隐私政策

1. 定义

1.1. 数据主体是指 CM Games 掌握的能够识别自然人身份的信息或数据所属的自然人。数据主体包括客户、访问者、合作伙伴以及 CM Games 持有其个人数据的自然人员工。

1.2. 隐私政策是规定 CM Games 处理个人数据之原则的文件。

1.3. 个人数据是与身份已识别或可识别的自然人相关的任何信息。

1.4. 个人数据处理是对数据主体的个人数据执行的任何操作或系列操作，例如个人数据的收集、记录、组织、结构化、存储、更改和披露、提供访问途径、检索、查询、使用、传输、交叉检查、对齐或组合、限制、删除或销毁，无论以何种方式执行这些操作或以何种方式利用个人数据。

1.5. 客户是使用或已表示希望使用 CM Games 服务的任何自然人或法人。

1.6. 协议是指 CM Games 与客户之间订立的服务协议或任何其他协议。

1.7. 网站是指 CM Games 的网站 (www.into-the-radius.com, www.dragracingclassic.com, cm.games)

1.8. 访问者是指使用 CM Games 服务或网站的任何人。

1.9. 就个人数据处理而言，儿童同意年龄为至少为 16 岁，达到这一岁数后，可以基于儿童同意直接向儿童提供信息社会服务。

1.10. 服务是指 CM Games 提供的任何服务和产品，包括 CM Games 产品组合中的信息社会服务。

1.11. Cookie 是指有时会在访问者设备中记录的网站数据文件。

1.12. CM Games 的数据保护官是监督 CM Games 实施个人数据处理原则的情况的人员，如需要提出投诉，数据主体可以联系数据保护官。

1.13. 产品组合是指 CM Games 的业务实体、各种产品和服务，其列表可以从 CM Games 产品组合（例如游戏、网站）中获取。

2. 一般规定

2.1. CM Games 指法人 CM Games OÜ，注册码为 11617092，注册地址为 Estonia, Harju County, Tallinn, A. H. Tammsaare tee 92, 13423。

2.2. CM Games 根据《欧洲通用数据保护条例》 (GDPR) 的要求，与爱沙尼亚数据保护局合作处理与保护个人数据相关的所有问题。

2.3. CM Games 可能担任如下角色处理个人数据：

(1) 确定数据处理的目的和方式的数据控制者；

(2) 执行数据控制者的指示的数据处理者；和

(3) 接收传输的个人数据的数据接收者。

2.4. CM Games 的本隐私政策构成 CM Games 与客户之间签订的协议不可分割的一部分。

2.5. 本隐私政策适用于数据主体，所有接触 CM Games 持有的个人数据的 CM Games 员工和合作伙伴均应遵守本隐私政策中规定的权利和义务。

3. 原则

3.1 CM Games 的目标是根据最佳实践负责任地处理个人数据，始终可以证明个人数据处理符合既定目的，并且 CM Games 将始终考虑数据主体的利益、权利和自由。

3.2 CM Games 与个人数据处理相关的所有流程、指南、操作和活动均基于以下原则：

(1) 合法性。个人数据处理始终有法律依据，例如同意；

(2) 公平性。个人数据处理应公平，同时向数据主体提供充分信息，与其进行充分沟通，说明我们如何处理个人数据；

(3) 透明性。个人数据处理应对数据主体透明，包括通过制定本隐私政策，解释为什么、如何以及何时处理个人数据；

(4) 目的性。个人数据应出于已精准明晰确定的合法目的收集，并且后续处理不得违背这些目的；

(5) 最小化。个人数据应就其处理目的而言充分、相关和限于必要范围。CM Games 应遵循以最小范围处理个人数据的原则，并在个人数据就收集目的而言不再必要或需要时，将其删除；

(6) 准确性。个人数据应正确并应在必要时更新，并且应采取一切合理措施，确保及时删除或更正就处理目的而言不正确的个人数据；

(7) 准确性。个人数据应正确并应在必要时更新。应采取一切合理措施，确保及时删除或更正就处理目而言不正确的个人数据；

(8) 储存限制。只有在实现个人数据处理目的所需的时间内，个人数据才应以能够识别数据主体身份的格式存储。这意味着如果 CM Games 希望在数据收集目的所需的时间结束后继续存储个人数据，应以不再可识别数据主体身份的方式对数据进行匿名化处理。CM Games 应根据最佳实践存储其通过客户关系或任何其他类似关系收到的数据。基于同意处理的数据通常将存储至相应同意被撤回。存储也可以基于其他数据处理法律依据，例如 CM Games 的合法权益或履行 CM Games 的法律义务。数据主体与访问者、客户分享的可能包含个人数据的信息（即在论坛帖子或小组讨论中分享的信息）即使在帐户被停用后仍将公开；

(9) 可靠性和保密性。个人数据的处理应以能够确保个人数据充分安全的方式进行，包括通过采取合理的技术或组织措施防止未经授权或非法处理以及意外丢失、破坏或损坏。CM Games 拥有内部指南、员工规则以及与每个数据处理者达成的单独协议，规定了个人数据处理的最佳实践、持续风险评估以及适当技术和组织措施；

(10) 设计和默认数据保护。CM Games 应确保所有使用的系统均符合所需技术标准。在更新或设计每个信息或数据系统时，都制定了适当的数据保护措施（例如，在构建信息系统和业务流程时，进行假名化处理和加密）。

3.3. 在处理个人数据时，CM Games 应以始终能够证明符合上述原则为目的行事，数据主体可以向数据保护官索要有关这些原则的符合性的额外信息。

4. 个人数据的构成

4.1. CM Games 收集以下类型的个人数据：

(1) 数据主体向 CM Games 披露的个人数据，例如：

a) 联系信息，例如昵称和电子邮件地址；在某些情况下，也包括邮政地址、电话号码；

b) 求职者的信息，例如简历、姓名、电子邮箱和电话号码；

c) 为回答调查而提供的信息；

d) 创建账户时提供的信息，如电子邮件、昵称、国家、年龄、性别；

e) 邀请他人使用 CM Games 服务时提供的信息；

f) 通过 CM Games 聊天频道或消息系统发送的消息的内容。

(2) 数据主体与 CM Games 之间的日常通信产生的个人数据；

(3) 数据主体明确公开的个人数据，例如：

a) 通过 Facebook 收到的个人数据。如果数据主体使用其 Facebook 帐户登录游戏，则 CM Games 可能通过数据主体的 Facebook 帐户收到其个人数据，例如用户名、用户 ID。这些个人数据的内容取决于数据主体的 Facebook 隐私设置。如果数据主体的 Facebook 是公开的，则 CM Games 将收到用户名、电子邮件地址、年龄范围、性别、所选语言、国家/地区、已经在玩 CM Games 游戏的数据主体 Facebook 好友的姓名和角色等数据。数据主体可以限制向 CM Games 公开的个人数据。您可以点击这里，查看 Facebook 的隐私政策。

b) 通过 Google 收到的个人数据。如果数据主体使用其 Google 帐户登录 CM Games 游戏，则 CM Games 可能通过数据主体的 Google 帐户收到个人数据，例如用户名、用户 ID。这些个人数据的内容取决于数据主体的 Google 隐私设置。CM Games 可能会收到姓名、电子邮件地址和个人资料图片等数据，并且在数据主体同意的情况下还会收到数据主体的联系人列表。数据主体可以限制向 CM Games 公开的个人数据。您可以点击这里，进一步了解如何限制。您可以点击这里，查看 Google 的隐私政策。

(4) 在使用服务和访问、使用网站时生成的个人数据，例如：

a) 用户名、密码；

b) 性别、照片、年龄、出生日期等个人资料信息；

c) 数据主体在社交网络上的个人资料的链接；

d) 移动设备标识符，例如唯一移动设备 ID、硬件类型、介质访问控制 (“MAC”) 地址、国际移动设备识别码（“IMEI”）、设备名称；

e) 有关数据主体位置的一般信息，以及有关设备地理位置的准确信息（仅在征得同意的情况下）；

f) 游戏数据，例如通过服务器日志文件与游戏本身以及游戏中其他用户的互动；

g) 玩家 ID；

h) 使用网站和服务的时长；IP 地址；设备的操作系统、浏览器类型、语言信息、访问时间、数据主体在 CM Games 网站之前访问的网站的地址；

i) 有关与我们的服务互动的信息，例如游玩游戏的时间和方式、游戏活动的详细信息。

(5) 使用 cookie 或其他类似技术收集的信息；

(6) 从第三方收到的个人数据，例如：

a) 数据主体的特征和兴趣；

b) 有关数据主体使用的其他游戏和服务的信息。

(7) CM Games 创建和合并的个人数据：

a) 电子通信；

b) 有关数据主体在社交媒体网络上与 CM Games 互动的信息。

5. 个人数据处理的构成、目的和依据

5.1. CM Games 仅基于同意或任何其他法律依据处理个人数据。处理个人数据的法律依据包括但不限于 CM Games 的合法权益或数据主体与 CM Games 之间达成的协议

5.2. CM Games 应严格按照数据主体确定的限制、范围和目的，基于同意处理个人数据。对于同意，CM Games 遵循的原则是每项同意均应与其他事项明确区分，以易于理解和易于访问的形式给出，使用清晰易懂的语言。同意可以书面形式、电子方式或口头声明形式给出。数据主体应以自由、具体、知情且明确的方式给出同意，例如通过勾选方框或单击按钮。

5.3. 在签订和履行协议后，可以在具体协议中额外规定个人数据处理事宜，但 CM Games 可能出于以下目的处理个人数据：

(1) 在签订协议之前应数据主体的要求采取措施；

(2) 在尽职调查要求的情况下识别客户身份，这可能包括出于账户恢复目的识别客户身份；

(3) 履行对客户的与提供服务相关的义务，这包括告知支持 CM Games 服务的适当设备版本、创建游戏帐户以及为数据主体提供将存储数据主体游戏数据的玩 CM Games 游戏的机会；根据数据主体的要求提供服务；

(4) 与客户交流，包括发送确认、发票、技术通知、更新、安全提醒、支持和管理信息；

(5) 确保客户履行付款义务；

(6) 提出、实现和抗辩索赔。

5.4. 为签订雇佣协议，CM Games 将基于签订协议和合法权益对求职者的个人数据进行处理，包括：

(1) 处理求职者为签订雇佣协议而向 CM Games 提交的数据；

(2) 处理从求职者指定的推荐人处收到的个人数据；

(3) 处理从国家数据库和登记册以及公共（社交）媒体收集的个人数据。

如果 CM Games 未聘用求职者，应存储为签订雇佣合同而收集的个人数据一年，以便在合适的职位出现空缺时向求职者提供工作机会。求职申请提交一年后，未被聘用的求职者的个人数据将被删除。

5.5. 合法权益是指 CM Games 为了能够提供市场上最好的服务而在管理和引导其业务中享有的权益。CM Games 应仅在仔细考虑后基于法律依据处理个人数据，以确定处理个人数据所依据的 CM Games 合法利益是必须的并且符合数据主体的利益和权利（在进行所谓的三步测试后）。特别是，CM Games 可能出于以下目的，基于合法权益处理个人数据：

(1) 确保与客户建立的基于信任的关系，例如个人数据处理，是确定最终受益人或防止欺诈所严格必要的；

(2) 管理和分析客户群，以提高服务和产品的可用性、选择和质量，以及在客户同意的情况下向客户提供最佳和更个性化的报价；

(3) 处理在使用网站、移动应用程序和其他服务时收集的标识符和个人数据。CM Games 应将收集到的数据用于网络分析或移动和信息社会服务的分析，以确保和改进服务的运行，满足统计目的，分析访问者的行为和使用体验，以及提供更好、更多的个性化服务；

(4) 组织活动，包括组织个性化和有针对性的活动，开展客户和访问者满意度调查，以及评估所开展的营销活动的有效性；

(5) 监控服务。CM Games 可能会记录在其营业场所内以及通过通信方式（电子邮件、电话等）发出的消息和指令，以及 CM Games 执行的信息和其他操作，并应根据需要使用这些记录证明需要发出相应指示或执行其他操作；

(6) 确保 CM Games 服务的完整性；满足网络、信息和网络安全方面的考量，例如打击盗版和确保网站安全，以及采取措施制作和存储备份副本；保护 CM Games、其员工和其他人的安全；

(7) 满足公司目的，特别是财务管理和客户或员工的个人数据处理；

(8) 接收反馈；

(9) 进行在线定向广告投放（也在第三方网站上进行），数据主体可以选择不接收（参见第 12 节：重要指南）；

(10) 向数据主体发送第三方在线广告，数据主体可以选择不接收（参见第 12 节：重要指南）；

(11) 证明、行使或抗辩依法索赔。

5.6. 为履行法律义务，CM Games 应处理个人数据以履行法律规定的义务或行使法律允许的用途。法律义务的来源包括遵守支付处理规则和防止洗钱等。

5.7. 如果个人数据处理是出于不同于最初收集目的的新目的或者不是基于数据主体的同意进行的，CM Games 应仔细评估是否允许进行相应新处理。相应新处理目的将始终在处理操作登记册中公开（参见第 12 节：重要指南）。为了确定出于新目的处理个人数据是否符合最初收集个人数据的目的，CM Games 应特别考虑以下因素：

(1) 收集个人数据的目的与预期的进一步处理目的之间的任何联系；

(2) 收集个人数据的背景，特别是数据主体与 CM Games 之间的关系；

(3) 个人数据的性质，特别是是否处理任何特殊类别的个人数据，或与刑事定罪和犯罪相关的个人数据；

(4) 进一步处理可能对数据主体造成的影响；

(5) 是否存在适当的保护措施，例如加密和假名化处理。

6. 向第三方披露和/或传输客户数据

6.1. CM Games 与其他人合作，可能会在合作中出于合作目的向其传输有关数据主体的数据，包括他们的个人数据。

6.2. 此类第三方可能是与 CM Games 同集团公司的个人、CM Games 的广告和营销合作伙伴、客户满意度调查公司、收债机构、征信机构、IT 合作伙伴，或者是提供中介或（电子）邮件服务的个人、机关和组织，但会满足如下条件：

(1) 各自目的和数据处理合法；

(2) 根据 CM Games 的指南和有效协议进行个人数据处理；

(3) 向数据主体披露有关各个处理者的数据（参见第 12 节：重要指南）。

6.3. CM Games 只有在如下情况下才会将个人数据传输到欧盟以外：相应国家/地区可以提供充分保护；已约定保护措施（例如有约束力的集团内部规则或标准数据保护条款）；数据主体已对相应传输提供明确知情同意；与数据主体签订的协议明确要求进行传输；传输不重复执行，只涉及有限数量的数据主体；为保护重要性不低于数据主体的利益、权利或自由的 CM Games 合法权益需要如此；已评估与传输相关的所有情况并已制定适当的保护措施来保护个人数据，或者传输有其他法律依据。CM Games 应基于合法权益将传输通知数据保护监察局。

6.4. 调查服务技术。Nitro Nation Drag & Drift 应用程序使用 Pollfish SDK。Pollfish 是一个在线调查平台，任何人都可以通过其进行调查。Pollfish 与智能手机应用程序的发行商合作，以联系此类应用程序的用户并向他们发送调查问卷。当用户连接到此类应用程序时，会通过我们的应用程序将一组特定的用户设备数据（包括广告 ID、设备 ID、其他可用的电子标识符和其他响应元数据）自动发送到 Pollfish 服务器，以便 Pollfish 辨别用户是否有资格参加调查。要获取 Pollfish 通过此类应用程序收到的数据的完整列表，请仔细阅读 Pollfish 受访者条款（网址：https://www.pollfish.com/terms/respondent）。每当 Pollfish 向符合条件的用户发送此类问卷时，这些数据将与您对问卷的回答相关联。Pollfish 可能出于商业目的与第三方、客户和业务合作伙伴共享此类数据。下载该应用程序即表示您接受本隐私政策文件，并特此同意 Pollfish 处理上述数据。此外，请注意，您可以随时访问以下链接，禁用 Pollfish 操作：https://www.pollfish.com/respondent/opt-out。如果您希望更详细地了解 Pollfish 的工作方式以及 Pollfish 可能进一步与谁共享您的数据，我们再次邀请您查看 Pollfish 的受访者使用条款。

7. 个人数据处理的安全

7.1. CM Games 将严格按照法律规定，仅在规定的最短期限内存储个人数据。对于已过存储期的个人数据，将通过最佳实践，根据 CM Games 为此目的制定的程序予以销毁。

7.2. CM Games 已制定了确保个人数据安全的指南和程序规则。有关 CM Games 采取的安全措施的更多信息，也可以从 CM Games 数据保护官处获得。

7.3. 如果发生与个人数据相关的事件，CM Games 将采取一切必要措施减轻影响并防范未来发生任何相关风险。特别是，CM Games 将登记所有事件，并在规定情况下直接（例如通过电子邮件）或公开（例如通过新闻）通知数据保护监察局和数据主体。

7.4. CM Games 通过 Amazon Web Services、Google Cloud 以及位于欧盟国家的服务器和设备存储个人数据。

8. 儿童个人数据的处理

8.1. CM Games 的服务，包括信息社会服务，不面向 16 岁以下的儿童。

8.2. CM Games 不会有意收集 16 岁以下人员的任何信息；如要开展任何相关知情活动，我们将根据父母或监护人的要求行事。

8.3. 如果 CM Games 发现其从 16 岁以下儿童收集了个人数据或收集了关于儿童的个人数据，CM Games 将尽最大努力停止处理相应的个人数据。

9. 数据主体的权利

9.1. 与同意相关的权利：

(1) 数据主体始终有权通知 CM Games 其希望撤销对个人数据处理的同意。

(2) 您可以联系 CM Games 或（在某些情况下）单击取消订阅按钮，更改和撤销您向 CM Games 提供的同意。联系信息见本隐私政策第 13 节。

9.2. 数据主体对个人数据处理还拥有以下权利：

(1) 接收信息的权利，即数据主体有权接收关于 CM Games 收集的他或她的个人数据的信息。

(2) 访问数据的权利，即有权获得关于他或她的个人数据是否正在处理的确认。这还包括数据主体有权获取已处理个人数据的副本。

(3) 更正不准确个人数据的权利。数据主体可以要求更正不准确的数据。

(4) 删除数据的权利，即在某些情况下，数据主体有权要求删除个人数据，例如，当仅基于同意进行数据处理时。在某些情况下，游戏过程中显示的个人数据（例如用户名、角色、分数和聊天消息）可能存储在其他玩家的设备上，在相应设备未连接到 WiFi 网络等情况下 CM Games 无法删除这些数据。

(5) 要求限制个人数据处理的权利。特别是当法律不允许个人数据处理或数据主体质疑个人数据的准确性时，会产生此权利。数据主体将有权要求在一段时间内限制个人数据处理，以便数据处理者检查个人数据的准确性，或者在个人数据处理非法但数据主体不要求删除个人数据的情况下，数据主体也可以行使该权利。

(6) 数据可携带权，即在某些情况下，数据主体有权获得机器可读格式的个人数据，并自己携带这些数据或将其传输到其他数据控制者。

(7) 反对权。在某些情况下，数据主体有权基于与其特定情况相关的理由，随时反对处理其个人数据。

(8) 与自动处理相关的权利。这特别指，数据主体有权基于与其特定情况相关的理由，随时反对使用自动决策机制处理其个人数据。为避免疑义，CM Games 可以为了推动其业务使用自动决策机制处理个人数据（即在营销时对访问者进行细分，向他们发送个性化消息，建立雇佣关系，以及确保我们的员工遵守我们的内部安全规定）。自动处理还可能包括从公共来源收集的数据。您有权不接受任何可以被归类为数据剖析的、基于个人数据自动处理的任何决定。这包括拒绝接收定向广告的权利（参见第 12 节：重要指南）；

(9) 要求监管机构评估处理数据主体的个人数据是否合法的权利；

(10) 在发生 CM Games 应负责的侵犯数据主体权利的行为时，要求损害赔偿的权利。

10. 行使权利和提出投诉

10.1. 行使权利。如有与个人数据处理相关的任何问题、请求或投诉，数据主体有权使用第 13 节中列出的联系方式，联系 CM Games 或 CM Games 的数据保护官。

10.2. 提出投诉。如果数据主体认为在个人数据处理中其权利受到侵害，可以向 CM Games、CM Games 数据保护官或爱沙尼亚数据保护监察局投诉，或向法院提起诉讼。爱沙尼亚数据保护监察局的联系信息见爱沙尼亚数据保护监察局网站：http://www.aki.ee/。

11. Cookie 和其他网络技术

11.1. CM Games 可能使用 Cookie（即访问者浏览器存储在访问者电脑或任何其他设备的硬盘上的小段信息）或其他类似技术（例如 IP 地址、设备信息、位置信息、AD 标识符）收集网站和其他信息社会服务访问者的数据并处理这些数据。

11.2. CM Games 会将收集到的数据用于以下目的：根据访问者或客户的习惯提供服务；确保最佳服务质量；将内容告知访问者和客户并提出建议；更新广告并提高营销工作的效率；协助登录和数据保护。收集的数据也将用于统计访问者和记录他们的使用习惯。

11.3. CM Games 使用会话 Cookie、持久性 Cookie 和广告 Cookie。会话 Cookie 将在每次访问后自动删除；持久性 Cookie 将在重复使用网站时一直保留；广告 Cookie 和第三方 Cookie 由与 CM Games 网站相连接的 CM Games 合作伙伴的网站使用。CM Games 不控制这些 Cookie 的生成（或其他第三方跟踪），因此有关这些 Cookie 的信息可以从第三方获得。有关 Cookie 的更多信息，请参阅说明性材料（请参阅第 12 节：重要指南）。

11.4. 对于Cookie，访问者同意在网站、信息社会服务设备或网络浏览器中使用 Cookie。

11.5. 大多数网络浏览器都允许使用 Cookie。如果不完全允许 Cookie，访问者将无法使用网站的功能。访问者应通过自己的网络浏览器设置、信息社会服务和平台设置，决定允许或禁止 Cookie 和其他类似技术，以提高相应隐私措施的效率（参见第 12 节：重要指南）。

12. 重要指南

12.1. CM Games 隐私政策应根据以下文件、指南和程序实施：

(1) All About Cookies（关于 Cookie 的种种）：CM Games 使用的 cookie 和其他网络技术的说明；

(2) Your Online Choices; About Ads; Network Advertising（您的线上选择；关于广告；网络广告）：控制和监控 cookie 和其他网络技术的平台，数据主体可以在其中更改和控制其个人数据的使用和收集方式。

(3) 点击这里，可以获取有关数据处理者的信息。

13. 联系方式和信息

13.1. 数据主体需要了解的 CM Games 联系详情：

(1) 关于个人数据问题，可发送电子邮件至 privacy@cm.games 联系 CM Games。

(2) CM Games 的数据保护官是 Jelena Kurt，可发送电子邮件至 dpo@cm.games 与她联系。

14. 其他条款和条件

14.1. CM Games 有权单方面修改本隐私政策。CM Games 应通过 CM Games 网站公告、电子邮件或其他方式通知数据主体修改事宜。

14.2. 本隐私政策的最新修改及生效日期：2022 年 4 月 25 日