隱私權政策聲明

前言

我們的承諾

HelloClinic（下稱「本服務」）是由 KAKI TECH LIMITED（下稱「本公司」或「我們」）開發、營運並持有完整版權，一款專為醫療診所機構設計的 AI 輔助診所管理 SaaS 系統。我們鄭重承諾，致力於以最嚴謹的標準，保障所有客戶及使用者個人資料的私隱、保密性及安全。我們深切理解健康及醫療資料的高度敏感性，並以成為閣下最可信賴的資料託管人為己任。本公司的所有個人資料處理實務，均嚴格遵守香港特別行政區現行法例，特別是《個人資料（私隱）條例》（香港法例第486章）（下稱「《私隱條例》」），並將其載明的六項保障資料原則內化為我們企業文化的核心。本政策旨在以清晰、詳盡的方式，闡明我們如何收集、持有、處理、使用及保護閣下的個人資料，並體現我們主動採納香港個人資料私隱專員公署（下稱「私隱專員公署」）所建議的最佳作業實務。

政策適用範圍

本私隱政策聲明適用於所有其個人資料由本公司收集、持有、處理或使用的「資料當事人」。此範圍全面涵蓋本公司客戶（診所）的現有及潛在病人、本公司官方網站及旗下所有數碼應用程式的使用者，以及任何因業務往來而與本公司互動並提供個人資料的個人。本政策適用於通過所有渠道收集的個人資料，包括但不限於親身到診登記、在本公司網站或應用程式上填寫的電子表格、與本公司職員的任何形式通訊，以及在提供醫療服務過程中自然產生的資料。

詞彙定義

為確保本政策的清晰度及法律精確性，茲將關鍵詞彙定義如下，其涵義與《私隱條例》所界定者完全一致：

• 個人資料 (Personal Data)：指符合以下說明的任何資料：(a) 直接或間接與一名在生的個人有關的；(b) 從該等資料直接或間接地確定有關個人的身分是切實可行的；及 (c) 該等資料的存在形式是可予以查閱及處理的。在本服務的營運環境下，個人資料的例子包括但不限於姓名、香港身份證號碼、聯絡方式、病歷、診斷影像、化驗結果，以及在某些情況下可與個人身分關聯的技術數據（如IP位址）。
• 資料當事人 (Data Subject)：指屬個人資料的當事人的在生個人。
• 資料使用者 (Data User)：指獨自或聯同其他人或與其他人共同控制個人資料的收集、持有、處理或使用的個人或機構。在本政策的脈絡下，「資料使用者」明確指使用 HelloClinic 服務的診所客戶，其完全控制其病人的個人資料，並對此負有最終法律責任。
• 資料處理者 (Data Processor)：指代另一人（即資料使用者）處理個人資料，而非為其本身目的處理該等資料的個人或機構。在本政策的脈絡下，HelloClinic 作為 SaaS 服務提供者，在為診所客戶處理其病人資料時，即扮演此「資料處理者」或「資料守護者」角色。
• 訂明同意 (Prescribed Consent)：指資料當事人在被充分告知相關情況後，明確並且是自願給予的同意。

第一部分：個人資料的收集與處理原則

1.1 收集原則與方式

本公司嚴格遵循《私隱條例》中的第一項保障資料原則（下稱「保障資料原則一」），該原則規管個人資料的收集目的及方式。我們承諾，所有個人資料的收集均是為著與本公司作為醫療服務軟件提供者的職能及活動直接相關的合法目的。所收集的資料在性質和數量上，均屬為達致該等目的而屬必要及足夠，但絕不會超乎適度，此乃體現「資料最少化」（Data Minimisation）的核心原則。

我們確保所有收集個人資料的方式均屬合法且公平，絕不採用任何欺騙或誤導等不正當手段。本公司的合規策略中，一個關鍵的機制是《收集個人資料聲明》（Personal Information Collection Statement, PICS）與本《私隱政策聲明》的相輔相成。前者作為在收集點提供的「即時」通知，後者則作為可隨時查閱的全面性參考文件。這種雙軌並行的方式，旨在同時滿足保障資料原則一的即時告知義務及第五項保障資料原則的公開性與透明度要求。

在收集閣下的個人資料之時或之前，本公司將以適當的形式及方式（例如在登記表格上或網站頁面中）向閣下提供一份清晰易懂的《收集個人資料聲明》。該聲明將明確闡述以下資訊：

1. 收集資料的目的：清楚說明閣下的個人資料將被用於哪些具體、明確的用途。
2. 資料可能轉移予的類別：告知閣下的個人資料可能會被轉移或披露予哪些類別的第三方。
3. 提供資料的責任：述明閣下提供相關個人資料屬強制性抑或自願性質，以及若未能提供該等資料可能引致的後果。
4. 查閱及改正權利：告知閣下有權要求查閱及改正我們所持有的個人資料，並提供負責處理此類請求的保障資料主任的聯絡方式。

1.2 我們收集的個人資料種類

為提供最高質素的醫療護理軟件及相關服務，並確保營運的順暢，本公司會收集、持有及處理以下類別的個人資料。我們對所收集的資料類別保持高度透明，以便閣下充分了解我們的資料處理實務。

• 身份識別及聯絡資料 (Identity and Contact Data)：此類別包括閣下的姓名（中文及英文）、性別、出生日期、香港身份證號碼或其他旅遊證件號碼、聯絡電話、電郵地址及通訊地址。關於香港身份證號碼的收集，本公司僅在《私隱條例》及私隱專員公署發出的《身份證號碼及其他身份代號實務守則》所容許或規定的情況下進行。
• 健康及醫療資料 (Health and Medical Data)：此為我們作為資料處理者所處理的最為敏感的資料類別，對我們的客戶（診所）提供安全及有效的醫療服務至關重要。其涵蓋範圍廣泛，包括但不限於：個人病歷、家族病史、過敏記錄、與診所醫護人員的診症紀錄、臨床診斷、治療方案、處方藥物詳情、曾接受的外科手術程序、診斷影像結果（例如X光、磁力共振掃描）、病理化驗及實驗室測試報告，以及由資料當事人本人或其他醫療專業人員提供的任何與健康狀況相關的資訊。
• 賬戶及交易資料 (Account and Transaction Data)：為處理服務費用，我們需要收集賬戶及交易資料，當中包括賬單及付款資料、透過安全支付網關處理的信用卡資料、醫療保險計劃詳情、保險索償記錄，以及與本公司服務相關的交易歷史。
• 技術及使用數據 (Technical and Usage Data)：當閣下與本公司的網站或數碼平台互動時，我們的系統會自動收集某些技術資料。這可能包括閣下的互聯網規程（IP）位址、瀏覽器類型及版本、操作系統、登入數據、裝置資訊、關於閣下如何使用我們平台的活動日誌（例如所用功能、存取時間），以及透過Cookies收集的數據。當此類數據可直接或間接識別閣下的身分時，我們將其視作個人資料並予以同等保護。
• 通訊資料 (Communications Data)：此類別包含閣下與本公司之間所有來往通訊的記錄，例如電郵、透過本公司安全平台發送的訊息，以及為確保服務質素而記錄的電話通話摘要。

1.3 收集、持有及處理資料的目的

本公司收集、持有及處理閣下的個人資料，其目的均是合法且與我們作為醫療機構軟件提供者的職能和活動直接相關。我們確保每一項資料處理活動均有其清晰、具體的目的，並嚴格遵守保障資料原則一的規定。下表概述了我們處理不同類別個人資料的主要目的及法律基礎。

表1：個人資料處理活動摘要

個人資料類別	主要處理目的	相關的保障資料原則 / 法律基礎
身份識別及聯絡資料	- 核實病人身分，確保醫療服務提供予正確的個人。 - 安排及確認診症預約。 - 就閣下的護理、預約、化驗結果等事宜與閣下溝通。 - 處理賬單及付款事宜。	保障資料原則一：為與本公司職能直接相關的目的而收集。
健康及醫療資料	- 提供臨床診斷、治療及持續的醫療護理。 - 建立及維持全面而準確的電子及實體醫療記錄。 - 在有需要時，為閣下轉介至其他醫療專家或設施。 - 確保醫療決策的安全性和適切性。	保障資料原則一：為提供醫療服務此一核心職能而收集。
賬戶及交易資料	- 處理服務費用、開具發票及管理賬戶。 - 協助閣下向保險公司提出醫療索償。 - 進行內部會計及財務審計。	保障資料原則一：為與本公司行政及營運相關的目的而收集。
技術及使用數據	- 維護及保障本公司網站及數碼平台的安全與穩定。 - 分析平台使用情況，以改善使用者體驗及服務功能（在可行情況下以匿名化或匯總形式進行）。 - 診斷技術問題。	保障資料原則一及四：為改善服務及確保系統安全而收集。
通訊資料	- 回應閣下的查詢、意見或投訴。 - 存檔與閣下醫療護理相關的重要溝通記錄。 - 履行法律及監管機構的要求。	保障資料原則一：為促進溝通及履行合規義務而收集。

第二部分：個人資料的使用、披露與轉移

2.1 個人資料的使用限制

本公司嚴格遵守《私隱條例》中的第三項保障資料原則（下稱「保障資料原則三」），該原則對個人資料的使用施加了嚴格限制。我們在此明確聲明，除非事先獲得閣下的「訂明同意」，否則閣下的個人資料只會被用於收集時所說明的目的（詳見上文第1.3部分），或與該等目的有直接關係的用途。

「訂明同意」指閣下在完全知情的情況下，明確並且是自願地給予的同意。舉例而言，本公司為發送預約提醒而收集的電話號碼，在未經閣下另外給予明確的同意前，絕不會被用於發送關於新服務的推廣訊息。任何將個人資料用於新目的的建議，我們均會重新向閣下提供《收集個人資料聲明》，並尋求閣下的授權。

2.2 個人資料的披露與轉移

本公司對閣下的個人資料負有嚴格的保密責任。我們只會在合法、合理且必要的情況下，向第三方披露或轉移閣下的個人資料。所有披露均遵循「有需要知道」（need-to-know）的原則，並在適用的情況下，受具法律約束力的保密協議所規管。閣下的個人資料可能被披露或轉移予以下類別的人士或機構：

• 第三方服務供應商（作為資料處理者）：本公司會委聘信譽良好且可靠的第三方服務供應商，以協助我們的日常營運。這些供應商作為我們的「資料處理者」，僅能根據我們的指示處理個人資料，而不能用於其自身目的。我們承諾，將透過具法律約束力的合約或其他方式，確保所有資料處理者均遵守《私隱條例》的規定，特別是在資料保安（保障資料原則四）及資料保留（保障資料原則二）方面的要求。此類供應商包括：
  • 提供診斷化驗或醫學影像服務的外部合作夥伴。
  • 為我們提供電子病歷系統（EHR）、雲端儲存及其他關鍵資訊科技基礎設施的軟件即服務（SaaS）供應商。
  • 協助處理賬單及在必要時進行應收賬款管理的機構。
• 保險公司及僱主：在獲得閣下明確同意的情況下，我們可能會向閣下的醫療保險公司、醫療保障組織或相關僱主（例如在處理職前體檢事宜時）提供所需的醫療資料，以處理醫療費用結算、索償或相關行政事宜。
• 法律規定下的披露：在法律、法規、具法律效力的法院命令或政府部門（如衛生署）要求下，或為配合執法機構防止或偵查罪案的合法調查，我們可能有責任披露相關的個人資料。
• 緊急情況：在對閣下或他人的生命或健康構成嚴重威脅的緊急情況下，為防止或減輕該威脅而有必要時，我們可能會披露個人資料。

2.3 跨境資料轉移

本公司的營運可能涉及使用全球性的雲端服務供應商，這或會導致個人資料被轉移至香港以外的地區進行處理或儲存。我們深知跨境資料轉移所涉及的私隱風險，並採取了領先於本地法規要求的嚴格管治措施。

《私隱條例》中規管跨境資料轉移的第33條雖然目前尚未正式實施，但本公司已自願採納其核心精神及私隱專員公署發出的相關指引，以作為我們的最佳作業實務。這項前瞻性的合規策略，旨在確保即使閣下的個人資料被轉移至境外，仍能獲得與在香港《私隱條例》下所提供的保障水平相當的保護。

為此，我們採取以下措施：

• 合約保障：在將個人資料轉移至香港境外（例如由位於海外的雲端服務供應商處理）前，我們會與資料接收方訂立具法律約束力的合約。這些合約將包含由私隱專員公署建議的標準合約條款（Model Contractual Clauses）或具同等保障水平的條文，以確保資料接收方必須遵守與《私隱條例》六大保障資料原則一致的義務。
• 盡職審查：我們會對所有境外的資料處理者進行審慎的盡職審查，評估其所在司法管轄區的資料保障法律以及其自身的保安能力，以確保其能為閣下的個人資料提供充分的保護。
• 透明告知：如涉及跨境資料轉移，我們會在相關的《收集個人資料聲明》中告知閣下資料可能被轉移至香港境外，以及我們為保障資料所採取的措施。

2.4 數據商業化與市場推廣承諾

我們絕不會將患者或消費者的可識別個人資訊出售給任何第三方。我們從未這樣做過，也絕對不會這樣做。

我們嚴格區分醫療服務通訊與市場推廣活動。我們承諾，絕不會在未經閣下明確同意的情況下，使用閣下的個人資料（例如姓名、電話號碼或電郵地址）作直接促銷用途。我們不會使用您輸入的患者資料向患者推銷任何產品或服務，我們也絕不會將患者的資料提供給任何第三方以便他們可以直接進行行銷——任何此類行為對我們而言都是不可容忍的。

任何關於本公司新服務、健康講座、推廣優惠等非必要醫療護理的資訊，我們只會在獲得閣下選擇「加入」（opt-in）的明確授權後，方會向閣下發送。該同意必須是自願給予的，並且閣下有權在任何時候透過聯絡我們的保障資料主任，免費地及簡易地撤回該同意（即選擇「退出」opt-out）。如果非執業人員確實註冊 HelloClinic 使用我們的個人健康記錄，他們則受其自身的獨立條款約束。

2.5 案例研究與客戶公司資料使用

在不涉及任何個人資料的前提下，閣下之公司默認授權 HelloClinic 使用閣下之公司名稱、標誌（Logo）、行業類別、非機密的實施概況，以及經匯總或匿名化之使用成效作為案例研究（Case Study）、客戶成功故事或市務宣傳素材；除非閣下以書面形式明確選擇退出（opt-out）。上述素材可能於我們的官方網站、產品簡報、社交媒體平台、投標文件、媒體採訪及其他市場推廣渠道中展示。

我們承諾：

• 絕不使用或披露任何患者資料或任何可識別的個人資料。
• 絕不披露合約條款、定價、專有技術細節或其他商業機密。
• 提供清晰且簡易的退出機制；閣下可隨時以書面通知我們退出此授權或要求下架現有素材。
• 一旦收到退出通知，我們將於合理可行範圍內盡快停止所有後續使用，並從自家控制的渠道中移除或在下一版本的更新中刪除相關素材。
• 如需使用閣下商標或品牌素材，閣下授予我們一項非獨家的、免版稅的、可隨時撤回的有限授權，該授權僅限於上述用途，且不包含任何轉授權的權利。

除非另有書面約定，上述授權不構成對 HelloClinic 或任何第三方的背書或代言，亦不影響任何一方在服務合約下的權利或義務。

第三部分：資料保安與保留

3.1 資料保安承諾

本公司嚴格遵循《私隱條例》中的第四項保障資料原則（下稱「保障資料原則四」），採取所有切實可行的步驟，以保障我們所持有的個人資料免受未經授權或意外的查閱、處理、刪除、遺失或使用。我們的資料保安策略是一個全面的、多層次的框架，涵蓋管治、技術及實體等範疇，其設計參考了私隱專員公署發布的權威指引及國際最佳實務。

資料管治及組織措施 (Data Governance and Organizational Measures)

• 指定責任：我們已委任一名高層管理人員擔任保障資料主任（Data Protection Officer, DPO），其職責是監督本公司對《私隱條例》的遵循情況，並作為處理所有私隱相關事宜的專責聯絡人。其聯絡方式詳見本政策第六部分。
• 作為資料守護者的角色：HelloClinic 無權存取您的數據。我們僅是您資料的守護者，在技術和政策層面均無法存取敏感的患者或診所資訊。當我們為協助服務查詢而需要存取您的帳戶時，所有機密資訊都會被系統性地匿名化或技術性移除。例如，HelloClinic 員工會要求您提供匿名的病患 ID 而非病患姓名來處理支援請求。
• 政策與程序：我們已制訂並實施一套全面的內部政策和標準作業程序，用以規管個人資料從收集、使用、儲存到最終銷毀的整個生命週期中的處理方式。
• 存取控制：我們嚴格執行「最小權限原則」（Principle of Least Privilege）及「有需要知道」原則。HelloClinic 系統內置多層且細化的權限管理。除診所指定的超級管理員（SuperAdmin）帳號可訪問其管轄下的全部資料外，診所可為其員工帳號靈活地分配不同層級的存取權限。只有獲正式授權且其職務有此需要的員工，才能存取其履行職責所必需的最少量個人資料。所有存取權限均會定期審核，並在員工離職或職務變更時立即撤銷。
• 員工培訓：所有員工入職時必須接受強制性的個人資料私隱及資訊保安培訓，並須定期參與更新培訓。培訓內容涵蓋《私隱條例》的法律要求、本公司的內部政策、識別及應對網絡釣魚等社交工程攻擊，以及安全處理敏感資料的最佳實務。
• 風險評估：我們會定期進行資料保安風險評估及資料保障影響評估（Data Protection Impact Assessments, DPIA），尤其是在引進新技術、新系統或開展新的資料處理活動之前。此舉有助我們前瞻性地識別及緩解潛在的私隱風險。

技術措施 (Technical Measures)

我們利用先進及行業認可的技術，為閣下的個人資料構建一道堅實的數碼防線。

• 加密技術：所有在網絡上傳輸的個人資料（傳輸中資料）均採用傳輸層安全性協議（TLS 1.2 或以上）等強加密技術進行保護。所有儲存在我們伺服器及數據庫中的個人資料（靜態資料）均採用如 AES-256 等高強度加密標準進行加密儲存。
• 網絡安全：我們的服務部署在安全的 Google Cloud 伺服器上，並採用 Cloudflare 提供網絡層面的安全防護，包括 Web 應用程式防火牆 (WAF) 及 DDoS 緩解。我們同時部署了企業級防火牆、入侵偵測及防禦系統，並在所有端點及伺服器上安裝及時更新的反惡意軟件，以抵禦來自內外部的網絡攻擊及威脅。
• 安全配置：我們對所有伺服器、應用程式及網絡設備進行安全強化配置，並實施嚴格的修補程式管理政策，確保及時修復已知的安全漏洞。
• 匿名化及假名化：在進行內部研究、統計分析或系統測試等非直接提供醫療服務的活動時，如情況許可，我們會採用匿名化或假名化技術處理個人資料，從而將私隱風險降至最低。

實體措施 (Physical Measures)

對實體形式存在的個人資料，我們同樣給予高度保護。

• 所有載有個人資料的實體文件，均儲存在設有門禁的辦公區域內的上鎖檔案櫃或儲存室中。
• 本公司的辦公場所及伺服器機房均設有嚴格的物理存取控制系統，以防止任何未經授權的人士進入。

3.2 資料外洩應變計劃

儘管我們已採取嚴密的預防措施，但我們亦為應對潛在的資料保安事故（即資料外洩）制訂了周詳的應變計劃。該計劃旨在迅速控制事態、評估影響並採取補救措施，以最大程度地減輕對受影響人士可能造成的損害。

我們的應變計劃包括以下關鍵步驟：

• 即時行動：一旦發現或懷疑發生資料外洩，應變小組將立即採取行動，包括隔離受影響的系統，以阻止洩漏的持續。
• 損害評估：我們會迅速評估事故的性質、涉及的個人資料種類及數量，以及對資料當事人可能構成的損害風險。
• 通報機制：根據私隱專員公署的建議，如果我們確定資料外洩事故存在導致對受影響人士造成實際損害的風險，我們將在切實可行的情況下盡快通知私隱專員公署及受影響的資料當事人。
• 事後檢討：事故處理完畢後，我們會進行深入的檢討，查明根本原因，並採取必要的改進措施，以加強我們的保安系統，防止同類事件再次發生。

3.3 資料保留政策

本公司嚴格遵循《私隱條例》中的第二項保障資料原則（下稱「保障資料原則二」），該原則規定個人資料的保存時間，不得超過達致收集該等資料的原來目的實際所需的時間。

我們的資料保留政策基於以下原則：

• 目的導向：不同類別個人資料的保留期限，是根據其收集目的以及任何適用的法律、專業守則或監管規定而釐定。例如，病人的醫療記錄，其保留期限將遵循香港醫務委員會等專業團體發出的指引以及相關法例的要求。
• 制定保留時限表：我們已制訂並維持一份內部資料保留時限表，當中詳細列明各類個人資料的具體保留期限。
• 安全銷毀：一旦個人資料的保留期限屆滿，或其原有使用目的已不存在，我們會採取所有切實可行的步驟，以安全及永久的方式將該等資料從我們的電子系統及實體記錄中徹底刪除或銷毀，使其無法被還原或查閱。

第四部分：您的權利與我們的責任

4.1 資訊透明度

本公司恪守《私隱條例》中的第五項保障資料原則（下稱「保障資料原則五」），致力確保我們在個人資料方面的政策及實務具備高度透明度。本《私隱政策聲明》是我們履行此項責任的主要工具，旨在讓閣下清楚知悉本公司持有何種類別的個人資料，以及該等資料的主要使用目的。我們承諾以清晰、易於理解的語言，公開我們的資料處理常規。

4.2 查閱及改正資料的權利

《私隱條例》賦予閣下對其個人資料的重要權利，本公司完全尊重並設有清晰的程序以協助閣下行使此等權利。此乃遵循第六項保障資料原則（下稱「保障資料原則六」）的核心要求。將法律原則轉化為使用者可行的操作流程，是我們對透明度和問責制承諾的體現。

查閱資料要求 (Data Access Request - DAR)

閣下有權確定本公司是否持有閣下的個人資料，並在我們持有該等資料的情況下，要求索取一份該等資料的複本。

如何提出查閱資料要求：

• 書面形式：所有查閱資料的要求均須以書面形式（中文或英文）提出。為方便處理，我們建議閣下使用由私隱專員公署指明的「查閱資料要求表格」（表格OPS003）。
• 提交要求：請將填妥的表格郵寄或電郵至本政策第六部分所列的保障資料主任。
• 身分核實：為保障閣下的個人資料不被未經授權人士存取，我們在處理要求前，需要採取合理步驟核實閣下的身分。
• 處理時限：根據《私隱條例》規定，我們會在收到閣下的要求後的40個曆日內，依從閣下的要求或給予書面回覆。
• 費用：我們可就處理查閱資料的要求，收取一項不超乎適度的費用，以彌補提供資料副本所涉及的直接相關行政成本。如需收費，我們會預先通知閣下。

改正資料要求 (Data Correction Request - DCR)

倘若閣下認為本公司持有的關於閣下的個人資料不準確，閣下有權要求我們作出改正。

如何提出改正資料要求：

改正資料的要求應在閣下行使查閱權並獲得資料副本後提出。程序與查閱資料要求相似，須以書面形式向我們的保障資料主任提出，清楚指明需要改正的資料及正確的內容。我們同樣會在收到要求後的40個曆日內處理閣下的要求。

拒絕要求的理據 (Grounds for Refusal)

雖然我們致力於協助閣下行使權利，但在《私隱條例》訂明的極少數特定情況下，我們可能需要拒絕閣下的查閱或改正要求。這些情況包括但不限於：

• 要求並非以中文或英文書面提出。
• 我們未能透過合理步驟核實提出要求者的身分。
• 依從查閱要求會連帶披露第三者的個人資料，且無法在不披露該第三者身分的情況下提供資料。
• 《私隱條例》訂明的其他豁免情況適用。

若我們拒絕閣下的要求，我們會在40日的法定期限內，以書面形式通知閣下拒絕的理由，並會按法例要求將拒絕的詳情記錄在案。

4.3 網站追蹤技術的使用

為提升本公司網站及數碼平台的效能及使用者體驗，我們可能會使用「小型文字檔案」（Cookies）及類似的網站追蹤技術。我們承諾在此方面保持完全透明。

• 什麼是Cookies：Cookies是一些儲存在閣下電腦或流動裝置上的小型文本檔案。它們有助網站記住閣下的偏好設定（如語言選擇），並收集關於網站流量及使用模式的匿名統計數據。
• 我們使用的Cookies種類：
  • 絕對必要Cookies (Strictly Necessary Cookies)：此類Cookies是網站正常運作所必需的，例如維持閣下的登入狀態或處理安全功能。它們無需閣下同意。
  • 效能及分析Cookies (Performance and Analytics Cookies)：此類Cookies幫助我們了解訪客如何與我們的網站互動（例如瀏覽哪些頁面），從而收集匯總的統計數據以改善網站設計及服務。我們只會在獲得閣下同意後，方會使用此類Cookies。
• 閣下的選擇與控制：閣下可以完全控制是否接受非必要的Cookies。我們的網站設有Cookies同意管理橫幅，閣下可隨時透過該橫幅或瀏覽器的設定，接受或拒絕儲存此類Cookies。請注意，若閣下選擇拒絕所有Cookies，可能會影響網站部分功能的正常使用。此做法反映了全球在資料私隱方面的最佳實務。

第五部分：法律責任

5.1 服務使用者的責任

HelloClinic作為一款SaaS軟件，僅提供技術服務平台。我們的客戶（即使用本服務的診所）作為其病人資料的「資料使用者」，需獨立承擔遵守《私隱條例》及其他適用法律的全部責任。所有透過本服務輸入、產生或管理的內容，其法律責任由使用者（診所）自行承擔。

5.2 AI生成內容免責聲明

本服務可能包含由人工智能（AI）輔助生成內容的功能。使用者必須理解並同意，所有由AI產生的內容（例如病歷摘要、報告草稿等）僅供參考之用，絕不能取代專業的醫療判斷。使用者有最終責任審核、修改並獨立確認其準確性、完整性及臨床適當性。因使用或依賴AI生成內容而引致的任何後果，HelloClinic概不負責。

第六部分：聯絡與政策覆檢

6.1 政策的變更

為確保本《私隱政策聲明》能時刻反映最新的法律規定、科技發展及本公司的營運實務，我們會對其進行定期覆檢及更新。任何修訂將於本網站上公布。本政策頂部的「最後更新日期」將會標示最新版本。我們鼓勵閣下定期查閱本政策，以了解我們如何保護閣下的個人資料。若政策有重大變更，我們可能會透過電郵或在本公司平台上的顯著位置發出通知。

6.2 聯絡我們的保障資料主任

設立一個清晰、單一的聯絡點，是我們實踐問責制和保障閣下權利的重要一環。此舉確保閣下在有需要時，能夠直接與專責處理私隱事宜的人員溝通，體現了我們對資料管治的嚴肅態度。

如閣下對本《私隱政策聲明》有任何疑問，或欲就個人資料事宜提出查詢、投訴，或行使閣下的查閱及改正權利，請透過以下方式聯絡我們的保障資料主任：

• 職銜：保障資料主任 (Data Protection Officer)
• 電郵地址：Cyrus@helloclinic.com

所有通訊將被保密處理，我們會盡力及時回覆閣下的查詢。

6.3 向私隱專員公署投訴

本公司致力於以公平及透明的方式解決閣下任何關於個人資料私隱的疑慮。然而，本著充分保障閣下權利及資訊透明的精神，我們在此告知，倘若閣下對我們處理閣下私隱事宜的方式或回覆感到不滿，閣下有權向香港的獨立監管機構——個人資料私隱專員公署（PCPD）提出投訴。有關投訴程序及聯絡方式，可參閱私隱專員公署的官方網站。