隐私政策

本《隐私政策》说明 KOLens(以下称“KOLens”、“我们”或“本公司”)如何在与位于 kolens.ai 的网站和服务及其提供的任何功能(统称“本服务”)相关的情境下收集、使用、存储、共享和保护信息。本政策同时说明您对自身信息所享有的权利及如何行使这些权利。如有任何疑问,请发送电子邮件至 privacy@kolens.ai。

下文所述信息的数据控制者为 KOLens,联系方式见 kolens.ai。对于位于欧洲经济区 / 英国 / 瑞士的用户,这同时也是我们的数据保护联系方式;请通过 privacy@kolens.ai 与我们联系。

1. 我们收集的信息

1.1 账户信息

当您创建账户时,我们会存储您的电子邮件地址、密码的哈希值(如使用 Google 登录,则为您的 Google 账户标识符)、自动生成的用户标识符、您填写的显示名称(如有),以及账户创建日期。我们绝不会存储您的明文密码。

1.2 搜索行为与积分使用

我们会记录您每次运行的关键词搜索、抓取任务和受众快照请求,所选参数,返回的创作者数量,以及扣除的积分数。这些信息用于运行积分系统、向您展示搜索历史、防止滥用并解答账单相关问题。

1.3 工作区内容

您在应用内保存的关注列表、KOL 列表、提醒规则、导出文件、受众快照及任何备注均与您的账户绑定保存,以便您随时返回查阅。

1.4 支付信息

银行卡支付由 Stripe 处理。我们绝不查看或存储您的完整卡号、有效期或 CVC。Stripe 仅向我们返回卡片品牌的后四位数字(用于收据)、所在国家以及交易标识符。

1.5 Google 用户数据(如您使用 Google 登录)

请参阅下文第 3 节,其中包含完整的 Google API 服务用户数据披露,包括所请求的具体权限范围以及“受限使用”承诺。

1.6 服务器与安全日志

我们的主机服务提供商(网页应用由 Vercel 提供、API 由 Railway 提供)会记录标准的请求元数据——IP 地址、用户代理、请求路径、响应状态及时间戳——并出于安全、防欺诈和滥用调查的目的最多保留三十(30)天。除非我们调查特定事件,这些日志不会与您的账户关联。

1.7 Cookie 及类似技术

我们仅使用少量严格必要的第一方 Cookie 及等同的本地存储条目:

• 身份验证。Supabase 的认证 Cookie 用于让您在多次请求间保持登录状态,退出登录时会被清除。
• OAuth 回调状态(PKCE)。在使用 Google 登录期间,用于往返传递 OAuth 2.1 / PKCE 状态的短期 Cookie,有效期仅数分钟。
• 偏好设置。您的主题选择、筛选面板折叠状态及类似的 UI 偏好仅保存在您设备的 localStorage 中,绝不会发送给我们。

我们不会在营销网站或应用内运行任何第三方广告 Cookie、设备指纹、跨站追踪或会话回放工具。

2. 我们如何使用您的信息

• 用于运营、保护、监控和改进本服务。
• 用于准确扣除积分、防止滥用,并检测欺诈或自动化使用行为。
• 用于发送事务性邮件——账户确认、密码重置、账单收据、安全提醒及重要服务通知。未经您单独的明示同意,我们不会向您发送营销邮件。
• 用于按照您显式配置的渠道(电子邮件、Webhook)向您发送您所设定的提醒(如成长提醒、关注列表通知)。
• 用于响应支持请求、履行法律义务以及执行我们的 服务条款。

3. Google API 服务用户数据披露

若您选择使用 Google 登录,或为 KOLens 导出功能连接 Google Sheets / Drive,我们将请求您授权特定的 Google OAuth 权限范围。我们逐一披露每项权限、其对应的用户可见功能,以及数据的处理方式:

• openid、https://www.googleapis.com/auth/userinfo.email、https://www.googleapis.com/auth/userinfo.profile——仅用于创建您的 KOLens 账户或让您登录。我们存储您的 Google 账户标识符、主邮箱及显示名称,绝不发布或共享上述信息。
• https://www.googleapis.com/auth/spreadsheets——仅当您在应用中点击“导出到 Google Sheets”时使用,用于创建或写入您所选定的某一份电子表格。我们不会读取或修改您 Drive 内的任何其他电子表格。
• https://www.googleapis.com/auth/drive.file——仅用于在您的 Drive 中创建导出文件,或写入您通过 Drive 文件选择器明确向 KOLens 打开的表格。此权限仅授予对“您的应用所创建的文件”或“您明确向 KOLens 打开的文件”的访问权限,绝不涉及您的整个 Drive。

3.1 受限使用(Limited Use)

KOLens 对通过 Google API 接收到的信息向任何其他应用的使用及传输,均遵守 Google API 服务用户数据政策,包括其“受限使用”要求。具体而言,KOLens:

• 不将 Google 用户数据用于广告——包括但不限于再营销、个性化或基于兴趣的广告。
• 不向第三方出售或转让 Google 用户数据——包括数据中介、信息转售商或任何转售、许可用户数据的方。
• 不使用 Google 用户数据训练、开发、改进或微调任何人工智能或机器学习模型,无论该模型属于 KOLens 还是任何第三方。
• 不允许任何自然人阅读 Google 用户数据,除非:(a) 经您明示同意;(b) 出于调查滥用等安全目的;(c) 遵守适用法律;或 (d) 该数据已聚合并匿名化用于内部运营。
• 仅将 Google 用户数据用于在请求应用的用户界面中显著呈现、面向用户的 KOLens 功能。

3.2 Google 用户数据的存储、保留与删除

Google 账户标识符、邮箱及显示名称在您的 KOLens 账户存续期间存储于我们 Supabase Auth 数据库中(静态加密)。Sheets / Drive 权限的 OAuth 刷新令牌存储于服务端 Cookie 中,设置为 httpOnly、Secure 和 SameSite=Lax;令牌按 Google 的有效期到期,过期后不再保留。

您可随时在 myaccount.google.com/permissions 撤销 KOLens 对您 Google 账户的访问权限。您亦可通过 账户设置(或通过邮件,见第 7 节)删除您的 KOLens 账户;账户删除后,与该账户关联的全部 Google 用户数据将在三十(30)天内从我们的系统中删除。

4. 我们不收集的内容

KOLens 不会收集来自私密 TikTok 账户的数据。搜索结果中展示的全部创作者数据均为搜索发生时 TikTok 上公开可见的信息。KOLens 本身不会以任何人的个人凭证登录 TikTok,也不会绕过 TikTok 实施的任何访问控制。

我们不出售您的个人数据,也不会将其分享给广告主、数据中介或营销归因网络。

5. 第三方处理者(子处理者)

为提供 KOLens 服务,我们依赖以下处理者。每家均受其自身的隐私政策和数据保护协议约束;我们仅向其分享该功能所必需的数据。

• Supabase(美国 / 欧盟)——身份验证、应用数据库、文件存储。
• Vercel(美国)——网页应用托管、边缘网络、服务器日志。
• Railway(美国)——API 托管与后台任务执行。
• Stripe(美国)——支付处理、收据、税务记录。KOLens 不会接触您的卡片详情。
• SendGrid(Twilio)(美国)——账户、账单和提醒邮件的事务性投递。
• Apify(捷克)——TikTok / Facebook Ads 抓取基础设施。仅传递关键词、抓取参数及(对于受众功能)公开的目标账号,不会传递您的身份信息。
• Google(美国)——可选的登录方式,以及(当您启用导出时)写入您本人的 Google Sheets / Drive,均受上文第 3 节约束。
• Anthropic(美国)——仅在您使用 KOLens MCP 自定义连接器或受众洞察功能时启用。该情形下,您的提示词与受众摘要数据将通过 Anthropic API 传递给 Claude,用以生成您看到的回应。

6. 数据保留

我们在您账户存续期间保留您的账户与工作区数据。如您删除账户,我们将在三十(30)天内删除您的账户记录、保存的列表、关注列表、受众快照、提醒及搜索历史;备份按滚动的六十(60)天周期清除。匿名汇总指标可能被无限期保留。

为遵守税务、会计及反洗钱法律(通常为七年)所需保留的交易记录,我们将在相关司法辖区要求的期限内保留并在期满后删除。

7. 您的权利

根据您所在地区,您可能享有下列一项或多项关于个人数据的权利:

• 访问权——请求获取我们持有的关于您的个人数据副本。
• 更正权——请求我们更正不准确或不完整的数据。
• 删除权——请求删除您的数据,但须遵守法律保留要求。
• 可携带权——以结构化、机器可读格式获取您的数据。
• 反对 / 限制——反对或限制特定处理,包括直接营销。
• 撤回同意——随时撤回基于同意进行的任何处理。
• 投诉权——向您当地的数据保护监管机构提出投诉。

欧洲经济区 / 英国 / 瑞士居民:依据 GDPR / 英国 GDPR,您享有上述全部权利,并可向您居住国的监管机构提出投诉。

加州居民:依据 CCPA / CPRA,您有权了解我们收集、出售或共享的个人信息(我们不会出售或共享);享有删除权、更正权,以及在行使任何权利时不受歧视的权利。

中华人民共和国居民:依据《个人信息保护法》(PIPL),您享有访问、更正、删除、可携带及撤回同意的权利。

如需行使任何权利,请发邮件至 privacy@kolens.ai。我们将通过您账户绑定的邮箱核验身份,并在三十(30)天内(或适用法律要求的更短期限内)作出答复。

8. 未成年人

KOLens 不面向年龄低于十六(16)岁的用户提供服务或进行营销。我们不会有意收集 16 岁以下未成年人的个人数据。如您认为我们收到了来自未成年人的数据,请发邮件告知我们,我们将不无理由迟延地予以删除。

9. 国际传输

我们的基础设施部署于多个区域,包括欧洲经济区与美国。当个人数据从欧洲经济区 / 英国传输至缺少充分性认定的国家时,我们依赖欧盟委员会的标准合同条款(及英国附录)或等效的传输机制。使用 KOLens 即表示您了解您的信息可能在您居住国以外被处理。

10. 安全

我们采用业界标准的安全实践,包括每次连接均使用 TLS 1.2 及以上版本、通过 Supabase Auth(bcrypt / argon2)对密码进行哈希、为每个第三方处理者签发范围受限的 API 密钥、对每次数据访问执行按用户的授权校验、HttpOnly + Secure Cookie、出站连接器使用 OAuth 2.1 + PKCE、RFC 7009 令牌撤销机制以及最小权限的数据库角色。我们对敏感接口的访问进行审计日志记录。

没有系统是完美的。如您认为发现了安全问题,请发送邮件至 privacy@kolens.ai。我们将在七十二(72)小时内确认接收并立即开展调查。我们不会对遵循 负责任披露 原则、出于善意的安全研究人员采取法律行动。

11. 数据泄露通知

若发生可能对您的权利或自由造成风险的数据泄露事件,我们将依据 GDPR 第 33 条及其他司法辖区的等效规定,在意识到该事件后不无理由迟延地通知您及相关监管机构,且在任何情况下不晚于七十二(72)小时。

12. 政策变更

我们可能不时更新本政策。当我们作出重大变更时,我们将在页面顶部更新“生效日期”,并在适当情况下至少在变更生效前三十(30)天通过邮件或站内横幅通知您。变更后您继续使用本服务即表示您接受修订后的政策。

13. 联系方式

有关本政策或我们处理数据方式的问题: privacy@kolens.ai。
常规支持: hello@kolens.ai。
邮寄地址:请通过邮件联系 KOLens(经 kolens.ai)获取。

另请参阅: 服务条款。