隐私政策

隐私政策服务条款Cookie 政策退款政策
服务承诺协议

隐私政策

生效日期: 2026年1月10日

第一部分:身份与“被动管道”地位

1. “被动管道”地位
Ultimalayer LLC(包括其专有品牌 HostifyX 及域名 hostifyx.com)严格作为“被动传输管道(Passive Conduit)”运营。根据 GDPR“单纯传输(Mere Conduit)”原则(第 2(4) 条)、《数字服务法》(DSA)序言及 CCPA 对“服务提供商”的定义,我方不决定流量数据的处理目的或方式,亦不将任何传输数据用于我方自身目的。我方既非流量内容的“控制者(Controller)”,亦非传统意义上的“处理者(Processor)”;我方仅提供用于传输的基础设施。

2. 严格的无日志承诺
我方不收集、记录或存储通过我方服务传输的任何流量内容、原始 IP 地址、DNS 查询或浏览历史记录。此种“无日志”架构确保了此类数据在技术层面上不存在于我方系统中,从而为防止未经授权的访问或法律索取提供了强有力的隐私保障。

3. 法律依据
我方基于履行合同(即提供服务)的法律必要性以及防止欺诈和滥用的合法利益,处理有限的账户数据。

第二部分:我方收集的信息

4. 账户数据(必要信息)
我方仅收集维护用户账户所需的最少数据:有效的电子邮件地址、经过哈希处理的账户凭据(我方无法查看阁下的密码)以及必要的账单记录。

5. 支付数据
我方不存储完整的信用卡号。所有支付交易均由第三方支付处理商(如 Stripe、PayPal 或加密货币提供商)安全处理。我方仅出于会计目的保留交易 ID。

6. 无敏感数据
我方明确不收集 CPRA 或 GDPR 定义的“敏感个人信息”,包括种族或民族起源、宗教信仰、生物识别数据,或从用户的流量中衍生的精确或大致地理位置数据。

第三部分:我方如何使用信息

7. 服务配置
我方仅将账户数据用于配置计算实例、路由流量及管理用户的订阅。

8. 通信
我方使用用户的电子邮件地址发送发票、关键服务更新及安全通知。除非用户已明确选择加入,否则我方不会将阁下的数据用于营销。

9. 无自动化决策
我方不使用对用户产生法律效力或类似重大影响的算法或自动化决策(ADMT)程序。

10. 禁止出售数据
根据 CCPA/CPRA,我方声明:我方从未且永远不会出于跨情境行为广告之目的出售(Sell)或共享(Share)用户的个人信息。

第四部分:数据共享与子处理者

11. 严格限制
除非为提供服务所严格必要或法律要求,否则我方不会向第三方披露用户的数据。

12. 受信任的第三方
我方仅为了运营服务之目的,与受信任的子处理者(如数据中心、支付网关)共享有限数据。所有子处理者均受严格的《数据处理协议》(DPA)约束。

13. 上游基础设施
我方的服务依赖于全球上游提供商。虽然加密流量流经其硬件,但其无法识别个人用户或访问加密通信的内容。

第五部分:国际数据传输

14. 全球基础设施
用户承认,用户的数据可能会在全球范围内传输和处理,以提供低延迟服务。

15. 传输机制
对于跨境数据传输,我方主要依赖欧盟委员会的《标准合同条款》(SCCs)。在适用情况下,我方亦引用《欧盟-美国数据隐私框架》(DPF)作为补充法律依据。

16. 数据本地化免责声明
用户有责任确保其对服务的使用符合其司法管辖区内适用的任何数据本地化法律。

第六部分:用户权利

17. CCPA/CPRA 权利(加利福尼亚州)
加利福尼亚州居民有权知悉收集了哪些个人信息、请求删除、更正不准确之处,并选择退出个人信息的共享。

18. 多州选择退出权
我方尊重通用的选择退出机制以及美国各州综合隐私法赋予的权利,包括但不限于科罗拉多州(CPA)、弗吉尼亚州(CDPA)以及 2026 年生效的法律(如印第安纳州、肯塔基州)所赋予的权利。

19. GDPR 权利(欧盟/英国)
欧洲经济区/英国用户有权访问、更正、擦除(“被遗忘权”)、限制处理及反对处理其个人数据。

第七部分:安全与数据保留

20. 安全措施
我方采用 AES-256 加密、TLS 1.2/1.3 协议保护传输中数据,并基于最小权限原则实施严格的访问控制。

21. 数据保留政策 流量数据:
实时丢弃(0 秒保留)。流量数据仅在 RAM 中处理,从未写入磁盘。 账户数据: 仅在提供服务或遵守法律/税务义务所需的时间内保留,之后将被不可逆转地删除。

22. 违规通知
如发生经确认的影响用户个人信息的数据泄露事件,我方将根据适用法律通知用户及相关机构。

第八部分:法律披露与透明度

23. 透明度报告
我方承诺定期发布《透明度报告》,详细说明收到的法律请求数量。迄今为止,我方未向任何第三方披露过任何字节的用户流量数据。

24. 法律程序的响应
我方仅响应由具有正当管辖权的有权美国法院签发的有效、具有约束力的法律命令。除非通过《刑事司法协助条约》(MLAT)进行本地化转化,否则我方不响应外国请求。

25. “无法提供我方不持有的数据”
由于我方严格的无日志政策,我方无法响应任何法律请求提供流量日志、浏览历史记录或 DNS 记录,因为此类数据在我方系统中根本不存在。

第九部分:儿童与 Cookie

26. COPPA 合规
我方服务不适用于 13 岁以下儿童。我方不会故意收集儿童的个人信息。

27. Cookie 政策
我方仅使用身份验证和站点功能所需的必要会话 Cookie。我方不使用第三方跟踪 Cookie。

28. 禁止追踪(DNT)/ GPC
我方系统识别并尊重用户浏览器发送的全球隐私控制(GPC)信号。

第十部分:更新与联系方式

29. 政策变更
我方可能会不时更新本《隐私政策》。重大变更将通过电子邮件或我方网站上的显著通知进行传达。

30. 联系信息
如用户对本政策有疑问或希望行使隐私权,请通过 [email protected] 联系我方数据保护团队。