一、引言

本隐私政策依据《通用数据保护条例》（GDPR）及《中华人民共和国网络安全法》《信息安全技术 网络数据分类分级要求》（GB/T 38667-2020）制定，适用于平台所有用户数据处理活动。

二、数据收集与处理

2.1 数据收集范围

● 用户主动提交信息：
- 注册信息（用户名、手机号）
- 交易信息（订单号、支付方式）
● 设备信息：
- IP地址、设备标识符
- 浏览器类型及版本

2.2 数据处理原则

1. 合法性基础：
● 明确同意（GDPR Article 6(1)(a)）
● 履行合同义务（GDPR Article 6(1)(b)）
2. 数据最小化：
● 仅收集业务必需数据
● 不存储生物识别信息

三、数据主体权利

3.1 访问与更正

用户可通过登录账户：
● 查看个人数据（GDPR Article 15）
● 更正不准确信息（GDPR Article 16）

3.2 数据可携权

支持CSV格式导出：
● 过去12个月交易记录
● 账户基础信息

3.3 删除权

收到有效请求后：
● 30日内删除账户关联数据（GDPR Article 17）
● 同步通知第三方共享方

四、数据共享与跨境传输

4.1 第三方共享

仅在以下场景共享数据：
● 支付服务（支付宝、微信支付）
● 物流配送（菜鸟网络）
● 严格遵循GDPR Article 46标准合同条款

4.2 跨境传输

● 通过安全评估（中国《数据出境安全评估办法》）
● 采用标准合同条款（SCCs）
● 数据加密传输（AES-256）

五、安全保障措施

5.1 技术防护

1. 数据存储：
● 加密存储（TLS 1.3传输加密）
● 分离存储敏感字段（哈希处理）

5.2 访问控制

1. 权限分级：
● RBAC角色访问控制
● 操作日志留存180天

5.3 应急响应

1. 数据泄露处置：
● 72小时内向监管机构报告（GDPR Article 33）
● 受影响用户通知（中国《网络安全法》第42条）

六、未成年人保护

● 禁止收集14岁以下儿童信息
● 16岁以下用户需监护人二次确认（GDPR Article 8）

七、合规性认证

1. ISO/IEC 27001信息安全管理体系认证
2. 国家等保三级认证（GB/T 22239-2019）
3. GDPR合规性自评估（EDPB指南）

八、政策更新

本政策依据法律变化动态调整，最新版本发布于官网隐私中心。