Travel ID 隐私声明

奥地利航空公司、布鲁塞尔航空公司、德国汉莎航空公司、欧洲之翼航空公司、EW Discover GmbH、瑞士国际航空公司等“汉莎航空集团航空公司”和 Miles & More GmbH 是 Travel ID 的运营商。

除非在本隐私声明中另行说明，否则“我们”或“Travel ID 运营商”应指依据欧盟《通用数据保护条例》（“GDPR”）第 26 条，共同负责处理您个人数据的汉莎航空集团航空公司以及 Miles & More GmbH（“联合控制方”）。

有关汉莎航空集团航空公司以及 Miles & More GmbH 的更多信息和联系地址，请参阅相应 Travel ID 运营商的隐私声明。

如果您有与 Travel ID 相关的数据保护问题，请联系以下方：

Deutsche Lufthansa AG、Miles & More GmbH、欧洲之翼航空公司以及 EW Discover GmbH 数据保护官：

Deutsche Lufthansa AG
Data Protection Officer
FRA CJ/D
Lufthansa Aviation Center
Airportring
60546 Frankfurt am Main
德国

奥地利航空公司数据保护官：

Austrian Airlines AG
Legal office – Data Protection
Office Park 2
P.O. Box 100
1300 Vienna Airport
奥地利

瑞士国际航空公司数据保护官：

Swiss International Air Lines AG
ZRH S/CJ
P.O. Box
8058 Zurich Airport
瑞士

布鲁塞尔航空公司数据保护官：

Brussels Airlines
Data Protection Officer
Airport Bld. 26, General Aviation - Ringbaan
1831 Machelen
比利时

您注册 Travel ID 时，我们需要的唯一强制性信息是您的电子邮箱、称谓、姓名、出生日期和密码。在技术上可行的情况下，将使用您在各 Travel ID 运营商网站或其他触摸点输入的国家/地区和语言设置，自动转入您的国家/地区和首选语言设置。该信息是创建 Travel ID 个人资料以及使用下文《Travel ID 使用条款及细则》详述的 Travel ID 服务所必需的。您可根据个人意愿自愿在 Travel ID 个人资料中添加其他信息。这可以是您的地址、手机号码、付款详细信息或者偏好（例如首选出发机场）。

基于与您 Travel ID 个人资料相关联的您的活动，我们将向您展示匿名数据（如您在已飞行千米数排行榜上的位置）和/或所称“徽章”（如当您达成特定目标时获得的奖励）。

如希望为儿童或儿童希望为自己创建 Travel ID 个人资料，且儿童未满 18 岁，则须获得家长或监护人的同意。在提交填写完毕的登记表后，家长或监护人将收到一封电子邮件，其中要求他们通过确认电子邮件中的链接来给予创建 Travel ID 个人资料的同意。如家长或监护人在所指明的登记后截止时间内未给予同意，则所有输入的个人数据都将删除。

处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。

在取得您同意的情况下，您还可以选择在您的 Travel ID 个人资料中存储其他个人数据。您可以在本隐私声明的相关章节找到与此相关的详细信息。

出于履行合同的必要，我们会向您发送您的 Travel ID 个人资料的会员资格变更消息。这包括通过您的 Travel ID 个人资料上传的旅行证件有效期到期、付款方式或密码等。

如果您有三年未登录您的 Travel ID 个人资料，那么我们将要求您重新登录。如果我们在接下来的六个月内没有发现您的 Travel ID 个人资料有任何活跃迹象，我们会将其删除（请参阅“删除您的 Travel ID 个人资料”章节）。

处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。

无论在地面或是机上，当您访问我们的网站以及使用我们的手机应用程序和其他触摸点时，我们的目标是让您轻松、快捷地找到并使用与您相关的信息。因此您可以选择使用您的 Travel ID 进行注册，以便获取个人通知，例如接收与您当前航班预订或您 Miles & More 飞常里程汇会员身份匹配的信息等。

当然，如果您不希望使用登录服务，您也可以在不登录的情况下使用网站/触摸点。在这种情况下，会显示相应内容但不是针对您的个性化内容。

处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。

我们使用您在 Travel ID 个人资料中保存的数据预填表单，从而让您的预订流程更轻松。这可能是您注册时主动提供的数据、之后添加的数据，也可能是您之前预订时提供的与 Travel ID 个人资料相关的数据，您再次订票时我们将自动考虑这些数据。我们还会使用您预订时提供的数据，为您提供适用于在线值机和自助值机等的预填表单。如果您填写其他表单，例如在参加竞赛时或者使用网站的任一电子反馈表发送客户反馈时，则所需的联系详情也会根据您的 Travel ID 个人资料预填。

处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。

如果您在登录状态下进行预订，则航班预订将在您的 Travel ID 个人资料中自动保存并显示。如您在此之后向 Travel ID 个人资料中添加航班预订，我们将确认预订是否已完成，并按照要求添加您已在 Travel ID 个人资料中保存的信息。未经您的同意，任何数据都不会被覆盖。

您的航班预订概览有效期为 10 年，同样包含创建和显示航班数据等。
如果您将之前的客户个人资料从一家汉莎航空集团航空公司旗下更改为 Travel ID 个人资料，您之前的客户个人资料中的航班预订也将显示在您的 Travel ID 个人资料中。

处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。

我们使用存储在您 Travel ID 个人资料中的数据，以便能够为您提供个性化服务。我们会处理您注册期间或之后在 Travel ID 个人资料中输入的数据，以及我们记录的数据，例如通过 Travel ID 进行航班预订输入的数据。这其中也包括航班延迟、取消及行李问题。我们也会对因您向服务中心提出咨询以及其他互动（例如与飞机上的机组人员互动）而产生的数据进行处理。

通过此类处理，我们可以改进投诉管理，并在我们的所有触摸点为 Travel ID 客户提供针对性服务。您向我们服务中心提交的询问将显示在您的 Travel ID 个人资料中，您可以在那里对其进行管理。

处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。

如果您曾使用过使用您 Travel ID 个人资料的 Travel ID 运营商旗下的产品和服务，我们可能会希望就这些服务联系您，例如在我们多次无法向您提供所承诺服务的情况下。为此，我们使用与任何问题、客户反馈、事件数量和严重程度、旅行和服务偏好以及 Miles & More 飞常里程汇会员身份等方面有关的数据。

我们处理您数据的法律依据是我们根据 GDPR 第 6 (1)(f) 条享有的合法权益。

如果您属于一个或多个客户群体（例如学生），您可以对自己是否属于该客户群体进行验证，并将确认结果保存在您的 Travel ID 个人资料中。例如，如果您随后在登录状态下预订旅行，我们便可以使用您的 Travel ID 个人资料中存储的客户群体身份状态来检查您是否有权享受特定客户群体的礼遇。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

您有权随时撤销您对客户群体身份确认的同意，但该同意撤销后不会影响此前基于该同意已经执行的任何存储的合法性。为此，您可以在 Travel ID 个人资料里的“客户群组”中取消确认。

享有的特殊条款和折扣一旦过期，将自动取消。

您可以将旅行证件（例如，护照或签证）保存在您的 Travel ID 个人资料中。我们会将您的这些信息存储在单独的安全数据库中。如果您登录并预订了需要您持有特定旅行证件的旅行，我们将使用在您的 Travel ID 个人资料中存储的信息来自动填充您的航班预订。如果您的航班预订已包含您的旅行证件详细信息，则不会进行此流程。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

您有权随时撤销您对使用您旅行证件数据的同意，但此类撤销不会影响之前基于此同意已经执行的任何处理的合法性。为此，您可以在您的 Travel ID 个人资料的“个人证件”中删除您的旅行证件。

您的旅行证件一旦失效，将自动删除。

您可以在 Travel ID 个人资料中保存您的首选付款方式。您可以随时在 Travel ID 个人资料中执行此操作。您也可以在预订过程中选择将所输入的付款方式保存至 Travel ID 个人资料，以在将来预订付款时使用。

如果您已将付款方式保存至 Travel ID 个人资料，并在登录的情况下使用 Travel ID 个人资料进行预订，我们将预填充您的首选付款方式，或为您提供选项。
您可以随时编辑或删除您的付款方式。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

您有权随时撤销对保存您付款方式的许可，撤销许可不会影响在撤销许可之前基于此许可执行的任何存储的合法性。为此，您可在 Travel ID 个人资料的“付款方式”中删除付款方式。

如果您预订了航班，那么汉莎航空集团航空公司将联系您，告知您有关您航班的可能额外服务。这些额外服务可能包括汉莎航空集团航空公司的航班相关服务，例如高级餐食或升舱，还包括汉莎航空集团航空公司合作伙伴公司（汉莎航空集团航空公司合作伙伴公司的相关信息：奥地利航空、布鲁塞尔航空、欧洲之翼、Discover Airlines、汉莎航空、​瑞士国际航空）的额外服务，例如租车或保险公司。为此，将处理您的 Travel ID 个人资料中和汉莎航空集团航空公司存储的您的相关数据（例如航班数据、偏好）。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

此同意是您在注册过程中或后来在您的 Travel ID 个人资料中提供的，您可以随时在您的 Travel ID 个人资料中进行管理。

Travel ID 运营商的广告宣传

根据本隐私声明“个性化优惠设置”章节所述，您可以选择向我们授权许可，以帮助我们确定您感兴趣的主要领域，并以此为基础通过数字通信渠道（例如通过电子邮件、短信/彩信、Messenger 服务、搜索引擎、视频、横幅），通过电话或者汉莎航空集团航空公司的网站来发送汉莎航空集团航空公司及其相关合作伙伴公司（汉莎航空集团航空公司合作伙伴公司的相关信息：​​奥地利航空、​​布鲁塞尔航空、​欧洲之翼、Discover Airlines、​汉莎航空、​瑞士国际航空）的服务信息和个性化优惠。

此外，您可以向 Miles & More GmbH 授权，向您发送与您的 Miles & More 飞常里程汇奖励计划会员关系相关的优惠（如果您还不是 Miles & More 飞常里程汇奖励计划的会员）。

因为我们只想向您提供您真正感兴趣的信息和优惠，因此，经您同意后，我们会处理汉莎航空集团航空公司存储的预订信息，例如旅行路线、旅行期限和预订舱位以及您的 Travel ID 个人资料中存储的偏好。例如，我们可能会分析与您未来行程相关的信息，从而向您发送适合您旅行的附加服务或者适合您旅行目的地的可用服务优惠或者优惠券。

通过客户数据匹配 (CRM Datamatch) 发送个性化广告

在合作伙伴网站或广告商网站上识别您的身份是为您提供量身定制的个性化信息和优惠的方法之一。

为此，我们将您 Travel ID 个人资料中保存的电子邮件地址和/或电话号码传输至数据净室，这些信息之前使用德国联邦信息安全办公室推荐的 SHA 256 哈希算法进行加密，密码强度较高。数据净室是不受外部技术影响、处理个人数据的安全环境。它旨在促进广告公司（在本隐私声明中，指 Travel ID 运营商和广告领域合作伙伴或提供商）之间的数据交换，同时尽可能保护相关客户的隐私。为此，合作伙伴或广告公司也使用相同加密方法将客户数据提供给数据净室。作为数据匹配的一部分，命中 (Datamatch) 将发送给受众（人群），它们最终可能将由 Travel ID 运营商进行分析并用于广告目的。我们向数据净室传输的数据的访问权限，将仅在相应数据处理合同签订后授予我们选择的广告领域的合作伙伴和提供商。

取决于技术开发和营销商的支持技术，我们确保会使用更强大、更安全的加密和/或扩展技术。

通过 Google Customer Match 进行 CRM 数据匹配

在通过 Google Customer Match 进行 CRM 数据匹配的情况下，我们将按照“通过客户数据匹配 (CRM Datamatch) 发送个性化广告”章节中所述流程，向 Google 运营的数据净室提供加密数据。在这个数据净室，Google 将我们提供的数据与使用相同的 SHA 256 哈希算法加密的 Google 账户客户的数据进行比对。之后 Google 会将匹配项添加到称为“受众”的列表中。这个过程完成后（最多 48 小时），加密数据会被删除。如果您属于此类受众，那么当您使用 Google 平台上网时，Google 能识别出您的身份并向您展示我们的个性化广告。

在 Google Customer Match 中处理您个人数据的另一先决条件是，您拥有 Google 账户并且已授权 Google 在其中显示个性化广告。您可以在 Google 用户账户的数据保护选项卡下依照您的偏好修改此设置。

在 GDPR 定义的 Google Ads/Google Customer Match 范畴内处理个人数据的控制方是 Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland。Google Ireland Ltd 是 Google LLC 的子公司，其总部设在美国加利福尼亚州，受当地法律管辖。因此可能也有义务提供对在美国境外处理的数据的访问权限。

您可以在《Google 隐私声明》中找到有关 Google 处理您的个人数据的更多信息。

通过客户数据匹配 (Meta) 发送个性化广告

我们使用通过 Meta Conversion API 连接的 Meta Pixel 技术，用于向 Meta 平台（如 Facebook 和 Instagram）上的潜在新客户和潜在客户展示个性化广告和衡量广告活动的效果，此连接方式属于 Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland（下文称“Facebook”）。在此过程中我们会记录网站的访问、您的航班搜索和预订，并将这些信息使用 SHA 256 哈希算法以加密方式传输至 Facebook。Facebook 使用此数据识别自身拥有类似兴趣的客户群体，让我们得以在 Facebook 和 Instagram 上向此类用户群体展示广告。我们还可以选择向未作出决策的客户展现与航班搜索相关的优惠。

Meta Platforms Ireland Limited 是 Meta Platforms Inc. 的子公司，其总部设在美国加利福尼亚州，受当地法律管辖。因此可能也有义务提供对在欧盟境外处理的数据的访问权限。
对于此流程中数据的收集和传输，我们和 Meta 是联合控制方。我们就管理作为联合控制方责任方面与 Meta 达成了相应协议。

您可以在 Facebook 隐私政策中找到有关在 Facebook 处理您的个人数据的更多信息。

您可以通过 Facebook 提供的在线联系表格联系 Facebook 的数据保护官。

处理“个性化广告宣传”章节中列出的您的所有数据的法律依据是您根据 GDPR 第 6 (1)(a) 条授权的许可。

此同意是您在注册过程中或后来在您的 Travel ID 个人资料中提供的，您可以随时在您的 Travel ID 个人资料中进行管理。
您还可以通过调整宣传设置，自行决定您希望接收我们提供的信息和个人优惠的程度。您也可以在 Travel ID 个人资料中撤销对个别领域（例如对电子邮件新闻简报）的营销宣传授权。

如果您有 Travel ID 个人资料并且您的 Travel ID 个人资料未关联至 Miles & More 飞常里程汇会员账户，则汉莎航空集团航空公司之间将相互交换您的数据，以便为您提供《Travel ID 使用条款及细则》中规定的服务。Miles & More GmbH 将仅从您那里接收管理您的 Travel ID 个人资料所需的数据（例如联系方式、出生日期和您自愿存储的个人资料数据），并且不会出于自身目的处理这些数据。

如果您已将您的 Travel ID 个人资料与您的 Miles & More 飞常里程汇会员账户关联，则 Travel ID 运营商之间将会相互交换您的数据，以便为您提供《Travel ID 使用条款及细则》中规定的服务。您可以自行决定是否进行关联。创建关联时将在您的 Travel ID 个人资料和 Miles & More 飞常里程汇账户之间进行数据匹配。具体而言，您在两个账户中存储的数据将按以下方式传输：

所有主数据（如姓名、出生日期、邮政地址、电话）和偏好（如首选出发机场）都自动由您的 Miles & More 飞常里程汇账户传输。电子邮件地址将从您的 Travel ID 个人资料中提取。

传输您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。

如果您已根据第 12 节的规定向 Miles & More GmbH 授权许可，同意接收个性化广告宣传（查看“个性化广告宣传”章节），则为实现此目的，Miles & More GmbH 也将处理您的航班数据（例如您的航线、客舱等级、出发机场、目的地机场）。

您的客户群体身份状态由我们委托的处理商 SheerID, Inc. 进行验证，其注册办公室位于美国。数据根据《欧盟-美国数据隐私框架》进行传输，SheerID, Inc. 已在此框架下获得美国商务部的认证。

原则上，您的个人数据也将在欧盟范围内进行处理。

您首次登录 Travel ID 运营商的网站或其他触点时，会要求您输入详细信息进行登录。为了在您会话期间识别您的身份，我们设置了“登录”Cookie。此 Cookie 允许您无需再次使用您的 Travel ID 凭据登录即可访问其他 Travel ID 运营商的网站。

登录 Travel ID 运营商的网站时，您还可以选择主动启用“保持登录”功能，这意味着您结束会话后重新访问网站时无需再次登录。

我们也会出于此目的使用 Cookie，这样您返回网站/触摸点时，系统可自动识别您的身份。

“保持登录”功能到期后需要您再次登录。此外，如果您正在执行需要增强安全级别的活动，系统定将提示您重新登录。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

我们在本隐私声明所述处理程度和时间范围内处理您的数据。

如果处理您数据的目的不再适用，则这些数据将删除，但实现以下目的需要保留这些数据的情形除外：

• 履行商业法或税法下的义务可能需要遵守法定保留期要求；这些期限可能长达十年
• 合法要求的主张、行使或抗辩

在这些情况下，处理您的数据将受到限制（“冻结”），因此不能再出于其他目的处理您的数据。

如果您不再希望使用 Travel ID 服务，则可以随时删除您的 Travel ID 个人资料。我们收集的与您使用 Travel ID 相关的个人数据将立即删除，但可能须遵守相互冲突的法定保留要求。

您可以登录您的 Travel ID 个人资料，自行删除 Travel ID 个人资料以及您在其中提供的任何特定数据项。

如果您未在确认电子邮件所述的期限内确认注册或者您请求发送含激活链接的确认电子邮件三次以上而并未使用，则我们也将删除您的临时性 Travel ID 个人资料。

经过一段特定静止期后，我们也会删除您的个人资料（查看“Travel ID 个人资料通知服务”章节）。

您的权利

作为数据主体，您可以在满足相应法定要求的情况下行使以下权利：

• 访问权，GDPR 第 15 条
• 修正权，GDPR 第 16 条
• 删除权（“被遗忘权”），GDPR 第 17 条（另请参阅本 Travel ID 隐私声明中“删除您的 Travel ID 个人资料”章节）
• 限制处理权，GDPR 第 18 条
• 数据迁移权，GDPR 第 20 条
• 反对权，GDPR 第 21 条（另请参阅本 Travel ID 隐私声明中“GDPR 第 21 条反对权”章节）

如果我们在征得您同意的基础上处理您的数据，您有权随时撤销同意，但此类撤销不会影响之前基于此同意已经执行的任何处理的合法性。

如需行使您的权利，您可以通过本隐私声明中的“您可以联系哪些方面？”章节，联系相应的 Travel ID 运营商。为了处理您的请求并识别您的身份，我们将根据 GDPR 第 6(1)(c) 条处理您的个人数据。

您也可以随时在您的 Travel ID 个人资料中，自行查看大多数主数据的当前状态。进行任何更改（比如您的邮政地址、电子邮件地址或电话号码）后请及时更新您的个人数据。要删除您的 Travel ID 个人资料，您也可以按照“删除您的 Travel ID 个人资料”章节所述进行删除。

您还有权根据如下条款向监管当局提出投诉：GDPR 第 77 条。

主管监管机构

您可以在下方找到负责 Travel ID 运营商的所有数据保护当局的列表。

Deutsche Lufthansa AG、EW Discover GmbH 和 Miles & More GmbH 的主管监管当局为：

The Officer for Data Protection and Freedom of Information of the State of Hesse
P.O. Box 3163
65021 Wiesbaden
德国

电话：+49 611 14 08 - 0
传真：+49 611 14 08 - 900 或 901

电子邮箱：poststelle@datenschutz.hessen.de

欧洲之翼航空公司的主管监管当局为：

Regional Officer for Data Protection and Freedom of Information
State of North Rhine-Westphalia
P.O. Box 20 04 44
40102 Dusseldorf
德国

电话：+49 211 38 424 - 0
传真：+49 211 38 424 - 999

电子邮箱：poststelle@ldi.nrw.de

奥地利航空公司的主管监管当局为：

Austrian Data Protection Authority
Barichgasse 40-42
1030 Vienna
奥地利

电话：+43 52 152 - 0

电子邮箱：​dsb@dsb.gv.at

瑞士国际航空公司的主管监管当局为：

Swiss Federal Data Protection and Information Commissioner
Feldeggweg 1
3003 Bern
瑞士

电话：+41 58 46 24 395
传真：+41 58 46 59 996

对于受 GDPR 约束的数据处理：

The Officer for Data Protection and Freedom of Information of the State of Hesse
P.O. Box 3163
65021 Wiesbaden
德国

电话：+49 611 14 08 - 0
传真：+49 611 14 08 - 900 或 901

电子邮箱：poststelle@datenschutz.hessen.de

布鲁塞尔航空公司的主管监管当局为：

Autorité de protection des données
Gegevensbeschermingsautoriteit
Data Protection Authority
Rue de la presse 35, 1000 Brussels
比利时

电话：+32 2 27 44 800

电子邮箱：contact@apd-gba.be

您有权因为自己的特殊情况随时依据 GDPR 第 6 (1)(f) 条（处理的合法性）反对处理您的个人数据。

如果您提出反对，我们将不再处理与您有关的个人数据，除非我们能够证明处理数据时存在值得保护并且超过您的利益、权利和自由的强制性理由，或者处理数据是为了执行、行使或捍卫合法要求。

如果我们处理您的个人数据用于直接营销目的并且您反对这种处理，则我们将不再出于这些目的处理与您相关的个人数据。

您可以随时反对处理您的个人数据，例如通过使用“您可以联系谁？”章节中所述的联系方式。

我们使用技术和组织安全措施来保护您的数据免遭意外或故意篡改、丢失、删除或未经授权人员的访问。随着新技术的不断涌现，我们的安全措施也在日益改进。

对于本《Travel ID 隐私声明》所述的处理操作，我们可能会向以下类别的接收方披露您的数据：

• 我们根据 GDPR 第 28(3) 条基于委托提供的数据处理协议开展合作的服务供应商；
• 政府机构和当局，例如因为警务活动和调查活动。

在这种情况下，个人数据可能传输至第三国或国际组织。为了保护您及您的个人数据，我们将根据并遵循法律要求，对该等数据传输提供适当的安全措施。

如果此类传输是向欧盟委员会或主管当局尚未发布适当性决定的第三国进行，则我们将使用欧盟的标准合同条款。关于欧盟的标准合同条款，请参阅欧盟网站。

在特殊情况下，向没有充分保护的国家/地区传输也是允许的，例如基于授权、与法律诉讼有关或执行合同要求必需进行传输。

我们定期审查本 Travel ID 隐私声明，并将根据需要进行更新。如果本《Travel ID 隐私声明》有重大变更，我们将告知您（例如通过我们的网站）。