Headspace 隐私政策

生效日期：2025 年 3 月 1 日

如果您有视力障碍、其他失能状况，或需要其他语言的支持，您可以发送电子邮件至 help@headspace.com 获取本隐私政策。

Headspace 的价值观包括会员至上。我们致力于在您通过我们的网站（包括 www.headspace.com，下称“网站”）、我们的应用程序（包括 Headspace 移动应用程序，下称“应用程序”）或其他交付方式（网站、应用程序及其他交付方式统称为我们的“产品”）使用我们的内容和产品时，保护和尊重您的隐私。Headspace 可能会使用产品或通过其他交付方式（如适用）提供指导服务、心理治疗服务（即治疗）和精神病学服务（统称为“服务”）。Headspace 通过关联医疗服务提供者和合作伙伴提供服务，包括 Ginger.io of California Medical P.C.（下称“Ginger Medical”）或第三方医疗服务提供者（Ginger Medical 和这些第三方医疗服务提供者统称为我们的“护理提供者”）。在本隐私政策中，将我们所有的产品和服务统称为我们的“平台”。本隐私政策涵盖通过我们的产品或服务收集的“个人信息”，即关于已识别或可识别个人的信息。

根据您与我们互动的方式，以下内容可能也适用于您：

• 我们的服务由我们的护理提供者提供。美国的护理提供者被归类为《美国健康保险便利与责任法案》(HIPAA) 所涵盖的实体。作为我们的护理提供者的业务伙伴，Headspace 受 HIPAA 的约束。我们的护理提供者可能会在注册期间向您提供额外的隐私声明，我们建议您查阅该声明。例如，如果您从 Ginger Medical 获得服务，您可以在此处查阅其《隐私实践声明》。如果您在美国境外并使用我们的国际护理提供者，您可能也会从他们那里收到您所在地区适用法律规定的额外隐私声明。
• 我们平台的某些组件或功能（例如以独特的方式使用您个人信息的可选功能）可能包含额外的隐私声明。与此类似，您可能以附加条款或隐私声明的方式获得对我们产品或服务的访问权限，例如您的雇主附加的条款或隐私声明。这些额外的条款和隐私声明是对本隐私政策的补充，但是在与本隐私政策存在冲突的情况下，应以这些条款和隐私声明为准。
• 您可以点击我们平台中包含的或由其他用户提供的链接，访问非由我们运营的第三方网站或产品。本隐私政策不适用于第三方网站或产品。我们强烈建议您查阅其隐私政策，以了解这些第三方如何使用和存储您的个人信息。
• 与此类似，您可以使用单点登录 (SSO) 功能访问我们的平台，例如通过您的社交媒体账户或通过您的雇主。该使用方式可能受您的 SSO 提供者的条款和隐私政策的约束，我们建议您在使用这些功能之前查阅相应的条款和隐私政策。
• 本隐私政策不适用于 Headspace 的员工或 Headspace 的求职者。求职者可以在此处查阅我们的求职者隐私声明了解我们如何使用他们的个人信息，而员工将在入职过程中获得进一步的详细信息。

请仔细阅读以下内容，以了解我们关于您个人信息的实践。我们也鼓励您在此处查阅我们的最终用户条款和条件。

本隐私政策以分层格式提供。您可以点击或轻触下面的章节跳转到特定章节。我们提供了每个章节的摘要，但我们建议您详细阅读每个章节。

我们可能会从您直接提供给我们的信息、我们从他人处收到的信息以及当您与我们的平台互动时我们可能自动收集的个人信息中，收集关于您的以下个人信息并进行处理。

a. 您提供给我们的信息

• 联系信息和标识符。当您使用我们的平台时，我们可能会要求您提供某些联系信息，包括您的名字、姓氏和电子邮件地址。如果您选择通过社交媒体账户访问产品，我们也可能收集您的社交媒体识别号。
• 账户信息。如果您决定在我们这里设立账户，我们可能会要求您提供某些额外的联系信息，例如，您的名字和姓氏、电子邮件地址（个人和/或工作）、电话号码、邮寄地址、雇主或公司名称、职位、学生证号码、紧急联系信息，以及密码和其他与身份验证相关的信息。对于参与特殊订阅和功能（包括团体计划）的个人，我们可能会收集额外的个人信息，例如，家庭住址以及家庭成员的姓名和电子邮件。
• 健康信息。当您使用我们的产品或参与服务时，我们将收集您提供的关于您的健康和福祉的信息。您可以通过产品提供这些信息，例如通过关于您当前心理或身体健康状况的调查问卷、设定您的健康或福祉目标，或在与您的健康或福祉相关的其他输入中提供。您也可以通过服务提供此类信息，例如与您的教练或治疗师谈论您当前的健康需求或在治疗期间提供。我们理解这些信息非常敏感，因此我们会谨慎处理，包括在适用情况下将这些健康信息视为受 HIPAA 保护的健康信息。
• 个人资料和人口统计信息。通过您在我们产品中的账户，您可能有机会提供关于您自己的额外信息，例如您的年龄、种族和民族、性取向、首选代词、性别或性别认同、出生时性别、婚姻状况以及关于您的健康和病史的详细信息。
• 支付信息。如果您注册我们的付费产品或服务，您可能需要提供您的支付卡或银行账户信息。请注意，Headspace 不直接处理支付卡信息，而是由第三方支付处理商代表我们进行处理。请注意，第三方条款可能适用于这些支付服务。为此目的收集的个人信息包括卡号、类型、有效期和账单地址，并且这些信息的某些匿名化、有限和/或删减版本可能会提供给 Headspace。
• 调查信息。我们可能会向您提供调查问卷，用于了解产品功能、向您提供服务、向您提供我们认为您可能感兴趣的产品和服务的信息，或用于研究目的。通过这些调查，您可能有机会描述您自己、您对平台的使用或对未来改进的反馈。
• 通信信息。当您发送或回复来自 Headspace 的电子邮件、消息、聊天或其他通信时，我们可能会收集您的电子邮件地址、姓名以及您选择在通信正文中包含的任何其他个人信息。此外，当您与我们产品的某些功能互动时，我们可能会收集这些通信的内容。
• 支持信息。当您提交支持请求或以其他方式与我们的支持团队互动时，我们会收集您在该互动中提供的信息。我们还利用实时聊天和/或聊天机器人技术，允许您通过聊天窗口直接与我们的自动化客户服务系统和/或客户服务代表就我们的产品和服务进行沟通。Headspace 可能会收集、保留在提交之前输入此表格的文本并用于我们的业务目的，包括由我们的客户服务和其他人员及服务提供者使用。

b. 来自他人的信息

在某些情况下，我们可能会从他人处收集关于您的个人信息。这可能包括以下内容：

• 如果您通过您的雇主、健康计划或赞助您访问的另一方（您的“福利赞助方”）获得对 Headspace 的访问权限，我们会收集您的姓名和电子邮件地址以及您的福利赞助方为方便您注册我们的产品和服务而提交给我们的其他信息。
• 我们可能会收集我们的用户通过分享和推荐功能所识别的个人的姓名、电子邮件地址、内容参与度和偏好。我们仅将此数据用于分享内容和推荐个人加入产品之目的。
• 在支持的情况下，我们可能会从父母或监护人处收集为其 13-17 岁受抚养人运营账户所需的个人信息。
• 如果您选择验证您的账户以确认您有资格获得精选订阅服务，我们可能会允许第三方平台访问您提供的特定个人信息以执行验证。任何未能提供足够信息的情况或 Headspace 认为异常的任何回应都可能导致 Headspace 拒绝（或无法）验证您的资格。

c. 我们自动收集的信息

我们的产品和网站可能会在您使用期间自动从您那里收集信息，其中可能包括：

• 浏览器和设备数据，例如 IP 地址、设备标识符、设备类型、操作系统和互联网浏览器类型、屏幕分辨率、操作系统名称和版本、设备制造商和型号、语言、插件、附加组件以及您正在访问的网站和产品的语言版本。
• 使用数据，例如在产品和网站上花费的时间，包括访问的页面、点击的链接、大致位置、语言偏好、功能性能、使用模式以及将您引导或引荐至我们产品和网站的页面。

d. 汇总、匿名和去标识化的数据

我们可能会通过移除、掩盖或以其他方式更改数据中可识别您的个人身份或可能识别您的个人身份的组成部分，从个人信息中创建或收集汇总、匿名或去标识化的数据（“去标识化数据”）。我们将以去标识化的形式维护去标识化数据，并且不会尝试重新识别它，除非在测试我们的去标识化实践时。去标识化数据不是个人信息，不受本隐私政策的约束。

我们可能通过以下方式使用您的个人信息：

• 提供我们的平台，包括内容的交付和互动功能；
• 就我们的平台（包括更新或变更）与您沟通；
• 为您提供支持，回答您的问题或信息请求，或处理您的投诉；
• 处理付款、管理您的订单并核算适用的销售税；
• 告知您的福利赞助方（如果您有）您的注册以及下文第 3 节中描述的其他信息；
• 履行我们可能与您签订的任何协议下的义务；
• 维护和提高我们平台的质量，包括进行研究和开发、了解用户趋势；
• 推动为我们的平台提供支持的机器学习算法；
• 向您提供我们认为您可能感兴趣的新产品和服务、促销活动及其他机会的信息（由我们或第三方合作伙伴提供），并对这些产品和服务进行个性化、衡量和改进；
• 为您个性化您通过第三方平台、在其他网站和应用程序收到的关于我们平台的广告；
• 保护我们自己、您和其他人，例如采取行动防止欺诈和其他非法或未经授权的活动，并创建和维护一个可信、安全和可靠的在线环境；以及
• 遵守我们的法律义务，包括满足监管合规义务、响应传票、法院命令或其他法律程序；以及
• 确立或行使我们的合法权利或对法律索赔进行辩护。

人工智能 (AI) 功能。我们使用人工智能 (AI)，这是一种基于机器的系统，旨在以不同程度的自主性运行，从其接收的输入中进行推断，以生成可以影响物理或虚拟环境的输出。我们的大部分 AI 使用都在幕后，例如我们基础设施的安全监控、内容推荐系统以及质量保证。在其他情况下，我们可能会在我们的产品中开发您直接与 AI 互动的功能（“AI 功能”），例如当您与 Ebb 进行反思时。在您使用或激活 AI 功能之前，我们会告知您将与 AI 互动，并让您选择是否这样做。在此处了解关于我们使用 AI 的方法的更多信息。

我们可能会向以下类别的第三方披露您的个人信息：

• 我们的服务提供者。在某些情况下，我们可能需要向第三方披露您的个人信息，以便他们能代表我们提供服务，例如帮助交付您请求的产品或服务。这些服务提供者可能提供分析、支付处理、广告和营销、网站托管、客户和技术支持以及其他服务。

我们的服务提供者仅在代表我们执行这些任务时才有权访问您的个人信息，他们基于我们的指示，并受合同约束，必须维护您个人信息的机密性和安全性，并且不得为任何其他与本隐私政策和适用法律不符的目的披露或使用您的个人信息。

• 您的集成。您可以通过支持的第三方集成连接您的账户，我们将与这些第三方共享您的个人信息。如果您连接了第三方集成，该第三方的条款和隐私政策可能适用于因此共享的个人信息，我们建议您在设置集成之前查阅这些条款。例如，如果您使用的是 iOS，您可以将我们的产品连接到 Apple 的 Health Kit。如果您进行了上述连接，iOS 的隐私政策和使用条款将适用，可在 www.apple.com/legal/privacy 查阅。
• 社区活动。如果您使用我们的社区功能与其他平台用户互动，我们将分享一些关于您的信息，例如您在论坛上发表评论时关联的姓名或您选择与其他用户分享的其他信息。
• 您的福利赞助方。在有限的情况下，我们可能会向您的福利赞助方提供某些个人信息，包括您的姓名、电子邮件地址、您的注册日期以及您最后一次使用我们平台的日期。通常，我们会将此共享限制为不得包括您应用内活动或您使用服务（如治疗）的任何细节。如果共享您的某些活动对于您的治疗、支付或医疗保健运营是必要的，则此限制可能不适用，例如您的福利赞助方是您的其他医疗保健提供者、健康保险提供者或健康计划。
• 第三方业务合作伙伴。在有限的情况下，我们可能会向与我们有联合促销关系、捆绑订阅优惠或其他可信赖合作伙伴关系的第三方企业提供某些个人信息。这种类型的共享通常会与您的声明、同意、指示和/或在您提供个人信息时的合理期望相一致。
• 第三方广告平台。我们与为我们提供分析和广告服务的第三方平台合作。这包括帮助我们了解用户如何与我们的平台互动，代表我们向可能感兴趣的人投放广告，并衡量这些广告的效果。
• 合规与伤害预防。履行我们的义务，披露或共享您的个人信息以遵守任何法律义务，例如遵守传票、破产程序、类似的法律程序，或执行我们与您的协议；或保护 Headspace、我们的客户或其他人的权利、财产或安全。这包括为防止欺诈和降低信用风险而与其他公司和组织交换信息。我们也可能在我们认为符合或执行任何适用法律、法规或法律程序的要求时披露个人信息。
• 关联公司和业务转让。我们可能会出于本隐私政策中描述的任何目的，与我们业务集团的任何成员共享您的个人信息，其中包括我们的子公司和我们的关联公司，包括 Ginger Medical 及其医疗专业关联公司。如果 Headspace，包括我们的任何子公司、品牌或关联公司，涉及合并、收购、资产出售或其他公司合并，您的个人信息可能会被转移给收购方或存续实体。如果此类转移导致您个人信息的使用发生重大变化，我们将在您的个人信息被转移或受其他隐私政策约束之前通知您。

您的个人信息的安全对我们很重要。我们遵循公认的标准、实践和程序来保护提交给我们的个人信息，无论是在传输过程中还是在收到后。我们维持适当的技术、行政和物理保障措施，以帮助保护您的个人信息免遭未经授权的访问、破坏、丢失、更改、披露或滥用。

然而，没有任何安全措施可以提供百分之百的保证。如果您在我们这里有账户，并且您怀疑您的账户或其凭据被未经授权使用，您应立即使用下文第 9 节中的联系信息与我们联系，或直接联系我们的安全团队：security@headspace.com。

我们将在履行对您的义务所需的时间内，或在法律允许的时间内，保留您的个人信息。我们确定保留期限的标准包括：(i) 我们与您保持持续关系的时间长度；(ii) 我们是否受制于某项法律义务；以及 (iii) 考虑到我们的法律地位（例如关于适用的诉讼时效、诉讼或监管调查），保留是否可取。例如，我们会在您的账户存在期间保留您的账户信息，如您的姓名、电子邮件地址和密码，以便您可以访问它。

我们认为您有权控制您的个人信息。为此，我们提供以下权利，以便您就您的个人信息提出请求。您可以通过联系 help@headspace.com 或在某些情况下使用平台内的功能来提出这些请求：

• 访问权。您有权知道我们收集了关于您的哪些个人信息以及我们如何使用它。本隐私政策旨在告知您有关我们收集的个人信息以及使用方式。如果我们拥有关于您的个人信息，您也可以请求该信息的副本。
• 更正权。您有权请求更正您的不准确的个人信息。
• 迁移权。您可以请求以结构化和机器可读的格式（如 .csv 或 .pdf）导出您的个人信息。在可行的情况下，我们可以将该导出文件发送给您指定的第三方。
• 删除权。在某些情况下，您有权请求删除我们收集的您的个人信息。
• 限制权。在某些情况下，您有权请求 Headspace 限制使用您的个人信息。请注意，在某些情况下，由于使用个人信息对于产品功能或提供服务是必要的，我们可能无法设置限制。
• 不得报复或歧视。您有权不因提出请求而遭受歧视性或报复性待遇。

收到您的请求后，我们可能会要求您提供额外信息，以验证该请求或确认您希望如何进行。我们努力在没有不当延迟的情况下回应可验证的请求。如果我们需要更长的时间，我们将使用与您账户关联的电子邮件或您用于提出请求的电子邮件通知您。

我们处理您可验证请求不收取费用，除非该请求是过度的、重复的或明显没有根据的。如果我们确定您的请求需要收费，我们将在完成您的请求前告诉您原因并向您提供成本估算。

您的权利不是绝对的，可能会有例外情况。这些例外情况可能源于不同因素，包括我们的法律义务、他人的权利、您或他人的安全，以及我们提起或抗辩法律索赔的能力。此外，如果您没有提供足够的信息来验证您的身份，或验证提出请求的第三方是您的授权代表，我们将不会满足您的请求。

一些美国司法管辖区根据适用法律的定义，为其居民提供了关于其个人信息的某些权利。这些权利受该司法管辖区的具体法律约束，并且某些其他权利可能适用。请查阅我们的补充声明，包括我们的欧盟和英国隐私声明、加州隐私声明以及弗吉尼亚、康涅狄格、科罗拉多、犹他州和内华达州隐私声明，以获取有关您所在位置或居住地的特定权利和条款的更多信息。

Headspace 致力于保护和尊重儿童的隐私。我们的平台通常面向年满 18 周岁的个人，我们不会有意收集未满 18 周岁个人的个人信息。存在有限的例外情况：

• 如果您在美国并参与我们的 Headspace 青少年版服务或使用某些福利赞助方的服务，只要您年满 13 周岁，就可以注册账户。
• 如果您是年龄在 13 至 17 岁的美国用户，并且按如上所述方式加入，您可以在获得可验证的父母或监护人同意的情况下注册服务。
• 如果您是我们的员工援助计划 (EAP) 中的家长，您可以将您年满 6 周岁的孩子转介给我们的护理提供者接受现场护理，但不能为他们创建应用账户。

您可能还注意到我们产品中有一些似乎面向儿童的内容。这些内容仅供您在您的监督下与您的孩子分享，并且不要求或允许您的孩子创建应用账户。

如果您是家长或监护人，并且您发现有未满 13 周岁的儿童在未经父母同意的情况下向我们提供了他们的个人信息，请通过 help@headspace.com 与我们联系，我们将采取措施从我们的服务器中删除该个人信息。

当您访问我们的网站时，我们可能会通过 Cookie（包括第三方提供的 Cookie）自动从您那里收集信息。我们将 Cookie 及其收集的信息用于多种目的，包括功能、性能分析、安全、个性化网站内容和广告。在适用法律要求的范围内，我们将征求您的同意以使用此类追踪器，或为您提供选择退出 Cookie 的机会。您可以使用选择退出偏好信号，例如全球隐私控制 (GPC)，来选择退出您个人信息的出售/共享。有关我们使用的 Cookie 类型以及您对它们的选择的更多信息，请参阅我们的 Cookie 政策。

本隐私政策自文首标明的日期起生效。我们可能会不时更新本隐私政策，以反映平台的变化、进行更正、提高清晰度、反映我们隐私实践的变化，或遵守适用法律的要求。当我们可能做出重大变更时，例如关于我们如何使用您的个人信息或您的权利的变更，我们将在平台内或通过其他渠道（例如您在账户注册时提供的电子邮件）通知您，同时还会在我们的网站上发布修订版本。我们鼓励您定期查阅本隐私政策，以了解我们如何处理您的个人信息。

如果您对本隐私政策有任何问题、疑虑或请求，请与我们联系。您可以通过发送电子邮件至 help@headspace.com 或致电 855.432.3822 联系我们。

根据您所在的司法管辖区的隐私法，您可能享有额外的权利。我们提供本节中的补充信息旨在遵守这些额外的隐私法，并告知您您的权利。如果下面没有列示您所在的司法管辖区，请不要理解为我们不尊重您的隐私，如果您有任何问题或疑虑，我们鼓励您使用上面的联系方式就与我们联系。请注意，Headspace 是一家总部位于美国的公司，您的个人信息将存储在美国境内。

a. 欧盟和英国隐私声明

数据传输。本节适用于欧盟 (EU)、英国 (UK) 和瑞士境内的个人。对于第 1 节中详述的大部分个人信息，Headspace 作为《通用数据保护条例》(GDPR) 下的数据控制者，对于我们可能从您的福利赞助方收到的少数个人信息，则作为数据处理者。

Headspace 遵守欧盟-美国标准数据隐私框架计划 (EU-U.S. DPF)、EU-U.S. DPF 英国扩展和美国商务部制定的瑞士-美国数据隐私框架计划 (Swiss-U.S. DPF)。Headspace 已向美国商务部认证其遵守欧盟-美国数据隐私框架原则（EU-U.S. DPF 原则），该原则适用于处理根据 EU-U.S. DPF 从欧盟收到的个人数据，以及根据 EU-U.S. DPF 英国扩展从英国（和直布罗陀）收到的个人数据。Headspace 已向美国商务部认证其遵守瑞士-美国数据隐私框架原则（瑞士-美国 DPF 原则），该原则适用于根据 Swiss-U.S. DPF 处理从瑞士收到的个人数据。如果本隐私政策中的条款与 EU-U.S. DPF 原则和/或 Swiss-U.S. DPF 原则之间存在任何冲突，以这些原则为准。要了解有关数据隐私框架计划的更多信息并查看 Headspace 的认证，请访问 https://www.dataprivacyframework.gov/。

以下实体包含在 Headspace 的 DPF 认证之下，并遵守 EU-U.S. DPF 原则、其英国扩展以及 Swiss-U.S. DPF 原则：

• Headspace, Inc.
• Ginger.io, Inc.
• Ginger.io of California Medical P.C.

如果您对本隐私政策中描述的我们的个人信息收集、使用和共享实践有任何问题或疑虑，您可以通过发送电子邮件至 help@headspace.com 联系我们。如果可以，我们将进行调查并解决任何问题。为遵守 EU-U.S. DPF、其英国扩展以及 Swiss-U.S. DPF，Headspace 承诺将有关我们处理依据 EU-U.S. DPF、其英国扩展以及 Swiss-U.S. DPF 接收的个人数据的未决投诉，提交给位于美国的替代性争议解决提供者——国际争议解决中心/美国仲裁协会 (ICDR/AAA)。如果您未及时收到我们对您投诉的确认，或者我们未能令您满意地处理您的投诉，请访问 https://go.adr.org/dpf_irm.html 获取更多信息或提交投诉。ICDR/AAA 的服务对您是免费的。

如果我们无法通过上述渠道解决您的问题，在某些条件下，如 EU-U.S. DPF、其英国扩展以及 Swiss-U.S. DPF 的允许，您或许可以援引具有约束力的仲裁。有关更多信息，请访问数据隐私框架网站。Headspace 受美国联邦贸易委员会 (FTC) 的调查和执法权力管辖。

Headspace 深知其在向第三方进行后续个人数据传输时的责任和潜在责任，前提是 Headspace 认为此类传输是必要的，并且这些传输受适用的 EU-U.S. DPF、其英国扩展以及 Swiss-U.S. DPF 约束。

法律依据。Headspace 依据适用法律下的一项或多项法律依据来处理您的个人信息，包括：

• (i) 您的同意，您可以随时撤回同意；
• (ii) 处理对于履行我们对您的合同义务是必要的，例如根据我们的条款；
• (iii) 处理对于追求我们的合法权益（如下文详述）是必要的；
• (iv) 处理对于遵守我们的法律义务（例如法院、执法部门或其他政府机构的请求或命令）是必要的。

合法商业权益。我们可能会收集、处理和维护个人信息，以追求下文概述的合法商业权益。为确定这些合法权益，我们会在我们的合法权益与您和他人的合法权益和权利之间进行权衡，并且仅在这些权益不超越您的数据保护权益或基本权利和自由的情况下，才根据这些权益处理个人信息。

我们的合法权益通常包括：

• 为您提供我们的平台，包括您与之互动的功能或网站的功能，以便我们能为您提供服务。
• 为您提供客户服务和支持，包括向您发送消息和提供用户支持，以及促进您请求的或为向您提供我们的产品和服务所必需的其他通信。这可能包括根据您与我们的互动，向您提供我们认为您可能感兴趣的新产品和其他机会的信息，并对这些产品和服务进行个性化、测量和改进。
• 维护和提高我们提供的产品和服务的质量，包括定制我们的功能以更好地满足您的用户需求，开发新的网站和产品，为新旧产品（例如我们的用户账户及相关功能）进行内部分析，以及进行研究和开发。这也包括与代表我们提供服务的可信赖服务提供者共享个人信息。
• 保护您和他人，以及创建和维护一个可信赖的环境，例如确保遵守我们与您及其他第三方的协议，确保网站和产品的安全、可靠，以及检测和预防不法行为和犯罪，确保遵守我们的政策，并保护和捍卫我们的权利、权益和财产。
• 提供、个性化、测量和改进我们的营销，包括经您同意向您发送促销信息和其他您可能感兴趣的信息。我们也可能使用个人信息来了解我们的用户群和我们营销的有效性。此处理是根据我们为提供您可能感兴趣的产品或服务而进行营销活动的合法权益进行的。
• 用于风险管理目的，包括遵守我们的法律和监管义务，以及用于欺诈检测、预防和调查，包括“了解您的客户”、反洗钱、冲突和其他必要的入职和持续客户检查、尽职调查和验证要求、信用检查、信用风险分析、遵守制裁程序或规则以及税务报告。
• 遵守适用于我们的法律法规，包括任何法律或监管指南、准则或意见，以及其他法律程序和执法要求，包括任何基于或反映法律或监管指南、准则或意见的内部政策。我们也可能回应传票、法院命令或法律程序，并确立和行使我们的合法权利或针对法律索赔进行辩护。

隐私权。欧盟和英国的个人享有 GDPR 和英国的相应法规规定的隐私权。除非我们请求延期，否则我们将努力在一个月内回应您的已验证请求。上文第 5 节大体涵盖了这些隐私权，但欧盟和英国居民还享有以下权利：

• 反对处理的权利 - 在某些情况下，您可能有权请求 Headspace 限制使用您的个人数据。
• 不受自动化决策约束的权利 - 您有权不受仅基于自动化处理的决策的约束。请知悉，我们目前不以此方式对您做出决策。
• 提出投诉的权利 - 您也可能有权就我们的数据收集和处理行为向相应的主管机构提出投诉。如果您在欧盟，您可以在此处查阅您的数据保护机构的联系信息。如果您在英国，请访问此页面。我们希望您首先与我们联系，看看我们是否能解决您的问题。

如第 5 节所述，同样也存在例外情况。

代表。欧盟/欧洲经济区的个人和数据保护监管机构，以及英国的个人和数据保护监管机构 (“ICO”) 也可以根据 GDPR 第 27 条联系我们的数据保护代表：

欧盟：DP-Dock GmbH, Attn.: Headspace, Inc., Ballindamm 39, 20095 Hamburg, Germany

英国：DP Data Protection Services UK Ltd., Attn.: Headspace, Inc., 16 Great Queen Street, Covent Garden, London, WC2B 5AH, United Kingdom

www.dp-dock.com

headspace@gdpr-rep.com

可以通过 privacy@headspace.com 联系我们的数据保护官。

b. 加州隐私声明

我们针对加州居民纳入本节，以遵守 2018 年《加州消费者隐私法》及其修正案 2020 年《加州隐私权法》（合称“CCPA”）。本节旨在补充本隐私政策其他章节提供的信息，以遵守 CCPA。

• 个人信息的类别。CCPA 规定了我们这样的企业需要向您确认的、我们从您那里收集的个人信息类别。为遵守这些要求，我们在下表中披露了我们在过去十二 (12) 个月内通过我们的平台收集的个人信息类别。

• Headspace 不是数据中介，也不会为了报酬而将您的个人信息出售给第三方。然而，与许多在线公司一样，Headspace 与第三方合作管理我们在其他平台上的广告。为此，我们可能会向第三方披露有限的个人信息，用于我们的跨场景行为和定向广告目的，此活动可能属于 CCPA 下的广义“出售”和/或“共享”概念。我们在下表中注明了我们在过去十二 (12) 个月内“出售”和/或“共享”了哪些类别的个人信息。请参阅表格下方关于您隐私权的部分，以获取有关如何选择退出此活动的更多信息。

• 请注意，由于上述某些类别的重叠性，我们收集的某些个人信息可能被合理地归类于多个类别。另请注意，这些个人信息中的一部分，特别是就产品和服务而言，可能受像 HIPAA 这样的联邦法律的保护。

个人信息的使用。我们可能通过以下方式使用您的个人信息：

• 提供我们的平台，包括内容的交付和互动功能；
• 就我们的平台（包括更新或变更）与您沟通；
• 为您提供支持，回答您的问题或信息请求，或处理您的投诉；
• 处理付款、管理您的订单并核算适用的销售税；
• 告知您的福利赞助方（如果您有）您的注册以及下文第 3 节中描述的其他信息；
• 履行我们可能与您签订的任何协议下的义务；
• 维护和提高我们平台的质量，包括进行研究和开发、了解用户趋势；
• 向您提供我们认为您可能感兴趣的新产品和服务、促销活动及其他机会的信息（由我们或第三方合作伙伴提供），并对这些产品和服务进行个性化、衡量和改进；
• 为您个性化您通过第三方平台、在其他网站和应用程序收到的关于我们平台的广告；
• 保护我们自己、您和其他人，例如采取行动防止欺诈和其他非法或未经授权的活动，并创建和维护一个可信、安全和可靠的在线环境；以及
• 遵守我们的法律义务，包括满足监管合规义务、响应传票、法院命令或其他法律程序；以及
• 确立或行使我们的合法权利或对法律索赔进行辩护。

敏感个人信息的使用。我们出于与上述相同的目的使用敏感个人信息，但个性化广告除外。

保留。我们将在履行对您的义务所需的时间内，或在法律允许的时间内，保留您的个人信息。我们确定保留期限的标准包括：(i) 我们与您保持持续关系的时间长度；(ii) 我们是否受制于某项法律义务；以及 (iii) 考虑到我们的法律地位（例如关于适用的诉讼时效、诉讼或监管调查），保留是否可取。例如，我们会在您的账户存在期间保留您的账户信息，如您的姓名、电子邮件地址和密码，以便您可以访问它。

• 您的加州隐私权。CCPA 赋予加州居民接收有关个人信息和敏感个人信息收集、使用和披露的某些披露的权利。这些披露已在第 1-3 节和上文第 10(b) 节的图表中提供。如果您是加州居民，根据加州法律，您对您的个人信息享有以下权利，但存在某些例外情况。我们将在 45 天内回应您的可验证请求。

• 知情权和访问权。您有权知道我们收集、使用、披露和出售和/或共享（这些术语的定义参见适用法律）哪些个人信息。您可以在连续十二个月内最多两次要求我们向您提供此信息的可携带副本。

• 删除权。在某些情况下，您有权请求我们以及我们的服务提供者和承包商删除我们收集的关于您的个人信息。

• 更正不准确个人信息的权利。您有权请求更正不准确的个人信息。

• 不受歧视的权利。您有权不因行使上述隐私权而受到歧视性待遇。

• 选择退出出售和/或共享的权利。您有权选择退出企业对您个人信息的出售和/或共享。有关更多信息，请参阅下文的选择退出权利声明。

• 限制使用和披露的权利。您有权将您敏感个人信息的使用或披露限制在我们为您提供商品或服务所必需的用途上。在您行使您的权利后，我们不会使用或披露您的敏感个人信息，除非您随后同意将您的敏感个人信息用于其他目的。

• 为第三方的自身直接营销目的而与第三方共享。Headspace 不会为第三方自身的直接营销目的而向其披露个人信息。然而，根据加州的“反客户信息披露法”，加州居民还有权要求提供有关此类实践的信息。如果您是加州居民并希望进一步查询，请发送电子邮件至 help@headspace.com。

• 选择退出权利声明。如上所述，如果您是加州居民，根据 CCPA 对“出售”或“共享”的广义定义，Headspace 会“出售”和“共享”个人信息。加州法律赋予您选择退出此类“出售”和“共享”的权利。您可以通过点击此链接来行使此权利，如果您是应用程序用户，则可以通过进入此处的“My Data（我的数据）”页面或在您的移动应用程序设置中进行操作。选择退出链接也可在我们网站的页面上通过点击“Your Privacy Choices（您的隐私选择）”链接找到。

c. 美国其他州的隐私声明

我们针对存在可能影响其权利的隐私法的美国其他州居民纳入本节。这些隐私法包括《弗吉尼亚州消费者数据隐私法》(“VCDPA”)、《康涅狄格州数据隐私法》(“CTDPA”)、《犹他州消费者隐私法》(“UCPA”)、《科罗拉多州隐私法》(“CPA”)、《内华达州隐私法》(“NPL”)、《罗德岛数据透明度和隐私保护法》(“RIDTPA”)、《明尼苏达州消费者数据隐私法》(“MCDPA”) 和《俄勒冈州消费者隐私法》(“OCPA”)。本节旨在补充本隐私政策其他章节提供的信息，以遵守这些法律。

个人信息的收集。Headspace 可能会收集第 1 节中描述的以及上文第 10(b) 节表格中分类列示的个人信息。请注意，这些个人信息中有些根据您所在州的法律定义将被视为敏感信息，具体因您所在的州而异。我们可能收集的个人信息取决于您如何使用我们的平台，包括心理或身体健康信息、种族或民族血统以及有关性取向或性别认同的信息。

个人信息的使用。Headspace 可能会为本隐私政策第 2 节中列出的目的收集、使用或披露关于美国州居民的个人信息。我们出于相同的目的使用敏感个人信息，但个性化广告除外。

• 个人信息的披露。我们可能会以本隐私政策第 3 节中描述的方式向在该节中确定的服务提供者和第三方类别披露您的个人信息。

• 您的隐私权。无论您身在何处，我们通常都会向您提供上文第 5 节中描述的隐私权。您所在的州可能会赋予您如下所述的额外隐私权。要行使您的权利，请参阅第 9 节中的联系信息或遵循下文针对特定州的权利说明。我们将在适用法律规定的时限内回应您的可验证请求。如第 5 节所述，同样也存在例外情况。

• 科罗拉多州、康涅狄格州、弗吉尼亚州、犹他州、明尼苏达州、罗德岛州和俄勒冈州的居民有权选择退出定向广告和销售。如果您是这些州的居民，您可以通过点击此链接来选择退出，如果您是应用程序用户，则可以通过进入此处的“My Data page（我的数据）”页面或在您的移动应用程序设置中进行操作。

• 对于科罗拉多州、康涅狄格州和弗吉尼亚州的用户，您可以选择退出用于产生法律或类似重大影响的决策的个人画像分析。尽管您可以提出此请求，但 Headspace 目前不以此方式使用个人画像分析。

• 内华达州为其居民提供了有限的选择退出个人信息销售的权利。请注意，我们不会触发此要求，因为我们不有偿出售您的个人信息。

• 明尼苏达州和俄勒冈州的居民可以获取我们可能向其披露您个人信息的具体第三方名单。有关这些第三方的一般信息可在第 3 节中找到。您可以使用第 9 节中的联系信息提出此请求。

• RIDTPA 赋予罗德岛居民了解我们向其出售或可能出售其个人信息的第三方的权利。Headspace 不有偿出售个人信息，但与第 10b 节中的 CCPA 一样，RIDTPA 下的“出售”可以包括为定向广告而共享个人信息。根据该定义，我们已向此处列出的第三方共享了可能包括您的个人信息在内的个人信息。