终端用户隐私政策

1. 简介

Deck Software Inc. 及其关联公司（"Deck"、"我们"或"我方"）致力于保护通过我们商业客户提供的服务与我们平台交互的终端用户的隐私。本终端用户隐私政策说明我们在您使用由 Deck 驱动的应用程序、服务或体验时如何收集、使用、共享和保护您的个人信息。我们相信透明的数据处理，绝不会以与本政策不一致的方式使用您的信息。

2. 我们收集的数据

当您与 Deck 驱动的服务交互时，我们会收集以下类别的信息：

个人身份信息 (PII)

我们可能会收集您提供的或代表您提供的个人身份信息，包括：

• 姓名和联系信息（电子邮件地址、电话号码）
• 实际地址和邮寄地址
• 当您授权访问第三方服务时的账户凭证（用户名、密码、认证令牌）
• 支付和账单信息（由我们的支付服务提供商处理；我们不存储完整的支付卡详细信息）

设备和使用数据

当您访问 Deck 驱动的服务时，我们会自动收集技术和使用信息，包括：

• IP 地址和大致地理位置
• 浏览器类型、版本和语言
• 操作系统和设备类型
• 访问时间戳和会话时长
• 设备标识符（在适用且法律允许的情况下）

交易和服务使用数据

我们收集与您使用我们服务相关的信息，包括：

• 通过 Deck 驱动的应用程序执行的交易和交互记录
• 活动日志（执行的操作、运行的工作流程、访问的应用程序）
• 服务偏好和设置
• 错误报告和性能指标

第三方数据

我们可能会从以下来源接收有关您的信息：

• 当您进行认证或验证身份时的验证合作伙伴和身份提供商
• 与服务相关的公共来源（例如公开可用的商业或专业信息）
• 使用 Deck 为您提供服务的我们的商业客户

3. 我们如何使用您的数据

我们将收集的数据用于以下目的。我们不出售您的个人信息。

服务供应

提供、运营和维护 Deck 平台；配置隔离环境；执行工作流程；以及交付您或您的组织所请求的服务。

安全和欺诈预防

防范未经授权的访问、欺诈、滥用和安全事件；验证身份；以及执行我们的条款和政策。

用户体验提升

了解我们的服务如何被使用，改进性能，诊断问题，并调整功能以更好地为您服务。

监管合规

遵守适用的法律、法规、法院命令和政府请求。

通讯

向您发送与服务相关的通知，回应咨询，提供支持，以及（在您同意的情况下）发送营销或推广通讯。

4. 我们如何共享您的数据

我们不出售您的个人信息。我们可能在以下情况下共享您的数据：

授权服务提供商

我们与协助运营平台的受信任第三方服务提供商共享数据，例如云基础设施提供商、支付处理商、分析服务和客户支持工具。这些提供商在合同上有义务保护您的数据，并仅将其用于我们指定的目的。

商业合作伙伴

我们可能会与使用 Deck 为您提供服务的商业客户共享信息，在他们交付这些服务所必需的范围内，并根据其各自的隐私政策进行。

法律机关

当法律、传票、法院命令或政府请求要求时，或者当我们认为披露对于保护我们的权利、您的安全或他人的安全是必要的时候，我们可能会披露您的信息。

企业交易

在合并、收购、资产出售或破产的情况下，您的信息可能作为该交易的一部分被转移。我们将通知您任何此类变更以及您可能拥有的选择。

5. 您的数据保护权利

根据您所在的位置，您可能拥有以下关于个人数据的权利：

访问

请求获取我们持有的关于您的个人信息副本。

更正

请求我们更正不准确或不完整的个人信息。

删除

请求我们删除您的个人信息，但须受某些例外情况约束（例如法律保留要求）。

限制

请求我们在某些情况下限制处理您的个人信息。

反对

反对基于合法利益或直接营销目的的处理。

数据可携带性

请求以结构化、通用、机器可读的格式获取您的数据副本。

如需行使这些权利，请通过 [email protected] 联系我们。我们将在适用法律要求的时间范围内回复您的请求。

6. 保留与删除

我们仅在实现收集目的所需的时间内保留您的个人信息，包括提供我们的服务、遵守法律义务、解决争议和执行我们的协议。当数据不再需要时，我们使用行业标准的删除协议安全地删除或匿名化。我们不会超过法律要求或合法商业目的所需的时间保留您的数据。

7. 安全措施

我们实施行业标准的安全措施保护您的数据：

加密

数据在传输过程中使用 TLS 加密，在静态存储时使用 AES-256 加密。凭证存储在具有访问控制和自动轮换功能的安全保险库中。

访问控制

我们采用基于角色的访问控制、最小权限原则和多因素认证（在适当情况下）来限制对个人数据的访问。

持续监控

我们监控系统中的可疑活动、漏洞和潜在泄露。

事件响应

我们维护事件响应程序，以快速识别、遏制和修复安全事件。如果发生对您的权利和自由构成风险的数据泄露，我们将按照法律要求通知受影响的个人和相关机构。

8. 国际数据传输

Deck 总部位于加拿大魁北克省蒙特利尔。您的数据可能被传输到、存储在您所在国家以外的其他国家并在那里处理。当我们进行国际数据传输时，我们会实施适当的保障措施，包括：

• 欧盟委员会批准的标准合同条款 (SCCs)
• 与我们的服务提供商签订的数据处理协议 (DPAs)
• 针对来自 EEA 或英国的数据的 GDPR 合规传输机制

9. 全球法规合规

我们遵守我们运营所在司法管辖区的适用隐私和数据保护法律，包括：

• GDPR（欧盟）：对于 EEA 的个人，我们遵守《通用数据保护条例》，并尊重您的访问权、更正权、删除权、限制处理权、数据可携带权和反对处理权。
• CCPA（加利福尼亚）：对于加利福尼亚州居民，我们遵守《加利福尼亚消费者隐私法》，并尊重您的知情权、删除权、选择退出销售权（我们不出售个人信息）以及不受歧视权。
• UK DPA 2018 / UK GDPR：对于英国的个人，我们遵守 UK GDPR 和 2018 年《数据保护法》。
• 其他框架：我们还考虑并遵守 PIPEDA（加拿大）、LGPD（巴西）等其他区域性框架（如适用）。

10. 区域终端用户协议

美国

如果您是位于美国的终端用户：

• CCPA 合规：我们遵守《加利福尼亚消费者隐私法》。加利福尼亚州居民有权了解我们收集哪些个人信息、请求删除、选择退出个人信息销售（我们不出售个人信息），以及因行使这些权利而不受歧视。
• 退出权：您可以随时通过点击我们电子邮件中的取消订阅链接或通过 [email protected] 联系我们来退出营销通讯。
• 账户管理：您可以通过 [email protected] 联系我们来访问、更正或请求删除您的个人信息。
• 责任：您有责任提供准确的信息并维护您的账户凭证安全。
• 免责声明：在法律允许的范围内，我们的服务按"原样"提供。我们在适用法律允许的最大范围内否认保证。

英国

如果您是位于英国的终端用户：

• UK GDPR / DPA 2018 合规：我们遵守英国《通用数据保护条例》和 2018 年《数据保护法》。您有权访问、更正、删除、限制处理、数据可携带以及反对处理。您也可以向信息专员办公室 (ICO) 提出投诉。
• 资格条件：我们的服务面向符合我们商业客户设定的资格要求的用户。您必须年满 18 岁（或您所在司法管辖区的成年年龄）才能使用我们的服务。
• 责任：您有责任确保您对我们服务的使用符合适用法律以及管辖您与提供访问权的商业客户之间关系的条款。
• 投诉：对于与金融服务相关的投诉，在适用的情况下，您可能有权将投诉转介至金融申诉专员服务。

欧盟 / 欧洲经济区

如果您是位于欧盟或欧洲经济区的终端用户：

• GDPR 权利：您有权访问您的个人数据、更正不准确的数据、在某些情况下删除数据、限制处理、数据可携带以及反对处理。您还有权在基于同意的处理中撤回同意，以及向您所在国家的数据保护机构提出投诉。
• EEA 资格条件：我们的服务面向符合我们商业客户设定的资格要求的用户。您必须年满 16 岁（或您所在司法管辖区适用的同意年龄）才能使用我们的服务。
• 责任：您有责任确保您对我们服务的使用符合适用法律以及管辖您与提供访问权的商业客户之间关系的条款。
• 投诉：如果您认为我们对您个人数据的处理违反了适用法律，您有权向您当地的数据保护机构（监管机构）提出投诉。

11. 本政策的变更

我们可能会不时更新本终端用户隐私政策，以反映我们的实践、技术、法律要求或其他因素的变化。我们将通过在本页面发布更新后的政策并更新"更新于"日期来通知您重大变更。对于重大变更，我们还可能提供额外通知（例如通过电子邮件或我们的平台）。我们建议您定期查阅本政策。

12. 联系信息

如果您对本终端用户隐私政策有疑问或希望行使您的隐私权利，请联系我们：