隐私政策

1. 我们收集的信息

我们收集您的个人数据，用于提供培训、签发证书及履行合同义务，分类如下：

1.1 一般个人数据

• 姓名及称谓
• 电子邮箱、电话号码
• 地址（用于开具税务发票及寄送证书）
• 职务、所属公司／单位

1.2 学员专属数据

• 身份证／护照号码——用于身份核验
• 出生年月日、学历资历
• 学员照片（用于证书或身份卡，如 CP Safety Passport 等情形）
• 身份证复印件、学历证书，或核验课程专属资格的文件

1.3 您提交的学员数据

若您是以公司名义代学员报名的人力资源人员／协调员，您提供给我们的学员个人数据同样依据本政策处理。您必须有权提交他人数据，并须事先告知学员其数据将由 NET 出于培训目的进行处理。

NET 的法律角色：NET 就本政策所述全部处理活动担任个人数据控制者（Data Controller）——包括通过人力资源人员／协调员提交的数据。NET 直接决定处理的目的与方式。

1.4 健康敏感数据（仅限部分课程）

对于涉及人身风险且法律要求学员须通过体检的课程，例如高空作业（铁塔）及受限空间作业，我们可能收集您的体检证明，该信息根据 PDPA 第26条属于敏感个人数据。

• 仅收集评估参训准备情况所必需的数据
• 仅限获授权人员访问
• 在依保留政策（第6节）届满使用期限后删除或销毁

1.5 网站使用数据

• IP 地址、浏览器类型、操作系统
• 访问的页面、使用时间及点击行为
• Cookie 及类似技术（详见第3节）

2. 处理的目的与法律依据

根据 PDPA 第24条，您的数据将依据以下法律依据之一进行处理：

3. Cookie 的使用

我们的网站使用 Cookie 及类似技术以提供更优质的服务，分为三类：

您可通过浏览器设置管理 Cookie。关闭某些类型的 Cookie 可能导致部分服务无法完整运行。

4. 与第三方共享数据

我们不会为营销目的出售、交换或向外部方提供您的个人数据。但为按既定目的提供服务，我们可能向以下第三方披露数据：

4.1 技术服务提供商（数据处理者）

• Google Firebase / Google Cloud——数据库（Firestore）、身份验证（Authentication）、文件存储（Cloud Storage）及处理（App Hosting）
• Cloudflare——内容分发网络（CDN）、DNS 及 DDoS 防护
• 电子邮件服务提供商——用于发送 OTP 通知邮件及报名确认
• 文件寄送服务提供商——用于寄送证书、PVC 卡及纸质收据

4.2 与培训相关的机构

• CP Safety Passport 系统（cpsafetypassport.net）——若您参加正大集团（CP Group）旗下课程，我们将把通过培训者的数据录入该系统以签发卡片
• 大都会电力局（MEA）／府级电力局（PEA）——适用于由这些机构认证的课程
• 技能发展厅／工业工厂厅／能源业务厅——依法报告通过培训的人员
• 委托公司（内训情形）——我们将向组织培训的公司提供学员名单及培训结果

4.3 政府机构与执法

• 税务厅及法律规定的会计／税务机构
• 执法机构，在有法院命令或法律规定的情形下

所有数据接收方均受保密条款约束，仅为既定目的处理数据。

5. 跨境数据传输

我们的系统使用国际供应商提供的云服务，可能在以下国家／地区处理及存储您的数据：

• Google Firebase / Google Cloud——主要数据存储于新加坡（asia-southeast1）。部分处理，如发送电子邮件及跨区域备份，可能在供应商认为必要时于美国进行。
• Cloudflare——分布于全球数据中心的 CDN 网络，用于加速网站加载及提供安全必需的 Cookie。经 Cloudflare 传输的数据为匿名（anonymized）数据。

跨境传输保护措施（PDPA §28-29）

• 所有供应商均通过 ISO/IEC 27001、SOC 2 及其他相关安全标准认证
• 数据在传输中（TLS 1.3）及存储中（AES-256）均经加密
• 受数据处理协议（Data Processing Agreement）约束——云服务供应商（Google、Cloudflare）已签署 DPA，要求其仅按我们的指示处理数据，并按国际标准保护数据
• 目的地国家／地区按国际标准具备充分的数据保护水平

6. 数据保留期限

我们将在为实现目的所必需的期限内，或法律规定的期限内保留您的数据，如下：

期限届满后，我们将以无法恢复的方式删除或销毁数据。

7. 安全措施

根据 PDPA 第37条，我们采用适当的技术及管理措施以保护您的数据：

• 加密（Encryption）——数据在传输中（TLS 1.3）及存储中（AES-256）均经加密
• 访问控制（Access Control）——基于角色的访问控制（RBAC）系统将访问限于确有需要的员工
• 身份验证（Authentication）——对访问敏感数据的工作人员采用多因素认证
• 访问记录（Audit Log）——记录所有数据访问及修改，以备事后审查
• 数据备份（Backup）——在独立系统中每日备份，以便紧急情况下恢复
• 安全审查——定期更新系统、排查漏洞并对员工进行安全培训

8. 您的权利及行使方式

根据 PDPA，您享有以下权利：

• 访问权（§30）——索取我们所保存的您的个人数据副本
• 更正权（§35）——更正不准确或非最新的数据
• 删除权／被遗忘权（§33）——要求删除您的数据，但法律要求保留者除外
• 反对处理权（§32）——反对基于合法利益的处理
• 数据可携权（§31）——以机器可读格式接收数据
• 撤回同意权（§19）——可随时撤回先前给予的同意
• 限制使用权（§34）——在核查数据准确性期间，要求暂停使用数据

权利行使方式

通过以下任一渠道提交申请：

• 电子邮箱：[email protected]（请在主题中注明“申请行使 PDPA 权利”）
• Line 官方账号：@net10
• 联系表单：/contact
• 电话：02-109-4264（周一至周六 08:00–17:00）

我们将依 PDPA 第30条在 30天内免费答复您的申请；但对于重复或过度行使权利的情形，我们可能按实际产生的成本收取费用。

9. 数据泄露通知

若发生可能影响您的个人数据泄露（Data Breach），我们将依 PDPA 第37条处理：

• 在知悉事件后72小时内通知个人数据保护委员会办公室（PDPC）
• 若泄露对您的权利与自由构成高风险，将通过电子邮件或其他适当渠道直接通知您
• 采取措施降低影响并防止再次发生同类事件
• 就您应采取的自我保护措施向您提供建议

10. 向 PDPC 投诉的权利

若您认为我们的数据处理不符合 PDPA，您可直接向个人数据保护委员会办公室（PDPC）投诉：

不过，我们希望您先告知我们（第13节），以便我们尽快处理。

11. 用户年龄限制

我们的安全培训课程仅向年满18周岁者开放，因为内容涉及高风险环境作业，且劳动法规定了最低工作年龄。若您未满18岁，请勿通过我们的系统提交数据。若我们发现有未满18岁者报名，将立即删除数据并取消报名，并依 PDPA 第20条规定通知监护人。

注：PDPA 第20条规定，未成年人（未满20周岁者）在某些情形下须取得监护人同意。我们设定的18岁标准严于法律要求，系出于公司安全政策。

12. 政策变更

我们可能不时更新本政策，以反映法律、技术或我们服务的变化：

• 细微变更（更正错别字、润饰措辞）——在网站公告，并更新生效日期及版本
• 重大变更（增减处理目的、更换重要供应商）——通过电子邮件通知并在网站公告，至少在生效前30天，必要时可能重新征求同意

您可在本页顶部查看当前版本及生效日期。

13. 联系我们

若您对本政策有疑问，或希望行使您在 PDPA 项下的权利，请联系：