隐私政策
Thetawave AI 隐私政策
最后更新:2026年5月9日
本《隐私政策》说明 Thetawave AI, Inc.(一家依据特拉华州法律注册成立的公司,以下称"Thetawave"、"我们"或"本公司")在您使用我们的网站(https://thetawave.ai)、移动应用程序及相关服务(以下统称"服务")时如何收集、使用、披露和保护信息。
使用本服务即表示您同意本《政策》所述的处理实务。如您不同意,请勿使用本服务。本《政策》构成我们服务条款的组成部分。
重要提示
- 我们不会使用您的用户内容训练 AI 模型。 您上传的笔记、文档、音频、图片及其他材料不会被用于训练 Thetawave 的模型,我们也通过合同要求第三方 AI 与转写服务提供商不得使用您的输入训练其模型。详见第 5 节。
- 我们不在服务中展示任何第三方广告,也不会基于金钱对价"出售"您的个人信息(按 California Consumer Privacy Act 对该术语的定义)。
- 全球用户。 本服务从美国运营。我们遵守欧盟/英国/瑞士的 GDPR、日本 APPI、韩国 PIPA、香港 PDPO、台湾 PDPA、加拿大 PIPEDA 以及美国 CCPA/CPRA 及各州法律等适用的数据保护法律。地区性权利详见第 7 节与第 12 节。
目录
- 我们收集的信息
- 我们如何使用信息
- 处理的合法依据(EEA / UK / 瑞士)
- 我们如何共享信息
- 用户内容的 AI 处理
- Cookie、追踪技术与推送通知
- 国际数据传输
- 数据保留
- 数据安全
- 儿童隐私
- 您的隐私权 — 全球概览
- 地区专属权利与告知
- 12.1 欧洲经济区、英国与瑞士(GDPR)
- 12.2 加州(CCPA/CPRA)
- 12.3 美国其他州
- 12.4 日本(APPI)
- 12.5 韩国(PIPA)
- 12.6 香港(PDPO)
- 12.7 台湾(个人资料保护法)
- 12.8 加拿大(PIPEDA)
- 12.9 其他司法管辖区
- 如何行使您的权利
- Do-Not-Track 信号
- 移动应用隐私披露(App Store / Google Play)
- 第三方链接与服务
- 本《政策》的变更
- 联系我们
1. 我们收集的信息
我们收集以下三类信息:
1.1 您提供的信息
- 账户信息: 姓名、电子邮件地址、密码(以哈希方式存储)、个人偏好设置;以及 — 如您使用第三方身份提供商(例如 Google、Apple)登录 — 该提供商与我们共享的基本档案数据。
- 订阅与支付信息: 对于网站购买,账单详情由 Stripe 处理(我们仅接收交易确认与卡号末四位;我们不会存储完整的支付卡号);对于移动应用内购买,由 Apple 或 Google 提供交易确认信息。
- 沟通信息: 您通过电子邮件向客服发送的消息、反馈意见以及问卷回复。
- 用户内容: 您通过本服务上传、创建或生成的笔记、文档、录音、图片、视频及其他材料。您的用户内容可能被视为"敏感信息"(例如学生学业记录、语音录音),并将作为敏感信息处理 — 详见第 5 节与第 12 节。
用户内容中涉及第三方个人信息的情形。 如您的用户内容包含第三方个人信息(例如您笔记中同学的姓名,或讲座录音中教授的声音),您将作为该等信息的控制者,并声明您已取得分享该信息所需的同意或其他合法依据。我们仅代您处理该等第三方信息以向您交付服务,处理方式遵循本《政策》及我们服务条款第 6.4 节与第 9 节。
1.2 自动收集的信息
当您使用服务时,我们及我们的分析服务提供商会自动收集:
- 设备与技术数据: IP 地址、浏览器类型与版本、操作系统、设备标识符(包括移动广告标识符,除非您在操作系统层面禁用)、屏幕尺寸、语言、时区。
- 使用数据: 访问的页面、使用的功能、点击操作、停留时长、来源 URL、服务内的搜索查询,以及根据 IP 地址推断的大致位置。
- 诊断数据: 崩溃报告、错误日志、性能指标。
1.3 来自第三方的信息
- 身份提供商: 如您使用 Google Sign-In、Apple Sign-In 或类似服务,我们会接收您授权的基本档案信息。
- 支付处理商: Stripe、Apple 与 Google 可能会向我们共享完成购买所需的交易数据。
- 服务提供商: 我们的分析、错误追踪及客户支持工具会向我们共享您使用服务的聚合数据及事件级数据(详见第 4 节)。
我们不会从数据经纪商处购买个人信息,也不会从广告网络处接收个人信息。
2. 我们如何使用信息
我们将上述信息用于:
- 提供、运营、维护并保障服务,包括对您的账户进行身份验证、跨设备同步您的内容以及处理您的交易;
- 根据您的输入生成 AI 输出(详见第 5 节);
- 就您的账户、交易、重要政策变更,以及(在您同意或法律允许的情况下)产品更新与您沟通;
- 提供客户支持并回复您的咨询;
- 检测、调查并防止欺诈、滥用、安全事件以及违反我们《条款》的行为;
- 分析与改进服务,包括聚合使用情况分析;
- 履行法律义务并执行我们的《条款》;
- 在您同意的情况下,用于在收集时披露的其他目的。
我们不会在缺少人工审查的情况下,将您的信息用于会对您产生法律或类似重大影响的自动化决策。
营销沟通与退出。 如我们发送营销或推广沟通(须经您同意或在法律允许的情况下),您可随时通过以下方式退出:
- 点击任一营销邮件中的"取消订阅"链接;
- 在账户设置中切换通知偏好;或
- 发送邮件至 contact@thetawave.ai。
事务性与账户相关沟通(例如安全提醒、订阅账单通知、重要政策变更)在您账户处于活跃状态期间无法退出,因为它们是交付服务及履行我们法律义务所必需的。
3. 处理的合法依据(EEA、UK、瑞士)
如您位于欧洲经济区、英国或瑞士,我们基于以下合法依据处理您的个人数据:
| 目的 | 合法依据 |
|---|---|
| 向您提供服务,包括对您的输入进行 AI 推理 | 履行合同(Art. 6(1)(b) GDPR) |
| 处理付款及防范欺诈 | 履行合同;法律义务;正当利益 |
| 服务安全与防止滥用 | 保护用户与服务的正当利益 |
| 产品分析与改进 | 正当利益;非必要 Cookie 须经同意 |
| 营销沟通 | 同意(您可随时撤回) |
| 配合法律请求 | 法律义务 |
| 处理用户内容中的"特殊类别"数据(如有) | 您的明确同意(Art. 9(2)(a)) |
您有权反对基于正当利益的处理 — 详见第 12.1 节。
4. 我们如何共享信息
我们仅与以下类别的接收方共享您的信息,所有接收方均受合同保密与数据保护义务约束。
4.1 服务提供商(次级处理者)
我们委托第三方服务提供商代我们运营服务。他们仅被允许为向我们提供其服务而使用您的信息,且必须遵守相应的保密与安全义务。下表反映我们当前的次级处理者组合;该清单可能随我们更换供应商而变化。
| 类别 | 用途 | 当前主要供应商 |
|---|---|---|
| 云托管与数据库 | 运行我们的后端,存储账户数据与用户内容 | Supabase(PostgreSQL、身份验证、存储);云基础设施提供商 |
| AI 推理(LLM) | 根据您的输入生成 AI 输出(笔记、摘要、闪卡、测验、学习对话) | OpenAI、Anthropic、Google(详见第 5 节) |
| 音频转写 | 将音频用户内容(例如讲座录音)转换为文本,供下游 AI 处理 | Soniox, Inc.、Deepgram, Inc. |
| 网站支付处理 | 处理通过网站购买的订阅 | Stripe, Inc.(https://stripe.com/privacy) |
| 移动应用内购买与订阅管理 | 处理并对账 App Store / Google Play 购买 | Apple Inc.、Google LLC、RevenueCat, Inc. |
| 产品分析 | 了解服务的使用情况 | Mixpanel, Inc. |
| 错误追踪与诊断 | 检测并调试问题 | Sentry(Functional Software, Inc.) |
| 客户支持 | 回复邮件咨询 | 邮件基础设施(目前未使用第三方工单工具) |
次级处理者变更通知。 当我们新增或更换重要的次级处理者时,我们会在变更生效前至少 14 天更新本《政策》。对于持有有效付费订阅的用户,我们将额外通过电子邮件或应用内消息发出通知。如您反对新的次级处理者,您可在变更生效前终止账户,并在适用法律要求时申请按比例退款。
4.2 其他披露
- 法律合规与安全。 当我们善意地认为披露是为了 (a) 遵守适用法律、法律程序或政府请求;(b) 执行我们的《条款》;(c) 保护 Thetawave、用户或公众的权利、安全或财产;或 (d) 检测、防止或处理欺诈、安全或技术问题所必需时,我们可能披露相关信息。
- 业务转让。 如 Thetawave 涉及合并、收购、融资、重组或资产出售,您的信息可能作为该等交易的一部分被转让。我们将通过电子邮件和/或在服务中显著告知您所有权或个人信息使用方式的变更。
- 经您同意。 在您指示的情况下,我们可与其他方共享信息。
4.3 我们不做之事
- 我们不会基于金钱对价出售您的个人信息。
- 我们不会为跨语境行为广告与第三方共享您的个人信息(我们不投放任何此类广告)。
- 我们不允许我们的 AI 或转写服务提供商使用您的用户内容进行训练(详见第 5 节)。
CCPA "出售" / "共享" — 防御性说明。 加州 CCPA 对"出售"与"共享"的定义较为宽泛。如向我们的分析、AI、转写或错误追踪次级处理者的任何披露可能被解读为 CCPA/CPRA 项下的"出售"或"共享",我们将视该等行为为可退出,并在技术可行的情况下尊重退出信号(包括 Global Privacy Control / GPC)。加州的其他权利详见第 12.2 节。
5. 用户内容的 AI 处理
本节说明您的输入与用户内容如何与 AI 模型交互。这是服务运作的核心 — 请务必阅读。
5.1 AI 推理与转写如何运作
当您使用 AI 功能(例如生成笔记、对 PDF 进行摘要、创建闪卡)时,您的输入 — 可能包括您的用户内容或其节选 — 会被传输给我们的某一第三方 AI 提供商(目前为 OpenAI、Anthropic 与 Google)以生成响应。当您上传音频(例如讲座录音)时,该音频首先会被传输至我们的某一 转写服务提供商(Soniox、Deepgram) 转换为文本,然后再由如上所述的 AI 提供商进行处理。
响应将返回给您,并与您的用户内容关联存储于您的 Thetawave 账户中。AI 提供商与转写服务提供商可能会在处理过程中短暂保留输入与输出(详见第 5.3 节),但您的用户内容与 AI 生成输出的持久记录保存于您的 Thetawave 账户中,而非保存于这些提供商处。
5.2 不使用您的内容进行训练
Thetawave 不会使用您的用户内容训练任何 AI 或机器学习模型。我们依赖与各 AI 与转写服务提供商之间的不训练及限制性保留承诺。 具体而言:
- OpenAI: 我们使用 OpenAI API。根据 OpenAI 的 API 数据使用政策,OpenAI 不会使用 API 输入或输出训练其模型。
- Anthropic: 我们使用 Anthropic API。根据 Anthropic 的商用条款,Anthropic 不会使用通过 API 提交的输入或输出训练其模型。
- Google: 我们在不允许 Google 使用我们付费 API 内容训练其模型的条款下使用 Google AI / Gemini API。
- Soniox: 我们在不允许 Soniox 使用我们传输的音频内容训练其模型的条款下使用 Soniox 商用 API。
- Deepgram: 我们在不允许 Deepgram 使用我们传输的音频内容训练其模型的条款下使用 Deepgram 商用 API。
如我们更换 AI 或转写服务提供商,或上述提供商的相关条款发生重大变化,我们将更新本《政策》。您不应将不希望被传输给上述任一提供商进行处理的信息上传至本服务。
5.3 AI / 转写服务提供商不进行超出提供商定义限度的持久存储
AI 与转写服务提供商可能出于安全、滥用监测及运营目的,按照其自身的隐私声明,短暂保留输入与输出。在条件允许的情况下(例如零数据保留或短期保留模式),我们使用企业级 / API 级配置以最小化此类保留。
5.4 去标识化与聚合数据
我们可能将去标识化或聚合数据(合理上无法回溯关联至您)用于产品分析、安全及服务改进。我们采用行业标准的去标识化技术(例如移除直接标识符、聚合及其他旨在确保信息合理上无法与个人关联的技术措施),并通过合同禁止任何接收我们去标识化数据的方尝试重新识别。
6. Cookie、追踪技术与推送通知
6.1 Cookie 及类似技术
我们与服务提供商使用 Cookie、像素、本地存储、软件开发工具包(SDK)及类似技术来运营服务。我们不会将 Cookie 用于跨站行为广告。在法律要求的情况下(包括 EEA、UK、瑞士、日本与韩国对非必要 Cookie 的要求),我们将在放置非必要 Cookie 之前通过 Cookie 横幅请求您的同意。您可通过 Cookie 横幅或浏览器设置管理 Cookie 偏好。
我们使用的主要 Cookie 与类似技术包括:
| 名称 / 模式 | 类型 | 用途 | 提供方 | 大致保留期 |
|---|---|---|---|---|
sb-*(身份令牌) | 严格必要 | 验证您的会话并保持登录状态 | Supabase | 会话期 / 最长 1 年 |
| CSRF / 防伪令牌 | 严格必要 | 防止跨站请求伪造 | Thetawave | 会话期 |
cookie_consent | 严格必要 | 记录您的 Cookie 横幅选择 | Thetawave | 1 年 |
theme、locale | 功能性 | 记录您的 UI 偏好(例如深色模式、语言) | Thetawave | 1 年 |
mp_* | 分析(必要时须经同意) | 产品分析 — 衡量功能使用情况并改进服务 | Mixpanel | 最长 1 年 |
| Sentry 会话标签 | 严格必要 | 将错误报告与会话关联以便调试 | Sentry | 最长 30 天 |
如我们新增或变更重要的 Cookie 类别,我们将更新本表。
6.2 推送通知
如您在我们的移动应用中选择启用推送通知,我们将收集并使用设备专属的推送令牌(由 iOS 的 Apple Push Notification service("APNs") 或 Android 的 Firebase Cloud Messaging("FCM") 提供),仅用于推送:
- 服务相关通知(例如转写已完成、您设置的学习提醒);
- 账户相关通知(例如安全提醒);
- 经您额外同意,偶发的产品更新通知。
您可随时通过设备的通知设置禁用推送通知。禁用推送通知不会影响服务的其他部分。
7. 国际数据传输
Thetawave 总部位于美国,我们的服务器与若干服务提供商位于美国及其他国家。当您使用本服务时,您的个人信息将被传输至美国,并可能在美国及其他国家进行存储与处理,这些国家的数据保护法律可能与您居住国的法律有所不同。
我们采用以下措施保护跨境传输:
- EEA / UK / 瑞士: 与我们的次级处理者之间签署经欧盟委员会批准的标准合同条款("SCCs",并辅以 UK Addendum / Swiss equivalents),并辅以传输中与静态加密、访问控制及(如适用)传输影响评估。我们目前未根据欧美数据隐私框架("DPF")认证;我们以 SCCs 作为主要的传输机制。
- 日本: 在 APPI 对跨境传输有要求的情况下,我们取得您的同意或采用同等保障措施(包括与接收方签署 SCC 等同的合同条款)。
- 韩国: 在 PIPA 对个人信息境外传输有要求的情况下,我们提供 PIPA 第 28-8 条所要求的披露并在适用时取得您的同意。
- 香港、台湾、加拿大: 我们确保接收方分别受 PDPO、PDPA 与 PIPEDA 一致的合同义务约束。
使用本服务即表示您理解您的信息将按照上述方式跨境传输。
8. 数据保留
我们在为提供服务及实现本《政策》所述目的所必需的期间内保留个人信息,除非法律要求更长的保留期。
| 数据类别 | 保留期 |
|---|---|
| 账户信息 | 账户活跃期间;账户删除后 30 天内删除(备份除外) |
| 用户内容 | 账户活跃期间;您删除内容或账户后 30 天内删除 |
| 备份 | 删除后保留最长 90 天,之后永久删除 |
| 付款与账单记录 | 保留 7 年以履行税务、会计及审计义务 |
| 客户支持沟通 | 解决后最长 3 年 |
| 诊断 / 日志数据 | 最长 12 个月 |
| 去标识化或聚合数据 | 可无限期保留(无法回溯关联至您) |
您可按第 13 节所述随时申请提前删除,但受限于若干例外(例如法律要求保留的情形)。
9. 数据安全
我们实施旨在保护您信息的管理性、技术性与物理性安全保障措施,包括:
- 传输中(TLS)与静态加密;
- 针对我们人员的访问控制及最小权限原则;
- 安全的软件开发实践与代码审查;
- 对次级处理者的供应商安全审查;
- 日志与监控;以及
- 事件响应程序。
没有任何安全措施是完美的,我们无法保证绝对的安全。
安全事件通知。 如我们获悉影响您信息的个人数据泄露事件,我们将依据适用法律的要求通知您及相应的监管机构,包括:
- GDPR / UK GDPR / FADP: 在获悉后72 小时内(如可行)通知监管机构,并在对个人权利与自由存在高风险时不迟延地通知受影响个人;
- 日本 APPI(第 26 条): 按 APPI 要求的方式与时间,及时通知 Personal Information Protection Commission(PPC)及受影响个人;
- 韩国 PIPA(第 34 条): 不迟延地通知受影响个人,并 — 对涉及 1,000 人以上或敏感信息的事件 — 在 24 小时内通知 PIPC;
- 美国各州法律: 按各适用州的事件通知法规所要求的时限与程序进行通知;
- 其他司法管辖区: 按适用法律要求执行。
10. 儿童隐私
本服务不面向 13 周岁以下儿童,我们不会在美国境内或在儿童居住国数字同意最低年龄以下(例如西班牙为 14 周岁、法国为 15 周岁、德国为 16 周岁)的情况下,故意收集儿童的个人信息。
如您介于 13 至 17 周岁之间(或您所在司法管辖区的成年年龄之间),您仅可在父母或法定监护人的参与与同意下使用本服务。
关于父母如何按 COPPA 及同等法律提供可核实的父母同意(及如何撤回),详见服务条款第 2.2 节。
如我们获悉在未经核实的父母同意的情况下收集了适用年龄以下儿童的个人信息,我们将尽快删除该等信息。如父母认为儿童在未经同意的情况下提供了个人信息,可联系我们:contact@thetawave.ai。
对于将本服务与学生一同使用的学校与教育工作者:您有责任取得 COPPA、FERPA、GDPR、APPI、PIPA 及同等法律所要求的同意,并担任此等法律下的相应权威主体。
11. 您的隐私权 — 全球概览
视您居住地不同,您可能享有以下权利:
- 访问: 知悉我们持有您何种个人信息并获得副本的权利;
- 更正: 更正不准确或不完整信息的权利;
- 删除("被遗忘权"): 请求删除您信息的权利;
- 可携带: 以可携带的格式接收某些信息的权利;
- 限制 / 反对: 限制或反对某些处理活动的权利;
- 撤回同意: 撤回您所给予同意的权利;
- 退出"出售" / "共享" / 定向广告: 在适用情况下退出的权利;
- 向监管机构投诉的权利。
无论您身处何地,我们都会在合理可行的范围内尊重这些权利。地区性细节详见第 12 节,行使权利的方式详见第 13 节。
12. 地区专属权利与告知
12.1 欧洲经济区、英国与瑞士(GDPR / UK GDPR / FADP)
如您位于 EEA、UK 或瑞士,您分别根据《通用数据保护条例》(GDPR)、UK GDPR 及瑞士联邦数据保护法(FADP)享有第 11 节所述权利。您还有权:
- 向当地数据保护监管机构投诉(EEA 监管机构清单详见 https://edpb.europa.eu/about-edpb/about-edpb/members_en;UK 为 ICO,详见 https://ico.org.uk/;瑞士为 FDPIC,详见 https://www.edoeb.admin.ch)。
我们处理活动的合法依据列于第 3 节。
欧盟代表(GDPR 第 27 条)。 鉴于我们对处理活动的性质、范围、背景与目的所作评估 — 且我们对 EEA 个人数据的处理就 GDPR 第 9 条特殊类别数据或第 10 条刑事定罪数据而言并非"大规模"进行 — 我们未根据 GDPR 第 27 条指定欧盟代表。EEA 用户可直接通过 contact@thetawave.ai 提出任何 GDPR 相关咨询;我们将依据适用法律作出回复。我们将随用户基础与处理活动的演变重新评估这一判断。
12.2 加州(CCPA / CPRA)
如您是加州居民,您根据《加州消费者隐私法》(经《加州隐私权法案》修订,"CCPA/CPRA")享有相应权利。
我们收集的个人信息类别
在过去 12 个月内,我们收集了以下类别的个人信息(按 Cal. Civ. Code § 1798.140 的定义):
| 类别 | 示例 | 是否收集? | 是否出售? | 是否共享(跨语境行为广告)? |
|---|---|---|---|---|
| A. 标识符 | 姓名、邮箱、IP 地址、设备 ID、账户名 | 是 | 否 | 否 |
| B. 客户记录 | 账单地址、支付信息 | 是 | 否 | 否 |
| C. 受保护类别 | 年龄(如提供)、国家 | 有限 | 否 | 否 |
| D. 商业信息 | 订阅历史、交易记录 | 是 | 否 | 否 |
| E. 生物识别信息 | (如上传,则为音频用户内容中的语音特征) | 如您上传 | 否 | 否 |
| F. 互联网活动 | 使用数据、与服务的互动 | 是 | 否 | 否 |
| G. 地理位置 | 由 IP 推断的大致位置 | 是 | 否 | 否 |
| H. 感官数据 | 用户内容中的音频、图片、视频(如您上传) | 如您上传 | 否 | 否 |
| I. 职业 / 雇佣 | 不收集 | 否 | — | — |
| J. 教育信息 | 用户内容中的学业内容(笔记、学习材料) | 是 | 否 | 否 |
| K. 推断 | 从使用情况中得出的偏好与学习模式 | 是 | 否 | 否 |
| L. 敏感个人信息 | 账户凭证;服务内通讯的具体内容 | 是 | 否 | 否 |
加州居民的权利
- 知情权 — 我们已收集何种个人信息,及如何使用与共享;
- 请求删除权(受法律例外限制);
- 更正不准确个人信息的权利;
- 退出"出售"或"共享" — 我们不会按 CCPA/CPRA 定义的方式"出售"或为跨语境行为广告"共享"您的个人信息,但我们会在技术可行的情况下尊重退出信号(包括 Global Privacy Control / GPC);
- 限制敏感个人信息使用至执行服务所必需范围的权利;
- 行使权利后不受歧视的权利。
"Shine the Light"(Cal. Civ. Code § 1798.83)
加州居民可询问个人信息向第三方披露用于直接营销的情形。我们不进行此类披露。
12.3 美国其他州
如您居住于 Virginia (VCDPA)、Colorado (CPA)、Connecticut (CTDPA)、Utah (UCPA)、Texas (TDPSA)、Oregon (OCPA)、Montana (MTCDPA)、Iowa (ICDPA)、Tennessee (TIPA)、Delaware (DPDPA)、New Jersey (NJDPA)、New Hampshire (NHPA)、Maryland (MODPA)、Minnesota (MCDPA)、Indiana (INCDPA)、Nebraska (NDPA)、Rhode Island (RIDPA) 或 Kentucky (KCDPA),您享有与上文相似的权利,包括(依据您所在州)访问、更正、删除、可携带,以及退出定向广告、"出售"及某些类型画像分析的权利。在必要时,您有权对我们拒绝您请求的决定提出申诉 — 详见第 13 节。
您可能还有权指定授权代理人代表您提出请求。我们将在受理授权代理人请求前要求验证。
12.4 日本(個人情報保護法 / APPI)
如您位于日本,我们将依据《个人信息保护法》(APPI)处理您的个人信息。
- 使用目的 详见第 2 节。除 APPI 允许的情形外,我们不会未经您同意将您的个人信息用于上述目的之外的用途。
- 跨境传输: 如第 7 节所述,您的信息将传输至美国及其他国家。使用本服务即表示您按照 APPI 第 28 条同意此项传输。我们应请求提供有关接收方所在国数据保护制度及我们已采取保障措施的信息。
- 您的权利: 您有权请求披露、更正、增添、删除、暂停使用、暂停向第三方提供并接收我们持有您个人信息的副本。
- 个人信息处理事业者: Thetawave AI, Inc. 是处理您个人信息的事业者。联系方式:contact@thetawave.ai。
- 安全事件通知: 按 APPI 第 26 条要求,我们将向 Personal Information Protection Commission(PPC)及受影响个人通知符合条件的事件。
- 投诉: 如我们无法解决您的疑虑,您可向日本 Personal Information Protection Commission(PPC)咨询。
12.5 韩国(개인정보 보호법 / PIPA)
如您位于韩国,我们将依据《个人信息保护法》(PIPA)及相关法律处理您的个人信息。
- 收集与使用目的: 详见第 2 节。
- 收集项目: 详见第 1 节。
- 保留期限: 详见第 8 节。
- 跨境传输(PIPA Art. 28-8): 您的个人信息可能传输至美国及其他国家,传输给第 4 节所列的 AI 提供商、转写服务提供商、托管服务提供商及其他次级处理者。我们将在法律要求时取得您对此类传输的同意,并提供 PIPA 所要求的披露。
- 您的权利: 访问、更正、删除、暂停处理及撤回同意。根据 PIPA 第 35 条,我们将在 10 天内回应访问与更正请求(在合理必要时可延长 10 天)。
- 个人信息保护负责人 / 개인정보 보호책임자: 联系方式:contact@thetawave.ai。
- 安全事件通知(PIPA Art. 34): 我们将不迟延地通知受影响个人,并 — 对涉及 1,000 人以上或敏感信息的事件 — 在 24 小时内通知 PIPC。
- 投诉: 您可向 Personal Information Protection Commission(PIPC, 개인정보보호위원회) 或 Korea Internet & Security Agency(KISA) 投诉,包括 Privacy Complaint Center(privacy.go.kr / 118)。
12.6 香港(個人資料(私隱)條例 / PDPO)
如您位于香港,我们将依据《个人资料(私隐)条例》(PDPO)及六项数据保护原则处理您的个人资料。您有权请求访问与更正您的个人资料。请求可发送至 contact@thetawave.ai。投诉可向 Office of the Privacy Commissioner for Personal Data(PCPD) 提出。
12.7 台湾(個人資料保護法 / PDPA)
如您位于台湾,我们将依据《个人资料保护法》(PDPA)处理您的个人信息。您有权查询、请求副本、补充或更正、请求我们停止收集 / 处理 / 使用您的个人信息,以及请求删除。请求可发送至 contact@thetawave.ai。在法律要求时,我们将在国际传输您的个人信息前取得您的同意。
12.8 加拿大(PIPEDA)
如您位于加拿大,我们将依据《个人信息保护与电子文件法》(PIPEDA)及适用的省级法律(例如魁北克省 Law 25)处理您的个人信息。您享有访问、更正及撤回同意的权利。可向 Office of the Privacy Commissioner of Canada 投诉,网址:https://www.priv.gc.ca/。
12.9 其他司法管辖区
我们尊重适用于您居住地的数据保护法律,即便上文未具体列示。如您居住于具有适用法律的司法管辖区(例如巴西的 LGPD、澳大利亚的 Privacy Act、印度的 DPDP Act、阿联酋的 PDPL 等),请通过 contact@thetawave.ai 与我们联系提出权利请求;我们将依据适用法律作出回复。
13. 如何行使您的权利
要行使上文所述任何权利:
- 发送邮件至 contact@thetawave.ai,主题为"Privacy Request";或
- 使用我们提供的任何应用内隐私控件。
为保护您的信息,我们可能需要核实您的身份(通常通过确认您对账户关联邮箱地址的控制权)。如您使用授权代理人,我们可能要求提供授权证明。
我们将在适用法律所要求的时间内回应可核实的请求,包括:
| 法律 | 回应期限 |
|---|---|
| GDPR / UK GDPR | 1 个月,复杂或多项请求可延长至多 2 个月 |
| CCPA / CPRA | 45 天,合理必要时可延长 45 天 |
| 美国其他州隐私法 | 按各法令要求(通常为 45 天或 60 天) |
| 韩国 PIPA | 10 天,可延长 10 天 |
| 日本 APPI | 不迟延地回应;我们目标在 30 天内回复 |
| 其他司法管辖区 | 按适用法律要求 |
我们不会因您行使权利而对您进行歧视。
如我们拒绝某项请求,我们将说明理由,且 — 在适用情形下 — 您有权对我们的决定提出申诉。如需申诉,请在 60 天内回复我们的回应邮件。如您的申诉被拒绝,您可向您的数据保护监管机构或检察长投诉。
14. Do-Not-Track 信号
大多数浏览器提供"Do Not Track"(DNT)信号。由于 DNT 信号目前尚无行业标准的解释,本服务目前不响应 DNT 信号。然而,我们尊重法律要求的退出信号(例如适用情形下的 Global Privacy Control / GPC)。
15. 移动应用隐私披露(App Store / Google Play)
除本《政策》外,我们还通过 Apple 与 Google 要求的平台机制提供隐私披露:
- Apple App Store 隐私营养标签及 iOS Privacy Manifest(
PrivacyInfo.xcprivacy) 按 Apple 要求的格式说明 iOS 应用所收集的数据类别及其使用方式。 - Google Play Data Safety form 按 Google 要求的格式说明 Android 应用所收集、共享的数据类别及我们遵循的安全实践。
上述披露旨在与本《政策》保持一致。如平台披露与本《政策》之间出现非有意的不一致,以本《政策》为准,我们将着力更新平台披露以保持一致。
16. 第三方链接与服务
本服务可能包含指向第三方网站或集成(例如身份提供商、支付处理商、AI 提供商)的链接。本《政策》不适用于这些第三方。我们鼓励您在向其提供信息之前先审阅其隐私政策。
17. 本《政策》的变更
我们可能会不时更新本《隐私政策》。顶部"最后更新"日期反映最新版本。如我们做出重大变更,我们将通过电子邮件或在服务中以显著方式至少在变更生效前 14 天通知您(或在适用法律要求更早通知时按其要求)。涉及次级处理者的重大变更同样适用第 4.1 节的通知要求。生效日期之后您继续使用服务即视为接受变更。
18. 联系我们
如对隐私问题、请求或投诉有任何疑问:
Thetawave AI, Inc. Attn: Privacy Email: contact@thetawave.ai Website: https://thetawave.ai
Thetawave AI 致力于保护您的隐私,并以透明的方式处理您的数据。如本《政策》中有任何不清楚之处,欢迎联系我们 — 我们乐意提供帮助。