ŌURA Health 隐私政策

处理目的

当你使用 Oura 服务时，我们将出于以下目的收集并处理你的个人数据：

1. 提供 Oura 服务
   在你使用我们的服务期间，我们会处理个人数据，例如为你提供关于准备度、睡眠、活动的个性化洞察，以及其他健康状态相关推论。我们服务中的某些功能使用了人工智能和机器学习（“AI”）。例如 Oura Advisor 智能助手，你使用该功能时，会依据你提交或服务采集的信息，提供个性化健康建议。我们也借助人工智能与算法分析，为你推荐可以对接的合作伙伴服务。你可自行决定是否使用相关服务，以及是否向合作方提交个人数据。
2. 提供客户服务
   我们会处理个人数据，以提供客户服务并管理客户沟通事宜。例如，如果你联系我们的 AI 助手咨询账户相关问题，我们可能会利用你提供的信息答复疑问、解决你遇到的各类问题。
3. 保护你的隐私
   我们可能会处理你使用服务的相关个人数据，以保障你的隐私安全。这可能涉及隐私增强技术和其他隐私防护技术的应用。信息经汇总或匿名化处理后即不再属于个人数据。
4. 改善我们的服务
   我们会处理你使用服务的相关个人数据，以了解服务使用情况并推进服务优化。例如，我们可能会处理个人数据，以提升你的服务（包括 Oura App）使用体验。同时依托个人数据迭代智能功能，为你提供更多健康参考依据。在适当的情况下，我们会采取隐私保护措施，例如假名化、数据聚合或去标识化。
5. 开展数据分析
   我们可能会处理与人体表现和身心健康相关的个人数据，以惠及用户并改进我们的服务提供的前沿健康洞察。我们的服务的部分功能可能会借助第三方自动化技术，为你提供更个性化的使用体验，并输出关于你的数据的全面洞察。例如，我们的服务内置智能功能，这些功能可以利用你提供的反馈进一步提升服务的个性化程度。在可行的前提下，我们会采用经隐私保护处理的数据开展相关操作。
6. 营销服务
   我们处理个人数据，以便提供有关 Oura 服务及合作伙伴机会的营销资讯。例如，正如我们的 Cookie 政策所详述，我们会在网站上使用 Cookie 和类似技术，为在线广告建立目标受众群体。我们不会为开展跨场景行为广告，出售或共享你的个人数据。你可通过邮件退订，不再接收 Oura 营销推送。服务内会推送个性化合作服务推荐，助力你开展健康管理。
7. 启用第三方集成与第三方服务
   我们会处理你向 Oura 提供的个人数据，以支持第三方集成、服务、功能和产品。经你许可后，服务可与第三方平台集成，包括 Google Health Connect、Apple HealthKit、大语言模型服务商或其他合作 App。Oura 会采取措施，保障第三方服务对你个人数据的保护，即仅当你选择将第三方服务与我们的服务集成或你已出具必要同意时，Oura 才会处理与第三方集成相关的数据。我们会依据适用条款（如 Google Health Connect 权限政策、Google 有限使用要求和相关第三方开发者许可协议）处理从第三方获取的数据，前提是我们已知晓该等政策与协议。如果你授权向第三方传输数据，后续数据处理遵照该方自身隐私条款执行。在授权关联前，请查阅对应第三方隐私政策。你可随时解除第三方服务集成。解绑后对方无法继续获取后续数据。已被第三方获取的数据无法撤回，相关删除、撤回权限请直接向对方申请。
8. 遵守法律义务
   在特定情形下，如果适用法律法规有明确要求，我们必须处理相关数据。此类法定义务的范畴包括但不限于会计税务合规、法律索赔处理和其他法定用途。

处理的法律依据

欧洲及英国数据保护法规规定，收集、存储欧洲经济区居民个人信息，必须具备“合法依据”。我们处理你数据的合法依据取决于具体的处理目的，包括：

1. 合同
   为提供我们的服务而处理个人数据时，我们将依据用户合同进行处理，该合同于你创建账户并接受本政策及使用条款时订立。
2. 同意
   我们仅在征得你同意的情况下处理你的敏感个人数据。在某些情况下，你的特定行为可被视为向我们授予数据处理同意，例如在笔记中录入敏感个人数据、或在 Oura App 内添加健康相关标签。
3. 合法利益
   当我们为推广服务与网站、提供客户服务、改进服务之目的处理你的个人数据时，我们将基于自身合法利益处理你的个人数据。基于合法利益使用你的个人数据时，我们会严格遵循适用法律，审慎权衡自身利益与你的隐私权。
4. 法律义务
   Oura 必须处理某些信息以履行每个国家/地区的法定义务。例如，此类义务可能与消费者保护法或税法有关。

处理的数据和数据来源

在多数情况下，Oura 直接向你收集个人数据，例如你注册账户、在 Oura 移动或网页端 App 中标记数据或使用 Oura Ring 时。我们也会处理依据你提供信息生成的数据，同时可从合作伙伴等第三方渠道获取你的个人数据Oura 也可能委托可信第三方处理方代我们处理数据，例如云服务提供商。

当你使用我们的服务时，Oura 会处理以下类别的个人数据：

1. 联系信息，例如电子邮件地址或实际地址
2. 用户信息，例如性别、身高与体重、用户 ID，以及你可能向我们提供的其他关于你本人或账户的相关信息
3. 设备信息，例如 IP 地址和位置数据
4. 用户自主提交信息，例如 App 内活动记录、笔记、图片、评论、反馈、标签，向智能助手发送的文字，上传的电子健康记录与健康总览
5. 测量数据，例如心率、运动数据、体温数据和呼吸数据
6. 计算出的用户、睡眠、健康和活动数据，例如睡眠阶段（深度、浅度、快速眼动、觉醒时段）、全天活动水平、准备度和体重指数（根据身高和体重计算）
7. 支付信息，例如卡号、商户名称和账单地址

请注意，我们处理的部分个人数据（包括所有与你的健康相关的数据）被认定为特殊或敏感个人数据。依据适用法律，此类数据仅能在你已出具处理同意的前提下进行处理。如果你访问或使用 Oura 的任一基于位置的服务（例如通过我们的服务启用基于 GPS 的活动追踪），Oura 会在服务运行期间处理你设备的大致或精准地理位置信息。此类数据可以通过你的设备的运营商网络 ID、GPS 和/或 Wi-Fi 数据获取。未经你事先同意，Oura 不会处理此类位置数据。你可以随时通过设备的位置权限设置，关闭此类位置数据的处理权限。如果你选择关闭位置数据访问权限，请注意部分服务、功能或模块可能将无法正常使用。

你开启授权后，可向其他 Oura 用户共享自身过往及当前睡眠分数、准备度评分等有限信息。你选择共享的信息，可能会同步至你加入的好友圈中的其他会员，以及后续加入这些好友圈的其他会员。你可以调整与其他会员的数据共享范围，包括选择完全停止数据共享。

根据你的服务使用情况，你也可以选择与其他会员交流，并对他们的信息和评分做出反应。与其他会员互动时，请务必始终维护尊重互助的交流氛围。请参阅 Oura 的使用条款了解详情。

ŌURA ENTERPRISE PLATFORM

你导入的健康记录

ŌURA RESEARCH APP

处理目的

如果你访问 Oura 网站或在 Oura 的在线商店完成订单，我们会出于以下目的处理个人数据：

1. 提供 Oura 服务
   我们会处理个人数据以支撑各类服务功能，包括你访问我们的网站时的相关数据处理。这可能包括处理你的数据以保障网站的稳定运行。我们服务中的某些功能采用了人工智能技术。例如，当你与我们的虚拟客服 Finn 互动时，实际上是在与一个由人工智能驱动的客服聊天机器人进行互动。
2. 完成并交付你的订单
   我们会处理个人数据，以完成订单的受理、履约和配送，并为你的购物流程提供便利。
3. 提供客户服务
   我们会处理个人数据，以提供客户服务并管理客户沟通事宜。例如，如果你联系我们的虚拟助手咨询网站或服务相关问题，我们可能会利用你提供的信息答复疑问、解决你遇到的各类问题。
4. 保护你的隐私
   我们可能会处理你使用我们的服务的相关个人数据，以保障你的隐私安全。这可能涉及隐私增强技术和其他隐私防护技术的应用。信息经汇总或匿名化处理后即不再属于个人数据。
5. 改善我们的网站
   我们会处理个人数据以分析和改进我们的网站。例如，我们可能会处理个人数据以分析网站性能、改善用户体验并优化网站的内容和布局。我们还可能使用个人数据来改进本网站上的 AI 驱动功能，包括我们的虚拟客服。在可行的前提下，我们会使用经过处理的数据来保护你的隐私。
6. 服务推广与营销
   我们处理个人数据，以便发送有关 Oura 服务及合作伙伴机会的营销信息。正如我们在《Cookie 政策》中更详细地说明的那样，我们会在本网站上使用 Cookie 来衡量营销效果、了解访客与本网站的互动情况，并提供基于上下文的广告。我们不会为开展跨场景行为广告，出售或共享你的个人数据。你可以随时退订 Oura 的直效营销通信内容，但仍可能在 Oura App 内看到营销内容。如果你收到由我们的第三方合作方推送的 Oura 品牌广告，请查阅该第三方的隐私政策了解详情，如需退订请直接联系该第三方。
7. 遵守法律义务
   在特定情形下，如果适用法规有明确要求，我们必须处理相关个人数据。此类法定义务的范畴包括但不限于会计税务合规、法律索赔处理和其他法定用途。

处理的法律依据

欧洲和英国的数据保护法规要求收集和留存欧洲经济区居民个人信息必须具备“合法依据”。我们处理你数据的合法依据取决于具体的处理目的，包括：

1. 合同
   为处理并交付你的订单而处理个人数据时，我们将以用户合同作为法律依据，该合同于你下单时订立。
2. 同意
   如你已授予相关同意，我们将为电子直邮营销之目的处理你的个人数据。
3. 合法利益
   当我们为提供客户服务、开展营销活动、迭代服务产品而处理你的个人数据时，将基于自身合法利益（即运营、维护及拓展业务、建立并维系客户关系）开展相关操作。基于合法利益使用你的个人数据时，我们会依据适用法律，审慎权衡自身利益与你的隐私权。
4. 法律义务
   Oura 必须处理某些信息以履行每个国家/地区的法定义务。例如，此类义务可能与消费者保护或会计立法有关。

处理的数据和数据来源

在多数情况下，Oura 直接向你收集个人数据，例如你注册账户、在 Oura 移动或网页端 App 中标记数据或使用 Oura Ring 时。我们也会处理依据你提供信息生成的数据，同时可从合作伙伴等第三方渠道获取你的个人数据Oura 也可能委托可信第三方处理方代我们处理数据，例如云服务提供商。

当你使用我们的服务时，Oura 会处理以下类别的个人数据：

1. 联系信息，例如姓名、电子邮件地址和地址
2. 配送信息，例如你的订单商品和选择的付款方式
3. 设备信息，如 IP 地址、访问时间和位置数据
4. 用户活动，例如网站上的浏览模式以及你与我们的任何通讯。

短信/文本消息

提供你的电话号码即表示你同意接收来自 Oura 的短信（例如发货通知或订单更新）。可能产生短信费和数据流量费。消息发送频率不定。您可以随时对我们发送的任何短信回复“STOP”来停止接收短信。Oura 不会出于营销或推广目的，与任何第三方或关联公司共享或向其出售短信接收同意数据。

本节介绍我们在 Oura 网站及服务中对支付信息的处理方式。

1. 我们处理的支付信息。根据交易类型不同，Oura 及合作支付服务商可能处理你的支付卡号、有效期、安全验证码、账单姓名地址、交易金额、交易时间与商户信息。
2. 支付服务商和金融合作伙伴。Oura 委托符合 PCI-DSS 标准的支付处理机构、银行卡网络处理交易；非接触式支付业务还会对接发卡银行与令牌服务供应商。这些合作伙伴仅会获取处理交易所需的最低限度信息，并且须遵守其自身的隐私和安全义务。
3. PCI DSS。Oura 维护的支付环境符合《支付卡行业数据安全标准》(PCI DSS)。我们的支付处理商均已通过 PCI DSS 认证。

本政策是一项统一的全球隐私政策，适用于全球范围内使用 Oura 服务和网站的所有用户。在某些司法管辖区，当地法律规定了超出本政策所述范围的额外义务，或赋予了超出本政策所述范围的额外权利。针对这些司法管辖区，我们发布了针对该国的补充条款，作为本政策的补充。

如果你居住在下文所列司法管辖区，请同时阅读本政策及对应补充条款。如果补充条款内容与本政策存在差异，以补充条款规定为准，约束对应辖区内会员及用户。在其他所有方面，本政策仍然适用。

• Republic of Korea (South Korea)

如果你居住在美国隐私法规要求更严格的州，请参阅“美国隐私保护要求更严格的州”相关章节。

美国全体消费者须知

本声明为 Oura 隐私政策的补充文件，仅适用于居住在美国隐私声明要求更严格的州（如加利福尼亚州）的所有访客、用户和其他相关主体（下称“客户”或“你”），且仅限其访问 Oura 网站或服务的场景。

面向普通消费者的服务场景下，Oura 通常不属于 HIPAA 界定的受管制实体。请注意，如果 Oura 在相关场景中担任该法案下的业务合作方，本节列明的美国各州隐私权相关条款可能不予适用。该情形下，在遵守内部 HIPAA 相关政策、受管制实体隐私规则及自身业务合作方义务的前提下，Oura 可提供自助工具，供你查阅并删除留存于服务内的个人数据。

你指示 HIPAA 受管制实体或业务合作方，经由患者授权披露或法案授权途径向 Oura 共享健康记录后，相关数据由 Oura 持有期间不再受该法案约束，本节约定的权利随即生效。

收集、使用和共享信息

当你访问、使用 Oura 网站或服务时，Oura 会收集可直接或间接识别、关联特定消费者、设备或个人居所的信息，该类信息统称“个人信息”或“个人数据”，医疗相关信息则统称“消费者健康数据”。

有关我们收集的个人信息类别、处理你的个人信息的目的以及任何个人信息共享的信息，可以查阅本政策相关章节：

1. 设备和应用程序用户：收集的个人信息类别和处理目的
2. 在线商店和网站访客：收集的个人信息类别和处理目的
3. 共享个人数据

敏感个人信息与消费者健康数据。依据美国各州现行法律，部分处理中的个人信息归类为敏感个人信息、敏感数据或消费者健康数据。包含 Oura 服务收集的健康及体征数据、你导入服务内的健康记录、生殖健康信息、诊断结果，以及其他具备法律与社会敏感性的数据。我们仅依照本政策载明用途处理相关信息，不会借此推断超出使用范畴的用户个人特征。敏感个人信息不会用于定向广告推送，也不会为开展跨场景行为广告业务出售、对外共享个人信息。

禁止数据售卖与定向广告投放。在过去十二 (12) 个月内，Oura 未向包括数据聚合商在内的第三方出售个人信息，因为这种做法违反我们的相关政策。我们仅收集并披露了 Oura 依据本政策处理的个人信息类别，详见“数据共享与传输”一节。

大语言模型训练。我们可能会收集并使用个人数据来开发、测试、改进和支持 Oura 自有的 AI、机器学习和大语言模型相关功能。我们不会出于训练第三方大语言模型（“LLM”）的目的出售个人数据。

自动化决策与用户画像。我方服务的某些功能依赖于对你的数据的 AI 分析。相关功能仅用于提供常规健康参考信息，不会据此对你作出法律层面或其他重大判定。

消费者权利

如果你居住的州对 Oura 可能处理的与你相关个人信息赋予了强化权利，你将享有如下特定权利：

1. 了解我们收集和共享个人信息的权利

   美国各州法律可能赋予你一项权利，即要求我们披露过往 12 个月内收集的与你相关的个人信息，且我们仅在收到并验证你的请求后才会提供该等信息。收到并确认你的可验证请求后，我们将向你披露以下内容：

   1. 我们收集的与你相关的个人信息类别；
   2. 我们已披露的与你相关的个人信息类别（如有）；
   3. 我们收集的与你相关的个人信息的来源类别；
   4. 我们收集或出售该类个人信息的业务或商业目的；
   5. 我们与之共享该类个人信息的第三方类别；以及
   6. 我们收集的与你相关的具体个人信息。
2. 更正权

   你有权请求更正自己的个人信息。收到并验证你的请求后，除存在例外情形外，我们将更正你的个人信息。你可以通过 Oura App 和会员中心更正并更新部分基础个人信息。

3. 删除权

   你有权请求删除自己的个人信息，但存在特定例外情形，例如我们负有保留相关数据的法律义务时。收到并验证你的请求后，除存在例外情形外，我们将删除你的个人信息，并指示我们的服务提供商同步删除你的个人信息。

4. 如何提出披露、访问、更正或删除请求

   如果你居住的州赋予了强化隐私权，你可以通过以下方式向我们提交可验证消费者请求，按前述规则申请披露、访问、更正和/或删除你的个人数据：

   你可以向 dataprotection@ouraring.com 发送邮件，并在请求中附上以下信息：全名、公司名称（如适用）、通信地址、电子邮件地址和手机号码。如有必要，我们可能会要求你提供额外信息以核验身份。此举系出于安全考量，且在部分情形下为法律强制要求。

   仅本人或合法授权代理人，可提交有效的个人信息相关核查申请。你亦可代表未成年子女提交可验证消费者请求。

   你有权在任意 12 个月周期内免费提交最多两次相关请求。除非我们申请延期，否则将在收到请求后 45 日内回复所有已验证请求。如果我们确需延期方可回应你的请求，将在初始 45 天周期内就延期事宜通知你。

5. 申诉权

   如果我们决定不对你的请求采取行动，你可以发送邮件至 dataprotection@ouraring.com 提交申诉，并在请求中注明“Appeal”。我们将在适用法律规定的时限内处理你的申诉。如果你的申诉被驳回，我们将说明理由。如果你仍对我们的决定存有异议，或希望就我们对你个人信息的处理方式提起投诉，可以联系你所在司法管辖区负责隐私投诉的监管机构（如你所在州的司法部长）。

6. 非歧视

   Oura 不会歧视行使隐私权的用户。除例外情形外，此承诺包括我们保证不会有以下行为：

   1. 拒绝向你提供商品或服务；
   2. 就商品或服务向你收取差异化价格或费率，包括提供折扣或其他优惠、施加处罚；
   3. 向你提供不同等级或质量的商品或服务；或
   4. 暗示你可能就商品或服务获得差异化价格/费率，或不同等级/质量的商品或服务。

华盛顿州居民 – 消费者健康数据隐私声明

个人数据共享

Oura 不会出售或出租你的个人信息，仅会与受信任的服务提供商和合作伙伴共享你的个人数据，以便我们提供和改进服务、提供合作伙伴服务和其他产品；以及经营业务。每当我们与第三方服务提供商共享数据时，我们都会要求其仅将你的信息用于我们授权的用途，且仅限本政策所述的特定情形。我们还会要求该等服务提供商采用不低于我们的标准保护你的个人信息。

与多数企业相同，Oura 会将服务提供商用于如下场景：

1. 提供并改进我们的在线服务平台；
2. 存储用户数据；
3. 提供客户服务；
4. 管理和组织我们的营销活动。Oura 不与第三方广告商共享服务数据；以及
5. 分析网站及服务的使用相关信息，以提升服务质量。

我们会采用行业标准的数据保护措施，并通过与服务提供商签订的数据保护协议，保障所有个人数据国际传输的安全。在特定有限情形下，我们可能会请求你同意将 Oura 用户个人数据共享给你选择的第三方合作伙伴（如你指定的医疗服务机构或健康保险公司）。如果你选择进行此类共享，应仔细查阅第三方提供的授权说明及隐私声明，相关文件将规范你个人数据的使用。

国际传输的法律框架

Oura 是一家跨国公司，服务器遍布世界各地，你的个人数据有时可能会在你所在国家/地区以外的服务器进行处理。尽管各个国家/地区数据保护法规存在差异，但无论你的个人数据在何处处理，我们都会采取本政策所述的同等保护措施。我们还会遵守与个人数据传输相关的特定法律框架，具体如下文所述。

Oura 已参与美国商务部针对欧洲经济区、英国与直布罗陀和瑞士的个人数据处理制定的相关数据隐私框架，包括欧盟-美国数据隐私框架、英国扩展版欧盟-美国数据隐私框架和瑞士-美国数据隐私框架（统称“数据隐私框架”）。Oura 已进一步认证自身将恪守数据隐私框架的各项原则。

你可以点击 https://www.dataprivacyframework.gov/，详细了解数据隐私框架。如果本政策中的条款与《数据隐私框架》原则存在冲突，则以框架原则为准。

如果 Oura 将依据《数据隐私框架》接收的个人信息传输至第三方，该第三方的数据处理行为也必须符合我们在《数据隐私框架》项下的义务要求；如果第三方未履行相关义务，Oura 将承担《数据隐私框架》项下的相应责任，除非我们能够证明对损害事件无责任。

Oura 需接受美国联邦贸易委员会的调查与执法管辖。在特定情形下，Oura 可能需要应公共机构的合法要求（包括满足国家安全或执法需求）披露依据《数据隐私框架》处理的个人信息。

个人数据披露

我们还保留在特定情形下披露个人数据的权利，具体包括：

1. 已获得你的明确同意时；
2. 为实现我们开展业务的合法权益确有必要时，例如发生合并、收购或资产出售等情形；
3. 保护 Oura 的合法权益与财产；以及
4. 出于遵守合法法律要求，确有必要披露数据的情况除外。

无论任何方提出请求，我们都会守护你的数据安全。我们对每一份执法及政府机构的数据调取申请逐一审核。我们根据适用法律以及我们对保护会员隐私的承诺来处理此类申请。对于范围过广、依据不足或存在其他法律瑕疵的请求，尤其涉及敏感数据时，我们将提出异议、要求缩减范围或直接驳回。法律允许范围内，我们会将数据调取相关请求告知对应会员。我们始终秉持公开透明、履职尽责的态度，持续赢得用户信赖。我们正积极研究提升请求处理透明度的方式，例如发布透明度报告。

我们认为会员的隐私权终身有效。因无法知晓逝者意愿，即便收到离世后的数据访问申请，我们仍会妥善保护会员个人数据。如果你是已故服务使用者的继承人或法定代理人，可向我们寻求协助。你可以通过 dataprotection@ouraring.com 联系我们，提交有关其数据的申请。处理申请前，我们会核验你的身份、与逝者的亲属关系及合法权限。我们将遵照逝者常住地法律，保障你依法享有的各项权利。