隐私政策

安徽斯普朗克信息技术有限公司（以下简称"公司"或"我们"）运营 RST Marketplace（以下简称"本服务"）。我们尊重并保护您的隐私，严格按照《中华人民共和国个人信息保护法》（以下简称"《个人信息保护法》"）、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》，以及欧盟《通用数据保护条例》（GDPR）、美国加州《消费者隐私法》（CCPA/CPRA）等适用法律法规的要求，处理您的个人信息。

本隐私政策说明我们收集何种信息、如何使用和共享这些信息、以及您对自己个人信息所享有的权利。一旦您使用本服务，即视为您同意按照本政策收集和使用信息。

我们收集以下类别的信息：

• 您主动提供的信息： 姓名、电子邮箱、账户密码（以哈希形式存储）、公司名称、付款信息以及您提交的内容（例如试用申请、客服工单或反馈）。
• 自动收集的信息： IP 地址、浏览器类型及版本、设备标识符、操作系统、引用来源 URL、访问页面、时间戳及交互事件。这些信息通过服务器日志、Cookie 及类似技术收集。
• 来自第三方的信息： 当您使用 Google 或 GitHub 登录时，我们会收到您授权第三方共享的个人资料信息。付款交易由 Stripe 处理，我们仅获得交易状态和交易编号，不接触您的完整银行卡号。
• 授权与使用数据： 服务器 GUID、License 激活状态、节点数量及 License 到期时间，用于签发和验证您的 License。

我们使用所收集的信息用于以下目的：

• ✓提供、运营和维护本服务
• ✓处理 License 购买、签发 License 并发送确认邮件
• ✓用户身份认证与账户安全（包括双因素认证）
• ✓响应技术支持和客户服务请求
• ✓检测、预防和调查欺诈、滥用及安全事件
• ✓发送服务相关通知（License 到期、政策更新等）
• ✓汇总分析使用情况以改进产品功能与性能
• ✓履行法律义务并执行《服务条款》

根据适用法律的要求，我们基于以下依据处理您的个人信息：

• 履行合同所必需： 为交付您已购买的服务或根据您的请求采取订立合同前的准备措施（GDPR 第 6(1)(b) 条；《个人信息保护法》第 13 条第 1 款第 2 项）。
• 合法利益： 为防止欺诈、保障服务安全和改进服务所必需，并在与您的权利之间进行平衡（GDPR 第 6(1)(f) 条）。
• 您的同意： 对可选的数据分析和营销沟通，我们会事先取得您的同意；您可随时撤回同意（GDPR 第 6(1)(a) 条；《个人信息保护法》第 13 条第 1 款第 1 项）。
• 履行法定义务： 遵守税务、会计、反洗钱及其他法律法规的规定（GDPR 第 6(1)(c) 条；《个人信息保护法》第 13 条第 1 款第 3 项）。

我们不会出售您的个人信息。仅在实现本政策第三条所述目的所必需的范围内，向以下类别的接收方共享信息：

• →支付服务提供商 — Stripe, Inc.（信用卡处理、风控）
• →云基础设施 — Vercel Inc.（应用托管）和 Supabase Inc.（数据库）
• →邮件送达 — 飞书企业邮箱 / SMTP 中继（事务性邮件）
• →反滥用服务 — MTCaptcha / hCaptcha（注册和试用申请的人机验证）
• →统计分析 — 匿名化、非识别性流量分析
• →司法及监管机关 — 依据法律、行政法规、司法文书或监管要求
• →交易承继方 — 发生合并、收购或资产出售时（将提前通知）

安徽斯普朗克信息技术有限公司 注册于中华人民共和国。本服务所使用的基础设施部分位于境外，这意味着您的个人信息可能会被传输至您所在司法辖区以外的地区进行存储与处理。

对于自欧洲经济区/英国向外的传输，我们采用欧盟委员会批准的《标准合同条款》（SCC）或同等保障措施。

对于自中国境内向境外的传输，我们依照《个人信息保护法》及相关配套规则的要求执行，包括：在需要取得单独同意的情形下取得您的单独同意；开展个人信息保护影响评估（PIPIA）；签订国家互联网信息办公室制定的《个人信息出境标准合同》或通过安全评估等方式，确保境外接收方的保护水平不低于我国法律规定。

我们仅在实现本政策所述目的所必需的期限内保留您的个人信息，法律法规另有规定的除外。

• 账户信息： 在账户有效期内保留，账户注销后最长保留 24 个月，用于审计与纠纷处理。
• 交易记录： 为遵守税务、会计及商事法律要求，至少保留 7 年。
• 服务器日志： 通常保留 90 天，用于安全监控与故障排查；发生调查时将适当延长。
• 客服与邮件沟通： 自最近一次互动起保留 24 个月。

在适用法律允许的范围内，您对个人信息享有以下权利：

• ✓查阅权 — 请求获取我们持有的您的个人信息副本
• ✓更正补充权 — 更正不准确或不完整的信息
• ✓删除权 — 请求删除您的个人信息（被遗忘权）
• ✓处理限制权 — 限制我们处理您信息的方式
• ✓可携带权 — 以结构化、机器可读的格式接收您的数据
• ✓拒绝权 — 拒绝基于合法利益的处理
• ✓撤回同意 — 针对基于同意处理的信息
• ✓投诉权 — 向您所在地主管数据保护机关投诉

根据您所在的地区，以下附加权利和说明适用于您：

• 加利福尼亚州居民（CCPA/CPRA）： 您有权了解我们收集的个人信息类别、请求删除您的信息，以及拒绝信息的出售或共享。我们不出售您的个人信息。如需行使上述权利，请通过第十三条所列联系方式与我们联系。
• 欧洲经济区/英国居民（GDPR）： 您可以行使本政策第八条所列权利，并可向您所在地数据保护机关投诉。
• 中国境内用户（《个人信息保护法》）： 您享有查阅、复制、更正、补充、删除、转移和请求解释处理规则的权利。自然人死亡后，其近亲属为了自身的合法、正当利益，可行使前述权利。

我们采取合理的管理、技术和物理安全措施保护个人信息，包括：

• →传输加密 — 采用 TLS 1.2 及以上协议
• →存储加密 — 敏感字段加密存储，密码以 bcrypt 哈希形式保存
• →数据库行级权限（RLS）、员工访问遵循最小必要原则
• →网站部署 HSTS、X-Frame-Options、内容安全策略（CSP）等安全响应头
• →限流、验证码与机器人检测以应对滥用行为
• →依赖项持续更新与漏洞扫描

我们使用 Cookie 及类似技术以运营本服务。您可以通过浏览器设置管理 Cookie；禁用必要 Cookie 可能导致服务功能无法正常使用。

• 必要 Cookie： 用于身份认证、会话管理和安全控制；禁用将导致服务无法使用。
• 偏好 Cookie： 记住您的语言、主题及其他界面偏好设置。
• 分析 Cookie： 衡量整体流量与功能使用情况，在技术可行的情况下进行匿名化处理。

本服务面向企业用户提供，不面向 16 周岁以下的未成年人（或您所在司法辖区规定的同意处理年龄）。我们不会在知情的情况下收集未成年人的个人信息。如果您认为未成年人向我们提供了个人信息，请与我们联系，我们将采取措施予以删除。

我们可能会不定期更新本隐私政策。对于重大变更，我们将在生效前至少 30 日通过本服务显著位置或电子邮件通知您。在生效日期后，您继续使用本服务即视为接受更新后的政策。

如您对本政策有任何疑问、投诉，或希望行使上述权利，请通过以下方式联系我们：

• 个人信息处理者： 安徽斯普朗克信息技术有限公司
• 注册地址： 中华人民共和国 安徽省
• 隐私事务邮箱： privacy@reallysec.com
• 客服邮箱： support@reallysec.com