本隐私政策适用于访问和使用 Insuraim 官网、相关线上服务及我们提供的 SaaS 平台的访客、试用用户、正式客户代表及潜在客户联系人。对于经纪行 / 顾问团队在 Insuraim 平台内存储和处理的其终端客户个人资料,我们一般作为技术服务提供方(数据处理者),并会在与机构签订的合同与数据处理协议中作出进一步约定。
1. 我们是谁
Insuraim 平台由 Insuraim 平台营运公司('本公司'、'我们')拥有及营运。本公司是一家在香港特别行政区注册成立的公司。
我们尊重个人资料私隐,并致力遵守《个人资料(私隐)条例》(第 486 章,简称'条例'或'PDPO')及其中六项资料保障原则('DPPs')。
2. 本政策适用范围
本隐私政策说明:
- •我们就浏览我们网站或提交表单的访客收集哪些类别的个人资料
- •我们就注册试用或订阅服务的机构代表与联络人收集哪些类别的个人资料
- •我们就使用 Insuraim 平台的机构用户(如经纪行员工、顾问等)收集哪些类别的个人资料
- •我们如何使用、储存和保护这些个人资料
- •当我们代表机构处理其终端客户资料时,我们的角色和责任
- •资料当事人在条例下享有的主要权利,以及如何行使这些权利
如本隐私政策与我们就具体服务签订的合同或数据处理协议(DPA)条款不一致,以合同 / DPA 的约定为准。
3. 个人资料的定义
在本政策中,'个人资料'是指与一名已识别或可识别的在世人士有关的任何资料,而这些资料直接或间接地使该人士身份可被识别。
4. 我们收集的资料类别
视阁下与我们的互动方式不同,我们可能收集以下类别资料:
4.1 网站访客及一般查询
4.2 试用与订阅用户(机构代表 / 顾问)
4.3 机构在平台中录入的终端客户资料
当你所在机构使用 Insuraim 平台录入其终端客户、保单和相关资料时,资料可能包括:
- •终端客户及家庭成员的个人资料(例如姓名、联系方式、出生日期等)
- •保单相关资料(例如保单号码、保险公司、产品类型、保额、保费、缴费记录等)
- •与财务状况、家庭结构、风险承受能力相关的信息(视机构实际录入内容而定)
- •服务记录与沟通纪要
就上述终端客户资料而言,一般情况下,你所在机构是条例下的'资料使用者'(data user),我们则按合同担任'数据处理者'或类似角色;本政策主要是为说明我们如何协助机构履行其在 PDPO 下的责任。
4.4 Cookies 及类似技术
我们可能通过 Cookies 及类似技术收集网站使用数据,用于:
- •维持会话登录状态
- •记住你的偏好(例如语言)
- •统计与分析网站使用情况(如访问量、来源渠道)
你可通过浏览器设置限制或拒绝 Cookies,但部分功能可能因此受影响。
5. 收集资料的目的与法律基础
根据 PDPO 的资料收集原则,我们只会在与我们业务及服务有关的合理目的下收集个人资料,并只会用于收集时已说明或与之直接相关的目的。主要用途包括:
- •处理你提交的查询、预约 Demo 或资料索取请求
- •评估你或你所在机构的需求,并提供建议、报价或合约草案
- •建立及管理用户账户,提供、维护及改进 Insuraim 平台及相关服务
- •协助机构在平台中创建、维护及分析其客户和保单资料
- •提供客户支持、技术支援与问题调查
- •为安全及防滥用用途,如监控异常登录、调查潜在或实际的欺诈及滥用行为
- •进行内部统计与分析,以改进产品设计及用户体验(尽量采用去识别化或汇总数据)
- •遵守适用法律、条例、监管规定或有权机关发出的法律要求
- •在取得适当同意或符合条例要求的前提下,用于直接促销或营销用途
6. 我们如何使用及披露个人资料
6.1 内部使用
在'知情且有需要'的基础上,我们可能向内部员工披露相关资料,以履行上述用途。我们会要求员工遵守保密义务与内部资料处理政策。
6.2 向第三方服务供应商披露
在有需要且符合用途的前提下,我们可能向以下类别的第三方披露个人资料:
- •为我们提供云端基础设施、托管、备份与安全服务的供应商
- •系统开发、维护及技术支援服务供应商
- •协助我们发送邮件、简讯或进行分析的服务商
- •审计师、法律顾问、合规顾问和其他专业顾问
- •在发生合并、收购或资产转让等重组交易时的潜在或实际交易对手(在符合法律要求的前提下)
我们会通过合约或其他方式,要求上述第三方在处理个人资料时遵守适当的保密及数据安全要求。
6.3 法律、监管及其他必要披露
如我们认为有需要遵守适用法律、法院命令、监管要求、执行机构或其他有权机关的合法要求时,我们可能披露有关资料。
6.4 直接促销(如适用)
如我们希望使用你的联络资料(例如姓名及电子邮件地址)向你发送与 Insuraim 相关的活动、功能更新、行业洞察或服务推广资讯,我们会遵守 PDPO 对直接促销的规定,包括:
- •在使用你的资料作直接促销前,向你说明该用途
- •如法律要求,取得你的同意或给予你拒绝 / 反对的机会
- •在每次直接促销讯息中提供简单明了的'取消订阅 / 退订'方式
你可随时按照第 14 条的联络方式通知我们停止使用你的资料作直接促销用途,相关费用全免。
7. 跨境资料转移
视乎我们的云端及托管服务供应商位置,你的资料可能会被转移至香港以外的地区作储存或处理。在进行跨境转移时,我们将采取合理可行的步骤,使相关资料得到与香港类似的保护水平,包括:
- •选择具适当安全资质与良好声誉的服务供应商
- •在合约上要求对方采取适当保密和安全措施
- •仅在需要的范围内进行传输,并限制可访问人员
我们会根据 PDPO 及私隐专员公署的相关指引持续评估和改进跨境数据传输安排。
8. 资料准确性及保存期限
我们会采取合理可行步骤,确保所持有的个人资料在使用时是准确和最新的。
我们只会在达到收集目的所需期间内保存个人资料,并在该目的(包括任何直接相关目的)完成后,于合理期限内删除或以不可识别方式匿名化,除非:
- •法律、规例或监管要求需要我们保留更长时间
- •为处理潜在索赔或争议有合理需要而保留
机构作为资料使用者,应根据自身合规与内部政策,决定在 Insuraim 平台中保存其客户及保单资料的具体期限,我们会按机构指示协助执行。
9. 资料安全
我们会采取合理可行的技术及组织措施,保护所持个人资料免受未经授权或意外的访问、处理、删除、遗失或使用。这些措施包括但不限于:
- •透过 TLS/HTTPS 保护传输中的数据
- •在适用情况下对静态存储的数据进行加密
- •多租户隔离架构,限制不同机构之间的资料访问
- •基于角色的访问控制和最小权限原则
- •对关键操作记录审计日志,便于检测及调查异常
- •定期备份及恢复演练
- •内部信息安全与数据保护培训
请注意,任何透过互联网传输或电子存储方式都不能保证百分之百安全,但我们会持续改进安全措施,并在发生可疑或实际数据泄露时按适用法规和合同约定进行通报与处理。
10. 资料当事人的权利(查阅及更正)
根据 PDPO,资料当事人就其个人资料享有以下主要权利:
如你希望就上述权利作出请求,请按第 14 条所列方式联络我们,并在请求中提供:
- •足以识别你的基本资料
- •你希望查阅 / 更正的资料类别
- •(如适用)证明相关资料与你的关系
我们会在合理时间内回应,并可按条例允许收取合理费用以处理查阅资料请求(但一般不会对更正请求收取费用)。
对于机构在平台中录入的终端客户资料,你通常应先透过相关机构(例如你的经纪行或顾问)提出查阅 / 更正要求,我们将根据与机构的约定协助处理。
11. 儿童个人资料
Insuraim 的网站和平台主要面向机构与专业人士,并非针对 18 岁以下人士。如我们知悉在未获得适当同意的情况下收集了未成年人的个人资料,我们会采取合理步骤予以删除或与相关机构合作作出修正。
12. 本政策与个人资料收集声明(PICS)的关系
根据 PDPO,第 5 条资料保障原则要求资料使用者公开其持有个人资料的种类及处理政策(通常以 Privacy Policy Statement 形式体现),而第 1 条则要求在收集时向资料当事人发出个人资料收集声明(Personal Information Collection Statement,'PICS')。
本文件作为我们的隐私政策(PPS),说明整体政策与实践。在某些具体收集场景(例如线上表单、活动报名),我们可能会向你展示更具体的 PICS,该声明与本政策一并适用。如两者有不一致,以该收集场景下的 PICS 为准。
查看个人资料收集声明(PICS)→13. 本隐私政策的更新
我们可能不时更新本隐私政策,以反映法律、监管要求或业务实际情况的变化。如有重要变更,我们会在网站上显著位置公告更新版本,并标明'最近更新日期';如涉及重大影响的变更,我们可能会以电邮或其他适当方式通知你。
在更新生效后,你继续使用本网站或我们的服务,即表示你同意受经修订的隐私政策约束。
14. 如何联系我们
如对本隐私政策或我们的个人资料处理方式有任何疑问、意见,或希望行使你的资料查阅与更正权利,请联络我们的'数据私隐联系人'(Data Privacy Contact):
邮寄地址香港(收件人:数据私隐联系人)
为保障资料安全,我们在处理你的请求前,可能会先采取合理措施验证你的身份。
⚠️ 重要声明:本隐私政策为一般信息说明,并不构成法律意见或合约条款。如你对 Insuraim 与贵机构之间就个人资料处理的权利与义务有疑问,应参考双方签订的正式协议,并咨询专业法律意见。