隐私政策
您的隐私对我们至关重要。本政策说明 CrawlForge 如何收集、使用和保护您的个人信息。
最后更新:December 2025
快速导航
1. 我们收集的信息
账户信息
- •电子邮件地址(账户创建和身份验证所必需)
- •姓名(可选,用于个性化设置)
- •密码(使用行业标准的 bcrypt 哈希算法加密)
- •账户偏好和设置
使用数据
- •API 请求和响应(工具使用情况、调用的端点、参数)
- •credits 消耗和余额历史记录
- •身份验证日志(登录时间、IP 地址、设备信息)
- •性能指标(响应时间、错误率、成功率)
- •浏览器和设备信息(用户代理、屏幕分辨率、操作系统)
- •会话数据(时长、访问的页面、使用的功能)
支付信息
- •支付处理完全由我们符合 PCI-DSS 标准的支付处理商 Stripe 负责
- •我们仅存储您卡号的后 4 位数字和卡片品牌,用于显示用途
- •完整的支付详情(卡号、CVV、有效期)绝不会存储在我们的服务器上
- •用于账单管理的 Stripe Customer ID 和 Subscription ID
- •购买历史和发票记录
自动收集的信息
- •Cookie 及类似的跟踪技术(详情请参阅我们的 Cookie 政策)
- •日志数据(IP 地址、浏览器类型、来源/退出页面、时间戳)
- •欺诈防范数据(设备指纹识别、风险评分、速率限制元数据)
- •用于调试和服务改进的错误及诊断信息
2. 我们如何使用您的信息
服务交付
- •对您的账户进行身份验证并维持安全会话
- •处理 API 请求并返回抓取结果
- •管理您的 credits 余额、订阅和账单
- •发送与服务相关的电子邮件(账户验证、密码重置、账单通知)
- •提供客户支持并回复您的咨询
服务改进
- •分析使用模式以优化工具的性能和可靠性
- •识别并修复缺陷、错误和性能瓶颈
- •根据用户需求开发新功能和工具
- •进行 A/B 测试和实验以改善用户体验
- •监控服务的健康状况和正常运行时间(99.9% SLA 保证)
安全与欺诈防范
- •检测并防范欺诈活动、滥用行为和未经授权的访问
- •实施速率限制和使用配额以确保公平使用
- •防范 DDoS 攻击、撞库攻击和其他安全威胁
- •遵守法律义务并执行我们的服务条款
通讯
- •发送交易类电子邮件(购买确认、credits 余额提醒、API 密钥生成)
- •通知您重要的服务更新、新功能或重大变更
- •回复支持请求并提供技术协助
- •发送营销通讯(仅在您明确同意的情况下,并可随时退订)
3. 我们如何共享您的信息
我们不出售您的数据
- •CrawlForge 绝不会为营销目的向第三方出售、出租或交易您的个人信息
- •您的数据归您所有,我们尊重您的隐私
第三方服务提供商
- •Stripe(支付处理,已通过 PCI-DSS Level 1 认证)——处理付款并管理订阅
- •Neon Database(PostgreSQL 托管)——将用户数据、API 密钥和使用日志存储于加密数据库中
- •Upstash Redis(缓存和会话管理)——存储临时会话数据和速率限制元数据
- •Vercel(托管和基础设施)——以企业级安全标准托管我们的应用程序
- •Sentry(错误监控)——收集匿名化的错误报告用于调试(个人数据已被清除)
- •PostHog(分析)——跟踪匿名化的使用模式以改进产品(符合 GDPR)
法律要求
- •在法律、法院命令或政府法规要求的情况下,我们可能会披露您的信息
- •为保护我们的权利、财产或安全,或保护我们的用户或公众的权利、财产或安全
- •在合并、收购或资产出售相关情形下(将提前通知用户)
经您同意
- •在您明确授权我们的情况下,我们可能会与第三方共享信息
- •例如,与您选择连接的第三方工具或服务进行集成
4. 数据保留
活跃账户
- •只要您的账户处于活跃状态,账户数据即予以保留
- •使用日志将保留 12 个月,用于账单、分析和支持用途
- •支付记录将保留 7 年,以遵守税务和会计法规
已删除账户
- •当您删除账户时,我们将在 30 天内永久删除您的个人信息
- •匿名化的使用数据可能会被保留,用于分析和服务改进
- •支付记录将予以保留以遵守法律和税务合规要求(不可识别身份的数据)
- •备份系统可能会保留数据最长达 90 天,用于灾难恢复目的
安全日志
- •身份验证日志将保留 90 天,用于安全和欺诈防范
- •错误日志将保留 30 天,用于调试和服务改进
- •匿名化的性能指标可能会无限期保留
5. 您的权利(GDPR 和 CCPA)
访问与可携带性
- •请求获取我们持有的有关您的全部个人数据副本
- •以机器可读格式(JSON 或 CSV)导出您的数据
- •从仪表板访问您的使用历史、API 日志和账单记录
更正与更新
- •随时在设置页面更新您的账户信息
- •更正不准确或不完整的个人数据
- •修改您的通讯偏好和电子邮件设置
删除(被遗忘权)
- •删除您的账户及所有相关的个人数据
- •请求删除特定类别的数据
- •在保留账户的同时退订营销通讯
限制与反对
- •限制我们处理您数据的方式(例如,反对接收营销邮件)
- •反对自动化决策或画像分析(我们不会将其用于关键决策)
- •随时撤回您对基于同意的数据处理所作的同意
如何行使您的权利
- •通过 support@crawlforge.dev 向我们发送电子邮件提出请求
- •我们将在 30 天内回复(GDPR 要求)
- •加利福尼亚州居民可请求获取与第三方共享的数据副本(CCPA 要求)
6. 安全措施
数据保护
- •所有传输中的数据均使用 TLS 1.3(HTTPS)加密
- •密码使用 bcrypt 并采用行业标准的加盐轮数进行哈希处理
- •API 密钥使用 HMAC-SHA256 进行哈希处理,绝不以明文形式存储
- •数据库连接均经过加密,访问权限仅限于经授权的服务
- •会话令牌使用具有较短有效期(15 分钟)的 JWT 及安全的刷新令牌
基础设施安全
- •托管于 Vercel,具备企业级 DDoS 防护和 WAF(Web 应用防火墙)
- •数据库备份均经过加密并存储于多个地理区域
- •定期进行安全审计和渗透测试
- •自动化漏洞扫描和依赖项更新
- •通过 Sentry 进行 7×24 小时监控的事件响应计划
访问控制
- •面向内部团队成员的基于角色的访问控制(RBAC)
- •用户账户可使用多因素身份验证(MFA)
- •对所有服务账户和集成采用最小权限原则
- •定期进行访问审查和权限审计
数据泄露响应
- •如发生数据泄露,我们将在 72 小时内通知受影响的用户(GDPR 要求)
- •我们将提供有关泄露性质、受影响数据及补救措施的详情
- •我们制定了全面的事件响应计划并定期对其进行测试
7. 数据的国际传输
数据存储位置
- •我们的主要基础设施托管于美国(Vercel、Neon、Upstash)
- •数据可能会被传输至您所在司法管辖区以外的国家并在当地进行处理
- •我们采用标准合同条款(SCCs)进行符合 GDPR 规定的国际传输
- •所有第三方处理方均已通过 GDPR 和 CCPA 合规性审查
8. 儿童隐私
年龄限制
- •CrawlForge 不面向未满 18 周岁的用户
- •我们不会有意收集儿童的个人信息
- •若我们发现儿童提供了个人信息,将立即予以删除
- •如父母或监护人认为其子女提供了信息,请与我们联系
9. 本政策的变更
政策更新
- •我们可能会不时更新本隐私政策,以反映我们做法或法律要求的变化
- •对于重大变更,我们将通过电子邮件或在我们网站上发布显著通知告知您
- •在变更后继续使用 CrawlForge 即表示接受更新后的政策
- •本政策的先前版本可应请求提供
10. 联系我们
隐私相关问题
- •电子邮件:support@crawlforge.dev
- •主题行:填写“隐私政策咨询”以获得更快的回复
- •回复时间:一般问题在 48 小时内回复,GDPR/CCPA 请求在 30 天内回复
数据保护官(DPO)
- •对于 GDPR 相关咨询,您可通过 support@crawlforge.dev 联系我们的数据保护官
- •请在主题行中注明“ATTN: DPO”
监管机构
- •欧盟居民有权向其当地数据保护机构提出投诉
- •加利福尼亚州居民可就 CCPA 投诉联系加利福尼亚州总检察长办公室