版本号:v3.1
更新日期:2026年5月22日
生效日期:2026年5月22日
适用范围:本政策适用于杭州全诊医学科技有限公司提供的“全诊通”Android 客户端、iOS 客户端及与客户端配套的 Web/H5 页面;医院私有化部署或 SaaS 服务中涉及患者医疗业务数据的处理,适用本政策第九章“关于医疗机构受托处理”的特别说明。
全诊通由杭州全诊医学科技有限公司(以下简称“我们”)提供。我们非常重视您的个人信息和隐私保护,并承诺遵循合法、正当、必要、诚信原则,按照公开透明、目的明确、最小必要、质量保证、安全保障、主体参与、责任明确的要求处理您的个人信息。
请您在使用全诊通前仔细阅读并充分理解本政策,特别是加粗或红色标识的条款,以及涉及敏感个人信息、系统权限、第三方 SDK、设备 MAC 地址、软件安装列表/应用列表、自动化决策、个人信息出境、撤回同意和账号注销的内容。您点击“同意并继续”后,我们才会按照本政策处理您的个人信息;在您同意前,我们不会初始化任何会采集个人信息的第三方 SDK,不会进行自启动或关联启动,也不会申请相机、照片、存储、麦克风、定位、通知等系统权限。
针对人脸识别、医疗健康、身份证件、精准定位等敏感个人信息,以及个人信息出境、公开披露、自动化决策中对个人权益有重大影响的处理活动,我们将通过弹窗、单独勾选或二次确认等显著方式取得您的单独同意,不与本政策的整体同意混同。
本政策适用于:(1)注册并使用全诊通的医务人员,包括医师、护士、药师、技师等认证用户;(2)医疗机构管理员、机构运营人员等机构用户;(3)因业务合作、客服支持、运维保障等需要使用本产品的合作运营人员。
全诊通不面向未成年人独立注册或使用。医务人员在医疗业务流程中处理的患者个人信息,由所属医疗机构作为个人信息处理者承担主体责任,我们仅作为受托处理者按照医疗机构指令协助处理,具体见本政策第九章。
一、我们如何收集和使用您的个人信息
二、我们如何处理敏感个人信息
三、我们如何使用 Cookies 和同类技术
四、自动化决策与算法处理
五、我们如何共享、转让、公开披露您的个人信息
六、个人信息的存储与境内外传输
七、我们如何保护您的个人信息
八、您的权利与如何管理您的信息
九、关于医疗机构受托处理
十、个人信息安全事件应急响应
十一、未成年人个人信息保护
十二、本政策的更新
十三、如何联系我们
个人信息是指以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。我们根据《个人信息保护法》第十三条规定的合法性基础处理您的个人信息,包括取得您的同意、为订立或履行合同所必需、履行法定职责或法定义务所必需、应对突发公共卫生事件或紧急情况下保护自然人生命健康和财产安全所必需、依法在合理范围内处理您自行公开或其他已经合法公开的个人信息,以及法律法规规定的其他情形。
当您注册、登录、完善账号资料、进行医务人员身份认证、绑定所属机构或使用需要认证身份后方可开通的业务功能时,我们会根据具体功能收集下列信息。若您拒绝提供,可能无法完成认证、机构绑定或使用相关功能,但不影响您使用无需认证的基础功能。
| 信息类型 | 具体场景与必要性说明 | 收集方式 | 拒绝或撤回后的影响 |
|---|---|---|---|
| 手机号、验证码、账号密码 | 用于注册登录、账号识别、安全验证、找回账号、客服核验;是创建和保护账号所必需的信息。 | 您主动填写、提交或通过短信验证码验证。 | 无法注册、登录、找回账号或完成安全验证。 |
| 姓名、工作单位、工号、科室、职称、专业 | 用于核验医务人员或机构人员身份,绑定所属医疗机构,配置机构业务权限,保障医疗业务记录准确性。 | 您主动填写、提交,或由所属医疗机构管理员导入。 | 可能无法完成实名认证、机构绑定或使用机构业务功能。 |
| 执业资质、职业资格、身份证件相关信息 | 用于医务人员身份认证、依法核验执业资格和防止冒用身份;身份证件信息属于敏感个人信息,我们会单独告知并取得单独同意。 | 您主动上传证件或填写认证信息;必要时由所属机构确认。 | 可能无法完成医务人员认证或开通需认证的业务权限。 |
| 头像、昵称、个人简介、执业展示信息 | 用于账号资料展示、医生主页展示、机构内部协作识别。您可自主决定是否补充非必填资料。 | 您主动填写、上传或修改。 | 不影响基础使用,但可能影响资料完整展示。 |
| 设备信息、登录日志、操作日志、网络信息 | 用于登录安全、异常检测、故障排查、反作弊、推送通道稳定、审计留痕和保障服务稳定运行。设备信息可能包括设备型号、设备品牌、操作系统版本、应用版本、网络类型、IP 地址、Android ID、OAID、GAID、设备硬件序列号、设备 MAC 地址、软件安装列表/应用列表等。 | 在您同意本政策并使用服务时由系统自动产生或记录;如由第三方 SDK 处理,具体 SDK 名称、处理目的、方式和信息范围详见本政策 1.4 第三方 SDK 目录。 | 该类信息为保障账号与服务安全所必需;拒绝可能导致无法安全使用服务。 |
我们仅在您主动使用相应功能时申请必要权限,并在申请前以系统弹窗或页面提示说明使用目的、使用方式和使用范围。您可拒绝授权;拒绝后仅影响对应功能,不影响其他无关功能。您也可通过手机系统设置随时关闭相关权限。
| 权限或信息 | 使用目的 | 使用方式 | 使用范围 |
|---|---|---|---|
| 相机权限 | 用于扫码、识别医保编码、拍摄反馈图片或头像、面容录入或人脸核验等由您主动触发的功能。 | 在您点击扫码、拍摄、上传头像、面容录入或人脸核验等功能后,通过系统弹窗向您申请授权;获得授权后,仅在对应功能运行期间调用摄像头,不会在后台开启摄像头。 | 仅处理实时扫码画面、您确认拍摄或上传的图片、头像,以及完成身份核验所必需的信息。人脸识别相关信息属于敏感个人信息,我们会单独告知并取得您的单独同意,不用于无关分析或营销。 |
| 照片、相册或存储权限 | 用于上传头像、上传业务资料、选择文件、提交反馈图片、下载或缓存必要业务文件。 | 在您点击上传、选择、保存或下载相关功能时,通过系统相册、文件选择器或权限弹窗调用;我们仅读取、写入或缓存您主动选择或业务必需的内容。 | 仅限您主动选择的图片、文件以及实现当前业务所需的缓存文件,不会遍历、读取或上传您相册、文件夹中的无关内容。 |
| 麦克风权限 | 用于您主动使用语音输入、语音识别、录音上传等功能。 | 在您点击语音输入、录音或上传语音等功能后,通过系统弹窗向您申请授权;获得授权后,仅在您开始录音至停止录音或离开相关页面期间调用麦克风。 | 仅处理当前语音功能所需的音频内容,不会后台录音,不会将麦克风权限用于画像或营销。 |
| 通知权限 | 用于接收业务提醒、服务进度、安全验证或风险预警,帮助您及时获知与账号和服务相关的信息。 | 在您同意本政策并开启通知功能,或首次需要向您推送通知时,通过系统弹窗或页面提示向您申请授权;授权后通过系统或第三方推送通道发送相关通知。 | 仅限与您的账号、已开通业务、服务状态和安全风控相关的通知,不用于无关商业营销。您关闭通知后,可能无法及时接收业务通知,但可主动打开 App 查看。 |
| 定位或地区信息 | 用于机构认证、地址选择、地图定位等功能;精准定位属于敏感个人信息,我们会单独告知并取得您的单独同意。 | 在您使用地图、定位或地址选择功能时,通过系统弹窗或页面提示向您申请授权;您也可以选择手动填写或选择地区、地址。 | 仅限当前定位结果、您手动选择的地区或地址,以及完成机构认证或地址选择所必需的信息。我们不会持续追踪您的行踪,不会将定位信息用于无关画像或营销。 |
| 剪切板 | 用于读取您主动复制的文书相关内容,便于在文书编辑、引用、粘贴或导入等功能中使用。 | 仅在您主动复制文书相关内容,并在 App 内使用文书编辑、粘贴、引用或导入等相关功能时读取一次必要内容;不会在后台持续读取剪切板。 | 仅限当前文书处理功能所需的文本内容,不读取剪切板中的无关内容,不用于画像、营销或其他无关用途。 |
| 传感器信息 | 用于扫码、拍摄防抖、页面适配、设备状态判断或安全风控,以提升功能可用性和账号安全。 | 仅在您使用扫码、拍摄、页面展示或安全校验等对应功能时,临时调用加速度计、陀螺仪、方向或其他必要传感器数据。 | 仅限当前功能所需的传感器状态数据,不用于识别特定自然人,不用于画像或营销;对应功能结束后即停止调用。 |
除非您主动使用系统分享、通讯录导入或其他需另行授权的明确功能,且我们另行弹窗告知并取得您的授权,我们不会申请或读取通讯录、短信、通话记录、日历等与当前服务无关的权限或信息。
在您同意本政策前,我们不会进行自启动、关联启动,也不会初始化任何会采集个人信息的第三方 SDK、统计组件、推送组件、设备识别组件或传感器监听能力;不会通过第三方 SDK 获取 IMEI、设备 MAC 地址、软件安装列表/应用列表等个人信息。
在您同意本政策后,为保障消息提醒、服务稳定性和账号安全,我们可能根据业务需要启动必要的服务组件或第三方 SDK,并且仅在对应业务功能被使用或实现必要服务时初始化。当您点击内容类推送消息时,可能会跳转至全诊通对应页面;该跳转仅在您主动点击后发生。若您关闭推送或不同意相关权限,可能无法及时接收业务通知,但不影响您主动打开 App 查看相关信息。
为实现统计分析、崩溃监控、地图定位、支付、消息推送等功能,我们可能接入第三方 SDK。我们会对第三方 SDK 进行安全评估,并通过合同或数据处理协议要求其按照合法、正当、必要原则处理个人信息。未经您同意本政策,我们不会初始化会采集个人信息的第三方 SDK;统计、崩溃、推送、设备识别类 SDK 仅在您完成首次同意并进入相应业务场景后初始化。第三方 SDK 如需处理设备 MAC 地址、软件安装列表/应用列表、设备标识符等信息,仅限于下表列明的目的、方式和范围。
重点提示:下表红色内容为第三方 SDK 在对应业务场景中可能处理的重点个人信息或设备信息,包括但不限于外置存储信息、设备标识信息(IMEI、设备序列号、OAID、MEID、Android ID、IMSI、GUID、MAC 地址、SIM 卡序列号等)、已安装 APP 信息/应用列表信息、传感器信息、剪切板、设备型号、操作系统信息、网络/Wi-Fi 信息、位置信息、应用运行信息、错误日志、推送 Token、支付订单标识等。我们将按照最小必要原则进行配置,并要求 SDK 服务提供方仅为本表列明目的处理相关信息。
| SDK 名称 | 提供方全称 | 具体场景与必要性说明 | 可能处理的信息 | 第三方隐私政策或合规链接 |
|---|---|---|---|---|
| 友盟+移动统计 SDK | 友盟同欣(北京)科技有限公司、北京锐讯灵通科技有限公司等友盟+服务提供方 | 目的与范围:用于统计分析、崩溃分析、应用运行质量分析和基础反作弊,帮助我们发现异常并改进服务稳定性。相关字段仅用于统计分析、崩溃排查、服务稳定性和安全风控,不用于识别特定自然人、无关画像或营销。 具体场景:在您同意本政策并进入 App 后初始化;仅在应用启动、页面访问、功能点击、崩溃或异常发生时采集与当前运行状态相关的信息。为完成设备去重、归因统计、异常定位和反作弊,可能自动收集 Android ID、OAID、GAID、设备硬件序列号、设备型号、设备品牌、操作系统版本、应用版本、网络类型、IP 地址、加速度传感器等传感器状态、应用运行日志、崩溃堆栈、设备 MAC 地址、软件安装列表/应用列表。 |
Android ID、OAID、GAID、设备硬件序列号、设备型号、设备品牌、操作系统版本、应用版本、网络状态、IP 地址、加速度传感器等传感器状态、设备标识符、应用运行信息、崩溃日志、设备 MAC 地址、软件安装列表/应用列表。 | https://www.umeng.com/page/policy |
| 友盟 SDK(基础组件 / 社交分享能力) | 北京锐讯灵通科技有限公司、友盟同欣(北京)科技有限公司等友盟服务提供方 | 目的与范围:用于友盟基础组件能力、渠道归因、社会化分享调用、统计组件兼容和运行质量分析。相关信息仅用于完成您主动触发的分享、渠道统计、异常定位、服务稳定性和安全风控,不用于无关画像或营销。 具体场景:在您同意本政策并进入 App 后初始化;当您主动使用分享功能,或 App 进行渠道归因、统计分析、异常定位时,可能由 SDK 读取当前设备和应用运行状态。该 SDK 可能处理设备型号、设备品牌、操作系统版本、应用版本、网络类型、IP 地址、Android ID、OAID、GAID、设备标识符、分享内容、应用运行信息、设备 MAC 地址、软件安装列表/应用列表等信息,用于设备识别、渠道归因、反作弊和推送/分享通道兼容性判断。 |
设备型号、设备品牌、操作系统版本、应用版本、网络类型、IP 地址、Android ID、OAID、GAID、设备标识符、分享内容、应用运行信息、设备 MAC 地址、软件安装列表/应用列表。 | https://www.umeng.com/page/policy |
| Flutter 框架及相关插件 | Google LLC 及 Flutter 生态插件提供方 | 目的与范围:用于页面渲染、跨平台能力支持和必要设备能力调用。Flutter 框架本身不以向 Google 传输个人信息为目的;涉及个人信息或硬件能力的插件仅在对应功能触发时调用。相关信息仅用于当前功能实现、兼容性适配和异常排查,不会持续监听,不用于无关画像或营销。 具体场景:在页面渲染、扫码拍摄、相册选择、语音录入、页面适配、防抖或安全风控等功能运行期间,通过系统授权接口或设备能力接口临时调用 相机、相册、麦克风、加速度传感器、陀螺仪、方向传感器、设备型号、系统版本、屏幕分辨率、设备状态等信息。 |
设备型号、系统版本、屏幕分辨率、设备状态信息;如启用对应插件,可能涉及相机画面、相册中您主动选择的图片或文件、麦克风音频、加速度传感器、陀螺仪、方向传感器等传感器状态。 | https://policies.google.com/privacy |
| Fundebug SDK | 杭州云麒科技有限公司(Fundebug) | 目的与范围:用于错误日志收集、异常监控和应用稳定性分析,以定位崩溃、兼容性问题并提升服务稳定性。相关信息仅用于异常排查、故障修复和服务质量改进,不用于无关画像或营销。 具体场景:在您同意本政策并使用 App 后,仅在应用发生崩溃、异常报错、页面加载异常或接口调用异常时自动收集 设备型号、系统版本、应用版本、错误日志、网络状态、页面路径和异常堆栈等必要信息。 |
设备型号、系统版本、应用版本、错误日志、网络状态、页面路径、异常堆栈。 | https://www.fundebug.com/privacy |
| 百度地图 SDK | 北京百度网讯科技有限公司 | 目的与范围:用于机构认证、地址选择、地图展示和定位服务。位置信息仅用于完成当前地图、定位或地址选择功能,不用于持续追踪、无关画像或营销。 具体场景:仅在您主动使用地图展示、定位、地址选择或机构认证相关功能,并通过系统弹窗授权定位后调用;可能收集 当前位置信息、省市区信息、设备信息和网络状态,以展示地图、定位当前位置或辅助完成地址填写。 |
位置信息、省市区信息、设备信息、网络状态。 | https://lbsyun.baidu.com/index.php?title=openprivacy |
| 微信 OpenSDK / 微信支付 | 深圳市腾讯计算机系统有限公司、财付通支付科技有限公司 | 目的与范围:用于微信登录、微信分享、微信支付和支付结果确认等由您主动触发的功能。相关信息仅用于完成对应登录、分享、支付或结果校验,不用于无关画像或营销。 具体场景:当您主动选择使用微信登录、分享内容至微信、发起微信支付或查看支付结果时调用;可能处理 您主动选择的微信头像、昵称、分享内容、支付订单标识、支付状态以及完成调用所需的设备和网络基础信息。 |
您主动选择的微信头像、昵称、分享内容、第三方应用生成的支付订单标识、支付状态、设备和网络基础信息。 | https://developers.weixin.qq.com/doc/oplatform/Mobile_App/agreement/sdk.html |
| 个推消息推送 SDK | 浙江每日互动网络科技股份有限公司 | 目的与范围:用于消息推送、生成推送目标 ID、保障消息准确下发和推送通道稳定。相关信息仅用于推送通道建立、消息到达、推送稳定性和安全风控;设备 MAC 地址、软件安装列表/应用列表仅用于识别同设备上的应用冲突、推送通道冲突、设备去重、通道保活和安全风控,不用于商业画像或精准营销。 具体场景:在您同意本政策并开启通知功能后初始化;当需要向您发送业务提醒、服务进度、安全验证或风险预警时,可能自动收集 设备平台、设备厂商、设备品牌、设备型号、系统版本、OAID、Android ID、Wi-Fi 连接信息、运营商信息、DHCP、SSID、BSSID、IP 地址、设备 MAC 地址和软件安装列表/应用列表。 |
设备平台、设备厂商、设备品牌、设备型号、系统版本、OAID、Android ID、Wi-Fi 连接信息、运营商信息、DHCP、SSID、BSSID、IP 地址、设备 MAC 地址、软件安装列表/应用列表。 | https://docs.getui.com/privacy/ |
| OPPO 推送 SDK | OPPO 广东移动通信有限公司 | 目的与范围:用于 OPPO 设备的系统级消息推送,保障通知可通过 OPPO 系统通道送达。相关信息仅用于设备识别、推送通道建立、通知发送和点击状态统计,不用于无关画像或营销。 具体场景:仅在 OPPO 品牌设备、您同意本政策并开启通知功能后初始化;当需要向您发送业务提醒、服务进度、安全验证或风险预警时,可能处理 设备信息、运营商信息、推送标识、应用信息和通知点击状态。 |
设备信息、运营商信息、推送标识、应用信息、通知点击状态。 | https://open.oppomobile.com/new/developmentDoc/info?id=10288 |
| 华为推送 SDK | 华为软件技术有限公司 | 目的与范围:用于华为设备的系统级消息推送,保障通知可通过华为系统通道送达。相关信息仅用于推送通道建立、通知发送、到达和点击状态统计,不用于无关画像或营销。 具体场景:仅在华为品牌设备、您同意本政策并开启通知功能后初始化;当需要向您发送业务提醒、服务进度、安全验证或风险预警时,可能处理 AAID、Push Token、设备型号、应用信息、通知发送与点击记录。 |
AAID、Push Token、设备型号、应用信息、通知发送与点击记录。 | https://developer.huawei.com/consumer/cn/doc/HMSCore-Guides/sdk-data-security-0000001050042177 |
| 小米推送 SDK | 北京小米移动软件有限公司 | 目的与范围:用于小米设备的系统级消息推送,保障通知可通过小米系统通道送达。相关信息仅用于设备识别、推送通道建立、通知发送、到达和点击状态统计,不用于无关画像或营销。 具体场景:仅在小米品牌设备、您同意本政策并开启通知功能后初始化;当需要向您发送业务提醒、服务进度、安全验证或风险预警时,可能处理 设备标识、设备型号、应用包名、应用版本、网络信息、推送 Token、通知发送与点击记录。 |
设备标识、设备型号、应用包名、应用版本、网络信息、推送 Token、通知发送与点击记录。 | https://dev.mi.com/console/doc/detail?pId=1822 |
| vivo 推送 SDK | 维沃移动通信有限公司 | 目的与范围:用于 vivo 设备的系统级消息推送,保障通知可通过 vivo 系统通道送达。相关信息仅用于设备识别、推送通道建立、通知发送、到达和点击状态统计,不用于无关画像或营销。 具体场景:仅在 vivo 品牌设备、您同意本政策并开启通知功能后初始化;当需要向您发送业务提醒、服务进度、安全验证或风险预警时,可能处理 设备标识、设备型号、系统版本、应用包名、网络信息、推送 Token、通知发送与点击记录。 |
设备标识、设备型号、系统版本、应用包名、网络信息、推送 Token、通知发送与点击记录。 | https://dev.vivo.com.cn/documentCenter/doc/878 |
| 魅族推送 SDK | 珠海星纪魅族信息技术有限公司 | 目的与范围:用于魅族设备的系统级消息推送,保障通知可通过魅族系统通道送达。相关信息仅用于设备识别、推送通道建立、通知发送、到达和点击状态统计,不用于无关画像或营销。 具体场景:仅在魅族品牌设备、您同意本政策并开启通知功能后初始化;当需要向您发送业务提醒、服务进度、安全验证或风险预警时,可能处理 设备标识、设备型号、系统版本、应用包名、网络信息、推送 Token、通知发送与点击记录。 |
设备标识、设备型号、系统版本、应用包名、网络信息、推送 Token、通知发送与点击记录。 | https://open.flyme.cn/docs?id=202 |
| Apple Push Notification service(APNs) | Apple Inc. | 目的与范围:用于 iOS 设备的系统级消息推送,保障通知可通过 Apple 系统通道送达。相关信息仅用于推送通道建立、通知发送和点击状态统计,不用于无关画像或营销。 具体场景:仅在 iOS 客户端、您同意本政策并开启通知功能后使用;当需要向您发送业务提醒、服务进度、安全验证或风险预警时,可能处理 设备推送 Token、应用标识、通知发送与点击状态。 |
设备推送 Token、应用标识、通知发送与点击状态。 | https://www.apple.com/legal/privacy/ |
实际接入的 SDK 可能因 App 版本、操作系统、设备型号和功能使用情况存在差异。我们将以最小必要原则配置 SDK,如某项 SDK 并非实现当前业务功能所必需,我们将关闭、删除或替换相关采集能力,并在本政策或 App 内 SDK 清单中更新说明。用户点击“同意”前,第三方 SDK 不得调用系统 API 获取用户个人信息、设备信息、设备 MAC 地址或软件安装列表/应用列表。
敏感个人信息是指一旦泄露或者非法使用,容易导致自然人人格尊严受到侵害或者人身、财产安全受到危害的个人信息。我们仅在具有特定目的和充分必要性、采取严格保护措施并取得您的单独同意后处理敏感个人信息。
| 敏感个人信息类别 | 处理目的与必要性 | 保存期限或删除规则 | 拒绝或撤回后的影响 |
|---|---|---|---|
| 身份证件、执业资格、职业认证信息 | 用于医务人员身份核验、机构权限开通、依法履行医疗服务合规要求。 | 账号存续期间保存;注销后按法律法规、审计和争议解决需要保存,期满删除或匿名化。 | 无法完成实名认证或开通需认证的机构业务。 |
| 人脸识别信息、面部图像或面容特征 | 用于面容录入、人脸核验、账号安全验证,不用于营销、画像或与身份核验无关的用途。 | 原始图像在完成核验后立即删除或去标识化处理;必要特征值最长保存至账号注销或您撤回同意后 15 个工作日内删除,法律法规另有要求除外。 | 无法使用面容录入或人脸核验功能,可改用账号密码、短信验证码等方式。 |
| 医疗健康信息、病历、检查检验结果、处方、医保编码、诊疗记录 | 在医疗机构业务场景中用于临床辅助、质控、医保编码、文书生成、医疗业务协作;通常由医疗机构作为个人信息处理者,我们作为受托处理者协助处理。 | 依医疗机构指令、医疗行业规定及合同约定保存;门诊病历、住院病历、处方等按法律法规和医疗机构管理要求执行,期满删除、返还或匿名化。 | 可能无法使用相关医疗业务功能;患者权利请求原则上向所属医疗机构提出。 |
| 精准定位信息 | 用于地图定位、机构匹配、地址选择等由您主动触发的功能。 | 仅在实现对应功能所需期间使用;除业务日志或法定留存需要外,不长期保存精准定位轨迹。 | 无法自动定位,可手动选择地区或地址。 |
我们在采集敏感个人信息前,将以显著方式告知处理目的、方式、必要性、保存期限及对您权益的影响。您可随时撤回对敏感个人信息处理的同意;撤回后我们停止相应处理,但不影响撤回前基于您的同意已经进行的处理。
全诊通客户端主要使用本地存储空间,包括 SharedPreferences、NSUserDefaults、SQLite、文件缓存等,用于保存登录状态、用户设置、少量业务缓存、风控状态和崩溃恢复信息。配套 Web/H5 页面可能使用必要 Cookies、偏好 Cookies 和统计 Cookies。
必要 Cookies 和本地存储用于登录、安全和基础服务,关闭后可能导致服务不可用;偏好 Cookies 用于记录语言、显示设置等;统计 Cookies 用于了解页面访问和性能表现,我们会尽量采用去标识化或匿名化方式。
您可通过系统或浏览器设置拒绝、清除相关数据:Android 可进入“系统设置 → 应用 → 全诊通 → 存储 → 清除数据/清除缓存”;iOS 可删除并重新安装 App;浏览器可在浏览器设置中清除 Cookies。清除后可能影响登录状态、页面加载和部分服务流程。
全诊通可能涉及医生助手、智能编码、风险预警、临床决策辅助、智能体编排、文书生成、医学知识问答等算法或自动化处理功能。根据《个人信息保护法》第二十四条,我们向您说明如下:
相关功能通常基于医疗专科语料训练或调优的模型能力,结合检索增强生成(RAG)、规则引擎、医学知识库、智能体流程编排和权限控制,对您主动输入或医疗机构授权处理的业务数据进行分析、检索、推理和结构化输出。
处理目的包括临床辅助决策、病历或文书生成、医保编码辅助、医学知识问答、内涵质控、风险预警和工作效率提升。所有 AI 或算法输出仅作为医务人员辅助参考,不构成最终诊断、治疗、医嘱、处方或医疗处置决定;最终医疗行为应由具备相应资质的医务人员独立判断并承担责任。
您有权要求我们对自动化决策的处理规则、依据、结果影响作出说明;有权拒绝我们仅通过自动化决策方式作出对您个人权益有重大影响的决定,并请求人工干预或复核;我们不会通过自动化决策在交易条件等方面对您实施不合理的差别待遇。
如相关算法、深度合成或生成式人工智能服务依法需要备案、安全评估或取得其他行政手续,我们将在功能上线或依法要求的期限内履行相应义务,并在 App、官网或国家主管部门备案系统可查询页面公示备案信息。若备案信息发生变化,我们将及时更新本政策或通过显著方式告知您。
我们不会向无关第三方提供、出售、出租、分享或交易您的个人信息。仅在下列情形下共享必要个人信息:(1)取得您的事先单独同意;(2)为订立、履行您作为一方当事人的合同所必需;(3)为履行法定职责或法定义务所必需;(4)为应对突发公共卫生事件,或在紧急情况下为保护自然人生命健康和财产安全所必需;(5)法律法规规定的其他情形。
| 共享对象 | 共享目的 | 共享信息范围 | 必要性说明 |
|---|---|---|---|
| 您所属医疗机构及其授权管理员 | 账号认证、机构绑定、权限配置、医疗业务协作、审计管理。 | 姓名、手机号、工作单位、工号、科室、职称、专业、认证状态、业务操作记录。 | 为履行机构业务服务和医疗机构管理要求所必需。 |
| 本政策 1.4 所列第三方 SDK 服务提供方 | 统计分析、崩溃监控、地图定位、支付、消息推送等。 | 详见本政策 1.4 第三方 SDK 目录。 | 为实现您选择或产品运行所必需的特定功能。 |
| 短信、云服务、客服和安全服务提供方 | 发送验证码、提供云资源、客户支持、安全防护、故障排查。 | 手机号、验证码发送记录、服务日志、工单信息、必要设备和网络信息。 | 为账号登录、安全验证、服务运维和客户支持所必需。 |
| 监管、司法、行政机关或依法授权机构 | 履行法律法规规定的报告、审计、调查、取证或监管义务。 | 依法要求或履行法定义务所必需的信息。 | 法律法规、监管要求或司法行政程序所必需。 |
我们会与涉及个人信息处理的第三方签订数据处理协议或保密协议,要求其仅按约定目的、方式和范围处理个人信息,并采取不低于本政策的安全保护措施。
我们原则上不会转让您的个人信息。因合并、分立、解散、被宣告破产等原因需要转移个人信息的,我们将向您告知接收方的名称、联系方式,并要求接收方继续受本政策约束;接收方变更原先处理目的、处理方式的,将重新取得您的同意或单独同意。
我们原则上不公开披露您的个人信息。如确需公开披露,我们将告知公开披露的目的、信息类型、可能影响,并取得您的单独同意,但法律法规另有规定或依法不需要取得同意的情形除外。
我们在中华人民共和国境内运营中收集和产生的个人信息均存储于中华人民共和国境内。医院私有化部署场景下,相关医疗业务数据通常存储于医院本地机房、医院指定云资源或双方合同约定的境内环境。
| 信息类别 | 保存期限或确定方法 |
|---|---|
| 账号注册、登录、认证和机构绑定信息 | 账号存续期间保存;账号注销后 15 个工作日内删除或匿名化,法律法规、监管审计、争议解决另有要求的除外。 |
| 登录日志、操作日志、安全审计日志 | 通常保存不少于 6 个月;涉及安全事件、审计、医疗业务留痕或监管要求的,按法律法规和合同要求延长保存。 |
| 客服工单、投诉反馈和沟通记录 | 自工单完结之日起保存 3 年,或按争议解决、审计和法律法规要求保存。 |
| 支付订单和交易记录 | 按税务、支付、会计和审计要求保存,通常不少于 5 年。 |
| 人脸识别原始图像和面容特征 | 原始图像完成核验后立即删除或去标识化;必要特征值保存至账号注销、您撤回同意或业务目的实现后 15 个工作日内删除,法律法规另有要求的除外。 |
| 医疗业务数据、病历、处方、检查检验结果、医保编码 | 由医疗机构作为个人信息处理者确定保存期限;我们作为受托处理者按医疗机构指令和合同处理。涉及病历、处方等医疗文书的,按《医疗机构病历管理规定》《处方管理办法》等法规和医疗机构制度执行。 |
超出保存期限后,我们将删除或匿名化处理您的个人信息;因法律法规规定或技术原因暂时无法删除的,我们将停止除存储和必要安全保护之外的其他处理。
我们承诺当前不主动向境外提供您的个人信息;在中国境内收集和产生的个人信息存储于中国境内。我们将要求第三方 SDK 通过境内节点、境内服务或不出境配置处理相关数据。
如未来确因业务需要向境外提供个人信息,我们将事先告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息种类、保存期限、您向境外接收方行使权利的方式和程序,依法完成安全评估、个人信息保护认证或标准合同备案等手续,并取得您的单独同意。
我们采取与个人信息处理风险相匹配的技术和管理措施保护您的个人信息,包括但不限于:
请您妥善保管账号、密码和验证码,不要将其透露给第三方。如您发现个人信息泄露,尤其是账号或密码泄露,请立即按本政策第十三章方式联系我们。
依据《个人信息保护法》第四十四条至第五十条,您对自己的个人信息享有知情权、决定权、限制或拒绝处理权、查阅复制权、可携带权、更正补充权、删除权、撤回同意权、解释说明权、注销账号权,以及在符合法律规定时由近亲属代为行使相关权利。
您可通过“我的 → 账号资料”查阅部分账号信息;如需获取个人信息副本或要求将个人信息转移至您指定的其他个人信息处理者,请通过第十三章列示的邮箱向我们提交申请。符合国家网信部门规定条件且技术可行的,我们将在 15 个工作日内提供符合行业通用格式的副本或转移文件。
您可在“我的 → 账号资料”中自助更正或补充部分信息;涉及实名认证、执业资质、机构绑定等字段的,请通过客服或所属机构管理员处理。出现处理目的已实现、无法实现或不再必要,我们停止提供产品或服务,保存期限届满,您撤回同意,或我们违反法律法规、约定处理个人信息等情形的,您可申请删除。法律法规规定的保存期限未届满,或者删除从技术上难以实现的,我们将停止除存储和必要安全保护之外的其他处理。
您可通过“我的 → 设置 → 隐私设置 → 撤回同意”撤回对本政策或特定功能的同意;也可通过第十三章列示的邮箱或客服电话提交撤回同意申请。撤回同意与给予同意同样便捷。撤回后,我们将停止相应处理活动,但不影响撤回前基于您的同意已经进行的处理。若您撤回对本政策整体的同意,我们将停止提供依赖个人信息处理的业务功能,您仍可使用注销、客服、权利申请等必要功能。
您可在“我的 → 账号与安全 → 注销账号”注销账号。账号注销后,我们将按法律法规要求删除或匿名化处理您的账号相关个人信息;依法需要留存的,将仅用于法定义务、审计、安全和争议解决目的。
您可通过手机系统设置管理相机、照片、存储、麦克风、定位、通知等权限:Android 路径通常为“系统设置 → 应用 → 全诊通 → 权限”;iOS 路径通常为“系统设置 → 全诊通 → 权限”。关闭权限后,对应功能可能无法正常使用,但不影响其他无关功能。
您有权要求我们对个人信息处理规则进行解释说明;对自动化决策结果有异议的,有权请求人工干预或复核。您去世后,您的近亲属可为自身合法、正当利益,对您的相关个人信息依法行使查阅、复制、更正、删除等权利,但您生前另有安排的除外。
请通过本政策第十三章所列方式提交请求。为保障安全,我们可能要求您进行身份验证。我们将在 15 个工作日内回复并依法处理;如拒绝您的请求,我们将说明理由及您可寻求救济的途径。如对我们的回复不满意,您可向网信、工信、公安、市场监管等主管部门投诉举报,或依法向有管辖权的人民法院提起诉讼。
在医院 SaaS 服务、私有化部署、机构管理后台、医疗 AI 平台等场景中,对于患者数据、病历、处方、检查检验结果、医保数据、医疗质量管理数据等医疗业务数据,通常由您所属医疗机构作为个人信息处理者决定处理目的和处理方式,我们作为受托处理者按医疗机构指令协助处理。
我们承诺:(1)不超出医疗机构授权范围处理受托数据;(2)不将受托处理的数据用于与医疗机构指令无关的目的;(3)未经医疗机构同意不进行转委托,法律法规另有规定的除外;(4)在受托关系终止时,按医疗机构指令删除、返还或匿名化相关数据;(5)配合医疗机构履行个人信息保护影响评估、安全事件处置和个人信息权利响应义务。
患者本人就上述医疗业务数据行使个人信息权利的请求,原则上请向所属医疗机构提出;我们将配合医疗机构依法响应。
发生或可能发生个人信息泄露、篡改、丢失等安全事件时,我们将立即启动应急响应,采取隔离风险源、阻断攻击、修复漏洞、追溯影响范围、保留证据等措施。根据事件性质和法律法规要求,我们将在 24 至 72 小时内向网信、工信、公安等有关主管部门报告。
我们将通过站内信、短信、邮件、电话或公告等方式通知受影响用户,告知事件类型、原因、可能影响、已采取或将采取的补救措施、您可自主防范和降低风险的建议、我们的联系方式。难以逐一通知或个人可采取措施避免危害扩大的,我们将采取合理、有效的公告方式发布警示。
全诊通面向具有相应执业资质或机构授权的成年人用户,不接受未成年人独立注册或使用本平台。如我们发现未成年人在未取得监护人同意情况下注册或使用本平台,将尽快删除其个人信息并注销相关账号。
医务人员在医疗业务流程中处理的未成年患者信息,由所属医疗机构按法律法规及医疗规范处理,我们仅作为受托处理者协助。涉及不满 14 周岁未成年人的个人信息时,应按儿童个人信息和敏感个人信息采取更严格的保护措施,并由医疗机构依法取得监护人同意或满足其他合法性基础。
我们可能适时修订本政策。发生以下重大变更时,我们将通过 App 弹窗、站内信、短信、邮件或其他显著方式告知您,并在法律法规要求时重新取得您的同意或单独同意:
非重大变更,我们将通过版本号更新与本页面提示告知。我们将保留至少近 3 个历史版本供您查询,您可通过第十三章联系方式申请获取。
如您对本政策或个人信息处理有任何疑问、意见、建议,或希望行使您的个人信息权利,可通过以下方式与我们联系:
个人信息处理者:杭州全诊医学科技有限公司
公司地址:浙江省杭州市滨江区浦沿街道江南大道3588号恒生大厦1幢1402室
客服电话:0571-81608291
个人信息保护负责人电话:183-5713-5938
电子邮箱:service@trizen.ai
我们将在 15 个工作日内回复您的请求。如您对我们的回复不满意,您可向网信、工信、公安、市场监管等主管部门投诉举报,或依法向有管辖权的人民法院提起诉讼。