我们是谁
Cliny Pet 是一项由 AI 辅助的多语言宠物兽医分诊服务。我们帮助宠物主人判断是否——以及多么 紧急地——需要咨询持证兽医。我们不是兽医,不提供医疗诊断,也不开具药物。本隐私声明说明 当您使用 Cliny Pet 时我们处理哪些数据,以及我们如何确保其安全。
我们收集哪些数据
我们处理以下类别的个人数据:
- 账户数据——电子邮件地址、经过哈希处理的密码、语言偏好、居住国家、账户创建时间戳。
- 宠物档案——宠物名称、物种、品种、年龄、性别、绝育状态、体重、慢性疾病、当前用药以及 可选的头像。
- 照片和对话内容——您在每次分诊会话中上传的宠物图片,以及您撰写的自由文本症状描述。
- 分诊结果——每次会话返回的结构化 AI 评估(紧急程度、观察结果、建议措施)。
- 付款元数据——订阅级别、计费周期,以及令牌化的 Stripe 客户标识符(Stripe 是我们面向 所有市场的唯一付款服务商)。我们不存储完整的卡号;令牌化的标识符由 Stripe 保存。
- 同意事件——每当您接受或更改 Cookie 或隐私偏好时,我们都会记录时间戳以及当时生效的 政策版本。
- 诊断日志——安全运行服务所需的最低限度服务器日志(请求时间戳、已脱敏的错误)。
您的数据存储在何处
Cliny Pet 在欧盟运营。您的数据托管在位于德国和法国的欧盟数据中心,我们的数据库和 备份始终保留在欧盟境内。您上传的照片保存在欧盟区域的图片存储中。
这种数据驻留态势有助于遵守欧盟《通用数据保护条例》(GDPR)。当 AI 处理需要向我们的模型 提供商发送经过脱敏的负载时,仅传输该次分诊会话所需的最少内容。
我们如何使用您的数据
我们仅将您的数据用于:
- 生成您主动请求的分诊评估。
- 维护您的账户和订阅。
- 以您所选区域设置的语言提供合适的用户界面文本。
- 发送必要的服务电子邮件(验证、计费收据、安全通知)。
- 通过错误监控提高服务可靠性(不会挖掘任何个人数据用于训练;见下文)。
我们不出售您的数据,不使用客户内容来训练第三方 AI 模型,也不在 Cliny Pet 服务上投放第三方广告。
您的权利(GDPR)
您有权:
- 访问我们保存的关于您的个人数据。
- 以可移植格式导出您的数据。
- 通过账户设置更正不准确的数据。
- 删除您的账户和个人数据(受下文所述有限法定保留期限的约束)。
- 在同意是法律依据时撤回同意。
- 在适用情况下反对处理或限制处理。
- 向主管数据保护监管机构提出投诉(GDPR 第 77 条;即您所在国家或地区当地的数据保护 机构)。
要行使上述任何权利,请通过下文”联系我们”中列出的渠道与我们联系。我们将在法律要求的时限内 回复(GDPR 第 12(3) 条规定为一个月)。
我们保留您的数据多久
- 活动账户: 在您的订阅处于活动状态期间。
- 已删除账户: 软删除三十天以允许恢复,然后从主存储中永久移除。
- 身份验证和安全事件: 在适用法律要求的期限内保留(通常出于安全调查目的最多六个月)。
- 同意记录和审计事件: 删除后在法定保留期内保留(依据
policy_version,因司法 管辖区而异)。 - 备份: 在删除日期之后,于相关存储提供商的滚动备份窗口内清除。
Cookie 与跟踪
Cliny Pet 仅将 Cookie 和类似技术用于:
- 基本运行——保持您登录状态所需的会话和身份验证 Cookie。
- 偏好记忆——语言和主题选择。
对于任何超出严格必要 Cookie 范围的内容,我们通过同等显著的 Cookie 横幅获得同意。您可以 随时通过页脚中的链接重新打开 Cookie 偏好面板。有关每个 Cookie 类别的详细说明,请参阅我们 的 Cookie 政策。
联系我们
要行使您的隐私权或就本政策提出问题,请通过 [email protected] 联系我们的数据保护 联系人。
您对数据的权利(GDPR)
根据欧盟《通用数据保护条例》(GDPR 第 12-22 条),您对我们保存的关于您的个人数据拥有一组 明确的权利。下表将每项权利与授予该权利的条款以及让您行使该权利的 Cliny Pet 产品界面 相对应:
| 权利 | GDPR | 行使方式 |
|---|---|---|
| 知情权 | 第 13 条 | 本政策 + 持久的页脚通知 |
| 访问权 | 第 15 条 | /settings/privacy → 导出我的数据 |
| 更正权 | 第 16 条 | /settings/account + [email protected] |
| 删除权("被遗忘权") | 第 17 条 | /settings/privacy → 删除我的账户 |
| 限制处理权 | 第 18 条 | [email protected](DSAR — 限制) |
| 数据可携权 | 第 20 条 | /settings/privacy → 导出我的数据 |
| 反对权 | 第 21 条 | [email protected](DSAR — 反对) |
| 不受自动化决策约束的权利 | 第 22 条 | [email protected](DSAR — 第 22 条) |
| 撤回同意权 | 第 7(3) 条 | 页脚"Cookie 偏好"链接 |
| 向数据保护机构投诉的权利 | 第 77 条 | 您所在国家或地区当地的数据保护机构 |
关于数据可携性的重要说明(GDPR 第 20 条): Cliny Pet 依据 GDPR 第 20 条 ("结构化、常用且机器可读的格式")向您提供数据可携性。您会收到一个 JSON + 图片 ZIP 包。
如何行使您的权利
应用内位于 /settings/privacy 的界面是行使 Cliny Pet 自动化的四项权利(访问、删除、
可携性、撤回同意)的主要渠道。对于其余权利(非自助字段的更正、限制、反对、第 22 条人工
干预请求),请发送电子邮件至 [email protected],注明您希望行使的权利。
响应时间: 我们将在收到完整请求后的 30 天内 回复,符合 GDPR 第 12(3) 条 (一个月)。由于账户删除由每日 cron 扫描完成,因此删除将在您最初请求后的 31 天 内完成(30 天软删除窗口加上至多 24 小时直到下一次 cron 触发)。软删除立即生效——在 您按下"删除"的那一刻,您的会话即被吊销,30 天窗口的存在仅是为了让您可以改变主意。
自动化处理(AI 分诊)
Cliny Pet 使用自动化处理(xAI Grok 视觉模型 + 确定性安全覆盖层)来提供宠物兽医分诊 建议。其输出(五级紧急程度评估,以及观察结果、可能原因、即时措施、警示信号和兽医建议)对 您有重大影响,因为它为一项在成本、时间和动物福利方面具有实际后果的决策提供依据。
AI 处理的法律依据: 我们依据明确同意(GDPR 第 22(2)(c) 条),该同意是在注册时 通过您接受我们的服务条款而给予的。服务条款逐字包含此第 22 条披露。
您专门针对 AI 分诊的权利:
- 人工干预——发送电子邮件至 [email protected],请求由人工审查您的分诊。我们将在 30 天内回复。
- 表达您的观点——您可以将关于分诊结果的附加背景发送至同一地址;这将成为我们与分诊结果 一并保存的审计记录的一部分。
- 质疑决策——您可以对紧急程度评估提出异议,或请求以更正后的背景重新运行。我们在 我们的博客提供有关分诊如何运作——以及其局限何在——的有意义信息。
- 安全覆盖——无论 AI 模型输出如何,Cliny Pet 都会针对六种有充分记录的兽医急症模式 (例如公猫尿道梗阻、深胸犬胃扩张扭转(GDV)、兔胃肠道淤滞)应用确定性安全覆盖。当检测到 其中任何一种模式时,紧急程度都会被强制提升为 EMERGENCY,而不论 AI 模型返回了什么。
次级处理者
Cliny Pet 仅依赖一小组次级处理者。处理最重要类别个人数据的两家供应商——我们的 AI 模型 提供商和付款服务商——在下方具名列出。每条目显示处理者的角色、用于任何受限欧盟传输的 SCC 模块,以及所处理的数据类别。当数据流仍保留在欧盟境内时,无需 SCC——这些行标记为 "欧盟驻留"。
| 处理者 | 角色 | SCC / 传输机制 | 处理的数据 |
|---|---|---|---|
| xAI | AI 模型提供商(Grok) | SCC 模块 2(依据第 17 条选项 1 的爱尔兰法律)——DPA 已存在;已签署的企业版附件 I+II 待 Counsel 取得 | 宠物档案背景 + 症状描述 + 经处理的图片(去除 EXIF 之后、调整尺寸之后) |
| Stripe | 付款(所有市场) | 通过 Stripe DPA 的 SCC 模块 2 | 国家 + 级别 + 令牌化付款引用 |
| 图片存储(欧盟区域) | 照片与导出文件的对象存储 | 欧盟驻留 | 宠物头像 + 分诊照片 + 导出 ZIP |
| 事务性电子邮件投递 | 服务电子邮件 | 通过服务商 DPA 的 SCC 模块 2 | 电子邮件地址 + 语言 + 电子邮件内容 |
除 xAI 和 Stripe 之外,我们还依赖少数面向欧盟的基础设施服务提供商,用于图片存储(欧盟 区域)、事务性电子邮件投递和错误监控。完整且最新的次级处理者清单——包括提供商名称——可通过 [email protected] 索取。
关于 xAI 的状态说明: xAI 发布了一份数据处理附录(DPA),将其作为受爱尔兰法律管辖 的 SCC 模块二下的处理者对待。普遍可用的 DPA 条款是公开的;带有已填写附件 I(处理范围) 和附件 II(技术与组织措施)的已签署企业版副本正在通过我们的企业联系渠道取得。DPA 确实 存在——这是一项文档完成事项,而非未缓解的缺口。
关于付款的状态说明: Stripe 是我们面向所有市场(包括土耳其)的唯一付款服务商。 我们绝不会接收或存储您的完整卡号——Stripe 在带外保存令牌化的付款引用。Stripe 会保留 交易记录以履行反洗钱(AML)和税务义务(请参阅下方的数据保留表)。
数据保留
| 数据类别 | 保留窗口 | 法律依据 |
|---|---|---|
| 活动账户数据 | 订阅有效期 | GDPR 第 6(1)(b) 条合同履行 |
| 软删除账户 | 30 天(之后硬删除级联) | 允许恢复;GDPR 第 17 条 |
| 宠物 + 分诊 + 线程数据 | 在 T+30 与账户一起硬删除 | GDPR 第 17 条 |
| 会话 + 刷新令牌 | 软删除时立即吊销;在 T+30 删除 | OWASP + GDPR 第 5(1)(c) 条数据最小化 |
audit_events(假名化) | 硬删除后 5 年 | GDPR 第 17(3)(e) 条法律主张抗辩 |
consent_events(假名化) | 硬删除后 5 年 | GDPR 第 7(1) 条同意证明 |
| 与违规相关的审计事件 | 硬删除后 10 年 | GDPR 第 33(5) 条违规记录义务 |
| Stripe 交易记录 | 按照 Stripe 的反洗钱保留(通常 7 年以上) | GDPR 第 17(3)(b) 条优先法律义务(反洗钱) |
| 数据导出 ZIP | 7 天(自动存储生命周期策略) | 自行设定的最小暴露窗口 |
5 年假名化步骤会从保留的行中移除直接标识符(user_id、ip、user_agent、
metadata.email、metadata.ip);剩下的是证明同意以及应对数据保护监管机构潜在审计所需的
事件分类法和时间戳。
数据驻留
Cliny Pet 的运行时锁定在欧盟。具体而言:
- 应用托管: 位于德国和法国的欧盟数据中心。
- 数据库与备份: 始终保留在欧盟境内。
- 图片存储: 欧盟区域的对象存储。
- 事务性电子邮件: 一家面向欧盟的投递服务商,并对任何经由美国路由的投递路径采用 SCC 模块 2 保障措施。
此驻留锁定在进程启动时通过运行时守卫强制执行:如果任何已配置的计算、数据库或存储位置引用 非欧盟区域,该守卫会拒绝启动后端。每日的自动化审计作业会重新证明数据库和图片存储的驻留 态势;任何偏移都会在我们的错误监控系统中触发严重警报,并记录一条审计事件,以便工程团队 立即收到通知。我们在此公开此运营方透明度,因为我们相信数据驻留保证应当是可审计的,而不 仅仅是承诺。
本政策会定期审查,并在我们的实践发生变化时随时更新。每个章节的最终措辞均须经在 TR、欧盟 和美国司法管辖区持牌的 Counsel 持续审查。