商业隐私政策

自 2025 年 11 月 26 日起生效

保护个人数据对 ESET, spol. s r. o. - 注册办公室位于 Einsteinova 24, 85101 Bratislava, Slovak Republic，业务识别号：31333532（“ESET”或“我们”）尤为重要。31333532 (“ESET”或“我们”)。我们希望遵守欧盟《一般数据保护条例》（“GDPR”）所规定的透明度要求。为实现此目标，我们发布本隐私政策，其唯一目的是告知您（根据我们的商业使用条款使用我们服务的个人，下称“您”），我们在提供服务的过程中如何处理与已识别或可识别的自然人（“数据主体”）相关的数据，如下文所定义。

本隐私政策适用于我们商业使用条款(以下简称“条款”)规定的所有 ESET 产品和服务,因此适用于我们标准业务订阅中包含的所有 ESET 产品和服务(除小企业订阅外)(以下简称“订阅”),所有 ESET 业务帐户及其网站(包括 ESET PROTECT Hub、ES我们的服务需要使用我们的标准化的 ESET 产品,这些产品可以是本地安装的,也可以是基于云的(统称为“产品”)。

隐私政策主要涉及我们如何处理数据主体(作为数据控制者)的个人数据,但为了向您提供更完整的信息,我们还在个人数据类别节中描述了我们在数据处理者角色中处理哪些数据。在此类情况下,适用我们的数据处理协议。

我们可能会随时自行修改本隐私政策。我们将向您发送一封电子邮件通知，其中包含指向修订版隐私政策的链接，或者我们将通过应用内通知或其他电子方式通知您修订版隐私政策。如果您不同意或无法遵守修订版隐私政策，则应停止使用相关服务，并在适用情况下卸载相关产品。如果您在修订版隐私政策生效后继续使用服务，则认为您已承认修订版隐私政策。

特别是,我们希望向您提供以下信息:

•我们处理的个人数据类别

•个人数据处理的法律依据,

•数据共享和机密性、

•数据安全性、

•作为数据主体的权利、

•我们的联系信息。

我们处理的个人数据类别

为了提供我们的服务,我们必须处理可能与数据主体相关的不同类型的数据。依据 GDPR，我们可能在某些数据处理活动中担任数据控制者，而在其他活动中担任您的数据处理者，具体取决于向您提供的特定服务及其技术配置。

下面我们概述了可能与我们可能处理的数据主体相关的数据类别,并考虑到我们在特定数据处理中的作用。请注意,某些类别的数据仅在特定服务中进行处理,因此可能不适用于您的特定情况。

ESET 充当控制者

订阅和计费数据。ESET 会收集并处理您的姓名、电子邮件地址、有关您的订阅和激活密钥的信息,如果我们处理您的付款,则还会收集您的地址、公司关联和付款信息,以提供订阅中包含的服务。这些数据用于方便订阅激活、发送激活密钥、发送与您的订阅相关的订阅到期提醒和法律通信、验证订阅真实性以及依据适用法律发送其他通知。ESET 有法律义务将计费信息保留 10 年。在我们的订阅系统中,与订阅相关的数据将在您最后一个订阅到期后的 12 个月内进行匿名化处理,但在本隐私政策中描述的其他内部系统中,此类数据可能会在不同时间段和不同目的下被处理。这包括在您最后订阅到期后 3 年内处理与订阅相关的数据以及任何法律通信,以建立、行使或捍卫法律索赔。

帐户注册数据。为了注册帐户并使您能够访问相关服务,我们可能需要处理您的全名、公司名称、居住国、有效电子邮件地址、电话号码以及订阅相关信息。

统计数据和遥测数据。为了增强我们的基础设施的安全性,维护和改进我们的产品和服务,需要根据我们改善服务和提高服务安全性的合法权益处理与服务使用有关的遥测信息。我们仅对这些信息进行汇总处理，包括数据库性能、运行状况统计信息、托管端点数量、端点操作系统、系统硬件、系统错误、策略、登录、任务、通知、托管设备、检测统计信息、事件处理率、规则引擎统计信息、排除项等数据以及 HTTP 标头。

技术支持。出于技术支持目的,可能需要提供联系人详细信息、订阅信息和支持请求中提供的数据。根据您选择的通信渠道,我们可能会收集您的电子邮件地址、电话号码、订阅信息、产品详细信息以及支持案例的描述。可能会要求提供其他信息,以便于提供我们的技术支持。针对技术支持处理的数据可保留 4 年。

营销通信。根据管辖直接营销的相关法律,我们可能会根据我们宣传我们的产品和服务的合法权益,使用您的联系信息或我们的产品通信渠道来直接营销我们的产品和服务。此类使用将继续,直到您退出此类通信,或在您最后一个订阅到期后的 12 个月后,您的订阅相关数据被匿名化。

您的反馈。您的反馈、答案或请求可通过我们的 Web 表单或其他沟通渠道提交。为了跟进,我们可能需要您的联系人信息(例如您的电子邮件)或其他相关数据,取决于您的沟通目的和背景。数据保留期限取决于通信的性质或用途,并按照本隐私政策进行管理。

来自本地安装产品的特定数据处理

•来自本地安装产品的更新和其他统计数据。所处理的数据包括有关安装过程的信息、设备属性以及我们产品的操作和功能的信息,例如安装产品的平台、操作系统、硬件规格、安装 ID、订阅 ID、IP 地址、MAC 地址和产品配置设置。此类数据用于更新、升级、维护、安全以及开发我们的产品、服务和后端基础架构。它将独立于计费或订阅记录所需的识别数据存储和处理,因为其处理不需要识别我们产品的最终用户或其他数据主体的身份。此类数据的保留期最长为 4 年。

•ESET LiveGrid® 信誉系统在我们本地安装的反恶意软件产品中。与渗透有关的单向哈希面向 ESET LiveGrid® 信誉系统进行处理，这可将已扫描的文件与云中列入白名单和黑名单的项目数据库进行比较，从而提高我们的反恶意软件产品的效率。在此过程中,不会识别出我们产品的最终用户或其他数据主体的身份。

•ESET LiveGrid® 反馈系统在我们本地安装的反恶意软件产品中。野生的可疑样本和元数据在 ESET LiveGrid® 反馈系统中收集，这使 ESET 能够立即应对我们最终用户的需求，以及使我们持续响应最新的威胁。我们依赖您向我们发送

o渗透，如病毒和其他恶意程序以及可疑程序的潜在样本；有问题、潜在不受欢迎或潜在不安全的对象，如可执行文件、由您报告为垃圾邮件的电子邮件或我们的产品标记的电子邮件；

o涉及 Internet 使用的信息，例如 IP 地址和地理信息、IP 数据包、URL 和以太网帧；

o崩溃转储文件及包含的信息。

作为本服务的一部分收到的可疑样本、文件名、URL 或元数据有时可能包含数据主体的个人数据。我们不专门寻求此类个人数据,也不打算收集该类数据。收集和处理这些样本、URL 和相关元数据的唯一目标是向您和其他客户提供我们的服务,包括我们增强的恶意软件防护。

通过 ESET LiveGrid® 反馈系统获取和处理的所有数据均可处理,而无需识别我们产品的最终用户或任何其他数据主体。

•ESET Secure Autentication On-Prem。出于验证身份、提供和选择使用产品的功能的整体功能的目的,我们可能需要提供信息,例如用户名、电话号码、标记名、标记 ID、其他标记信息、激活 URL、订阅信息、电话 ID、通知 ID 以及平台信息。

请注意,如果我们在我们的服务中处理了未接受我们的条款且因而未签订 GDPR 第 6 (1) (b) 款规定的合同的数据主体的数据(例如,您的员工、家庭成员、您授权使用服务的其他人或可疑样本收集的情况下第三方),我们将根据 GDPR 第 6 (1) (f) 款规定的合法权益处理该数据。此类处理使我们能够向您提供服务,并保持其高质量和安全性。

ESET 充当处理者

本节概述了与我们的服务相关处理的数据类别,而我们作为您的数据处理者。主要适用于我们的云产品，需要收集和处理与受监控端点设备（本地安装的产品所部署的位置）及您的网络相关的数据。在基础结构中执行的监视范围以及收集的确切数据将取决于您和您的管理员管理的规则、排除项和设置。因此，我们将依据《数据处理协议》以数据处理者的身份处理此类数据，以便为您提供我们的服务。此类数据以及其他与服务相关的日志，将按照特定云产品的日志保留策略进行存储（详情请参见相关文档）。

我们鼓励您在设置我们的云产品时检查和查看您所在国家/地区有关数据收集和处理的立法和法律要求。您可能需要向最终用户告知受管理和监控的端点设备，或请求特定管辖区内的特定权限以执行监控活动。

ESET PROTECT

•托管的端点设备。管理 ESET 本地安装的产品需要席位 ID 和名称、产品名称、订阅信息、激活和到期信息以及安装有 ESET 产品的托管设备的硬件和软件信息。将会收集有关托管的 ESET 产品和设备的活动日志，以便用于管理和监控功能及我们的服务。其他处理的信息可能包括：安装过程相关信息（包括安装产品的平台）以及我们产品或托管设备的操作和功能信息，例如产品的硬件指纹、安装 ID、订阅 ID、IP 地址、MAC 地址、使用的电子邮件地址、移动设备的 GPS 坐标或配置设置。

•漏洞和修补程序管理。如果您选择使用漏洞评估和修补程序管理功能，将处理更多信息。出于漏洞评估的目的，将收集并处理与托管设备的漏洞名称和标识符、严重性以及影响分数有关的信息。修补程序管理功能还需要应用程序的名称、版本和供应商、设备上缺少的修补程序的版本以及缺少的修补程序的标识符。

•云工作负载防护。此功能主要收集和处理两类日志:Azure 活动日志和 Microsoft Entra ID,其中可能包括来自云环境的以下个人数据: (i) API 请求执行者的 IP 地址和 (ii) 执行请求的用户身份(名称、电子邮件地址)。来自您的云环境的此类数据被处理,以检测和响应在您的 VM 或更广泛的云环境中运行的潜在恶意软件或恶意软件,并以连接器和任务的状态报告形式编写指标,并/或将事件发布给 ESET PROTECT 控制台和/或 OpenXDR。

•ESET Remote Access。如果可用,此 Beta 功能可让管理员通过 ESET PROTECT 控制台远程访问托管端点设备。根据网络设置,从端点传输的数据要么直接在控制台(管理员的浏览器)和端点之间传输,要么通过 ESET 的服务器传输。在这两种情况下,所有信息都以每会话为基础进行端对端加密。这包括远程桌面屏幕、鼠标和键盘活动、剪辑板内容(仅在会话中复制数据)、文件传输和聊天消息。通过 ESET 服务器传输信息时,该信息不会存储或解密。将处理 IP 地址和路由信息，以协调端点与控制台之间的连接。如果传输文件,它们将遵循相同的加密路径,并且不会保留在 ESET 服务器上。出于审核目的,我们的控制台会记录与管理员操作相关的某些元数据,例如会话开始和结束的日期和时间以及从端点传输的文件。还将收集与会话相关的其他元数据,例如传输文件的文件名、IP 地址、机器名称和用户名。管理员在远程设备上执行的操作不受监视或记录。此外,一旦 ESET Remote Access 可使用控制台聊天功能,则可出于审核目的记录管理员与最终用户之间的通信的聊天转录。

ESET Inspect

ESET Inspect 收集和处理受监控的端点设备和网络的数据并将其发送到云控制台。作为端点检测和响应(EDR)类型的产品,它专为详细监视和异常检测而设计。在部署的端点,它会收集有关活动和操作系统事件的信息,包括设备上所有可执行模块的数据、低级别事件(如过程创建、文件修改、注册表修改、网络连接以及所有检测到的威胁(例如恶意软件、PUA、封锁的网页等)的数据。请注意，被处理的数据可能包含隐私敏感信息，如所有已修改文件的名称、所有进程的命令行以及所有受访页面的 URL。

ESET Secure Authentication

•ESA 云控制台。我们的云控制台使您能够管理和配置我们的服务,还可作为云身份验证服务器,处理您启用了双重身份验证的端点设备的身份验证请求。在那里处理用于运行 ESET Secure Authentication 的不同类别的数据,以便我们能够向您提供服务,而要处理的确切数据取决于您选择使用的身份验证方法和组件以及您创建的服务的其他配置。因此,云控制台可能会处理与您的最终用户相关的数据,例如用户名和 ID、IP 地址、移动号码、电子邮件地址、组织单位以及与您的组织结构相关的数据(如果您选择将包含您组织结构数据的数据的数据库自动同步到我们的云控制台,则可能需要输入数据库的登录凭据)。

•第三方服务和集成。如果您选择与第三方服务和组件集成 ESET Secure Authentication,我们可能会处理与您选择的服务和组件集成和运行我们的产品所需的其他数据,例如来自 Microsoft Exchange Server、Microsoft Dynamic CRM、身份提供商连接器或 RADIUS 的必要数据、您用户使用的硬件标记数据(例如硬标记秘密)和与您的订阅相关的数据。为了向您提供报告功能以及相关通知,需要处理与您组织发生的各种事件相关的数据(如登录者、未登录者等),以及我们产品功能相关的数据(例如错误)。

•请注意,根据您选择与 ESET Secure Authentication 集成的组件的属性,我们可能还需要处理用于身份验证的第一因素信息(通常是最终用户的密码),但仅需将其发送给相关实体进行验证。使用 ESET Secure Authentication 进行双重身份验证的最终用户的密码不会存储在 ESA 云控制台或其他 ESET 服务器上。

ESET Threat Intelligence

•样本分析。如果您选择通过 ESET Threat Intelligence 门户中的样本提交功能提交样本，则该样本将在我们的自动样本处理和检测系统（即高级机器学习模块、Multiscan、ESET LiveGrid® 信誉系统、Replicators 服务 - Sandbox、Sisyfos）中自动处理。输出将包含仅与样本行为相关的结果。样本本身的内容不会被使用或包含在样本分析输出中。我们操作用于测试样本行为的样本处理系统,确保您的数据保持在我们控制之下,不会被第三方处理。样本可在本地存储 30 天,最大存储时间仅限于为您提供此功能所需的时间。

•早期警告。如果您决定设置 YARA 规则以利用早期警告功能(例如,搜索),并包含包含个人数据的文本串,则此类数据将用于识别相关实例,从而为您提供我们的早期警告功能。您可以随时通过 ESET Threat Intelligence 门户删除该规则。

ESET AI Advisor。如果您决定使用 ESET AI Advisor，则您的查询以及受监控端点设备的相关数据和我们的云产品中处理的网络信息将传输到在我们的 Azure 私有云中运行的生成式 AI 解决方案。只有解决查询所需的基本数据才会与 AI 解决方案共享，并且将经过专门处理以提供请求的服务。ESET 管理 AI 解决方案，确保您的数据在我们的控制范围内，不会被第三方处理。请注意，如上所述，处理后的数据可能包含隐私敏感信息。

个人数据处理的法律依据

根据与个人数据保护相关的适用法律框架，我们采用以下几种法律依据以数据控制者身份进行数据处理。ESET 处理个人数据主要是为了履行与数据主体之间的条款（GDPR 第 6 (1) (b) 款），该条款适用于提供 ESET 产品或服务，除非另有明确规定，例如：

•合法权益法律依据（GDPR 第 6 (1) (f) 款），使我们能够处理有关您如何使用我们的服务以及您的满意度的数据，从而为您提供我们所能提供的最佳保护、支持和体验。即使营销也可能被适用法律认定为合法权益,因此,在某些情况下,我们可能会依赖它来进行营销沟通。

•同意（GDPR 第 6 (1) (a) 款），当我们认为此法律依据是最适合的法律依据或存在相应法律要求时，我们可能会在特定情形下请求您（即数据主体）提供同意。

•遵守法律义务（GDPR 第 6 (1) (c) 款），例如订立电子通信、发票或账单文件保留的要求。

数据共享和机密性

我们不会与第三方共享您的数据。但是，ESET 是一家通过附属公司或合作伙伴（作为我们销售、服务和支持网络的一部分）在全球运营的公司。出于履行本条款的目的（例如，提供服务或支持），ESET 所处理的订阅、计费和技术支持信息可能会在附属公司或合作伙伴之间传输。此外,为了提供专业服务和安全服务,我们可能会聘请受信任的合作伙伴担任分包商来执行这些服务的某些部分。

ESET 更愿意在欧盟 (EU) 内处理其数据。但是，根据您所在的位置（在欧盟以外使用我们的产品和/或服务）和/或您选择的服务，可能需要将您的数据传输到欧盟以外的国家/地区。例如，我们使用与云计算相关的第三方服务。在这些情况下，我们会仔细选择服务提供商，并确保通过合同以及技术和组织措施提供相应级别的数据保护。根据 GDPR，我们只能在特定条件下将个人数据传输到第三国/地区。我们确保按照 GDPR 的严格要求执行任何此类传输，致力于保护被传输数据的个人的权利和自由。在将任何数据传输到欧盟 (EU) 或欧洲经济区 (EEA) 外部之前，我们将评估接收国/地区的数据保护法的充分性，并考虑实施适当的保护措施，例如：

•我们将根据欧盟委员会的评估来评估接收国/地区是否具有足够的数据保护水平。

•我们使用经批准的 SCC 通过合同约束双方，并确保接收方按照 GDPR 要求处理个人数据。

•我们依赖于公认行为准则或可证明数据保护要求符合性的认证机制。

通过采取这些措施，我们确保个人数据传输的安全性和透明度，同时符合 GDPR 的准则。对于欧盟以外的一些国家/地区（例如，英国和瑞士），欧盟已确定提供同等级别的数据保护。由于提供同等级别的数据保护，因此向这些国家/地区传输数据不需要任何特殊授权或协议。

我们依赖第三方服务并与外部处理者合作，来提供与云计算、计费等相关的服务。

数据安全性

ESET 会实施适当技术和组织措施来确保与潜在风险相称的安全级别。这些措施已在我们的安全策略和（如适用）适用于特定产品的单独安全策略（可在本产品的文档中找到）中详细说明。我们会尽最大努力来确保处理系统和服务的持续机密性、完整性、可用性和弹性。但当发生数据泄漏并对您的权利和自由构成风险时，我们将通知相关监管机构以及相关数据主体。

数据主体的权利

每个数据主体的权利都很重要，我们想告诉您，ESET 保证所有数据主体（来自任何欧盟或任何非欧盟国家/地区）均享有以下权利。若要行使数据主体的权利,您可以通过支持表单或使用下面的联系方式与我们联系。出于识别目的，我们会要求您提供以下信息：姓名、电子邮件地址以及（如果有）激活密钥或客户编号和所在公司。请勿向我们发送任何其他个人数据，例如出生日期。我们想指出的是，为了能够处理您的请求以及出于识别目的，我们将处理您的个人数据。请注意,根据 GDPR,隐私政策的本节仅适用于数据主体;因此,本节中“您”的所有引用仅适用于数据主体。

撤消同意的权利。撤消同意的权利仅适用于基于同意进行处理的情况。如果我们根据您的同意处理您的个人数据，则您有权随时撤消同意，而无需给出理由。撤消您的同意仅对将来处理有效，并不影响撤消之前所处理数据的合法性。

反对权。反对处理的权利适用于基于 ESET 或第三方合法权益的处理。如果我们为了保护合法利益而处理您的个人数据，您有权随时反对我们指明的合法权益和对您个人数据的处理。您的反对仅对将来处理有效，并不影响反对之前所处理数据的合法性。如果我们出于直接营销目的处理您的个人数据，则无需给出您的反对理由。这也适用于资料收集，因为它与此类直接营销有关。在所有其他情况下，我们要求您简要告知我们针对 ESET 处理您个人数据的合法权益提出的投诉。

请注意，在某些情况下，尽管您撤消了同意或反对处理，我们仍可能有权根据其他法律依据处理您的个人数据（例如，为了履行合同）。

访问权。您有权随时免费获取有关 ESET 处理您数据的信息。

纠正权。如果我们无意中处理了有关您的错误个人数据，您有权更正该数据。

删除权。您有权要求删除或限制处理您的个人数据。如果我们处理您的个人数据（例如，在您同意的情况下），而您撤消同意并且没有其他法律依据（例如，合同），则我们会立即删除您的个人数据。一旦您的个人数据在我们的保留期结束时不再需要用于所述目的，它们也将被删除。

限制处理权。如果我们将您的个人数据用于直接营销的唯一目的，而您已撤消同意或反对 ESET 的潜在合法权益，则我们将限制对您个人数据的处理，以便将您的联系方式数据包括在我们的内部黑名单中，从而避免主动联系。否则，将删除您的个人数据。

请注意，我们可能需要存储您的数据，直到立法者或监管机构发布的保留义务和期限到期。保留义务和期限也可能源于斯洛伐克法律。其后，将例行删除相应的数据。

数据迁移。我们很乐意以数据主体的身份向您提供 ESET 处理的 xls 格式的个人数据。

提出投诉的权利。您作为数据主体，有权随时向监管机构提出投诉。ESET 遵守斯洛伐克法律的规定，并且我们受欧盟的数据保护法的约束。相关数据监管机构是斯洛伐克共和国个人数据保护办公室，具体地址为 Námestie 1。Mája 18, 81106 Bratislava, 斯洛伐克共和国

我们的联系信息

如果您希望行使作为数据主体的权利或有疑问或担忧，请通过以下信息联系我们：

ESET, spol. s r.o.
数据防护官
Einsteinova 24
85101 布拉迪斯拉发
斯洛伐克共和国