限时 · 同款 GPT 0.5折、Claude 3折
OmniaKey
登录

隐私政策

生效日期: 2026-05-01 · 最后更新: 2026-05-30

我们尊重您的隐私。本隐私政策说明 OmniaKey 收集什么数据、为何收集、 如何使用,以及您对这些数据的权利。

本政策适用于 OmniaKey 的所有访问者,不论所在地区。如果您所在司法管辖区 的法律——包括但不限于 GDPR(欧盟 / 英国)、CCPA / CPRA(加州及美国其他类似州法)、 LGPD(巴西)、PIPL(中国)——赋予您比下文更强的权利,那些更强的权利自动适用。 发邮件至 [email protected] 以行使所在国家特有的权利。本服务不向中国大陆用户提供,我们也不定向中国大陆 市场(详见服务条款)。OmniaKey 托管在中国大陆境外; 若仍从中国大陆访问,所涉个人信息的跨境传输属偶发性的,并非我们主动招徕。

1. 我们收集的信息

账户信息

  • 邮箱地址——用于登录、事务邮件和账户恢复。
  • 名字——用于个性化和邮件称呼。
  • 头像(若通过 Google/GitHub 登录)——显示在你的账户界面。
  • 密码哈希(若使用邮箱密码登录)——永不以明文存储或传输。
  • 首选语言——用于显示正确的语言。

使用信息

  • IP 地址——用于反欺诈、限流和安全审计日志。
  • User Agent——用于渲染正确的体验和排查问题。
  • 会话活动——登录时间、最后访问时间戳。

支付信息

支付由 Stripe 处理。我们绝不查看或存储您的完整卡号、CVV 或银行详情。 Stripe 只发送给我们:

  • 客户 ID 和订阅/订单 ID
  • 每笔付款的金额、币种和状态
  • 卡号末四位(可选,用于发票显示)

邮件订阅(可选)

若您订阅了我们的 newsletter,您的邮箱地址将仅用于投递目的与我们的邮件服务商 (当前为 Resend)共享。您可以从我们发送的任何邮件中随时退订。

2. 我们如何使用数据

  • 提供服务——认证、支付、内容投递。
  • 沟通——收据、密码重置、重要产品更新,以及(如订阅)newsletter。
  • 改进产品——聚合使用分析。个人数据绝不出售或与第三方广告商共享。
  • 合规——税务记录、反欺诈,以及法律要求的合法披露。

根据 GDPR 和类似法律,每一种使用个人数据的方式都需要法律依据。下面是我们各类处理活动 与 GDPR 第 6 条的依据映射:

  • 合同履行——创建并运营您的账户(登录、设置、语言)、 发送事务邮件 (收据、密码重置、重要产品更新)、通过 Stripe 处理支付。
  • 合法权益——安全审计日志(IP、User Agent、会话活动)、 反欺诈与反滥用、 以及聚合的无 cookie 产品分析(Vercel Analytics)。 我们会权衡这些权益与您的隐私,仅处理 维持服务安全可靠所必要的内容。
  • 同意——newsletter 订阅、营销或推广邮件,以及可选的分析 / 营销 cookie (Google Analytics、Microsoft Clarity、affiliate 推广跟踪)。 您可以随时撤回任何同意——见下 方"您的隐私选择"。
  • 法律义务——保留发票和税务记录、遵守反欺诈法规、 以及响应法院和监管机构 的合法请求。

在适用其他或不同依据的司法辖区(例如 LGPD 第 7 条第 X 款的"合法权益"、 PIPL 的"为合同履行所必需"),我们遵循当地相应的等价依据。

4. 数据共享

我们仅与运营产品所用的第三方服务共享数据:

  • Stripe——支付处理。
  • Resend——事务邮件和营销邮件投递。
  • Vercel——托管,以及 Vercel Analytics(聚合流量数据,无 cookie)。
  • Google / GitHub——仅当您通过 OAuth 登录时;我们仅接收最少的资料字段。
  • Google Analytics 4(Google LLC)——仅在您同意分析 cookie 后启用。 接收匿名化的页面浏览、会话事件和聚合参与度指标。
  • Microsoft Clarity(Microsoft Corporation)——仅在您同意分析 cookie 后启用。接收匿名化的会话回放和热力图交互数据。
  • Cloudflare——DNS、CDN、反机器人挑战(Turnstile)。接收标准请求 元数据(IP、headers),用于流量投递和安全。

我们绝不出售您的个人数据。我们不与广告商或数据经纪商共享数据。

我们的服务商主要位于美国欧盟。 国际传输依赖§7 国际数据传输中描述的保障机制。

敏感个人信息。OmniaKey 不出售或共享 CCPA / CPRA 定义的"敏感个人信息",过去 12 个月内 也未发生此类共享。我们不收集生物识别数据、政府签发证件、精确地理位置或其他敏感类别。

5. 您的权利

您有权:

  • 访问——请求获取我们持有的关于您的所有数据副本。
  • 更正——通过设置页面更新不准确的信息。
  • 删除——从设置页关闭账户;我们将在 30 天内删除您的数据, 除非法律要求保留(如税务记录,按多数司法管辖区为 7 年)。
  • 导出——以机器可读格式请求您的数据。
  • 反对——随时退出任何非必要的数据处理。
  • 限制处理——在请求处理期间暂停我们对您数据的使用。
  • 撤回同意——对任何基于同意的处理,自撤回时刻起生效(撤回前的处理 仍合法)。
  • 免受歧视——行使任何上述权利不会影响您所获服务的价格或质量。

如需行使任何权利,请发邮件至 [email protected]

身份验证

在执行您的请求之前,我们可能需要验证请求确实来自您本人。如果请求从您账户绑定的 邮箱发出,通常即可;否则我们可能要求您确认我们已持有的某些细节(例如近期一笔交易 的日期)。我们仅询问验证身份所必需的信息,绝不索取敏感类别的数据。

授权代理(CCPA / CPRA)

根据 CCPA / CPRA,您可以以书面方式或通过授权委托书指定授权代理代您提交请求。 我们仍可能直接验证您的身份并确认代理的授权后再执行请求。

申诉权

如果我们驳回您的请求,或您对处理结果不满意,您有权申诉。 发邮件至 [email protected], 标题写"Privacy Appeal"。您也可以向当地数据保护监管机构投诉,例如:

  • 欧盟居民——您所在成员国的 DPA,或爱尔兰数据保护委员会(许多跨境 案件的 lead authority)。
  • 英国居民——信息专员办公室(ICO)。
  • 加州居民——加州隐私保护局(CPPA)或加州总检察长。
  • 巴西居民——国家数据保护局(ANPD)。
  • 中国居民——国家互联网信息办公室(CAC)。

Global Privacy Control(GPC)

我们尊重 Global Privacy Control 退出信号。当您的浏览器发送 Sec-GPC: 1(Brave、DuckDuckGo Privacy Browser、Firefox + GPC 扩展等)时, 我们会自动让您退出可选的 分析和营销 cookie——无需您在 banner 上交互。 这是加州 CPRA 强制要求的通用退出机制,并被 Microsoft、Mozilla 等承认为业界共识信号。

6. 数据保留

只要您的账户处于活跃状态,我们会保留账户数据。账户删除后,我们将在 30 天内删除 个人数据,但法律要求的记录(发票、税务数据)按当地法律保留(通常为 7 年)。 保留期遵循 GDPR 的"存储限制原则"——数据保留时间不超过收集目的所需。

7. 国际数据传输

我们用于运营 OmniaKey 的若干第三方总部位于美国,包括 Stripe、Resend、 Google (Analytics)、Microsoft(Clarity)、Vercel 和 Cloudflare。当数据从您所在国家流向 他们所在国家时,我们依据下列一项或多项法律机制:

  • 充分性认定(Adequacy decisions)——针对欧委会、英国 ICO 或同级监管 机构正式认定为提供"充分保护水平"的国家间传输。
  • 欧美数据隐私框架(EU-U.S. DPF)及其英国扩展——针对在 DPF 下注册认证 的美国接收方。Stripe、Google LLC、Microsoft Corporation、Vercel、Cloudflare 均已 DPF 认证。
  • 欧盟标准合同条款(SCCs)、英国国际数据传输附录, 以及 LGPD、PIPL 和其他地区法律下的等价传输工具——用于其他未被前两项覆盖的传输。

这些是 Stripe、Microsoft 等"对齐 Schrems II 判决"的数据出口方所使用的同款机制。 如果某项 传输的法律基础发生变化(例如 DPF 被法院裁定无效),我们会同时更新本政策 与底层数据处理 协议。

8. Cookie

我们的 cookie 分三类。第一类是站点运行必需的;后两类是可选的,只有您在 cookie banner 上明确同意后才会设置。您可以随时通过页脚的 Cookie 偏好 重新选择。

必需(始终启用)

  • Better Auth 会话——保持您的登录状态。
  • CSRF token——防御跨站请求伪造。
  • Stripe checkout 会话——支付流程必需。
  • Cloudflare Turnstile——注册/重置/订阅表单的反机器人验证。
  • NEXT_LOCALE——记住您的语言选择。
  • vbs_consent——存储您自己的 cookie 偏好。

分析(需要同意)

只有您在 cookie banner 上点 接受 后才会设置。用于了解流量趋势和 用户在哪一步流失——聚合数据,不会关联到您本人。

  • Google Analytics 4——_ga(客户端 ID,保留 2 年)、_ga_<measurement_id>(会话状态,保留 2 年)。由 Google LLC 运营; 数据可能传输至美国。
  • Microsoft Clarity——_clck(用户 ID,保留 1 年)、_clsk(会话,保留 1 天)、MUID(Microsoft 跨站 ID,保留 13 个月)。由 Microsoft Corporation 运营。

营销(需要同意)

  • vbs_ref——Affiliate 推广跟踪。仅当您通过推荐链接进入、且您已同意时 才设置。保留 60 天。

如果您后续撤回了分析或营销同意,我们会在下一次页面加载时清除已经设置的对应 cookie。

9. 儿童隐私

OmniaKey 不面向 16 岁以下儿童。我们不会有意收集儿童数据。 若您发现儿童向我们提供了个人信息,请联系我们以便删除。 (在 COPPA-13 或当地等效法规规定不同年龄上限的司法辖区,以当地规则为准。)

10. 政策变更

重大变更将通过 changelog 公告并发邮件给活跃客户。顶部的"最后更新"日期反映最近一次修订。

11. 您的隐私选择

无论您身在何处,都可以随时拒绝可选的分析和营销 cookie。退出方式对所有访问者一致:

  • 在 cookie banner 上点 全部拒绝,或
  • 打开页脚的 Cookie 偏好 关闭你不接受的类别,或
  • 发邮件至 [email protected], 标题写"Privacy Choices",或
  • 让浏览器发送 Sec-GPC: 1 头部——见上文 §5 的 Global Privacy Control。我们会自动视为退出。

OmniaKey 不为广告目的出售或共享您的个人信息—— 我们不会将其传递给广告网络、数据经纪商或第三方用于他们自己的营销。可选的分析 cookie (Google Analytics、Microsoft Clarity)涉及跨上下文数据流——加州 CCPA / CPRA 将其归类为"共享",GDPR 将其视为需要同意的处理——所以它们都需要明确同意才会启用。

各地区具名权利。法律所称的 "Do Not Sell My Personal Information" 权利(加州 CCPA / CPRA)、GDPR 第 21 条反对权(欧盟 / 英国)、LGPD 反对处理权(巴西)、 PIPL 拒绝处理权(中国),以及澳大利亚、日本、韩国、加拿大、瑞士、新加坡法律下的对等 权利,均通过上述步骤行使。各国监管机构和阈值条件性措施详见 §12 司法区具体规定

退出不影响您在站点上能做的任何事——分析开关与否,站点功能完全一样。

12. 司法区具体规定

隐私法因地区而异。下面列出本政策与最可能适用于我们用户的隐私法的对应关系。 如果您所在地区的法律赋予比此处更强的权利,那些更强权利自动适用(见开头说明)。

欧洲经济区(EEA)/ 英国

适用 GDPR(英国居民为 UK GDPR)。法律依据见 §3,跨境传输保障见 §7。 如需行使权利, 发邮件至 [email protected];如需投诉,联系您所在成员国的数据保护机构、爱尔兰数据保护委员会(许多跨境案件 的 lead authority)或英国信息专员办公室(ICO)。OmniaKey 依据 GDPR 第 27 条的"偶然处理"豁免暂未指定欧盟代表;如我们对欧盟个人数据的处理不再属于偶然, 我们将按法律要求指定欧盟代表。

美国

加州:适用 CCPA / CPRA——见 §5(Authorized agent、申诉权、Global Privacy Control) 和 §11(退出"出售"/"共享")。其他制定了综合隐私法的美国州(弗吉尼亚 VCDPA、 科罗拉多 CPA、康涅狄格 CTDPA、犹他 UCPA、得克萨斯 TDPSA、俄勒冈 OCPA、 蒙大拿 MCDPA 等)赋予的权利与加州对等,我们一视同仁地履行。如需投诉,联系加州隐私 保护局(CPPA)、加州总检察长,或您所在州的总检察长。

巴西

适用《通用数据保护法》(LGPD)。如需行使权利,发邮件至 [email protected];监管机构为国家数据保护局(ANPD)。

中国大陆

OmniaKey 不向中国大陆用户提供本服务,也不定向中国大陆市场。OmniaKey 托管于中国大陆境外;若仍从中国大陆访问,所涉个人信息的跨境传输属偶发性的, 并非我们主动招徕。如《个人信息保护法》(PIPL)基于域外效力仍然适用,监管机构为 国家互联网信息办公室(CAC),你可通过上述联系方式行使 PIPL 项下的权利。

加拿大

适用联邦《个人信息保护和电子文件法》(PIPEDA)。如需行使权利,发邮件至 [email protected],或联系加拿大隐私专员办公室(OPC)。如您居住在魁北克,《私营部门个人信息 保护法》(经魁北克 64 号法案 / Law 25 修订)也适用;魁北克居民可联系信息访问 委员会(CAI)。当 OmniaKey 处理魁北克居民数据达到要求规模时,我们将 指定一位可被魁北克居民联系到的具名隐私官。

澳大利亚

适用《1988 年隐私法》(Privacy Act 1988)和《澳大利亚隐私原则》(APPs)。 我们遵守 APPs 1–13(公开透明的管理、匿名 / 化名、收集主动提供的个人信息、 告知、使用与披露、直接营销、有同意的跨境披露、政府标识符、质量、安全、 访问、更正)。如需行使权利,发邮件至 [email protected];可向澳大利亚信息专员办公室(OAIC)提出投诉。

日本

适用《个人信息保护法》(APPI / 個人情報保護法)。如需行使权利,发邮件至 [email protected];监管机构为个人信息保护委员会(PPC / 個人情報保護委員会)。跨境传输仅向 PPC 认定为提供等价保护的国家发生,或以 PPC 要求的等价合同保障为依据。

韩国

适用《个人信息保护法》(PIPA)。如需行使权利,发邮件至 [email protected];监管机构为个人信息保护委员会(PIPC)。如 OmniaKey 的处理跨过 PIPA 第 31-2 条门槛(通常为 100 万以上韩国用户或 100 亿韩元以上韩国相关年营收), 我们将按法律要求指定境内代表。

瑞士

适用经修订的《联邦数据保护法》(FADP / nFADP,2023 年 9 月起施行)。 如需行使 权利,发邮件至 [email protected];监管机构为联邦数据保护和信息专员(FDPIC)。向美国的传输依据"瑞士 - 美国 数据隐私框架"(接收方已认证),或为瑞士改造的标准合同条款。

新加坡

适用《2012 年个人数据保护法》(PDPA)。如需行使权利,发邮件至 [email protected];监管机构为个人数据保护委员会(PDPC)。我们以同意为处理的法律依据,并在 PDPA 允许的情况下使用"推定同意"(deemed consent)。

13. 联系

有隐私问题?发邮件至 [email protected]

隐私政策 · OmniaKey