隐私政策

一、政策前言

无锡慧方科技有限公司（以下简称 “慧方科技” 或 “我们”）深知用户信息安全与隐私保护的重要性。本隐私政策依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《信息安全技术 个人信息安全规范》（GB/T 35273-2020）及各应用市场（如苹果 App Store、华为应用市场、小米应用商店等）隐私合规要求制定，旨在清晰、透明地告知您我们在提供 SMO 平台服务过程中，如何收集、存储、使用、共享、转让、公开披露您的信息，以及您享有的信息管理权利和保护措施。

在您下载、安装、登录或使用 SMO 平台（含 web 端、APP 端，以下统称 “平台”）提供的服务前，请务必仔细阅读并充分理解本政策全部内容。您点击 “登录”或实际使用平台服务，即表示您已充分理解并同意我们按照本政策处理您的信息。若您不同意本政策，请勿使用平台服务。

二、政策适用范围

1. 本隐私政策适用于 SMO 平台提供的所有服务，包括但不限于账户注册、登录、企业入驻、技术服务使用等。您访问临床试验管理系统 web 端产品或使用 SMO APP 时，均受本政策约束。
2. 本政策不适用于第三方服务。若平台内存在入驻的第三方服务提供者（如合作机构、第三方工具提供商等），您向该等第三方提供的个人信息，适用第三方自身的隐私政策，我们不对此类信息处理行为负责。请您在使用第三方服务前，仔细查阅其隐私政策。

三、我们如何收集和使用您的个人信息

（一）收集个人信息的情形与范围

我们遵循 “合法、正当、必要、诚信” 原则收集您的信息，仅收集为提供服务所必需的信息，不收集与服务无关的信息。

1. 账户注册与登录相关信息

为帮助您成为平台用户，实现账户创建、登录及安全验证，您需提供以下信息：

• 必填信息：用户名、登录密码、中国大陆境内手机号码。其中，手机号码用于接收注册验证码、登录验证、密码找回通知及业务通知（如待办事项提醒、服务状态通知等），是您与平台的重要联络方式。
• 信息同步：若您已注册 SMO 平台账号，使用该账号登录 SMO APP 时，账号关联的实名注册信息（姓名 / 企业名称 / 手机号）将同步至 APP 端，无需重复填写。

2. 服务使用过程中自动收集的信息

在您使用平台服务时，我们会根据您授予的设备权限，自动收集以下用于保障服务正常运行、优化服务体验的信息：

• 设备信息：包括设备型号（如 iPhone 15、华为 Mate 60）、操作系统版本（如 iOS 17.0、Android 14）、设备设置（如语言偏好、屏幕分辨率）、唯一设备标识符（如 IMEI、OAID、Android ID，仅用于设备识别与账户安全，不用于关联其他个人信息）、设备传感器信息（如 Wi-Fi 接入点、蓝牙信号、基站信息，仅在您开启位置权限时收集，用于定位您的大致区域以提供区域化服务）。
• 位置信息：仅在您主动开启设备位置权限，且使用需基于位置的服务（如就近匹配合作机构、区域化业务推送）时，我们会收集您的 IP 地址或 GPS 位置信息。您可随时在设备设置中关闭位置权限，关闭后不影响平台基本功能使用。
• 日志信息：包括您的搜索查询内容（如在平台内搜索 “SMO 业务流程”）、IP 地址、浏览器类型（如 Chrome、Safari）、电信运营商（如中国移动、中国联通）、使用语言（如简体中文、英文）、访问日期与时间、访问的网页记录（如浏览的服务介绍页面、操作的功能模块）等。此类信息用于分析服务使用情况、排查系统故障、优化服务性能。

3. 第三方来源的信息

若您通过第三方平台（如微信、企业微信）授权登录平台，我们会根据第三方平台提供的授权信息（如昵称、头像，具体以第三方授权页面显示为准）创建或关联您的平台账户，该过程中我们仅获取第三方平台明确允许提供的信息，不主动从第三方平台收集其他未授权信息。

（二）使用个人信息的目的

我们仅在以下经您同意或法律法规允许的范围内使用您的信息：

1. 提供基础服务：使用您的账户信息（用户名、密码）完成登录验证，使用实名信息（企业 / 个人身份信息）核验业务参与资格，使用设备信息、日志信息保障服务正常运行（如适配不同设备系统、修复访问故障）。
2. 发送必要通知：向您发送与服务相关的验证码（如密码找回时）、业务通知（如待办任务提醒、服务进度更新）、安全提示（如账户异地登录提醒），确保您能及时获取服务相关信息。
3. 优化服务体验：结合您的使用日志（如浏览记录、搜索偏好），分析您的服务需求，为您提供个性化的信息展示（如优先推荐您关注的 SMO 业务资讯），但不会基于敏感信息（如身份证号、企业核心经营数据）进行过度个性化推送。
4. 保障账户安全：整合您的会员信息、设备信息、日志信息及关联公司 / 合作伙伴提供的合法信息（如风险识别数据），判断账户异常状态（如异地登录、陌生设备访问），防范钓鱼网站、欺诈、网络攻击等安全风险，保护您的账户及财产安全。
5. 合规运营与审计：根据法律法规要求或行政、司法机关的合法指令，使用您的信息进行业务审计、配合调查取证，或用于识别、处理违反平台协议 / 规则的行为（如排查虚假注册账户）。
6. 其他经您同意的用途：若我们需超出上述目的使用您的信息（如将您的信息用于新的服务功能测试），会事先通过弹窗、邮件或站内信等方式向您说明使用范围与目的，并在征得您的明示同意（如点击 “同意” 按钮）后使用。

四、我们如何共享、转让、公开披露您的个人信息

我们严格限制个人信息的共享、转让、公开披露行为，除非符合以下条件：

（一）共享

我们不会与任何未关联的组织或个人共享您的信息，仅在以下情形下共享，且共享前会采取必要的安全保障措施：

1. 经您明确同意：在您主动授权的情况下（如您同意将企业入驻信息共享给平台合作的资质审核机构），我们会与指定第三方共享您的信息，共享范围以您的授权内容为准。
2. 法定或司法需求：根据法律法规规定、诉讼 / 仲裁解决需要，或按行政机关（如市场监管部门、公安机关）、司法机关（如法院、检察院）依法提出的要求，向相关部门共享您的信息，且会要求相关部门出具合法的法律文书（如调查令、传票）。
3. 与授权合作伙伴共享：仅为实现服务目的（如委托第三方进行企业资质审核、提供技术支持），我们会与授权合作伙伴共享必要的信息，且共享信息仅限于提供服务所必需的范围，不共享敏感信息（如企业营业执照原件扫描件、个人身份证照片）。
   • 授权合作伙伴类型：包括但不限于资质审核机构（核验企业营业执照真实性）、技术服务提供商（提供服务器托管、数据存储服务）、安全服务提供商（提供反欺诈、网络安全防护服务）。
   • 合作方约束：我们会与合作伙伴签署严格的保密协议及个人信息保护条款，明确其信息处理权限与责任，要求其按照本政策及相关法律法规处理信息，禁止将共享信息用于其他用途。我们会定期对合作伙伴的信息保护措施进行审计，确保信息安全。

（二）转让

我们不会将您的信息转让给任何组织或个人，除非符合以下情形：

1. 经您明确同意：在您签署书面同意文件明确授权后，我们会向指定第三方转让您的信息。
2. 企业合并、收购或破产清算：在 SMO 平台与其他法律主体发生合并、收购或破产清算情形，或其他涉及合并、收购或破产清算情形时，如涉及到用户信息转让，我们会要求新的持有您用户信息的公司、组织继续受本政策的约束，否则我们将要求该公司、组织和个人重新向您征求授权同意。

（三）公开披露

我们仅在以下严格限制的情形下公开披露您的信息，且公开前会评估披露对您权益的影响：

1. 经您主动选择或明确同意：如您主动在平台公开区域（如企业展示页面）上传并同意公开的企业名称、业务范围等非敏感信息，或同意我们将您的服务评价（匿名化处理后）公开用于服务质量展示。
2. 保护合法权益必需：为保护平台用户（包括您）或公众的人身、财产安全（如防范重大欺诈行为），在符合法律法规规定的前提下，可公开披露涉嫌违法违规的用户信息（如公开虚假注册的企业名称及违规事实）。

（四）无需征得同意的例外情形

根据《个人信息保护法》等法律法规规定，以下情形中共享、转让、公开披露您的信息无需事先征得您的同意：

1. 与国家安全、国防安全直接相关的；
2. 与公共安全、公共卫生、重大公共利益直接相关的（如应对突发公共卫生事件，向相关部门提供必要的用户信息）；
3. 与犯罪侦查、起诉、审判和判决执行直接相关的；
4. 出于维护您或其他个人的生命、财产等重大合法权益，且难以获得本人同意的（如发现您的账户可能被用于诈骗，向公安机关提供信息以保护您的财产安全）；
5. 您自行向社会公众公开的个人信息（如您在平台公开区域发布的非隐私内容）；
6. 从合法公开披露的信息中收集的个人信息（如从政府公开信息平台获取的企业注册信息）。

五、用户业务数据与公开信息的处理

（一）用户业务数据

1. 您通过平台加工、存储、上传、下载、分发或通过其他方式处理的数据（如企业在平台内提交的 SMO 项目方案、业务报表、客户沟通记录等），均属于您的用户业务数据。您对自身业务数据享有完全的所有权、控制权，可自行决定数据的使用、修改、删除及对外提供。
2. 我们仅作为服务提供商，严格按照您的指示（如您操作 “上传”“下载”“删除” 数据）处理您的业务数据，不擅自查看、使用、修改或披露您的业务数据，除非：
   • 经您明确同意（如您授权我们协助分析业务数据以优化项目流程）；
   • 法律法规另有规定（如行政机关依法要求调取涉嫌违法的业务数据）。
3. 您应对用户业务数据的来源合法性、内容真实性负责。若因您的业务数据违反法律法规（如包含虚假信息、侵犯他人知识产权）、部门规章或国家政策，导致的法律责任（如被行政机关处罚、被第三方起诉），均由您自行承担，与我们无关。

（二）公开信息

若您选择在平台公开区域（如企业展示页、行业资讯评论区）发布信息（如企业简介、业务合作意向、行业观点），该等信息将成为公开信息，其他用户可查看。请您谨慎判断公开信息的内容，避免包含个人敏感信息（如手机号、身份证号）或企业敏感信息（如核心技术数据、未公开的经营计划），因信息公开导致的隐私泄露或权益损害，由您自行承担责任。

六、您如何管理您的个人信息

我们保障您对自身信息享有的查询、更正、删除、撤回同意等权利，您可通过以下方式管理您的信息：

（一）查询与更正信息

1. 基本业务信息：您可登录 SMO 平台 web 端或 APP 端，进入 “个人中心” 模块，查询并修改您的用户名、联系方式（手机号 / 邮箱，修改手机号 / 邮箱需通过原号码 / 邮箱验证）。
2. 实名信息：若您需变更平台账户的实名认证信息（如企业名称变更、个人身份信息更新），可联系企业管理员或 SMO 实施人员，按照平台提供的操作文档（如需提交变更证明材料）完成变更申请，我们会在核验材料真实性后（一般不超过 3 个工作日）处理您的申请。

（二）删除信息

在以下情形下，您可向我们提出删除个人信息的请求，我们会在验证您的身份后（如要求您提供身份证复印件、企业授权函），在 15 个工作日内完成处理并告知您结果：

1. 我们处理您信息的行为违反法律法规规定（如未经同意收集敏感信息）；
2. 我们收集、使用您的信息未征得您的明确同意；
3. 我们处理信息的行为严重违反与您的约定（如超出约定范围使用信息）；
4. 您不再使用平台服务，且要求删除全部关联信息（注：若删除信息可能影响服务记录留存或法律法规要求的归档义务，我们会在符合合规要求的前提下，仅删除可删除的信息，或对信息进行匿名化处理）。

（三）撤回同意与注销账户

1. 撤回同意：您可随时撤回对特定信息处理的同意（如关闭设备位置权限、取消短信通知），具体操作路径为：
   • 设备权限：在您的设备 “设置 - 应用管理 - SMO APP - 权限” 中关闭对应权限（如位置、相机、相册）；
   • 通知权限：在平台 “账户设置 - 通知管理” 中关闭短信、邮件或站内信通知，或在设备系统设置中关闭 APP 通知权限。

   撤回同意后，我们将不再收集或使用对应权限相关的信息，但不影响撤回前基于您同意已进行的信息处理行为的合法性，也不影响平台其他基本功能的使用（如仅关闭位置权限，仍可正常使用账户登录、业务信息查看功能）。

2. 注销账户：若您需注销平台账户，可通过以下方式申请：
   • 联系客服（电话：400-850-0697；邮箱：info@medbit.cn），提供账户信息及身份证明材料（如个人用户提供身份证照片、企业用户提供营业执照及授权函），申请注销账户。

   账户注销后，我们会在 15 个工作日内删除您的账户信息及关联的个人信息（法律法规要求留存的除外，如用于合规审计的日志信息，将进行匿名化处理，不再关联您的身份），且注销后无法恢复账户信息，也无法再使用该账户登录平台，请您谨慎操作。

（四）获取信息副本

您可向我们申请获取您在平台内的个人信息副本（如账户注册信息、实名信息、使用日志摘要），申请方式为联系客服并提供身份验证材料，我们会在验证通过后，以您指定的方式（如邮件、PDF 文件）向您提供信息副本，且不收取任何费用（法律法规另有规定的除外）。

七、我们如何使用 Cookie 和同类技术

（一）Cookie 的使用

1. 为确保平台正常运转、提升您的访问体验（如免重复登录、记录浏览偏好），我们会在您的计算机或移动设备上存储名为 “Cookie” 的小数据文件。Cookie 包含标识符、平台名称及少量字符，仅用于识别您的设备、记录您的平台使用习惯（如默认语言、常用功能模块），不会包含您的敏感信息（如密码、身份证号）。
2. 我们仅读取由 SMO 平台生成的 Cookie，不会读取其他网站或应用生成的 Cookie。您可根据自身需求管理 Cookie：
   • 浏览器设置：大部分浏览器（如 Chrome）支持修改 Cookie 设置，您可选择 “阻止所有 Cookie”“仅阻止第三方 Cookie” 或 “删除已存储的 Cookie”，具体操作路径可参考浏览器 “帮助” 页面（如 Chrome 浏览器：设置 - 隐私和安全 - Cookie 和其他网站数据）；
   • 注意事项：若您选择阻止所有 Cookie，可能导致平台部分功能无法正常使用（如无法保持登录状态、无法记录浏览偏好），需在每次访问时重新设置用户偏好。

（二）同类技术的使用

除 Cookie 外，我们还会使用网站信标、像素标签等同类技术，具体用途如下：

1. 网站信标：嵌入在平台网页或电子邮件中的透明图像，用于统计网页访问量、确认用户是否打开电子邮件（如向您发送的业务通知邮件中嵌入网站信标，若您打开邮件，我们可获知邮件已送达并被查看）。
2. 像素标签：与网站信标功能类似，用于跟踪用户在平台内的操作行为（如点击某个按钮、浏览某个页面的时长），帮助我们分析服务使用情况、优化页面设计。

若您不希望被此类技术追踪，可通过以下方式操作：

• 关闭电子邮件图片显示功能（如在邮箱设置中选择 “不显示远程图片”），以阻止邮件中的网站信标或像素标签生效；
• 通过浏览器设置阻止 Cookie，部分同类技术（如依赖 Cookie 的像素标签）将随 Cookie 的阻止而无法正常工作。

八、我们如何保护和保存您的个人信息

（一）信息安全保护措施

我们采用符合国际标准和行业规范的安全技术与管理措施，保障您的信息不被未经授权访问、使用、披露或篡改：

1. 技术防护：

• 数据传输加密：您与平台之间的信息传输（如注册信息、登录密码、业务数据）采用 SSL/TLS 加密技术，确保数据在传输过程中不被拦截或窃取；
• 存储加密：敏感信息（如登录密码）采用不可逆加密算法（如 SHA-256）存储，即使数据存储系统被非法访问，也无法还原原始信息；
• 访问控制：建立严格的权限管理体系，仅授权人员（如负责账户审核的员工）可访问您的信息，且访问行为会被记录日志，便于后续审计；
• 安全监测：部署入侵检测系统（IDS）、防火墙等设备，实时监测网络攻击、异常访问行为，及时发现并处置安全风险（如拦截陌生 IP 的多次登录尝试）。

2. 管理防护：

• 员工培训：定期对员工进行个人信息保护法律法规培训、信息安全意识培训，明确员工信息处理权限与责任，禁止员工擅自访问或披露用户信息；
• 保密协议：与接触用户信息的员工、合作伙伴签署保密协议，约定信息保护义务，若违反协议需承担相应法律责任；
• 安全审计：定期（每季度至少一次）对信息处理流程、安全防护措施进行内部审计，或委托第三方机构进行安全评估，及时发现并修复安全漏洞。

（二）信息保存期限与地域

1. 保存期限：

我们仅在实现本政策所述目的的必要期限内保存您的信息，具体保存期限如下：

• 账户信息（手机号 / 邮箱、密码、实名信息）：在您的账户存续期间（即未注销账户）持续保存；若您注销账户，我们会在注销完成后 15 个工作日内删除或匿名化处理该等信息（法律法规要求留存的除外，如用于应对可能的诉讼，保存期限不超过诉讼时效届满之日）；
• 设备信息、日志信息：保存期限不超过 1 年，逾期后将自动删除或匿名化处理（如删除设备标识符与身份信息的关联关系）；
• 业务数据：由您自行决定保存期限，您可随时操作删除，若您未主动删除，我们会在您停止使用平台服务后 6 个月内，提醒您备份或删除数据，逾期未操作的，将对数据进行匿名化处理。

2. 保存地域：

您的信息均存储在中国大陆境内的服务器上，我们不会将您的信息传输至境外，除非法律法规另有规定或经您明确同意（如您的企业有境外业务需求，需将部分业务数据传输至境外，我们会事先告知您传输的目的、范围及安全措施，并征得您的同意）。

（三）安全事件处置

若发生个人信息安全事件（如数据泄露、丢失、被非法访问），我们将按照《个人信息保护法》等法律法规要求，采取以下措施：

1. 应急处置：立即启动应急预案，采取技术措施（如关闭受影响的系统、修复安全漏洞）阻止安全事件扩大，降低损害风险；
2. 信息通知：在确认安全事件后 72 小时内，通过邮件、短信、站内信或平台公告等方式向您告知以下内容：
   • 安全事件的基本情况（如泄露的信息类型、影响范围）；
   • 已采取或将要采取的处置措施（如修复漏洞、重置账户密码）；
   • 您可自主防范的措施（如修改密码、警惕诈骗信息）；
   • 联系方式（如客服电话、邮箱），便于您咨询相关情况；

   若难以逐一告知所有受影响用户，我们会通过平台官网、APP 弹窗等方式发布公告，确保您能及时获知相关信息。

3. 合规上报：按照监管部门（如网信部门、工业和信息化部门）要求，及时上报安全事件的处置情况，接受监管部门的指导与监督。

九、未成年人用户信息的特别约定

1. 我们的平台服务主要面向成人（18 周岁及以上），不主动向未成年人（18 周岁以下）提供服务。若您为未成年人，需在父母或监护人的陪同下阅读本政策，并在获得父母或监护人明确同意后，方可注册、登录或使用平台服务。
2. 若未成年人在未获得父母或监护人同意的情况下使用平台服务，父母或监护人可联系我们（客服电话：400-850-0697；邮箱：info@medbit.cn），提供未成年人身份信息及监护关系证明（如户口本、出生证明），申请注销账户并删除相关信息，我们会在验证材料真实性后 3 个工作日内完成处理。
3. 对于经父母或监护人同意收集的未成年人信息（如未成年人作为企业员工，需提交的身份信息用于入职备案），我们仅在法律法规允许、父母或监护人同意或保护未成年人权益所必需的范围内使用，不用于与服务无关的用途，且不会向第三方共享未成年人信息（除非经父母或监护人明确同意）。

十、隐私政策的更新与通知

1. 随着法律法规修订、平台服务功能升级或用户需求变化，我们可能会对本隐私政策进行修订。修订后的政策会在平台 web 端 “隐私政策” 页面、APP “设置 - 关于 - 隐私政策” 页面发布，且修订日期会标注在政策标题下方，便于您查看更新时间。
2. 对于重大修订（可能影响您的信息权益或使用体验的修订），我们会采取更显著的通知方式，包括但不限于：
   • 在平台登录页面、首页弹窗提示您阅读修订后的政策；
   • 向您的注册手机号或邮箱发送政策更新通知；
   • 在平台公告栏发布专项更新公告，说明修订的主要内容及影响。

   重大修订包括但不限于：

   • 信息处理目的、类型或使用方式发生重大变化（如新增基于信息的广告推送功能）；
   • 信息共享、转让、公开披露的范围或对象发生重大变化（如新增与第三方机构的信息共享合作）；
   • 您管理信息的权利及行使方式发生重大变化（如注销账户的流程调整）；
   • 负责信息安全的责任部门、联系方式发生变化；
   • 信息安全影响评估报告表明存在高风险。
3. 修订后的隐私政策自发布之日起生效（重大修订需经您重新同意后生效，如您点击弹窗中的 “同意” 按钮）。若您在政策更新后继续使用平台服务，即表示您已充分理解并同意修订后的政策；若您不同意修订后的政策，请立即停止使用平台服务，并可申请注销账户。
4. 我们还会将本声明和政策的历史版本存档，供您查阅。

十一、如何联系我们

若您对本隐私政策有任何疑问、意见或投诉，或需要行使信息管理权利（如查询、删除信息、注销账户），可通过以下方式联系我们：

1. 客服电话：400-850-0697（服务时间：工作日 9:00-18:00，法定节假日除外）；
2. 客服邮箱：info@medbit.cn（我们会在 15 个工作日内回复您的邮件）；
3. 联系地址：江苏省无锡市经济开发区震泽路 688 号太湖湾信息技术产业园 1 号楼 805 室。

若您对我们的回复不满意，或认为我们的个人信息处理行为损害了您的合法权益，可通过以下外部途径寻求帮助：

• 国家移动互联网应用安全管理中心：登录 http://www.cnaac.org.cn/report.html 提交投诉或举报；

无锡慧方科技有限公司