隐私政策

MindSpectrum 致力于保护您的隐私和敏感的心理评估数据安全。本隐私政策详细说明了我们如何严格遵守 HIPAA（健康保险携带与责任法案）、GDPR（通用数据保护条例）、CCPA（加州消费者隐私法案）及其他适用的国际隐私法规，收集、使用、保护及管理您的个人和健康信息。鉴于心理健康信息的敏感性，我们采用最高标准的数据保护措施，以确保您的心理评估结果和个人信息保持机密且安全。

我们仅收集提供心理评估服务所必需的基本信息：账号注册信息（姓名、电子邮件、出生日期以验证年龄）、评估回答与结果、用于提升平台功能的使用分析、用于安全监控的技术日志，以及通过符合 PCI-DSS 标准的第三方提供商处理的可选支付信息。我们严格遵守 HIPAA 和 GDPR 下的数据最小化原则，仅收集提供评估服务所需的必要信息。您的评估数据被归类为受保护健康信息（PHI），并受到增强的安全保护。我们绝不收集您的物理位置，设备标识符均匿名处理，所有健康数据收集均需明确知情同意。

您的心理评估数据仅用于以下目的：提供评估报告和见解，跟踪您的个人心理健康趋势（若您启用此功能），通过匿名汇总分析改进评估算法和平台功能，以及在请求时提供技术支持。我们绝不销售、出租或与第三方共享您的可识别健康信息用于营销或商业目的。未经您明确书面同意或法律要求，我们不会与保险公司、雇主、教育机构或政府机关分享您的评估结果。所有数据处理活动均遵循 HIPAA 的最少必要标准，并在 GDPR 下具备文件化的合法依据。

我们实施超出 HIPAA 技术保障要求的医疗级安全措施：静态数据采用 AES-256 加密，传输数据采用 TLS 1.3，多因素认证（MFA）保护所有账户，定期由独立安全公司进行渗透测试，采用符合 HIPAA 要求的 AWS/GCP 医疗配置云基础设施，自动安全监控和入侵检测系统，年度第三方 HIPAA 合规审计，灾难恢复及业务连续性方案，以及严格的访问控制，限制员工按需访问 PHI。所有员工均参加年度 HIPAA 隐私与安全培训。我们完整记录所有访问您评估数据的审计日志。

根据 HIPAA 隐私规则和 GDPR，您拥有全面权利：访问权（30天内下载完整 PHI 复制本），更正权（请求修正错误评估数据），删除权（请求完整删除数据，有限例外除外），数据可携权（以机器可读格式导出评估结果），限制处理权（限制我们使用您的数据方式），反对权（选择退出可选数据使用），撤销同意权（撤销数据处理同意），以及披露帐目权（获取访问您 PHI 的人名单）。您可通过账户隐私设置或联系隐私负责人行使以上权利。

您对数据保留有完全控制权。活跃账户：评估数据将无限期保留，直至您请求删除。非活跃账户（24个月无登录）：我们将通过电子邮件通知您，随后归档数据。已删除账户：所有评估数据将在30天内永久删除，采用符合 NIST 800-88 标准的安全销毁方法。用于研究的汇总匿名数据可能保留，但不含任何可识别信息。您可在删除前随时下载完整评估记录。

如果您从美国境外访问 MindSpectrum，您的数据可能会被传输至美国并在那里处理。我们采取经欧洲委员会批准的标准合同条款（SCCs）以确保 GDPR 合规，并对国际数据传输实施同等保护。欧盟用户的数据处理符合 GDPR 第49条关于明确同意及必要服务的例外规定。

如有隐私问题、行使您的权利或举报疑虑，请联系：发送电子邮件至 [email protected]，邮寄至 MindSpectrum 隐私负责人 [公司地址]，或使用我们符合 HIPAA 要求的安全联系表单。我们会在 HIPAA 和 GDPR 要求的30天内回复隐私请求。数据泄露通知或安全问题请立即联系 [email protected]。