全球酒店联盟隐私政策——中国附录
2025-11-27 17:13:23
本《全球酒店联盟隐私政策中国附录》(以下简称“本附录”)是《全球酒店联盟隐私政策》(以下简称“隐私政策”)的一部分,应与隐私政策一并阅读。隐私政策可点击此处查阅。
如您对隐私政策或本附录有任何疑问,请通过后文“如何联系我们”章节所列方式与我们联系。
一、关于本附录
保护您的个人信息对全球酒店联盟至关重要。本附录描述了我们作为个人信息处理者,如何依据《个人信息保护法》处理受其保护的个人信息。具体而言,本附录适用于我们处理中国境内自然人,或在以下情形中处理境外自然人个人信息的活动:
- 以向中国境内自然人提供产品或者服务为目的;
- 分析、评估中国境内自然人的行为;
- 法律、行政法规规定的其他情形。
本附录包括以下内容:
- 定义;
- 我们如何收集和处理您的个人信息;
- 个人信息的传输;
- 安全保障;
- 您的权利;
- 如何联系我们。
如隐私政策与本附录在处理《个人信息保护法》所保护的个人信息方面存在冲突,请以本附录为准。
二、定义
在本附录中,我们使用了一些专门术语,其定义如下:
“匿名化”:指个人信息经过处理无法识别特定自然人且不能复原的过程。
“中国”:仅指中国大陆地区,不包括香港特别行政区、澳门特别行政区和中国台湾地区。
“个人信息处理者”:指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
“受托处理者”:通常指我们依据符合《个人信息保护法》第二十一条要求的合同委托、并代表我们处理个人信息的任何供应商或服务提供商
“GHA”和“我们”均指GHA Loyalty DMCC。该公司位于阿联酋迪拜Jumeirah Lake Towers JBC5 Tower的21楼,邮政信箱号为487771。
“境外接收方”:指位于中国境外接收GHA提供的个人信息的组织或个人。
“个人信息”、“个人数据”或“数据”:就本附录而言,该等术语具有相同含义,均指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
“《个人信息保护法》”:指《中华人民共和国个人信息保护法》。
“处理”:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。
“相关法律法规”:指《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国民法典》及其他适用的中国法律法规。
“SDK”:指软件开发工具包,通常是一种用于辅助应用程序开发、实现特定功能的软件工具。常见的SDK类型包括:广告推送、消息推送、数据统计、地图服务、第三方登录、社交支付、风险控制、身份认证、开发框架等。
“安全事件”:指因违法或意外原因导致个人信息被破坏、篡改、丢失、滥用、非法访问、修改或泄露的事件。
“敏感个人信息”:指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
“网站”:指 www.ghadiscovery.com、GHA DISCOVERY 移动应用及由GHA运营或代表GHA运营的其他网站和应用。
三、我们如何收集和处理您的个人信息
我们仅在具备合法性基础的情况下处理您的个人信息。我们依赖的处理个人信息的合法性基础,可能会取决于我们所要实现的具体处理目的。通常,我们依赖以下一种或多种合法性基础:
- 为订立、履行您作为一方当事人的合同所必需;
- 为履行法定职责或法定义务所必需;
- 为应对突发公共卫生事件,或在紧急情况下为保护自然人的生命健康和财产安全所必需;
- 法律、行政法规规定的其他情形。
如上述合法性基础均不适用,我们将在处理您的个人信息前取得您的同意。
1. 我们收集的个人信息类型
我们收集如下您的个人信息:
| 个人信息类型 | 个人信息字段 | 保存期限 |
| 网站浏览信息 | IP地址 互联网服务提供商 登录频率 网站内访问的页面 操作系统 访问系统用于进入我们网站的来源网站或移动应用程序** 网络浏览器 |
6个月 |
| 联系信息 | 您通过电子邮件向我们发送咨询或支持请求时自愿提供的个人信息* 您与我们之间的通信记录* |
永久保存,直至您提出删除请求 |
| 问卷调查信息 | 问卷反馈* | 1年 |
|
GHA DISCOVERY 会员注册信息 |
会员编号 电子邮件地址 |
永久保存,直至您提出删除请求 |
| GHA DISCOVERY预订信息 | 预订的酒店 预订日期、到达日期与离开日期 入住房间人数(成人、儿童) 预订房型类别 价格 |
永久保存,直至您提出删除请求 |
| GHA DISCOVERY 旅行购买信息 | 用于购买旅行的信用卡账单地址* 信用卡信息(包括卡号、卡种、持卡人姓名及有效期)* |
1年 |
| Cookies | Cookies* | 1年 |
我们使用“*”标注了我们处理的敏感个人信息,供您参考。为实现以下所述目的,我们需要处理您的敏感个人信息。在处理您的敏感个人信息之前,我们将依据相关法律法规取得您的单独同意。
我们不会收集十四周岁以下未成年人的个人信息。请您确保您监护的未成年人在未经您同意的情况下,不会向我们提供其个人信息。若我们收到任何十四周岁以下您所监护未成年人的个人信息,您可以通过后文“如何联系我们”章节所列方式与我们联系,要求删除相关个人信息。
2. 我们处理个人信息的目的
我们可能出于以下目的处理您的个人信息:
|
目的 |
个人信息类型 |
| 管理您的账户并计算 DISCOVERY的积分(D$) | GHA DISCOVERY会员注册信息 GHA DISCOVERY预订信息 |
| 协助您规划和购买旅行 | GHA DISCOVERY会员注册信息 GHA DISCOVERY预订信息 GHA DISCOVERY旅行购买信息 |
| 通知您旅行变更事项 | GHA DISCOVERY会员注册信息 GHA DISCOVERY预订信息 |
| 向您发送营销信息或问卷调查 | GHA DISCOVERY会员注册信息 GHA DISCOVERY预订信息 您在问卷调查中提供的其他信息 |
| 回应您的问题或建议 | GHA DISCOVERY会员注册信息 GHA DISCOVERY预订信息 您自愿提供的其他信息 |
| 改善您访问我们网站的体验质量 | Cookies信息及与您设备相关的技术信息 |
| 修改或更新您的个人资料和偏好信息 | GHA DISCOVERY会员注册信息 |
当您使用我们的应用程序和微信小程序时,为了保证相关服务与功能的正常、安全及稳定运行,我们可能会向您申请以下系统权限:
| 系统权限名称 | 描述 | 目的 | 适用的系统 |
| android.permission.ACCESS_NETWORK_STATE | 查看网络状态。 | 允许应用程序查看所有网络的状态。 | Android |
| android.permission.INTERNET | 在应用中执行网络操作。 | 授权应用访问互联网。 | Android |
| android.permission.ACCESS_FINE_LOCATION | 允许请求前台精确位置信息访问。检查精确定位。 | 允许应用在前台请求精确定位权限,并验证具体位置。 | Android |
| android.permission.ACCESS_COARSE_LOCATION | 允许请求前台位置访问。验证地理区域。 | 允许访问位置信息,确认地理区域。 | Android |
| android.permission.WRITE_CALENDAR | 允许应用写入用户的日历数据。 | 授权访问并写入日历。 | Android |
| android.permission.READ_CALENDAR | 允许应用读取用户的日历数据。 | 授权应用访问并读取用户日历数据。 | Android |
| ${applicationId}.permission.RSYS_SHOW_IAM | 用于在Android设备上或 Responsys 平台上显示应用内消息或富推送消息。 | 允许用户在其Android设备上的应用内接收通知或消息。 | Android |
| ${applicationId}.permission.PUSHIO_MESSAGE | 用于处理推送通知或通过 Responsys 进行处理。 | 使设备能够有效管理接收到的推送通知。 | Android |
| ${applicationId}.permission.C2D_MESSAGE | 防止其他应用注册并接收本应用的消息,或通过 Responsys 实现此功能。 | 确保只有指定的目标应用可以接收和处理其消息,防止其他应用干扰。 | Android |
| NSUserTrackingUsageDescription | 向用户说明应用为何请求使用其数据以追踪用户或设备。 | 用于追踪用户或设备数据。 | IOS |
| NSCalendarsUsageDescription | 向用户说明应用为何请求访问其日历数据。 | 用于告知用户应用访问日历数据的原因。 | IOS |
| NSCameraUsageDescription | 向用户说明应用为何请求访问设备的摄像头。 | 用于访问设备摄像头。 | IOS |
| NSLocationAlwaysAndWhenInUseUsageDescription | 向用户说明应用为何请求在任何时间访问其位置信息。 | 在应用使用期间持续获取位置信息。 | IOS |
| NSLocationAlwaysUsageDescription | 向用户说明应用为何请求始终访问其位置信息。 | 在应用使用或未使用时均可持续获取位置信息。 | IOS |
| NSLocationUsageDescription | 向用户说明应用为何请求访问其位置信息。 | 用于访问用户位置,即使应用未被使用时(例如在后台运行时)。 | IOS |
| NSLocationWhenInUseUsageDescription | 向用户说明应用为何在前台运行时请求访问其位置信息。 | 当用户首次启动应用并请求定位权限时,会出现在IOS 的授权提示中。 | IOS |
| NSPhotoLibraryUsageDescription | 向用户说明应用为何请求访问其照片库。 | 用于访问用户的照片库。 | IOS |
四、个人信息的传输
1. 受托处理
为向您提供特定服务,我们可能需要委托受托处理者代表我们处理您的部分个人信息。我们将与受托处理者签署严格的保密协议,并在其他相关协议中纳入个人信息保护条款,要求其按照我们的严格标准、本附录以及相关法律法规的要求,处理和保护您的个人信息。
我们通常委托的受托处理者类型包括:
- 专业顾问,例如律师、会计师、税务顾问等;
- 技术专家,例如信息安全专家等;以及
- 其他专业人员,例如市场营销专家、调查机构等。
2. 境内传输
为了向您提供尽可能优质的宾客体验,我们需要在中国境内与第三方共享您的个人信息。在我们传输您的个人信息或敏感个人信息之前,我们将根据相关法律法规征得您的单独同意。我们会出于以下目的向境内主体传输您的个人信息:
- 处理目的:为运营 GHA DISCOVERY 忠诚度计划,包括识别并奖励在酒店入住的会员。
- 个人信息类型:会员参与信息,包括旅行预订信息;身份识别信息(姓名、姓氏、地址、电话号码、电子邮件地址、用户名、签名、电子签名);个人特征数据(婚姻状况、出生日期、出生地、年龄、性别、国籍、母语);社会情况数据(兴趣与生活方式、忠诚度计划会员身份、会员编号)。
- 处理方式:收集、存储、使用、加工、传输、提供、公开、删除。我们会通过自动化及人工方式输入和交换您的个人信息,并使用数字系统在酒店与GHA Loyalty DMCC之间进行信息传输。
请参阅下方列表,以了解可能会接收您个人信息的中国境内第三方的详细信息。
|
接收方 |
联系信息 |
| 海南土福湾嘉佩乐度假酒店 | shushien.lee@capellahotelgroup.com |
| 上海建业里嘉佩乐酒店 | |
| 重庆凯宾斯基酒店 长沙凯宾斯基酒店 成都凯宾斯基酒店 大连凯宾斯基酒店 福州凯宾斯基酒店 杭州凯宾斯基酒店 银川凯宾斯基酒店 贵阳凯宾斯基酒店 南京凯宾斯基酒店 北京燕莎中心凯宾斯基饭店 北京日出东方凯宾斯基酒店 北京雁栖酒店 北京雁栖岛国宾别墅 上海凯宾斯基大酒店 苏州凯宾斯基酒店 深圳凯宾斯基酒店 济南凯宾斯基酒店 太原凯宾斯基酒店 厦门凯宾斯基酒店 广州德安丽舍凯宾斯基酒店 上海凯宾斯基壹会公寓酒店 北京诺金酒店 北京饭店诺金 |
yannick.brandner@kempinski.com |
| 贵阳安纳塔拉度假酒店 西双版纳安纳塔拉度假酒店 郑州金水诺翰酒店 成都非遗博览园盛橡酒店 成都非遗博览园缇沃丽酒店 |
sutthinan_so@minor.com |
| 宁波泛太平洋大酒店 北京泛太平洋酒店 苏州吴宫泛太平洋酒店 天津泛太平洋大酒店 厦门泛太平洋大酒店 |
ng.hweene@pphg.com |
| 上海素凯泰酒店 | alexander.schillinger@sukhothai.com |
| 香港港威酒店 香港马哥孛罗酒店 晋江马哥孛罗酒店 香港太子酒店 北京中奥马哥孛罗大酒店 武汉马哥孛罗酒店 厦门马哥孛罗酒店 长沙玛珂酒店 成都尼依格罗酒店 重庆尼依格罗酒店 长沙尼依格罗酒店 香港美利酒店 苏州尼依格罗酒店 |
cheryl.chi@wharfhotels.com |
3. 跨境传输
作为总部设在中国境外的实体,我们是接收和处理您的个人信息的境外接收方。您的个人信息会被传输到【我们位于德国、爱尔兰和荷兰的服务器中。部分个人信息可能会存储在GHA合作酒店和IT服务供应商的系统中,用于提供会员服务。】我们将确保采取适当的保护措施,并确保传输符合适用的法律法规。详情请参阅下方列表:
|
公司名称 |
处理目的 | 处理方式 | 个人信息种类 |
| GHA Loyalty DMCC。 | 管理您的账户并计算 DISCOVERY的积分(D$); 协助您规划和购买旅行; 通知您旅行变更事项; 向您发送营销信息或问卷调查; 回应您的问题或建议; 改善您访问我们网站的体验质量; 修改或更新您的个人资料和偏好信息。 |
收集、存储、使用、加工、传输、提供、公开、删除。 | - 个人基本资料:姓名、会员编号、会员密码、电话号码、电子邮件地址、用户名、出生日期、通讯地址 - 个人财产信息:用于购买旅行的信用卡账单地址、信用卡信息(卡号、卡种、持卡人姓名及有效期) - 个人通讯信息:咨询或支持请求时的往来邮件、通信记录 - 个人上网记录:互联网服务提供商、登录频率、网站内访问的页面、访问系统到达我们网站或移动应用程序前所访问的网站或移动应用程序、网络浏览器类型及版本、Cookies - 网络身份标识信息:IP地址 - 个人常用设备信息:设备信息、操作系统 - 其他个人信息:首选沟通方式、语言偏好、兴趣与偏好、预订的酒店、预订日期、到达日期与离开日期、入住房间人数(成人、儿童)、预订房型类别、价格、问卷调查的反馈。 |
此外,由于我们的业务遍布全球,我们可能需要向其他境外接收方传输会员的个人信息。请参阅下方列表,以了解可能接收您个人信息的境外接收方的详细信息:
| 境外接收方 | 地区 |
联系信息 |
处理目的 | 个人信息类别 | 处理方式 | 保存期限 |
| Opera预订系统 | 德国法兰克福 | https://www.oracle.com/legal/privacy/data-protection-authority/ | 预订管理平台 | 完整的客户信息,包括姓名、通讯地址、电话号码、电子邮件地址、首选沟通方式、语言偏好、兴趣与偏好、入住记录(如GHA DISCOVERY预订信息) | 收集、存储、使用、加工、传输、删除 | 永久保存 |
| Opera 客户信息平台 | 德国法兰克福 | https://www.oracle.com/legal/privacy/data-protection-authority/ | 客户信息管理平台 | 完整的客户信息,包括姓名、通讯地址、电话号码、电子邮件地址、首选沟通方式、语言偏好、兴趣与偏好、入住记录(如GHA DISCOVERY预订信息) | 收集、存储、使用、加工、传输、删除 | 永久保存,直至您撤回参与GHA DISCOVERY 的同意。 |
| Oracle Responsys | 荷兰阿姆斯特丹 | https://www.oracle.com/legal/privacy/data-protection-authority/ | 营销活动管理平台 | 包括姓名、通讯地址、电话号码、电子邮件地址、首选沟通方式、语言偏好、兴趣与偏好、入住记录(如GHA DISCOVERY预订信息)、行为和参与度数据(如问卷反馈、网站浏览信息) | 存储、使用 | 永久保存,直至您撤回参与GHA DISCOVERY 的同意。 |
| FusionAuth | 德国法兰克福 | https://fusionauth.io/contact | 身份验证凭证托管 | 电子邮件地址、用户名、姓名 | 收集、存储、使用、加工、删除 | 永久保存,直至您撤回参与GHA DISCOVERY 的同意。 |
如果您希望依据相关法律法规,就上述任何境外接收方对您的个人信息行使您的合法权利,请通过后文“如何联系我们”章节所列方式与我们联系。
在我们将您的个人信息或敏感个人信息传输至中国境外之前,我们将依据相关法律法规取得您的单独同意。
4. SDK
我们可能会在我们的网站、应用程序及微信小程序中嵌入第三方SDK,以确保其稳定运行并向您提供相关服务。请参阅下方列表,了解我们所使用的SDK的详细信息:
| 名称 | SDK运营者 | 处理目的 | 个人信息类别 | SDK运营者的隐私政策 |
| Oracle Responsys Mobile SDK 6.56.1 | Oracle | 营销沟通与个性化 | 1) 设备信息 2) 位置信息 3) 用户个人资料信息 4) 行为数据 5) 交易数据 6) 使用分析数据 7) 推送通知令牌 |
https://www.oracle.com/legal/privacy/ |
| Singular Flutter SDK 1.2.1 | Singular | 活动优化、用户互动分析、行为跟踪与报告 | 1) 设备信息 2) 应用安装数据 3) 应用使用数据 4) 归因数据 5) 位置信息 6) 广告标识符 |
https://www.singular.net/privacy-policy/ |
| Google Maps flutter SDK 2.7.0 | Google Maps Platform | 用于定位服务 | 1) 设备信息 2) 位置信息 3) 应用使用分析数据 4) Cookies 及第三方数据 |
https://policies.google.com/privacy https://pub.dev/packages/google_maps_flutter/license |
| Firebase core SDK 2.1.1 | 连接多个 Firebase 应用程序 | 1) 设备信息 2) 位置信息 3) 个人资料信息 – 会员编号 |
https://policies.google.com/privacy | |
| Firebase Crashlytics SDK 3.0.4 | 用于崩溃报告分析 | 1) 设备信息 2) 位置信息 3) 个人资料信息 – 会员编号 |
https://policies.google.com/privacy | |
| Firebase Messaging SDK 4.7.9 2:16 | 用于推送通知功能 | 1) 设备信息 2) 位置信息 3) 个人资料信息 – 会员编号 |
https://policies.google.com/privacy | |
| Firebase Analytics SDK 10.7.4 | 为分析及改进应用性能而处理个人信息 | 1) 设备信息 2) 位置信息 3) 个人资料信息 – 会员编号 |
https://policies.google.com/privacy | |
| Firebase Instance Id SDK 1.0.0 | 设备识别、分析与推送通知发送 | 1) 设备信息 2) 位置信息 3) 个人资料信息 – 会员编号 |
https://policies.google.com/privacy | |
| Flutter map SDK 6.1.0 | Flutter或Google | 用于中国境内定位服务 | 1) 设备信息 2) 位置信息 3) 分析数据 |
https://policies.google.com/privacy |
| Facebook SDK 0.18.3 | 用于追踪Facebook事件和用户互动情况 | 1) 认证与账户管理 2) 分析与广告 3) 应用使用分析 |
https://www.facebook.com/privacy/policy/?entry_point=data_policy_redirect&entry=0 | |
| CookieYes Consent Management | CookieYes | 基于同意的收集、Cookies管理与用户权利管理 | 1) IP 地址 2) 设备信息 3) 会员编号 4) 同意偏好 5) Google Analytics数据 6) 浏览器信息 |
https://www.cookieyes.com/privacy-policy/ |
| Google maps | 提供地图及基于位置的服务 | 1) 设备信息 2) 位置信息 3) 应用使用分析数据 4) Cookies 及第三方数据 |
https://policies.google.com/privacy https://pub.dev/packages/google_maps_flutter/license |
|
| Mapbox 2.8.2 | Mapbox | 用于定位服务 | 1) 位置信息 2) 设备信息 3) 会员编号 4) 数据使用情况 |
https://www.mapbox.com/legal/privacy |
| Google Tag Manager | 分析 GHA 网站与应用中的埋点与追踪标签。 | 1) 位置信息 2) 设备与浏览器信息 3) 会员编号 4) 用户 ID 5) 转化事件 6) IP 信息 |
https://policies.google.com/privacy | |
| Yieldify | Yieldify | 数字营销与转化优化 | 1) 位置信息 2) 设备信息 3) 会员编号 4) 行为数据 5) Cookies 与追踪数据 |
https://www.yieldify.com/website-privacy-policy/ |
| Lytics Customer Data Platform (CDP) | Lytics | 个性化与定向营销体验 | 1) 位置信息 2) 设备信息 3) 会员编号 4) 行为数据 5) Cookies 与追踪数据 6) GA4 数据 |
https://www.lytics.com/privacy-policy/ |
| Google Analytics 4 | 分析用户在 GHA 网站与应用上的交互情况 | 分析用户在 GHA 网站与应用上的交互情况 | https://policies.google.com/privacy |
5. 公司交易
如因合并、分立、解散、破产或其他原因需要转移您的个人信息,我们将告知您接收方的组织名称或个人姓名、联系方式。
6. 外国政府
除非相关法律法规允许,我们不会与外国政府共享个人信息。
7. 其他情形下的转移
由于可能出现不可预见的情况,我们在未列明的其他情形下也可能需要转移个人信息。若发生此类情况,我们将根据相关法律法规的要求,取得您的同意。
五、安全保障
我们将依据相关法律法规及隐私政策的规定,采取合理措施保护您的个人信息,防止发生安全事件。若您对个人信息的安全性有任何疑虑,或认为自己可能遭遇了安全事件,请通过后文“如何联系我们”章节所列方式与我们联系。
六、您的权利
根据相关法律法规,您享有以下权利:
- 要求GHA说明个人信息处理规则;
- 限制或拒绝GHA处理您的个人信息;
- 请求查阅并复制您的个人信息;
- 要求将您的个人信息转移至指定的第三方;
- 当您的个人信息不完整或不准确时,要求予以更正;
- 在以下情形下,要求删除您的个人信息:
-
- 处理目的已实现或无法实现;
- 个人信息为实现处理目已不再需要;
- 停止提供产品或者服务;
- 保存期限已届满;
- GHA的处理行为违反相关法律法规或双方约定;
- 以及其他依据相关法律法规应当删除的情形;
- 随时撤回基于您同意而进行的个人信息处理;
- 要求对仅通过自动化决策方式作出的、对您权益产生重大影响的决定进行解释,并有权拒绝此类自动化决策;
- 拒绝或限制通过自动化决策方式进行的商业营销或信息推送。
请注意,如果您决定撤回同意,该撤回行为不会影响撤回前基于您的同意已进行的个人信息处理活动的效力。
如您希望行使上述权利,请通过后文“如何联系我们”章节所列方式与我们联系。我们将依据中国适用的法律法规,在收到请求后15个工作日内及时处理您的申请。
此外,如您使用我们的移动应用程序,您也可以通过点击应用内的“账户/个人资料”功能,直接更正、补充或删除部分个人信息。
七、如何联系我们
如果您对隐私政策或本附录中所述的任何内容有疑问,或希望依据相关法律法规行使您的权利,您可以通过以下任一联系方式联系我们:
GHA Loyalty DMCC(总部)
总部地址:阿联酋迪拜Jumeirah Lake Towers JBC5 Tower的21楼,邮政信箱号为487771。
电话:+971 4 4214287
电子邮箱:contact@ghadiscovery.com(支持中文和英文)
GHA Loyalty DMCC(中国代表)
电子邮箱:contact@ghadiscovery.com(支持中文和英文)
Rolf Lauser教授
数据保护负责人
地址:德国达豪市Dr.-Gerhard-Hanke-Weg 31, 邮编85221
电子邮箱:data.privacy@gha.com