 直接营销目的的数据共享：《加州民法典》第1798.83节允许加州居民每年一次要求我们提供出于第三方的直接营销目的而向第三方披露您的个人信息的相关信息。如果您是加州居民，则可以要求我们避免出于营销目的与某些关联公司和其他第三方共享您的个人信息。请通过第8部分“如何联系我们”中的联系方式告诉我们您的偏好，以提出该等请求。

2.5 转让

我们不会将您的个人信息转让给任何公司、组织和个人，但以下情况除外：

2.5.1 在获取明确同意的情况下转让：获得您的明确同意后，我们会向其他方转让您的个人信息；

2.5.2 在涉及合并、收购或破产清算时，如涉及到个人信息转让，我们会在要求新的持有您个人信息的公司、组织继续受此隐私政策的约束，否则我们将要求该公司、组织重新向您征求授权同意。

2.6 公开披露

我们仅会在以下情况下，公开披露您的个人信息：

2.6.1 获得您明确同意后；

2.6.2 基于法律的披露：在法律、法律程序、诉讼或政府主管部门强制性要求的情况下，我们可能会公开披露您的个人信息。

3.1 我们已使用符合业界标准的安全防护措施保护您提供的个人信息，防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施，保护您的个人信息。例如，在您的浏览器与“服务”之间交换数据（如信用卡信息）时受SSL加密保护；我们同时对她山网站提供https安全浏览方式；我们会使用加密技术确保数据的保密性；我们会使用受信赖的保护机制防止数据遭到恶意攻击；我们会部署访问控制机制，确保只有授权人员才可访问个人信息；以及我们会举办安全和隐私保护培训课程，加强员工对于保护个人信息重要性的认识。

3.2 我们的数据安全能力：她山有强大的信息安全部门为她山的产品构建完整先进的数据安全保护体系，包括对用户信息进行分级分类、加密保存、数据访问权限划分；制定了内部数据管理制度和操作规程，从数据的获取、使用、销毁都有严格的流程要求，避免用户隐私数据被非法使用；确定接触用户个人信息的各部门及其负责人安全管理责任；建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；对工作人员及代理人实行权限管理，对批量导出、复制、销毁个人信息实行审查，并采取防泄密措施；妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；记录对用户个人信息进行操作的人员、时间、地点、事项等信息；定期举办安全和隐私保护培训，提高员工的个人信息保护意识。

3.3 我们会采取一切合理可行的措施，确保未收集无关的个人信息。我们只会在达成具体隐私指引所述目的所需的期限内保留您的个人信息，除非需要延长保留期或受到法律的允许。

3.4 互联网环境并非百分之百安全，我们将尽力确保或担保您发送给我们的任何信息的安全性。如果我们的物理、技术、或管理防护设施遭到破坏，导致信息被非授权访问、公开披露、篡改、或毁坏，导致您的合法权益受损，我们将承担相应的法律责任。

3.5 在不幸发生个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您，难以逐一告知个人信息主体时，我们会采取合理、有效的方式发布公告。

同时，我们还将按照监管部门要求，主动上报个人信息安全事件的处置情况。

若您发现您的个人信息泄露时，请您立即通过本政策约定的联系方式与我们联系，以便我们及时采取相应措施。

按照GDPR的一般要求，我们将努力保障您对自己的个人信息行使以下权利。如果您无法通过我们公布的途径控制您的个人信息，您可以随时通过第8部分“如何联系我们”公布的联系方式联系我们。

4.1 访问权、更正权

4.1.1 您可以通过访问我的资料界面（innermountain.org）进入用户账户中心页面，执行访问、更正操作。请注意，尽管我们尽可能允许您更正您的个人信息，但是您的部分个人信息无法更正，这些信息主要包括账号信息，主要原因是为了网络交易安全和确定提供网络产品和服务的对象。

4.1.2 您可以通过访问My Profile界面（innermountain.org）访问、更正您的姓名、性别、生日、国家、电子邮件、联系方式、社交媒体、设备等。

4.1.3 您可以通过访问Address book界面（innermountain.org）访问、更正您的地址。

4.1.4 您可以通过访问My Message界面（innermountain.org）访问您的收件箱信息

4.1.5 如果您无法通过上述方式访问您的个人数据，请随时向我们发送电子邮件[social@innermountain.org]。您也可以通过本政策中第8部分公布的各种联系方式或在她山平台上与我们联系。

4.2 删除权

4.2.2 当您从我们的服务中删除信息后，我们可能不会立即备份系统中删除相应的信息，但会在备份更新时删除这些信息。

4.3 撤回同意权

根据“2.1基本业务功能的个人信息收集和使用”“2.2扩展业务功能的个人信息收集和使用”的披露，我们处理您的部分个人信息的合法理由有赖于您的“同意”。您可以随时撤回您的同意。当您撤回同意后，我们将不再处理相应的个人信息。但您撤回同意的决定，不会影响此前基于您的授权而开展的个人信息处理。

4.4 限制或拒绝处理您的个人信息

4.4.1 限制权

您可以根据GDPR的规定限制我们处理您的个人信息，届时我们仅会根据GDPR对您的个人信息做存储处理并依法通知您。

4.4.2 拒绝权

根据“2.1基本业务功能的个人信息收集和使用”“2.2扩展业务功能的个人信息收集和使用”的披露，我们基于自身商业利益需要处理您的个人信息，包括用于识别分析、直接营销目的等，您有权向我们发送邮件对前述处理行为和识别分析活动行使拒绝权，如果您反对此类处理，我们将不再为这些目的处理您的个人信息，除非我们能够证明我们的利益优于您的权益，或我们是出于诉讼所需而处理您的个人信息。

4.5 个人信息可携权

4.5.1 对基于您的授权同意或者订立和履行合同所必须而收集的个人信息，您有权要求我们以电子形式向您书面指定的第三方提供您的前述个人信息。

4.5.2 我们将在技术可行的范围内尽合理努力保障您的该项权利。如果数据接口匹配，我们也可以根据您的要求和现有的通信技术直接将您的个人数据副本传输给您指定的第三方。如果该第三方拒绝接收你的个人数据副本，从而导致传输失败，你应自行与该第三方协调，她山 不对传输失败负责。

4.6 向监管机构投诉权

如果您对我们的回复不满意，特别是认为我们的个人信息处理行为损害了您的合法权益，且协商无法达成一致的，您有权向【有关个人信息保护监管部门】提起申诉。

4.7 对您上述请求的回应：

4.7.1 为了确保安全，您可能需要提供书面请求或以其他方式证明您的身份。在处理你的请求之前，我们可能会要求你核实你的身份。

4.7.2 我们将在30天内做出答复。如果你不满意，你也可以按照本协议第8条规定的方式提出投诉。

4.7.3 对于您的合理要求，我们原则上不收取任何费用，但对于超过合理限度的重复要求，我们会视情况收取一定的费用。我们可以拒绝那些无缘无故的重复请求，需要过多技术手段的请求（例如，需要开发一个新的系统或从根本上改变现有的做法）或对他人的合法权益构成风险的请求，或极其不现实的请求（例如，涉及存储在备份磁带中的信息）。

如果您是加州居民，您将拥有以下权利。我们欢迎在适用法律要求的范围内并在法律规定的时间内的该等请求。

4.9 对收集、披露或出售的个人信息的知情权

4.10 更正权

您有权对我们收集的不准确的个人信息予以更正，根据CPRA的要求，我们需要在核实您的真实身份的情况下才允许更正个人信息。

4.11 删除权

您有权要求我们删除从您处收集并保留下来的任何您的个人信息，但是，这是一项有限的权利，根据 CCPA 项下的一项例外条款或其他合法义务，我们仍可能在法律允许的范围内将某些数据保留一段合理时间。一旦我们收到、核实并确认您的请求，我们将从我们的记录中删除（并指示我们的服务提供商删除）您的个人信息，除非法律法规另有规定，或者该第三方已经获得您的独立授权。

4.12 选择退出的权利

在过去的12个月中，我们未出售过个人信息。未来我们可能将所收集的您的个人信息用于出售，您有权出于金钱或其他有价值的考虑而选择不出售您的个人信息。您可以点击不得出售我的个人信息来选择退出。对于我们收集的16周岁以下未成年人的个人信息，除非我们依法得到未成年人父母或监护人的明确授权，我们将不会出售。

4.13 不因行使加州隐私权而受歧视的权利

然而，如果该差异与您为她山提供的个人信息的价值合理相关，我们可能会收取不同的价格或费率，或提供不同水平或质量的商品或服务。

4.14 如何行使您的加州隐私权利

4.14.1 您可以通过以下方式行使您的权利：

填写并向我们提交在线请求表格

电子邮箱：【social@innermountain.org】

免费热线：【暂无】

4.14.2 请注意，在法律允许的情况下，在授予您访问信息的权限或根据您的请求行使权利前，我们可能会采取措施来验证您的身份。

4.14.3 在某些情况下，您可以指定一名授权代理人代表您提出请求。您必须向授权代理人提供书面授权证明，并且我们可能要求您直接向我们核实您的身份。

4.14.4 此外，您只能在12个月的期间内发起2次可核实的请求。

4.14.5 在某些情况下，我们可能无法满足您的请求。例如，如果无法核实您的身份或无法核实授权代理人是否有权代表您提出请求，我们就不会满足该请求。此外，如有例外情况，我们也不会满足您的请求，例如披露个人信息可能会对其他消费者的权利与自由造成不良影响，或我们对您保存的个人信息不受 CCPA 访问或删除权的约束。

4.14.6 我们将尽力在收到您的请求后45天内完成您的请求。如果需要更多时间，我们会以书面形式通知您原因和延长期限。

4.15 账号注销权

4.15.1 无论您是否为加州居民，您可以随时取消你注册的 她山 账户，您可以访问[innermountain.org]页面自行取消您的账户，或者向[social@innermountain.org]发送电子邮件，要求我们取消您的 她山 账户，我们可能要求您验证您的身份，以确保您的账户安全。

4.15.2 取消您的账户后，我们将停止为您提供服务，并根据您的要求在适用法律规定的期限内删除您的个人资料，除非法律法规另有规定或您与我们达成协议。

5.1 我们的产品、网站和服务只针对成年人。儿童不得创建自己的用户账户。

5.2 我们将任何未满18周岁的人视为儿童，尽管当地法律和习俗对儿童的定义不同。

5.3 您应该主动申报年龄。如果您未满16周岁，您应提供监护人的联络方式（例如电子邮箱、电话号码），我们将通过该联络方式联系您的监护人，并采取合理措施征得您的监护人的明示同意；您应明确了解，若我们在服务过程中发现或怀疑您未满16周岁的，则我们可以随时中止或终止向您提供服务，直至您向我们提供您已满16周岁的证明，或协助我们获得您的监护人的明示同意（例如由您的监护人在您的相关申请中签字或向我们提供同意您使用服务的签字说明）。

5.4 如果我们发现自己在未事先获得可证实的父母同意的情况下收集了未成年人的个人信息，则会设法尽快删除相关数据。

5.5 如您为未成年人的父母或监护人，当您对您所监护的未成年人的个人信息处理存在疑问时，请通过下文第8部分中的联系方式联系我们。

6.1 您知悉并明确同意原则上我们将您的个人数据收集至[中华人民共和国]存储和处理。我们在此提请您注意，中华人民共和国不是欧盟委员会确定的达到 "全面保护标准 "的第三国。我们将尽最大努力为您的个人数据的转移提供适当的保障，并满足您行使您的权利和获得有效的法律补救措施。这种数据传输是有风险的（详见我们的DPIA页面指南[]）。您应该充分了解这种风险，并在此授权我们将您的个人数据转移到您使用服务的国家或地区的外国司法机构，包括中国。

7.1 我们的隐私政策可能变更。未经您明确同意，我们不会削减您按照本政策所应享有的权利。我们会发布对本政策的更新版本。

7.2 对于重大变更，我们还会提供更为显著的通知（包括对于某些服务，我们会通过电子邮件发送通知，说明本政策的具体变更内容）

8.1 我们的基本情况：

公司名称：北京内峰科技有限公司

联系地址：

8.2 我们设立了个人信息保护部门，如果您对隐私政策有任何疑问或意见，或者您希望我们更新有关您或您的偏好信息，您可以通过以下方式联系我们，一般情况下，我们将合理期限内回复：

个人信息保护部门：【法务部】

联系方式：【social@innermountain.org】

8.3 如果您是残障人士且无法访问并获取本隐私政策的相关信息，您可以通过本部分提供的联系方式联系我们，我们将尽力为您提供方便您访问的其他隐私政策格式版本。