隐私政策

[Company Name]（以下简称「我们」）运营一个帮助您理解DNA的基因组分析平台。我们非常重视您的隐私——尤其是遗传数据，这是现存最具个人性质的信息之一。

本政策说明了我们收集哪些数据、为什么收集、如何保护以及您拥有哪些权利。本政策适用于我们网站和服务的所有用户。

我们依照《通用数据保护条例》（EU 2016/679，简称「GDPR」）及适用的国家数据保护法律处理个人数据。处理遗传数据的法律依据是GDPR第9条第2款(a)项所要求的您的明确同意。

遗传数据根据GDPR第9条被归类为个人数据的「特殊类别」。我们仅在分析开始前通过专门的同意页面获得您明确且知情的同意后才进行处理。

我们出于以下目的处理您的遗传数据：

• 生成个性化基因组报告（健康特征、携带者状态、健康洞察）
• 提供AI驱动的遗传变异解读
• 在与您的档案相关的新研究发表时通知您（仅在您选择接收时）

我们不会将您的遗传数据用于保险核保、就业决策、广告或超出您已同意范围的任何目的。我们绝不会将您的数据出售给第三方。

您的数据仅在欧盟境内存储和处理。我们实施了以下安全措施：

• 静态和传输加密 — 所有遗传文件和个人数据均使用AES-256加密。所有连接使用TLS 1.3。
• 欧盟基础设施 — 您的数据存储在Supabase的法兰克福（德国）区域。计算处理在位于法国的Scaleway GPU服务器上运行。
• HDS认证 — 我们的计算服务提供商（Scaleway）持有法国健康数据托管最高标准的Hébergeur de Données de Santé（HDS）认证。
• 访问控制 — 遗传数据的访问仅限于自动化处理管道。没有人会查看您的原始遗传文件。

我们使用数量有限的子处理商来运营平台。每家子处理商均根据其安全实践和GDPR合规性进行选择。

我们不会与任何其他第三方共享您的数据。如果我们新增子处理商，将更新本政策并通知您。

根据GDPR，您对个人数据享有以下权利：

• 访问权 — 要求获取我们持有的所有个人数据的副本。
• 更正权 — 更正不准确的个人数据。
• 删除权 — 要求删除您的数据。您可以随时通过账户设置删除遗传文件和账户。
• 数据可携权 — 以结构化、机器可读的格式接收您的数据。
• 撤回同意权 — 您可以随时撤回遗传数据同意。这不影响撤回前已进行处理的合法性。
• 投诉权 — 您可以联系当地数据保护机构（在法国为：CNIL）。

如需行使上述任何权利，请联系privacy@[domain].com或使用账户设置中的自助服务选项。我们将在30天内回复。

我们仅出于身份验证目的使用Cookie：

• 会话Cookie（HttpOnly、Secure）——用于保持登录状态的JWT令牌。该Cookie无法被JavaScript访问，仅通过HTTPS传输。 —

我们不使用追踪Cookie、广告Cookie或第三方分析工具。由于我们的Cookie属于服务正常运行所必需的，因此无需Cookie同意横幅（ePrivacy指令第5条第3款豁免）。

我们的服务不面向18岁以下人群。我们不会故意收集未成年人的个人数据。如果您认为有儿童向我们提供了数据，请立即联系我们，我们将予以删除。

我们可能会不时更新本政策。当我们做出重大变更——尤其是涉及遗传数据处理方式的变更时——我们将通过邮件通知您并在平台上发布公告。本页顶部的「最后更新」日期始终反映最新版本。

如果您对本隐私政策或我们的数据处理方式有任何疑问，请通过以下方式联系我们：

我们力求在30天内回复所有与隐私相关的咨询。