隐私政策

我们收集以下类型的数据： 账户信息：注册时提供的姓名、电子邮箱、密码（加密存储）。 使用数据：您在平台上的操作记录、功能使用频率、页面访问日志。 设备信息：浏览器类型、操作系统、IP 地址、设备标识符。 支付信息：通过 Stripe 处理的支付卡信息（我们不直接存储完整卡号）。 业务数据：您上传的联系人列表、邮件内容、自动化工作流配置等。

我们收集和使用您的数据用于以下目的： - 提供、维护和改进平台服务 - 处理您的订阅和支付 - 发送与服务相关的通知（如系统更新、安全警报） - 个性化您的使用体验 - 进行数据分析以改善产品 - 防范欺诈和保障平台安全 - 遵守法律义务

我们基于以下法律依据处理您的个人数据： 合同履行：为提供您订购的服务而必须处理的数据。 合法利益：改善服务、防范欺诈、确保平台安全。 同意：在您明确同意的情况下发送营销信息。您可以随时撤回同意。 法律义务：遵守税务、审计及其他法律法规要求。

我们不会出售您的个人数据。仅在以下情况下与第三方共享： 服务提供商：Stripe（支付处理）、Resend（邮件发送）、Cloudflare（托管与安全）、Supabase（数据库）。这些提供商均签署了数据处理协议。 法律要求：应执法机构或监管机构的合法要求。 业务转让：在合并、收购或资产出售的情况下，您的数据可能作为业务资产的一部分转让。我们将提前通知您并确保隐私保护不变。

我们使用以下类型的 Cookie： 必要 Cookie：维持会话状态、安全认证，无法禁用。 功能 Cookie：记住您的偏好设置（如语言、时区）。 分析 Cookie：了解平台使用情况以改进产品体验（匿名化处理）。 我们不使用第三方广告追踪 Cookie。您可以通过浏览器设置管理 Cookie 偏好。

我们采用业界标准的安全措施保护您的数据： - 所有数据传输使用 TLS 1.3 加密 - 数据库使用 AES-256 静态加密 - 密码使用 bcrypt 进行不可逆哈希处理 - API 密钥使用 SHA-256 哈希存储 - 实施行级安全策略（RLS），确保多租户数据隔离 - 定期进行安全审计和漏洞扫描 - 应用防火墙（WAF）和 DDoS 防护

我们根据以下规则保留您的数据： 活跃账户数据：在您的账户处于活跃状态期间持续保留。 已注销账户：注销后 30 天内永久删除所有个人数据。 邮件发送日志：保留 90 天，用于排查送达问题。 支付记录：根据税务法规保留 7 年。 审计日志：保留 1 年，用于安全和合规目的。 您可以随时请求提前删除您的数据。

根据 GDPR 及适用的隐私法规，您享有以下权利： 访问权：请求获取我们持有的您的个人数据副本。 更正权：要求更正不准确的个人数据。 删除权：请求删除您的个人数据（"被遗忘权"）。 导出权：以结构化、机器可读的格式导出您的数据。 限制处理权：在特定情况下限制我们处理您的数据。 反对权：反对基于合法利益的数据处理。 撤回同意权：随时撤回您之前给予的同意。 行使以上权利，请发送邮件至 privacy@oacs.io，我们将在 30 天内回复。

本平台不面向 16 岁以下的用户。我们不会有意收集 16 岁以下儿童的个人信息。如果我们发现已收集了儿童的数据，将立即删除。 如果您是家长或监护人，发现您的孩子向我们提供了个人信息，请联系 privacy@oacs.io，我们将采取措施删除相关数据。

您的数据可能被传输至并存储在您所在国家/地区以外的服务器上。我们的基础设施主要部署在以下区域： - 数据库：新加坡（Supabase） - CDN 和边缘计算：全球（Cloudflare） - 支付处理：美国（Stripe） 跨境数据传输时，我们通过以下机制确保您的数据得到同等保护： - 标准合同条款（SCC） - 数据处理协议（DPA） - 遵守目的地国家/地区的隐私法规

我们可能会不定期更新本隐私政策。更新时，我们将： - 在平台内发送通知 - 通过邮件告知您重大变更 - 更新本页面顶部的"生效日期" 重大变更将提前 30 天通知。我们建议您定期查阅本政策以了解最新信息。

如您对本隐私政策有任何疑问，或希望行使您的数据权利，请通过以下方式联系我们： 隐私事务邮箱：privacy@oacs.io 法务邮箱：legal@oacs.io 网站：https://oacs.io 数据保护官（DPO）将在收到您的请求后 5 个工作日内回复。