隐私政策

MyTrustCredit Sdn Bhd(SSM 202301012345-D)(以下称"MyTrustCredit"、"我们")是根据 1951 年《放债人法令》获 KPKT 颁发的直接放债人,放债人执照编号 WL1234/5678。注册办事处位于 Level 12, Menara KL, Jalan Sultan Ismail, 50250 Kuala Lumpur。

就我们发放的每一笔贷款,我们均为唯一的数据控制者。当您通过 mytrustcredit.com 申请时,由 MyTrustCredit 自行完成评估、审批与放款——我们不是中介、转介或撮合平台。所有信贷决定、贷款协议与催收活动均由 MyTrustCredit 及其合约处理方内部执行。

本政策说明我们收集的个人数据、使用方式、披露对象、保留期限,及您在 2010 年《个人数据保护法》("PDPA")下的权利。提交贷款申请或使用 mytrustcredit.com 即视为您已阅读并理解本政策。

本政策以英文、马来文与简体中文发布;如有不一致,以英文版本为准。

我们仅收集以下用途所严格必需的数据:(i) 核实身份;(ii) 依 1951 年《放债人法令》做出合法信贷决定;(iii) 放款;(iv) 服务与催收贷款。类别如下:

• 身份数据 — 依 MyKad 的全名、MyKad 号码(用于身份核验及《放债人法令》法定记录)、出生日期、性别、国籍状态、首选语言,以及审核阶段的 MyKad 副本。
• 联系数据 — 居住地址、手机号、邮箱、州属,及可选的近亲/紧急联系人。
• 财务数据 — 月收入(毛额与净额)、收入来源、雇主名称与地址、任职年限、现有负债,以及用于放款及收款(经 DuitNow/IBG/直接扣账)的银行账户资料。
• 征信查询 — 在合法并经您同意时,我们可能对 CTOS 与 CCRIS(马来西亚国家银行)进行软查询以辅助审核。已放款贷款将按法律要求按月上报 CCRIS。
• 贷款履约数据 — 贷款参考号、协议条款、放款记录、还款记录、逾期状态,以及对违约贷款采取的催收行动。
• 行为与技术数据 — IP 地址、User Agent、来源页、UTM 参数、页面浏览、会话时间戳与 reCAPTCHA 风险评分,用于防欺诈与提升体验。
• 同意与通讯 — 您给予的每一项同意(含当时展示的具体文本)、已签贷款协议,以及与贷款、客服、催收团队的通讯。

我们仅将数据用于以下合法目的,依据为您的同意、合同履行、作为受规管放债人的正当利益,或明确的法律义务。

1. 在申请环节进行身份核验与反欺诈筛查。
2. 对申请进行信贷评估与审核,包括内部评分与可选的 CTOS/CCRIS 软查询。
3. 准备、电子签署并执行您的贷款协议。
4. 通过持牌马来西亚银行(DuitNow、IBG)发放已获批贷款。
5. 持续贷款服务——提醒、账单、重组商谈、结清函,通过 WhatsApp/短信/邮件/电话进行。
6. 对逾期账户的催收,包括法定 CCRIS 报送,及必要时委托持牌催收机构或律师。
7. 履行《1951 年放债人法令》、2010 年 PDPA、2001 年 AMLA 及国行 AML/CFT 指引下的合规义务。
8. 防欺诈、速率限制、防滥用及信息安全运营。
9. 基于化名化数据的内部分析以改善产品。
10. 对我们自家贷款产品与现金回馈促销的营销——仅限您主动选择加入,可随时撤回,不影响任何活跃贷款。

作为直接放债人,我们不出售您的数据,也不为撮合目的与其他放贷人共享。披露仅限以下受限范围,且仅以合规放贷业务所必需为限。

• 我们的处理合作方 — 持牌马来西亚银行与支付方案(执行 IBG/DuitNow 划转的银行)、云基础设施提供商(MongoDB Atlas,新加坡区域)、交易邮件服务、WhatsApp Business API 提供商及 Google reCAPTCHA;均签有包含保密、目的限制与安全义务的书面数据处理协议。
• 征信机构 — CTOS 与 CCRIS(马来西亚国家银行)——用于审核期间的软查询(经您同意)及对已放款贷款的按月履约报送。
• 持牌催收机构 — 仅在贷款显著逾期时(通常 90 天)启用,并以书面协议要求其遵守《放债人法令》、我方《催收行为守则》与严格的反骚扰规则。
• 监管、执法与审计 — 作为发牌机构的 KPKT、马来西亚国家银行(BNM)对 CCRIS 与 AML 事宜、个人数据保护专员(PDPC)、皇家警察(PDRM)与法院;依法律、法规或合法命令。外部财务与合规审计师在保密协议下审阅。
• 专业顾问 — 外部法律顾问与税务顾问,仅在受委托时,并受专业保密义务约束。

我们仅在收集目的所需期限内保留数据,外加法律要求的任何期限。基本期限为账户关闭后 7 年(对未形成贷款的申请,自最后互动起计),以符合 1951 年《放债人法令》、2010 年 PDPA、国行 AML/CFT 记录保存要求及 1953 年《时效法令》。

• 已放款记录 — 结清或核销后 7 年——依《放债人法令》与 AML 规则。
• 未形成贷款的申请 — 自最后活动起 24 个月后删除或不可逆匿名化——另有合法保留的除外。
• 审计、安全与交易日志 — 7 年,与 2001 年 AMLA 及国行 AML/CFT 政策文件一致。
• 营销同意记录 — 至您撤回后再保留 12 个月,以佐证您曾主动同意。

依 2010 年 PDPA 与 1951 年《放债人法令》,您享有以下权利:

1. 访问权——请求数据副本。
2. 更正权——请求更正不准确、不完整或过时的数据。
3. 撤回同意权——随时撤回(如营销同意)。
4. 限制处理权——要求停止直接营销处理。
5. 可携权——以常用电子格式获取数据。
6. 投诉权——向 DPO 提出;如未解决,向 PDPC 投诉。

我们采用符合或超越持牌放债人行业标准的技术、组织与物理措施:

• 敏感字段(全名、MyKad、手机、邮箱、银行账户、收入)静态使用 AES-256-GCM 信封加密。
• 所有 HTTP 请求采用 TLS 1.3,并启用 HSTS 预加载。
• 基于角色的最小权限访问、管理员强制 TOTP 两步验证,以及对每次敏感读取/导出的防篡改审计日志。
• 主数据驻留于 MongoDB Atlas 新加坡区域(ap-southeast-1);备份加密并保留在同一区域。
• 自动化入侵检测、WAF、速率限制与 Google reCAPTCHA v3 机器人缓解。
• 每年第三方安全审查与定期渗透测试。

我们使用少量 Cookie 以安全运行 mytrustcredit.com,受 Cookie 同意栏约束,分为三类:

• 严格必需 — 会话、CSRF、语言与速率限制 Cookie。必不可少,无法关闭。
• 功能型 — 记住语言、UI 偏好、横幅关闭状态。需您同意后设置。
• 分析 — 化名化聚合指标。包括 Google reCAPTCHA v3 风险评分,后者在申请页为防欺诈所必需。

我们不向 21 岁以下人士放贷。mytrustcredit.com 不面向 21 岁以下人士,我们亦不会故意收集其数据。如您发现未成年人曾向我们提交数据,请发邮件至 dpo@mytrustcredit.com,我们将在 7 个工作日内删除。

您的数据主要在马来西亚与新加坡存储与处理。主数据库托管于 MongoDB Atlas 新加坡区域(ap-southeast-1)——PDPC 认可其数据保护水平与马来西亚实质等同。

少量运营处理方(交易邮件、WhatsApp Business API、错误监控)可能在马来西亚境外处理数据;每次跨境传输均有签署的数据处理协议,纳入标准合同条款与 PDPA 第 129 条保障。

我们不会为超出运营所需的营销、画像或分析目的将数据转出马来西亚。

我们可能因应法律、监管或自身处理活动的变化不定期更新本政策。重大变更将通过:(a) 发送邮件至您最近申请或活跃贷款所关联的邮箱,及 (b) 在 mytrustcredit.com 显示至少 30 天的横幅通知您。

页面顶部"最后更新"始终显示最新修订日期。过往版本已存档,可向 dpo@mytrustcredit.com 索取。

如就本政策有疑问或希望行使 PDPA 权利,请联系我们的数据保护主任:

• 邮箱 — dpo@mytrustcredit.com
• 邮寄 — Data Protection Officer, MyTrustCredit Sdn Bhd, Level 12, Menara KL, Jalan Sultan Ismail, 50250 Kuala Lumpur, Malaysia
• WhatsApp — +60 12-345 6789(周一至周六,9am–8pm MYT)