隐私政策
最后更新: 2026-04-06
unJaena AI(以下简称"本公司")致力于保护您的隐私。本隐私政策说明我们如何收集、使用、存储和共享您的个人数据。本政策符合韩国《个人信息保护法》(PIPA)、欧盟《通用数据保护条例》(GDPR)、日本《个人信息保护法》(APPI)以及中国《个人信息保护法》(PIPL)的相关规定。生效日期:2026年4月6日。
1. 数据控制者
unJaena AI 是一家韩国实体,运营网址为 https://app.unjaena.com,作为通过本服务处理的个人数据的数据控制者。 数据保护官(DPO):Ian Park 邮箱:dpo@unjaena.com 欧盟代表(GDPR Article 27):位于欧洲经济区的数据主体可通过 dpo@unjaena.com 联系我们的欧盟代表。正式任命后将公布专门的欧盟代表联系方式。 一般联系方式:contact@unjaena.com
2. 处理的法律依据
我们基于以下法律依据处理个人数据: 1. 合同履行(GDPR Art. 6(1)(b) / PIPA Art. 15(1)(4)):账户创建、案例管理、证据处理及分析结果交付。 2. 合法利益(GDPR Art. 6(1)(f)):平台安全、欺诈防范、服务质量提升及系统可靠性保障。 3. 法律义务(GDPR Art. 6(1)(c) / PIPA Art. 15(1)(2)):税务记录保存、数据泄露通知以及响应合法的政府请求。 4. 同意(GDPR Art. 6(1)(a) / PIPA Art. 15(1)(1)):分析Cookie、营销通信及敏感信息处理。您可随时撤回同意,且不影响撤回前处理行为的合法性。 5. 公共利益和合法取证目的:本服务面向经授权的取证调查人员和执法机构。上传的取证证据由上传用户在其合法授权范围内进行处理。
3. 收集的个人数据类别
我们收集并处理以下个人数据类别: [必填项目] 1. 账户信息:电子邮箱地址、姓名、个人资料信息、身份验证凭据(由 Clerk 管理)。用途:账户创建、身份验证、服务交付。 2. 支付和账单数据:账单姓名、地址、支付方式详情、交易记录。用途:支付处理、税务合规。注:支付由 Paddle.com Market Ltd 作为注册商户处理。我们不直接存储完整的支付卡信息。 [选填项目] - 组织名称、职务 [取证分析数据] 3. 取证案例数据:用户通过收集工具(Collector)上传的数字取证工件,仅用于取证分析目的处理,保留期满后自动删除。包含项目:\n\n(a) 系统工件:文件系统元数据(MFT、文件属性、时间戳)、注册表数据(系统设置、用户活动记录)、Windows事件日志、预取文件(程序执行记录)、USB设备连接历史、网络日志(连接记录、DNS缓存)、回收站已删除文件元数据、Shell项目(LNK文件、跳转列表)、计划任务、PowerShell历史、BITS作业。\n\n(b) 用户活动:浏览器访问/下载/搜索历史、邮件元数据、云同步日志、应用程序使用记录。\n\n(c) 易失性数据:内存转储(RAM快照、进程内存)。\n\n(d) 移动设备(iOS/Android):设备系统信息、已安装应用、Wi-Fi历史、通话/短信/联系人记录、即时通讯聊天记录(KakaoTalk、Telegram、LINE、WhatsApp、iMessage等)、社交媒体活动(Instagram、Facebook等)、位置数据和路线历史、金融应用数据、浏览器和邮件数据。\n\n(e) 磁盘映像及其他操作系统:完整磁盘映像(E01/RAW格式)、macOS工件(统一日志、FSEvents、钥匙串、启动代理/守护进程)、Linux工件(auth/syslog/kern日志、Shell历史、SSH、crontab、Docker、Web服务器日志)。\n\n注意:以上数据可能包含个人信息和敏感信息。在数据收集同意步骤中提供单独通知。目的:AI驱动的取证分析、报告生成。用户有责任确保对上传数据拥有合法权限。 4. 恶意软件样本:提交用于分析的可执行文件和可疑二进制文件。用途:恶意软件识别、行为分析。 [自动收集项目] 5. 使用和技术数据:IP 地址、浏览器类型、设备信息、访问时间戳、功能使用模式。用途:服务运营、安全监控、故障排除。 6. 通信数据:支持请求、反馈、往来通信。用途:客户支持。 7. Cookie 数据:Cookie 标识符、会话令牌。用途:身份验证、偏好设置、分析(详见 Cookie 部分)。 收集方式: 1. 注册和服务使用过程中的直接输入 2. 通过收集工具(Collector)上传工件 3. 服务使用过程中自动生成的信息(服务器日志、Cookie、设备信息)
4. 数据使用方式
您的数据用于:(1) 服务交付——运营平台、处理案例、生成报告;(2) 账户管理——身份验证、订阅管理;(3) 支付处理——通过 Paddle 作为注册商户处理;(4) 安全保障——防止未授权访问、欺诈检测;(5) 服务改进——汇总使用分析、性能优化;(6) 法律合规——遵守适用法律、响应合法权力请求;(7) 通信——服务通知、安全警报、政策更新。 我们遵循数据最小化原则(GDPR Art. 5(1)(c) / PIPA Art. 3(1)),仅收集实现特定目的所必需的数据。
5. 数据保留期限
1. 取证案例数据和恶意软件样本:上传后默认保留30天(用户可配置)。用户可通过账户设置选择更短的保留期限。到期后永久销毁。 2. 账户信息:账户活跃期间保留。收到删除请求后,在30天内删除(受法定保留义务约束)。 3. 支付和账单记录:自交易日起保留5年(韩国税法和欧盟增值税法规要求)。 4. 服务器日志:保留90天,之后自动清除。 5. 通信记录:账户存续期间加1年。 6. 消费者投诉或争议记录:3年(依据韩国《电子商务消费者保护法》)。 7. 合同或订阅记录:5年(依据韩国《商法》)。 保留期限届满后,数据将按照本政策所述的销毁程序予以销毁。
6. 数据处理者和受托方
根据 GDPR Article 28 和 PIPA Article 26,我们与以下数据处理者合作,各方均受数据处理协议约束: 1. Clerk, Inc.(美国)——用户身份验证、身份管理。联系方式:https://clerk.com/legal/privacy - 保留期限:账户关闭时删除 2. RunPod, Inc.(美国)——用于 AI 取证分析的 GPU 计算基础设施。联系方式:https://www.runpod.io/privacy-policy - 保留期限:分析完成后立即删除 3. Cloudflare, Inc.(美国)——加密对象存储(R2)、CDN、DDoS 防护。联系方式:https://www.cloudflare.com/privacypolicy/ - 保留期限:用户配置的期限(默认30天) 4. Google LLC(美国)——社交登录(Google OAuth)。联系方式:https://support.google.com/accounts - 保留期限:会话结束时删除 5. Paddle.com Market Ltd(英国)——支付的注册商户,负责账单、税务、退款处理。Paddle 作为支付交易数据的独立控制者。联系方式:https://www.paddle.com/legal/privacy - 保留期限:法律要求(5年) 子处理者变更:我们将在数据处理者发生任何变更(包括新增或更换)前至少30天通知用户。如您对新的处理者有异议,可以终止您的账户。
7. 跨境数据传输
您的数据可能被传输至以下国家或地区: 1. 美国:RunPod(计算)、Cloudflare(存储)、Clerk(身份验证) 2. 英国:Paddle(支付处理) 3. 大韩民国:unJaena AI(主要运营地) 保障措施: - 欧洲经济区/英国传输:依据 GDPR Articles 44-49 签署标准合同条款(SCCs),并进行传输影响评估。 - 韩国:遵守 PIPA Articles 28-2 和 28-3,确保等效的数据保护标准。 - 日本:遵守 APPI Article 28,确保等效的保护水平。 - 中国:在适用情况下,遵守 PIPL Articles 38-39,包括就跨境传输取得单独同意。 所有取证数据在传输前均使用 AES-256-GCM 加密。数据通过 TLS 1.2+ 连接传输。 同意撤回:您可随时通过联系 dpo@unjaena.com 撤回对国际数据传输的同意。撤回同意可能会限制您使用某些需要跨境数据处理的服务功能。
8. 数据共享与披露
我们不会出售、出租或交易您的个人数据。我们仅在以下情况下共享数据: 1. 与上述数据处理者共享,受约束性协议规范。 2. 法律、法规或有效法律程序要求时(在法律允许的情况下会发出通知)。 3. 为保护 unJaena AI、我们的用户或公众的权利、财产或安全。 4. 与合并、收购或资产出售相关时(会通知受影响的用户)。 5. 经您明确同意。 取证案例数据和恶意软件样本绝不会在用户之间共享。每个用户的数据在逻辑上相互隔离。
9. 敏感信息
取证证据可能包含敏感个人信息,包括生物识别数据、健康记录、财务信息、通信数据,或揭示政治观点或宗教信仰的信息。 1. 用户责任:上传取证数据的用户必须确保具有合法授权,并在需要时具备适当的法律依据(包括根据 PIPA Art. 23 和 PIPL Art. 29 取得的单独同意)来处理敏感信息。 2. 单独同意:当适用韩国法律(PIPA)或中国法律(PIPL)且明知涉及敏感信息处理时,我们将取得单独的、明确的同意。 3. 目的限制:取证数据中的敏感信息仅按照用户的指示用于取证分析。 4. 增强保护:所有取证数据均使用 AES-256-GCM 加密,采用按案例隔离的密钥并实施严格的访问控制。
10. 自动化决策与 AI 处理
根据 GDPR Article 22 和 PIPA Article 37-2: 1. 本服务使用 AI(大语言模型、MITRE ATT&CK 映射、恶意软件行为分析、语义搜索、时间线重建)作为核心分析工具。 2. 不作出具有法律效力的纯自动化决策:AI 分析生成的是供人类调查人员参考的咨询报告。本服务不会自主做出法律裁定或执法行为。 3. 人工监督:分析结果旨在由合格专业人员进行审查。 4. 您的权利:您可以获取所涉及逻辑的相关信息,请求人工审查,表达您的意见,并对分析结论提出异议。联系方式:dpo@unjaena.com 5. AI 分析可能存在不准确之处。用户应独立验证关键发现。 我们已依据 GDPR Article 35 的要求,对涉及取证证据 AI 分析的处理操作进行了数据保护影响评估(DPIA)。DPIA 摘要可通过联系 dpo@unjaena.com 获取。 本披露依据 GDPR Article 22、PIPA Article 37-2 和《人工智能基本法》第4条提供。
11. 数据主体权利
您可以通过账户设置菜单或联系 dpo@unjaena.com 行使以下权利: 1. 访问权(GDPR Art. 15 / PIPA Art. 35) 2. 更正权(GDPR Art. 16 / PIPA Art. 36) 3. 删除权(GDPR Art. 17 / PIPA Art. 36) 4. 限制处理权(GDPR Art. 18) 5. 数据可携带权(GDPR Art. 20) 6. 反对权(GDPR Art. 21 / PIPA Art. 37) 7. 撤回同意权(GDPR Art. 7(3) / PIPA Art. 37) 8. 自动化决策相关权利(GDPR Art. 22 / PIPA Art. 37-2) 响应时限: - 韩国(PIPA):10日内 - 欧盟/欧洲经济区(GDPR):30日内(复杂请求可延长60日) - 日本(APPI):不当延迟地响应 我们可能在处理请求前验证您的身份。合理请求不收取费用。
12. 投诉权
您可以向以下监管机构提出投诉: 1. 韩国——个人信息保护委员会(PIPC):https://www.pipc.go.kr,+82-2-2100-3399 - 韩国互联网振兴院(KISA):privacy.kisa.or.kr / 118 - 个人信息纠纷调解委员会(KOPICO):kopico.go.kr / 1833-6972 - 大检察厅网络侦查科:spo.go.kr / 1301 - 警察厅网络侦查局:ecrm.police.go.kr / 182 2. 欧盟——您所在成员国的数据保护机构(如爱尔兰 DPC、法国 CNIL、德国 BfDI) 3. 日本——个人信息保护委员会(PPC):https://www.ppc.go.jp 4. 英国——信息专员办公室(ICO):https://ico.org.uk 我们建议您先联系 dpo@unjaena.com 以直接解决相关问题。
13. 儿童数据
本服务仅面向成年人。最低年龄要求:18岁。我们不会故意收集未满18岁人士的数据。此标准高于 GDPR Art. 8 和 COPPA 的要求。 如果我们发现已收集未成年人的数据,将立即删除相关数据并终止关联账户。如果您认为我们收集了未成年人的数据,请联系 dpo@unjaena.com。 成年用户上传的取证证据可能附带涉及未成年人的数据。上传用户有责任确保遵守儿童保护法律。
14. Cookie 和追踪技术
1. 严格必要:身份验证会话(Clerk)、CSRF 令牌。不可禁用。有效期:会话至30天。 2. 功能性:语言偏好、主题设置。有效期:1年。 3. 分析:用于服务改进的匿名化使用数据。仅在您同意后设置。有效期:最长1年。 4. 我们不使用:广告 Cookie、社交媒体追踪像素或跨站追踪。 ��次访问时,系统将显示 Cookie 偏好对话框,您可以选择接受或拒绝非必要 Cookie。 您可以通过账户设置或浏览器控件管理 Cookie 偏好。禁用必要 Cookie 可能影响服务功能。
15. 数据泄露通知
1. 监管机构:当发现可能危及权利和自由的泄露事件后,我们将在72小时内通知相关监管机构(GDPR Art. 33 / PIPA Art. 34)。 2. 受影响的数据主体:当泄露构成高风险时,我们将不当延迟地通知受影响的用户,包括:泄露性质、受影响的数据、可能后果、已采取的措施以及 DPO 联系方式。 3. 预防措施:AES-256-GCM 加密、TLS 1.2+、严格的访问控制、定期安全评估及逻辑数据隔离。
16. 数据销毁方式
根据 PIPA Article 21: 1. 取证数据:通过删除按案例分配的 AES-256-GCM 密钥进行密码学擦除,随后从存储中永久删除。 2. 数据库记录:从 PostgreSQL 中安全删除并进行验证。 3. 对象存储(R2):永久删除对象并进行验证。 4. 日志:90天保留期后自动清除。 5. 备份:在主数据删除后30天内销毁。 所有存储系统的销毁操作均有记录且可审计。
17. 安全措施
我们采取以下措施保障个人信息安全: 技术措施: - 对所有静态数据进行 AES-256-GCM 加密 - 对所有传输数据进行 TLS 1.2+ 加密 - 按案例隔离的加密密钥 - 定期安全评估和渗透测试 管理措施: - 最小化个人信息访问权限 - 员工安全培训 - 个人信息处理记录管理 物理措施: - 使用通过 ISO 27001 和 SOC 2 认证的数据中心 个人数据的访问仅限于有业务需要的授权人员。所有接触数据的员工和承包商均受保密义务约束。
18. 隐私政策变更
1. 提前通知:重大变更生效前至少30天,通过电子邮件和服务内通知告知。 2. 重大变更包括:新增数据类别、新增处理目的、共享/传输做法变更、保留期限变更、权利变更。 3. 变更生效日期后继续使用即视为知悉。如您不同意,请停止使用并申请删除账户/数据。 4. 翻译:提供韩语、英语、日语和中文版本。如有冲突,韩国法律事项以韩语版本为准;其他事项以英语版本为准。
19. 联系方式
数据保护官:dpo@unjaena.com 响应时间:10个工作日内(PIPA)/ 30个日历日内(GDPR) 一般咨询:contact@unjaena.com 网站:https://app.unjaena.com 欧盟代表:请通过 dpo@unjaena.com 联系 unJaena AI,大韩民国 生效日期:2026年4月6日