本隐私政策的英文版本(可在以下网址获取: https://unitecare.ai/en/privacy-and-data-security-policy )将优先于所有其他语言版本。其他语言的文件或通讯仅为您提供便利,其英文版本才是正式版本。
uniteCare(以下统称“我们”、“我们的”)尊重您的隐私。我们的隐私政策解释了:
(1) 我们如何收集、使用和披露通过我们的网站、网络和应用程序(统称“平台”)以及我们向机构客户提供的其他服务(与平台一起称为“服务”)所获得的信息
(2) 您可以就信息处理做出的选择。我们还描述了您如何就我们的隐私标准与我们联系。本隐私政策通过引用纳入uniteCare 使用条款。
在我们的平台上,您可以选择使用由其他主体提供的一些功能。这些功能包括留学缴费、银行卡办理申请、电话卡办理申请等(这些功能将在我们的网页上显著显示),它们由与 uniteCare 没有关联的第三方运营,并且可能直接从您那里收集信息。这些第三方可能会根据他们自己的隐私政策和标准来使用您的信息。
我们可能通过多种方式获取您的信息,例如您自愿提供给我们、在我们作为支付交易处理者的角色中,或当您使用用于访问平台的设备自动发送给我们时。
当您使用服务时,您可能会向我们提供以下类型的信息:
您的账户信息。要创建一个账户,您需要向我们提供您的手机号码、电子邮件地址和密码。
• 支付信息。当您通过我们的平台购保时,我们会向投保人请求投保人的姓名、出生日期、地址、电话号码、证件号码、就读学校、课程类型、开学日期、毕业年份等信息。必要时,您还需要提供您的陪同人员信息。作为支付过程的一部分,或为了处理退款或拒付,我们和/或我们的合作伙伴可能需要付款人的信用卡信息、财务账户信息,例如银行账号、姓名和银行代码。
投保申请信息。我们可能会要求您通过我们向第三方提供的服务来申请项目,并提供相关信息。这些信息可能包括入学offer、护照和签证信息。这些信息将与这些第三方共享,以便他们能够评估并回应您的申请。
推荐。为了邀请他人使用平台,您可能需要提交他们的电子邮件。
消息与支持请求。当您通过电子邮件、聊天、留言或其他方式与我们沟通时,我们会收集您提交的信息。您可以选择提交有关问题或您是直接与我们的代表交谈。提供您遇到问题的摘要、屏幕截图、文件或信息,这些信息将有助于解决问题。
平台使用情况。当您浏览我们的网站并执行某些操作时,我们会收集有关您的信息。这些信息包括您点击的链接;您上传到平台的附件的类型、大小和文件名,使用分析技术对信息进行哈希处理、过滤或以其他方式清理内容,并收集有关您如何与平台的功能交互和使用情况的点击数据。
设备信息。我们收集有关您用于访问平台的计算机、手机、平板电脑或其他设备的信息。包括浏览器类型、IP 地址、设备标识符和崩溃数据。我们还将使用您的 IP 地址或国家偏好为您提供更好的用户体验。
我们可能从他人处收到信息,包括:
金融机构和服务提供商。在处理您的支付交易过程中,我们可能与多家服务商合作,包括银行和非银行金融机构,如支付服务提供商。为了处理支付,金融机构或服务提供商可能会与我们分享付款人账户的信息,如账户名称、号码、银行代码和其他身份识别信息。
指定实体。在我们为您创建账户之前,我们可能会从作为我们医疗服务供应商和其他实体那里获得您的姓名和电子邮件地址,以便与我们联系,鼓励您通过我们的平台进行支付。此外,这些指定实体还可以使用平台与您沟通并管理收款。
Cookie 为确保网站正常运转,系统会自动存储 Cookie 信息到本地,Cookie 通常包含标识符、站点名称以及一些号码和字符。借助于Cookie,网站能够存储网页的资源信息,确保网页正常加载并显示。我们不会将 Cookie 用于本政策所述目的之外的任何用途,且不会将 cookie 信息保存至后端。您可根据自己的偏好管理或删除 Cookie,有关详情,请参见 AboutCookies.org。
除 Cookie 外,我们还会在网站上使用网站信标和像素标签等其他同类技术。当您访问我们的平台或打开我们的电子邮件时,我们和我们的第三方服务提供者可能会通过自动化方式收集某些信息,例如,我们向您发送的电子邮件可能含有链接至我们网站内容的点击 URL。如果您点击该链接,我们则会跟踪此次点击,以这种方式收集的信息包括IP地址、浏览器特征、设备ID和特征、操作系统版本、语言偏好、引用URL以及我们平台的使用情况。我们可能会将此数据与您的个人资料关联,帮助我们了解您的产品或服务偏好并改善客户服务。网站信标通常是一种嵌入到网站或电子邮件中的透明图像。借助于电子邮件中的像素标签,我们能够获知电子邮件是否被打开。如果您不希望自己的活动以这种方式被追踪,则可以随时从我们的寄信名单中退订。
我们与第三方合作伙伴合作,例如分析和广告合作伙伴,他们可能会随着时间的推移收集您使用其他网站和在线服务的信息。有关 Google Analytics 和 Google 提供的关于您信息的选项的更多信息,请访问 https://policies.google.com/technologies/partner-sites 。
我们可能会根据适用的法律,使用我们关于您的信息,具体包括:
• 提供和改进服务
• 登录时的身份验证详情
• 我们使用您的信息来验证账户和活动,监控可疑或欺诈活动,以及识别违反政策的行为。
• 处理您的支付交易并告知您支付状态;
• 向保险供应商提供您的信息,以支持在整个投保过程中对您的申请进行评估和管理;
• 遵守并执行相关法律法规、行业标准及我们的政策;
• 防止潜在的非法或禁止活动,并执行我们的使用条款;
• 回应您的查询、解决争议并提供支持;
我们利用关于用户如何使用我们平台的集体学习成果来排查问题,识别趋势、使用情况、模式,以更好地分析、运营和改进我们的业务和服务(包括提升用户体验、管理沟通和功能,以及开发新的产品和服务);
• 就平台相关事宜与你沟通,例如发送个性化付款提醒和优惠;
• 比对信息以确保准确性,并与第三方核实信息;
• 如果在实际或潜在的商业关系中我们已经收集了您的个人信息,我们将进一步发展与您的业务关系;
对通过平台收集的数据进行去识别或聚合,并用于任何目的
• 满足您已同意的其他目的,这些目的应为您合理预期,或经法律授权或要求;在法律要求或我们认为有必要保护法律权利的情况下,我们将使用您的信息与法律诉讼、监管问题、审计职能、合并或融资相关联。
根据适用法律,我们可能会与您分享信息,与本隐私政策第B节所述的目的相关。这包括以下方式分享您的信息:
• 为了处理您的投保,我们会将部分信息与我们代理的指定保险服务商共享。
• 为了履行我们的服务或满足我们的法律和监管义务,我们可能需要将您的个人信息转移到您所在国家以外的组织。
我们可能会与协助我们提供服务的服务供应商共享您的信息。在某些情况下,为了成功处理您的付款或退款,我们可能会将您发送给我们的银行/付款收据文件与与我们合作的金融机构共享,以协助处理付款或退款。我们的合同要求这些金融机构仅将您的个人信息用于与我们提供的服务相关的目的,而不是为其自身利益使用。
此外,您的信息可能会与其他金融机构、行业协会、反欺诈组织和执法机构共享,以识别和预防洗钱、恐怖主义融资和其他金融犯罪。
如果法律或法律程序要求我们这样做,或者为了遵守法律,或者当我们认为,根据我们自己的判断,披露个人信息是适当的,以防止身体伤害或财务损失,或者在调查涉嫌或实际存在的欺诈或非法活动时,或者为了调查违反我们使用条款和其他协议的行为。
如果我们参与合并、收购、融资尽职调查、重组、破产、接管、公司资产出售或服务转移到另一提供者,您的信息可能会作为此类交易的一部分被出售或转移。
我们不会将您个人信息出租、出售或与无关公司共享,用于其直接营销目的,除非我们已获得您的许可。
• 除收集个人信息的主要目的或与其有合理关联的次要目的外,我们将不会收集、持有、使用或披露您的个人信息。次要目的可能包括,例如,我们的服务提供商和第三方(例如技术和支持服务提供商)需要访问您的个人信息,以便向我们提供服务的情况。
如果第三方不遵守uniteCare的隐私政策,我们仍对转移给第三方的个人数据的处理负责。
为防范金融欺诈、监测异常支付行为或支持保险申请评估流程,uniteCare可能对部分用户数据进行自动化分析处理,包括风险评分(Risk Scoring)及行为画像分析(Profiling)。该类自动化处理不会在无人干预情况下直接对用户产生法律效力或类似重大影响。用户有权请求人工干预并对自动化处理结果提出异议。
我们只有在适用法律规定的法律依据下才会收集和处理您的信息。这意味着我们收集和使用您的信息:
为了允许您访问和使用平台,向投保人和客户提供支持,以及履行与您协议相关的其他义务和/或在您签署该协议前根据您的要求采取的措施(请参阅我们使用条款 https://unitecare.ai/terms-of-service);
• 为了遵守uniteCare需要遵守的法律法规要求;
• 为了追求我们的合法利益,前提是这些合法利益不能被您的利益或基本权利和自由所覆盖 我们的合法利益包括:
保护服务的安全与完整性,我们的付款人、客户
◦ 监控、识别、预防和报告欺诈、洗钱、恐怖主义融资、其他非法活动以及我们平台的禁止使用
◦ 确立、行使或捍卫法律权利和主张
◦ 改进平台以及我们服务的交付和有效性
◦ 衡量和了解广告的效果和/或为您提供有关我们提供的其他类似商品和服务的信息
在基于合法利益处理个人信息时,uniteCare将进行合法利益评估(LIA),以确保该处理不会对用户基本权利造成不当影响。
根据具体服务场景,uniteCare可能作为数据控制者(Data Controller)、数据处理者(Data Processor)或联合控制者(Joint Controller)处理您的个人信息:
在保险申请及核保流程中,uniteCare可能作为联合控制者,与合作保险服务提供商共同决定数据处理目的;
在支付处理及退款处理流程中,uniteCare可能作为数据处理者,依据合作支付机构的指示处理相关数据;
• 在反洗钱(AML)及反欺诈监测过程中,uniteCare可能基于监管义务独立处理相关数据。
在作为数据处理者时,uniteCare仅依据合作机构的合同约定处理您的个人信息。
如发生个人信息安全事件,uniteCare将在获知相关事件后的72小时内向相关监管机构报告,并在不合理延迟的情况下通知受影响用户。
在向境外提供您的个人信息时,uniteCare将依据适用法律法规,采取以下跨境传输保障措施:
• 与境外接收方签署标准合同条款(Standard Contractual Clauses)
• 签署数据处理协议(Data Processing Agreement)
• 开展数据传输影响评估(Transfer Impact Assessment)
以确保跨境数据传输过程中的安全性与合法性。个人信息可能被传输至澳大利亚、欧盟成员国、美国及中国境内的保险服务提供商、支付处理机构或紧急医疗救援合作机构,仅限实现本政策所述服务目的。
关于我们收集并维护的您的个人信息以及我们如何与您沟通,您可能享有某些权利。
当我们在平台上向您请求信息时,您可以选择始终不向我们提供这些信息。但是,如果您拒绝向我们提供某些信息,这可能影响平台的功能。
如果你位于某个对隐私权有更严格限制的国家(如欧洲、英国等),你可以指示我们不要将你的个人信息与第三方共享,但以下情况除外:(i)与我们的服务提供商和金融机构签订合同,代表我们提供服务;(ii)在我们被收购或我们转让全部或部分业务或资产时;(iii)如果法律程序或法律要求处理;(iv)与其他金融机构、贸易机构、反欺诈组织和执法机构合作,以识别和预防欺诈、洗钱、恐怖融资和其他金融犯罪,或(v)当我们认为,在独家判断下,披露个人信息是适当的,以防止身体伤害或财务损失,或与涉嫌或实际欺诈或非法活动的调查有关。
您可以通过登录账户来访问、修改或更新在我们平台上提交的某些个人信息。根据适用法律,您可能有权要求访问并接收我们持有的关于您的其他个人信息,更新和更正您个人信息中的不准确之处,并在适当的情况下删除信息,或者要求获取您的信息副本。为行使这些权利,请按照下方所述与我们联系(参见本隐私政策的第N节)。在某些情况下,根据当地法律要求,您访问、更新、更正或删除个人信息的权利可能受到限制。
如果您的数据需要与第三方共享,例如支付合作伙伴,您需要直接联系这些第三方服务提供商来行使其权利。
• 如果你已经授权我们使用或处理你的数据,你可以要求我们停止使用或处理。
• 您可以联系我们撤回您的授权,但这不会影响在撤回授权时已经进行的任何处理。
• 如果本隐私政策所涵盖的个人数据将被用于与最初收集或后来授权的目的有实质性差异的新目的,或者将以本政策中未描述的方式向非代理第三方披露,uniteCare将为您提供选择退出此类使用或披露的机会。选择退出的请求应按照下方“联系方式”部分中概述的方式向我们提出。
此外,根据适用法律法规(如欧盟《通用数据保护条例》),您还可能享有以下权利: 限制我们处理您个人信息的权利(Right to Restrict Processing)
• 反对我们基于合法利益处理您个人信息的权利(Right to Object)
• 要求获取您个人信息副本并进行数据可携带的权利(Right to Data Portability)
在适用情况下,不受完全基于自动化处理作出的决定约束的权利
uniteCare通过结合行政、技术和物理措施,维持合理的保护措施,以保护您提供的个人信息免受意外、非法或未经授权的破坏、丢失、更改、访问、干扰、修改、披露或滥用。
我们非常重视个人信息安全,并采取各种合理可行的措施,保护您的个人信息:
• 数据安全技术措施
我们已采用符合业界标准的安全防护措施以及行业内通行的安全技术来防止您的个人信息遭到未经授权的访问、修改,避免您的个人信息泄露、损坏或丢失:
◦ 采取加密技术对您的个人信息进行加密存储,我们存储您个人数据的系统从安全管理、策略、过程、网络体系结构等诸多方面保障交易及个人信息安全。
◦ 我们的网络服务采取了传输层安全协议等加密技术,通过https等方式提供浏览服务,确保您的个人信息在传输过程中的安全。
◦ 在使用您的个人信息时,例如个人信息展示、个人信息关联计算,我们会采用包括内容替换、数据加密在内的多种数据脱敏技术增强个人信息在使用中的安全性。
◦ 我们会采用安全测试、入侵检测防御技术进行恶意代码防范措施保护您的个人信息安全。
为保护个人信息采取的其他安全措施
用: 我们通过建立数据分类分级、数据安全管理规范、安全开发规范来管理规范个人信息的存储和使
◦ 我们采用严格的数据访问权限和多重身份认证技术控制和保护个人信息,通过与信息接触者签署严格的保密协议、监控和审计机制来对数据进行全面安全控制,避免数据被违规使用。
◦ 我们采用代码安全检查、数据访问日志分析技术进行个人信息安全审计。
◦ 我们设立了信息安全专门部门并下设信息安全小组,由各小组信息安全专员负责个人信息安全事务。
◦ 我们还会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。
安全事件处置
◦ 互联网环境并非百分之百安全,我们将尽力确保或担保您发送给我们的任何信息的安全性。如果我们的物理、技术、或管理防护设施遭到破坏,导致信息被非授权访问、公开披露、篡改、或毁坏,导致您的合法权益受损,我们将承担相应的法律责任。
◦ 为应对个人信息泄露、损毁和丢失等可能出现的风险,我们制定了多项制度,明确安全事件、安全漏洞的分类分级标准及相应的处理流程。我们为安全事件建立了专门的应急响应团队,按照安全事件处置规范要求,针对不同安全事件启动安全预案,进行止损、分析、定位、制定补救措施、联合相关部门进行溯源和打击。
◦ 一旦发生个人信息安全事件,我们将按照法律法规的要求立即采取补救措施,以有效避免信息泄露、篡改、丢失造成危害,并按照相关监管部门的要求予以上报。若相关监管部门认为该个人信息安全事件可能对您造成危害的,我们会按照监管部门的要求,及时向您告知安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们同时将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。
◦ 如您发现自己的个人信息泄密,尤其是您的账号及密码发生泄露,请您立即通过本政策最下方 【如何联系我们】约定的联系方式联络我们,以便我们采取相应措施。
我们在中华人民共和国境内收集和产生的个人信息,将存储在中华人民共和国境内。如您使用跨境业务服务或因业务需要,确需向境外传输您的个人信息,我们会遵循法律法规和相关监管部门的要求,向您告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及您可向境外接收方行使相关权利的方式和程序等事项,并取得个人的明确同意。此外,在向境外提供您的个人信息前,我们会通过安全评估、经专业机构进行个人信息保护认证、或者按照国家网信部门制定的标准合同与境外接收方订立合同等方式,以达到向境外提供个人信息的条件。同时要求接收方按照法律法规和相关监管部门的规定并采取相关保密和安全措施来处理这些个人信息。例如您身处国外,在向您提供国际旅游保险理赔和紧急医疗救助服务时,我们可以将您的个人信息跨境传送给紧急救援服务提供商、业务合作伙伴或当地公共机构。
除非法律法规另有规定,我们仅在本政策所述目的所必需期间和法律法规及监管规定的时限内保存您的个人信息。当您的个人信息超出我们所保存的期限后,我们会对您的个人信息进行删除或匿名化处理。
为进一步加强用户数据在传输、存储及访问过程中的安全性,uniteCare 3.0 平台已实施以下技术与组织安全控制措施:
A. 传输层安全控制
平台全站强制启用 TLS 1.3 加密协议,并结合 HTTP Strict Transport Security (HSTS) 策略,确保用户终端与平台服务器之间,以及服务器间的数据传输全程加密,有效防止数据窃听、篡改及中间人攻击 (MITM)。
B. 数据分级与隔离存储
基于数据敏感度实施分级管理机制,对高敏感个人信息(如身份信息、医疗信息、财务账户信息)采用物理隔离存储架构,并通过“双人双锁”访问控制策略(Four-Eyes Principle)严格限制数据访问权限,确保关键数据的读取、修改或导出操作需经双重授权。
C. 全链路审计日志系统
平台部署全链路数据访问审计系统,对用户个人数据的访问、修改、下载及导出行为进行毫秒级日志记录,并支持异常行为检测与追溯分析,以防范未授权访问及潜在内部数据滥用风险。
uniteCare确保我们的员工了解并遵守我们的安全政策。我们要求所有人员定期接受安全政策的培训,无论其部门如何。直接与客户接触的人员将接受关于新兴风险(如身份盗窃)的额外培训。
所有 uniteCare员工在加入公司时,都必须签署保密协议或特定的保密承诺。员工在开始在 uniteCare 工作后,必须充分理解和遵守这些条款,并对其在工作中接触到的所有信息(包括内部 uniteCare信息、客户信息以及第三方信息)保持保密。这一规定适用于员工在职期间及离职后任何时候。
平台上的每位用户都将获得我们的全球隐私政策,该政策详细说明了我们收集和处理个人信息的情况。
我们保留您的账户信息,只要您的账户处于活动状态,并且符合我们的法律义务。作为一家受监管的企业,我们遵守适用于金融交易/保险交易的法规中规定的法定保留期限,包括反洗钱、反恐怖融资以及其他适用于我们的法律。在此之后,我们将删除或匿名化您的信息,如果无法做到这一点,我们将安全地存储您的信息,并将其与任何进一步的使用隔离,直到可以删除为止。
| 数据类型 | 保存期限 |
|---|---|
| 身份验证信息(KYC) | 5–7年 |
| 支付交易记录 | 7年 |
| 保险理赔信息 | 10年 |
| 反欺诈日志 | 6年 |
| 营销Cookie数据 | 13个月 |
我们的产品、网站和服务主要面向成人,我们非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人,在使用我们的产品与/或服务前,务必请您的监护人仔细阅读本个人信息保护政策,应事先取得您监护人的同意。我们根据国家相关法律法规的规定保护未成年人的个人信息。
我们不会主动直接向未成年人收集其个人信息。对于经父母或其他监护人同意而收集未成年人个人信息的情况,我们只会在受到法律允许、父母或其他监护人明确同意或者保护儿童所必要的情况下使用或公开披露此信息。
如果有事实证明未成年人在未取得监护人同意的情况下注册使用了我们的产品与/或服务,我们会与相关监护人协商,并设法在满足有关法律法规的前提下,尽快删除相关个人信息。
对于可能涉及的不满14周岁的儿童个人信息,我们进一步采取以下措施予以保障:
对于收集到的儿童个人信息,我们除遵守本隐私政策关于用户个人信息的约定外,还会秉持正当必要、知情同意、目的明确、安全保障、依法利用的原则,严格遵循《儿童个人信息网络保护规定》等法律法规的要求进行存储、使用、披露,且不会超过实现收集、使用目的所必须的期限,到期后我们会对儿童个人信息进行删除或匿名化处理。
当您作为监护人为被监护的儿童选择使用我们的相关服务时,我们可能需要向您收集被监护的儿童个人信息,用于向您履行相关服务之必要。在具体服务中需要向您收集儿童个人信息的,我们会事先取得您的授权同意,并告知您收集的目的和用途。如果您不提供前述信息,您将无法享受我们提供的相关保险服务。此外,您在使用保险产品及服务、咨询、评价及反馈功能分享相关信息时可能会主动向我们提供儿童个人信息,请您明确知悉并谨慎选择。您作为监护人应当正确履行监护职责,保护儿童个人信息安全。
儿童或其监护人有权随时访问和更正儿童个人信息,还可以向我们提出更正和删除的请求。如您对儿童个人信息相关事宜有任何意见、建议或投诉、举报,请联系我们。我们会随时为您提供帮助。
我们的网站可能包含指向其他网站的链接。当您访问其他网站时,我们强烈建议您查看这些外部网站的隐私政策或通知。uniteCare对其他网站的内容或隐私标准不承担责任。
uniteCare可能会定期修改本隐私政策,以反映我们信息政策的任何变化。我们将通过修订本隐私政策顶部的“最后更新”日期来通知您。如果我们做出任何重大变更,我们将通过平台、电子邮件或其他通讯方式通知您。我们鼓励用户定期阅读本隐私政策,以了解我们的隐私实践。只要您继续使用平台,您即表示同意本隐私政策及我们对其进行的任何更新。
如果您对我们的个人信息收集、使用、存储或披露有任何疑问、意见或投诉,请按照下方方式联系我们。uniteCare 将认真对待任何隐私投诉,并致力于及时高效地解决任何问题。我们请求您在此过程中与我们合作,并提供我们可能需要的任何相关信息。在适用法律允许的情况下,您亦有权向您所在地的数据保护监管机构就个人信息处理行为提出投诉。
如您对本政策有任何疑问、意见或建议,或者涉及欧盟地区用户个人信息保护事务,您亦可通过以下数据保护联络邮箱联系我们:
一旦您向我们提出投诉,我们将向您发送书面回执确认您的关切,除非投诉已在规定时间内得到解决。我们将尝试在您提出投诉之日起30天内解决您的投诉,并在整个过程中向您通报投诉的进展情况。我们将尽力解决任何问题以满足您的满意,并尽快通知您调查结果。