第一条 目的

98858vip威尼斯官方药业集团股份有限公司（以下简称“本公司”）高度重视隐私和数据安全。本信息安全与隐私保护政策（以下简称“本政策”）旨在明确本公司及其子公司（以下统称“本集团”、“全集团”或“我们”）对个人隐私和数据保护的原则与管理，确保个人隐私和数据完整与安全 。

我们严格遵循《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及《信息安全技术个人信息安全规范》等适用的法律法规、国家标准及监管要求。我们承诺将按本集团所适用的法律法规和业界成熟的安全标准，采取相应的安全措施保护个人数据（“个人数据”的定义见第二条），并持续改进本集团数据安全管理工作及信息系统。

我们尊重并关心您的隐私，并会尽全力保护您的个人数据安全。本政策可帮助您（“您”的定义见第二条）了解我们在数据保护方面的管理原则与措施，包括我们会收集哪些个人数据、我们为什么会收集这些数据、我们如何收集和使用这些个人数据、我们如何保护您的个人数据、您的数据保护权利等。

我们建议您在使用我们的产品/服务或与我们进行其他互动之前，仔细阅读并了解本政策。如果您对个人数据的处理或本政策有任何疑问，请联系我们（见第十三条）。我们可能会不时通过本公司的官方网站更新本政策（见第十二条），请您不时查看以了解更新。

我们的网站可能包含指向非本集团拥有或控制的第三方网站/服务的链接，我们不对这些第三方的运营方式或处理您的个人数据负责，也无法控制这些第三方网站的行为。我们强烈建议您阅读这些第三方的隐私政策，以确保您了解您的个人数据将如何被收集及处理。

第二条 适用范围及定义

本政策适用于本公司所有运营范围，包括所有子公司及供应商。本集团各单位在制定本单位内部的数据隐私保护相关制度时，应全面遵守本政策。

本政策中的“个人数据”或“个人信息”指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

上述“自然人”（即本政策中的“个人”或“您”）包括但不限于：

（1）我们的客户

（2）我们的患者

（3）我们的员工

（4）我们的股东

（5）我们的合作伙伴及其员工（包含但不限于供应商、经销商、承包商等）

（6）我们建筑物的访客

（7）我们网站的用户

（8）与我们有联系的个人

（9）其他与我们互动的个人

第三条 个人信息的收集和使用

我们秉承“合法、正当、必要、诚信、公开、透明”的原则，基于本政策下文所述目的，收集和使用个人信息。我们的信息收集行为需要您的主动同意。如果我们将个人信息用于本政策未载明的其它用途，或基于其他特定目的而收集个人信息，我们将以合理的方式告知您，并在使用前将再次征得您的同意。当您不希望我们继续使用您的个人信息，您可以选择退出个人信息的使用。

本集团遵循“最小限度、必要收集”的原则，收集的个人数据符合本集团业务开展或经营管理需要，并与我们的合同协议条款、隐私协议中约定收集的内容保持一致，不超范围收集数据。在停止相关业务或无需继续执行数据收集时，我们将立即停止数据收集活动，并在超出保留期后删除您的个人信息或对其匿名化处理。

1、 我们收集哪些您的个人信息

根据您与我们的互动方式，我们可能会收集和处理可直接识别您身份的个人信息，包括但不限于以下种类：

(a) 基本资料：姓名、生日、性别、民族、国籍、家庭关系、住址、电话号码、电子邮件地址等。

(b) 身份信息：身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等。

(c) 生物识别信息：个人基因、指纹、声纹、面部识别特征、生物样本等。

(d) 网络身份标识信息：个人信息主体账号、IP地址、个人数字证书等。

(e) 健康生理信息：个人因生病医治等产生的相关记录,如病历、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、既往史、诊治情况、家族病史、现病史、传染病史、吸烟史、酗酒史、药物滥用史等，以及与个人身体健康状况相关的信息，如体重、身高等。

(f) 教育工作信息：个人职业、职位、工作单位、部门、员工编号、学历、学位、教育经历、工作经历、培训记录、成绩单、离职证明、资格证书等。

(g) 财产信息：银行账户、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录、纳税信息、财务披露表、社保证明等，以及虚拟货币、虚拟交易等虚拟财产信息。

(h) 通信信息：通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据（通常称为元数据）等。

(i) 联系人信息：紧急联系人、通讯录、群列表、电子邮件地址列表等。

(j) 上网记录：通过日志储存的个人信息主体操作记录，包括网站浏览记录、软件使用记录、点击记录、收藏列表等。

(k) 常用设备信息：硬件序列号、设备MAC地址,软件列表等描述个人常用设备基本情况的信息。

(l) 位置信息：行踪轨迹、精准定位信息、住宿信息、经纬度等。

(m) 其他信息：婚史、宗教信仰、性取向、社会信用证明、无犯罪记录证明、未公开的违法犯罪记录等。

您如果向我们提供任何其他人的个人信息，即代表您有权这样做，并允许我们根据本政策使用这些信息。

2、 我们收集您个人信息的目的

我们会在日常经营活动范围内，根据本政策所列明的目的，或在适用的信息安全法律允许或要求我们时，处理和使用您的个人信息。这些目的可能会因您居住的地方和我们运营的地方而有所不同。如某一国家的法律限制或禁止本政策所述的某些活动，我们将遵守该等要求。

下面列举了我们使用您个人信息的主要目的：

（1）您自主选择向我们提供或允许我们收集的信息

（a）药物开发

我们可能会在本集团医药产品（包括制剂药、原料药和中间体、诊断试剂及设备）开发的全生命周期中收集和处理您的个人信息，这包含临床前、临床阶段、上市阶段及上市后阶段等。在此过程中，您可能选择向我们主动提供或允许我们收集您的个人信息。

在这个过程中，依据相关法律法规的要求，我们会在某些特定情况下请求收集您的个人敏感信息（定义见第三条第3点）。为了保障和提高产品疗效、改善健康相关的事项、开展科学研究以及销售我们的医药产品，这种请求是必要的。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于我们的科学研究和业务活动，并在法律允许的范围内用于我们的商业目的。

（b）营销推广

我们在业务开展过程中会对我们的产品、服务、学术知识、新闻等以不同的方式向您进行推广。在此过程中，您可能选择向我们主动提供或允许我们收集您的个人信息。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于开展我们的营销推广活动，并在法律允许的范围内用于我们的商业目的。

（c）购买和使用产品和服务

当您购买和使用我们的产品和服务时，您可能选择向我们主动提供或允许我们收集您的个人信息，以便我们向您提供您订购的产品和服务。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于完成您对我们产品和服务的购买和使用，并在法律允许的范围内用于我们的商业目的。

（d）账户注册

为了使用我们的某些服务，您可能需要事先注册以创建您的帐户。在此过程中，您可能选择向我们主动提供或允许我们收集您的个人信息。我们将在您的账户存在的整个时间段中处理和使用您的个人信息，以用于我们的服务和技术管理。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于我们的服务和技术管理，并在法律允许的范围内用于我们的商业目的。

（e）合同的签署和执行

我们会收集您的个人信息以便签署和执行与您签订的合同。如果您选择不提供您的个人信息，我们可能无法与您或您的雇主建立和保持联系以及开展业务。

我们保存和处理您主动提供或允许我们收集的个人信息仅用于我们合同的启动、签署和执行，并在法律允许的范围内用于我们的商业目的。

（f）联系请求

您因业务需要或其他原因需要与我们联系时，您需要提供您的个人信息以便我们与您建立并保持联系。在此过程中，您可能选择向我们主动提供或允许我们收集您的个人信息。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于回应和处理您对我们的联系请求，并在法律允许的范围内用于我们的商业目的。

（g）时事通讯

为了保持与您的联系，并让您了解我们的最新资讯，我们会提供多种时事通讯的方式供您使用。在此过程中，您可能选择向我们主动提供或允许我们收集您的个人信息。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于完成对您的时事通讯服务，并在法律允许的范围内用于我们的商业目的。

（h）访问管理

当您实地走访我们的建筑物或使用我们提供的无线网络时，我们可能会请求您提供您的个人信息，以进行必要的安全管理。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于为您提供相关服务以及保障我们的安全，并在法律允许的范围内用于我们的商业目的。

（i）人力资源管理

为了维持我们的正常业务活动，我们会在日常开展人力资源管理活动，包括但不限于招聘管理、在职员工管理、工作环境管理等。在此过程中，您可能选择向我们主动提供或允许我们收集您的个人信息。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于开展人力资源管理相关工作，并在法律允许的范围内用于我们的商业目的。

（j）会计

我们可能出于合法的会计目的收集和处理您的个人信息，以履行我们在税法、公司法等相关法律下的义务。比如，我们在记录和处理发票、进行汇款或退款等会计活动时，需要向您收集的个人信息主要包括：您的联系信息（包括姓名、电话号码、电子邮件地址等）、会计数据（包括购买的商品和服务、银行信息、税号、发票号码、开票日期等）及您的职业信息（包括职位、员工编号、部门等）。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于开展会计相关工作，并在法律允许的范围内用于我们的商业目的。

（k）投诉和举报

您因产品或服务的质量或其他方面的问题向我们投诉时，或因某些原因向我们举报时，您可能需要提供您的个人信息以便我们与您建立并保持联系，并向您反馈调查和处理结果。

您也可以通过公司政策制度里规定的其他方式，以匿名的方式进行投诉和举报。在这种情况下，我们会处理从您那里收到的问题描述（包括具体投诉/举报的内容等）来开展相关调查。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于处理和回应您投诉和举报，并在法律允许的范围内用于我们的商业目的。

（l）人工智能（AI）

为了提高我们的工作效率，我们可能会在业务活动中使用人工智能工具。在这种情况下，我们会将人工智能工具生成的内容以多种方式告知您，以便您能够识别到人工智能的生成内容。在此过程中，您可能选择向我们主动提供或允许我们收集您的个人信息。

我们保存和处理您在此过程中主动提供或允许我们收集的个人信息仅用于正常使用人工智能工具，并在法律允许的范围内用于我们的商业目的。同时，我们在业务活动中使用人工智能工具时会将您的个人信息去标识化处理，以避免此过程中产生各种偏见。

（2）自动收集的信息

当您访问我们的网站或其他网络资源，或您使用我们的时事通讯服务时，我们和我们的服务商可能会自动收集您的个人数据，比如浏览器类型、操作系统、设备类型、设备型号、唯一设备标识符号、IP地址、您查看的网页、您点击的链接、您的地址信息、您输入的搜索词、您查看、悬停或点击的信息、您访问我们网站的时间长度等。

我们收集您的这些数据是为了保障我们的网络安全、开展用户行为分析，以便保持服务水平、为您进行个性化设置、诊断和解决技术问题来改进我们的服务等。

（a）网络安全

为了保障我们的网站与服务的安全运行、提高运营的质量及效率、预防恶意程序，我们会自动收集您的个人数据，包括但不限于以下类型：网络身份标识IP地址，个人设备信息（包括设备MAC地址、操作系统版本、浏览器类型和版本、分辨率、使用的语言等）和个人访问行为记录（包括网站浏览记录、页面地址(URL)、请求时间、点击记录等）。

（b）改善访问体验和使用分析

我们的网页使用cookie技术以帮助我们的网站做到更用户友好、更高效及更安全。我们使用cookie的主要目的是改善您的浏览体验。例如，它们被用来记录您在浏览时的偏好（比如语言、地区等），并用于未来的访问中。被cookie记录下的信息同时也使我们能够通过估计用户数量和使用模式的方式来改善我们的网站，改善方面包括对您的兴趣进行定制、加快您的搜索速度等。

我们使用的大多数cookie都是所谓的“会话cookie”。它们会在您访问结束后自动删除。您可以自行配置浏览器，以便获悉cookie的使用情况，这样您就可以根据具体情况决定是否接受cookie。

为了允许电子通信或为了提供您所希望使用的某些功能而需要使用的cookie，我们将根据中国及其他我们所适用的国家和地区的法律法规的规定来保存和处理数据。

（3）我们从公开渠道收集的信息

我们可能会不时收集和使用从其他来源（比如公共数据库、社交媒体平台或其他第三方）获得的信息来增加我们所拥有关于您的个人信息。收集的目的主要为了开展内部必要的核实、验证流程等。

（4）我们从第三方收集的信息

我们可能会在您明确的授权同意的范围内从第三方（比如与我们合作的临床试验机构、医院等）收集和使用您的个人信息。我们会依据与第三方的约定并对个人信息来源的合法性进行确认后，并在符合相关法律法规的前提下，方会使用您的个人信息。

第四条 我们向谁披露您的个人信息

在本政策规定的目的下，本公司及其子公司可能会在彼此之间披露您的个人信息。

我们可能会向第三方披露您的个人信息，比如我们的供应商、服务商、合作伙伴及关联公司等，以开展我们的业务活动、履行我们的服务以及遵守相关法律法规。为此，我们会根据本政策及相关法律法规与这些第三方签订数据保密合同，以充分地保护您的个人信息。在合作过程中，我们亦将严格要求这些第三方按照本政策、签署的合同、委托目的、隐私协议等文件所规定的范围、方式和方法来处理您的个人信息。

随着我们业务的发展，若因合并、收购、资产转让等交易需要将您的个人信息转移给第三方，我们将通过推送通知、公告等方式，及时告知您相关情况。我们将要求该第三方根据本政策及相关法律法规的要求使用和保护您的个人信息。我们亦将继续按照相关法律法规，以及不低于本政策所规定的标准，确保您的个人信息得到妥善保护。

如果披露您的个人信息对于遵守监管要求、政府要求、法院命令、司法程序，或者对保护我们的客户、公众、本集团或其他人的安全、权利或财产是必要时，我们将保留根据法律要求披露您个人信息的权利。

在获得您的同意后，我们还可以以其他方式使用和披露您的个人信息。

第五条 个人信息的全球传输

原则上，我们在中华人民共和国境内收集的个人信息，将储存在中华人民共和国境内。

由于我们的业务已推广至全球多个国家和地区，在经过您的授权同意后，您的个人信息可能会被保存到其他国家或地区，或受到其他国家或地区的访问。无论您的个人信息被保存到何处或被何处访问，我们都将按照本政策保护您的个人信息。

第六条 保护儿童的个人信息

我们不会主动收集不满十四周岁未成年人的个人信息，除非得到其父母或其他监护人的同意或遵照法律法规的要求。如果您是不满十四周岁的未成年人，请不要向我们提交任何您的个人信息。

如果您的孩子提交了个人信息，而您希望我们删除其个人信息，您可以与我们取得联系（联系方式见第十三条）。

第七条 我们如何保护和储存您的个人信息

我们会采取一切合理可行的措施来保护您的个人信息。我们使用符合业界标准的安全防护措施，以防止个人信息遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。

尽管我们对个人信息的保护做了最大努力，但我们仍不能在现有的安全技术措施下保证数据的绝对安全。个人信息可能会因为不可抗力或非因我们原因的各类安全问题被泄露、被窃取等，您同意我们可对由此给您造成的损失免责。如果您有理由相信您与我们的互动不再安全，请立即联系我们（联系方式见第十三条）。

除非 按照法律要求或许可需要延长保留期，我们只会在达成本政策所述目的或遵守法律或监管要求所需的时间内保留您的个人信息。在超过保留期后，我们会将您的个人信息删除或匿名化处理。

同时，如果为您提供服务时必须使用您的账户，我们都将保留您的注册信息。您也可以选择注销您的账户。在您注销账户后，我们会停止基于该账户提供的产品和服务，并在无特殊法律要求的情况下，删除您相应的个人信息或对其进行匿名化处理。

我们会定期审查个人信息的收集、存储和处理方面的措施是否足够安全有效，以避免未经授权的访问。

第八条 您对个人数据所拥有的权利

您提交的所有个人数据都应该确保准确无误。我们会尽力维护个人数据的准确和完整，并及时进行更新。

在适用的法律允许的情况下，对于您的个人数据，您拥有以下权利：

（1）访问权：访问、查阅、复制我们储存的有关您的个人数据；

（2）更正权：更正、更新、补充您的个人数据；

（3）删除权：要求我们删除您的个人数据；

（4）反对权：拒绝、限制我们收集、处理、使用您的个人数据；

（5）撤回权：变更授权范围、撤回您的同意；

（6）转移权：请求将您的个人数据转移至您指定的其他数据处理者；

（7）其他适用法律所赋予您的权利。

我们非常重视保护您的权利。如果您想行使您的权利，请联系我们（联系方式见第十三条）。为保障安全，您可能需要提供书面请求。我们会根据相关的法律法规要求验证您的个人身份。

在适用法律允许的情况下，在我们基于您的请求处理您的个人数据时，您有权随时撤销您的请求。但撤销不会影响撤销前我们基于您的请求处理您个人数据的合法性及效力，也不影响我们基于其他适当的正当性处理您的个人数据。

在符合法律法规的前提下，我们可能会因以下特定情形而无法满足您行使权利的请求：

（1）如果您的请求与我们履行法律法规规定的义务所相悖；

（2）如果您的请求与国家安全、国防安全直接相关；

（3）如果您的请求与公共安全、公共卫生、重大公共利益直接相关；

（4）如果您的请求与刑事侦查、起诉、审判和执行判决等直接相关；

（5）如果我们有充分证据表明您存在主观恶意或滥用权利的；

（6）出于维护您或其他个人的生命、财产等重大合法权益，但很难得到您本人授权同意的；

（7）如果回应您的行权请求将会导致您或者其他个人、组织的合法利益受到严重损害的；

（8）如果您的请求涉及商业秘密。

如果您对我们处理您的个人信息的方式不满意，您可以向我们提出请求（联系方式见第十三条），我们将及时调查并处理您的问题。

第九条 安全措施

本集团采取了包括但不限于加密技术、访问控制、防火墙等安全措施，以保护个人信息免受未授权访问、泄露、篡改或破坏。

第十条 管理措施

本集团承诺监测并及时应对发现的信息安全威胁。为防范数据保护工作中可能存在的风险、应对潜在数据泄露及安全事件，本集团同时采取主动预防措施和被动应对措施，并针对事件识别、事件响应、事件报告分别制定相应的管理措施，实现快速遏制并缩小数据泄露及安全事件对个人权益及本集团的负面影响。

本集团指定信息技术部（IT部）负责信息安全及隐私保护事宜，并明确全体员工在信息安全方面的个人责任，全体员工均有义务保护集团的信息安全。同时，本集团对合作的第三方（包括供应商）提出信息安全要求，所有合作的第三方均需遵守信息安全管理有关规定。

本集团对于违反本政策的行为零容忍，违反本政策的行为将受到纪律处分。

第十一条 定期审计

本集团将本政策视为集团合规管理的一部分，定期对本政策的执行情况进行内部审计，并定期邀请外部独立机构对本政策的履行情况及本集团信息系统进行审计，确保隐私与数据的保护措施的有效性，并及时更新信息安全策略。第三方审计频率：每年至少进行一次，并在发生重大变更时进行。

第十二条 政策更新

本政策在公布日期生效。当本集团适用的法律法规发生变更，或者本集团的产品或服务功能发生重大变化时，本政策可能变更。但是，未经您明确同意，我们不会削减您按照本政策所应享有的权利。

对于本政策的重大变更，我们会向您提供显著的通知（包括在本公司网站发布公告或推送通知等方式）。若您不同意更新后的本政策的相关内容，请您联系我们，并在您获得满意的答复后再继续使用我们的服务。

第十三条 决策机构

本政策已通过本公司董事会下属可持续发展委员会审议及批准。可持续发展委员会定期向董事会汇报本政策履行情况并提供建议，以供董事会决策与监督。

可持续发展委员会具有全权执行、监督及定期检讨本政策之整体责任。可持续发展委员会负责本政策的解释及修订。

本政策未尽事宜，按有关法律、法规、规范性文件执行。

本政策自颁布之日起生效。

98858vip威尼斯官方药业集团股份有限公司

二〇二五年七月二十五日