隐私政策

简介

MedMap 尊重并重视客户与合作伙伴的隐私。本隐私政策说明了当您访问我们的网站或使用我们的生物医学数据保护服务时，我们如何收集、使用、披露及保护您的信息。

我们收集的信息

我们可能收集可识别、关联或合理关联至您的信息（“个人信息”），包括：

• •联系信息：姓名、企业邮箱、电话号码及职务。
• •专业信息：公司名称及特定的 MedTech 研发兴趣领域。
• •技术信息：通过 Cookie 收集的 IP 地址、浏览器类型及使用行为。
• •敏感科研数据：对于使用我们云数据托管服务的客户，我们可能作为数据处理方处理经过假名化的医学影像或临床数据。

我们如何使用您的信息

我们基于以下目的处理您的信息：

• •服务交付：支持研发加速与 AI 集成。
• •安全保障：监控并保护生物医学云数据托管环境。
• •沟通联络：提供项目里程碑更新或回应咨询。
• •合规要求：履行与医学数据审计相关的法律义务。

数据保护与安全（“MedMap 标准”）

鉴于我们对生物医学数据保护的高度重视，MedMap 采取以下高级安全措施：

• •加密：数据在存储和传输过程中均采用 AES-256 或更高级别的加密标准。
• •访问控制：在所有云托管环境中实施严格的基于角色的访问控制（RBAC）。
• •匿名化：在进行医学影像 AI 集成时，我们实施去标识化协议，以确保符合隐私保护法律。

国际数据传输

MedMap 业务遍及全球。所收集的信息可能在我们使用服务提供商的任何国家进行存储和处理。我们通过标准合同条款（SCCs）或等效法律机制确保数据跨境传输的安全性。

数据保留

我们仅在实现本政策所述目的或满足医学研究及商业记录相关法定保留期限所必需的时间内保留个人信息。

您的隐私权利

根据您所在司法辖区的法律（如 GDPR、CCPA），您可能享有以下权利：

• •访问/可携带性：请求获取我们持有的您的个人数据副本。
• •更正：请求更正不准确的个人信息。
• •删除：在特定条件下请求删除您的个人数据。
• •反对处理：尤其是针对直接营销活动。

联系我们的数据保护负责人

如您对本政策或我们对生物医学敏感数据的处理有任何疑问，请联系：

HIPAA 合规声明（美国）

对于在美国医疗体系内运营的客户，MedMap 确认其在《1996 年健康保险可携性与责任法案》（HIPAA）下的角色与责任。

• •业务伙伴协议（BAA）：当 MedMap 提供涉及受保护健康信息（PHI）的云数据托管或 AI 集成服务时，我们将作为“业务伙伴”，并与“受覆盖实体”客户签署 BAA。
• •技术性保护措施：实施严格的访问控制、审计日志及完整性控制，以防止未经授权访问 PHI。
• •行政性保护措施：员工定期接受有关敏感健康数据处理及数据泄露通报流程的培训。
• •物理性保护措施：所有生物医学数据均托管于 Tier 3 或 Tier 4 数据中心，配备 24/7 物理安保与生物识别访问监控。

GDPR 合规与国际数据传输（欧洲经济区）

对于位于欧洲经济区（EEA）的用户和数据主体，MedMap 遵守《通用数据保护条例》（GDPR）。

• •处理的法律依据：基于（a）履行合同的必要性，（b）履行法律义务，或（c）我们在提供 MedTech 创新服务方面的合法利益。
• •数据最小化：我们严格遵循数据最小化原则，仅处理 AI 集成或研发加速所必需的数据。
• •数据主体权利：EEA 居民有权向监管机构投诉，并享有数据可携带权。
• •国际传输：对于传输至 EEA 以外的数据，我们采用经欧盟委员会批准的标准合同条款（SCCs），以确保等同的数据保护水平。

医学影像 AI 集成的具体规定

作为医学影像 AI 集成解决方案的一部分，MedMap 可能会处理影像数据（DICOM/NIfTI）。

• •去标识化：在用于 AI 训练或科研之前，我们通过自动及人工流程移除患者识别信息（姓名、ID、出生日期）。
• •标准合规：我们的去标识化流程符合 HIPAA 安全港方法及 GDPR 匿名化标准，确保数据无法再被识别到特定个人。