生效日期：2024年1月1日

渝ICP备2021001788号-3A

如果您有视觉障碍、其他残疾，或者需要以其他语言获取支持，您可以通过发送电子邮件至help@headspace.com来访问本隐私政策。 作为我们公司价值观的一部分，尤其是将会员放在首位，Headspace致力于在您使用我们的内容和产品（通过我们的网站，包括www.headspace.com（“网站”），我们的应用程序，包括Headspace移动应用程序（“应用”）或其他交付方式，即网站，应用程序和其他交付方式统称为我们的“产品”）时保护和尊重您的隐私。Headspace可能通过产品或其他交付方式提供辅导服务、心理治疗服务（即治疗）和精神病学服务（统称为“服务”）。Headspace通过其关联的医疗提供者和合作伙伴提供服务，包括加利福尼亚医疗公司Ginger.io（“Ginger Medical”）或第三方医疗提供者（Ginger Medical和这些第三方医疗提供者将统称为我们的“护理提供者”）。在本隐私政策中，我们将所有产品和服务统称为我们的“平台”。本隐私政策涵盖通过我们的产品或服务收集的“个人信息”，即通过我们的产品或服务收集的有关已识别或可识别个人的信息。

根据您与我们的互动方式，以下内容也可能适用于您： • 我们的服务由我们的护理提供者提供。对于美国的护理提供者，它们被分类为《健康保险可移植性和责任法案》（HIPAA）下的受覆盖实体。Headspace受HIPAA监管，因为我们是护理提供者的业务伙伴。在注册期间，我们的护理提供者可能会向您提供额外的隐私通知，我们鼓励您查阅。例如，如果您从Ginger Medical接受服务，您可以在这里访问其隐私实践通知。如果您在美国以外地区使用我们的国际护理提供者，您仍可能收到他们的额外隐私通知，以符合您所在地区的适用法律。 • 我们的平台的一些组件或功能可能包括额外的隐私通知，例如一种以独特方式使用您的个人信息的可选功能。同样，您可能已经以包括额外条款或隐私通知的方式获得了我们的产品或服务，比如来自您的雇主。除非存在冲突，在这种情况下将适用那些额外的条款和隐私通知，否则这些条款和隐私通知将补充本隐私政策。 • 您可能通过我们的平台中包含的链接或其他用户提供给您的链接访问由我们运营的第三方网站或产品。本隐私政策不适用于第三方网站或产品。我们强烈建议您查阅他们的隐私政策，了解您的个人信息如何被这些第三方使用和存储。 • 与上述观点类似，您可能使用单一登录（SSO）功能访问我们的平台，例如通过您的社交媒体帐户或通过您的雇主。该使用可能受到您的SSO提供商的条款和隐私政策的约束，我们鼓励您在使用这些功能之前查阅它们。 • 本隐私政策不适用于Headspace员工或申请者。申请者可以通过阅读我们的申请者隐私通知了解我们如何使用他们的个人信息，而员工将在入职过程中获得更多详细信息。 请仔细阅读以下内容，了解我们关于您个人信息的处理方式。我们还鼓励您查阅我们的最终用户条款和条件。

目录 本隐私政策采用分层格式提供。我们为每个部分提供了摘要，但我们鼓励您详细阅读每个部分。

1. 个人信息的收集 我们可能通过我们的平台或在您向我们分享信息时收集您的个人信息。我们的收集可能需要您的输入，或者可以在您与我们互动时自动收集。

2. 个人信息的使用 我们主要使用您的个人信息使我们的产品和网站正常运行，并向您提供服务。我们还可能将您的个人信息用于其他目的，比如与您沟通有关您对我们平台的兴趣、处理支付、遵守法律义务或开发新功能或改进。

3. 个人信息的分享 我们可能与特定的第三方服务提供商分享您的个人信息，以帮助使我们的平台正常运作。我们还可能根据您的指示与您分享个人信息，以向您提供我们认为可能对您感兴趣的机会，或者根据法律要求，如遵守法院命令。

4. 数据安全和保留 您的个人信息的安全对我们至关重要。我们将您的个人信息保留为必要的时间，并采取适当的措施保护它。

5. 您的隐私权 我们希望您能选择如何使用您的个人信息。我们为您提供了请求有关您的个人信息的行动的权利，包括删除，不管您在哪个地区居住。特定司法管辖区可能提供更多的权利，这些权利在第10节中有详细说明。

6. 儿童隐私 我们的平台通常是为成年人而设，除非根据您的提供情况有限制的情况。

7. Cookies 当您访问我们的网站时，我们可能会通过 Cookie 和其他跟踪技术自动收集您的某些信息。您可以通过我们网站上的 Cookie 设置决定部署哪些 Cookie。

8. 变更 我们可能会根据新服务、数据实践变更或遵守相关法律而更改本隐私政策。

9. 联系我们 您可以通过多种方式与我们联系，包括发送电子邮件至 help@headspace.com，提出评论、问题或行使您的隐私权利。

10. 补充通知 本节提供了特定司法管辖区的附加信息。请注意，我们的平台在美国运营，您的个人信息将主要在那里处理和存储。

11. 个人信息的收集 我们可能从您直接提供给我们的信息，从他人处收到的信息以及您与我们的平台互动时我们可能自动收集的个人信息中收集或处理以下信息。 (a) 您提供给我们的信息 • 联系信息和识别符。当您使用我们的平台时，我们可能会要求您提供特定的联系信息，包括您的名字、姓氏和电子邮件地址。如果您选择通过社交媒体帐户访问产品，我们还可能收集您的社交媒体识别号码。 • 帐户信息。如果您决定在我们这里建立帐户，我们可能会要求您提供额外的联系信息，包括但不限于您的名字、姓氏、电子邮件地址（个人和/或工作）、电话号码、邮寄地址、雇主或公司名称、职位、学生识别号码、紧急联系信息，以及密码和其他身份验证相关的信息。对于参与特殊订阅和功能的个人，包括团体计划，我们可能会收集额外的个人信息，例如家庭地址以及家庭成员的姓名和电子邮件地址。 • 健康信息。在您使用我们的产品或与我们的服务互动时，我们将收集您提供的有关您的健康和健康状况的信息。您可以通过产品提供此信息，例如通过有关您当前心理或身体健康状况的调查回答、设置您的健康或健康目标或与您的健康或福祉相关的其他输入。您还可以通过服务提供此类信息，例如与您的教练或治疗师讨论您当前的健康需求或在治疗过程中提供。我们明白这些信息非常敏感，因此我们会小心处理，包括在适用时将这些健康信息视为《健康保险可移植性和责任法案》（HIPAA）下的受保护健康信息。 • 档案和人口统计信息。通过我们产品中的帐户，您可能有机会提供有关自己的其他信息，例如年龄、种族和族裔、性取向、首选代词、性别或性别认同、出生时的性别、婚姻状况以及您的健康和医疗历史的详细信息。 • 付款信息。如果您从我们这里购买付费产品或服务，可能需要提供您的付款卡或银行帐户信息。请注意，Headspace不直接处理付款卡信息，而是依赖第三方付款处理器代表我们进行处理。请注意，这些付款服务可能适用于第三方条款。为此目的收集的个人信息包括卡号、类型、过期日期和账单地址，这些信息的某些匿名化、限制和/或截断版本可能会提供给Headspace。 • 调查信息。我们可能为产品功能、向您提供服务、向您提供我们认为可能对您感兴趣的产品和服务的信息或出于研究目的向您提供调查。这些调查可能让您有机会描述有关您、您对平台的使用或对未来改进的反馈。 • 通信信息。当您发送或回复Headspace的电子邮件、消息、聊天或其他通信时，我们可能会收集您的电子邮件地址、姓名以及您选择包含在通信正文内容中的任何其他个人信息。此外，当您与我们产品的某些功能互动时，我们可能会收集这些通信的内容。 • 支持信息。当您提交支持请求或以其他方式与我们的支持团队互动时，我们将收集作为该互动的一部分所提供的信息。我们还使用实时聊天和/或聊天机器人技术，允许您直接与我们的自动客户服务系统和/或客户服务代表通过聊天窗口就我们的产品和服务进行通信。在提交之前输入到此表单的文本可能会被Headspace收集、保留和用于我们的业务目的，包括由我们的客户服务和其他人员以及服务提供商使用。

(b) 他人提供的信息 在某些情况下，我们可能会从其他人那里收集关于您的个人信息。这可能包括以下情况： • 如果您通过雇主、健康计划或资助您访问的其他方（您的“福利赞助商”）获得对Headspace的访问权，我们会收集您的姓名、电子邮件地址以及您的福利赞助商提交给我们以促进您在我们的产品和服务中的注册的其他信息。 • 我们可能会通过我们的共享和推荐功能识别的个人向用户提供的名字、电子邮件地址、内容参与和偏好。我们仅将此数据用于分享内容和推荐个人加入产品的唯一目的。 • 我们可能会从父母或监护人那里收集13-17岁的受扶养者的个人信息以运行他们的账户，如果支持的话。 • 如果您选择验证您的帐户以确认您是否有资格获得某项特定的订阅优惠，我们可能允许第三方平台访问您提供的具体个人信息以执行验证。未能提供足够信息或Headspace认为异常的任何回应可能导致Headspace拒绝（或无法）验证您的资格。 (c) 我们自动收集的信息 我们的产品和网站在您使用过程中可能会自动收集您的信息，其中可能包括： • 浏览器和设备数据，例如IP地址、设备标识符、设备类型、操作系统和互联网浏览器类型、屏幕分辨率、操作系统名称和版本、设备制造商和型号、语言、插件、附加组件以及您正在访问的网站和产品的语言版本。 • 使用数据，例如在产品和网站上花费的时间，包括访问的页面、点击的链接、大致位置、语言偏好、功能性能、使用模式以及导致您访问我们的产品和网站的页面。 (d) 聚合、匿名和去标识化的数据 我们可能通过移除、遮蔽或以其他方式更改使数据具有个人身份标识或潜在个人身份标识的数据组件而创建或收集聚合、匿名或去标识化的数据（“去标识化数据”）。去标识化数据不属于个人信息，也不受本隐私政策的约束。

2. 个人信息的使用 我们可能以以下方式使用您的个人信息： • 为提供我们的平台，包括内容和互动功能的提供； • 与您沟通，包括有关我们平台的更新或更改的信息； • 为您提供支持，回答您的问题或信息请求，或处理您的投诉； • 处理付款，管理您的订单，并记账适用的销售税； • 向您的福利赞助商（如果有的话）通报有关您的注册和其他信息，如下文第3节所述； • 履行我们可能与您达成的任何协议的义务； • 维护和改进我们平台的质量，包括进行研究和开发，了解用户趋势，并在有限程度上了解我们的营销和广告的有效性，比如记录销售转化； • 向您提供有关新产品和服务、促销和其他我们认为可能对您感兴趣的机会的信息，无论是由我们提供还是由第三方合作伙伴提供，并个性化、测量和改进这些提供； • 通过第三方平台、其他网站和应用程序个性化您在我们平台上接收的广告； • 保护我们自己、您和其他人，例如通过采取措施防止欺诈和其他非法或未经授权的活动，并创建和维护一个值得信任、安全和可靠的在线环境； • 遵守我们的法律义务，包括满足法规遵从义务，回应传票、法院命令或其他法律程序；以及 • 建立或行使我们的法定权利或抗辩法律索赔。

3. 个人信息的分享 我们可能与以下类别的第三方分享您的个人信息： • 我们的服务提供商。在某些情况下，我们可能需要将您的个人信息披露给第三方，以便他们可以代表我们提供服务，比如帮助提供您请求的产品或服务。这些服务提供商可能包括分析、支付处理、广告和营销、网站托管、客户和技术支持以及其他服务。我们的服务提供商只有在我们的指示下执行这些任务时才能访问您的个人信息，并且根据合同义务来保持您的个人信息的机密性和安全性，并且不得披露或将您的个人信息用于与本隐私政策和适用法不一致的任何其他目的。 • 您的集成。您可以通过与第三方支持的集成连接您的帐户，我们将与这些第三方分享您的个人信息。如果您连接了集成，那么第三方的条款和隐私政策可能适用于由此共享的个人信息，我们建议您在设置集成之前查阅这些条款。例如，如果您使用iOS，您可以将我们的产品连接到Apple的Health Kit。如果您这样做，iOS的隐私政策和使用条款将适用，可在www.apple.com/legal/privacy查阅。 • 社区活动。如果您使用我们的社区功能与其他平台用户互动，我们将与您有关的一些信息与其他用户共享，例如您在论坛上评论的姓名或您选择与其他用户共享的其他信息。 • 您的福利赞助商。在有限的情况下，我们可能向您的福利赞助商提供特定的个人信息，包括您的姓名、电子邮件地址、注册日期以及您上次使用我们的平台的日期。通常情况下，我们限制此类共享，不包括您应用内活动的具体细节或有关您使用服务的详细信息，例如治疗。在您的治疗、付款或卫生保健操作方面，此限制可能不适用，例如如果您的福利赞助商是您的其他卫生保健提供者、健康保险提供者或健康计划。 • 第三方业务合作伙伴。在有限的情况下，我们可能向与我们建立了联合促销关系、捆绑订阅优惠或其他受信任的合作关系的第三方企业提供特定的个人信息。这种共享通常会符合您提供个人信息的情况下的通知、同意、指示和/或在情况允许的范围内的合理预期。 • 第三方广告平台。我们与提供分析和广告服务的第三方平台合作。这包括帮助我们了解用户如何与我们的平台互动，代表我们向可能感兴趣的用户提供广告，并测量这些广告的性能。 • 遵守和预防危害。如果我们有责任披露或共享您的个人信息，以遵守任何法定义务，如遵守传票、破产程序、类似法律程序，或者为了执行我们与您的协议；或者为了保护Headspace、我们的客户或其他人的权利、财产或安全。这包括与其他公司和组织交换信息，以防止欺诈和降低信用风险。我们还可能披露个人信息，如果我们认为这样做符合或是根据任何适用法律、法规或法律程序的要求。 • 联属公司和业务转让。我们可能与我们业务集团的任何成员（包括我们的子公司和我们的关联公司，包括Ginger Medical及其专业医疗法人公司附属公司）分享您的个人信息，目的是本隐私政策中描述的任何目的。如果Headspace，包括我们的任何子公司、品牌或关联公司，涉及合并、收购、资产出售或其他公司合并，您的个人信息可能会转移到收购方或存续实体。如果这种转移导致对您的个人信息使用的实质性变更，我们将在转移或成为受不同隐私政策约束之前提供通知。

4. 数据安全和保留 您的个人信息的安全对我们很重要。我们遵循普遍接受的标准、实践和程序，以保护您提交给我们的个人信息，无论是在传输过程中还是在接收后。我们采取适当的技术、管理和物理措施，帮助保护您的个人信息免受未经授权的访问、破坏、丢失、更改、披露或滥用。 然而，没有安全可以完全保证。如果您在我们这里拥有帐户，并怀疑未经授权使用您的帐户或其凭据，您应立即使用下文第9节中的联系信息与我们联系，或直接联系我们的安全团队，电子邮件地址为security@headspace.com。 我们将保留您的个人信息，只要有必要履行我们对您的义务，或者在法律允许的范围内。确定我们的保留期限的标准包括：（i）我们与您保持持续关系的时间；（ii）我们受到的法律义务；以及（iii）根据我们的法律立场是否建议保留（例如，涉及适用的诉讼时效、诉讼或监管调查）。例如，我们会保存您的帐户信息，如您的姓名、电子邮件地址和密码，只要您的帐户存在，以便您可以访问它。

5. 您的隐私权利 我们认为您应该对您的个人信息拥有控制权。为此，我们提供以下权利，使您能够就您的个人信息提出请求。您可以通过联系help@headspace.com或在某些情况下使用平台内的功能进行这些请求： • 访问。您有权知道我们收集关于您的哪些个人信息以及我们如何使用它。本隐私政策旨在向您提供有关该收集和使用的信息。如果我们有关于您的个人信息，您也可以请求获得该信息的副本。 • 更正。您有权请求更正您不准确的个人信息。 • 可移植性。您可以请求以结构化和机器可读格式（例如.csv或.pdf）导出您的个人信息。在可行的情况下，我们可以将该导出发送给您指定的第三方。 • 删除。在某些情况下，您有权请求删除我们收集的您的个人信息。 • 限制。在某些情况下，您有权要求Headspace限制您的个人信息的使用。请注意，在某些情况下，由于使用对产品功能或提供服务的必要性，我们可能无法设置限制。 • 无报复或歧视。您有权不受到因提出请求而导致的歧视性或报复性对待。 在收到您的请求后，我们可能会要求您提供额外的信息，以验证请求或确认您想要如何继续。我们致力于在不逾期的情况下回复可验证的请求。如果我们需要更多时间，我们将通过与您的帐户关联的电子邮件或您用于提出请求的电子邮件通知您。 我们不收取处理您可验证请求的费用，除非请求过于繁重、重复或明显无根据。如果我们确定您的请求需要费用，我们将告诉您原因，并在完成您的请求之前向您提供费用估算。 您的权利并非绝对，可能会有例外情况。这些例外情况可能来自不同的因素，包括我们的法律义务、他人的权利、您或他人的安全性，以及我们能否提出或捍卫法律索赔。此外，如果您未提供足够的信息来验证您的身份或验证提出请求的第三方有权代表您行事，则我们将不会满足您的请求。 一些美国司法辖区为其居民提供根据适用法定义的某些个人信息的特定权利。这些权利受该司法辖区特定法律的约束，并且可能适用某些其他权利。请查阅我们的补充通知，包括我们的欧盟和英国隐私通知、加利福尼亚隐私通知以及弗吉尼亚、康涅狄格、科罗拉多、犹他和内华达隐私通知，以获取有关您所在地或居住地点特定的权利和条款的更多信息。

6. 儿童隐私 在Headspace，我们致力于保护和尊重儿童的隐私。我们的平台通常面向至少18岁的个体，我们不会有意地收集未满18岁的个体的个人信息。有一些有限的例外情况： • 如果您在美国，并参与我们的"Headspace for Teens"产品或通过某些福利赞助商的产品，只要您年满13岁，就可以注册一个帐户。 • 如果您是一个年龄在13到17岁之间的美国用户，可能已经按照上述方式加入，您可以在获得可验证的父母或监护人同意的情况下注册使用我们的服务。 • 如果您是我们员工援助计划（EAP）下的父母，您可以将至少6岁的子女推荐给我们的护理提供者进行线下护理，但不能为他们创建帐户。 您还可能注意到我们产品中有一些针对儿童的内容。这些内容仅供您在您的监督下与您的子女分享，并且不要求或允许您的子女创建帐户。 如果您是父母或监护人，并且您知道未满13岁的儿童未经父母同意向我们提供了他们的个人信息，请联系我们help@headspace.com，我们将采取措施从我们的服务器中删除该个人信息。

7. Cookies 当您访问我们的网站时，我们可能通过cookie（包括第三方提供的cookie）自动从您那里收集信息。我们使用cookie及其收集的信息进行各种目的，包括功能、性能分析、安全性、个性化网站内容和广告。我们将在使用此类跟踪器或向您提供拒绝cookie的机会时征得您的同意，遵循适用法律的要求。您可以使用拒绝的偏好信号，例如全球隐私控制（GPC），以拒绝出售/共享您的个人信息。有关我们使用的cookie类型及有关它们的选择，请查阅我们的Cookie政策。

8. 变更 本隐私政策自发布日期起生效。我们可能会不时更新本隐私政策，以反映平台变更、进行更正、提高清晰度、反映我们隐私实践的变更，或者按照适用法律的要求。当我们进行重大更改，例如在如何使用您的个人信息或您的权利方面时，我们将通过平台内或通过其他渠道（例如您在帐户注册过程中提供的电子邮件）通知您，除了在我们的网站上发布修订版本。我们鼓励您定期查看本隐私政策，以了解我们如何处理您的个人信息。

9. 联系我们 如果您对本隐私政策有疑问、担忧或请求，我们希望听到您的声音。您可以通过发送电子邮件至help@headspace.com或致电855.432.3822与我们联系。

10. 补充通知 根据您所在的司法管辖区，您可能拥有适用于您的隐私法律的附加权利。我们在本节中提供补充信息，以遵守这些附加的隐私法律并告知您的权利。如果您在下面的司法管辖区列表中找不到您的司法管辖区，请不要认为我们不尊重您的隐私，并鼓励您仍然使用上述联系方式与我们联系，提出您的问题或疑虑。请注意，Headspace 是一家总部位于美国的公司，您的个人信息将存储在美国。

(a) 欧盟和英国的隐私通知

数据传输。本节适用于欧洲联盟（EU）、英国和瑞士的个人。Headspace 在大部分第1节详细列出的个人信息方面作为《通用数据保护条例》（GDPR）下的数据控制方运作，并在极少数情况下作为我们可能从您的福利赞助商那里收到的有限个人信息的数据处理方。

Headspace 遵守美国商务部制定的《EU-美国数据隐私框架》（EU-U.S. DPF）、《EU-美国数据隐私框架》的英国延伸版（EU-U.S. DPF UK Extension）和《瑞士-美国数据隐私框架》（Swiss-U.S. DPF）的规定。Headspace 已向美国商务部认证，符合《EU-美国数据隐私框架原则》（EU-U.S. DPF Principles），其根据EU-U.S. DPF 收到的个人数据和根据EU-U.S. DPF UK Extension 收到的来自英国（和直布罗陀）的个人数据的处理。Headspace 还已向美国商务部认证，符合《瑞士-美国数据隐私框架原则》（Swiss-U.S. DPF Principles），其根据瑞士-美国数据隐私框架收到的个人数据的处理。如果本隐私政策与《EU-美国数据隐私框架原则》和/或《瑞士-美国数据隐私框架原则》之间存在任何冲突，原则将优先。欲了解有关数据隐私框架（DPF）计划的更多信息，并查看我们的认证，请访问 https://www.dataprivacyframework.gov/。

以下实体包括在Headspace的DPF认证范围内，遵守EU-U.S. DPF原则、其英国延伸版和Swiss-U.S. DPF原则：

• Headspace, Inc.
• Ginger.io, Inc.
• Ginger.io of California Medical P.C.

如果您对我们在本隐私政策中描述的个人信息的收集、使用和共享做法有任何疑问或担忧，您可以通过发送电子邮件至 help@headspace.com 联系我们。我们将调查此事并解决任何问题，如果可能的话。如果我们无法解决您的问题，您可能有资格根据EU-U.S. DPF、其英国延伸版或Swiss-U.S. DPF的规定，在特定条件下通过向我们位于美国的第三方争端解决提供者（免费）发起仲裁，网址为 https://go.adr.org/eu-us_dpf_annexi.html。Headspace受美国联邦贸易委员会（FTC）的调查和执行权力约束。

Headspace对于将个人数据传输给Headspace认为有必要且该传输受到适用的EU-U.S. DPF、其英国延伸版或Swiss-U.S. DPF约束的第三方的责任和潜在责任非常重视。

法律依据。Headspace 依据适用法律中明确的各种法律依据处理您的个人信息，具体如下：

(i) 同意：我们可能基于您的同意处理您的个人信息。您有权随时撤回您的同意。

(ii) 合同义务：处理个人信息可能是为了履行我们对您的合同义务，如我们的服务条款。

(iii) 正当利益：我们处理个人信息是为了追求我们的正当利益，平衡它们与您的利益和基本权利。这包括向您提供我们的平台，包括您与之交互的功能或网站的功能，以及为向您提供服务而必要的处理。

(iv) 遵守法律义务：当我们需要遵守法律义务时，例如法院、执法机构或其他政府机构的请求或命令，我们可能会处理个人信息。

正当商业利益。我们可能收集、处理和维护个人信息，以追求以下概述的正当商业利益。为了确定这些正当利益，我们权衡我们的正当利益与您和其他人的正当利益和权利，并仅在这些利益不被您的数据保护利益或基本权利和自由所取代的情况下，按照这些利益处理个人信息。

我们的正当利益通常包括： • 为您提供我们的平台，包括您与之交互的功能或网站的功能，或者为了向您提供服务。 • 为您提供客户服务和支持，包括发送消息并提供用户支持，以及促使您要求或需要向您渲染我们的产品和服务的其他沟通。这可能包括向您提供关于我们认为基于您与我们的互动可能对您感兴趣的新产品和其他机会的信息，以及个性化、衡量和改进这些提供。 • 维护和改进我们提供的产品和服务的质量，包括定制我们的功能以更好地满足您作为用户的需求，开发新的网站和产品，对新和现有产品进行内部分析（如我们的用户账户和相关功能），以及进行研发。这还包括与我们的可信赖的服务提供商分享为我们提供服务的个人信息。 • 保护您和他人，以及创建和维护一个值得信赖的环境，例如确保我们与您和其他第三方的协议的合规性，确保网站和产品的安全、可靠，并检测和防止不当行为和犯罪，确保遵守我们的政策，并保护和捍卫我们的权利、利益和财产。 • 为您提供、个性化、衡量和改进我们的营销，包括发送促销消息和可能对您感兴趣的其他信息。我们还可能使用个人信息了解我们的用户群体及我们营销活动的有效性。此处理是根据我们追求开展营销活动、向您提供可能对您感兴趣的产品或服务的正当利益进行的。 • 出于风险管理目的，包括遵守我们的法律和监管义务，以及进行欺诈检测、预防和调查，包括“了解您的客户”、“反洗钱”、冲突和其他必要的启动和持续的客户检查、尽职调查和验证要求、信用检查、信用风险分析、遵守制裁程序或规则，以及税收报告。 • 遵守适用于我们的法律和法规，包括任何法律或法规的指导、规范或意见以及其他法律程序和执法要求，包括基于或反映法律或法规的指导、规

范或意见的任何内部政策。我们还可能对传票、法院命令或法律程序作出回应，并建立和行使我们的法律权利或抗辩法律索赔。

隐私权利。在欧盟和英国，个人根据《通用数据保护条例》（GDPR）和英国的等效法律享有隐私权利。除非我们请求延期，否则我们将努力在一个月内回复您的经过验证的请求。第5节通常涵盖了这些隐私权利，但欧盟和英国居民还具有以下权利：

• 反对处理的权利 - 您可能有权要求Headspace Health在某些情况下限制对您个人数据的使用。

• 不受自动决策的权利 - 您有权不受仅基于自动处理的决策的影响。请注意，我们目前不以这种方式做出关于您的决策。

• 提出投诉的权利 - 您还可能有权向适当的监管机构提出有关我们的数据收集和处理行为的投诉。如果您在欧盟，您可以在此查看您的数据保护当局的联系信息。如果您在英国，请访问此页面。我们建议您首先联系我们，看看我们是否能解决您的问题。

正如第5节所述，仍可能存在例外情况。

代表：根据GDPR第27条，欧洲经济区的个人和数据保护监管机构以及英国的个人和数据保护监管机构（“ICO”）也可以与我们的数据保护代表联系：

欧洲：DP-Dock GmbH，Attn：Headspace, Inc.，Ballindamm 39，20095汉堡，德国

英国：DP Data Protection Services UK Ltd.，Attn：Headspace, Inc.，16 Great Queen Street，Covent Garden，London，WC2B 5AH，英国

www.dp-dock.com headspace@gdpr-rep.com

我们的数据保护主任可以通过privacy@headspace.com联系。

(b) 加利福尼亚州隐私通知

我们包含这一部分是为了符合2018年《加利福尼亚消费者隐私法》及其修正案，即2020年《加利福尼亚隐私权法》（合称“CCPA”）。本部分旨在通过对隐私政策其他部分的信息进行补充，以符合CCPA的要求。

个人信息的类别。CCPA包括企业必须告知您我们从您那里收集了哪些个人信息的类别。为了遵守这些要求，我们提供了下表，披露了我们在过去十二（12）个月内通过我们的平台收集的个人信息的类别。

Headspace不是数据经纪商，也不会出售您的个人信息给第三方以换取报酬。然而，与许多在线公司一样，Headspace与第三方合作管理我们在其他平台上的广告。出于这个目的，我们可能会向第三方披露有限的个人信息，用于我们的跨上下文行为和定向广告，这种活动可能属于CCPA下“销售”和/或“共享”的更广泛概念。请查看表格下面有关您隐私权利的部分，以获取有关如何选择退出此活动的更多信息。

类别 收集 “销售”/“共享” A. 标识符。 姓名、别名、邮寄地址、唯一个人标识符、在线标识符、IP 地址、电子邮件（个人和/或工作）、帐户名称、电话号码、密码、帐户凭据、国家提供者标识符（NPI）、驾驶执照/政府身份证号码（如果用于身份验证）、或其他类似标识符 是 是 电子邮件、在线标识符、个人唯一标识符、IP 地址 B. 在加利福尼亚州客户记录法案（加州民法典 § 1798.80(e)）中列出的个人信息类别。 姓名、签名、邮寄地址、电话号码、驾驶执照/政府身份证号码（如果用于身份验证）、付款卡号、就业、就业历史、银行帐户信息、医疗信息和健康保险信息 是 是 电子邮件 C. 在加利福尼亚州或联邦法律下受保护的分类特征。 年龄（40 岁或以上）、种族、肤色、血统、国籍、公民身份、宗教或信仰、婚姻状况、医疗状况、身体或精神残疾、性别（包括性别、性别认同、性别表达、怀孕或分娩及相关的医疗状况）、性取向、退伍军人或军事状况 是 否 D. 商业信息。 付款历史、余额、购买或考虑购买的产品或服务 是 是 购买或考虑购买的产品或服务 E. 生物特征信息。 睡眠、健康或运动数据 是 否 F. 互联网或其他类似网络活动。 浏览历史、搜索历史、您与我们的网站互动的信息 是 是 浏览历史、您与我们的网站互动的信息 G. 地理位置数据。 根据 IP 地址等信息的近似位置 是 否 H. 感觉数据。 音频记录、语音邮件、照片 是 否 I. 与专业或与就业相关的信息。 雇主、职位或角色、工作联系信息 是 否 J. 非公开教育信息（根据《家庭教育权利和隐私法》（20 U.S.C. Section 1232g, 34 C.F.R. Part 99））。 学生识别号码 是 否 K. 从其他个人信息中得出的推论。 反映个人偏好、特征、心理趋势、倾向、行为、态度、智力、能力和才能的个人资料 是 否 L. 敏感个人信息。 密码、健康信息、付款信息、种族和/或族裔起源、有关您的性取向的信息以及性别认同 是 否 请注意，由于上述某些类别的重叠性质，我们收集的某些个人信息可能会被合理地分类到多个类别。请还注意，特别是在涉及产品和服务的情况下，有关个人信息可能会受到《医疗保险可移植性和责任法案》（HIPAA）等联邦法律的保护。

个人信息的使用。我们可能以以下方式使用您的个人信息： • 为我们的平台提供服务，包括内容和互动功能的提供； • 与您就我们的平台进行通信，包括更新或更改； • 为您提供支持，回答您的问题或信息请求，或处理您的投诉； • 处理付款，管理您的订单，并核算适用的销售税； • 通知您的福利赞助商，如果您有一个，有关您的注册和其他信息，如下文第3节所述； • 履行我们可能与您订立的任何协议的义务； • 维护和提高我们平台的质量，包括进行研究和开发，了解用户趋势； • 向您提供有关新产品和服务、促销和其他机会的信息，我们相信这可能对您感兴趣，无论是我们提供的还是第三方合作伙伴提供的，并个性化、衡量和改进此类提供； • 个性化您通过第三方平台、其他网站和应用程序收到的关于我们平台的广告； • 保护我们自己、您和其他人，例如通过采取措施防止欺诈和其他非法或未经授权的活动，并创建和维护值得信赖、安全和可靠的在线环境；以及 • 遵守我们的法律义务，包括满足法规遵从义务，回应传票、法院命令或其他法律程序；以及 • 建立或行使我们的法律权利或防御法律索赔。

敏感个人信息的使用。我们使用敏感个人信息的目的与上述列出的目的相同，除了个性化广告。

保留。我们将保留您的个人信息，只要有必要履行我们对您的义务，或只要法律允许。确定我们保留期限的标准包括：（i）我们与您保持持续关系的时间；（ii）我们是否受到法律义务；以及（iii）是否根据我们的法律立场建议保留（例如，关于适用的诉讼时效、诉讼或监管调查方面）。例如，我们将保留您的帐户信息，如您的姓名、电子邮件地址和密码，只要您的帐户存在，以便您可以访问它。

您的加利福尼亚隐私权利。《加利福尼亚消费者隐私法》（CCPA）为加利福尼亚居民提供了关于个人信息和敏感个人信息的收集、使用和披露的某些披露的权利。这些披露在上述第1-3节和第10节(b)的图表中提供。如果您是加利福尼亚居民，根据加利福尼亚法律，您在关于您的个人信息的相关权利方面有以下权利，但需遵循某些例外。我们将在45天内回复您的可验证请求。 • 知情和访问权。您有权了解我们在适用法律下定义的个人信息和敏感个人信息的收集、使用、披露和销售和/或共享情况。您可以要求我们提供这些信息的可携带副本，每个滚动十二个月期间最多两次。 • 删除权。在某些情况下，您有权要求我们以及我们的服务提供商和承包商删除我们收集的关于您的个人信息。 • 更正不准确的个人信息的权利。您有权要求更正不准确的个人信息。 • 不受歧视的权利。您有权不因行使上述隐私权利而受到歧视对待。 • 选择退出销售和/或共享的权利。您有权选择退出企业对您的个人信息的销售和/或共享。有关更多信息，请参阅下文的选择退出权通知。 • 限制使用和披露的权利。您有权限制对您的敏感个人信息的使用或披露，仅限于我们向您提供商品或服务所必需的用途。除非您随后同意将您的敏感个人信息用于其他目的，否则在您行使了您的权利后，我们将不会使用或披露您的敏感个人信息。 • 与第三方分享，用于其自身直接营销目的。Headspace 不向第三方披露个人信息，用于其自身的直接营销目的。但是，加利福尼亚居民还有根据加利福尼亚州的“Shine the Light”法律要求有关此类做法的信息的权利。如果您是加利福尼亚居民，并希望进一步了解，请发送电子邮件至 help@headspace.com。

Notice of Right to Opt-Out. 正如上文提到的，如果您是加利福尼亚居民，Headspace 在 CCPA 更广泛的“销售”或“共享”的定义下“销售”和“共享”个人信息。加利福尼亚法律赋予您拒绝此类“销售”和“共享”的权利。您可以通过点击此链接行使此权利，如果您是应用程序用户，也可以在此处或您的移动应用程序设置中访问 My Data 页面。退出选择链接也可在我们网站的页面上通过点击“Your Privacy Choices”链接找到。

(c) 弗吉尼亚、康涅狄格、科罗拉多、犹他和内华达的隐私通知

我们在此为受其他美国州具有可能影响他们的隐私法的居民添加此部分。这些隐私法包括弗吉尼亚消费者数据隐私法（“VCDPA”），康涅狄格数据隐私法（“CTDPA”），犹他州消费者隐私法（“UCPA”），科罗拉多隐私法（“CPA”）和内华达隐私法（“NPL”）。此部分旨在通过补充隐私政策中其他地方提供的信息来符合这些法律。

个人信息的收集。Headspace 可能会收集第1节中描述的个人信息，并按照第10节(b)的表格中分类。请注意，根据不同州的法律定义，您的某些个人信息可能被视为敏感信息。根据您使用我们的平台的方式，我们可能会收集包括心理或身体健康信息、种族或族裔起源以及有关性取向或性别认同的信息。

个人信息的使用。Headspace 可能会为第2节隐私政策中列出的目的收集、使用或披露美国州居民的个人信息。我们使用敏感个人信息的目的与上述相同，除了用于个性化广告。

个人信息的披露。我们可能会根据本隐私政策第3节的分类，以及该节中描述的方式，披露您的个人信息。

您的隐私权利。我们通常为您提供第5节中描述的隐私权利，而不考虑您的位置。根据下文的州际法，您的州可能赋予您其他的隐私权利。要行使您的权利，请参见第9节中的联系信息，或按照下文的具体州际权利说明操作。我们将在适用法律规定的时间内回复您的可验证请求。根据第5节的规定，某些例外情况仍然可能适用。 • 科罗拉多州、康涅狄格州、弗吉尼亚州和犹他州的居民有权选择退出定向广告和销售。如果您是这些州的居民，您可以通过点击此链接，或者如果您是应用程序用户，则可以在此处或在您的移动应用程序设置中访问 My Data 页面，进行选择退出。 • 对于科罗拉多州、康涅狄格州和弗吉尼亚州的用户，您可以选择退出用于产生法律或类似重大影响的决策的基础上的分析。尽管您仍然可以提出此请求，但 Headspace 目前不使用此方式进行分析。 • 内华达州为其居民提供有限的选择退出个人信息销售的权利。请知悉，我们不会触发此要求，因为我们不会出售您的个人信息以获取报酬。

See English translation: https://www.headspace.com/privacy-policy