ŌURA Health 隱私權政策

處理目的

您使用 Oura 服務時，我們會收集和處理您的個人資料，目的如下：

1. 提供 Oura 服務
   您使用我們的「服務」時 (例如為您提供準備度、睡眠、活動和其他健康狀態推斷資訊的個人化深入分析)，我們會處理個人資料。「服務」中的部分功能採用人工智慧與機器學習 (下稱「AI」) 技術。舉例來說，Oura Advisor 是一種 AI 助理。使用這項功能時，系統會根據您交給 Oura 的資訊，或透過您要求「服務」收集的資訊，提供個人化的身心健康建議。我們也會運用 AI 與演算法分析，為您提供合作夥伴服務的後續建議。我們這麼做時，您有權決定是否要與合作夥伴服務互動，或提供任何個人資料。
2. 提供客戶服務
   我們提供客戶服務並管理與客戶的通訊工作時，會處理個人資料。舉例來說，您問我們的 AI 助理幾個帳戶問題時，我們可能利用您提供的資訊來回答，並解決您可能碰到的任何狀況。
3. 保護您的隱私
   我們可能會處理關於您使用「服務」的個人資料，以保護您的隱私。這可能涉及隱私強化技術及其他隱私保護技術的使用。當資訊經過彙整或匿名處理後，即不再屬於個人資料。
4. 改善我們的服務
   我們要了解您如何使用我們的「服務」，以及該如何提升「服務」時，會處理跟您使用「服務」有關的個人資料。舉例來說，我們可能為了改善您使用我們「服務」的體驗 (包括 Oura App)，而處理個人資料。我們也可能利用個人資料來開發或改良 AI 功能，以便向您提供個人健康狀況的全新分析結果。我們會視情況採用隱私保護措施，例如匿名化處理、彙整處理或去識別化處理。
5. 進行分析
   我們可能會處理人類表現與身心健康相關的個人資料，透過這些資訊造福我們的使用者，並改進我們透過「服務」所提供的先進洞察。我們「服務」的特定功能可能會使用第三方自動化技術，提供更個人化的體驗，並針對您的資料提供全方位的洞察。例如，我們的「服務」包括智慧功能，這些功能可能會使用您的回應來提供更加個人化的服務。在可行情況下，您的資料會先經由保護隱私的方式處理，我們才會用於上述用途。
6. 宣傳服務
   我們為 Oura「服務」及合作夥伴商機提供行銷通訊時，會處理個人資料。舉例來說，如我們的《Cookie 政策》詳述，我們在網站上使用 Cookie 及類似技術，來建立網路廣告的受眾。我們不會為了跨平台行為廣告而販售或提供您的個人資料。您可透過電子郵件內的取消訂閱功能，選擇拒絕接收來自 Oura 的直效行銷通訊。我們的「服務」中可能出現個人化推薦，協助您聯絡有助您追求健康的合作夥伴。
7. 啟用第三方整合機制和「服務」
   我們為了提供第三方整合機制、服務、功能及方案，會處理您提供給 Oura 的個人資料。舉例來說，經您許可後，我們的「服務」就能與第三方服務進行整合，包括 Google Health Connect、Apple HealthKit、LLM 業者或其他合作夥伴。Oura 會採取相關措施，確保第三方服務會保護您的個人資料，也就是您必須選擇讓第三方與我們的「服務」整合，或您必須表示同意，Oura 才會針對第三方整合機制處理您的資料。我們獲悉下述政策與協議時，會根據適用條款 (例如 Google Health Connect 權限政策與 Google 限定用途要求，以及相關的第三方開發者授權協議) 來處理這些第三方提供的資料。若您要求 Oura 將資料傳送給第三方，該第三方就會根據自己的隱私權作法與條款，規範如何處理您的個人資料。您在同意傳送以前，請先詳閱該第三方的隱私權政策。您可以隨時中斷跟第三方整合。中斷連線將導致日後無法調閱。由於我們無法收回第三方收到的資料，所以您也應該直接向該第三方行使刪除權或撤回權。
8. 遵守法律義務
   在某些情況下，我們必須在適用法律和條例要求時處理某些資料。此類法定義務涉及會計要求、稅務要求、法律主張或其他法律目的……等等。

處理的法律依據

歐洲的資料保護法規定，如果要收集並保留歐洲經濟區和英國居民的個人資訊，必須有「合法基礎」。我們處理您的資料時，所依據的合法基礎取決於特定處理目的，包括：

1. 合約
   當我們為了提供「服務」而需處理個人資料時，將依照使用者合約處理個人資料，此合約在您建立帳戶並接受本「政策」和使用條款時即形成。
2. 同意
   我們僅會在您同意的情況下處理您的敏感個人資訊。在某些情況下，您可以透過行為向我們表示同意處理您的資料，例如在您的備註中加入敏感個人資料，或在 Oura App 中加入健康相關標籤。
3. 正當利益
   當我們基於推廣我們的「服務」與「網站」、提供客戶服務及改進我們的「服務」為目的，而處理您的個人資料時，此舉係基於我們的正當利益。當我們決定基於正當利益使用您的個人資料時，我們會依照相關法律規定，仔細衡量公司利益與您的隱私權利之間的平衡。
4. 法律義務
   Oura 必須處理特定資訊以遵守法律義務，這些義務在每個國家/地區都可能不同。舉例來說，這些義務可能與保護消費者或稅法有關。

處理的資料和資料來源

在大多數情況下，Oura 是直接向您本人收集個人資料，例如您註冊帳戶、在 Oura 行動版或網頁版應用程式中標註您的資料，或使用您的 Oura Ring 時。我們也可能處理根據您提供資訊而產生的個人資料，並可能向合作夥伴等第三方索取跟您有關的個人資料。Oura 也可能需要可信賴的第三方處理機構代為處理資料，例如我們的雲端服務供應商。

您使用我們的服務時，Oura 會處理以下類別的個人資料：

1. 聯絡資訊，例如電子郵件地址或實際地址
2. 使用者資訊，例如性別、身高體重、使用者 ID，以及您可能提供給我們的其他個人或帳戶資訊
3. 裝置資訊，例如 IP 位址和位置資料
4. 使用者提供的資訊，例如您在應用程式中提供的活動、備註、照片、評論、使用意見、標籤，以及您交給 AI 助理的文字，還有上傳的電子健康紀錄或健康狀況檢測
5. 測量資料，例如心率、運動、溫度和呼吸資料
6. 計算後的使用者、睡眠、健康與活動資料，例如睡眠階段 (深層睡眠、淺層睡眠、快速動眼期、清醒)、全天活動程度、準備度，以及身體質量指數 (根據身高與體重計算得出)
7. 付款資訊，例如卡號、商家名稱及帳單地址

請注意，我們處理的部分個人資料 (包括任何關於您健康的資料) 屬於特殊或敏感個人資料。根據適用法律，只有在您同意處理的情況下，才能處理此類資料。若您存取或使用 Oura 的任何位置服務，例如透過我們的「服務」啟用基於 GPS 活動追蹤，Oura 可能會在該服務啟動期間，處理您裝置的概略或精確位置。此類資料可能透過您裝置的服務供應商網路 ID、GPS 及/或 Wi-Fi 資料獲取。未事先取得您的同意，Oura 不會處理此類位置資料。您可以隨時使用裝置的位置權限設定停用此類位置處理。若您選擇停用位置資料的存取權，請注意某些「服務」或功能可能無法再使用。

若您透過我們的「服務」同意加入，則可能將少數個人資料 (例如您目前與過去的睡眠及準備度分數) 提供給其他 Oura 會員。您選擇提供資訊時，可能將這類資訊提供給您所屬圈子裡的其他會員，以及所有後續加入該圈子的其他會員。您可更改提供給其他 Oura 會員的資料內容，也能選擇不提供任何資料。

您亦可選擇與其他會員的資訊及分數進行交流或互動，視您使用我們的「服務」情況而定。與其他會員交流時，請記得隨時保持尊重與支持的態度。詳情請參閱 Oura 的《使用條款》。

OURA ENTERPRISE PLATFORM

您匯入的健康紀錄

ŌURA RESEARCH APP

處理目的

若您瀏覽 Oura 的「網站」或在 Oura 的線上商店完成訂單，我們會依據下列目的處理個人資料：

1. 提供 Oura 服務
   為了提供產品與服務 (包括讓您前往我們的「網站」)，我們必須處理個人資料。例如我們可能為了提供「網站」功能而處理您的資料。我們「服務」的部分功能採用 AI 技術。舉例來說，您與我們的虛擬客服專員 Finn 互動時，就是與 AI 客服聊天機器人互動。
2. 完成並交付您的訂單
   為進行、處理和交付您的購買，並讓您的購物過程更順利，我們會處理個人資料。
3. 提供客戶服務
   我們處理個人資料以提供客戶服務並管理客戶通訊。舉例來說，如果您針對「網站」或「服務」問題詢問我們的虛擬助理，我們可能會利用您提供的資訊來回答提問，並協助解決您遇到的各種狀況。
4. 保護您的隱私
   我們可能會處理關於您使用我們「服務」的個人資料，以保護您的隱私。這可能涉及隱私強化技術及其他隱私保護技術的使用。當資訊經過彙整或匿名處理後，即不再屬於個人資料。
5. 改善我們的網站
   我們會基於分析和改善「網站」的目的而處理個人資料。例如，我們可能為了分析「網站」效能、改善使用者體驗，並提升「網站」內容和版面，而處理個人資料。我們也可能利用個人資料來改善「網站」上的 AI 功能，包括我們的虛擬客服專員。若可行，我們會先透過保護隱私的方式處理您的資料，然後再使用這樣處理過的資料。
6. 宣傳服務
   我們為 Oura「服務」及合作夥伴商機提供行銷通訊時，會處理個人資料。如我們的《Cookie 政策》詳述，我們在「網站」上使用 Cookie 來衡量行銷活動的成效、了解訪客如何使用「網站」，並提供內容相關廣告。我們不會為了跨平台行為廣告而販售或提供您的個人資料。您隨時可以選擇退出 Oura 的直效行銷通訊，不過您仍可能在 Oura App 中看到行銷訊息。若您收到第三方合作夥伴發送的 Oura 品牌廣告，請參閱該第三方的隱私權政策詳情；如要退出，也請與對方聯繫。
7. 遵守法律義務
   在某些情況下，我們必須在適用法律要求時處理某些個人資料。此類法定義務涉及會計要求、稅務要求、法律主張或其他法律目的……等等。

處理的法律依據

歐洲及英國的資料保護法規定，如果要收集並保留歐洲經濟區居民的個人資訊，必須要有「合法基礎」。我們處理您的資料時，所依據的合法基礎取決於特定處理目的，包括：

1. 合約
   我們因處理及配送您購買的商品而需要使用個人資料時，將依照使用者合約來執行，此合約在您完成下單的那一刻起即已成立。
2. 同意
   如果您已提供同意，我們會基於電子直效行銷的目的處理您的個人資料。
3. 正當利益
   當我們基於客服目的、行銷和開發我們的服務，而需處理您的個人資料時，此舉是基於我們營運、維護和發展業務，及建立並維護客戶關係的正當利益。當我們決定基於正當利益使用您的個人資料時，我們會遵守相關法律規定，仔細衡量公司利益與您的隱私權利之間的平衡。
4. 法律義務
   Oura 必須處理特定資訊以遵守法律義務，這些義務在每個國家/地區都可能不同。例如，這些義務可能與消費者保護法或會計法有關。

處理的資料和資料來源

在大多數情況下，Oura 是直接向您本人收集個人資料，例如您註冊帳戶、在 Oura 行動版或網頁版應用程式中標註您的資料，或使用您的 Oura Ring 時。我們也可能處理根據您提供資訊而產生的個人資料，並可能向合作夥伴等第三方索取跟您有關的個人資料。Oura 也可能需要可信賴的第三方處理機構代為處理資料，例如我們的雲端服務供應商。

您使用我們的服務時，Oura 會處理以下類別的個人資料：

1. 聯絡資訊 例如姓名、電子郵件地址和地址
2. 交付資訊 例如您購買的商品和選擇的付款方式
3. 裝置資訊 例如 IP 地址、造訪時間和位置資料
4. 使用者活動 例如在「網站」上的瀏覽模式，及您與我們的任何通信。

簡訊

提供你的電話號碼即表示你同意接收來自 Oura 的簡訊（例如出貨通知或訂單更新）。可能會收取簡訊及資料傳輸費用。訊息發送頻率會有所不同。你可隨時對收到的任何 Oura 簡訊回覆「STOP」，以停止接收簡訊。Oura 不會將簡訊接收同意資料分享或出售給任何第三方或關係企業，用於行銷或推廣目的。

本節說明我們如何在 Oura「網站」及「服務」之間處理付款資訊。

1. 我們處理的付款資訊。Oura 及我們的金流業者可能會處理您的支付卡號、到期日、安全碼、扣款人姓名/地址、交易金額、日期及商家，視交易而定。
2. 金流業者與金融合作廠商。Oura 採用符合 PCI-DSS 標準的金流業者和發卡系統。如果是感應式支付方式，則透過發卡銀行和代碼服務供應商來處理交易。這些合作業者只會收到完成交易所需的最低限度資訊，且須遵守自身的隱私權與安全義務。
3. PCI DSS。Oura 提供的支付環境符合《支付卡產業資料安全標準》(PCI DSS)。我們的金流業者都是通過 PCI DSS 認證的服務平台。

本「政策」是全球統一的隱私權政策，適用於全球各地使用 Oura「服務」及「網站」的使用者。某些司法管轄區的當地法律，可能規範超出本「政策」所述範圍的其他義務或權利，因此我們針對這些司法管轄區發布各國家/地區專屬的附錄，彌補本「政策」不足處。

若您住在下列司法管轄區，請閱讀本「政策」及適用附錄。若特定附錄對某議題的處理方式與本「政策」不同，則該司法管轄區內的會員及使用者須以該附錄為準。其他方面則仍以本「政策」為準。

• Republic of Korea (South Korea)

如果您住在美國對隱私權保護要求更高的州，請閱讀標題為「美國具有加強隱私保護要求的州」一節。

針對美國所有地區的通知消費者

本通知補充 Oura《隱私權政策》所載資訊，且僅適用於所有居住在美國境內、具備加強隱私通知要求的州別（例如加州)，並造訪 Oura 「網站」或服務的訪客、使用者及其他人士（「客戶」或「您」)。

就我們直接提供給消費者的「服務」而言，Oura 通常不屬於 HIPAA 的「規範對象」。請注意，在某些情況下，如果 Oura 按照 HIPAA 可視為「商業夥伴」，本節列出的美國各州隱私權可能就不適用。在上述情況下，為遵守我們的 HIPAA 政策、「規範對象」的隱私權實務，以及我們的「商業夥伴」義務，Oura 可能會提供自助工具，讓您從我們的「服務」中，調閱並刪除您的個人資料。

當您要求「HIPAA 規範對象」或「商業夥伴」透過患者指示揭露或 HIPAA 授權的方式，將您的健康紀錄提供給 Oura 時，Oura 收到的紀錄在我們持有期間就不再受到 HIPAA 管轄，而以本節所述的權利為準。

資訊的收集、使用和共享

客戶與 Oura 的「網站」或「服務」有互動時，Oura 會收集可辨識、涉及、描述、參照、能以合理方式與特定消費者、裝置或家庭建立關聯或直接/間接的連結 (下稱「個人資訊」或「個人資料」，或特定適用狀況下稱「消費者健康資料」)。

關於我們收集的個人資料類別、處理您個人資料的目的，及您個人資料的任何分享情況，皆可於本政策的相關章節中查閱：

1. 裝置及應用程式使用者：收集的個人資料類別與處理目的
2. 網路商店和網站訪客：收集的個人資訊類別與處理目的
3. 個人資訊的共享

敏感的個人資訊及消費者健康資料。根據美國各州適用的法律，我們處理的部分個人資訊可歸類為「敏感個人資訊」、「敏感資料」或「消費者健康資料」，包括 Oura「服務」針對您收集的健康與體測資料、您匯入我們「服務」的健康紀錄、生殖與性健康資訊、診斷結果，或其他在法律或社會層面上屬敏感的資料。我們完全依據本「政策」所述目的處理這些資訊，而非為了在這些目的範圍以外推測您的特徵。我們不會將敏感個人資訊用於定向廣告，也不會為了跨平台行為廣告而出售或提供個人資訊。

不用於銷售或定向廣告。Oura 在過去十二 (12) 個月內，並未將個人資訊出售給第三方 (包含任何資料彙整商)，此舉是違反政策的行為。我們僅收集並揭露由 Oura 依本「政策」處理的個人資訊類別，如「資料提供與轉移」章節所述。

大型語言模型訓練。我們可能會收集個人資料以用於開發、測試、改良，及支援 Oura 自己的人工智慧 (下稱「AI」)、機器學習及大型語言模型技術的功能。我們不會為了讓第三方訓練大型語言模型 (下稱「LLM」) 而出售個人資料，也禁止第三方的 LLM 使用您的個人資料進行訓練。

自動化決策與特徵分析。我們某些「服務」的功能，必須借助 AI 分析您的資料。這些功能的設計目的是提供一般身心健康資訊，而非為您做出法律層面或類似的重要決定。

消費者權益

若您居住的州針對 Oura 可能處理的個人資訊有額外的法律保障，則您享有某些特定的權利：

1. 了解我們所蒐集與分享的個人資訊之權利

   美國州級法律可能賦予您權利，要求我們揭露過去 12 個月內所收集關於您的個人資料，我們僅會在收到並驗證您請求後提供上述資訊。一旦收到並確認您的驗證請求，我們將向您披露以下內容：

   1. 我們收集的個人資訊類別；
   2. 我們披露的個人資訊類別 (如適用)；
   3. 我們收集的個人資訊來源類別；
   4. 我們收集或出售該個人資訊的業務或商業目的；
   5. 我們與分享該個人資訊的第三方類別；以及
   6. 我們收集的特定個人資訊。
2. 資料更正權

   您有權要求更正您的個人資訊。我們收到並確認您的要求後，即會更正您的個人資訊，除非符合例外狀況。請注意，您可以透過 Oura App 和會員中心更正和更新您的某些基本資料。

3. 資料刪除權

   您有權要求刪除您的個人資料，但須遵守特定例外情況，例如當我們負有保留相關「資料」的法律義務時。於我們收到並驗證您之請求後，我們將刪除您的個人資料，並指示我們的服務供應商刪除您的個人資料，除非該情況適用例外。

4. 如何提出揭露、存取、更正或刪除請求

   若您居住州提供強化隱私權利，您可依照上述說明，向我們提交可驗證的消費者請求，要求揭露、存取、更正及/或刪除您的個人資料。申請方式如下：

   發送電子郵件至 dataprotection@ouraring.com，並在要求中提供以下資訊：您的全名、公司名稱 (視情況)、地址、電子郵件地址和電話號碼。如果有必要確認您的身分，我們可能要求您提供額外資訊。這是基於安全考量，且依法在某些情況下會要求確認。

   只有您本人或您指定的代理人 (視情況)，能針對您的個人資訊，提出可驗證消費者要求。您也可以代表您的未成年子女提出可驗證消費者要求。

   您有權在任何 12 個月期間內，免費提出最多兩次請求。除非有提出時間延長要求，我們將在收到您請求後的 45 天內對所有經驗證的請求作出回應。若為了回覆您的請求，合理需要更多時間，我們會在最初的 45 天期限之內，通知您延長時間的相關訊息。

5. 申訴權

   若我們決定不對您的要求採取行動，您可寄電子郵件至 dataprotection@ouraring.com 提出申訴，並將郵件標記為「申訴」。我們將在相關法令規定時間內處理您的申訴。若您申訴遭到駁回，我們會說明原因。若您繼續對我們的決定提出異議，或想針對我們處理您個人資訊的方式提出申訴，可聯繫您所在司法管轄區的隱私申訴管理機關，例如您所在縣市的司法單位。

6. 反歧視

   Oura 不會歧視要求行使其隱私權的使用者。除非該情況適用例外，這包括我們承諾不會採取以下行為：

   1. 拒絕向您提供商品或服務；
   2. 針對商品或服務向您收取不同的價格或費率，包括提供折扣或其他優惠，或是實施懲罰
   3. 提供您等級或品質不同的商品或服務
   4. 暗示您可能會獲得不同價格或費率的商品或服務，或不同等級或品質的商品或服務。

華盛頓州居民：消費者健康資料隱私權公告

個人資料分享

Oura 不會出售或出租你的個人資料。Oura 僅會與特定可信賴的服務提供者及合作夥伴分享你的個人資料，用於提供和改進我們的服務，提供合作夥伴服務與其他產品，以及營運業務。我們與第三方服務提供商分享資訊時，皆要求他們僅基於我們授權的目的使用您的資訊，並且範圍限制於本「政策」中解釋的有限原因。我們亦要求這些服務提供商保護您的個人資訊，至少要符合我們的標準。

像大多數公司一樣，Oura 使用服務提供商的目的包括：

1. 提供和改善我們的網路服務平台
2. 儲存我們使用者的數據
3. 提供客戶服務
4. 管理和規畫我們的行銷活動Oura 不會向第三方廣告商提供「服務」資料
5. 分析關於我們「網站」和「服務」使用的資訊，以提高我們的服務品質。

我們透過與服務供應商簽署資料保護協議，採用業界標準的資料保護措施，以保障個人資料的所有國際傳輸。在特定有限的情況下，您可能會被要求同意將您的 Oura 使用者個人資料分享給您選擇的第三方合作夥伴，例如您指定的醫療提供方或醫療保健保險公司。若您選擇這麼做，您應仔細閱讀第三方提供的第三方同意書內容及隱私聲明，該等內容將控管您個人資料的使用。

資料國際轉移的法律框架

OURA 是一間全球性公司，在世界各地均設有伺服器，您的個人資料有時可能會在您居住國以外的伺服器上進行處理。儘管各國的資料保護法律有所不同，無論您的個人資料在何處處理，我們均會採用本「政策」中所述的相同保護措施。我們亦遵守與個人資料傳輸相關的特定法律框架，例如下文所述框架。

OURA 參與歐盟美國資料隱私框架、英國延伸版歐盟美國資料隱私框架，以及瑞士美國資料隱私框架 (統稱為「資料隱私框架」)；上述框架由美國商務部針對處理來自歐洲經濟區、英國及直布羅陀與瑞士的個人資料所制定。Oura 進一步證明我們遵守「資料隱私框架」的原則。

點按 https://www.dataprivacyframework.gov/，深入了解資料隱私框架的更多資訊。若本「政策」中的條款與「資料隱私框架」原則之間存在任何衝突，應以「資料隱私框架」原則為準。

若 Oura 將根據「資料隱私框架」所接收的個人資料傳輸給第三方，該第三方對個人資料的處理亦必須符合我們在「資料隱私框架」中義務；若該第三方未能遵守規定，我們仍須根據「資料隱私框架」承擔法律責任，除非我們能證明我們對造成損害的事件沒有責任。

Oura 受到美國聯邦貿易委員會的調查與執行權管轄。在特定情況下，為了回應公共當局的合法要求，包括回應國家安全或執法需求，Oura 可能被要求揭露我們根據「資料隱私框架」所處理的個人資訊。

個人資料披露

我們亦保留於特定情況下揭露個人資料的權利，包括：

1. 我們獲得您的明確同意時
2. 對於我們在經營業務中的合法利益是合理必要的情況，例如在合併、收購或出售的情況下
3. 保護 Oura 的法律權利和財產
4. 我們真心相信必須有這類揭露行為，才能遵守有效的法律要求時。

無論是誰提出要求，我們都會捍衛您的資料。執法機關及政府要求提供個人資料時，我們會針對每項要求逐一審查。我們處理這些要求時會遵守相關法律，並堅持保護會員隱私。如果我們認為要求過度空泛、依據不足，或有其他法律瑕疵，則會予以反對、尋求限制範圍，或予以駁回，尤其是所要求的資料屬於敏感性質時。若法律允許，我們會讓受影響的會員知道，政府調閱他們的資料。我們認為如果要持續贏得您的信任，就必須透明、負責。我們正積極評估各種方法，讓大眾更了解我們如何處理這些要求，例如發表透明度報告。

我們相信會員生命結束後依然有隱私權。由於我們無法得知每個會員的意願，因此即使在會員身故後收到調閱要求，我們還是會致力於保護會員的個人資料。不過如果您的親人用過我們的「服務」，且您是親人的繼承人或法定代理人，我們就會提供協助。若要調閱親人的資料，請透過 dataprotection@ouraring.com 提出申請。在處理您的要求以前，我們會確認您的身分、與死者的關係，以及您的法定權限。我們將遵守已故會員居住地管轄區法律授予您的所有相關權利。