隐私政策

North Crest Group（“North Crest”、“我们”）是由一组关联公司使用的交易名称，该等公司运营网站 northcrestgroup.com，并提供外汇、指数、大宗商品、股票及加密货币差价合约（CFD）的在线交易服务。本隐私政策说明当您访问我们的网站、开立模拟或真实账户，或以其他方式使用我们的服务时，我们如何收集、使用、披露和保护个人数据。

本网站由 North Crest Capital Holdings Ltd 拥有并运营，其注册办事处位于 Suite 4, Maeva Plaza, Pope Hennessy Street, Port Louis 11328, Mauritius。交易服务由与您签约的运营实体提供，具体取决于您的居住国：North Crest Securities (Pty) Ltd，获南非金融行业行为监管局授权（FSP 53197）；North Crest Capital Markets Ltd，获塞浦路斯证券交易委员会授权（许可证编号 412/22）；North Crest International Ltd，获毛里求斯金融服务委员会授权（许可证编号 GB22200851）；以及 North Crest Global Ltd，获科摩罗姆瓦利国际服务管理局授权（许可证编号 T2023123）。

就数据保护法而言，North Crest Capital Holdings Ltd 与同您签约的运营实体均各自作为您个人数据的控制者：控股公司就网站及集团层面的系统承担控制者责任，您的签约实体则就您的客户关系承担控制者责任。如您的签约实体为 North Crest Capital Markets Ltd，则欧盟《通用数据保护条例》（GDPR）适用于您个人数据的处理；在其他司法管辖区，则适用当地的数据保护法律。我们在整个集团范围内以 GDPR 级别的标准作为统一基准。

本政策应与我们的《Cookie 政策》以及规范您账户的《服务条款》一并阅读。如果您不同意本政策所述的个人数据处理方式，则不应使用我们的服务。

当您注册、验证身份、为账户入金、进行交易或联系客服时，我们会收集您直接向我们提供的信息。这包括身份和联系数据（全名、电子邮件地址、电话号码、邮政地址、出生日期、国籍、居住国和税务居民身份所在地），以及在您使用真实资金交易前我们依法必须取得的验证文件，例如政府签发的身份证件、地址证明，以及（如有使用）通过我们的身份验证服务商处理的验证照片。

由于我们是受监管的金融服务公司，我们还会收集财务及适当性信息：您的就业状况、您拟用于交易的资金及财富来源、收入和净资产的大致区间、您以往的交易经验，以及用于向账户入金和出金的支付详情。账户开立后，我们会完整记录您的交易活动，包括订单、成交、持仓与平仓、账户余额、入金和出金。

当您使用网站或交易平台时，我们会自动收集技术数据：IP 地址、设备和浏览器类型、操作系统、语言设置、浏览的页面、时间戳、根据您的 IP 地址推算的大致位置，以及下文“Cookie 与跟踪”一节所述的 Cookie 或类似标识符。我们还会保留与您之间的通信记录，包括客服聊天、电子邮件，以及在适用监管规定要求的情况下，与您的账户或订单有关的电话通话录音。

最后，我们会从我们被要求或有权使用的第三方处获取关于您的信息：身份验证和欺诈防范服务商、制裁名单及政治公众人物筛查服务、支付服务提供商，以及（在允许的情况下）公开可得的来源。如果您仅开立模拟账户，我们收集的数据范围较小，通常为您的姓名、电子邮件地址和电话号码，以及您使用平台的技术数据。

我们仅在具备合法依据的情况下处理个人数据，且就每项处理目的依赖以下其中一项依据。

为履行我们与您订立的合同，我们使用您的数据开立和管理您的账户、验证您的身份、执行和结算您的订单、处理入金和出金、提供交易平台并回应您的客服请求。没有这些处理，我们根本无法提供服务。

为遵守我们的法律义务，我们使用您的数据执行“了解你的客户”核查、反洗钱和反恐怖融资筛查、制裁核查、适当性评估、向我们运营实体的监管机构进行交易报告和监管报告、法定记录保存，以及在相关监管机构的规则要求时对通信进行录制。这些义务适用于整个集团，且不能应您的要求予以豁免。

基于我们的合法利益，我们使用个人数据保障平台安全并侦测欺诈和滥用行为、监测和改进我们的服务表现、生成汇总和去标识化的分析数据，以及确立、行使或抗辩法律权利主张。在依赖合法利益时，我们会将其与您的权利进行权衡，您可以按“您的权利”一节所述提出反对。在征得您同意的情况下，我们会向您发送有关我们产品和服务的直接营销信息；您可以随时撤回该同意，且不影响撤回前处理的合法性。North Crest 不提供投资建议，我们也不会使用您的个人数据生成个人投资推荐。我们的身份验证和欺诈筛查流程的部分环节是自动化的；在法律赋予您对完全基于自动化处理作出的决定要求人工复核的权利时，您可以通过 privacy@northcrestgroup.com 提出该请求。

我们不出售个人数据。我们仅在本政策所述的情形下，并在合同或法律保障措施之下共享个人数据。

在 North Crest Group 内部，个人数据在 North Crest Capital Holdings Ltd 与“引言”一节所列的受监管运营实体之间共享，共享范围以运营共享系统、根据您的居住国将您引导至正确的签约实体、履行集团层面的合规义务以及提供一致的客户支持所需为限。集团内部的共享受一项适用统一保护标准的集团数据传输安排的约束。

我们聘用经审慎挑选的服务提供商，其代表我们并仅按照我们的书面指示处理数据：身份验证和筛查服务商、支付服务提供商和银行合作伙伴、云托管和 IT 基础设施供应商、通信和客户支持工具，以及分析服务商。每一家均受合同约束，须遵守保密义务以及与本政策相一致的安全义务。

我们会向我们运营实体的监管和监督机构、税务机关、我们的外部审计师和专业顾问披露个人数据，并在适用法律、法规或法律程序要求披露，或为保护 North Crest、我们的客户或他人的权利、财产或安全所必需时，向执法机构或法院披露。如果我们参与合并、收购、重组或资产出售，个人数据可能在保密义务之下转移给交易对方，我们将就由此产生的任何控制者变更通知您。

我们实施旨在保护个人数据免遭未经授权的访问、篡改、披露、丢失或破坏的技术和组织措施。这些措施包括对传输中的数据和静态存储的敏感记录进行加密、实行基于角色的访问控制以使员工仅能查看其职责所需的数据、在内部系统上启用多因素身份验证、网络隔离、持续的日志记录和监控、对服务提供商进行尽职调查、定期开展员工培训以及成文的事件响应程序。

如果发生可能对您的权利造成风险的个人数据泄露事件，我们将通知主管监督机构，并在风险较高时直接通知您，且在任何情况下均遵守适用法律规定的时限。

任何互联网传输或电子存储方式都不是完全安全的，我们无法保证绝对的安全。您也应尽到自己的一份责任：妥善保管您的账户凭据，启用我们提供的安全功能，如怀疑您的账户遭到未经授权的访问，请立即联系 support@northcrestgroup.com。

在您与我们的关系存续期间，以及关系结束后我们被要求或被允许保留数据的期限内，我们都会保留个人数据。相关保留期限主要源自您签约实体所在司法管辖区的反洗钱、金融服务和税务法律：客户身份识别记录、交易记录和账户文件通常在关系终止后保留五至七年，如有特定法律、监管机构要求、调查或法律权利主张需要，则保留更长时间。

通信录制记录按照相关监管机构规则规定的期限保留。基于您的同意而处理的数据（例如营销偏好）仅保留至您撤回同意为止。技术和分析数据的保留期较短，仅限运营所需，或以不再能够识别您身份的汇总形式保存。

保留期限届满后，我们会删除数据或对其进行不可逆的匿名化处理。由于我们的大部分保留义务属于法定义务，即使您注销账户，我们也无法应您的请求提前删除监管记录；“您的权利”一节对此有进一步说明。

根据您的居住国和与您签约的实体的不同，您对自己的个人数据享有相应权利。在 GDPR 适用的情况下，并作为我们在整个集团范围内适用的基准标准，这些权利包括：访问我们所持有的关于您的个人数据并了解我们如何处理这些数据的权利；更正不准确或不完整数据的权利；删除我们已无合法依据继续保留的数据的权利；在特定情形下限制处理的权利；数据可携权，即以结构化、常用且机器可读的格式获取您提供给我们的数据副本的权利；反对基于合法利益进行的处理的权利，以及随时反对以直接营销为目的的处理的权利；以及在处理基于同意时撤回同意的权利。

如需行使上述任何权利，请联系 privacy@northcrestgroup.com。我们会在处理请求前核实您的身份，并在一个月内作出回复；对于复杂请求，如适用法律允许不同的期限，我们将告知您并说明原因。

这些权利受到限制。特别是，对于我们依法必须保留的数据（例如根据反洗钱法律保存的身份识别和交易记录），我们无法予以删除或限制处理；反对权也不适用于我们为履行法律义务而进行的处理。如果您对我们的回复不满意，您有权向您居住国或您签约实体所在司法管辖区的数据保护监督机构提出投诉。

我们在 northcrestgroup.com 和交易平台上使用 Cookie 及类似技术，分为《Cookie 政策》所界定的四个类别：必要 Cookie 用于保持您的登录状态、维持您的会话和安全设置并确保平台正常运行（无法关闭）；性能 Cookie 帮助我们了解网站的使用情况以便加以改进；功能性 Cookie 用于记住您的语言等偏好；定向 Cookie 用于衡量和个性化我们的广告。性能、功能性及定向 Cookie 仅在征得您同意后才会设置。

当您首次访问本网站时，系统会请您选择允许哪些非必要 Cookie，您可以随时通过网站上的 Cookie 设置更改或撤回该选择。您也可以将浏览器配置为拒绝或删除 Cookie，但屏蔽必要 Cookie 可能导致平台的部分功能无法使用。

各类别 Cookie 的说明，以及如何通过 Cookie 设置面板查看实际使用的具体 Cookie，均载于我们的《Cookie 政策》，该政策构成本隐私政策的一部分。有关 Cookie 的问题可发送至 privacy@northcrestgroup.com。

我们的网站和服务面向成年人，并非针对任何 18 岁以下人士。我们不会有意收集未成年人的个人数据，我们的开户流程包含强制性的出生日期验证和身份验证，正是为了确保任何 18 岁以下人士都无法开立真实交易账户。

如果您认为有 18 岁以下人士向我们提供了个人数据，请联系 privacy@northcrestgroup.com。如经确认我们持有从未成年人处收集的数据，我们将注销任何相关账户并删除该等数据，但法律要求我们保留该事件记录的情形除外。

North Crest Group 通过位于南非、塞浦路斯、毛里求斯和姆瓦利（科摩罗）的实体开展运营，并使用可能在其他国家存储或处理数据的服务提供商。因此，您的个人数据可能被传输至并保存在您所在司法管辖区以外的地区，这些地区的数据保护法律可能与您居住国的法律有所不同。

无论您的数据在集团内部或向我们的服务提供商流转至何处，其始终受到本政策以及我们所设置的保障措施的保护。对于受 GDPR 约束的个人数据，我们仅在存在充分性认定或适当保障措施（例如欧盟委员会的标准合同条款，并在必要时辅以额外的技术和组织措施）的基础上，才将数据传输至欧洲经济区以外。集团实体之间的传输受一项适用同等标准的集团内部数据传输安排的约束。

您可以通过联系 privacy@northcrestgroup.com，请求获取适用于特定传输的保障措施的信息，包括（如适用）相关合同条款的副本。

我们会定期审查本隐私政策，并在我们的处理活动、集团架构或法律发生变化时予以更新。本页面发布的版本即为现行有效版本，每次更新均以政策旁标注的生效日期予以标识。

如果我们作出重大变更，例如为新的目的处理数据、与新类别的接收方共享数据或变更您的签约实体，我们将在变更生效前通过电子邮件，或通过网站或交易平台上的醒目通知，提前向您发出通知。我们建议您定期查阅本页面；在更新版本生效后您继续使用我们的服务，即构成对更新后政策的知悉确认。任何更新均不会减损您根据适用数据保护法享有的权利。

有关本隐私政策或我们如何处理您的个人数据的问题、请求和投诉，请发送至 privacy@northcrestgroup.com。该邮箱由负责 North Crest Group 数据保护事务的团队监控，是行使本政策所述权利的最快捷途径。

您也可以致函我们：North Crest Capital Holdings Ltd, Suite 4, Maeva Plaza, Pope Hennessy Street, Port Louis 11328, Mauritius。与隐私无关的一般账户或平台问题，请联系 support@northcrestgroup.com。

如果您对我们就隐私问题作出的回复不满意，您有权向您居住国或与您签约的 North Crest 实体所在司法管辖区的数据保护监督机构提出投诉。不过，我们希望能有机会首先直接为您解决问题。