隐私政策

最近更新：2026 年 5 月 08 日

1. 我们收集的信息

1.1 您主动提供的信息

• 账户信息：邮箱、用户名、加密的密码哈希。
• 计费信息：付款人姓名、发票抬头（不存储完整支付卡号，支付由 PCI-DSS 合规的第三方处理）。
• 商业联系信息（企业用户）：公司名、税号、对接人邮箱。

1.2 服务自动收集的信息

• 账户活动：登录时间、IP、浏览器/客户端 UA、操作日志（用于安全审计）。
• 计量数据：流量字节数、API 调用次数、并发会话数（用于计费）。
• 诊断日志：错误码、HTTP 状态码、响应时间（不含请求/响应正文）。

1.3 我们不收集的信息

• ❌ 您设备上参与任务计算时的 任务输入 / 输出内容（沙盒隔离，平台层无法解密）；
• ❌ 您的本地文件、浏览器历史、摄像头、麦克风等任何隐私数据；
• ❌ HTTPS 流量的解密内容（端到端加密我们无法解密）。

2. 信息使用目的

• 提供、维护、改进服务；
• 用户身份认证与账户安全（异常登录检测、防欺诈）；
• 按使用量计费、开具发票；
• 响应客户支持请求；
• 履行法律义务（如配合司法机关、监管机关的合法调取要求）；
• 发送服务相关重要通知（账单、安全告警、停服通知）。

3. 数据共享

我们不出售、出租您的个人信息。仅在以下有限情况下共享：

• 支付处理方（Stripe、支付宝、微信支付等）：处理付款；
• 云服务商（AWS / 阿里云 / 腾讯云等）：托管基础设施；
• 身份验证方（Auth0 / Cloudflare Turnstile 等）：防机器人；
• 法律要求：当我们收到合法、有效的法律文书时。

所有第三方均签订数据处理协议（DPA），仅在我们指示下处理数据。

4. 数据存储

• 主数据中心：我们的服务器位于具备 ISO 27001 认证的数据中心。
• 账户/计费信息：自账户关闭起保留 5 年（依据税务和反洗钱法规要求）。
• 访问日志：保留 30 天后自动匿名化。
• 诊断日志：保留 7 天后自动删除。
• 跨境传输：在传输前进行加密；对欧盟用户数据采用 SCC 标准合同条款。

5. 数据安全措施

• 全站强制 HTTPS / TLS 1.3；
• 账户密码采用 Argon2id / bcrypt 哈希存储；
• 敏感数据（API Key、计费信息）加密存储；
• 定期渗透测试与漏洞扫描；
• 员工最小权限原则，访问需 MFA；
• 安全事件 72 小时内上报监管机构（依据 GDPR Art. 33）。

6. 您的权利

根据 GDPR、CCPA、PIPL 等适用法律，您有权：

• 访问权：查询我们持有的关于您的个人数据；
• 更正权：要求更正不准确的数据；
• 删除权（被遗忘权）：要求删除您的账户和关联数据；
• 限制处理权：要求暂停特定处理活动；
• 可携权：以机器可读格式导出您的数据；
• 反对权：反对基于合法利益的处理；
• 撤回同意：撤回对营销邮件等可选项的同意。

行使任一权利请发送邮件至 privacy@xunjie.shop，我们将在 30 天内回复。

7. Cookies

我们使用必要的 Cookies 维持登录会话与防止 CSRF。详见 Cookie 政策。

8. 儿童隐私

本服务面向企业及成年专业用户，不针对 18 岁以下未成年人。如发现未成年人提交个人信息，我们将立即删除。

9. 国际传输

您的数据可能被传输至运营所在地及合作云服务商所在地。我们采用以下保障：

• 欧盟外的传输使用 SCC 标准合同条款；
• 对个人信息进行假名化和加密处理；
• 不向法律保护水平显著低于来源地的国家传输。

10. 政策变更

本政策的重大变更将通过邮件或站内公告提前 30 天通知。继续使用服务即视为接受新版本。

11. 联系数据保护负责人 (DPO)

• 邮箱：dpo@xunjie.shop / privacy@xunjie.shop
• 欧盟代表（如适用）：详见控制台 → 设置 → 法律联系