法国航空隐私政策

个人数据保护

由于用户使用法国航空桌面版网站、移动版网站和移动应用上提供的服务,法国航空作为数据处理责任方,会收集和处理用户的个人数据。  本隐私政策(“政策”)适用于法国航空处理的所有数据,尤其是预订和购买客票、搭乘法国航空航班旅行、购买或使用我们的所有服务、访问我们的网站、使用我们的移动应用或通过各种渠道与我们互动时。 请务必了解本政策以及我们的任何其他隐私政策(例如,蓝天飞行会员需了解蓝天飞行隐私政策),充分了解用户个人数据的处理及其保护措施,以及用户行使权利的方式。 本政策并非合同,不产生任何合同义务。

1.     关于我们

本政策中,“法国航空”指法国航空公司。法国航空是一家在法国注册成立的航空公司,公司住所位于45, rue de Paris, 95 747 Roissy CDG cedex。如欲了解更多信息,请查询法国航空官网相关页面。 “荷兰航空”指“Koninklijke Luchtvaart Maatschappij NV ”(即荷兰皇家航空或荷兰航空),公司住所位于荷兰,地址:Amsterdamseweg 55, 1182 GP Amstelveen。如欲了解更多信息,请访问www.klm.com网站“关于荷兰航空”的页面。 法国航空和荷兰航空是法荷航空集团旗下公司。  法国航空与荷兰航空共同推出了蓝天飞行会员计划和BlueBiz商务飞行奖励计划,共同对上述计划的个人数据处理负责,各自的责任由专门的协议确定。为行使该计划框架下与个人数据相关的权利,用户可按照蓝天飞行隐私政策或本政策第9条“如何行使用户权利”中的方法联系法国航空或荷兰航空的数据保护部门。 我们与荷兰航空密切合作,以便于用户行使权利以及处理可能的问题或投诉。如欲了解与蓝天飞行计划个人数据处理相关的信息,请访问蓝天飞行网站查阅隐私政策。如欲了解与BlueBiz商务奖励飞行计划个人数据处理相关的信息,请查阅荷兰航空以及本隐私政策.

2.     法国航空对个人数据保护的承诺

我们非常尊重用户隐私,这是我们优先关注的事项,也是我们所提供之服务体验的重中之重。因此,法国航空致力于确保客户、潜在客户和网站及移动应用用户以及其他任何与法国航空处理操作相关之人士的个人数据获得高级别的保护。  法国航空承诺遵守适用于其实施的有关个人数据处理的全部规定,特别是法国1978年1月6日《信息与自由法》修订版和欧盟《通用数据保护条例》(欧盟第2016/679号法规)的规定 。  具体而言,法国航空承诺遵守下列原则: ·         用户个人数据得到合法、正当和透明的处理(合法、正当和透明)). ·         用户个人数据出于特定、明确、合法的目的收集,不会在此后以不符合这些目的之方式被处理(目的限制)). ·         用户个人数据以适当方式妥善保存,并且仅限于处理目的所需的内容(数据最少化)). ·         用户个人数据是准确的、最新的,并且采取一切合理措施确保出于数据处理的目的所获得之不准确的数据被立即删除或更正(准确)). 法国航空承诺采取适当的内部流程,以提高员工的个人数据保护意识,并确保内部人员遵守这些规定。 此外,我们承诺实施适当的技术和组织措施,以保证在设计伊始,数据处理操作即已达到安全级别并且个人数据得到了保护。  最后,法国航空通过合同约束,要求分包商对个人数据提供同等级别的保护。 为确保这些规定得到落实,我们任命了数据保护专员,负责与法国数据保护监管机构信息与自由保护委员会(CNIL)联络。

3.     法国航空处理的个人数据类型

3.1. 常见的个人数据类型 我们可能会收集和处理以下类型的个人数据: a) 姓名、护照号和其他身份信息 用户预订时,我们可能收集用户的姓名、性别、出生日期、国籍、居住国以及旅行证件(护照或身份证)上显示的信息。 如果用户订单包含其他旅客或用户为他人预订航班,我们同样会收集其身份数据。在这种情况下,用户还需确保上述人员(如适用)了解我们收集其个人数据的目的、如何使用个人数据以及行使其权利的方式。 对于无人陪伴的未成年人,我们将收集其父母或法定监护人以及机场接送人员的身份数据。 用户如果已创建个人账户,则可将该类信息录入法国航空移动应用并扫描旅行证件,以用于今后的预订。该功能非强制使用。 根据法国和国际法律法规,某些数据缺失或不准确可能导致旅客被拒绝登机或被禁止入境(例如依据海关决定 )。法国航空不对此承担任何责任。有关旅客目的地国家/地区适用的入境政策详情,敬请查阅入境手续页面。. b) 联系信息、个人账户信息或注册信息 用户的联系信息包括电话号码和电子邮件地址。 当用户创建个人账户或订购服务时,我们亦可能会记录用户的邮寄地址、用户名以及用户在注册表格中提供的任何其他数据。 对于无人陪伴的未成年人,我们将收集其父母或法定监护人以及机场接送人员的联系信息。 如果用户是商务旅行,我们也可能会通过相应的合同编号或BlueBiz账户信息收集有关用户公司的信息,例如公司名称和地址。 c) 有关预订、购票或所购其他服务的信息 用户预订航班时,我们将处理用户提供的数据。此类数据包含用户航班的详细信息以及预订的价格和日期。我们还会处理用户选择的额外服务相关信息,例如额外行李、座位选项以及完成和支付预订所需的数据。 用户通过法国航空购物网站购买商品时,我们会收集有关所购商品的信息。 d) 与行程有关的信息 用户乘坐我们的航班旅行时,我们会处理有关用户行程的信息,例如行程、线上值机或机场值机、电子或纸质登机牌以及有关同行乘机人的信息。 如果用户在订票时选择了特殊服务,我们亦可能会收集机场接驳、机上服务和餐食偏好等与特殊服务相关的信息。 为方便用户在机场通行、接收航班动态并确保可靠准时的服务,我们还可能会向机场管理机构(例如巴黎机场管理局)收集用户在机场内各检查节点通行的相关数据。 在已安装生物识别登机设备的机场,我们仅收集机场各通行节点(值机、托运和登机)的身份验证信息以及允许我们将该信息与客票预订信息自动关联的数据,以便提供登机服务。我们不会收集或处理用户的任何生物识别数据。有关在生物识别登机过程中收集和使用用户个人数据的更多信息,请查阅负责处理该类数据之机构的隐私政策。 由于新冠病毒疫情,某些目的地国家/地区出于公共卫生目的,要求旅客携带相关文件(证明、证明文件、问卷、新冠病毒检测阴性结果报告)。我们可能会在旅客登机和下机前依法收集和检查这类文件。请于行前访问Traveldoc网站查询需要携带的文件清单。 e) 会员计划相关信息 用户加入蓝天飞行计划或BlueBiz商务飞行奖励计划时,我们会收集并使用用户的会员号、里程或积分余额、奖励和权益、会员资格类型和级别以及有关用户账户的其他信息。我们会记录用户赚取或消费里程或积分的交易。此外,我们会记录交易的类型(例如航班)、交易日期、赚取或消费的里程或积分以及供应商(法国航空、荷兰航空或其合作伙伴)。 我们还可能会收集用户在合作伙伴计划中的会员资格信息,以便用户在预订时可享受相应权益。 我们可能会使用用户的蓝天飞行会员信息向用户提供或推广我们的服务(请参阅下文第5.1条)。请查看《蓝天飞行隐私政策》,以获取有关我们收集用户蓝天飞行会员资格个人数据的详情。 f) 其他优惠或会员计划(订阅卡、青年卡或老年卡、周末卡、儿童服务和Saphir协助服务) 用户订购我们的服务或计划时,我们将收集必要的信息用于验证订购,以及在旅途中提供相应的服务。 g) 激活与行程相关的娱乐服务(Wi-Fi Air France CONNECT和Air France Play) 用户订购我们的娱乐服务时,我们将收集必要的信息用于验证订购,以及在旅途中提供相应的服务。用户的网站浏览数据不会被存储。 h) 沟通互动、电子通信或电话 用户向我们发送电子邮件、直接在线聊天或通过社交媒体与我们聊天时,我们会保存相关信息。如果用户因服务质量、防范或打击欺诈向我们致电,客户服务中心可能会对来电进行录音。我们还会在用户订阅或退订新闻简报,或选择通过其他渠道(例如 WhatsApp、Facebook、Messenger或微信)接收有关预订的信息或提醒(例如用户的登机牌和航班状态最新信息)时记录用户的通讯偏好。 i) 在用户使用我们的网站、移动应用或其他数字服务时收集的信息 用户访问我们的网站或使用移动应用时,我们可能会记录用户的IP地址、浏览器类型、操作系统、推介网站、网页浏览和应用使用行为。 我们还通过Cookie或其他类似技术收集信息。如需了解更多信息,请阅读我们的Cookie管理政策。 用户打开我们的电子邮件或点击邮件中的链接时,我们会保存记录。我们可能会将这些信息与我们已经拥有的用户其他数据关联。 我们还可能在经用户同意后,通过法国航空移动应用接收用户的位置数据或访问用户存储在手机中的某些数据,例如照片、通讯录和行事历相关信息。访问通讯录功能可帮助用户自动填写“同行乘机人”或“蓝天飞行会员注册”表格,无需手动输入。用户亦可不使用该功能。  j) 社交网络相关信息 为方便账户创建以及之后的连接,用户可以将此账户与大部分社交网络账号(Facebook、Twitter、Instagram等)关联。因此,用户在访问我们的网站或使用移动应用时,浏览体验会更佳。在这种情况下,我们不会与社交网络提供商共享用户的任何个人数据。 我们会收到Facebook发送的有关我们Facebook页面的访客统计信息。有关我们从用户使用的社交网络提供商处收到的个人数据以及如何更改设置的详细信息,请查看社交网络提供商的网站和隐私政策。 k) 用户与我们共享的其他信息 我们会处理用户选择与我们共享的信息,例如在官方网站上分享的兴趣和偏好、在Facebook专页上发表的评论或填写的客户满意度调查。 3.2.特殊的个人数据类型 如上一章所述,为向用户提供适合的服务,我们会根据适用的个人数据保护法律收集敏感信息。实际上,这些数据(例如特殊协助需求或餐食偏好)可能会间接提供有关用户的民族、宗教信仰或健康状况的信息,并且可能属于《通用数据保护条例》第9条所述情况。 这些数据仅在用户同意的情况下(预订时选择相应服务)收集,并且仅用于在行程中提供有关服务。用户亦可拒绝同意收集此类数据,但这可能导致用户无法享受相应服务。  生物识别数据应遵守更严格的规定。但如第3.1.d条所述,即使我们的航班运营所在机场安装了此类设备,我们也不会收集或使用用户的任何生物识别数据。 3.3 Cookie和类似技术 用户访问、使用我们的网站或移动应用程序时,我们会通过Cookie和其他类似技术收集信息。如需了解更多信息,请阅读我们的Cookie管理政策。 3.4 特殊的服务、应用、活动或比赛 对于常规服务外的特殊服务、应用、活动或比赛,我们可能会收集本隐私政策外的其他类型数据,以改善客户体验。此时,根据适用的法律法规,当用户下载应用或填写表格注册服务或报名参加活动或比赛时,我们将通过专门的通知或隐私政策告知有关数据处理的信息。 3.5 未成年人数据的收集 未经家长或法定监护人同意,我们不会收集和处理未满16周岁的未成年人的个人数据。 如果未征得未满16周岁未成年人之父母或法定监护人的同意,而通过法国航空网站或移动应用收集了该未成年人的个人数据,则父母或法定监护人可反对处理或要求删除相关数据(请参阅第9条“如何行使用户权利”)。

4.     收集用户个人数据的方式

我们可能会通过各种方式收集上述类型的个人数据: a) 用户直接提供的个人数据 我们会在用户预订航班、购买服务、办理登机手续、创建网上账户、注册会员、提出请求或投诉、填写客户满意度调查、通过社交媒体给我们留言、联系客服、与机器人聊天、订阅邮件或手机推送通知、报名参加活动或比赛时,收集用户的个人数据。 b) 用户的旅行社、我们的合作伙伴或其他组织和管理用户行程事宜的公司传输的个人数据 我们会通过预订系统(GDS或其他技术)从这些第三方接收用户的数据,为用户提供服务。例如,当用户通过旅行社或在线平台预订航班时,我们会收到管理用户预订和提供行程服务所需的全部数据。组织和管理用户行程事宜的公司还负责处理用户的个人数据。更多有关用户个人数据处理方式的信息,请查阅相关方各自的隐私政策。 c) 会员计划合作伙伴提供的个人数据 蓝天飞行会员计划与BlueBiz商务飞行奖励计划由法国航空与荷兰航空推出(请参阅第1条“关于我们”)。 在一些国家,我们与参与计划的航空公司共同运营蓝天飞行计划。注册成为会员后,用户使用我们的服务以及参与计划的航空公司和其他合作伙伴(包括酒店和租车行)的服务,即可赚取和消费里程和积分。为让用户享受相关权益,我们会与第三方共享用户的个人数据。例如,如果用户向我们的合作伙伴购买了服务,则其会共享用户赚取的里程,以便我们更新用户的里程余额。 如需查阅参与计划的航空公司和合作伙伴,请访问蓝天飞行和BlueBiz商务飞行奖励计划网站。参与计划的航空公司和其他合作伙伴亦负责用户个人数据的处理。更多有关用户个人数据处理方式的信息,请查阅相关方各自的隐私政策。 d) 用户访问、使用我们的网站或移动应用程序时,我们会通过Cookie和其他类似技术收集信息。 法国航空使用自己和第三方的Cookie。如需了解更多信息,请阅读我们的Cookie管理政策。 e)用户使用的社交网络提供商提供的信息 更多信息,请参阅第3法国航空处理的个人数据类型。 在此情况下,只要用户个人数据由欧洲经济区以外的供应商处理,并且欧盟委员会不认为该供应商所在国可提供足够级别的保护,法国航空承诺根据最严格的条款保护用户数据,特别是通过根据具体情况签署基于欧盟委员会所制定模板的合同条款或任何其他符合欧盟《数据保护通则》的机制。

5.     我们使用用户个人数据的目的

5.1 数据处理的目的 我们使用用户个人数据的主要目的是: a) 为用户提供服务 概述: 我们需要使用第3.1条所述的大部分信息来管理用户的预订、行程和所购服务。除此之外,我们还需要身份数据来识别用户和出票。我们需要用户的联系信息来告知用户航班动态和行程各节点(值机、登机)等航班的所有相关信息。为向用户提供符合期望的服务,我们还将处理与用户的行程和偏好有关的所有数据,特别是在用户创建了个人账户的情况下。 数据处理的法律依据:用户的数据对于履行运输合同和提供服务必不可少。 b) 管理用户的会员资格 概述:为让用户或用户的公司享受会员计划提供的折扣和奖励,我们会收集和使用用户的姓名、联系方式、会员信息、预订信息、购买信息以及与我们沟通交流的所有信息(如适用,请参阅第3.1条a、b、c、e、f款)。 数据处理的法律依据:用户的数据对于履行入会合同、管理账户和相关权益必不可少。 c) 通过网上服务或移动应用向用户提供最佳体验 概述:例如,当用户使用应用程序办理登机手续时,我们会使用用户的姓名和航班详细信息。 我们的一些网上服务和应用会使用用户的位置,例如向用户显示最近的位置。 为简化网上服务或应用的使用以及给用户提供最佳的体验,我们会分析用户对我们所提供的数字媒体的使用情况,尤其是借助Cookie和类似技术(请参阅第3.1 g条)。例如,我们的目的包括了解用户偏好的数字渠道(电子邮件、社交网络)或设备(台式计算机、平板电脑或智能手机),以便我们能够针对用户最常用的数字渠道或设备定制通讯内容。 如果用户中断了在网站的预订会话,我们会向用户发送一封含有预订链接的电子邮件,以便其可返回之前离开的位置。仅在用户请求或同意通过电子邮件接收我们的最新信息和特殊优惠的情况下,我们才会发送此类电子邮件(请参阅第4.1(e)条)。用户可以随时通过点击退订链接、更改用户账户的通讯偏好(如可用)或联系我们撤销此类同意授权(请参阅第8条“如何行使用户权利”)。 数据处理的法律依据:我们需要用户的个人数据履行运输合同和提供服务,以及用于上述合法权益,以便我们可以通过用户所选渠道更好地提供服务。我们会在获得用户同意的情况下处理与用户位置有关的数据。 d) 进行统计研究和改善产品与服务 概述:我们会对服务、会员计划、网站、移动应用和社交网络的使用情况,以及客户和用户的行为和偏好趋势进行研究。我们会利用研究成果改善服务和会员计划、提供更好的客户服务以及改进网站和移动应用的设计和内容。 个人数据类型:为进行研究,我们可能会使用第3.1条所述类型的个人数据。我们还会使用通过各种问卷调查获取的数据,以测评用户满意度并更好地理解用户的期望。 例如,我们会使用用户的预订数据和所购额外服务(额外行李和座位选项)来改善服务,并提供更适当的产品和服务特惠。如果我们的分析表明,某些航班的旅客倾向于选择拥有更多空间的座位,则我们可能在类似航班上提供更多同类型的座位。 数据处理的法律依据:我们出于上述合法利益处理用户的个人数据。根据适用的法律法规,用户有权根据自己的具体情况,就出于统计研究的目的处理个人数据提出反对意见(请参阅第9条“如何行使用户权利”)。 e) 发送符合用户兴趣的最新消息和特殊优惠 概况:如果用户已订阅,我们会通过邮件向用户发送包含相关产品和服务的个性广告和优惠。用户可以随时退订(请参阅下文所述条件)。 渠道:我们使用电子邮件、手机推送通知、邮寄信函、网站广告位和社交网络等不同渠道。例如: -          与用户预订和航班管理有关的电子邮件:如果预订我们的航班,用户将收到几封有关预订信息的电子邮件(例如,预订确认函、值机信息和登机信息)。这些邮件会包含相关产品和服务的广告和优惠信息。 -          包含与产品和服务有关的优惠信息和公司最新资讯的电子邮件:这些邮件包含与我们的产品和服务有关的优惠信息,以及合作伙伴提供的类似服务。经用户同意后,我们还可能会在特殊日子向用户发送电子邮件,例如生日特惠,或回程后数月内踏上下一次旅行的个性化优惠。 -          蓝天飞行和BlueBiz商务飞行奖励计划的电子邮件:蓝天飞行计划会员会收到包含账户状态以及计划基本运转所需各类信息的电子邮件。用户还可以选择订阅该计划的最新资讯以及蓝天飞行和参与该计划的航空公司或其他合作伙伴提供的个性化优惠。对于BlueBiz商务飞行奖励计划的会员,我们会通过电子邮件向用户发送该计划的最新资讯以及我们和合作伙伴的优惠信息。更多有关蓝天飞行会员资格个人数据收集的信息,请查看蓝天飞行隐私政策。如需查看蓝天飞行和BlueBiz商务飞行奖励计划的合作伙伴和其他参与航空公司,请访问蓝天飞行和BlueBiz计划网站。 -          通过其他渠道直接发送的消息:我们可能会使用其他渠道向用户发送包含个性化广告和特殊优惠的消息,例如邮寄信件、手机推送通知或社交媒体渠道(例如 Messenger、WhatsApp或微信)。 -          网站和应用上显示的相关信息和个性化广告 :请阅读我们的Cookie政策。我们也可能会使用用户的个人数据,避免用户接收不相关的广告。例如,如果用户通过法国航空个人账户、蓝天飞行账户或电子邮件中的链接访问我们的网站,我们会在我们的数据管理平台上将用户的浏览行为和预订详情关联。预订成功后,我们会使用这些数据让用户不再接收广告。 -          通过社交网络平台对受众进行个性化设置:用户可在所用的社交网络平台上选择是否接收个性化广告和优惠信息。 例如,我们通过Facebook的自定义受众计划在Facebook平台(包括Facebook、Messenger和Instagram)上的动态消息中显示个性化广告和优惠信息。如果用户已收到过类似的广告或优惠邮件,我们还可以借此计划停止在Facebook平台向用户推送类似广告。 为使Facebook确定用户是否拥有账户,我们会以安全(散列) 的化名方式共享用户的电邮地址和电话号码。我们不会与Facebook共享其他数据。Facebook仅会向我们提供有关广告活动有效性的汇总数据。这类数据无法直接关联到用户数据。Facebook不会告诉我们用户是否拥有其账户。我们如此尽一切努力保证用户个人数据的安全和机密。 为确定Facebook具体活动的目标受众,我们可能会使用用户的预订详情或我们在用户使用我们的网站、移动应用或其他数字媒体时收集的信息。Facebook可能会使用收集到的用户个人数据来识别类似受众。这使我们能够通过Facebook吸引新受众。 用户可以查阅Facebook专页,了解其用户数据会被如何用于个性化受众计划以及怎样控制Facebook出于个性化广告的目的对用户信息的使用。用户还可以查阅Facebook隐私政策。 我们也可能会参与其他社交网络平台推出的类似计划,如 Google、Twitter、LinkedIn、Pinterest、Snapchat、微信、KakaoTalk和LINE。请查看这些社交网络平台各自的隐私政策,获取有关数据处理的更多信息。 用户如果拥有法国航空账户,登录后转到https://wwws.airfrance.fr/profile/communication-preferences即可更改“法国航空个性化优惠”中的用户偏好,将其禁用。 如果没有法国航空账户,请联系我们(请参阅第9条“如何行使用户权利”)。联系我们时,请使用要撤回同意授权的邮箱。 用户同意我们的Cookie政策时,可能亦已同意通过社交网络平台接收个性化广告和优惠信息。如需了解如何撤回同意决定,请查阅我们的Cookie管理政策。 个性化的产品和服务:我们的目标是针对用户的兴趣和期望为用户提供量身定制的产品和服务。为此,我们可能会使用第3.1条中所述类型的个人数据。例如,经用户同意后,我们可能会在用户旅行返回后发送基于用户预订记录的电子邮件,提供下一次旅行的灵感。我们还会通过相同渠道推荐其他类似的服务,例如由合作伙伴提供的汽车租赁、保险服务或酒店预订。在此种情况下,所有推送均由法国航空发出。未经用户同意,我们不会因此目的向合作伙伴共享任何联系方式。 数据处理的法律依据:基于用户与我们公司之关系(客户或潜在客户)的性质以及我们发送给用户的信息,我们会在征得用户同意后,或出于我们和合作伙伴的合法利益,根据业务发展所适用的条例来处理本段所述的个人数据,以改进我们的服务以及进行基于用户与法国航空之间商业关系的直接营销活动。用户有权随时反对将本人个人数据用于直接营销目的(请参阅第9条“如何行使用户权利”)。 退订:用户可以随时退订个性化广告和优惠信息。以下是退订说明。 –     电子邮件:用户可通过点击退订链接,随时取消订阅通过预订邮件和会员邮件发送的广告和优惠信息以及用户已订阅的电子邮件。用户如果拥有蓝天飞行账户,还可通过更改个人资料中的偏好来退订。退订后,用户将只会通过电子邮件收到使用我们的服务所必须的信息(例如预订确认函、行程备忘录和电子客票)。用户如果是蓝天飞行会员,则只会收到与会员计划有关的电子邮件(例如指示账户状态的邮件)。 –     邮寄信函:用户可联系我们,取消通过邮寄信函接收个性化优惠(请参阅第9条“如何行使用户权利”)。 –     其他渠道:如果用户之前选择通过手机推送通知接收个性化广告和优惠,则可通过更改手机设置(手机推送通知)退订。了解更多关于如何取消接收来自社交渠道(如 Messenger、WhatsApp和微信)的个性化广告和优惠的信息,请访问社交网络提供商的网站。 –     联系数据保护部门:用户可以随时与我们联系,退订包含广告和优惠的信息(请参阅第9条“如何行使用户权利”)。 f) 与用户沟通 我们会使用用户的联系方式就我们的服务或会员计划与用户进行沟通,以回答用户问题、解决用户投诉。 数据处理的法律依据:用户的数据对于履行运输合同和提供服务必不可少。 g) 确保航班安全 任何可能影响航班安全的事件将被录入信息系统,如果事件性质严重,涉事旅客可能面临诉讼,并被禁止搭乘法国航空承运的航班。 录入系统主要是为管理与飞行安全有关的重大事件,尤其是与不守规矩之旅客的行为有关的事件。 涉事旅客的信息仅限法国航空授权人员访问,保存期限5年。在诉讼的情况下,该数据将用于跟进进行中的法律程序,并会在整个诉讼和措施期间予以保留。 我们还会以匿名方式将该数据用于飞行安全方面的统计和系统性分析。 "如果航空公司因事件性质严重而发出运输禁令,相关人员将在登记之前通过信函获知这些特殊安全措施的适用期限,并可在程序规定的时效内提出意见。对于此类数据的处理,我们将强化技术和组织措施,确保数据得到保护。有关访问或更正此类数据的更多信息,请参阅第9条“如何行使用户权利”。 数据处理的法律依据:处理这些数据是为了履行法律或法规规定的义务,亦是出于我们的合法利益,以便能够保证航班和其他旅客的安全。登机禁令处理已获得法国国家信息与自由委员会授权(2016年7月21日第2016-240号决议)。 h) 管理纠纷、防范欺诈或履行法定义务 为开展内部业务活动,我们会收集、使用及保存用户的个人数据,例如保存订单、管理纠纷、防范欠款和打击欺诈。如果发生欺诈情况,我们可能会在内控和预警系统中输入用户的个人数据。此外,我们还会出于履行法律和税务义务的原因处理用户的个人数据。 我们可能会依照法律法规的要求,收集用户的身份数据,并与公共机构或政府组织共享用户的身份数据、预订信息和行程信息,以处理边检、移民和入境事宜,维护安全或打击恐怖主义。 数据处理的法律依据:处理这些数据是为了履行法律或法规规定的义务,亦是出于我们的合法利益,尤其是在管理纠纷、防范欠款或打击欺诈等方面。 i) 审核法国航空和科西嘉航空公共服务航线“居民价”资格认证条件 居住于科西嘉岛的用户可享受法国航空和科西嘉航空公共服务航线特别价(“居民价”)。获得认证编号方可享受居民价。该编号通过在线申请,用户应证明在科西嘉岛实际拥有主要税务住所。 通过我们的网站申请居民认证编号的旅客上传的相关文件,会在审核和派发认证编号“绝对必要”的期限内临时存储,到期后会被系统性销毁。 了解有关此政策的更多信息,请查阅专门的隐私政策。 数据处理的法律依据:作为联合数据处理责任方的法国航空和科西嘉航空,基于用户同意和利益收集和处理个人数据,以便为用户颁发不可转让的“科西嘉居民”个人认证编号。 当用户通过法国航空和科西嘉航空购买从科西嘉出发的公共服务航线往返客票时,上述处理可为用户推荐合适的行程。 j) 为用户提供特定的服务、应用、比赛或特殊活动 对于特定的服务、应用、比赛或特殊活动,我们可能会将用户的数据用于本隐私政策所述以外的其他目的。当用户注册服务、报名参加比赛或活动或下载相关应用时,我们将告知用户这些目的。 5.2 法律依据 如上述目的所述,只有存在法律依据的情况下,我们才能处理用户的个人数据。在很多情况下,处理用户数据的法律依据为“履行运输合同的必要性”,以及更笼统而言,提供服务所必须。 个人数据的某些处理可能会需要得到用户的同意。用户可以随时撤回对相关数据处理的同意决定(请参阅第9条“如何行使用户权利”)。 在某些情况下,如果在使用用户个人数据上,我们(或第三方)拥有合法利益,则我们可能会予以使用。我们将始终认真评估用户、第三方以及公司等各方的利益。在此基础上,我们会将用户的数据用于确保航班安全、统计研究、直接营销,或为用户提供个性化的折扣和优惠(请参阅第5.1条(d)、(e)、(f)、(h)和(i)款了解更多信息)。 我们可能有处理用户数据的法律义务,例如办理移民手续(更多信息,请参阅第5.1条(h)款)。 如果用户拒绝提供我们履行与用户签订之合同或履行法律义务所需的个人数据,我们可能无法提供用户向我们请求的全部或部分服务。例如,我们可能会取消用户预订的航班,或者无法为用户提供所请求的额外服务。如果用户提供的信息不完整或不准确,我们可能会根据适用的国际法拒绝用户登机或进入外国领土。

6.    可访问用户个人数据之人士

6.1.概述 为提供服务,并考虑到我们在众多国家的业务活动,以及让用户能在所有目的地享受相同的体验,我们必须与内外部接收方共享用户的个人数据。 在法国航空内部,用户数据由空勤人员以及客户服务中心、销售部门、运营部门和IT部门工作人员等获得适当授权的人员处理。 我们还可能将用户的数据传输给第三方,例如集团旗下公司(包括荷兰航空)、我们合作的航空公司、用户的旅行社、支付服务提供商、服务提供商或分包商等,用于第6.2条中所述的目的。 请知悉,我们要求所有分包商采取严格的机密信息保护措施,并按照法律法规和本政策的规定处理个人数据。 6.2 与第三方共享数据 我们可能出于以下目的向第三方传输或共享用户的个人数据: a) 完成用户的预订和行程 为处理预订并安排行程和所购服务,我们可能会与以我们的名义处理此类信息或协助我们在全球范围内提供服务的第三方(例如客户服务中心、机场运营商),以及参与协助实施用户行程的其他公司(例如机场管理方、GDS或类似技术的预订系统提供商、旅行社)共享用户的个人数据。如需了解更多信息,请查阅第三方的隐私政策。 根据用户的预订和行程中的航班情况,用户数据亦可能传输给承运其中一些航班的其他航空公司。其他航空公司可以是集团旗下公司或外部合作伙伴,尤其是天合联盟的成员。数据共享可能对于完成行程必不可少,并可确保整个行程中服务的连续性以及识别用户的“常旅客”身份,方便管理用户的预订,尤其是在出现意外事件时或确保联盟内航班运营的安全性。 了解集团旗下公司以及合作航空公司的更多信息,请访问网站corporate.airfrance.com。 用户亦可参阅第4条“收集用户个人数据的方式”)。 b) 支持运营和提供服务 为提供服务,我们会寻求第三方的支持,如特殊IT服务供应商、社交网络供应商、市场营销机构和外部的欺诈检测和防范机构。 与对我们所有的分包商一样,我们会要求上述第三方妥善保护用户的个人数据,并只依据法律法规和本政策的规定和按照我们的指令处理这些数据。 法荷航空集团使用中央数据库和系统来进行数据处理。 该数据库和系统可能会由一家集团成员公司为其他集团成员公司托管或管理。此外,出于效率考虑,除与行程有关的服务外,某些运营和销售职能可能会由一家集团成员公司为其他集团成员公司执行。这意味着法荷航空集团旗下的公司可能会出于这些目的访问用户的个人数据。集团成员公司只可在上述业务活动的框架下根据本隐私政策处理用户的个人数据。 c) 管理会员计划和相关权益 更多信息,请参阅第1条“关于我们”以及第4条“收集用户个人数据的方式”c)款。 d) 优化在线服务和移动应用 更多信息,请参阅第5条“我们使用用户数据的目的”c)款。 e) 管理企业客户账户及其旅行政策 如果用户使用雇主的公司账户预订航班,其雇主可访问某些预订详情,比如客票价格、行程日期以及目的地。用户雇主对其处理用户个人数据的方式负责。 f) 处理支付和退款 为处理用户预订和所购服务的支付和退款,我们可能会将某些数据传输给第三方,例如银行、金融机构或提供支付服务的商家。很多情况下,这类支付服务提供商同样会进行反欺诈监控。对于使用用户个人数据的方式,上述第三方按照各自的隐私政策执行。 g) 通过社交网络平台进行个性化营销 更多信息,请参阅第5条“我们使用用户数据的目的”f)款。 h) 使合作伙伴可为用户提供符合需求的服务 我们可能会向通过我们提供服务或产品(如航班承运、酒店住宿、租车服务)的第三方传送用户的信息。 我们还可能与这些合作伙伴共享某些非个性化信息(目的地、行程日期和时长),以便其可优化为用户提供的服务。在这种情况下,这些信息的共享通过受信任的第三方完成。对于使用用户个人数据的方式,我们的合作伙伴按照各自的隐私政策执行。 6.3 特殊的服务、应用、活动或比赛 除了我们的常规服务外,我们可能还会提供某些特殊的服务、应用、活动或比赛,以优化客户体验。此时,我们可能会与本政策中未提及的第三方共享用户的数据(例如,与第三方合作组织一场活动,或将合作伙伴的服务纳入我们的应用中)。 此时,根据适用的法律法规,当用户下载应用或填写表格注册服务或报名参加活动或比赛时,我们将通过专门的通知或隐私政策告知有关数据处理的信息。 6.4.公共服务机构 与所有航空公司一样,根据法国和国际适用的法律和法规,我们可能会依法收集用户的身份信息(例如,护照信息)以及用户的预订和行程信息,并与法国公共服务机构(海关、移民局、警方等)以及行程往返国家的相关部门共享,以便利边境检查、移民手续、入境手续、打击恐怖主义或其他严重犯罪。 根据法国1978年1月6日第78-17号有关信息、文件和自由的法令之修订版,以及《法国国土安全法典》第L.232-7条的规定,对于往返法国和非欧盟国家之间且由法国航空运营的航班,我们可能按2014年9月26日第2014-1095号法令规定的处理方式和目的将以下数据传输给旅客信息部(UIP):

  • API(预报旅客信息):办理登机手续时收集的身份数据和行程信息
  • PNR(旅客订座记录):自动传输给UIP的预订数据。

旅客信息部(UIP)是法国政府机构,负责收集由航空承运人、旅行社和全部或部分包机业务行程运营商传输的航空旅客数据。 更多信息,请访问法国API-PNR网站:https://pnr.gouv.fr/eng/Air-carriers/About-the-API-PNR-France-system 根据欧盟2016年4月27日颁布的关于使用旅客订座记录(PNR)数据使用的第2016/681号指令,可收集此类信息的其他欧盟成员国列表如下:https://ec.europa.eu/home-affairs/news/list-member-states-applying-pnr-directive-intra-eu-flights_en 出于公共卫生目的,我们可能依法与用户行程所涉国家的公共部门共享某些用户数据(请参阅第3.1 (d)条)。 在某些情况下,如果现行法律、法规或法律程序(例如,法院传票或裁定)要求披露某些信息,以及为了在法律诉讼中保护或捍卫我们和第三方的权利,或出于公共卫生或安全等公共利益的目的,我们可能还必须向政府机构、警方、法院或任何其他获得授权的第三方传输某些数据。 6.5. 第三方网站 我们的网站和移动应用中包含第三方网站的链接。如果点击这些链接,用户将退出我们的网站或移动应用。 本隐私政策不适用于第三方网站。有关第三方如何处理用户个人数据的更多信息,请查看其隐私政策和/或Cookie管理政策。

7.     个人数据的保存期限

我们承诺,用户个人数据的保存期限不会超过本政策第5条所述之处理目的所需的时间。 此保存期限根据我们的数据处理目的确定,并尤其考虑了适用法律对某类数据规定的具体保存期限、适用的时效期限以及法国数据保护机构(CNIL)关于某些类别的数据处理的建议。

8.     向欧盟外国家传输个人数据

出于本政策第5条所述目的,我们可能会将用户的个人数据(姓名、护照号码、行程详情等)传送到用户居住国之外的其他国家/地区(尤其是欧盟外的国家/地区)。 这样做主要是出于提供服务、处理预订和安排行程等履行运输合同的目的,或是因为集团成员公司、合作伙伴或服务提供商位于用户居住国之外的其他国家/地区。用户可以在法国航空网站“目的地和法航网络”页面查询我们通航的目的地。个人数据传往国家/地区的法律可能不提供相同级别的数据保护力度。 如果为提供服务,尤其是出于客运目的而必须将用户数据传送至这些国家/地区,我们承诺按照《通用数据保护条例》的要求确保个人数据得到相同级别的保护,特别是根据具体情况使用欧盟委员会所制定的合同条款模板或按照任何其他符合《通用数据保护条例》的机制与相关方签订合同。 此外,如果适用法律要求,我们可能会将用户个人数据(尤其是用户的身份信息或行程信息)传送给用户行程涉及的欧盟外国家/地区的政府公共机构。请参阅第6条“可访问用户个人数据之人士”第6.4款的内容。

9.     如何行使用户权利

9.1 用户的权利 根据适用法规,特别是《通用数据保护条例》以及法国1978 年1月6日《信息与自由法》修订版的规定,用户可与我们联系(请参阅第9.4i条),以对个人数据行使(a) 访问权、(b) 更正权、(c) 删除权、(d) 限制处理权、(e) 迁移权以及(f)反对处理权。 此外,用户有权依法制定身故后个人数据处理规则的权利。  a) 访问权 用户有权就我们是否在处理本人的个人数据申请确认,并获取相关副本。我们回应用户提出的访问请求时,还会提供其他额外信息,例如相关的处理目的、个人数据的类别以及与该处理有关的任何其他信息。 b) 更正权 用户如果发现个人数据不准确,有权要求更正。考虑到相关处理目的,用户亦可要求完善个人数据,这可能需要提供补充数据。 c) 删除权 用户有权要求删除本人个人数据。仅在《通用数据保护条例》第17条中列出的某些情况下,才能行使此项权利。例如,个人数据不再需要用于收集时的目的,或用户的数据可能被非法处理。如果用户行使此项权利,且该请求适用于其中一种情形,我们将尽快删除用户的个人数据。 d) 迁移权 如果数据是自动处理并且基于用户的同意或出于履行与用户签订之合同的需要,用户有权要求我们直接以结构明了、机器可读的通用格式提供用户的个人数据。其他数据处理的法律依据不适用于该权利。在适当并且技术上可行的情况下,用户还可要求将此类数据直接传输给其他处理责任方。 e) 限制处理权 用户有权限制处理本人的个人数据。如果我们确实保存了这些数据,这意味着我们将暂停处理这些数据,相应数据将被标记。用户可根据《通用数据保护条例》第18条规定的情形来行使此权利,尤其是用户质疑个人数据的准确性时。行使此项权利不会导致数据被删除,并且我们必须在限制解除前通知用户。 f) 反对权 用户有权反对处理本人的个人数据。这意味着用户可以要求我们停止处理本人的个人数据。此权利仅适用于我们的利益(包括由此而产生的画像分析)符合数据处理之法律依据的情况(参见第5.2条“法律依据”)。例如,用户可以随时反对出于直接营销目的(包括与直接营销相关的画像分析)处理个人数据,无需支付任何费用。如果用户行使此权利,我们将不再出于此类目的处理用户的个人数据。 此外,为提高服务质量、防止纠纷和恶意呼叫,用户联系客服人员时,通话可能会被录音。用户可告知客服人员反对录音。 9.2 撤回同意的权利 对于某些处理目的(例如通过电子渠道开发客户),如果法律要求,只有在获得用户的明确同意后,其个人数据才会被处理。  用户可随时按照相关数据处理的具体说明撤回同意决定。撤回方式包括:点击电子邮件(例如法国航空新闻简报)中的退订链接、修改账户的通讯偏好(如可用,例如登录蓝天飞行账户)或更改智能手机上关于推送通知和位置数据的设置。 如需了解更多关于如何撤销我们在用户访问网站或使用移动应用时使用Cookie以及类似技术的同意决定,请查看我们的Cookie管理政策。  9.3 对某些要求的拒绝 上述权利并非适用于所有情形。实际上,我们可根据适用的法律法规拒绝某些要求。我们会仔细评估用户的每一个请求是否适用此项权利,并据此通知用户。例如,我们可能会在必要时拒绝用户的访问请求,以保护其他人的权利和自由,或在处理数据是为履行法律义务所必需的情况下,拒绝删除用户的个人数据。再例如,如果个人数据并非由用户提供,或者我们以用户同意或履行合同以外的理由处理数据,则数据迁移权不适用。 9.4 行使权利的联系方式 如欲行使权利,请将请求发送给法国航空数据保护部门: AIR FRANCE Délégué à la Protection des Données/Data Protection Officer - ST.AJ IL 45,rue de Paris 95747 Roissy CDG Cedex France 电邮地址:mail.data.protection@airfrance.fr 为更好地处理用户请求,请随函附上身份证明(姓名、电子邮件、身份证或护照等官方身份证明文件副本、蓝天飞行账户等)以及确认身份所需的任何其它信息。  我们会根据适用法律尽快处理用户的请求。但任何不属于个人数据保护范围的请求都不会被处理。 如果用户对本政策有任何疑问、意见或投诉,请与我们联系。 如果希望在蓝天飞行会员计划和BlueBiz商务飞行奖励计划的框架内行使处理用户个人数据的权利,用户还可联系荷兰航空数据保护部门: KLM Royal Dutch Airlines Privacy Office-AMSPI BP 7700 1117 ZL Aéroport de Schiphol Pays-Bas 电邮地址:KLMPrivacyOffice@klm.com 法国航空和荷兰航空将在必要时协同合作,保证用户行使权利,或答复用户所提问题或投诉。 9.5.问题、意见或投诉 如果用户对本隐私政策有任何疑问或意见,请随时与我们联系。 用户也可向法国国家信息和自由委员会(CNIL)或任何其他数据主管机构提出投诉。

10.   用户个人数据的保护方式

10.1 我们的承诺 确保用户个人数据的安全性和机密性是我们的首要任务。因此,我们根据适用法律法规(尤其是《通用数据保护条例》(GDPR) 第 32 条)的要求,就用户所传输个人数据的性质和处理的风险,采取了所有适当的技术和组织措施来保护数据的安全,特别是防止因意外或以非法方式造成数据遭到损毁、丢失、篡改、披露、入侵或未经授权的访问。 10.2 我们采取的安全措施 银行交易 我们必须遵守PCI安全标准委员会(PCI SSC)制定的支付卡行业数据安全标准(PCI DSS 标准)。创建该标准是为了增强对持卡人信息的管控,减少使用支付工具进行欺诈的行为。任何可能需要处理银行卡数据的法国航空服务提供商均须遵守PCI DSS标准。 我们致力于打击互联网上的身份盗用行为。因此,我们使用了银行卡欺诈性付款检测机制。此机制旨在银行卡发生丢失或被盗事件时保护用户利益。 个人数据的保护 "我们高度重视用户向我们传送之数据的安全性,因此,我们采取了各种组织措施来提高员工的相关意识、增强员工的责任感。我们制定了一些计划,促进提高员工意识,分享良好做法和安全标准。为此,我们向员工提供了大量有关信息安全和隐私保护的文件。 " 此外,我们会基于用户提供的个人数据的性质和数据处理的风险采取适当的技术措施。我们严格控制对托管或处理个人数据的内部服务器的物理和逻辑访问。我们使用最先进的硬件设备(防火墙、IDS、DLP 等)和架构(包括传输层安全协议(TLS)1.2版)来保护我们的网络,防范恶意软件攻击的风险。 安全机制 为维持符合良好做法的安全级别,我们根据最佳标准(尤其是 ISO 27000系列标准)制定了内部流程。 我们依靠业内专家来保证高水平的数据保护。特别是我们与ANSSI(国家信息系统安全局)建立了特别合作关系,可获取法国在网络安全方面的支持。 10.3 如何保护个人数据 个人数据的安全性和机密性有赖于每位用户拥有良好的使用习惯。 预订后,用户会收到订单详情。请务必始终确保这些订单资料的保密性。向其他旅客披露订单资料可能使其能够通过我们的系统或通过参与用户行程的第三方(例如旅行社或在线搜索和预订网站)访问用户信息。如果用户与他人同行,并且不希望向他人透露个人信息,我们建议单独预订。 此外,请勿将用于访问我们服务的密码透露给第三方,使用完毕后务必退出个人资料页面和社交账号(特别是有关联账户的情况下),以及在会话结束时关闭浏览窗口,尤其是在使用公用计算机访问互联网时。这将防止其他用户访问用户的个人数据。为防范Smurf攻击的风险,我们建议用户为所用的每项线上服务使用不同的密码。如果用户的身份数据在非我们管理的平台上被盗,我们概不负责。 此外,我们强烈建议用户勿向第三方发送或在社交网络上发布任何由法国航空出具的包含用户个人信息(登机牌、票号等)的文件或与用户的行程有关的信息。在此种情况下,用户有责任查询和了解适用于这些第三方社交网络的一般使用条款、信息安全惯例和隐私政策。 对于这些平台如何处理、存储或披露数据,我们不承担任何责任。 如欲了解与信息安全相关的良好习惯,请访问信息安全门户。 法国航空桌面版网站、移动版网站或移动应用提供的有关某些服务的一般条款可能会为个人数据的保护制定更具体细则。 10.4 安全事件管理 没有所谓的“零风险”,即使我们实施了所有在安全方面被视为标准级别的措施,亦可能发生无法预料的事情。 为妥善管理安全事件,我们配备了专门的资源,制定了相应的流程。 我们还建立了特殊程序,以评估可能违反个人数据相关规定的行为,并且可在适用法规规定的期限内通知主管部门,以及在该事件可能给用户造成重大风险或侵犯用户隐私时向用户发出警告。我们会定期测试,检查安全设施的运作情况以及所部署的程序和设备是否适当。

11. 联系方式

有关本政策的任何其它问题或我们处理个人数据的方式,请通过以下地址与数据保护部门联系:mail.data.protection@airfrance.fr

12.  修订

本隐私政策取代2021年3月1日的版本,自2021年5月15日起施行。 我们保留定期修订本政策的权利。我们会在网站发布所有修订内容。请定期访问网站查阅,尤其是在预订法国航空航班时。