隐私政策。
REGARA™ 如何收集、使用、共享和保护个人数据,以及您如何依据适用的隐私与数据保护法行使权利。
REGARA™ Corporation("REGARA"、"我们")尊重您的隐私权,并致力于保障和保护我们持有的关于您的所有信息。本隐私政策说明我们如何收集、使用和共享与可识别个人相关的信息("个人数据"),以及您如何依据适用的隐私与数据保护法行使权利。
如果您对我们使用您个人数据有任何疑问或顾虑,或希望行使您的任何隐私权利(包括在适用情形下的反对权),请通过第 12 节"如何联系我们"中的联系方式与我们联系。
REGARA™ 提供一个安全的 AI 平台("服务"),用以提升生产力并为生命科学法规事务专业人士(包括从事医疗器械、药品、生物制品和体外诊断申报资料工作的人员)自动化复杂的工作流程。REGARA™ 总部位于美国。
关于各司法辖区的特定条款,请参阅第 8 节"各司法辖区特定条款"。
我们建议您完整阅读本隐私政策,以确保您充分了解 REGARA™ 对您个人数据的收集与使用。
1. 本隐私政策的适用范围
本隐私政策说明 REGARA™ 如何处理通过我们的网站(例如 regara.ai 和 help.regara.ai,我们的"网站")、服务以及您与 REGARA™ 的其他互动,从您处或关于您所收集的个人数据。
REGARA™ 的服务面向生命科学企业、申办方及其他实体(我们的"客户")提供供专业使用。我们与客户签订协议(例如平台协议、试点协议、评估协议、服务条款、数据处理协议等)。这些协议管辖服务的提供与使用("客户协议")。
本隐私政策不适用于在我们平台上生成的任何输入或输出,亦不适用于上传到我们平台的文档(包括法规申报资料、研究报告或往来函件)。我们代表客户处理此类数据,并将其称为"客户数据"和"内容"。REGARA™ 对通过服务接收的客户数据和内容的使用,受相应客户协议的管辖。REGARA™ 作为处理者处理客户数据和内容,因此与该等数据有关的任何查询应向作为控制者的客户提出。
本隐私政策仅在 REGARA™ 为个人数据的控制者时适用。
返回顶部2. 我们收集和处理的个人数据
在我们开展业务、提供服务和运营网站的过程中,我们以不同方式、从不同来源收集和接收个人数据。这些个人数据包括:
您直接提供的信息
当您在我们处创建账户、使用服务或以其他方式与我们互动时,我们直接从您处收集个人数据。这包括:
a) 账户信息
当您(或您的雇主)创建账户时,以及在您使用服务的整个期间,我们会收集与您账户相关的某些信息,包括您的姓名、电子邮件地址、关于您职业和职业经历的信息(例如法规专业领域、与监管机构打交道的经验、您所从事的申报资料类型)、语言偏好、账户凭据、付款信息以及您与我们的交易历史(统称"账户信息")。
b) 通信信息
如果您与我们沟通(例如就我们的服务联系我们、完成调查问卷、与我们的网站互动或请求支持),我们会收集您的姓名、电子邮件地址、关于您职业的信息、您对调查的回答、您与我们的通信和服务互动的方式,以及您发送的任何消息的内容(统称"通信信息")。
c) 社交媒体信息
我们在 LinkedIn 和 X 等社交媒体服务上设有页面。当您通过社交媒体与我们的页面、员工或代表互动时,我们会收集您选择提供的个人数据,例如您的联系方式以及您的消息、帖子或资料的内容。此外,第三方可能向我们提供有关我们社交媒体活动的汇总信息和分析(统称"社交媒体信息")。
我们自动收集的信息
我们以间接方式(包括通过自动化手段从您的计算机或设备)收集个人数据。此类信息包括:
a) 日志数据
当您使用我们的服务或访问我们的网站时,您的浏览器或设备自动发送的信息。日志数据包括您的互联网协议地址、浏览器信息、您请求的日期和时间,以及您使用某些功能或与我们互动的方式(统称"日志数据")。
b) 服务使用数据
当您与服务互动时,会生成元数据,为您对服务的使用提供额外的背景信息。这包括您的电子邮件地址、账户标识符、关于您访问网站频率的数据、您与服务互动的方式、使用服务所花费的时间、您发送的查询量、查询类型、您互动的功能,以及这些功能在您的互动中的表现(统称"使用数据")。
c) Cookie 及类似技术
我们使用 Cookie、脚本或类似技术(统称"Cookie 及类似技术")来管理服务,并收集有关您以及您对服务和网站使用的信息。Cookie 是您所访问的网站为识别目的而传输到您计算机上的一小段信息。这些技术帮助我们识别您、个性化您的体验、推广额外的产品或服务、了解您的偏好、改善您在网站上的体验,以及分析服务的使用以使其更安全、更有用。有关我们如何使用这些技术、您的退出控制以及其他选项的更多详情,请参阅我们位于 www.regara.ai/legal/cookie-policy 的 Cookie 政策。
d) 设备信息
当您安装、访问或使用我们的服务并与我们的网站互动时,我们还会收集某些特定于设备和连接的信息。这包括设备名称、操作系统、设备标识符以及您使用的浏览器等信息(统称"设备信息")。所收集的具体设备信息将取决于您使用的设备类型及其设置。
我们从第三方收集的信息
我们还会从受信任的合作伙伴处接收关于您的某些信息,例如:
- a) 安全合作伙伴,可能向我们提供诸如已泄露的凭据和个人数据等信息,以保护我们免受欺诈、滥用和其他安全威胁;
- b) 营销供应商,向我们提供有关我们服务潜在客户的信息,例如联系方式(姓名、电子邮件、实际地址、电话)以及有关职业从属关系和雇佣情况的信息;
- c) 广告供应商(包括社交媒体服务),可能向我们提供诸如与我们的营销邮件、社交媒体帖子和其他广告互动等信息;以及
- d) 市场调研公司、调查公司和活动主办方(例如 RAPS、DIA、AdvaMed 和 BIO 等法规事务展会和大会),可能向我们提供有关您的信息,包括联系方式、有关您职业从属关系和雇佣情况的信息,以及与您使用我们的服务和网站、您的业务和您对人工智能的使用相关的信息(统称"市场调研信息")。
((a)、(b)、(c) 和 (d) 统称"从第三方收集的信息")。
公开可得的信息
我们收集有关客户和潜在客户的公开可得信息,以协助提供和交付我们的服务。
我们还使用公开可得的信息——例如 FDA 指导文件、EMA 科学意见、PMDA 审查报告、510(k) 公开摘要、警告信、咨询委员会记录、公开临床试验登记和共识标准——以开发、训练和改进我们的 AI 平台(统称"公开可得的信息")。
有关用于训练、维护和开发我们 AI 平台的信息来源,以及我们为尽量减少对个人隐私的影响所采取措施的更多信息,请参阅我们关于模型训练的披露。
返回顶部3. 我们如何使用个人数据
我们可能将本隐私政策涵盖的个人数据用于以下目的:
- 提供和维护我们的服务;
- 为我们的服务计费;
- 开发、改进和更新我们的服务及新功能;
- 开发、改进和更新我们提供支持及开展其他业务实践的方式;
- 开展研究或调查;
- 研究我们服务的有效性、了解其使用方式并评估用户的需求和偏好;
- 个性化您对我们服务、应用程序或平台的使用;
- 提供客户支持并解决错误、问题或查询;
- 与您沟通,包括发送有关我们服务和活动的信息或营销内容;
- 评估您对我们服务的适用性并加以推介或推广。在法律允许的范围内(包括在必要时取得您的明确同意),我们使用并与他人共享您的个人数据以向您营销我们的服务,包括基于兴趣的广告;
- 防止欺诈、犯罪活动或对我们服务的滥用,并保护我们系统和服务的安全;以及
- 遵守法律义务,并保护我们用户、我们自身、我们关联公司或任何第三方的权利、隐私、安全或财产。
我们可能对个人数据进行汇总或匿名化处理,使您无法再被识别,并将汇总或匿名化的数据用于以下目的:
- 研究并探究我们服务的有效性;
- 更新和改进我们的服务;
- 开发、改进和更新我们提供支持及开展其他业务实践的方式;
- 开展研究和调查;以及
- 共享或发布有关我们服务使用情况的汇总信息,例如在我们的博客或社交媒体上。
除非法律要求,我们不会试图重新识别此类信息。
我们作为控制者处理个人数据的目的细节,以及我们在欧洲经济区和英国所依据的法律依据,载于各司法辖区特定条款中。
返回顶部5. 我们如何保护您的个人数据
您信息的安全对我们至关重要。我们通过旨在降低对您个人数据进行非法或未经授权的访问、销毁、丢失、篡改、披露或使用风险的技术和组织措施来保护您的个人数据。这些措施旨在提供与处理风险相称的安全级别。
REGARA™ 维护一套通过 ISO 27001 认证的信息安全管理体系、一项 SOC 2 Type II 计划,以及与 HIPAA 对齐的控制措施。有关我们安全态势的更详细概览,请参阅我们的安全与信任页面。
返回顶部6. 国际数据传输
在某些情况下,我们可能将您的个人数据传输至其来源国以外的国家。这些国家的数据保护法可能与您所在国家的不同。
当您访问我们的网站或使用我们的服务时,您的个人数据可能被传输至我们位于美国的服务器,或其他国家,包括欧洲经济区("EEA")、瑞士和英国("UK")以外的国家。这可能是将您的个人数据直接传送给我们,或由我们或第三方进行的传输。当第 2 节所述的个人数据被传输至来源国以外且法律有此要求时(包括在 EEA、瑞士或 UK),我们会依据以下方式确保其获得充分的数据保护水平:
充分性决定
由官方机构作出的决定——例如欧盟委员会根据 GDPR 第 45 条作出的决定(或其他法律下的同等决定)——承认来源国以外的某国提供充分的数据保护水平。我们在数据隐私框架下将源自 EEA、瑞士或 UK 的个人数据传输至美国,并传输至具有充分性决定的其他国家。
标准合同条款
对于未被认定为充分的司法辖区,我们依赖其他合法的传输机制("适当保障措施"),例如根据 GDPR 第 46(2) 条于 2021 年 6 月 4 日发布的标准合同条款、UK 的同等条款,以及就源自瑞士的个人数据传输适用的经修订的《联邦数据保护法》。
我们确保上述机制与我们的集团公司和外部服务提供商一同实施。有关我们在任何数据共享安排中所依据的法律机制的更多信息,请通过 info@regara.ai 联系我们。
例外或减损
在有限的情况下,我们可能依据 GDPR 第 49 条的减损规定,例如您的明确同意,或因传输对于法律主张的提出、行使或抗辩是必要的。
数据隐私框架
我们遵守由美国商务部确立的欧盟-美国数据隐私框架("EU-US DPF")、EU-US DPF 的英国扩展("英国扩展")和瑞士-美国数据隐私框架("Swiss-US DPF")。REGARA™ 已向美国商务部证明,就接收自欧盟和 UK 的个人数据的处理遵守 EU-US DPF 原则,就接收自瑞士的个人数据的处理遵守 Swiss-US DPF 原则。如本隐私政策的条款与 DPF 原则之间存在任何冲突,以该等原则为准。如需更多信息并查看我们的认证,请访问 dataprivacyframework.gov。
合作承诺。根据 EU-US DPF、英国扩展和 Swiss-US DPF,REGARA™ 承诺就我们在框架下接收的个人数据处理的未解决投诉,与欧盟数据保护机构("DPA")、UK 信息专员办公室("ICO")以及瑞士联邦数据保护和信息专员("FDPIC")合作。
联邦贸易委员会。联邦贸易委员会对 REGARA™ 遵守 EU-US DPF、英国扩展和 Swiss-US DPF 拥有管辖权。
仲裁权。在某些条件下,您可就有关遵守数据隐私框架的投诉援引具有约束力的仲裁。
对后续转移的责任。我们对我们接收并随后转移给第三方的个人信息的处理承担责任。在发生后续转移的情况下,如第三方以与数据隐私框架原则不符的方式处理个人信息,REGARA™ 仍须承担责任,除非我们能够证明我们对造成损害的事件不负责任。
如您希望就我们对 DPF 的使用提出疑问或投诉与我们联系,请写信至 info@regara.ai。
返回顶部7. 数据保留
我们在为本隐私政策所述目的所需的期间内保留从您处收集的个人数据。如果您与我们订有客户协议,我们将依据该协议删除您的数据。
我们保留个人数据的时间取决于若干因素,包括我们是否需要保留这些数据以:
- 遵守您的客户协议或您雇主的客户协议的条款;
- 遵守或证明遵守我们的法律义务、解决争议或执行我们的协议;以及
- 就账户信息而言,遵守我们的税务、会计和审计要求。
注意:由于 REGARA™ 支持受监管的生命科学工作流程,客户数据和内容(您法规申报资料及相关产物的实质内容)将依据客户协议的条款以及客户自身在适用法律下的文档保留义务予以保留——例如 21 CFR Part 11、欧盟 GMP 附录 11 和 ICH Q10 的同等规定——这些往往要求远超典型 SaaS 生命周期的保留期限。
当我们不再有持续的合法商业需求和法律依据来处理您的个人数据时,我们将删除或匿名化这些数据,或者——如果无法做到(例如因为您的个人数据已存储于备份归档中)——我们将其安全存储并与任何进一步的处理隔离,直至可以删除为止。
返回顶部8. 各司法辖区特定条款
EEA、UK 和瑞士
我们依据适用数据保护法下的若干法律依据——例如《通用数据保护条例》("GDPR")或英国数据保护条例("英国 GDPR")——为本隐私政策所定目的处理个人数据。这些法律依据为:
a) 合同必要性——当我们需要进行此项处理以与您订立并履行合同时。例如,我们需要某些个人数据来提供和支持服务。
b) 法律义务——当我们必须处理和保留您的个人数据以遵守法律或满足某些法律义务时。
c) 同意——在某些情况下,我们可能在收集、使用或披露您的个人数据之前征求您的同意。您可随时撤回同意。
d) 合法利益——当处理对于 REGARA™ 或第三方的合法利益是必要的,但仅当我们确信您的隐私权利仍将得到充分保护时。这些利益包括运营我们的业务和服务、改进它们、开展营销活动、为您个性化服务、检测或预防非法活动,以及管理我们 IT 基础设施的安全。
目的与依据对照表
| 我们为何及如何处理 | 信息类别 |
|---|---|
| 合同必要性——为创建和维护您的账户并提供我们的服务。 我们收集信息以设置您的 REGARA™ 账户并使您能够使用服务。 |
|
| 合同必要性——为发送与服务相关的通信。 我们可能就服务向您发送通信:验证您的电子邮件、确认购买、通知您新的优惠,或告知您服务、本隐私政策或我们条款的变更。 |
|
| 合同必要性——为提供客户支持。 我们使用您的信息来回应支持请求并解决问题。 |
|
| 法律义务——为遵守我们的法律义务。 例如,为回应监管机构、执法部门或其他方的有效法律请求而保留或披露信息;或实施适当的安全措施。 |
|
| 同意——广告。 在某些国家,我们可能需要您的同意才能向您发送直接营销信息。我们发送的每封邮件中都会提供退出的机会。 |
|
| 合法利益——为改进和发展服务。 了解我们的服务如何被使用并发展壮大我们的业务,符合我们的合法利益。 |
|
| 合法利益——为保持服务的安全。 为检测、调查和防范滥用、违规、知识产权侵权、犯罪、疑似欺诈、损害、对我们条款的疑似违反以及安全风险。 |
|
| 合法利益——为个性化服务。 为呈现与您的职业和法规实践相关的产品和功能。 |
|
| 合法利益——为保护我们的法律权利。 为确立或行使法律权利,或针对所提出的主张进行抗辩。 |
|
| 合法利益——在重组或融资的情况下。 此类交易可能是必要的,并符合我们的合法利益,以使我们的业务得以长期发展。 |
|
| 合法利益——通过电子邮件和电话进行营销。 在法律允许的情况下,这可以基于我们的合法利益。在法律要求的情况下,将基于您的同意。 |
|
美国
如果您是位于美国的消费者,我们将依据美国隐私法处理您的个人数据,包括经 2020 年《加州隐私权法》修订的 2018 年《加州消费者隐私法》("CCPA")。
REGARA™ 不会为换取对价而向第三方出售或共享个人数据。在适用法律允许的范围内,我们可能向协助我们推广产品和服务的外部合作伙伴(例如广告合作伙伴、分析提供商和社交网络)提供访问我们网站或以其他方式为营销目的提供其个人数据的人员的个人数据。这在 CCPA 和其他适用的美国隐私法下可能被视为数据的"出售"或"共享"。据我们所知,REGARA™ 不会出售 18 岁以下人员的个人信息。
作为美国消费者——并受某些限制——您可能就我们对您个人数据的使用和披露拥有选择权。除第 10 节所述权利外,其他权利包括:
- 知情权:请求信息,包括收集您个人数据的类别和目的,以及向其披露的第三方。
- 退出出售或共享的权利:我们不会为换取对价而出售或共享您的个人数据。如前所述,我们可能为定向广告共享某些信息;在法律要求的情况下,我们在"您的隐私选择"中提供退出选项。
加拿大
尽管有任何相反规定,在加拿大,我们仅依据加拿大法律收集、使用和披露有关您的信息。在法律要求时,我们仅在取得同意或提供适当通知的情况下处理个人数据。您有权撤回对个人数据收集、使用和披露的同意,但须受适用法律的限制。撤回同意不影响您在撤回之日前所给予的任何同意的有效性。根据您居住的省份,您还可能拥有访问、更正、可携带性以及(在魁北克)停止传播的权利。
返回顶部9. 未成年人数据
我们的网站和服务并非面向 18 岁以下的人士。REGARA™ 不会在知情的情况下收集 18 岁以下人士的个人数据。如果您有理由相信某位 18 岁以下的人士向 REGARA™ 提供了个人数据,请写信至 info@regara.ai,我们将尽力从我们的系统中删除该等信息。
返回顶部10. 您的数据保护权利
在符合某些例外的情况下并于适用时,您可以:
- 访问、更正、更新或请求删除您的个人数据;
- 反对处理您的个人数据或要求我们限制处理;
- 请求您个人数据的可携带性,即以可读、标准化的格式转移您的数据;
- 随时通过点击营销邮件中的"取消订阅"或"退出"链接,或联系我们,退出营销通信。如果您退出,我们仍会向您发送非促销性邮件(例如有关您账户或我们持续业务关系的邮件);
- 如果我们在取得您同意的情况下收集和处理您的个人数据,可随时撤回同意。撤回不影响撤回前处理的合法性;
- 有权向监管机构提出投诉。
如需行使您的任何权利,请通过第 12 节的联系方式与我们联系。我们将依据适用的数据保护法回应所有请求。
返回顶部11. 本隐私政策的更新
我们可能因法律、监管、技术或商业变化,不时更新本隐私政策。当我们更新隐私政策时,我们将根据所作变更的重要性,采取适当措施通知您。
您可以通过查看顶部显示的"最后更新"日期,了解本隐私政策最近一次更新的时间。
返回顶部12. 如何联系我们
如果您对我们使用您个人数据有任何疑问或顾虑,请通过 info@regara.ai 联系我们的数据保护官。
您也可以写信至:
REGARA™
8400 W Sunset Rd #300
Las Vegas, NV 89113
美国
或联系我们的欧盟代表。
EEA 代表
待指定——联系方式将在开始处理 EEA 居民数据之前在此公布。
数据保护官
待指定——在此之前,请将所有往来函件寄至数据保护官 info@regara.ai。
返回顶部历史版本
无历史版本。这是 REGARA™ 的首份隐私政策。