隐私与个人数据保护政策

1. 定义

本政策中所有大写术语均具有以下所列含义：

“关联方”就FacilitaPay而言，指其任何子公司、母公司、共同控制下的公司以及其他属于其经济集团的公司；

“ANPD”指国家数据保护局；

“BCB”指巴西中央银行；

“客户”指订购产品与服务的个人；

“合作方”指与Attrus存在职位、职能、角色、公司、雇佣、专业、合同或信托关系的任何自然人或法人；

“控制”用于指涉某人时，意指：(i) 通过单独持有或与受表决协议（或其他性质的关联）约束或受共同控制的群体共同持有，直接或间接拥有合伙人、股东或份额持有人的权利，从而直接或间接、永久性地确保在该主体的股东大会或类似决策机构的表决中占据多数票； (ii) 通过公司参与、合同或其他方式，拥有选举董事会、执行委员会或其他最高决策机构多数成员的权力，或在任何主体内部决定投票方向的能力。衍生自"控制"的术语（如"子公司"和"母公司"）应具有与"控制"相类比的含义。

“个人数据”指根据《通用数据保护法》第5条第I项规定，与已识别或可识别的自然人相关的所有信息，包括但不限于本政策所述的注册信息、生物特征数据、联系方式、银行及财务数据、交易与支付方式数据、位置信息以及互联网浏览数据；

“数据保护官”指由控制者和运营商任命，作为控制者、数据主体与ANPD之间沟通渠道的人员，具体要求详见下文第15节及《通用数据保护法》第5条第VIII项规定。

“ATTRUS”指Facilita Instituição de Pagamento S/A；

《通用数据保护法》指2018年8月14日颁布的第13,709号法律及其修订版本；

“合作伙伴和服务提供商”指向Attrus提供任何性质服务的个人或法人实体，无论该服务是否具有商业性质、是否收取费用，亦无论是以临时还是长期形式提供，包括但不限于参与支付安排的各方以及其他一般性服务提供商；

“重要政治人物”指：(i) 联邦行政和立法机关的民选公职人员；(ii) 联邦行政机关中担任以下职务者：(a) 国务部长或同等职位；(b) 特殊性质职位或同等职位； (c) 间接公共行政实体的主席、副主席及主任或同等职位；(d) 高级管理与咨询组（DAS）第六级或同等职位；(iii) 国家司法委员会、联邦最高法院、高等法院、联邦地区法院、地区劳动法院、地区选举法院、劳动司法高级委员会及联邦司法委员会成员； (iv) 联邦总检察长办公室全国委员会成员、联邦总检察长、联邦副总检察长、劳动事务总检察长、军事司法总检察长、联邦副总检察长，以及各州及联邦区司法总检察长； (v) 联邦审计法院成员、联邦审计法院检察官办公室总检察长及副总检察长； (vi) 政党主席及国家财务主管或同等职务人员；(vii) 各州及联邦区州长、州务秘书、州及联邦区议员、州及联邦区间接公共行政实体主席或同等职务人员，以及各州及联邦区法院院长、军事法院院长、审计法院院长或同等职务人员；(viii) 市长、市议员、市政秘书、市政间接公共行政实体主席或同等职务人员，以及市级审计法院院长或同等职务人员；(ix) 在国外担任以下职务者：(a) 国家元首或政府首脑；(b) 高级政治人物；(c) 政府高级职位任职者；(d) 总参谋长及司法系统高层成员； (e) 公共公司高级管理人员；或 (f) 政党领导人；以及 (x) 国际公法或私法实体的高级领导者；

“Attrus 平台”具有下文第 2 节所赋予的含义；

“隐私政策”或“政策”指本隐私及个人数据保护政策；

“产品和服务”指以下产品和服务：(i) 向客户（居民和非居民）提供预付支付账户，以便基于该账户进行支付交易，包括通过PIX支付安排进行的即时交易； (ii) 发行通用预付卡和虚拟卡，客户可在Attrus建立的封闭式支付体系及/或支付机构建立的开放式支付体系中使用； (iii) 向客户提供国际支付或汇款服务（eFX），支持 (a) 在巴西境内或境外购买商品及服务，该交易可通过 (1) 现场方式；或 (2) 通过 Attrus 提供的并集成于电子商务平台的支付解决方案进行； (b) 单向汇款，限额为10,000.00美元（一万美元）或等值其他货币；(c) 在巴西境内账户与境外同名账户之间转移资金，限额为10,000.00美元（一万美元）或等值其他货币；或(d) 在巴西境内或境外提取现金； (iv) 为客户提供的即期外汇交易，金额上限为100,000.00美元（十万美元）或等值的其他货币，但与境外衍生品交易相关的汇款除外；以及 (v) [自动计费系统；

“条款与条件”具有下文第2节所赋予的含义；

“数据主体”指已订购产品及服务的客户和/或法人实体的法定代表人，其个人数据受处理，依据《通用数据保护法》第5条第V项规定，允许我们访问其个人数据和/或通过关系渠道或公开渠道提供个人数据，包括但不限于电子邮件、电话、视频会议、应用程序或社交网络；以及

“处理”指对个人数据实施的任何操作，包括但不限于收集、生成、接收、分类、使用、访问、复制、传输、分发、加工、归档、存储、消除、评估或控制信息、修改、通讯、转移、传播或提取等操作，依据《通用数据保护法》第5条第X项规定。

2. 引言

Attrus 通过本《隐私政策》，向其通过网站和/或移动应用程序（“Attrus 平台”）提供的电子平台上个人数据正在接受处理的数据主体，依据适用的法律法规，阐明与上述个人数据处理相关的各项事宜。

除其他条款外，本《隐私政策》还阐述了数据处理的目的、形式和时限，本机构的责任，数据主体的权利，以及 Attrus 的联系渠道。

通过访问和/或使用 Attrus 平台，或从 Attrus 开展的任何需要处理您个人数据的活动中获益，即表示您以自愿、知情、明确且无任何瑕疵的方式，完全同意本《隐私政策》的各项条款。

您有权拒绝同意对您的个人数据进行处理。如果您不同意，则将无法访问和/或使用 Attrus 平台，也无法通过其他方式享受 Attrus 开展的任何需要处理个人数据的活动所带来的服务。

因此，我们恳请您仔细阅读本《隐私政策》以及我们的《一般使用条款与条件》（可登录“https://attrus.com”在线查阅）（以下简称“条款与条件”）。如需了解有关 Attrus 的更多信息，请访问以下网站：“https://attrus.com”。本《隐私政策》中提及的“我们”和“我们的”均指 Attrus。

提及“系统”、“应用程序”、“平台”或“网站”时，均指通过我们的系统（包括网页端和移动端）提供的服务，或我们提供的任何其他在线服务，以及由此类服务管理、显示或传输的所有数据。提及“您”、“您的”时，均指数据主体。

首字母大写的词语、短语及缩写（无论单数或复数形式），其含义均与《条款与条件》中赋予的含义相同，除非本《隐私政策》另有定义。

3. 范围

本《隐私政策》适用于 Attrus、其所有员工、合作伙伴和服务提供商，以及数据主体，各方均须在适用范围内严格遵守。数据主体可访问我们的网站查阅并分析本《隐私政策》。Attrus 承诺在关系渠道及其网站上（视情况而定）披露本《隐私政策》的内容或提供访问该政策的途径。

4. 须经处理的个人数据

Attrus 作为一家专注于提供产品与服务的纯线上金融科技公司，在其业务活动中处理个人数据，包括但不限于数据收集、传输、信息处理及交易结算等环节。

作为电子货币发行支付机构，数据主体需在Attrus平台上注册并成为Attrus的支付账户持有人，以建立与FacilitaPay的业务关系。在此背景下，以下个人数据将接受处理：

(a) 在 Attrus 平台登录时使用的电子邮件地址；
(b) 在 Attrus 平台登录时设置的密码；
(c) 姓名；
(d) 财政部个人登记册（“CPF/MF”）中的登记号；
(e) 联系电话；
(f) 出生日期；
(g) 婚姻状况；
(h) 国籍；
(i) 职业；
(j) 个人证件复印件（身份证、国家驾驶证、居住证明、证明法定代表人有权代表签约公司的文件）；
(k) 年收入（申报）；
(l) 银行账户信息；
(m) 关于在Attrus平台上开展活动的信息；
(n) 对Attrus建议或要求的问卷的回答；
(o) 关于其是否被列为政治敏感人物（PEP）的声明；以及
(p) 客户访问Attrus平台时的地理位置，以及在后台使用Attrus应用模式时的地理位置。

当您使用 Attrus 平台时，您的个人数据可能会由 Attrus 进行处理，同时处理的还包括其他相关信息，例如您的 IP 地址、所使用的浏览器、Cookie 信息、手机型号和品牌、移动设备标识符、操作系统版本、已安装的应用程序、网络信息、所使用的互联网服务提供商、设备配置、软件数据、通过 Attrus 平台进行的通信，以及您与 Attrus 通过我们的服务渠道进行的通信。

在完成 Attrus 平台的注册并以您的名义创建预付支付账户后，您需要向钱包充值。如果您想将支付账户中的余额转入银行账户，我们需要您提供账户详情，包括收款银行、账号、分行以及账户类型信息。

除上述内容外，为分析客户资料、正式确立与 Attrus 的商业关系和/或正确提供产品和服务，我们可能会根据适用法律法规的要求或由 Attrus 自行决定，要求您提供其他信息（包括个人数据）。

Attrus还可能处理源自安全可靠来源的个人数据，包括公共和私有数据库，以及来自任何第三方、关联公司、合作伙伴和服务提供商的数据，例如：

(a) 为防范欺诈及遵守信息管理制度（如政治敏感人物名单、美国财政部外国资产控制办公室名单等）而收集的数据；
(b) 根据适用法规和法律，从数据库、信用风险中心和/或公开渠道获取的信用数据；以及
(c) 从公共机构、合作伙伴、服务提供商或其他专业商业合作伙伴处获取的、用于验证客户身份的数据。

Attrus不处理儿童或青少年的个人数据。如果您属于上述任一类别，请勿向我们提供个人数据或通过本《隐私政策》中规定的方式联系我们，以便我们评估您的情况并采取必要措施。

5. 存储

Attrus 可能会根据其自行判断，将您的个人数据存储在位于巴西境内或境外的服务器上。您声明已理解并同意，其他国家/地区对个人数据的保护水平可能与巴西不同。尽管如此，存储在其他国家/地区的您的个人数据将受到至少与本《隐私政策》规定同等水平的安全措施的保护。

6. 个人数据的共享处理

第三方对Attrus因提供产品和服务而收集的个人数据的访问，仅限于实现本隐私政策所述的目的，且仅在Attrus正常业务过程中为提供、运营和交付此类产品及服务所必需的范围内进行。Attrus可能与之共享您的个人数据的主要第三方包括：

(a) Attrus 的关联公司；
(b) 支付安排机构及此类支付安排中的其他参与方；
(c) 拥有用于信用分析的工具、算法和系统的合作伙伴及服务提供商；
(d) 电子资金转账网络；
(e) 清算与结算银行；
(f) 为 Attrus 开展商业运营和/或信息处理的合作伙伴及服务提供商；
(g) 独立审计师；
(h) 信用分析机构（如 Serasa Experian 和 BoaVista）、信用保护服务及类似机构；
及/或 (i) 主管监管机构，如巴西中央银行（BCB）。

此外，Attrus 可能会以汇总形式公开分享个人数据，或与合作伙伴分享此类数据，前提是该信息无法识别特定个人身份。例如，Attrus 可能会公开分享信息，以展示其产品和服务的总体使用趋势。

在因遵守法律、法院命令或监管机构对 Attrus 及/或第三方开展的活动进行监管而必须披露数据主体的个人数据时，此类个人数据仅在严格遵守相关条款且仅限于披露所必需的范围内进行披露；同时，将在可行且可行的范围内通知数据主体此类披露事宜，以便其采取适当的保护或补救措施。

如果 Attrus 因本《隐私政策》规定的目的或数据主体明确授权的目的以外的其他目的而需要处理个人数据，Attrus 将向个人数据主体告知该新目的，并在必要时征得新的授权，以便就此进行具体的处理。

7. 处理您的个人数据的可能具体目的

接受本《隐私政策》即表示您同意 Attrus 可将您的个人数据用于以下具体目的：

(a) 核实并验证您的身份；
(b) 在我们的系统中为您注册；
(c) 遵守法律和监管义务，包括但不限于执行反洗钱和反欺诈程序；
(d) 进行您的信用风险分析；
(e) 在必要时与您联系；
(f) 为您提供支持；
(g) 与数据主体沟通并向其发送信息；
(h) 针对 Attrus 平台、产品及服务的运行和运作生成统计分析和报告，以惠及 Attrus、其关联公司、合作伙伴及服务提供商；
(i) 提供并改进 Attrus 平台及/或产品与服务的安全机制和监控；
(j) 检测并保护 Attrus 及/或其客户免受欺诈、滥用或非法行为的侵害；
(k) 检测并防止应用程序和程序被用于欺诈目的，或被用于改变 Attrus 平台及 Attrus 提供的服务和产品的功能；
(l) 开发新产品、服务、活动和/或功能；
(m) 提供数据主体签约或请求的产品和服务，以及特定权益；
(n) 保存已进行的交易及外汇操作记录，并就此向您告知及进行适当监控；
(o) 向信用保护机构咨询并提交报告，执行商业核查任务及/或涉及信用风险的核查，分析维持商业关系的可行性，并为信用分析目的编制档案；
(p) 开展研究；
(q) 更正及/或更新数据；
(r) 执行风险控制；
(s) 执行《条款与条件》中包含的任何规定，并考虑所开展的活动以及 Attrus 提供的产品和服务；
(t) 由其经济集团内的其他公司执行一项或多项 Attrus 活动；
(u) 开展涉及 Attrus 的业务（包括但不限于收购、成立、股份合并、合并和/或分拆等公司业务）并需要进行审计；
(v) 通过电子邮件、短信（SMS）等不同渠道联系数据主体，以进行 Attrus 产品和服务的广告和/或促销；
以及 (w) 遵守主管当局的任何命令，以及在司法、行政或仲裁程序中维护权利。

您特此同意，Attrus 可根据《通用数据保护条例》，为本政策规定的具体目的对您的个人数据进行跨境传输，包括但不限于：为向 Attrus 提供技术、系统和/或运营基础设施的第三方签订合同，以及因在产品和服务提供范围内开展外汇交易而产生的传输。

除本《隐私政策》规定及/或法律授权的目的外（如上文第6条和第7条以及《通用数据保护条例》所述），Attrus不会出于其他目的对您的个人数据进行处理。Attrus不会为了从数据共享中获取报酬而分享个人数据。

8. ATTRUS 承担的责任及采取的措施

Attrus采取安全、技术和管理措施，旨在根据现行法律法规，保护数据主体的个人数据免遭未经授权的访问，以及因意外或非法原因导致的毁损、丢失、篡改、泄露，或任何形式的不当或非法处理，包括在终止对上述个人数据的处理之后。

在此背景下，为保障数据主体提供的个人数据信息的安全，Attrus 建立了与所收集信息敏感程度相适应的物理、逻辑、技术及管理安全流程，其有效性会定期接受独立审计评估。Attrus 不断实施新规程并持续进行技术改进，以保护从数据主体处收集的所有个人数据。

尽管采取了上述安全措施，但若因任何非直接归咎于Attrus的事由或情况导致个人数据保密性遭到泄露，Attrus对此不承担任何责任。在处理所收集的信息时，Attrus采用的系统设计旨在满足安全与透明度要求、良好实践及治理标准，并遵循《通用数据保护法》及市场确立的一般原则。

与Attrus相关的管理人员、员工及第三方必须遵守并确保遵守本《隐私政策》；如有必要，在出现与本政策相冲突的情况或发生本政策所述情形时，应联系数据保护官进行咨询。

合规部门和数据保护官应：(i) 及时更新本《隐私政策》，以确保遵守针对本政策所确立的指导方针和一般规则的任何监管和/或法律变更；(ii) 负责澄清有关本《隐私政策》及其应用的疑问；(iii) 分析来自个人数据主体的投诉和沟通，提供说明并采取措施；(iv) 接收来自国家数据保护局（ANPD）的沟通并采取措施； (v) 指导 Attrus 员工及第三方（如适用）采取与个人数据保护相关的措施；(vi) 在必要时采取措施，向 ANPD 及数据主体通报涉及个人数据的事件；以及 (vii) 解答有关相关法律法规的疑问。

Attrus将根据《通用数据保护条例》的规定，保留您个人数据处理操作的记录。

Attrus要求所有员工和服务提供商对因履行职责而获知或接触到的个人数据予以保密，并仅将此类信息用于明确许可的目的。若因未遵守本《隐私政策》或未履行该等第三方通过其自身协议与 Attrus 约定的合同义务，导致此类信息被第三方或其员工滥用，Attrus 概不负责。

9. 您的权利

在不影响本《隐私政策》中明确规定的其他权利的前提下，且在相关适用法律允许的情况下，您有权随时向 Attrus 提出请求，就您的个人数据行使以下权利：

(a) 确认是否存在对您个人数据的处理；

(b) 查阅 Attrus 收集的您的个人数据；

(c) 对不必要、过量数据或未遵守适用法律规定处理的数据进行匿名化、屏蔽或删除；

(d) 根据适用法规，通过明确且具体的请求，要求将个人数据转移至另一服务或产品提供商（视情况而定）；

(e) 删除经客户同意而处理的个人数据，但以下情况除外：(i) Attrus 为遵守法律或监管义务而进行的处理， (ii) 由研究机构进行研究，且在可能的情况下确保个人数据匿名化；(iii) 向第三方转移，前提是遵守适用法律规定的处理要求；或 (iv) 仅由Attrus内部使用，禁止第三方访问，且数据已匿名化；

(f) 获取有关Attrus已与之共享个人数据的公共及私营实体的信息；

(g) 关于客户未提供同意的信息及其拒绝的后果；

以及 (h) 撤销您的同意。

10. 个人数据更正

除上文所述条款外，您有权向Attrus提出请求，要求更正经证实不完整、不准确和/或过时的个人数据。

11. 撤销同意与删除个人数据

如果您希望撤回根据本《隐私政策》条款所授予的同意，或从 Attrus 的数据库中删除您的个人数据，您必须直接向 Attrus 提出撤回同意或删除个人数据的请求。仅卸载应用程序（当您以应用程序模式使用 Attrus 平台时）不足以撤回您的同意和/或从 Attrus 的数据库中删除您的个人数据。

Attrus将保存您的撤回和/或删除请求，并在您的个人数据处理期结束后，由 Attrus 全权酌情决定对能够识别您身份的信息进行销毁或匿名化处理，但不影响 Attrus 为法律和监管目的而保留和使用您的个人数据的权利。 此外，在 Attrus 仅作为个人数据处理者的情况下，上述权利必须直接向数据控制者行使，即负责个人数据处理决策的公法或私法下的自然人或法人。

12. 其他处理您个人数据的形式

无论本文件中是否有任何相反规定，您在接受本《隐私政策》及其他条款和条件时，即表示您承认：只要是为了本《隐私政策》和/或法律规定的特定目的，Attrus 或其关联公司均可依法以任何形式处理您的个人数据，包括但不限于《一般数据保护法》第 7 条第 V 项和第 X 项规定的情形。

13. 个人数据处理的期限与终止

您的个人数据处理期限为以下时间段：(i) 接受本政策及条款与条件之日，以及 (ii) (a) Attrus 收到您撤回对本《隐私政策》同意之日，或 (b) 若 Attrus 已收到您撤回同意的通知，但您因产品及服务仍欠付 Attrus 款项，则以 Attrus 实际收到您所欠全部款项之日为准。

14. 个人数据处理同意书

您自愿、知情、明确且无任何同意瑕疵地同意，我们为本隐私政策规定的所有目的收集、存储、使用、处理、关联、共享、披露及以其他形式处理您的个人数据。

接受本《隐私政策》即表示您确认已完全且清楚地了解Attrus处理您的个人数据可能涉及的具体目的。

通过接受本《隐私政策》，您确认已完全且清晰地理解了Attrus处理您的个人数据所依据的可能具体目的。

15. 数据保护官

根据《通用数据保护条例》的规定，Attrus设有一名负责个人数据处理的数据保护官。该数据保护官的身份及联系方式详见 Attrus 网站，网址为：“https://attrus.com”。

可通过上述方式联系该官员。

16. 本隐私政策的变更

我们可能会不时更新或修改本《隐私政策》，以符合适用法律法规或适应业务变化。本《隐私政策》的任何相关变更都将在Attrus平台上提前通知。在收到通知后继续使用Attrus平台，即表示您同意继续受本《隐私政策》最新版本条款和条件的约束。

根据现行法律规定，本隐私政策的某些变更可能需要您的同意。若您不同意这些变更，您有权根据本隐私政策的条款拒绝同意。

17. 其他重要条款

本隐私政策中任何条款的无效或失效，均不影响其其余条款及/或《条款与条件》中任何条款的有效性。 如果任何司法裁决认定本隐私政策中的任何条款无效或失效，Attrus 将用另一项合法条款取代被质疑的条款，该条款应尽可能最大程度地实现最初预期的实际效果。

本隐私政策中的所有豁免、赔偿和免责条款，在我们之间的协议因任何原因终止后仍将继续有效。

我们可全权酌情决定，全部或部分地妥协、放弃或推迟您在本隐私政策中对我们承担的任何责任或授予我们的任何权利，且此举不会以任何方式损害或影响我们根据本隐私政策享有的权利。

您与Attrus确认：(i) 任何一方未行使或延迟行使本文件或法律赋予的任何权利，均不构成对该权利的债务更新或放弃，亦不影响该权利在任何时候的最终行使； 且 (ii) 任何一方对本文件所规定之权利或权力的放弃，仅在以书面形式正式确认后方为有效。

Attrus有权自行或通过任何法律实体及/或目前或将来可能受 Attrus 控制或由 Attrus 持股的其他法律实体，对本《隐私政策》所产生的任何权利进行让与、转让、更新或不予行使。

本隐私政策受巴西联邦共和国法律管辖。

本政策及Attrus的《条款与条件》将于2024年8月6日生效。