HOLD - 想要隐藏的脱发，远程诊断与管理

株式会社Cavern Club（以下简称“公司”）遵守《信息通信网利用促进及信息保护等相关法律》、《个人信息保护法》、《通信秘密保护法》、《电信事业法》等信息通信服务提供者应遵守的相关法律规定，并制定了个人信息处理方针，致力于保护用户权益。

本个人信息处理方针适用于公司提供的“主页（www.hold.hair, www.clubhold.com）”及“应用程序（HOLD）”（以下统称“服务”）的使用，包含如下内容。

第1条收集的个人信息项目

(1) 公司为会员注册、顺畅客户咨询及各类服务提供，收集如下最少必要的个人信息作为必填项。

a. 一般会员注册

- 收集目的
· 会员注册、会员识别及管理、会员资格维持及管理、身份验证、防止服务不正当使用
- 收集项目
· 姓名、ID、密码、SNS注册（KakaoTalk）时的个人资料、KakaoTalk频道添加状态及记录、Apple注册时的Apple关联ID
- 保留期限
· 会员注销时销毁

b. 实名认证

- 收集目的
· 非面对面医疗中介、医院/诊所预约服务及应用内购物
- 收集项目
· 用户移动通信公司信息、手机号码、实名认证信息、姓名、出生日期、内外籍信息
- 保留期限
· 为防止异常使用再发，自会员注销起6个月后销毁

c. 非面对面医疗中介及医院/诊所预约服务

- 收集目的
· 诊疗所需基本及选填信息
- 收集项目
· 姓名、手机号码、出生日期、性别，（以下为选填项）身高、体重、诊疗健康信息、生活信息、症状相关照片、过敏、用药与否、既往病史、基础疾病、手术/住院与否、家族史
- 保留期限
· 为防止异常使用再发，自会员注销起6个月后销毁

d. 处方传递及药品配送服务

- 收集目的
· 处方传递及药品配送所需信息
- 收集项目
· 配送所需用户地址
- 保留期限
· 为防止异常使用再发，自会员注销起6个月后销毁

e. 支付服务

- 收集目的
· 诊疗费、药费及商品购买款项支付
- 收集项目
· 已脱敏处理的卡号、有效期、卡密码前2位
- 保留期限
· 会员注销时销毁

(2) 株式会社Cavern Club高度重视您的个人信息保护，遵守《个人信息保护法》及《信息通信网利用促进及信息保护等相关法律》上的个人信息处理方针及行政安全部和信息通信部制定的《个人信息保护指引》。公司通过个人信息处理方针告知您所提供的个人信息用途及方式，以及为保护个人信息所采取的措施。

(3) 公司通过在网站首页及客服中心的“个人信息处理方针”栏目公开个人信息处理方针，便于用户随时查阅。

(4) 公司为持续改进个人信息处理方针，制定了必要的修订程序，并在修订时赋予版本号等，便于用户了解修订内容。

(5) 仅在使用服务ID的附加服务、定制服务或活动参与过程中，针对该服务用户收集如下信息。

第2条个人信息的收集及使用目的

公司如下收集您的个人信息。所处理的个人信息仅用于以下目的，若用途变更，将依《个人信息保护法》第18条另行征得同意并采取必要措施。

(1) 使用目的：公司收集个人信息的目的是通过手机号码及验证码进行个人识别，筛选优质用户，提供服务内的定制化服务，并为医生与患者、药师与患者提供远程医疗及配送的实证资料，保护医生与患者。

(2) 收集项目

a. App

- 会员注册及登录、会员管理

· 手机号码、验证码、姓名
- 远程医疗预约

· 诊疗方式、诊疗时间（日期及时间）
- 配送预约

· 配送方式、配送时间（日期及时间）
- 诊疗预约

· 希望诊疗时间
- 填写诊疗申请表

· 患者本人/家属/其他、症状输入、照片上传
- 填写配送申请表

· 患者本人/家属/其他、症状输入、照片上传
- 填写基本信息

· 姓名、出生日期、性别、手机号码
- 填写健康信息

· 过敏、用药与否、既往病史、基础疾病、手术与否、住院与否、受伤与否、家族史
- 填写生活信息

· 吸烟、饮酒、活动量、饮食类型、职业
- 处方药收货地址

· 处方药收货地址
- 商品收货地址

· 购买商品的配送地址
- 卡信息

· 16位卡号、有效期（月/年）、CVC码、密码前2位
- 申请诊疗

· 姓名、出生日期、性别、手机号码、时间
- 申请药品配送

· 姓名、出生日期、性别、手机号码、时间
- 诊疗申请表

· 患者本人确认：本人、家属、其他，症状输入内容、症状相关照片
- 配送申请表

· 患者本人确认：本人、家属、其他，症状输入内容、症状相关照片
- 支付管理

· 16位卡号、有效期（月/年）、CVC码、密码前2位、是否注册为默认支付方式
- 填写诊疗基本信息

· 姓名、手机号码、出生日期、性别、身高、体重、血型、邮箱
- 填写配送基本信息

· 姓名、手机号码、出生日期、性别
- 填写诊疗健康信息

· 过敏、用药与否、既往病史、基础疾病、手术与否、住院与否、受伤与否、家族史
- 填写诊疗生活信息

· 吸烟、饮酒、活动量、饮食类型、职业
- 社区活动匿名生活信息

· 过敏、用药与否、既往病史、基础疾病、手术与否、住院与否、受伤与否、家族史、吸烟、饮酒、活动量、饮食类型、职业
- 会员注销

· 邮箱、姓名、手机号码、注销原因
- 非面对面医疗申请/预约

· 本人、家属、其他选择，姓名、出生日期、性别、手机号码、诊疗科目、诊疗医生、诊疗方式、诊疗时间、诊疗申请表、症状内容、症状相关附件、诊疗预约时间、诊疗取消、诊疗基本信息、健康信息、生活方式信息
- 上门医疗预约

· 本人、家属、其他选择，姓名、出生日期、性别、手机号码、诊疗科目、诊疗医生、诊疗方式、诊疗时间、诊疗申请表、症状内容、症状相关附件、诊疗预约时间、诊疗取消、诊疗基本信息、健康信息、生活方式信息
- 配送申请/预约

· 本人、家属、其他选择，姓名、出生日期、性别、手机号码、配送科目、配送药店、配送方式、配送时间、配送申请表、症状内容、症状相关附件、配送预约时间、配送取消、配送基本信息
- 诊疗记录/内容及处方

· 患者症状及附件、医生诊疗内容及处方药、处方内容及远程医疗视频
- 配送记录/内容及处方

· 患者症状及附件、药师配送内容及处方药、处方内容

b. 主页

- 处方及诊疗记录、配送记录

· 姓名、处方信息、医生对患者症状的诊疗内容、药师配送内容信息
- 医生、药师注册（医疗机构及医生、药师）

· 医生姓名、药师姓名、医生照片、药师照片、手机号码、学历、经历、诊疗科目、配送科目、专业领域、医院名称、药店名称、医院地址、药店地址、邮编、电话、账户信息、开户人、银行名、账号、聊天诊疗费用、视频诊疗费用、电话诊疗费用
- 远程医疗接收/预约诊疗确认及配送接收/预约配送确认（医疗机构及医生、药师）

· 服务使用记录、访问日志、IP信息、医生信息、药师信息、诊疗科目、配送科目、专业领域、诊疗预约时间、配送预约时间、医生姓名、药师姓名、诊疗内容、配送内容、处方

(3) 收集目的

a. 会员注册及登录、会员管理

- 提供会员制服务、个人识别、对违反公司条款会员的限制措施、对服务正常运营造成影响及不正当使用行为的制裁、医生及药师注册确认、注册及注册次数限制、为争议调解保存记录、投诉处理、通知事项传达、会员注销药师确认

b. 医生诊疗内容保存及与患者共享

- 基于远程医疗申请/预约信息，医生在远程医疗后填写SOAP诊疗内容并进行诊疗，并与患者共享诊疗内容，基于此开具处方

c. 药师配送内容保存及与患者共享

- 基于药品配送申请/预约信息，药师在配送后填写SOAP配送内容并进行配送，并与患者共享配送内容，基于此进行配送

d. 新服务开发及营销广告利用

- 新服务开发及定制服务提供、根据统计特性提供服务及广告、服务有效性确认、活动信息及参与机会提供、广告信息提供、访问频率统计、会员服务使用统计、其他咨询、服务请求的应对及处理
- 医院合作咨询处理、内容请求应对及指引、医院咨询请求内容传达

第3条个人信息收集及使用同意

公司为用户提供可点击“同意”按钮的程序，用户点击“同意”按钮即视为同意个人信息收集及使用。

第4条个人信息处理及保留期限

(1) 用户个人信息原则上在收集目的或提供目的达成或用户请求解除使用合同（会员注销）时销毁，此时用户个人信息将以无法再生的方法从系统中彻底删除，无法以任何用途查阅或使用。临时目的（如问卷调查）收集的个人信息，在目的达成后同样以无法再生的方法处理。

(2) 公司为防止不良用户的不正当使用再发，可自解除合同日（会员注销日）起6个月内保留该用户个人信息。根据《商法》、《电子商务等消费者保护法》等相关法律规定需保存时，公司按法律规定期限保存用户信息，仅用于保存目的。具体保存期限如下：

– 合同或撤销等相关记录：5年
– 货款结算及商品等供应相关记录：5年
– 消费者投诉或争议处理相关记录：3年
– 不正当交易记录：6个月（公司政策保存）
– 信用信息收集/处理及使用等相关记录：3年
– 服务访问记录：3个月
– 电子金融交易相关记录：5年

(3) 违反条款及相关法律的用户，为保护其他用户及作为司法机关调查证据，可在用户注销后6个月内保留用户信息。

(4) 2021年10月25日后注册的用户，若1年内无服务交易记录，根据《信息通信网利用促进及信息保护法》第29条，提前通知用户后，销毁或单独分离保存个人信息。用户有要求时可另行约定期限。但根据《通信秘密保护法》、《电子商务等消费者保护法》等相关法律规定需保存时，按法律规定期限保存。

(5) 公司将在上述1年期限届满前30日，通过电子邮件等方式通知用户个人信息将被销毁或分离保存、期限届满日及相关信息项目。为此，用户应提供/修改准确联系方式。

第5条个人信息向第三方提供

(1) 接收个人信息者

- 会员申请远程医疗接收/预约的远程医疗服务提供医疗机构
- 会员购买商品的供应商及发货公司

(2) 个人信息使用目的

- 预约接收服务提供及确认
- 为服务提供所需费用结算
- 通过公司服务达成诊疗及配送时，便于交易双方顺畅沟通
- 商品购买后的商品配送

(3) 提供的个人信息

- 患者本人信息（本人/家属/其他）

1）姓名 2）出生日期 3）性别 4）手机号码 5）预约日期 6）预约时间 7）既往就诊与否 8）患者基本信息 9）健康信息 10）生活信息 11）症状信息 12）症状相关照片 13）既往诊疗记录 14）既往配送记录 15）诊疗视频记录 16）配送视频记录
- 1）购买商品名 2）购买数量 3）配送地址 4）收货人 5）收货人联系方式 6）手机号码

(4) 个人信息保留及使用期限

- 为实现远程医疗及配送服务目的，使用至会员注销或合同终止为止（法律规定需另行保存的信息除外）

(5) 拒绝同意的后果

- 限制使用HOLD的非面对面医疗、上门医疗预约、药品配送服务及商品购买

(6) 公司在“个人信息收集及使用目的”范围内使用用户个人信息，未经用户同意原则上不超出该范围或向外部公开。但在下列情况下可向第三方提供（含共享）用户个人信息。

(7) 下列情况

– 用户除同意个人信息收集及使用外，另行同意第三方提供时，公司将提前告知接收方姓名及联系方式、使用目的、提供信息项目、保留及使用期限、拒绝权及后果。
– 有法律规定或为履行法律义务不可避免时
– 司法机关为调查目的依法要求时
– 为统计、学术研究等目的，以无法识别个人的形式提供时

第7条个人信息销毁程序及方法

用户个人信息原则上在保留期限届满、收集及使用目的达成等不再需要时立即销毁。公司个人信息销毁程序及方法如下：

(1) 销毁程序

– 公司记录并管理个人信息销毁事项，销毁由个人信息保护负责人负责，负责人确认销毁结果。
– 公司如因法律规定需保存时，可例外不销毁用户个人信息。

(2) 销毁方法

– 以纸质或其他记录介质保存的个人信息，粉碎或焚烧销毁。
– 以电子文件形式保存的个人信息，采用无法恢复的方法（或无法再生的技术方法）永久删除。

(3) 未销毁信息的保存方法

- 公司因法律规定未销毁个人信息时，将该信息或文件与其他个人信息分开保存管理。公司除法律规定外，不以其他目的保存分离的个人信息。

第8条个人信息主体的权利与义务及行使方法

(1) 用户可随时通过HOLD服务查阅自己注册的个人信息、公司使用或向第三方提供的个人信息现状、同意收集、使用、提供等情况，并可要求查阅、提供、纠正、删除或注销。

(2) 用户或14周岁以下儿童为查询、修改个人信息，可通过“个人信息变更”（或“用户信息修改”等），为注销（撤回同意）可点击“用户注销”并经本人确认后直接查阅、修改或注销。

(3) 公司将在接到用户要求后，立即调查并按要求进行纠正、删除等必要措施，并将结果告知用户。公司在采取必要措施前，不使用或提供相关个人信息。

(4) 用户可随时要求公司停止处理个人信息，公司将立即按要求全部或部分停止处理，并对已停止处理的个人信息立即采取销毁等必要措施。

(5) 如对个人信息有异议或意见，可通过书面、电话或E-mail联系个人信息保护负责人及相关人员，收到后立即处理并告知结果。登录状态下请特别注意防止个人信息泄露。

第9条个人信息自动收集装置的安装/运营及拒绝事项

公司为向用户提供定制服务，使用‘Cookie’存储并随时调用用户信息。Cookie是网站服务器（HTTP）向用户电脑浏览器发送的小量信息，存储于用户PC硬盘。

(1) Cookie使用目的：了解用户访问HOLD各服务及网站的访问及使用情况、热门搜索词、安全连接与否、用户规模等，为用户提供最优化信息。

(2) Cookie的安装/运营及拒绝：

a. 用户可选择是否允许安装Cookie。可通过浏览器设置允许所有Cookie、每次保存时确认或拒绝所有Cookie。
b. 拒绝Cookie设置方法：用户可通过所用浏览器选项设置允许所有Cookie、每次保存时确认或拒绝所有Cookie。
c. 设置方法示例（IE浏览器）：浏览器顶部工具 > Internet选项 > 隐私
d. 拒绝保存Cookie时，部分需登录的服务可能无法正常使用。

第10条个人信息安全性保障措施

(1) 公司在处理用户个人信息时，为防止丢失、盗窃、泄露、篡改或损毁，采取如下技术措施保障安全：

– 用户个人信息受密码保护，文件及传输数据加密或文件锁定功能（Lock）等安全措施保护重要数据。
– 公司使用杀毒软件防止计算机病毒侵害，定期更新，突发病毒时及时提供，防止个人信息泄露。
– 针对黑客等外部入侵，每台服务器均采用入侵防御系统及漏洞分析系统等，确保安全。

(2) 管理措施

– 除上述努力外，用户本人也应注意防止密码等泄露，尤其在公共场所使用PC时。ID及密码仅限本人使用，建议定期更换密码。
– 公司将用户个人信息访问权限限制为最少人员，仅限直接面向用户进行营销、个人信息保护负责人及相关人员、因业务不可避免需处理个人信息者，其他人员严格限制访问，并通过不定期培训强调政策遵守。因用户本人疏忽或网络问题导致ID、密码、身份证号等泄露，公司不承担任何责任。

第11条个人信息处理的委托

公司为提供服务，可委托外部处理个人信息。

(1) 个人信息处理委托服务

a. 实名认证服务

- 委托业务：通过手机号码进行实名认证
- 受托方：Danal、NICE评估信息（株）
- 委托信息：手机号码、出生日期、姓名、所用通信公司、CI、DI

b. 消息及咨询服务

- 委托业务：KakaoTalk通知、SMS、LMS发送
- 受托方：Naver Cloud、（株）Kakao
- 委托信息：手机号码

c. 支付信息

- 委托业务：支付服务
- 受托方：NICE Payments（株）、NHN韩国网络结算（KCP）
- 委托信息：用户信息（用户名、手机号码）

d. 配送信息

- 委托业务：配送服务
- 受托方：CJ大韩通运、邮政快递、Binary Bridge、Haemil Logistics
- 委托信息：配送信息（用户名、手机号码）

(2) 公司为向用户提供服务的稳定性，将个人信息委托给Amazon Web Services Inc.，用户个人信息存储于其数据库。Amazon Web Services Inc.仅进行服务器物理管理，无法访问个人信息。

(3) 公司为提升服务质量，可将用户个人信息委托外部专业公司处理。委托时将提前公告并征得用户同意。

(4) 委托处理用户个人信息时，通过委托合同（禁止超出委托业务目的处理个人信息、技术及管理保护措施、委托业务目的及范围、禁止再委托、限制个人信息访问等安全措施、委托业务相关个人信息管理现状检查等监督、违反义务时的赔偿等）明确规定服务提供者的个人信息保护指示遵守、保密、禁止第三方提供及事故责任等，并以书面或电子方式保存。公司将持续在‘服务’中公开委托业务内容及受托方，便于用户随时查阅。

(5) 公司将对受托方进行教育，监督其安全处理个人信息，防止因委托业务导致用户个人信息丢失、盗窃、泄露、篡改、损毁。

第12条个人信息相关意见收集及侵害、投诉处理事项

(1) 公司收集用户关于个人信息保护的意见，并为处理投诉制定了所有程序和方法。用户可参考下方个人信息保护负责人及相关人员，通过电话或邮件举报投诉，公司将迅速处理并回复。

(2) 也可向政府设立并运营的下列机构申请投诉处理。

– 个人信息侵害申诉中心（wwww.1336.or.kr / 1336）
– 信息保护标志认证委员会（wwww.eprivacy.or.kr / 02–580–0533）
– 最高检察院尖端犯罪调查科（wwww.spo.go.kr / 02–3480–2000）
– 警察厅网络恐怖应对中心（wwww.ctrc.go.kr / 02–393–9112）

第13条个人信息保护负责人及相关人员

公司为确保用户安全使用优质信息尽最大努力。若发生与告知事项相悖的事故，由个人信息保护负责人负责。但即使采取了技术补救措施，因黑客等网络风险导致的意外事故及用户发布帖子引发的各类纠纷，公司不承担责任。负责处理用户个人信息的负责人及相关人员如下，并对个人信息相关咨询迅速、诚实答复。个人信息保护负责人：

– 姓名：金善中
– 所属/职位：株式会社Cavern Club / 安全负责人
– 电话：010-4786-6747
– 邮箱：help@cvrn.club

第14条个人信息处理方针的变更

公司如变更个人信息处理方针，将通过‘服务’持续公开，便于用户随时知晓变更与施行时间及内容。变更内容将与变更前后进行对比公开。

公告日期：2023-08-22
施行日期：2023-09-01

个人信息处理方针

第1条 收集的个人信息项目

第2条 个人信息的收集及使用目的

第3条 个人信息收集及使用同意

第4条 个人信息处理及保留期限

第5条 个人信息向第三方提供

第7条 个人信息销毁程序及方法

第8条 个人信息主体的权利与义务及行使方法

第9条 个人信息自动收集装置的安装/运营及拒绝事项

第10条 个人信息安全性保障措施

第11条 个人信息处理的委托

第12条 个人信息相关意见收集及侵害、投诉处理事项

第13条 个人信息保护负责人及相关人员

第14条 个人信息处理方针的变更