隐私政策

1. 简介

teum, LLC（以下简称“T|EUM”、“我们”或“我们的”）致力于保护和尊重您的隐私。本隐私政策说明当您访问我们位于teum.io的网站（以下简称“本平台”）或使用我们的服务时，我们如何收集、使用、存储、共享和保护您的个人信息。

本政策适用于本平台的所有用户，包括买家、卖家和访客。使用本平台即表示您同意本政策中描述的数据处理实践。如果您不同意本隐私政策的任何部分，请立即停止使用我们的平台。

我们遵守适用的数据保护法律，包括针对欧洲经济区（EEA）用户的《通用数据保护条例》（GDPR）、针对加利福尼亚州居民的《加利福尼亚消费者隐私法》（CCPA）以及大韩民国的《个人信息保护法》（PIPA）。

2. 数据控制者

负责您个人信息的数据控制者为：

• 公司名称：teum, LLC
• 在美国特拉华州注册成立
• 电子邮件：support@teum.io
• 网站：https://teum.io

就支付相关的数据处理而言，Stripe, Inc.作为支付处理商对其收集和处理的个人信息作为独立的数据控制者。

3. 我们收集的信息

我们收集以下类别的信息：

账户信息：当您创建账户时，我们收集您的显示名称、电子邮件地址和密码（已哈希处理）。如果您通过Google或GitHub注册，我们将从身份验证提供商处接收您的姓名、电子邮件和头像。

交易数据：当您购买或出售商品时，我们收集购买记录、交易金额、支付状态、托管记录和提现信息。支付卡信息仅由Stripe处理，绝不会存储在我们的服务器上。

个人资料信息：您自愿提供的任何附加信息，包括您的简介、头像、推荐码和提现设置（国家、货币、账户类型、账户持有人姓名）。

通信数据：通过我们平台内聊天系统交换的消息、纠纷提交、咨询提交和客户支持通信。

使用数据：我们自动收集有关您与本平台交互的信息，包括访问的页面、使用的功能、搜索查询、查看的商品和执行的操作。

设备和技术数据：IP地址、浏览器类型和版本、操作系统、设备类型、屏幕分辨率、引荐URL和访问时间戳。

Cookie和类似技术：我们使用Cookie和类似跟踪技术来维护会话、记住偏好设置和分析平台使用情况。详情请参见第10条。

4. 我们如何使用您的信息

我们将您的个人信息用于以下目的：

• 服务提供：创建和管理您的账户、处理交易、促进托管、实现买家与卖家之间的沟通以及交付购买的数字资产。
• 支付处理：通过Stripe处理支付、通过Stripe Connect管理卖家提现、跟踪交易记录以及防止支付欺诈。
• 通信：通过Resend电子邮件服务发送交易邮件（购买确认、托管更新、提现通知）、回复咨询和提供客户支持。
• 平台改进：分析使用模式、发现错误和性能问题、开发新功能以及优化用户体验。
• 安全和欺诈防范：检测、调查和防止欺诈交易、未经授权的访问、平台滥用和其他非法活动。
• 法律合规：遵守适用的法律、法规、法律程序和政府要求。
• AI辅助功能：使用Google Generative AI服务提供AI生成的商品描述、多语言翻译和内容建议。商品元数据可能由AI模型处理；个人信息不用于AI训练。
• 营销（基于同意）：发送有关平台功能、新商品和市场更新的推广通信。您可以随时选择退出营销通信。

5. 处理的法律依据（GDPR）

对于欧洲经济区（EEA）的用户，我们根据GDPR定义的以下法律依据处理个人数据：

• 合同履行（Article 6(1)(b)）：为履行我们对您的合同义务所必需的处理，包括账户管理、交易处理、托管服务和商品交付。
• 合法利益（Article 6(1)(f)）：为我们的合法商业利益所必需的处理，包括平台安全、欺诈防范、分析和服务改进，同时考虑与您的权利和自由的平衡。
• 法律义务（Article 6(1)(c)）：为遵守法律义务所必需的处理，包括税务报告、反洗钱法规以及回应当局的合法请求。
• 同意（Article 6(1)(a)）：在我们依赖您的同意进行特定处理活动（如营销邮件或可选Cookie）的情况下，您有权随时撤回同意，且不影响撤回前已进行的处理的合法性。

6. 第三方服务提供商

我们仅在运营本平台和提供服务所严格必要的范围内，与以下第三方服务提供商共享您的个人信息：

• Stripe, Inc.（支付处理与卖家提现）：Stripe处理所有支付交易、处理账单和管理退款。Stripe Connect处理向卖家银行账户的提现转账。Stripe接收您的姓名、电子邮件、账单地址和支付信息。Stripe对此数据作为独立的数据控制者。
• Resend（交易邮件）：Resend代表我们发送交易和通知邮件。Resend接收您的电子邮件地址和邮件内容。
• Supabase（数据库托管）：我们的数据库托管在Supabase的基础设施上。存储在Supabase中的所有数据在静态状态下加密。
• Vercel（网站托管）：我们的网站托管在Vercel的基础设施上。Vercel可能处理包含IP地址和请求元数据的访问日志。
• Google（身份验证和AI）：Google提供OAuth身份验证和Generative AI服务。Google接收身份验证令牌和用于AI功能的商品元数据。
• GitHub（身份验证）：GitHub提供OAuth身份验证。GitHub在登录时共享您的公开个人资料信息。

我们不会出于第三方自身的营销目的出售、出租或交易您的个人信息。所有服务提供商受数据处理协议的约束，将其对您数据的使用限于其向我们提供的服务。

7. 国际数据传输

T|EUM从大韩民国运营，我们的服务提供商分布在全球各国。您的个人信息可能被传输到您居住国以外的国家并在那里进行处理，包括美国、欧盟和其他司法管辖区。

对于从EEA向欧盟委员会未认定为充分保护的国家传输个人数据，我们依赖：

• 欧盟委员会批准的标准合同条款（SCCs）。
• 与我们的服务提供商签订的包含适当保障措施的数据处理协议。
• 服务提供商对公认数据保护框架的遵守。

使用本平台即表示您确认并同意将您的信息传输到这些司法管辖区。我们采取合理措施确保您的数据在我们处理数据的司法管辖区内获得充分的保护水平。

8. 数据保留

除非法律要求或允许更长的保留期限，我们仅在实现本隐私政策所述目的所必需的期限内保留您的个人信息：

• 账户数据：在活跃账户期间保留，并在账户删除后额外保留三（3）年，以遵守法律和监管义务。
• 交易记录：自交易日期起保留七（7）年，以遵守税务、会计和反洗钱法规。
• 通信数据：聊天消息和纠纷记录自对话最后一次活动后保留三（3）年。
• 使用和技术数据：自收集之日起保留二十四（24）个月。
• 营销同意记录：在同意期间保留，并在撤回同意后额外保留三（3）年。

当个人数据不再需要时，我们使用行业标准方法安全地删除或匿名化。

9. 您的权利

根据您所在的司法管辖区，您可能对您的个人信息享有以下权利：

• 访问权：请求获取我们持有的您的个人数据副本。
• 更正权：请求更正不准确或不完整的个人数据。
• 删除权（“被遗忘权”）：在法律保留要求的前提下，请求删除您的个人数据。
• 限制处理权：在特定情况下请求限制我们对您个人数据的处理。
• 数据可携带权：以结构化的、常用的、机器可读的格式请求您的个人数据。
• 反对权：反对基于合法利益或直接营销目的的个人数据处理。
• 撤回同意权：在处理基于同意的情况下，随时撤回您的同意。
• 投诉权：向您当地的数据保护监管机构提出投诉。

要行使任何这些权利，请联系support@teum.io。我们将在三十（30）天内回复您的请求。我们可能在处理您的请求前要求验证您的身份。您还可以通过账户个人资料设置直接管理大部分数据，包括更新个人信息和删除账户。

10. 加州隐私权（CCPA）

如果您是加利福尼亚州居民，您根据《加利福尼亚消费者隐私法》（CCPA）享有额外权利：

• 知情权：您可以请求披露我们已收集的个人信息的类别和具体信息、来源类别、收集的商业目的以及我们与之共享信息的第三方类别。
• 删除权：您可以请求删除您的个人信息，但须遵守法律允许的某些例外情况。
• 拒绝出售权：我们不出售个人信息。因此，我们不提供拒绝出售的机制。
• 非歧视权：我们不会因您行使CCPA权利而对您进行歧视。

我们收集的个人信息类别包括：标识符（姓名、电子邮件、IP地址）、商业信息（购买记录、交易数据）、互联网活动（浏览历史、搜索查询）和专业信息（卖家个人资料数据）。要提交CCPA请求，请联系support@teum.io。

11. Cookie和跟踪技术

我们使用以下类型的Cookie和类似技术：

• 必要Cookie：平台功能所必需的，包括身份验证会话管理、CSRF保护、语言偏好和购物车数据。这些Cookie不能被禁用。
• 分析Cookie：帮助我们了解用户如何与本平台互动，包括页面浏览量、功能使用情况和导航模式。这些Cookie用于改进平台性能和用户体验。
• 偏好Cookie：记住您的设置和偏好，如语言选择和显示偏好。

我们不使用第三方广告Cookie或跟踪像素进行行为广告。您可以通过浏览器设置管理Cookie偏好。禁用必要Cookie可能影响平台功能。大多数浏览器允许您阻止或删除Cookie；请参阅浏览器的帮助文档了解操作说明。

12. 儿童隐私

本平台不面向十八（18）岁以下的个人。我们不会故意收集18岁以下儿童的个人信息。如果我们发现无意中收集了18岁以下儿童的个人信息，我们将立即采取措施从记录中删除该信息。如果您认为18岁以下的儿童向我们提供了个人信息，请立即通过support@teum.io联系我们。

13. 数据安全

我们实施适当的技术和组织措施，以保护您的个人信息免受未经授权的访问、篡改、披露或销毁：

• 加密：您的浏览器与我们服务器之间传输的所有数据均使用TLS/SSL（HTTPS）加密。密码使用带有唯一盐值的PBKDF2-SHA512进行哈希处理。
• 访问控制：对个人数据的访问仅限于有知情需要的授权人员。管理员访问需要多因素身份验证。
• 基础设施安全：我们的托管基础设施（Vercel、Supabase）维持SOC 2 Type II合规，并采用行业标准的安全实践。
• 支付安全：信用卡和支付信息仅由符合PCI DSS Level 1的Stripe处理。我们从不存储、处理或访问您的完整支付卡信息。
• 定期监控：我们监控系统的安全事件和漏洞。

尽管我们努力保护您的个人信息，但没有任何电子传输或存储方法是100%安全的。我们无法保证绝对安全，但承诺实施和维护合理的保护措施。

14. 数据泄露通知

如果发生可能对您的权利和自由造成风险的个人数据泄露事件，我们将：

• 按照GDPR的要求，在发现泄露后七十二（72）小时内通知相关监管机构。
• 如果泄露可能对受影响用户的权利和自由造成高风险，将不当延迟地通知受影响用户。
• 提供有关泄露性质、受影响个人的类别和大致数量、可能的后果以及为应对泄露而采取或建议的措施的信息。

我们维护事件响应计划，并定期进行安全评估，以最大限度地降低数据泄露的风险和影响。

15. 政策变更

我们可能会不时更新本隐私政策，以反映我们的实践、技术、法律要求或其他因素的变化。在进行重大变更时：

• 我们将更新本政策顶部的“最后更新”日期。
• 我们将在变更生效前至少十四（14）天通过电子邮件通知注册用户。
• 我们将在平台上发布醒目的通知。

我们鼓励您定期查阅本隐私政策。在任何变更的生效日期后，您继续使用本平台即构成对修订后政策的接受。

16. 联系信息

如您对本隐私政策或我们的数据处理实践有任何疑问、关切或请求，请通过以下方式联系我们：

• 电子邮件：support@teum.io
• 数据控制者：teum, LLC
• 网站：https://teum.io

如有GDPR相关咨询，您还可以联系您当地的数据保护监管机构。