隐私政策
Smile Rain(以下简称“我们”)运营位于 app.smile-rain.top 的工作区。本政策说明我们收集哪些个人数据、收集原因,以及你可行使的权利。
1. 我们收集的数据
账户数据。 当你通过 Google OAuth 登录时,我们从 Google 获取你的电子邮件地址、显示名称和头像 URL。我们从不获取你的 Google 密码。
你创建的内容。 看板中的任务存储在你设备的浏览器 localStorage 中,不会传输到我们的服务器。你的账户资料(邮箱、显示名称)在首次登录时同步到我们的数据库。
加密保险库。 你在密钥功能中存储的密钥在客户端加密,密钥永不离开你的设备。我们只存储加密后的密文,无法访问原始内容。
通讯数据。 如果你订阅我们的通讯或加入产品候补名单,我们会为此目的收集你的电子邮件地址。你可以随时通过我们发送的任何邮件中的链接撤回同意并取消订阅,或直接联系我们。
运营数据。 一个认证会话 Cookie(firebase-auth-token)以及通过 Vercel Analytics 和 Speed Insights 收集的匿名性能遥测数据 — 页面加载时间和页面浏览量统计,不含任何个人标识符。
2. 处理的法律依据(GDPR)
根据 GDPR 第 6 条,我们依据以下合法依据进行处理:
- 履行合同(第 6(1)(b) 条)。 我们处理你的账户数据和会话 Cookie,以提供你注册的工作区服务。
- 合法利益(第 6(1)(f) 条)。 我们处理匿名性能遥测数据以保持服务快速稳定。鉴于数据的非个人性质,这一利益不会凌驾于你的隐私权之上。
- 同意(第 6(1)(a) 条)。 我们仅在你明确选择加入的情况下发送通讯和候补名单邮件。你可随时通过邮件中的取消订阅链接或发送邮件至 [email protected] 撤回同意;撤回不影响撤回前处理的合法性。
3. 数据共享
我们从不出售你的数据。我们仅与以下经过适当数据处理协议约束的次处理商共享必要的最少数据:
- Google LLC(Firebase Authentication、Firestore、FCM)。 托管你的账户记录并代我们处理身份验证。
- Vercel Inc.(托管、Analytics、Speed Insights)。 提供应用服务并记录匿名性能指标。
- Resend Inc.(电子邮件投递)。 代我们存储和投递通讯及候补名单邮件。你为通讯目的提供的电子邮件地址仅为此目的传输给 Resend。
4. 跨境传输
我们的次处理商可能在美国及欧盟/欧洲经济区以外的其他国家存储或处理数据。在适用 GDPR 的情况下,此类传输受欧盟委员会标准合同条款(SCC)及次处理商传输影响评估所要求的任何补充措施保障。相关 SCC 副本可应要求提供。
5. 数据保留
账户和资料数据在你的账户处于活跃状态期间保留。我们在收到删除请求后 90 天内删除你的 Firestore 资料。存储在浏览器 localStorage 中的内容在你清除浏览器前持续存在;我们没有副本,也无法代你删除。
为通讯或候补名单目的收集的电子邮件地址在你取消订阅或请求删除前保留,收到删除请求后 30 天内不再保留。
6. 你的权利
根据你所在地区,你可能享有以下权利:访问数据副本、更正不准确数据、请求删除、限制或反对处理,以及以可携带格式接收数据。你还有权随时撤回以同意为法律依据的数据处理(见第 2 条)。
欧盟/欧洲经济区/英国居民 可向当地监管机构提出投诉(例如法国 CNIL、英国 ICO 或你居住国的主管机构)。
加利福尼亚州居民(CCPA/CPRA) 有权了解我们收集哪些个人信息、请求删除,以及选择退出个人信息的出售或共享。我们不出售或共享个人信息。
如需行使任何权利,请发邮件至 [email protected]。我们将在 30 天内回复。
7. 儿童
Smile Rain 不面向欧盟/欧洲经济区 16 岁以下或美国 13 岁以下的儿童。我们不会故意收集此年龄以下儿童的个人数据。如果你认为我们已这样做,请联系我们,我们将及时删除相关数据。
8. 安全
所有数据在传输过程中使用 TLS 加密。身份验证由 Firebase 管理,Firebase 对静态数据进行加密。密钥保险库在客户端加密,明文永不到达我们的服务器。我们将个人数据访问权限限制在运营服务所需的人员范围内,并至少每年审查一次安全状况。
9. 政策变更
当我们的数据处理实践发生变化时,我们会更新本页并修订顶部的生效日期。对于重大变更(例如新类别数据或新法律依据),我们将通过应用内公告提前至少 14 天发出通知。
10. 联系我们
如有问题、请求或投诉,请发邮件至:[email protected]。如需企业数据处理条款,请参阅我们的 数据处理协议。