1. 誰負責您的個人資料？您可以聯絡誰？

我們處理與您和（或）您的相關人士（相關人士與您以下合稱「資料當事人」）有關的資料和個人資料。基本上，我們是因為我們現行和（或）未來的業務關係（以下合稱「業務關係」），包括您使用我們的網站，而處理這些資料。我們是以控制者或共同控制者（以下稱為「控制者」）的身份做這些事。

相關人士」是指某些個人或實體，其資料由您或第三方提供給我們，又或者因為業務關係，我們以其他方式所知。相關人士可以包括但不限於（i）某公司的董事、高層或員工；（ii）某個信託的受託人、財產授予人或保護人；（iii）某個帳戶的任何一位代名人或實益擁有人；（iv）某個帳戶的重要利益擁有人；（v）掌握控制權的人；（vi）指定支付的收款人；或（vii）任何代表或代理人（例如取得某個帳戶的授權書或知情權的人）。

在此情況下，我們要求您聯絡您的所有相關人士，並將本私隱須知及其中的資訊傳送給他們。

如果您對本私隱須知、您的控制者或您（或您的相關人士）的個人資料之處理有任何問題，您可以聯絡我們的客戶關係經理或資料保護主任，地址如下：

百達集團資料保護主任

Route des Acacias 60
1211 Geneva 73
Switzerland
switzerland-data-protection@pictet.com

Avenue J.-F. Kennedy 15A
L-1855 Luxembourg
Luxembourg
europe-data-protection@pictet.com

2. 我們如何處理您的個人資料？

我們負有某些機密及／或保密責任，這些責任可能源自資料保護規定、合約、專業或銀行保密規定（視情況而定）。我們處理個人資料也受上述責任約束。

本私隱須知說明我們處理個人資料的方式；處理是指蒐集、使用、儲存、傳送或以其他方式處理，以下合稱「處理」或「處理作業」。本私隱須知並不取代我們適用的合約條款和條件，而是受適用的合約條款和條件約束。

我們可能直接進行處理作業，也可能委託他人（以下稱為「處理者」）替我們處理個人資料，間接進行處理作業。我們僅對本私隱須知所述的個人資料處理負責。

3. 我們處理哪些個人資料？

個人資料」包括任何能用來直接或間接識辨某個自然人的資料（前者的例子包括姓名，後者的例子包括護照號碼或某些資料組合）。

我們處理的資料當事人個人資料可能包括：

• 識別資料，例如姓名、地址、電話號碼、電郵地址、業務聯絡資料；
• 個人特徵，例如出生日期、出生地；
• 職業資料，例如就業記錄、職位、代表權；
• 公共機構發出的標識符，例如護照號碼、身份證號碼、稅籍編號、國民保險號碼、社會保障號碼；
• 財務資料，例如財務與信貸記錄、詳細的銀行資料；
• 交易／投資資料，例如當前與以往的投資、投資概況、投資偏好與已投入金額、持股數量與價值、在交易中的角色（買方或賣方）、交易詳情；
• Cookie資料，例如網站或電子郵件使用的cookie或類似技術所含的資料（請參考我們的Cookie政策）。

4. 我們處理個人資料目的何在？是基於什麼法律基礎？

我們蒐集和處理個人資料，是為了下述目的（以下稱為「目的」）和基於下述法律基礎。

一般而言，我們處理個人資料的基礎包括（i）履行合約，而您是合約的一方，又或者合約涉及相關人士（以及根據您或相關人士的要求，在此之前完成一些步驟）；（ii）根據法規，我們必須履行某些責任；（iii）追求我們的合法利益（包括百達集團中其他實體的合法利益）；及（iv）為了公眾利益而做某些事（例如為了防止和偵查罪行）。

較具體而言，我們為了履行合約（您是合約的一方，又或者合約涉及相關人士），必要時蒐集和處理個人資料，包括進行以下處理作業（這些作業也可能基於其他合法的基礎）：

• 建立和管理您和（或）相關人士的帳戶或與我們的業務關係，包括識辨您身份的所有相關作業；
• 就我們的業務關係，由控制者和處理者之服務提供商所提供的任何其他相關服務；
• 投資基金之管理、行政和分銷工作，包括與這些活動有關的任何附屬服務；或
• 處理投資基金之認購、轉換和贖回要求，以及維繫與基金投資者的關係。

我們也會為了履行法律或監管機構規定的責任而蒐集和處理個人資料，包括：

• 向資料當事人提供產品與服務的銷售文件；
• 遵從與會計和金融工具市場法規有關的法律義務；
• 以任何其他方式與法定機構、監管部門、執法單位和其他公共機構合作或向它們報告資料（例如在打擊清洗黑錢及恐怖分子融資活動這領域），以便根據稅法防止和偵查罪行（例如根據共同匯報標準〔CRS〕、《外國帳戶稅務遵從法》〔FATCA〕或其他適用的防止逃稅與詐騙的稅法，向稅務部門報告有關人士的姓名、地址、出生日期、稅籍編號、帳戶號碼和帳戶結餘）；
• 防止詐騙、賄賂、貪污，以及根據我們的打擊洗錢及恐怖分子融資程序，防止向持續受經濟或貿易制裁的人士提供金融和其他服務，以及為了篩選而保留打擊洗錢及恐怖分子融資相關記錄及其他必要記錄；
• 處理集團內部積極的風險管理，識辨、限制和監測市場、信貸、違約、程序、流動性、形象以及營運與法律方面的風險；
• 記錄與資料當事人的對話（例如電話與電子通訊），尤其是記錄指示或偵測潛在或實際的詐騙和其他犯法行為。

上述處理作業可能倚賴其他合法基礎，而它們最終確實相當倚賴出於公眾利益而完成某些任務。

此外，我們可能為了追求合法利益而處理個人資料，例如：

• 以經自動處理的個人資料為基礎，評估資料當事人的某些特徵（見下方第5節）；
• 發展我們與您的業務關係；
• 改善我們的內部業務組織與運作，包括為了做好風險管理；
• 在百達集團成員中使用這些資料作市場研究或廣告之用，除非資料當事人已表明反對我們利用他們的個人資料作營銷用途；
• 在風險管理工作中評估我們的風險並作出相關業務決定；
• 向百達集團中其他實體傳送個人資料，尤其是為了確保我們提供有效率和協調的服務，並告知資料當事人百達集團提供的服務；
• 確立、執行和（或）捍衛實際或潛在的法律索求、調查或類似程序；
• 記錄與資料當事人的對話（例如電話與電子通訊）以便確認指示，行使或捍衛我們的利益或權利，評估、分析和改善我們的服務質素，培訓我們的員工，以及管理風險。

在我們已事先徵得您的同意下，若我們有一個或多個個人資料處理程序，我們將於再與您聯絡並徵求您的同意。

提供個人資料可能是強制性的，例如我們為了履行法律或監管機構規定的責任，可能必須要求您提供某些資料。請注意，如果您不提供這種必要的資料，我們可能無法維持與您的業務關係，也可能無法為您提供服務。

5. 我們是否倚賴「特徵歸納」（profiling）或自動化決策？

我們可能根據經自動處理的個人資料，評估資料當事人的某些特徵（這就是所謂的「特徵歸納」），尤其是為了向資料當事人提供個人化的產品或建議，或配合當事人的需求提供我們（或我們的集團成員或業務夥伴）的產品與服務的資料。我們也可能利用某些技術識辨與某資料當事人或某帳戶活動有關的風險程度。

在此之外，我們在與我們的業務關係和（或）資料當事人有關的事宜上，一般不利用自動化決策。如果採取這種做法，我們會遵循適用的法規要求。

6. 我們從哪些來源蒐集您的個人資料？

為了達到處理個人資料的目的，我們藉以下方式蒐集和接收個人資料：

• 向資料當事人直接取得資料，例如在當事人聯絡我們時取得資料，或經由直接提供給我們的合約相關文件取得資料；和（或）
• 從外部的資料來源間接取得資料，包括公開的資料來源（例如聯合國或歐盟的制裁名單）、訂用服務（例如彭博）提供的資料，或其他第三方提供的資料。

7. 我們是否與第三方分享您的個人資料？

如果對達到我們處理個人資料的目的有用或有必要，我們保留向以下接收者披露個人資料（或以某種方式使他們能取得資料）的權利，前提是這種做法是合法的、經授權的或必要的：

• 公共／政府機構、法院、法定機構（例如金融監管機構），或金融市場參與者（例如第三方或中央存管機構、經紀、交易所和註冊機構）；
• 我們所屬的百達集團成員或替我們處理個人資料的第三方處理者，和（或）負責我們外判的某些工作的承包商；
• 審計師或法律顧問。

除了上述接收者外，我們保證不會將個人資料移交任何第三方，以下情況為例外：不時向資料當事人披露個人資料，或配合適用法規之要求，或配合法院、政府或監管機構（包括稅務機關）之命令。

8. 個人資料是否會轉移到我們註冊成立的司法管轄區以外？

因應我們的業務關係需要，我們可能會在以下情況下披露、轉移和（或）儲存個人資料到外國（以下稱為「國際轉移」）：（i）締結或履行與我們業務關係直接或間接有關的合約，例如與您的合約，或符合您的利益、與第三方的合約；（ii）出於保護凌駕性公眾利益之必要；或（iii）適用法律預見的特殊情況（例如向國際交易註冊機構披露在某些交易所完成的特定交易）。

國際轉移可能涉及轉移資料至這些司法管轄區：（i）管轄區在處理資料方面，確保資料當事人的權利與自由獲得足夠的保護；（ii）管轄區在保護資料的程度方面受惠於充分決定（adequacy decisions），例如歐盟或瑞士聯邦資料保護與資訊專員的充分決定；或（iii）管轄區並不受惠於上述的充分決定，也不提供足夠的資料保護。在最後一種情況下，我們將確保採取適當的防護措施，例如利用歐盟設計的保護資料的標準合約條款。

若想進一步了解國際轉移或適當防護措施，您當然可以聯絡我們的資料保護主任（見上方第1節）。

9. 您有哪些與保護資料有關的權利？

依照適用的本地資料保護法之規定，您有以下權利：

• 要求查閱我們持有的個人資料，並取得這些資料的一份副本；
• 如有需要，要求更正或刪除不正確的個人資料；
• 要求刪除我們已不再需要處理或因為其他原因已不能合法處理的個人資料，但受適用的保留期限約束（見下方第10節）；
• 在個人資料的正確性受質疑、處理資料不合法或資料當事人反對處理資料時，要求限制個人資料之處理；
• 反對個人資料之處理，而在此情況下，我們將不再處理個人資料，除非我們有迫切的正當理由這麼做（例如確立、執行或捍衛法律索求）；
• 以結構化、常用和機器可讀的格式接收個人資料（資料可攜權）；
• 取得我們轉移個人資料至歐盟或瑞士以外時可能採取的適當防護措施之說明副本或查閱有關這些措施的資料；
• 向我們的資料保護主任（見上方第1節）提出有關處理個人資料之投訴，以及在未能得到滿意結果的情況下，向相關的資料保護機構提出投訴。

即使資料當事人反對個人資料之處理，我們仍然可以在以下情況下繼續處理這些資料：如果處理這些資料（i）是法律強制要求的；（ii）是履行資料當事人參與其中的合約所必要的；（iii）是出於公眾利益完成某些事情所必要的；或（iv）維護我們的合法利益所必要的，包括確立、執行或捍衛法律索求。不過，如果資料當事人提出要求，我們將不會利用資料當事人的個人資料作直接營銷之用。

依照此處提出的限制和（或）適用的本地資料保護法，您可以聯絡我們的資料保護主任，免費行使上述權利。

10. 我們將保留或儲存您的個人資料多久？

原則上，我們保留個人資料的時間，視乎我們達到處理這些資料的目的之需要而定。根據同一道理，一旦我們已不再需要保留資料以達到那些目的，我們將刪除個人資料或將它們匿名化，但以下兩種情況例外：（i）根據適用的法律和監管要求，我們必須儲存個人資料較長時間；（ii）我們必須確立、執行和（或）捍衛實際或潛在的法律索求、調查或類似程序，包括我們可能必須配合保全要求（legal holds）而保留相關資料。

* * * *

截至2018年5月25日