企业隐私政策定制生成器

企业概况 ● 企业类型：面向个人的移动医疗与健康管理应用（为受覆盖实体提供服务的业务伙伴/服务提供方） ● 经营地点：美国（数据在美国境内处理与存储） ● 提供的产品/服务：在线问诊、预约与处方续配、电子病历与影像存储、可穿戴设备数据同步与趋势分析、服药与复诊提醒、医保理赔材料整理、健康报告生成与下载、患者与医生消息沟通 ● 收集的数据类型与用途：身份与联系信息、受保护健康信息PHI（症状、诊断、处方、检验结果、生命体征、可穿戴数据）、支付与保险信息、技术与日志信息；用于诊疗与护理协调、处方与续配、账单与理赔、账户管理与安全审计、质量改进与性能监测；经去标识化并基于同意用于研究与产品改进

隐私政策初稿 生效日期：以产品正式上线之日或本政策更新之日为准

一、适用范围与我们的角色

• 本隐私政策适用于您使用本移动应用与相关网站、API、客户支持与消息服务时我们对您的信息的收集、使用、披露与保护。
• 我们主要作为HIPAA意义下的“业务伙伴”（Business Associate）代表您的医疗服务提供者、诊所或医院（“受覆盖实体/Covered Entity”）处理受保护健康信息（PHI）。我们签署业务伙伴协议（BAA），并严格按照BAA与受覆盖实体书面指示处理PHI。
• 您的医疗服务提供者将向您提供其《HIPAA隐私实践通知》（Notice of Privacy Practices，NPP），请同时参阅该NPP。对于非PHI的个人信息，我们依照本政策及适用州法进行处理。
• 我们的服务面向美国境内用户；数据在美国境内处理与存储。我们目前不进行跨境传输。

二、我们收集的信息及来源

1. 身份与联系信息：姓名、出生日期、性别、电话号码、电子邮箱、住址、账户凭证等（来源：您或您的授权人/照护者、受覆盖实体、转诊机构）。
2. 受保护健康信息（PHI）：症状、诊断、治疗计划、处方与续配记录、检验/影像结果、生命体征、护理记录、医生消息沟通内容、上传的医疗文档等（来源：您、受覆盖实体的电子健康记录EHR、对接的实验室/影像中心、与您授权的可穿戴设备与健康数据源）。
3. 支付与保险信息：医保/商保编号、保单信息、账单与理赔材料、支付交易标识（来源：您、保险方、支付网关/清算机构）。
4. 技术与设备信息：设备与应用标识符、IP地址、操作系统与浏览器/APP版本、崩溃日志与诊断数据、访问时间与页面/功能使用统计、Cookie/本地存储/SDK事件数据（来源：您的设备与我们使用的必要技术组件）。
5. 可穿戴与健康设备数据：根据您的明确授权同步（例如步数、心率、睡眠、血压、血糖等），仅用于您选择的护理与功能目的。

三、我们如何使用信息（用途）

• 护理与护理协调：安排在线问诊、远程随访、处方与续配、转诊与检查、与医生/护理团队沟通、护理提醒。
• 医疗记录与健康管理：创建并维护电子病历、文档与影像存储、健康报告生成与下载、趋势分析与个体化提示。
• 账单与理赔：身份核验、保障资格核查、费用结算、理赔材料整理与提交协助、对账与争议处理。
• 安全与合规：账户创建与身份验证、基于角色的访问控制（RBAC）、双因素认证（MFA）、异常登录告警、审计与日志记录、风险与欺诈监测、符合法规的记录保存。
• 质量改进与性能监测：服务可用性、性能与用户体验的测量与改进、故障诊断与错误修复。
• 研究与产品改进：在获得必要同意的前提下，使用经去标识化/匿名化的数据用于聚合统计、算法与功能改进、内部研究与发表（如适用）。我们采用HIPAA Safe Harbor去标识化方法或由合格统计专家出具去标识化判定。
• 市场沟通：仅在获得您单独明示同意的情况下向您发送非交易类营销通信；您可随时撤回。

四、我们处理PHI的法律依据与限制

• HIPAA：我们遵循《HIPAA隐私规则》（45 CFR Part 160与164 Subparts A和E）、《安全规则》（45 CFR Part 164 Subpart C）与《泄露通知规则》（45 CFR §§164.400–414）。作为业务伙伴，我们仅为履行BAA、提供或改进受覆盖实体委托的服务而使用/披露PHI，并遵循“最小必要”原则。
• 营销与出售限制：我们不出售PHI，不将PHI用于未经授权的营销或定向广告，不以获取报酬为目的披露PHI（法律允许与获得个体授权的情形除外）。
• 授权与撤回：对超出护理、支付或医疗运营范围的敏感二次用途，我们会在事前取得您的有效授权；您可随时撤回，撤回不影响撤回前基于授权的处理。

五、我们共享信息的对象

• 医疗信息系统与服务提供商：EHR供应商、影像归档与通信系统、实验室/药房系统等（均受BAA约束）。
• 支付与通信服务商：支付网关与清算机构、短信/邮件/推送服务商（对涉及PHI的处理受BAA或等效合规约束）。
• 云与安全基础设施：云计算、托管密钥管理（HSM）、日志与安全监控服务商（受BAA/数据处理协议约束）。
• 您指定或依法允许的对象：依您的书面指示或法律要求向其他医疗提供者、监护人/代理人、保险机构等披露。
• 法律合规与公共利益：遵循法院命令、传票、执法/公共卫生要求、报告不良事件或防止严重威胁的必要披露（按HIPAA与适用法律的最小必要与记录要求执行）。
• 交易与重组：发生兼并、收购或资产转让时，我们仅在必要范围内向受保密义务约束的方提供信息，并在交易完成后继续受本政策和适用法律约束。

我们不出售您的个人信息；我们不将个人信息用于跨情境行为广告的“出售/共享”（CPRA意义下）。如未来发生变化，我们将提供“选择退出出售/共享”的清晰机制。

六、安全与保密措施

• 访问控制：基于角色的最小权限原则、强制MFA、会话与权限定期审查、管理员操作细粒度审计。
• 加密：传输使用TLS 1.2或更高版本；数据库与备份采用AES‑256静态加密；密钥由HSM托管与分权管理。
• 监控与响应：异常登录与可疑行为检测、分级告警、渗透测试与漏洞管理、供应链安全评估。
• 组织与标准：信息安全管理体系对齐ISO/IEC 27001与SOC 2控制，员工背景审查与年度隐私/安全培训。
• 物理与隔离：生产/测试环境与未成年人数据逻辑隔离，最小化PHI在内部流转。

七、数据保留与删除

• 医疗记录与账单记录：通常自最后一次就诊/交互之日起保留7年，或依州法/合同/医疗标准保留更长时间（例如未成年人记录通常保留至成年来龄后若干年，依州法而定）。
• 合同与审计资料：按HIPAA至少保留相关政策、程序与通知6年。
• 账户终止与删除：在法定/合同保留期届满后，我们将对数据进行删除或不可逆不可用化处理；备份介质按周期覆盖。若受覆盖实体指示更早删除且法律允许，我们将配合执行。

八、您的权利与选择 A. HIPAA下针对PHI（通常通过您的医疗服务提供者行使，我们将配合）：

• 查阅与获取副本的权利（含电子副本与机读格式的可携权）
• 更正（修订）权
• 要求限制使用/披露的权利
• 获得披露记录清单的权利（法律要求的范围内）
• 要求保密通信的权利 通常我们在收到可核验请求后的7–30日内配合受覆盖实体做出响应（法律允许的延长期除外）。

B. 州消费者隐私法下针对非PHI（如加州CPRA、科罗拉多CPA、弗吉尼亚VCDPA、康涅狄格、犹他、德州等）：

• 知情/访问、删除、更正、数据可携权
• 选择退出出售/共享/定向广告（我们当前不进行）
• 限制敏感个人信息的使用（如适用） 我们将在45日内（可延长一次）响应可核验请求，并提供申诉渠道（如法律要求）。

行使方式：通过应用内“隐私中心”或发送邮件至privacy@healthapp.example提交请求。为保护隐私，我们可能需要合理验证您的身份或授权关系（含代理人委托）。我们不会因您行使法定权利而进行歧视性对待。

九、Cookies、移动SDK与设备权限

• 我们仅使用提供核心功能、安全与性能监测所必需的Cookie与SDK（例如崩溃诊断与交互度量），不用于跨站定向广告。
• 应用可能请求相机/麦克风（问诊与影像上传）、推送通知（随访与用药提醒）、健康数据读取（可穿戴/健康平台对接）等权限；均在使用前征得您的明确同意，您可在系统设置中随时撤回。
• 对接Apple HealthKit/Google Fit或可穿戴平台时，我们遵守其开发者政策，所获数据仅用于健康与健身目的，不用于广告或数据经纪。

十、未成年人隐私

• 13–17岁用户需由其父母或法定监护人授权创建与管理账户；相关数据采用单独逻辑隔离与更严格访问控制。
• 我们的服务不面向13岁以下儿童，且不会在未经可验证父母同意的情况下收集其个人信息。若发现误收集，将尽快删除或在必要时获取合规同意。

十一、事件响应与泄露通知

• 我们建立分级事件响应与根因分析流程。一旦发现影响PHI的安全事件，将在不无理拖延且不晚于发现后60日内通知相关受覆盖实体，并按BAA约定协助其向患者与监管机构通报。如受覆盖实体授权由我们直接通知个体，我们将依其指示执行。
• 我们记录并审查事件，采取纠正措施，防止再次发生。

十二、第三方链接与外部网站

• 我们的应用可能包含第三方网站或资源链接。其隐私实践不受本政策约束，请查阅其独立隐私声明。

十三、不跟踪信号

• 目前我们不响应浏览器“请勿追踪”（DNT）信号，但我们不进行跨情境行为广告。

十四、适用法律与州法补充

• 对PHI的处理受联邦HIPAA及相关法规约束。
• 对非PHI个人信息，我们遵循适用州消费者隐私法及医疗保密法（如适用）。若您居住州法律要求提供补充隐私声明或特定权利行使方式，我们将在应用内提供相应州别补充条款。
• 如涉及物质使用障碍记录（42 CFR Part 2）、基因检测、心理/生殖健康等特别受保护的健康信息，我们将遵循更严格的联邦或州法要求（包括事前书面同意与用途限制）。

十五、政策更新

• 我们可能因业务、技术或法律变化更新本政策。重大变更将通过应用内通知、电子邮件或其他合理方式告知，并在生效前提供审阅时间。继续使用即表示您接受更新后的政策。

十六、联系我们

• 隐私问题、权利请求或投诉：privacy@healthapp.example
• 如您认为我们未妥善解决您的隐私投诉，您也可以向相关监管机构（如美国卫生与公众服务部民权办公室OCR或您所在州总检察长办公室）提出申诉。

后续问题清单

1. 您在美国的业务与用户主要集中在哪些州（例如CA/CO/CT/VA/UT/WA/TX/OR等）？是否处理物质使用障碍、心理/生殖健康、基因检测等特别敏感健康信息，以便评估42 CFR Part 2、加州CMIA、华盛顿MHMDA等更严格州法要求与额外同意机制。
2. 应用是否集成了具体第三方SDK/服务（如Firebase、Sentry、Mixpanel、Segment、Crashlytics、Amplitude、客服IM、A/B测试工具等）以及Apple HealthKit/Google Fit或特定可穿戴厂商平台？这些服务的数据存储地域与用途范围为何（仅限美国？），以便完善第三方共享清单与“出售/共享”声明。
3. 平台在护理交付模式上是否仅作为受覆盖实体的业务伙伴（平台型SaaS），还是在部分场景中由您实体直接提供医疗服务（成为覆盖实体）？若存在后一种情形，是否需要为该业务线单独发布HIPAA《隐私实践通知》（NPP）与对应的患者权利行使流程。

企业概况 ● 企业类型：面向中小企业的SaaS产品分析与A/B实验平台（B2B） ● 经营地点：德国 ● 提供的产品/服务：Web与移动端埋点SDK、事件采集与数据仓库、漏斗与留存分析、A/B实验与特征管理、看板与告警、用户分群与导出、团队协作与访问控制、审计日志与API集成 ● 收集的数据类型与用途：

• 客户终端用户相关：应用内事件（点击、页面、转化）、去标识化用户与设备标识、截断后IP衍生地域、Cookie/SDK标识；用于提供分析与实验功能、产品改进（在客户指示下）以及服务运维与安全
• 客户管理员/成员相关：姓名、工作邮箱、角色、团队与项目关联；用于账号开通、访问控制、协作与支持
• 计费与账单：公司名称、税务信息、账单联系人、支付与发票记录；用于履行计费与法定义务
• 技术日志与支持：系统与安全日志、错误与性能指标、支持票据信息（可能含截图/日志片段）；用于运维与安全、故障排查与支持
• 营销通信：基于独立同意的订阅偏好与联系方式

隐私政策初稿 一、我们是谁与适用范围 本政策适用于我们在向企业客户提供产品分析、A/B实验与相关企业服务（“服务”）时对个人数据的处理活动。我们位于德国，并面向企业客户及其受邀成员提供服务。本政策覆盖我们作为：

• 数据处理者：根据客户（控制者）的书面指示处理其终端用户数据；
• 数据控制者：就客户管理员/成员信息、计费数据、技术日志（为运维与安全目的）以及我们网站与营销活动相关数据而定。

联系邮箱：privacy@analytics.example 如适用的任命信息（例如数据保护官、实体名称与注册地址、主要监管机构）将于最终版本中补充。

二、法律基础与合规框架

• 适用法律：欧盟通用数据保护条例（GDPR）、德国联邦数据保护法（BDSG）、德国电信媒体数据保护法（TTDSG）、以及相关欧盟/德国实施指引。
• 行业标准：我们已建立并运行与ISO/IEC 27001及SOC 2一致的信息安全控制。若持有有效认证/审计报告，可在签署保密协议后提供证明。
• 合同与合规：我们与客户签署数据处理协议（DPA），并在涉及国际传输时提供标准合同条款（SCC）。我们维护公开的子处理者清单，并就变更提供版本/变更通知。

三、我们处理的个人数据与来源

1. 客户终端用户（我们作为数据处理者）

• 数据类别：事件与属性（点击、页面、转化等）、去标识化用户标识（如哈希ID）、设备信息、截断后IP衍生地域、Cookie/SDK标识。
• 来源：客户集成的SDK/API、客户方服务器端事件、客户侧配置的属性同步与导入。

2. 客户管理员/成员（我们作为数据控制者）

• 数据类别：姓名、工作邮箱、角色与权限、活动日志（审计用途）、SAML/SCIM元数据（如适用）。
• 来源：用户本人、客户管理员、SSO/目录服务提供商。

3. 计费与账单（控制者）

• 数据类别：公司与税务信息、账单联系人、支付与发票记录。
• 来源：客户提供、支付与开票服务商、我们的财务系统。

4. 技术日志与支持（控制者）

• 数据类别：系统与安全日志、错误/性能指标、支持票据附件（可能包含业务相关截图或日志片段，客户应避免提供不必要的个人数据）。
• 来源：我们的系统、监控与安全工具、支持系统。 我们不主动收集或要求处理GDPR第9条所述特殊类别数据。我们提供字段屏蔽、IP截断与敏感数据分类模板，帮助客户避免上传此类数据。

四、处理目的与GDPR法律依据

• 向客户提供服务（含分析报表、实验与特征管理、访问控制、协作、审计）：对终端用户数据，我们作为处理者严格依客户指示处理；对管理员/成员数据，依据GDPR第6条1款(b)（履行与客户的合同以提供服务）与第6条1款(f)（我们的合法利益：账户与访问管理、确保服务可靠性与安全）。
• 计费与合规：GDPR第6条1款(b)与(c)（履行合同与法定义务：税务、会计、合规存档）。
• 服务运维与安全（含防滥用、入侵检测、故障排查、性能优化）：GDPR第6条1款(f)（合法利益：确保服务可用性与安全性，防范欺诈与滥用）。
• 产品改进与研发（不含跨站广告画像）：对终端用户数据，作为处理者仅在客户指示或已适当去标识化/汇总后进行；对我们控制的运营数据，基于第6条1款(f)（合法利益，并进行平衡测试）。
• 营销通信（如新闻简讯、活动邀请）：仅基于第6条1款(a)同意。您可随时撤回同意且不影响撤回前处理的合法性。
• Cookie/SDK对终端设备信息的访问：遵循TTDSG，如为非严格必要目的，将基于用户事先同意实施。

五、Cookie、SDK与TTDSG同意

• 我们的SDK支持同意模式与“Do Not Track”，并允许客户配置默认采集字段、屏蔽敏感字段与本地采样。
• 在客户的应用/网站中使用我们的SDK时，是否需要取得终端用户同意取决于其具体用途与是否属于“对终端设备信息的存储或访问”。除为用户明确请求的服务“严格必要”的技术存储/访问外，其他用途（如分析与AB测试）通常需依据TTDSG取得有效同意。我们为客户提供工具以落实其同意策略，但客户作为控制者负责在其数字产品中实现合规的同意收集与记录。
• 我们自有网站上的分析/营销Cookie仅在获得您的同意后启用。

六、数据最小化与保留

• 最小化：默认采集字段可配置；支持IP截断、敏感字段屏蔽、本地采样；不用于跨站广告目的。
• 事件数据：默认保留13个月（客户可在产品内配置，如合同或文档另有约定从其约定）。
• 管理员/成员与账户数据：在客户合同关系与账户存在期间保留，并在合法利益、合规与争议解决所需的最短期限内继续保留。
• 计费与账单：依税务与会计法定期限保留。
• 技术日志与支持票据：为运维与安全所必需的最短期间内保留；我们可应客户要求提供具体类别的保留期限说明。
• 合同终止与删除：合同终止后，我们将在30日内删除客户数据；客户书面请求可延长至90日以完成数据迁移。我们提供项目级删除、按用户标识擦除、CSV/Parquet导出与API导出能力。备份介质中数据将随周期滚动并在技术上可行时按既定流程删除。

七、数据共享与子处理者

• 接收方类别：云基础设施与托管服务商、数据库与消息队列服务、电子邮件与通知服务、身份与目录集成（SAML/SCIM）、支付与开票服务商、客户支持与工单系统、渗透测试与安全监测供应商、我们的关联公司（限必要目的）、专业顾问（律所、审计）。
• 子处理者清单：我们提供可下载清单并发布变更通知。客户可在合理期限内提出异议或与我们协商替代方案。
• 我们不会向第三方出售个人数据，也不会将客户数据用于跨站广告或第三方画像。

八、国际数据传输

• 数据驻留：主数据中心在欧盟，客户可选择数据驻留区域（如提供该选项）。备份与灾备仅在经批准的区域进行。
• 跨境场景：为少量技术日志与支持票据提供支持，或在客户请求下由非EEA人员进行协助时，可能发生向非EEA的有限传输与访问。
• 保障措施：采用欧盟委员会标准合同条款（SCC），并实施补充措施（端到端或传输层加密、访问控制、最小化、密钥管理）及可转移性评估（TIA）。如适用，向您提供SCC副本与相关摘要。

九、数据主体权利

• 可适用的权利：访问、更正、删除、限制处理、数据可携带、反对处理、随时撤回同意（不影响撤回前处理合法性）。
• 行使路径：
  • 客户终端用户：请联系相关产品/服务的控制者（我们的客户）。我们将协助客户在约定期限内履行请求。
  • 客户管理员/成员及我们网站用户：可通过privacy@analytics.example直接联系我们。我们一般在30日内回复，必要时可依法延长。
• 投诉权：您可向您所在地的监管机构或我们主要营业地的德国数据保护监管机构提出投诉。

十、安全措施

• 技术与组织措施：传输与静态加密、密钥轮换与分离、最小权限与基于角色的访问控制（RBAC）、SAML/SCIM单点登录、细粒度审计日志、关键操作审批与多方控制、网络分段与入侵监测、定期备份与恢复演练、员工安全培训。
• 测试与改进：定期渗透测试与漏洞扫描；漏洞披露计划；对高风险变更实施安全评审。
• 设计原则：隐私保护设计与默认（PbD/PbDf），在产品内提供屏蔽、采样、数据驻留与保留配置。

十一、未成年人 我们的服务面向企业客户，不面向儿童或一般消费者。我们禁止在产品中跟踪儿童应用的数据，并提供字段掩码与分类模板辅助客户合规。如您认为我们在不知情情况下处理了儿童数据，请立即联系privacy@analytics.example，我们将采取适当措施。

十二、自动化决策与画像 我们不进行对个人产生法律或类似重大影响的自动化决策（GDPR第22条）。实验曝光与分配由客户团队配置与控制；我们不将客户终端用户数据用于我们自身的广告或独立画像。

十三、事件响应与监管通知 发生可能导致个人权利与自由高风险的数据泄露事件时，我们将在知悉后不无故拖延地采取补救措施，并在72小时内向主管监管机构通报（除非不需要通报），并及时通知受影响的客户以履行其对终端用户的通知义务。

十四、政府与执法请求 除非法律禁止，我们将在接到政府/执法部门要求时通知相关客户，并仅在收到有效且具有约束力的法律请求后、在最小化原则下披露所请求的数据。

十五、记录与问责 我们维护GDPR第30条要求的处理活动记录，定期进行风险评估与（在适用时）数据保护影响评估（DPIA）。我们支持客户开展其自身的DPIA与合规评估。

十六、政策更新与通知 我们会不时更新本政策以反映业务、法律或技术的变化。重大变更将在我们网站发布并通过电子邮件通知客户，变更将注明生效日期。继续使用服务即表示接受更新后的政策。

联络方式 隐私问题、权利请求与投诉：privacy@analytics.example 如适用，将在最终版中补充数据保护官（DPO）与公司法定实体/地址信息。

后续问题清单

1. 请确认贵司的法定实体全称、注册地址、是否已任命数据保护官（DPO）及主要负责的德国州/欧盟监管机构，以便在政策中完善“控制者/联系人/监管机构”信息。
2. 请提供当前子处理者清单（名称、服务、所在地区）及变更通知机制（提前多少天通知、异议流程），并确认是否参与任何跨境框架（如EU–US DPF）或仅采用SCC与补充措施，以便细化“国际传输与子处理者”条款。
3. 请确认除“事件默认13个月保留、终止后30–90日删除”之外的具体保留期限（例如：技术与安全日志、支持票据与附件、管理员/成员账号与审计日志、计费与税务文档、备份保留与销毁周期），以及是否向客户提供公开的保留清单或信任中心页面，以便完善“保留与删除”章节的精确时限。