隐私政策

Rebirthealth Inc.（"Rebirthealth"、"我们"）致力于保护您的个人信息和隐私权。本隐私政策说明我们收集哪些信息、如何使用这些信息，以及您对此拥有的权利。

本政策适用于通过我们的平台（rebirthealth.com）、移动应用程序及任何相关服务（统称"服务"）收集的所有信息。我们的服务通过结构化的分层匹配系统，将寻求健康咨询意见的个人与合格顾问连接起来。

使用我们的服务即表示您同意根据本隐私政策收集和使用信息。如果您不同意本政策的条款，请不要访问或使用我们的服务。

我们遵守适用的数据保护法律，包括适用于欧洲经济区用户的《通用数据保护条例》（GDPR），以及适用于中国用户的《中华人民共和国个人信息保护法》（PIPL）。

负责处理您个人信息的个人信息处理者（数据控制者）为：

Rebirthealth Inc. 美国加利福尼亚州旧金山 电子邮件：privacy@rebirthealth.com

对于位于中华人民共和国境内的用户，我们指定的个人信息保护负责人联系方式如下： 电子邮件：privacy@rebirthealth.com 电话：请通过上述邮箱获取

对于欧洲经济区的用户，我们的数据保护官（DPO）联系方式为： 电子邮件：dpo@rebirthealth.com

我们基于以下法律依据处理您的个人信息：

- 同意：当您自愿提交健康信息、注册账户或选择使用特定功能时。您可以随时撤回同意，但不影响撤回前基于同意所进行处理的合法性。 - 合同履行：为提供我们的服务所必需的处理，包括账户管理、案例匹配、顾问沟通和支付处理。 - 合法权益（GDPR）：为平台安全、欺诈防范、服务改进和数据分析所必需的处理。 - 法律义务：为遵守适用法律法规所需的处理。

对于中国用户（适用PIPL）：我们主要依据您的知情同意和合同履行作为处理个人信息的法律依据。在收集敏感个人信息（如健康数据）之前，我们将依据《个人信息保护法》第二十九条的规定取得您的单独同意。

当您注册账户、提交案例、申请成为顾问或以其他方式与我们的平台互动时，我们会收集您自愿提供的个人信息，包括：

- 账户信息：电子邮件地址、手机号码、加密密码和个人资料详情（显示名称、头像、首选语言）。 - 健康信息：您在提交案例时自愿提供的医疗状况、症状、治疗史和健康相关描述。此类信息属于敏感个人信息。 - 财务信息：支付详情通过我们的第三方支付处理器（微信支付、支付宝、PayPal）安全处理。我们不在服务器上存储您的完整支付凭证。 - 通信数据：在互动池中交换的消息、顾问方案以及支持沟通内容。 - 顾问资质：在顾问申请和验证过程中提交的专业执照、认证、证据文件、机构隶属关系和验证文件。

当您访问我们的平台时，我们还会自动收集以下信息： - IP地址和大致地理位置 - 设备类型、操作系统和浏览器信息 - 浏览页面、交互模式和会话时长 - Cookies及类似追踪标识符 - 来源渠道和搜索词

我们将收集的信息用于以下目的：

- 任务匹配与顾问可见性：根据您选择的服务层级，您的脱敏案例信息将对特定数量的顾问可见（例如50、200、1000名或平台上所有顾问）。更高层级提供更广泛的可见性，以增加找到专业对口顾问的可能性。 - AI分析：对于包含AI分析功能的服务层级，我们使用您的案例信息生成结构化报告和洞察。AI处理在具有严格访问控制的安全基础设施上进行。 - 互动池通信：在受控的互动环境中，促进您与匹配到您案例的顾问之间的结构化沟通。 - 同行评分系统：使同行顾问能够对顾问方案进行匿名、聚合的质量评分。个人评分绝不会归属于特定评审者。 - 支付处理：根据您选择的支付方式，通过微信支付、支付宝或PayPal促进安全交易。 - 平台改进：分析聚合使用模式、优化匹配算法、提高服务质量和开发新功能。 - 通信：发送服务通知、案例更新和支持回复。 - 法律合规：遵守适用的法律、法规和法律程序。

我们仅在以下情况下共享您的信息：

- 与顾问共享（脱敏）：根据您选择的服务层级，脱敏案例信息将与有限数量的顾问共享（50、200、1000名或全部）。顾问收到的案例描述已去除个人身份信息。除非您明确选择共享，否则顾问不会收到您的真实姓名、精确位置或其他直接识别信息。 - 互动池参与者：当您与选定顾问进入互动池后，该池中所有参与的顾问都可以看到池内交换的消息。这是协作咨询服务所必需的。 - 同行评分：匿名方案内容与同行评审顾问共享用于质量评分。不进行个人归因——评分为聚合结果，评审者对所有各方保持匿名。 - 支付处理器：交易数据根据处理支付的需要与微信支付、支付宝或PayPal共享。这些处理器依据其各自的隐私政策运营。 - 法律要求：如果任何适用司法管辖区的法律、法规、法律程序或政府要求，我们可能会披露信息。 - 业务转让：在合并、收购或资产出售相关情况下，您的数据可能作为商业资产的一部分被转让，但须遵守相同的隐私保护。

我们绝不会向任何第三方出售您的个人数据。我们不会将您的健康信息与保险公司、雇主或平台生态系统之外的任何方共享。

我们的服务在全球范围内运营，您的个人信息可能被传输到您居住国以外的国家（包括美国及我们服务器和服务提供商所在的其他司法管辖区）进行存储和处理。

对于中国用户：根据《个人信息保护法》的要求，我们特此告知您，为提供我们的服务，您的个人信息可能被传输至中华人民共和国境外。我们采取以下措施在跨境传输中保护您的数据： - 在任何跨境传输之前进行个人信息保护影响评估。 - 确保境外接收方达到中国法律要求的个人信息保护标准。 - 按要求取得您对跨境数据传输的单独同意。 - 实施合同和技术措施，确保境外接收方提供不低于《个人信息保护法》要求的保护水平。

对于欧洲经济区用户：我们使用经欧盟委员会批准的标准合同条款（SCC）确保欧洲经济区以外跨境数据传输的充分数据保护。

我们仅在实现本政策所述目的或适用法律要求的时间内保留您的个人数据。具体保留期限如下：

- 账户信息：在您的账户存续期间保留，账户删除后保留30天以便恢复。 - 案例数据与健康信息：案例完成后保留3年，用于服务质量和法律合规目的。您可以请求提前删除。 - 通信记录（互动池）：相关案例完成后保留2年。 - 支付记录：根据财务法规要求保留7年。 - 顾问资质文件：在顾问活跃状态期间保留，停用后保留3年。 - 自动收集的数据（日志、分析）：保留1年。 - Cookies：会话cookies在您关闭浏览器时过期；持久cookies在12个月内过期。

当数据不再需要时，将被安全删除或匿名化处理，使其无法再与您关联。

我们实施全面的安全措施来保护您的个人信息：

- 静态加密：所有存储的数据使用AES-256加密。 - 传输加密：您的设备与我们服务器之间传输的所有数据均受TLS 1.3保护。 - 基于角色的访问控制（RBAC）：严格的访问控制确保只有授权人员能够根据其角色和必要性访问特定类别的数据。 - 数据隔离：每个案例在逻辑上相互隔离——顾问只能访问与其匹配的案例，案例数据在不同用户和顾问之间相互隔离。 - 审计日志：全面的审计追踪记录所有对个人数据的访问。 - 定期安全评估：定期进行漏洞评估和安全审查。 - 安全开发实践：在开发生命周期中进行代码审查、依赖扫描和安全测试。

尽管我们努力保护您的个人信息，但通过互联网传输或电子存储的方法都无法保证100%安全。我们无法保证绝对安全，但承诺实施行业标准的保护措施。

根据您所在地区和适用法律，您对个人信息享有以下权利：

GDPR和PIPL下的共同权利： - 知情权与访问权：请求获取我们持有的关于您的个人信息副本。 - 更正权：请求更正不准确或不完整的个人信息。 - 删除权：当个人信息不再为收集目的所必需，或您撤回同意时，请求删除您的个人信息。 - 数据可携带权：请求以结构化、通用的机器可读格式获取您的个人信息，或请求将其转移至其他处理者。 - 撤回同意权：随时撤回您的同意。撤回不影响撤回前基于同意所进行处理的合法性。 - 限制/反对处理权：请求我们限制或停止为特定目的处理您的数据。

PIPL下的额外权利（适用于中国用户）： - 解释说明权：请求对处理您个人信息的规则进行解释说明。 - 拒绝自动化决策权：对仅通过自动化处理（包括AI分析）做出的、对您权益产生重大影响的决定提出异议，并要求人工审查。 - 特定情形下的删除权：如果我们超出约定目的处理您的信息，或处理目的已实现或无法实现。

GDPR下的额外权利（适用于欧洲经济区用户）： - 投诉权：向当地数据保护监管机构提出投诉。 - 反对自动化分析权：反对产生法律效力或类似重大影响的自动化决策和画像分析。

要行使上述任何权利，请联系 privacy@rebirthealth.com。我们将在15个工作日（PIPL）或30天（GDPR）内回复。处理请求前，我们可能需要验证您的身份。

某些服务层级包含对您案例信息的AI分析功能。本节说明自动化处理在我们平台上的工作方式：

- 目的：AI分析用于根据您提供的案例信息生成结构化的健康咨询报告。它不做出医疗决定或诊断。 - 范围：AI处理仅适用于明确包含此功能的服务层级。在购买前，您会被告知哪些层级包含AI分析。 - 人工监督：AI生成的报告作为补充信息与人类顾问意见一同提供，不替代专业判断。 - 您的反对权：您有权要求对任何AI生成的输出进行人工审查，或通过选择不包含AI分析的服务层级完全退出AI处理。

我们不会在没有适当保障措施和您异议权利的情况下，使用您的个人信息进行对您产生法律效力或类似重大影响的自动化决策。

我们使用cookies和类似的追踪技术来收集有关您浏览活动的信息。我们使用的cookie类型包括：

- 必要Cookies：平台基本功能、身份验证和安全所必需，不可禁用。 - 分析Cookies：帮助我们了解访问者如何与平台互动，收集匿名使用数据。 - 偏好Cookies：记住您的语言、地区和显示偏好设置。 - 营销Cookies：用于投放相关内容和衡量活动效果，仅在您明确同意后设置。

您可以通过浏览器设置或我们的cookie同意机制管理cookie偏好。禁用必要cookies可能影响平台功能。对于中国用户，我们按照《个人信息保护法》要求处理cookie数据，并在必要时征得同意。

我们的服务不面向18岁以下的个人。我们不会故意收集未成年人的个人信息。如果父母或监护人代表未成年人提交案例，则父母或监护人是本政策意义上的数据主体。

根据《个人信息保护法》第三十一条，如果我们发现在未获得可验证的父母同意的情况下收集了14岁以下未成年人的个人信息，我们将采取措施及时删除此类信息。

我们可能会不时更新本隐私政策，以反映我们的实践、技术、法律要求或其他因素的变化。当我们进行重大更改时：

- 我们将在网站上发布更新后的政策并更新"最后更新"日期。 - 对于影响我们处理您数据方式的重大变更，我们将在变更生效前至少14天通过电子邮件或平台内显著通知告知您。 - 在适用法律（包括《个人信息保护法》）要求的情况下，我们将就个人信息处理方式的重大变更重新征得您的同意。

我们建议您定期查阅本政策，以了解我们如何保护您的数据。

如果您对本隐私政策、您的个人数据有疑问，或希望行使您的数据权利，请通过以下渠道联系我们：

- 隐私咨询：privacy@rebirthealth.com - 数据保护官（欧洲经济区用户）：dpo@rebirthealth.com - 一般支持：support@rebirthealth.com - 个人信息保护联系人（中国用户）：privacy@rebirthealth.com - 通信地址：Rebirthealth Inc., 美国加利福尼亚州旧金山

响应时间： - PIPL请求（中国用户）：15个工作日内 - GDPR请求（欧洲经济区用户）：30个日历日内 - 一般咨询：5个工作日内

如果您对我们的回复不满意，您有权向相关监管机构提出投诉： - 欧洲经济区用户：当地数据保护机构 - 中国用户：国家互联网信息办公室或其他有权机关