首页/通用数据保护条例

通用数据保护条例(GDPR)

最后更新:2026年1月15日

什么是 GDPR?

《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)是欧盟于2018年5月25日正式施行的数据保护法规,旨在赋予欧洲地区居民对其个人数据更强大的控制权,并统一整个欧盟的数据隐私法律。环游神州尊重并积极遵循 GDPR 的核心原则,为全球用户提供一致的数据保护标准。

GDPR 核心原则

我们如何践行数据保护

合法性、公平性与透明度
我们仅在具有合法依据时处理个人数据,并以清晰易懂的方式告知用户。
目的限制
数据仅用于收集时明确说明的特定目的,不作超范围使用。
数据最小化
仅收集实现服务目的所必需的最少量数据,不过度收集。
准确性
我们采取合理措施确保数据的准确性,并为用户提供便捷的更正渠道。
存储限制
个人数据不超过实现处理目的所必要的时限进行存储。
完整性与保密性
采用行业领先的技术和组织措施保护数据安全,防止未授权访问。

一、数据控制者信息

根据 GDPR 第4条,"数据控制者"是指决定个人数据处理目的和方式的主体。就本平台服务而言,数据控制者为:

  • 主体名称:北京环游神州文化旅游有限公司
  • 注册地址:北京市朝阳区建国路88号
  • 数据保护联系人:dpo@huanqiushenzhou.com

二、处理个人数据的法律依据

我们处理您的个人数据基于以下 GDPR 第6条所列的法律依据:

  • 合同履行:处理您的姓名、联系方式、预订信息,以执行您与我们签订的旅游服务合同;
  • 合法利益:处理访问日志和设备信息,用于平台安全运营、防欺诈及改善服务质量;
  • 法律义务:保存交易记录和开具发票,以符合税务等法律法规要求;
  • 明确同意:向您发送营销邮件、使用非必要 Cookie,需以您的主动勾选确认作为依据,并可随时撤回。

三、特殊类别数据

GDPR 对健康信息、宗教信仰、生物特征等"特殊类别数据"有更严格的保护规定。我们通常不主动收集此类数据。

如在特定行程中需了解您的健康状况(如高海拔线路),我们将单独征求您的书面明确同意,且相关数据在行程结束后立即删除,不作其他用途。

四、数据跨境传输

我们的服务器主要位于中国境内。若您是欧洲经济区(EEA)居民,您的数据在传输至中国时,我们将依据 GDPR 第46条,通过以下机制确保充分保护:

  • 与数据接收方签署欧盟标准合同条款(SCC);
  • 依托绑定企业规则(BCR)框架进行集团内部数据传输;
  • 确保数据接收国提供与 GDPR 等效的数据保护水平。

五、您在 GDPR 下享有的完整权利

5.1 访问权(第15条)

您有权获知我们是否处理您的个人数据,如有,则可请求获取一份数据副本,以及了解处理目的、数据类别、接收方信息等。我们将在收到请求后 30天 内免费回复(首次请求)。

5.2 更正权(第16条)

如您发现我们持有的数据不准确或不完整,可随时要求更正。您也可以通过"个人中心"自行修改基本信息。

5.3 删除权(第17条)

在以下情形下,您可要求删除您的个人数据:

  • 数据对于其原始收集目的不再必要;
  • 您撤回同意且无其他合法依据;
  • 您依据第21条反对处理,且无压倒性合法理由;
  • 数据被非法处理;
  • 为遵守法律义务须删除。

注意:依法须保留的财务记录等数据不受删除权约束。

5.4 限制处理权(第18条)

在对数据准确性提出异议期间,或处理是非法的但您不希望删除等情形下,您可要求暂停(而非删除)对您数据的处理。

5.5 数据可携权(第20条)

对于基于同意或合同依据处理的数据,您可要求以 JSON、CSV 等结构化、机器可读格式接收您的数据副本,或要求我们直接传输给其他数据控制者(技术可行时)。

5.6 反对权(第21条)

您可随时反对基于"合法利益"依据的数据处理,包括用于直接营销目的的处理。收到反对请求后,我们将停止处理,除非我们能证明存在压倒您利益的合法事由。

5.7 拒绝自动化决策权(第22条)

我们不对用户进行会产生重大法律效果的全自动化决策(如信用评分、自动拒绝服务等)。如未来引入此类功能,将提前单独告知并征得同意。

六、同意管理

在我们以"同意"作为处理依据的场景下:

  • 同意以主动明确的方式获取(不接受预先勾选);
  • 您可以通过账户设置页面随时管理和撤回同意,撤回不影响撤回前已合法处理的数据;
  • 我们保留所有同意记录以备审计。

七、数据泄露通知

如发生可能影响您权利与自由的个人数据泄露事件,我们将:

  • 在知悉后 72小时 内向相关监管机构报告;
  • 如泄露可能对您造成高风险,将无不当延迟地直接通知您,说明泄露性质、可能后果及我们已采取的补救措施。

八、数据保护影响评估(DPIA)

在引入可能对个人数据保护产生高风险的新处理活动(如新型分析技术、大规模处理敏感数据等)前,我们将依据 GDPR 第35条开展数据保护影响评估,识别风险并采取相应缓解措施。

九、儿童数据保护

GDPR 第8条规定,针对16岁以下儿童的信息社会服务,须取得父母或监护人的同意(各成员国可将年龄下限设为13岁)。我们的服务面向成年人,如发现有儿童未经授权注册使用,将立即删除其全部数据。

十、监管机构投诉

如您认为我们对您数据的处理违反了 GDPR,除向我们直接提出外,您也有权向您所在成员国的数据保护监管机构(DPA)提出投诉,无需事先联系我们。

十一、如何行使您的权利

请通过以下方式提交数据权利请求:

  • 邮件:dpo@huanqiushenzhou.com(主题注明"GDPR数据权利请求")
  • 邮寄:北京市朝阳区建国路88号 数据保护专员收

为核实您的身份,我们可能需要您提供基本个人信息进行验证。验证过程中收集的信息仅用于响应本次请求,不作其他用途。我们将在 30天 内回复;如情况复杂,可延长至 90天,但会提前告知您。

目录
  • 1 数据控制者信息
  • 2 处理数据的法律依据
  • 3 特殊类别数据
  • 4 数据跨境传输
  • 5 您的完整权利
  • 6 同意管理
  • 7 数据泄露通知
  • 8 数据保护影响评估
  • 9 儿童数据保护
  • 10 监管机构投诉
  • 11 如何行使权利
快速行使您的权利

登录后可在个人中心直接管理数据同意选项,或通过邮件提交其他权利请求。

登录管理偏好 发送权利请求邮件
相关文件