Privacy Policy | healwith

1. 总则

BONROI（以下简称“我们”或“公司”）运营医疗管家平台 healwith，协助国际患者在大韩民国获得医疗服务。healwith 并非医疗机构，不直接提供诊断或治疗服务。

本政策主要受大韩民国《个人信息保护法》（PIPA）、《医疗法》以及《关于支持医疗海外拓展及吸引外国患者的法律》管辖。在适用情形下，本政策亦遵循您居住国法律的相关要求（例如欧盟《通用数据保护条例》（GDPR）、哈萨克斯坦第94-V ЗРК号法律、俄罗斯联邦第152-ФЗ号法律等）。针对各司法管辖区的具体告知载于下文专门章节。

无论用户的国籍或居住地为何，我们均审慎对待所有用户的个人信息，并依照适用法律予以安全处理。

2. 个人信息处理者信息

商号：BONROI（服务名称：healwith）

经营形态：个人经营者

代表人：JUYOUNG KANG

营业执照号：463-35-00902

外国患者招揽机构登记号：A-2026-01-02-06761（有效期 2026-03-11 ~ 2029-03-10，由首尔特别市市长登记）

注册地址：Room 613, 385 Gangseo-ro, Gangseo-gu, Seoul, Republic of Korea

联系方式：+82-10-4772-1075（国际）· 070-7500-7795（韩国境内）

电子邮箱：admin@healwith.co.kr

营业时间：周一至周五 09:00-18:00 KST（韩国法定节假日除外）

3. 收集的个人信息项目

【必填项目】

· 姓名、出生日期、性别、国籍、护照号码（用于签证及医院登记）

· 联系方式（电子邮箱、电话、即时通讯账号）

· 居住地址（用于停留支持）

· 监护人/陪同人信息（患者为未成年人或老年人时）

【敏感信息 — 单独同意】

· 诊断名称、治疗史、当前症状、服用药物

· 诊断书、检查结果、影像资料（X 光、CT、MRI 等）

· 医疗保险及旅行保险信息

· 残疾情况（用于无障碍支持）

【自动收集】

· IP 地址、Cookie、会话日志、服务使用记录

· 设备信息（操作系统、浏览器、型号）、大致地理位置（国家级别；精确位置仅在同意时收集）

【支付相关】

· 支付信息通过支付代理（PG）处理，公司不存储完整的卡号。

4. 个人信息的收集及使用目的

a. 用户识别及本人确认

b. 医疗机构匹配、就诊预约、签证及停留支持

c. 基于用户同意向医疗机构提供就诊相关信息

d. 口译、交通、住宿等附加服务

e. 支付处理及收据或税务发票的开具

f. 投诉及咨询处理、客户支持

g. 服务质量改进、统计分析、安全事件应对

h. 履行法定义务

5. 敏感信息的处理（PIPA §23 / GDPR 第9条）

healwith 处理“与健康有关的信息”，该等信息依据 PIPA §23 构成敏感信息，并依据 GDPR 第9条构成特殊类别个人数据。该等数据仅在获得您明确的单独同意后方予收集和使用。

敏感信息仅用于医疗机构匹配及适当的诊疗协调，并仅在您同意的范围内提供给医疗机构。

您有权拒绝同意敏感信息的处理；如不同意，可能会限制您使用医疗匹配服务。

6. 个人信息的保存及使用期限

在收集目的达成后，我们将立即删除个人信息，但法律要求保存的情形除外。

【依法定保存】

· 合同/撤回记录：5 年（《电子商务消费者保护法》§6）

· 支付及货物供应记录：5 年

· 消费者投诉及纠纷处理记录：3 年

· 登录记录：3 个月（《通信秘密保护法》§15-2）

· 医院保存的诊疗记录：10 年（《医疗法》§22）。注：healwith 不保存诊疗记录的副本，原件由医院管理。

【按服务目的保存】

· 账户信息：至账户注销为止（长期未使用的账户于 1 年后分离保存）

· 敏感健康信息：管家服务完成后立即删除，除非应用户的明确请求最长保存 3 年

· 营销同意信息：至撤回同意为止

7. 个人信息向第三方提供

基于您的同意，我们向以下第三方提供个人信息：

【医疗机构】

· 提供对象：经您选择并同意的韩国境内医院及诊所

· 目的：诊疗咨询、预约、治疗方案制定

· 提供项目：姓名、出生日期、联系方式、护照号码、诊断名称、症状、医疗记录

· 保存期限：依各机构在医疗法下的保存义务（通常为 10 年）

【签证代办机构】

· 提供对象：合作签证代办机构（经同意）

· 提供项目：护照复印件、邀请函、出行日程

· 目的：医疗签证（C-3-3、G-1）申请代办

【保险公司】

· 提供对象：旅行/国际保险合作伙伴（经同意）

· 目的：理赔支持

您有权拒绝向第三方提供信息，但相应服务可能因此受限。

8. 个人信息的跨境转移（PIPA §28-8 / GDPR 第44-49条）

鉴于本服务的性质——协助海外患者在韩国获得医疗服务——我们将个人信息从您的居住国转移至大韩民国。部分运营数据亦可能转移至其他司法管辖区。

【接收方及司法管辖区】

· 韩国合作医院（用于医疗目的）

· 云基础设施：Vercel Inc.（美国）、Supabase Inc.（美国）

· 分析服务：Google Ireland Ltd.（GA4，爱尔兰）

· 客户支持工具：[确定后填写]

【目的及项目】

· 医院：与第7条相同

· 云/分析：账户信息、日志、Cookie 标识符

【保存期限】依各接收方的政策及合同条款。

【您的权利】您有权拒绝转移，但由于转移对本服务而言不可或缺，拒绝将导致无法使用本服务。

【安全措施】

· 欧盟→韩国转移：根据欧盟委员会于2021年12月作出的韩国充分性决定（Decision 2022/254），在数据于韩国境内并受 PIPC 监管下处理的前提下，此类转移可无需单独的 SCC 即可进行。

· 其他转移：我们通过标准合同条款或与之相当的合同及技术安全措施（加密、假名化）确保接收方履行个人信息保护义务。

· 关于哈萨克斯坦：请参阅第15条有关本地化义务的规定。

9. 个人信息处理的委托（PIPA §26）

我们依合同将个人信息处理业务委托给以下处理者：

· Supabase Inc. — 数据库托管（美国）

· Vercel Inc. — 网络应用托管（美国）

· Google LLC — 身份验证（OAuth）、分析、地图（美国/爱尔兰）

· [支付代理 — 待定] — 支付处理

· [邮件发送服务 — 待定] — 电子邮件发送

· [AI 翻译 — 待定] — 翻译（经用户同意）

合同要求处理者遵守个人信息保护义务、禁止超出既定目的使用，并采取技术及管理保护措施。我们定期对处理者进行监督。

10. 信息主体的权利

您可以行使以下权利：

· 要求查询个人信息处理现状及要求停止处理（PIPA §35、§37）

· 查阅个人信息（§35）

· 要求更正及删除个人信息（§36）

· 撤回同意（§37）

· 对自动化决定的拒绝权（§37-2）

· 损害赔偿请求权（§39）

您可通过 admin@healwith.co.kr 或本政策第14条个人信息保护负责人（DPO）的联系方式行使上述权利，公司将在 10 日内予以处理。

您可向大韩民国个人信息保护委员会提出申诉及申请纠纷调解：

· 个人信息保护委员会：（免区号）182，www.privacy.go.kr

· 个人信息纠纷调解委员会：1833-6972，www.kopico.go.kr

11. 未满 14 周岁儿童的个人信息（PIPA §22-2）

healwith 可能收到涉及未成年患者（如儿童肿瘤）的管家请求。在此类情形下，我们要求核实法定代理人（父母/监护人）的同意。

法定代理人可随时要求查阅、更正、删除或停止处理未成年人的个人信息，我们将立即予以响应。

12. 个人信息的安全保障措施

我们实施以下保护措施：

· 管理方面：指定个人信息保护负责人、定期培训、最小化访问权限

· 技术方面：加密（传输采用 TLS 1.3，存储采用 AES-256）、入侵防御系统、安全补丁管理

· 物理方面：数据处理区域的出入控制

· 事件应对：发生泄露时，于 72 小时内通知监管机构及信息主体

13. Cookie 的使用

我们使用 Cookie 用于保持会话、语言设置、安全及使用分析。

您可通过浏览器设置拒绝 Cookie。详情请参阅我们的《Cookie 政策》。

14. 个人信息保护负责人（DPO / CPO）

姓名：JUYOUNG KANG

职务：代表人（兼任 — 依据韩国 PIPA §31 及 GDPR 第37条）

电子邮箱：admin@healwith.co.kr

电话：+82-10-4772-1075（国际）· 070-7500-7795（韩国境内）

您可就个人信息相关的咨询、投诉或权利救济请求直接联系个人信息保护负责人。我们将在 10 个工作日内予以答复。

15. 致哈萨克斯坦居民的补充告知

本节提供哈萨克斯坦共和国《个人数据及其保护法》（第94-V号，2013年，经2015年及2022年修订）及相关实施法规所要求的补充披露。

【对跨境转移的明确同意（第16条）】

鉴于本服务旨在协助海外患者在韩国获得医疗服务，您的个人数据将被转移至大韩民国。哈萨克斯坦法律第16条允许在数据主体明确书面同意的基础上进行跨境转移。在申请使用本服务时，您通过本政策的跨境转移条款及单独的同意勾选框，对以下事项作出明确同意：

· 转移国家：大韩民国

· 接收方：经您选择的韩国合作医院、云服务提供商（Vercel Inc.、Supabase Inc.）

· 转移项目：第3条收集项目及第5条敏感信息

· 转移目的：提供医疗管家服务

【关于本地存储的说明（第12条）】

哈萨克斯坦法律第12条规定哈萨克斯坦公民的个人数据应在哈萨克斯坦境内进行首次存储。目前公司以上述第16条的明确同意机制作为法律依据运营本服务，并将根据服务的发展阶段，研究通过哈萨克斯坦本地云合作伙伴（如 QazCloud、Yandex Cloud Kazakhstan 等）引入本地首次存储架构。如有重大变更，我们将通过更新本政策即时公告。

【敏感（医疗）数据的单独同意（第8条、第9条）】

根据哈萨克斯坦法律，敏感数据要求以可通过书面或电子签名（EDS，与 eGov 集成）核实的方式取得同意。公司将基于电子勾选框的同意连同时间戳、IP 地址及用户标识符一并记录，以确保具有与书面形式相当的证据效力。公司不收集口头同意。

【官方语言】

本政策以哈萨克语（国语）及俄语（官方语言）同时提供。您可选择偏好语言；若各译本之间在解释上存在差异，就大韩民国的法律效力而言，以韩文版本为准。

【监管机构】

· 信息安全委员会（Комитет по информационной безопасности，隶属于国家安全委员会 KNB）

· 数字发展、创新与航空航天工业部（Министерство цифрового развития, инноваций и аэрокосмической промышленности）

【申诉及争议】

您可通过本政策第19条的联系方式与我们联系，或向您居住地的法院或监管机构提起诉讼。

15-2. 自动化决定（PIPA §37-2）

公司使用基于 AI 的匹配算法为您推荐合适的医疗机构。这可能构成《个人信息保护法》第37条之二所称的“自动化决定”。

【自动化处理项目】

· 基于症状及诊断名称的诊疗科室匹配

· 基于既往治疗案例及语言支持可行性的医院排名推荐

· 根据停留期间及预算自动生成套餐

【您的权利】

· 要求就自动化决定的结果作出说明

· 拒绝自动化决定并要求由人工进行复核

· 上述请求请发送至 admin@healwith.co.kr 或第14条 DPO 联系方式

最终的医疗决定务必取得医疗人员的判断。AI 推荐仅供参考，不构成诊断或治疗。

16. 致欧盟/欧洲经济区居民的补充告知（GDPR）

在适用 GDPR 的情形下，保障以下权利：

· 访问权（第15条）、更正权（第16条）、删除权（第17条）、限制权（第18条）、可携权（第20条）、反对权（第21条）及关于自动化决策的权利（第22条）。

· 特殊类别数据（健康，第9条）仅基于明确同意进行处理。

· 跨境转移（第44-49条）在适用情形下依据标准合同条款进行。

· 您可向您所在国的数据保护机构提出投诉。

· 欧盟代表：[如面向欧盟市场，将依据第27条指定]

17. 致俄罗斯居民的补充告知

俄罗斯联邦第152-ФЗ号法律要求俄罗斯公民个人数据的初始收集应在俄罗斯境内进行。

healwith 正在另行评估对该要求的合规方案。通过使用本服务，俄罗斯居民确认并明确同意上述条款。

监管机构：Roskomnadzor（Роскомнадзор）。

18. 本政策的变更

重大变更将于生效至少 7 日前（不利变更则为 30 日前）通过服务公告及电子邮件予以通知。

当前版本：2.0.0（生效日 2026-04-20）。

19. 联系方式

个人信息及一般咨询：admin@healwith.co.kr

地址：Room 613, 385 Gangseo-ro, Gangseo-gu, Seoul, Republic of Korea

电话：+82-10-4772-1075（国际）· 070-7500-7795（韩国境内）

营业时间：周一至周五 09:00-18:00 KST