隐私政策(含 DPA)| siftbeam

本隐私政策(“本政策”)说明 Connect Tech Inc.(“本公司”)在“siftbeam”(“本服务”)中如何处理个人信息/个人数据。遵循日本《个人信息保护法》(APPI)。关于数据处理协议(DPA)的条款载于下方附录。

定义

  • 个人信息/个人数据:依据 APPI 的定义。
  • 用户数据:用户向本公司提供的数据(原始数据、日志、指示、元数据等),可能包含个人信息。
  • 输出数据:由本服务生成/处理的结果(包括 CSV 等导出)。
  • 处理:包括收集、记录、编辑、存储、使用、提供、删除等全部操作。
  • 受托方/再受托方:本公司委托的服务商(如:AWS、Stripe)。

公司信息

  • 公司名称:Connect Tech Inc.
  • 地址:日本静冈县滨松市中央区和合町315-1485 迪亚斯和合202号
  • 代表者:Kazuaki Matsui(松井一晃)
  • 联系方式:connectechceomatsui@gmail.com

收集的信息类别

  • 账户信息(姓名、邮箱、组织、职务等)
  • 认证与日志信息(认证ID、访问日志、IP 地址、设备信息、Cookie/类似技术)
  • 支付信息(通过 Stripe 处理;卡片信息由 Stripe 管理)
  • 用户数据(上传数据、用于处理/学习的数据、指示内容)
  • 支持沟通(聊天内容)

使用目的

  • 提供、运营、功能改进与质量提升(包括模型训练、评估与调优)
  • 认证、安全、故障处理、日志分析
  • 计费、开票与防欺诈
  • 支持(聊天)、通知与政策/条款更新
  • 统计信息的制作与发布(不得识别个人或特定用户)
  • 遵守法律与权利保护

存储地点、保存期限与删除

存储区域:原则上为日本(东京区域)。如有变更,将提前通知。

区域变更时,原则上至少提前30天通过邮件和/或管理界面公告(紧急/法定情形除外)。

保存期限:处理后的数据保存1年,随后自动删除。用户可单独删除数据。

结算与支付:每月月末结算(当月1日至月末的使用量)。发票签发日:次月1日。付款截止日:次月15日。

账户删除:申请后逻辑删除,于90天后彻底删除(备份可能需要额外时间)。

技术故障时:为调查/解决问题,可能在最小必要范围内访问/使用用户数据;解决后将及时删除或匿名化。

第三方提供、共同使用与委托

  • 第三方提供:除法律另有规定外,未经同意不向第三方提供。
  • 委托:主要受托方为 AWS(基础设施)与 Stripe(支付)。我们将进行适当监督。
  • 再委托:除上述以外,未经用户事先许可不再委托(如属不可避免的维护/替代,将采取同等或更高的保护措施并及时通知)。
  • 跨境传输:因 Stripe 等情形,数据可能在日本境外(例如美国)存储/处理,并将采取法律要求的保障措施。

发生跨境传输时,本公司将视适用情况采用适当保障措施,如欧盟标准合同条款(SCC)、英国 IDTA/UK SCC 附件、瑞士 FDPIC 附件(详见附录B)。

学习使用与退出

  • 用户数据可能用于模型改进。
  • 退出(Opt-out):可按账户或按“已处理文件”维度排除用于学习,可能影响服务质量。

安全

  • 实施包括访问控制、传输/静态加密、职责分离、审计日志与漏洞管理等安全措施。
  • 对员工与受托方施加保密义务并进行培训。
  • 发生重大泄露时,将依法采取措施并通知监管机构/当事人。

用户权利

用户可申请查阅、更正、追加、删除、停止使用或停止向第三方提供(须进行本人确认)。联系方式:connectechceomatsui@gmail.com

处理的法律依据与角色(控制者/处理者)

  • 对于账户管理、计费、服务运营相关的个人信息,本公司作为“业务经营者”(相当于控制者)处理。
  • 对于客户委托给本公司的用户数据(在客户使用目的范围内处理的个人数据),本公司作为“处理者”处理。
  • 在适用美国州法(如 CCPA/CPRA)的范围内,本公司将履行“服务提供者/处理者”的义务(见附录C)。
  • 本政策以日本法为基础;在适用 EU/EEA 等法域的情况下,将采取必要的附加措施(如 SCC)。

Cookie、分析与性能监测

为提升易用性、安全与分析,我们可能使用 Cookie/类似技术。用户可在浏览器中禁用,但部分功能可能受影响。

【Google Analytics】本网站使用 Google Analytics 以改进服务。Google Analytics 使用 Cookie 收集用户行为数据。收集的数据根据 Google 隐私政策进行管理,IP 地址经过匿名化处理。收集的信息包括页面浏览量、会话时长、使用设备、浏览器、操作系统、地理位置(国家/城市级别)、来源页面等。如需停用 Google Analytics 数据收集,可安装 Google 提供的浏览器插件(https://tools.google.com/dlpage/gaoptout)。详情请参阅 Google 隐私政策(https://policies.google.com/privacy)。

【Vercel Analytics / Speed Insights】本网站使用 Vercel Analytics 和 Vercel Speed Insights 进行注重隐私的访问分析和性能测量。这些工具不使用 Cookie,不收集可识别个人身份的信息(如 IP 地址)。收集的信息包括页面浏览量、设备类型、大致地理位置(国家级别)、来源信息、页面加载时间、交互响应时间等。这些信息仅用于统计分析,无法识别个人身份。这些工具符合 GDPR 和 CCPA 标准。

未成年人的个人信息

原则上不设想未成年人在未获监护人同意的情况下使用本服务。

本政策的变更

重要变更将提前通知。通知后继续使用即视为同意变更。

联系

有关个人信息处理的咨询,请联系:connectechceomatsui@gmail.com。仅提供聊天支持,目标在三个工作日内回复。

附录A|数据处理协议(DPA)条款

A-1. 角色

客户为控制者;本公司为处理者,依据客户指示处理用户数据。

A-2. 目的与范围

  • 目的:提供 siftbeam、创建/改进模型、输出生成、维护支持、安全、计费。
  • 涉及数据:客户提交的个人数据(可能包含姓名、标识、联系方式、属性、日志等)。
  • 数据主体:客户的客户、用户、员工等。

A-3. 处理者义务

  • 仅按客户书面(含电子)指示进行处理。
  • 确保保密。
  • 维持适当的技术和组织安全措施。
  • 如直接收到数据主体请求,及时转交客户并予以配合。
  • 发生泄露等事件时,不得无故延迟地通知客户并配合整改。
  • 在适当保密/安全约束下,配合客户的合理审计/问责要求。
  • 处理结束时,按客户选择删除或返还个人数据(法律要求保存的除外)。

A-4. 分处理者

  • 现有分处理者:AWS(基础设施)、Stripe(支付)。
  • 除上述以外的分处理需事先获得客户许可;如确需替换,将确保同等或更高的保护并提前通知。
  • 对所有分处理者施加与本 DPA 等同的义务。

A-5. 跨境传输

在日本境外处理时,将依据适用法律实施必要的保障(例如合同条款、法定通知)。

A-6. 保存与删除

依据客户指示或合同终止,在合理期限内删除或返还个人数据;备份将安全覆盖/擦除。

A-7. 审计与报告

客户可在合理通知与范围内进行审计(如文档审核);本公司将配合提供必要信息。

A-8. 责任

双方责任分配依《使用条款》及本 DPA 执行。因故意或重大过失(如违反安全义务)造成的损害,责任按《使用条款》限制承担。

A-9. 学习使用指示

客户可在账户或特定文件层级指定是否允许用于学习;本公司将遵循该指示。

附录B|跨境传输条款(SCC/英国/瑞士)

B-1. 适用性

对于来自 EU/EEA 的传输,采用 SCC(2021/914)。

模块:控制者→处理者(模块2)、处理者→处理者(模块3),视需要适用。

英国适用 UK IDTA 或 UK SCC 附件;瑞士适用 FDPIC 附件。

B-2. 关键选择(SCC 文本指定)

  • 条款 7(扩展条款):适用。
  • 条款 9(分处理者):一般授权;当前分处理者(AWS、Stripe)。新增/变更原则上提前约15日通知。
  • 条款 11(申诉):不适用(受法律约束)。
  • 条款 17(适用法律):爱尔兰法。
  • 条款 18(司法管辖):爱尔兰法院。

B-3. 监管机构

拟定的主监管机构为爱尔兰 DPC(数据保护委员会),如另有约定从其。

B-4. 附件 I(传输详情)

  • 当事方:数据输出方(客户)、数据输入方(本公司)。
  • 数据主体:客户的客户、终端用户、员工等。
  • 数据类别:标识、联系方式、行为日志、交易、指示/元数据等(依客户指示)。
  • 特殊类别:原则上不预计;如涉及需事先约定。
  • 目的:提供 siftbeam、创建/改进模型(可选择退出)、维护与安全、计费、支持。
  • 保留期限:至目的达成为止;合同结束后删除/返还(法定保存除外)。
  • 发送频率:持续/不定期。

B-5. 附件 II(技术与组织措施概览)

  • 访问控制(最小权限、多因素认证、职责分离)
  • 数据加密(传输TLS、静态AES-256)
  • 密钥管理(轮换、KMS)
  • 日志/审计(防篡改、告警)
  • 研发/运维(安全SDLC、漏洞管理、依赖监控)
  • 可用性(备份、区域内冗余、灾备)
  • 供应商管理(分处理者评估/合同)
  • 数据主体权利流程
  • 事件响应(检测、遏制、根因分析、通知)

B-6. 附件 III(分处理者)

  • AWS(基础设施/托管,主要东京区域)
  • Stripe(支付)
  • 如需新增,将提前通知并施加等同或更严格的保护措施。

B-7. 政府请求

在法律不禁止的范围内,及时通知数据输出方;审查请求合法性并尽量缩小范围;可提供透明度报告。

B-8. 传输影响评估(TIA)

必要时,本公司将合理配合数据输出方进行 TIA,并提供相关信息。

附录C|美国州法附加条款(CCPA/CPRA 等)

C-1. 角色与目的限制

本公司作为“服务提供者/处理者”,仅为客户的业务目的处理个人信息。

C-2. 禁止出售/共享

本公司不“出售”或“共享”个人信息(包括跨场景行为广告)。

C-3. 禁止二次使用

不将个人信息用于本公司的独立目的(法律允许的统计/匿名化除外)。

C-4. 安全

维持合理安全措施,发生侵害时通知并协助客户。

C-5. 消费者权利协作

合理配合处理访问、删除、纠正与退出等请求;在适用场景中尊重 GPC(全球隐私控制)信号。

C-6. 分处理者

向分处理者传递等同义务并对变更提供合理通知。

C-7. 记录与审计

保存 CCPA/CPRA 合规所需记录,并合理配合客户审计。

2025年11月9日
Connect Tech Inc.
日本静冈县滨松市中央区和合町315-1485 迪亚斯和合202号
松井一晃
connectechceomatsui@gmail.com