隐私政策 | AISnapEdit - AI图像、视频、音乐、语音生成器

最后更新：2026 年 4 月 18 日

生效日期：2026 年 4 月 18 日

序言

AISnapEdit（以下简称"AISnapEdit""我方""我们"或"本平台"）运营网站 https://aisnapedit.com 及其所有子域名、API 接口与相关客户端（以下合称"服务"），这是一个面向全球用户的一站式（All-In-One）AI SaaS 平台，提供图像、视频、音频、音乐等 AI 内容生成能力。

本隐私政策（以下简称"本政策"）详细说明了当您访问、注册、使用本服务时，我方收集哪些信息、如何使用、向谁披露、保留多久、您享有哪些权利，以及您可以通过何种方式行使这些权利。

本政策旨在同时满足下列法域对个人信息处理的透明度要求：

欧盟《通用数据保护条例》（GDPR, Regulation (EU) 2016/679）
英国《通用数据保护条例》（UK GDPR）及《2018 年数据保护法》
瑞士《联邦数据保护法》（FADP）
美国加利福尼亚州《消费者隐私法》/《隐私权法》（CCPA/CPRA）
美国弗吉尼亚州《消费者数据保护法》（VCDPA）
美国科罗拉多州《隐私法》（CPA）
美国康涅狄格州《数据隐私法》（CTDPA）
美国犹他州《消费者隐私法》（UCPA）
美国德克萨斯州《数据隐私和安全法》（TDPSA）
华盛顿州《我的健康我的数据法》（MHMDA）
内华达州 SB220
美国《儿童在线隐私保护法》（COPPA）
欧盟《人工智能法案》（EU AI Act, Regulation (EU) 2024/1689）
欧盟《数字单一市场版权指令》（DSM, Directive (EU) 2019/790）第 4 条文本与数据挖掘（TDM）条款
其他适用的数据保护与消费者保护法律

三文档关系： 本政策与《服务条款》（Terms of Service）及《退款政策》（Refund Policy）共同构成您与 AISnapEdit 之间完整合同关系的一部分。三份文档之间涉及术语与交叉引用关系已在各自文本中明确标注；如三份文档之间出现直接矛盾，本政策仅在数据处理事项上具有优先解释效力。

访问或使用本服务即表示您已阅读、理解并接受本政策的约束。 如您不同意本政策的任何条款，请勿使用本服务。

1. 定义

本政策使用以下术语，其中与《服务条款》及《退款政策》共享的术语均保持完全一致：

共享术语（三文档口径统一）：

首次订阅用户：指唯一自然人身份的首次付费订阅用户，通过邮箱、支付方式、设备指纹、IP 地址等多维度综合识别；创建多个账户以规避此定义属于违规行为。
独立裁量：指 AISnapEdit 基于合理判断作出的决定，该决定为最终决定。
工作日：指美国联邦法定工作日（周一至周五，美国联邦法定节假日除外），按我方办公所在地美国太平洋时区（PT）计算。
最终产出文件：指由用户成功触发 AI 生成、且至少有一次被下载、复制、分享或导出的图片、视频、音频、文本等内容。
使用量：指任何成功的 API 调用、积分消耗或内容生成行为，无论用户是否保留了生成结果。
积分（Credits）：指 AISnapEdit 发放给用户的虚拟消费品，不构成预付款、押金、储值或任何类似金融产品。
服务连续不可用：指因我方技术原因导致服务连续不可用超过 24 小时。
争议扣款（Chargeback）：指用户直接向发卡行发起的争议扣款请求。
黑名单（Blocklist）：指因违规加入的风控数据集，包含邮箱 hash、支付卡 fingerprint、IP 地址、设备指纹等标识。

隐私政策专有术语：

个人数据（Personal Data）：GDPR 第 4(1) 条定义的可直接或间接识别自然人的信息。
个人信息（Personal Information）：CCPA/CPRA §1798.140(v) 定义的与特定加州居民相关或可合理关联的信息。
敏感个人信息（Sensitive Personal Information）：CPRA §1798.140(ae) 定义的九类敏感信息。
处理（Processing）：GDPR 第 4(2) 条定义的任何针对个人数据的自动化或非自动化操作。
控制者（Controller）：GDPR 第 4(7) 条定义的决定处理目的与方式的主体。
处理者（Processor）：GDPR 第 4(8) 条定义的代表控制者处理数据的主体。
子处理方（Sub-Processor）：受处理者委托进行下游数据处理的主体。
SCCs：欧盟委员会 2021 年模块化版本的标准合同条款（Standard Contractual Clauses）。
DPF：欧盟-美国数据隐私框架（EU-US Data Privacy Framework，Commission Implementing Decision (EU) 2023/1795）。
GPC：全球隐私控制信号（Global Privacy Control），由浏览器或扩展向网站传递的 opt-out 偏好。
DPIA：数据保护影响评估（Data Protection Impact Assessment，GDPR 第 35 条）。
ROPA：处理活动记录（Record of Processing Activities，GDPR 第 30 条）。
TIA：数据传输影响评估（Transfer Impact Assessment，Schrems II 案后要求）。
LIA：合法利益平衡评估（Legitimate Interest Assessment，GDPR 第 6(1)(f) 条）。
ADMT：自动化决策技术（Automated Decision-Making Technology，CCPA 2026 规则）。

2. 数据控制者信息

2.1 数据控制者

适用于欧洲经济区（EEA）、英国、瑞士以及其他要求指明控制者的法域：

AISnapEdit

网站：https://aisnapedit.com
隐私事务邮箱：[email protected]
一般咨询邮箱：[email protected]
运营总部所在法域：美国加利福尼亚州（按美国太平洋时区 PT 运作）

AISnapEdit 就本政策所述的个人数据处理活动担任 GDPR 意义上的"控制者"角色。我方仅通过上述电子邮箱接收用户通知与数据主体权利请求；法律主体详细注册信息将在本政策正式生效版本中公布。

2.2 数据保护联系人

我方未达到 GDPR 第 37 条规定的强制任命数据保护官（DPO）的门槛（即未大规模处理特殊类别数据、亦未大规模实施系统性监控），但仍指定专门的隐私事务联系人（Privacy Contact），由法务负责人担任，负责：

答复数据主体的权利请求
协调数据泄露事件的处置与通知
配合监管机构的调查与问询
对接 EU / UK 代表机构

联系方式： [email protected]

2.3 欧盟代表（GDPR 第 27 条）

根据 GDPR 第 27 条，AISnapEdit 已在欧盟境内指定第三方专业机构作为欧盟代表（EU Representative）：

机构名称： Instant EU GDPR Representative Limited
注册地址： Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
联系方式： via [email protected]（我方在收到请求后转发给 EU 代表）

欧盟境内的数据主体可通过上述渠道行使其权利；监管机构亦可通过上述联系方式与 EU 代表或我方直接联系。

根据 UK GDPR 第 27 条，AISnapEdit 指定的英国代表与欧盟代表为同一机构：

机构名称： Instant EU GDPR Representative Limited
注册地址： Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
联系方式： via [email protected]（我方在收到请求后转发给英国代表）

3. 我们收集的信息

本章节按信息来源与类别披露我方收集的所有数据。对于每一类数据，我方在 §4（法律依据）、§5（用途）、§7（接收方）、§9（保留期）中进一步说明。

3.1 您直接提供的信息

数据类别	具体字段	收集时机
账户凭据	邮箱地址、用户名、密码 hash（加密存储）、OAuth 授权凭证	注册、登录
个人资料	头像、显示名称、偏好设置、语言、主题	注册及个人资料更新时
支付相关信息	账单姓名、账单地址、支付卡 BIN 与末四位、支付卡 fingerprint（由 Stripe 返回，不可逆向还原为完整卡号）、交易编号、订阅状态	支付与订阅管理时
通信内容	邮件往来、支持工单、反馈表单、客服对话（如客服功能启用）	您主动发起沟通时
用户内容（AI 输入）	提示词（prompt）文本、上传的图像、视频、音频或其他媒体文件	您提交生成请求时
AI 生成输出	AI 模型基于您的输入所生成的图像、视频、音频、音乐等最终产出文件	生成任务完成时

3.2 自动收集的信息

数据类别	具体字段	收集时机
设备信息	操作系统、浏览器类型与版本、设备类型、屏幕分辨率、时区、语言偏好	您访问服务时
使用数据	访问的页面路径、使用的功能、点击行为、会话时长、时间戳、使用的 AI 模型选择	整个会话期间
日志数据	IP 地址（注册 IP 及后续访问 IP）、访问时间、引荐来源（referer）、错误日志、API 请求路径与状态码	服务运行全过程
Cookie 及类似技术	会话 Cookie、偏好 Cookie、分析 Cookie、营销 Cookie（详见 §10）	您访问服务时

3.3 来自第三方的信息

数据来源	共享字段	用途
OAuth 提供商（Google）	经您授权的姓名、邮箱、头像、OAuth 唯一标识符	社交登录功能
支付处理商（Stripe）	交易状态、支付成功/失败回调、支付卡 fingerprint、Radar 风险评分与标签	支付验证、反欺诈
分析提供商	汇总层面的访问统计、会话回放数据	服务改进

3.4 反欺诈与账户安全数据【新增披露】

为防止支付欺诈、多账户滥用、退款滥用，以及保护合规用户的利益与业务连续性，我方收集、处理并保留以下与风控相关的数据：

数据类别	具体内容	当前状态
注册与访问 IP	注册时及后续会话的 IP 地址	当前在用
IP 黑名单标识	因封禁而被加入黑名单的 IP 标记	当前在用
基础设备指纹信号	浏览器类型与版本、操作系统、设备类型、UA 组合、屏幕分辨率、时区	当前在用（用于《服务条款》§3.2.2 多维身份识别及《退款政策》§4 反欺诈）
高熵设备指纹 hash（规划中扩展）	Canvas、WebGL、字体等特征组合经 SHA-256 不可逆哈希处理后的标识	规划中扩展 — 在实际部署前将同步更新本政策披露范围与保留期限表
支付卡 fingerprint	Stripe 返回的 `pm_` 或 `card_fingerprint`，不可逆向还原为完整卡号*	当前在用
Stripe Radar 风险评分	由 Stripe Radar 在授权阶段返回的欺诈评分与标签	当前在用
行为模式	支付尝试失败次数与时间间隔、短期内更换支付方式的频率、退款申请历史、chargeback 历史	当前在用
多账户关联信号	邮箱 hash 相似度、同支付方式、同 IP 多账户关联迹象	当前在用
黑名单标识	被永久封禁账户的邮箱 hash、支付卡 fingerprint、IP 地址、设备指纹 hash 等集合	当前在用

上述数据与《退款政策》§4 所披露的反欺诈规则直接对应。对于规划中但尚未部署的设备指纹技术，我方承诺：在实际部署前，将在本政策中明确更新披露范围，并同步调整保留期限表。

法律依据： GDPR 第 6(1)(f) 条合法利益——防止欺诈、保护合规用户利益、维护业务连续性。我方已就此项处理活动完成合法利益平衡评估（LIA）并备案存档，您可通过 [email protected] 申请获取平衡评估摘要。

3.5 推断数据与衍生数据【CCPA/CPRA 要求的披露】

基于 §3.1–§3.4 的原始数据，我方会产生若干推断性或衍生性数据：

使用偏好推断：基于您的模型选择频率、生成内容类别倾向，推断您对功能模块的偏好，用于改进用户体验；
汇总风险评分：反欺诈系统对用户账户的综合风险等级评估；
订阅与积分使用画像：订阅到期提醒、积分余额提醒等功能所需的状态计算。

我方明确声明不推断以下类别：

种族或族裔背景
政治观点、宗教或哲学信仰
工会会员身份
健康状况或医疗数据
性取向或性生活
基因数据或生物特征识别模板

4. 处理的法律依据

根据 GDPR 第 6 条、第 9 条及相关法域对等条款，我方对每一类数据与每一项处理目的的法律依据如下：

4.1 法律依据矩阵

数据类别	处理目的	法律依据
账户凭据、个人资料	账户创建、身份验证、服务个性化	GDPR 第 6(1)(b) 条合同履行
用户内容（提示词、上传媒体）	AI 生成服务交付、最终产出文件呈现	GDPR 第 6(1)(b) 条合同履行
支付信息	支付处理、订阅管理、税务与财务记录	第 6(1)(b) 合同履行 + 第 6(1)(c) 法定义务（税务合规）
使用数据、日志数据	服务优化、故障排除、安全监控	第 6(1)(f) 合法利益（平衡评估已备存）
Cookie 分析与营销	性能分析、使用行为洞察、营销触达	第 6(1)(a) 同意
反欺诈数据（§3.4）	防止支付欺诈、多账户滥用、退款滥用	第 6(1)(f) 合法利益
黑名单数据	防止被封禁用户规避重新注册	第 6(1)(f) 合法利益 + 第 17(3)(e) 法律索赔防御例外
营销邮件订阅	直接营销通信	第 6(1)(a) 同意（可随时撤回）
税务与交易留档	履行法定保存义务（详见 §9）	第 6(1)(c) 法定义务
法律合规与应对执法	回应传票、协助调查、遵守法院命令	第 6(1)(c) 法定义务
AI 生成内容相关日志	滥用检测、内容合规审核、调试	第 6(1)(f) 合法利益

4.2 关于特殊类别数据（GDPR 第 9 条）的声明

我方不主动收集以下特殊类别数据：

揭示种族或族裔背景、政治观点、宗教或哲学信仰、工会会员身份的数据
生物特征识别数据（用于唯一识别自然人的生物识别模板）
基因数据
健康相关数据
性生活或性取向数据

对于用户上传至本服务的图像中可能包含的人脸，我方不进行面部识别、身份识别或生物特征模板提取，亦不构建任何生物特征数据库。关于本产品对 deepfake、人物换脸、真实人物声音克隆等敏感能力的边界声明，详见 §6.5。

4.3 撤回同意的权利

凡以您的同意为法律依据的处理活动（如营销邮件、部分可选 Cookie），您均可随时撤回同意；撤回不影响撤回前基于同意已合法进行的处理的效力。撤回方式详见 §10（Cookie 偏好管理）及 §11（行使权利）。

5. 我们如何使用您的信息

本章节对应 §4 法律依据矩阵的"处理目的"列，进一步展开说明。

5.1 账户与服务交付

创建并管理您的账户，验证身份
向您提供 AI 生成服务（详见 §6）
呈现最终产出文件，并支持下载、分享、导出
管理积分余额、订阅状态、历史记录
发送账户相关的交易性通知（订单确认、订阅续费提醒、密码重置）

5.2 支付与反欺诈

处理付款、订阅续费、退款
执行《退款政策》§4 所述的反欺诈规则
运行自动化风控评估（详见 §14.2）
维护黑名单以防止已封禁用户规避重新注册

5.3 服务改进与分析

分析使用行为以改进功能与用户体验
对错误日志进行故障排除
进行 A/B 测试与可用性研究（使用匿名化或伪匿名数据）
汇总统计服务整体表现

5.4 合规与安全

遵守适用的法律、法规、政府命令
回应合法的执法请求、传票、法院命令
保护我方及其他用户的权利、财产与安全
防范欺诈、滥用与其他违法行为

5.5 通信与营销

发送账户相关与服务更新相关的交易性邮件（基于合同履行）
发送营销邮件（基于您的明确同意，可随时通过邮件尾部的"退订"链接或联系 [email protected] 撤回）
通过站内通知告知重要的政策变更或安全事件

6. AI 生成与您的数据

6.1 AI 服务架构

AISnapEdit 在 AI 生成服务中担任数据控制者角色；当您触发 AI 生成任务时，我方将您的提示词、上传的媒体文件发送至下游 AI 模型提供商（作为处理者）进行推理计算，处理完成后将生成结果回传并存储于我方存储服务中。

我方不自训练 AI 模型，亦不在服务器端运行自有的模型微调流程。 具体的模型选择由您在用户界面上主动选定的模型决定。

6.2 AI 模型提供商数据共享

为提供多样化的生成能力（图像、视频、音频、音乐等），我方按您选择的模型将输入数据路由至以下类别的 AI 模型提供商：

提供商类别	生成能力	共享的数据	主要接收地区
AI 图像生成服务商	文生图、图生图、图像编辑	提示词、上传媒体	美国、欧盟、新加坡、香港
AI 视频生成服务商	文生视频、图生视频、视频编辑	提示词、上传媒体、视频参考	美国、欧盟、新加坡、香港
AI 音频生成服务商	语音合成、音频处理	提示词、上传音频	美国、欧盟、新加坡、香港
AI 音乐生成服务商	文生音乐、音乐编辑	提示词、风格参数	美国、欧盟

具体在用的 AI 模型提供商包括（按功能类别披露，不逐家列名，以适应 AI 生态的快速变化）：Google（Gemini 系列）、Replicate、Kie、Fal、Tuzi 等 AI 内容生成服务。完整的、实时更新的模型提供商清单可在本服务的模型选择页面查阅；我方计划在未来上线 /legal/ai-providers 独立披露页面，届时将同步在此公布。

请注意： 当前本服务不提供 AI 聊天（chat）功能；相关入口与 OpenRouter 等聊天模型路由服务已从产品中移除，不再收集或共享对话消息。

每一家 AI 模型提供商均基于其自身的隐私政策进一步处理您的数据。我方通过与其签署的数据处理协议（DPA）对上述处理行为施加合同层面的约束，并尽最大商业努力确保只将提供生成服务所必需的数据路由至下游。

6.3 训练数据政策

AISnapEdit 不使用您的提示词或生成输出用于训练我方的 AI 模型（我方本身不自训练模型）。

针对下游 AI 模型提供商：

默认政策（Opt-out 机制）： 在您未主动调整设置的情况下，您的输入可能被下游 AI 提供商用于其模型质量改进（依照各提供商的标准合同条款）。您可在账户设置中随时选择退出将您的内容用于此类用途（"不用于模型改进"开关），退出后，我方会在向下游传输请求时附加相应的"不用于训练"标识。
禁止训练的数据类别： 无论您是否启用 opt-out，我方对涉及支付信息、账户凭据、反欺诈风控数据的内容均禁止传输至任何下游模型用于训练或改进目的。

欧盟 DSM 指令第 4 条（TDM Opt-Out）：

根据欧盟《数字单一市场版权指令》第 4 条，您有权对您的作品主张退出文本与数据挖掘。对本服务而言：

我方网站根目录已部署 robots.txt 与 ai.txt 声明，明确了 TDM opt-out 偏好，适用于所有第三方爬虫与 AI 训练系统。
针对您公开发布在 Gallery / 展示页面的内容，您可通过 [email protected] 书面请求我方对特定内容执行额外的 opt-out 标记。

6.4 AI 处理数据保留

数据类别	保留期限
上传的输入媒体	实时传输给下游 AI 提供商后，不作长期存储（除非您主动保存至账户）；临时处理副本于 7 天内清理
生成的输出文件	存储至您主动删除或关闭账户
处理日志（请求路径、状态码、模型选择、错误信息）	90 天
滥用检测样本	如触发违规标记，保留至案件处置结束后额外 2 年

6.5 生物特征、人脸与 Deepfake 的边界声明

我方不进行 面部识别、身份识别、年龄推断、情绪识别或任何生物特征模板提取；
用户上传的包含人脸的图像仅作为像素数据传输至下游 AI 提供商进行生成处理，处理完成后不用于构建任何识别数据库；
本产品不支持真实人物换脸（face-swap）、真实人物声音克隆（voice-cloning）、以真实自然人身份为目标的 deepfake 生成等可能对他人造成严重误导或名誉损害的能力；
若未来本服务新增涉及生物特征识别的功能，我方将单独取得您的明确同意（GDPR 第 9(2)(a) 条、BIPA §15(b)、CPRA §1798.121），并在开启前通过显著方式告知您具体的处理范围与退出机制。

7. 我们如何披露您的信息

除以下明确情形外，我方不会对外披露您的个人信息。

7.1 服务提供商（子处理方清单）

为提供、维护、改进本服务，我方委托以下经筛选的服务提供商处理相关数据。所有提供商均通过书面的数据处理协议（DPA）接受合同约束，处理范围限于提供相应服务所必需的最小范围。

类别	服务内容	在用提供商	共享数据范围
支付处理	订阅扣款、一次性支付、发票、退款	Stripe（Stripe Payments Europe Ltd. / Stripe, Inc.）	账单信息、支付金额、卡 fingerprint、交易状态
支付反欺诈（Stripe 子处理方）	授权阶段的欺诈风险评分与阻断	Stripe Radar（作为 Stripe 的子处理方，自动启用）	IP、设备指纹信号、卡 fingerprint、交易历史、邮箱域
AI 模型推理	图像 / 视频 / 音频 / 音乐生成	按类别披露的 AI 模型提供商（详见 §6.2）	提示词、上传媒体
存储与内容分发	用户上传文件、生成输出文件、CDN 缓存	Amazon Web Services (AWS S3)、Cloudflare R2	上传文件、生成输出、访问请求
Web 分析	页面访问统计、使用行为洞察	Google Analytics 4	页面路径、事件、设备 ID（伪匿名）、IP（部分伪匿名）
会话体验分析	会话回放、热图、点击流分析（敏感输入区域默认不录制）	Microsoft Clarity	鼠标轨迹、点击事件、页面交互；敏感输入字段（密码、支付卡等）通过脱敏标记排除
事务邮件发送	注册验证、订单确认、通知推送	Resend	收件邮箱、邮件正文
基础设施（CDN / 边缘 / 缓存）	DDoS 防护、加速、边缘路由	Cloudflare	全部流量元数据、IP
认证与 OAuth	社交登录	Google OAuth	您授权范围内的基础个人资料
客户服务（如启用）	在线客服、工单	具体提供商将在启用时公布	客服对话内容、邮箱

重要说明：

本表仅披露当前实际在用的服务提供商。我方代码中可能保留有其他集成选项（如备选支付服务商、备选客服工具），但仅当该集成在生产环境被启用时才会构成实际的数据披露。
我方会通过本政策的修订动态更新子处理方变更；计划在未来上线 /legal/sub-processors 独立披露页面，届时将同步在此公布。

7.2 法律合规与执法请求

在下列情形下，我方可能在符合法律要求与合理范围内披露您的信息：

遵守适用法律、法规、法院命令或执法机构的合法传票
配合正在进行的调查或司法程序
保护 AISnapEdit、我方用户或公众的权利、财产与安全
调查、防范或应对可能的违法行为或本服务条款的违反

7.3 业务转让

在合并、收购、重组、资产出售或类似企业交易的情形下，您的信息可能作为受让资产的一部分转移至新的实体。我方将在转让前以合理方式通知您，并确保受让方至少以不低于本政策的保护标准继续处理您的信息。

7.4 基于您同意的披露

在您明确授权的前提下，我方可能出于本政策未涵盖的其他目的向第三方披露您的信息。此类授权可随时撤回。

7.5 跨上下文行为广告与信息"共享"披露【CPRA 专属】

根据加州 CPRA 对"sharing"的扩展定义，某些第三方 Cookie（尤其是与分析、广告相关的 Cookie）即使不构成传统意义上的"出售（sale）"，也可能构成"跨上下文行为广告共享"。

我方不以金钱对价出售您的个人信息；
但在启用 Google Analytics 与 Microsoft Clarity 的页面，相关数据传输在 CPRA 项下可能构成"sharing"；
加州居民及其他行使类似权利的用户可通过以下方式选择退出：
- 在网站页脚点击 "Do Not Sell or Share My Personal Information" 链接；
- 通过浏览器或扩展启用 GPC（Global Privacy Control） 信号——我方自动识别并将其视为 opt-out 指令；
- 发送邮件至 [email protected]。

7.6 第三方链接

本服务可能包含指向第三方网站、插件或应用程序的链接。我方不控制这些第三方，亦不对其隐私实践负责。点击外部链接前建议您阅读其隐私政策。

8. 国际数据传输

由于本服务的多地域架构，您的个人数据可能被传输至您居住国以外的国家并在那里处理。

8.1 传输机制

对于从欧洲经济区、英国或瑞士向未获得充分性认定国家的传输，我方根据接收方的资质采用以下机制之一：

欧盟-美国数据隐私框架（EU-US DPF）：当接收方已在 DPF 项下自认证时（Commission Implementing Decision (EU) 2023/1795），依赖 DPF 作为充分性保障——例如 Stripe、Google、Cloudflare、AWS、Microsoft、Resend 等均已加入 DPF；
英国扩展 DPF（UK Extension）：用于英国至美国的传输；
瑞士-美国 DPF：用于瑞士至美国的传输；
欧盟标准合同条款（SCCs）（2021 年模块化版本）：用于未加入 DPF 的接收方；
英国国际数据传输协议（IDTA） 或 英国 SCC 附录：用于涉及英国的传输；
充分性认定：传输至欧盟委员会已认定为保护水平充分的国家时（如日本、韩国、加拿大商业部门等）。

8.2 主要接收数据的地区

基于本政策 §7 所列的实际服务提供商，您的数据可能传输至：

美国：Stripe、Google、AWS、Cloudflare、Resend、Microsoft Clarity 等
欧盟：Stripe Europe、部分 AWS / Cloudflare 节点
新加坡、香港：部分 AI 模型提供商的推理节点
英国：部分 Cloudflare 边缘节点

8.3 您关于传输的权利

您有权：

了解您的数据传输至哪些国家
请求查阅针对具体传输所采用的保障措施文档（如 SCCs 副本的相关非商业敏感部分）
对特定传输提出异议

8.4 数据传输影响评估（TIA）

根据欧盟法院 Schrems II 判决（Case C-311/18）的要求，我方对每一个非 DPF 美国接收方以及其他高风险传输目的地已执行或正在执行数据传输影响评估（TIA），评估接收国的法律环境与保障措施是否足以保护数据主体的基本权利。您可通过 [email protected] 请求获取 TIA 摘要。

9. 数据保留

我方仅在履行本政策所述目的、满足法律义务、解决争议、执行协议所必需的期间内保留您的个人数据。具体保留期如下：

数据类别	保留期限	法律依据
账户数据（基本资料）	账户存续期间 + 终止后 30 天	第 6(1)(b) 合同履行
交易记录（发票、支付凭证）	美国 7 年 / 欧盟 10 年 / 英国 6 年（以您所在地法定要求更长者为准）	第 6(1)(c) 税务与财务法定义务
使用分析（汇总层面）	26 个月	第 6(1)(f) 合法利益
支持通信（工单、客服对话）	事项解决后 3 年	第 6(1)(f) 合法利益
AI 处理日志	90 天	第 6(1)(f) 故障排除
上传的输入媒体临时副本	7 天内清理	第 6(1)(b) 合同履行
生成内容	直至您主动删除或账户终止	第 6(1)(b) 合同履行
营销订阅	直至您撤回同意	第 6(1)(a) 同意
反欺诈数据（Stripe Radar 评分、行为模式、风险评分）	5 年	第 6(1)(f) 合法利益
支付卡 fingerprint hash	7 年（与交易记录同步）	第 6(1)(c) + 6(1)(f)
黑名单标识（邮箱 hash、卡 fingerprint、IP、设备指纹）	无限期	第 17(3)(e) 法律索赔防御例外 + 第 6(1)(f) 合法利益
DPIA 与合规文档	依法定与行业建议保留	第 6(1)(c) 法定义务

黑名单无限期保留的说明： 根据 GDPR 第 17(3)(e) 条，当数据处理对于"建立、行使或抗辩法律主张"所必需时，数据主体的删除权不适用。反欺诈黑名单数据对于：(a) 抗辩被封禁用户后续以其他身份提起的争议主张；(b) 防止被封禁用户规避服务条款限制造成新的损失；(c) 协助同行业对知名欺诈模式的识别均属必要，故不设固定删除期限；我方每年对黑名单必要性进行一次复审。

保留期结束后，数据将被安全删除或进行不可逆的匿名化处理。

Cookie 类型	用途	是否默认启用	法律依据
必要 Cookie	登录会话、CSRF 保护、基本安全	是（无需同意，服务必需）	第 6(1)(f) 合法利益
偏好 Cookie	语言、主题、显示设置	是	第 6(1)(f) 合法利益
分析 Cookie	Google Analytics、Clarity 使用统计与会话回放	需要您的同意	第 6(1)(a) 同意
营销 Cookie	推广活动归因（如启用）	需要您的同意	第 6(1)(a) 同意

提供商	用途	退出方式
Google Analytics	网站分析	Google Analytics Opt-Out 或本站 Cookie 偏好设置
Microsoft Clarity	会话回放、热图	Microsoft 隐私或本站 Cookie 偏好设置

您可通过以下方式管理 Cookie：

浏览器设置（阻止或清除 Cookie）
本服务的 Cookie 同意横幅（规划中将逐步部署）：EEA、UK、瑞士首次访问默认 opt-in；美国用户默认 opt-out 并自动识别 GPC 信号
上述提供商各自的退出链接

注意： 禁用必要 Cookie 可能导致无法登录或核心功能不可用。

10.4 Do Not Track（DNT）信号

鉴于 DNT 信号缺乏行业统一的实现标准，我方不响应浏览器发送的 DNT 信号，但响应更新的 GPC 信号（详见 §10.5）。

10.5 全球隐私控制（GPC）【新增 — CPRA 强制】

根据加州 CPRA 以及科罗拉多州、康涅狄格州等州法律，我方自动识别并响应 GPC（Global Privacy Control）信号。当我方检测到您的浏览器或扩展发送 GPC 信号时，将其视为您对 CCPA/CPRA 项下"退出销售/共享个人信息"的有效指令，并依此调整分析与广告类 Cookie 的加载与数据共享。

11. 您的隐私权利

如您位于 EEA、英国或瑞士，您享有以下权利：

权利	具体内容
访问权（Art. 15）	请求获取您的个人数据副本及处理相关信息
更正权（Art. 16）	请求更正不准确或不完整的个人数据
删除权（Art. 17）	在法定情形下请求删除您的个人数据（"被遗忘权"）
限制处理权（Art. 18）	请求限制特定处理活动
数据可携带权（Art. 20）	以结构化、机器可读格式接收您的数据，或请求转移至另一控制者
反对权（Art. 21）	反对基于合法利益的处理（含反欺诈处理，但我方可能主张 Art. 21(1) 例外）
撤回同意权（Art. 7(3)）	随时撤回基于同意的处理
不受自动化决策约束权（Art. 22）	详见 §14

删除权例外： 根据 GDPR 第 17(3) 条，在下列情形下删除请求可被拒绝：

法律义务要求保留（如税务记录保存期内的交易数据）
为建立、行使或抗辩法律主张所必需（反欺诈黑名单数据适用此项）
为公共利益或科学研究所必需

响应时限： 我方自收到请求后 30 天内响应；如请求复杂或数量众多，可延长 60 天，延长情形将在首个 30 天内告知您。

11.2 CCPA/CPRA 项下的权利（加州居民）

如您是加州居民，您享有：

权利	具体内容
知情权（§1798.100/110/115）	请求披露我方收集、使用、共享的个人信息类别与具体内容
删除权（§1798.105）	请求删除您的个人信息（法定例外除外）
更正权（§1798.106）	请求更正不准确的个人信息
退出销售（§1798.120）	退出个人信息的销售（我方不销售）
退出共享（§1798.120）	退出跨上下文行为广告相关的"sharing"
限制敏感个人信息使用（§1798.121）	限制对敏感个人信息的使用
不受歧视权（§1798.125）	行使权利不影响服务质量或定价

我方收集的敏感个人信息类别（CPRA §1798.140(ae)）：

账户登录凭据（邮箱 + 密码 / OAuth token）
精确地理位置（仅当您授予浏览器定位权限）
您上传的内容中可能包含的敏感内容（由您自行决定）

我方不出于推断敏感特征的目的使用上述敏感个人信息，仅将其用于 CPRA 允许的业务目的（身份验证、欺诈防护、合同履行）。您无需额外行使"限制使用"权利即可获得这一默认保障。

响应时限： 45 天内响应；复杂情形可延长 45 天。

授权代理人： 您可指定授权代理人代表您提交请求，须经过合理的身份验证。

加州阳光法案（§1798.83）： 详见 §17。

11.3 其他美国州法项下的权利

法律	适用州	主要权利
VCDPA	弗吉尼亚州	访问、删除、更正、可携、退出销售+定向广告
CPA	科罗拉多州	同上 + Universal Opt-Out Mechanism 响应（我方通过 GPC 响应）
CTDPA	康涅狄格州	同上
UCPA	犹他州	访问、删除、可携（权利相对较窄）
TDPSA	德克萨斯州	访问、删除、更正、可携、退出销售+定向广告+画像
Nevada SB220	内华达州	退出销售的申请机制（详见 §18）

申诉： 如您的权利请求被拒绝，您有权在 45 天内提起申诉，申诉将由专人复核。

11.4 华盛顿州《我的健康我的数据法》（MHMDA）

本服务不处理 MHMDA 所定义的"消费者健康数据"（Consumer Health Data），不进行任何与健康相关的推断、诊断或辅助医疗服务。如您在使用本服务过程中自主上传了涉及健康的个人内容，我方不会出于商业目的使用或披露该类信息，亦不向数据经纪人等第三方销售。

11.5 如何行使权利

邮件提交： 发送邮件至 [email protected]，邮件主题标注"Privacy Rights Request - [权利类型]"；
网站表单： 通过 /privacy/rights-request 提交结构化请求（将逐步上线）；
身份验证： 为防止冒名请求，我方可能要求您通过注册邮箱、绑定支付工具等方式验证身份，仅用于身份核验；
响应时限： 按您所在地法律规定的时限（GDPR 30 天 + 可延长 60 天；CCPA/CPRA 45 天 + 可延长 45 天）；
拒绝情形与申诉： 如我方拒绝您的请求，将以书面方式说明理由；您可通过 [email protected] 申诉，申诉由人工复核并于 5 个工作日内回复。

11.6 向监管机构投诉

如您认为我方的处理违反适用法律，您有权向监管机构投诉：

EEA 居民： 您所在成员国的数据保护机构；完整清单见 EDPB 官网
英国居民： 信息专员办公室（ICO），https://ico.org.uk
瑞士居民： 联邦数据保护与信息专员（FDPIC）
美国居民： 联邦贸易委员会（FTC）https://ftc.gov 或各州检察长办公室

12. 数据安全

我方实施与处理活动风险相匹配的技术与组织措施，保护您的个人数据不被未授权访问、泄露、篡改或销毁。

12.1 技术措施

传输加密： TLS 1.3 全站加密；
静态加密： 数据库与对象存储采用 AES-256 加密；
访问控制： 基于角色的访问控制（RBAC）、最小权限原则、关键管理操作强制多因素认证（MFA）；
会话安全： 基于 Better-Auth 的会话管理，短有效期 + 刷新机制；
监控告警： 7×24 小时异常流量与访问监控；
定期审计： 内部与外部定期安全审计、漏洞扫描。

12.2 组织措施

数据最小化： 仅收集与保留实现处理目的所必需的数据；
员工培训： 全体员工定期接受隐私合规与安全培训；
供应商评估： 对所有处理者与子处理方进行尽职调查，并签署标准化 DPA；
事件响应： 书面化的事件响应流程与演练记录；
数据生命周期管理： 明确的数据分类、保留、删除机制。

12.3 数据泄露通知

一旦确认发生可能影响您个人数据的泄露事件：

通知监管机构： 我方将在首次发现后 72 小时内通知相关数据保护机构（GDPR 第 33 条）；
通知数据主体： 若泄露可能导致对您权利与自由的高风险，我方将在确认影响范围后不迟于 72 小时向您发出通知（GDPR 第 34 条）。通知内容将包括：事件性质、大致受影响数据类别、可能后果、我方已采取与建议您采取的措施、隐私联系人；
美国州法规定： 按各州法律适用的时限（如加州 §1798.82、纽约 SHIELD Act 的 30–45 天等）执行。

13. 儿童隐私

本服务面向 18 岁及以上用户。

统一年龄门槛： 与《服务条款》保持一致，我方对全球所有用户设定 18 岁最低年龄门槛，该门槛高于 COPPA（美国 13 岁）、GDPR 第 8 条（欧盟默认 16 岁）、UK GDPR（13 岁）等法域的法定下限；
不故意收集： 我方不会故意收集 18 岁以下未成年人的个人信息；
年龄验证： 注册时通过勾选确认方式声明年龄，未来将结合注册地区提示进一步加强年龄验证；
监护人渠道： 如父母或监护人发现未成年人未经同意向我方提交了个人信息，可通过 [email protected] 申请删除，我方将在核实后及时处理。

14. 自动化决策与画像

14.1 AI 内容生成

我方的 AI 内容生成完全基于您的明确输入（您选择的模型、您提交的提示词与媒体）。此类处理：

在性质上不构成 GDPR 第 22(1) 条所述的"仅基于自动化处理、对您产生法律或类似重大影响"的决策；
法律依据为第 6(1)(b) 合同履行 + 第 22(2)(a) 合同必需；
您可随时停止使用生成功能。

我方明确告知：为防止支付欺诈与账户滥用，我方运行自动化风控系统（含 Stripe Radar 以及我方内部规则引擎），该系统在特定情形下可能自动：

拒绝退款请求
暂停或永久封禁账户
使账户内积分立即失效
将相关邮箱 hash、支付卡 fingerprint、IP、设备指纹加入黑名单

上述决策属于 GDPR 第 22 条所述的可能对您产生法律或类似重大影响的自动化决策。

决策逻辑（概要性披露）：

为避免泄露反欺诈策略的敏感细节从而被恶意规避，我方仅披露决策逻辑的类别与一般维度：

支付风险维度： 多次支付失败、短期内频繁更换支付方式、Stripe Radar 欺诈评分超过内部阈值；
账户关联维度： 邮箱 hash、支付卡 fingerprint、设备指纹、IP 的多维度匹配信号；
退款异常维度： 购买后极短时间内（数小时）申请退款、6 个月内多次退款、既往存在 chargeback 记录；
账户行为维度： 使用机器人 / 爬虫 / 自动化脚本访问服务、出售或共享账户与积分、为规避本政策限制创建多账户。

您在 GDPR 第 22(3) 条项下的权利：

人工干预权： 您可请求对自动化决策进行人工复核；
表达意见权： 您可提供证据材料（使用记录、支付凭证、沟通记录、所在地合理性说明等）反驳系统判定；
申诉权： 按《退款政策》§10 所载流程，在收到决定后 14 天内通过 [email protected] 提起申诉，申诉将由人工复核并在 5 个工作日内回复；
解释权： 您有权获取决策逻辑的一般性说明（即本节所载内容）；出于反欺诈有效性的需要，我方不披露具体的阈值、权重或规则参数；
投诉权： 您有权向当地数据保护机构投诉（详见 §11.6）。

法律依据： GDPR 第 22(2)(a) 条合同履行所必需（履行《服务条款》与《退款政策》所载的反欺诈义务）+ 第 6(1)(f) 条合法利益（防止欺诈、保护合规用户）。我方已就此项处理完成相应的合法利益平衡评估（LIA）与数据保护影响评估（DPIA）（详见 §15）。

14.3 用于服务改进的画像

基于使用数据对用户功能偏好进行的推断（详见 §3.5），不影响账户状态，仅用于产品改进与个性化推荐；您可通过账户设置关闭个性化推荐。

15. 数据保护影响评估（DPIA）

根据 GDPR 第 35 条，对可能对数据主体权利与自由产生高风险的处理活动，我方已执行或正在执行数据保护影响评估：

反欺诈自动化决策 DPIA：已完成（覆盖 §3.4 所述数据类别与 §14.2 所述决策流程）；
AI 生成滥用检测 DPIA：在评估中；
规划中的设备指纹技术 DPIA：将在部署前完成。

上述 DPIA 识别了相应的风险缓释措施（数据最小化、不可逆 hash、有限保留期、人工申诉通道等）。您可通过 [email protected] 申请获取 DPIA 摘要（不涉及商业机密与安全敏感细节的部分）。

16. 欧盟《人工智能法案》合规

欧盟《人工智能法案》（EU AI Act, Regulation (EU) 2024/1689）相关透明度条款自 2026 年 8 月 2 日起分阶段执法。针对本服务：

16.1 AI 系统风险分级

我方作为 AI 系统的下游部署者，所提供的服务属于生成式 AI（Generative AI）类，通常属于 AI 法案定义的有限风险（limited risk）类别。我方不运营：

第 5 条禁止性 AI 系统（社会评分、潜意识操纵等）；
附件 III 所列的高风险 AI 系统（招聘筛选、信用评分、执法决策等）。

16.2 训练数据透明度

我方不自训练 AI 模型，所使用的模型均由已完成相应透明度义务的下游 AI 模型提供商运营。各提供商的训练数据披露链接将在未来上线的 /legal/ai-providers 页面统一公布；在该页面上线之前，如需查询具体提供商的训练数据披露，请通过 [email protected] 联系我方。

16.3 AI 生成内容标识（第 50(2) 条）

针对 AI 生成的图像、视频、音频等合成内容：

我方在下游 AI 提供商支持范围内嵌入机器可读标识（如 C2PA Content Credentials）；
部分输出可能同时包含可见水印；
您不得移除、篡改或规避上述标识（详见《服务条款》§5.4）。

16.4 AI 交互披露（第 50(1)(a) 条）

在您与本服务的 AI 生成功能交互时（包括图像编辑、视频生成等），用户界面明确标示您正在与人工智能系统交互，而非人类。

16.5 Deepfake 披露义务（第 50(4) 条）

虽然本产品不支持生成能明显被误认为真实人物、事件或地点的 deepfake 内容（详见 §6.5 边界声明），但如您将 AI 生成的内容用于公众关心的信息类议题（新闻、政治、医疗等），您仍应在发布时明确披露为 AI 生成或辅助生成。相关合同义务详见《服务条款》§5.4。

17. 加州阳光法案

根据加州民法典 §1798.83（"Shine the Light Act"），加州居民可请求有关我方向第三方披露个人信息用于该第三方直接营销目的的清单。我方不会将您的个人信息与第三方共享用于该第三方的直接营销目的；相关处理与查询请求可通过 [email protected] 提交。

18. 内华达州隐私权

根据内华达州 SB220，内华达州居民可选择退出对个人信息的销售。我方不以金钱对价销售您的个人信息；您仍可通过 [email protected] 提交确认性退出请求，我方将在 60 天内响应。

19. 本政策的变更

19.1 变更机制

我方可能不时修订本政策。所有修订版本将在本页面发布，并同步更新"最后更新"日期与"生效日期"。

19.2 重大变更通知

对于实质性影响您权利的修订（如新增处理目的、变更国际传输安排、新增第三方子处理方类别），我方将在修订生效前至少 30 天通过以下方式通知您：

向注册邮箱发送通知邮件；
在网站显著位置发布公告；
在您下次登录时以站内通知方式告知。

19.3 历史版本

所有历史版本将在未来上线的 /privacy-policy/history 页面存档公布；在该页面上线之前，如需获取历史版本，请通过 [email protected] 联系我方获取。

19.4 持续使用即视为接受

修订生效后您继续使用本服务，即视为您接受修订后的政策。如您不同意修订，请停止使用本服务并按 §11 行使您的删除权。

20. 联系我们

20.1 专用联系邮箱

用途	邮箱
隐私事务、数据保护、数据主体权利	[email protected]
申诉（含反欺诈决策申诉、权利请求拒绝申诉）	[email protected]
DMCA 通知、滥用举报	[email protected]
一般咨询、退款申请	[email protected]

20.2 通信方式