隐私政策 Privacy Policy

XXLink(以下简称"本服务"、"我们"或"本公司")提供加密连接与网络优化订阅服务。本隐私政策 说明我们在您使用本服务时收集、使用、共享和保护信息的方式,以及您依据适用法律享有的权利。

本政策说明 XXLink 如何在提供服务、处理支持请求、保障账号安全和履行合规义务时处理必要信息。 我们的核心设计原则是:最小化数据收集、不检查通信内容、 以及让您对自己的数据保持可理解的控制。

使用本服务即表示您已阅读并理解本政策。如您不同意本政策,请停止使用本服务。

我们仅收集为提供和维护服务所必需的最少信息。以下为所收集数据的类别:

关于连接元数据的说明:这是"连接发生了"这一事实的记录(何时、到哪个服务区域、 用了多少流量),不包含您访问的网站、DNS 查询或传输内容。它用于故障排查、 防止滥用、以及在收到有效法律请求时满足最低限度合规义务。我们在 30 天后将其自动删除。

XXLink 的设计原则是:对于我们无需知道的信息,我们选择不记录。具体而言,我们不收集以下信息:

• 您通过本服务传输的数据内容(不检查、不过滤、不存储)
• 您访问的目标网站、域名或目标 IP 地址
• 您发起的 DNS 查询内容
• 您的浏览历史或应用使用行为
• 完整的浏览历史、访问内容或应用内行为画像；部分系统日志可能在有限时间内记录 IP 相关信息，用于安全、防滥用、故障排查和合规处理
• 您的精确地理位置(GPS 坐标)
• 您的通讯录、相册、麦克风或摄像头数据
• 广告标识符(IDFA/GAID)

我们仅为以下目的使用收集到的信息:

• 提供和维护服务:账号认证、客户端配置分发、服务区域调度
• 处理订阅与支付:对账、续订、退款
• 发送必要的服务通知:故障告警、条款变更、安全提醒、账号异常登录(非营销邮件)
• 防止滥用、欺诈与安全威胁:识别多账号滥用、DDoS 防护、异常登录
• 改进产品:基于匿名化、聚合化数据改进性能与稳定性
• 法律合规:响应有效的法律请求(传票、法院命令);履行税务、反洗钱义务

我们不使用您的个人信息进行行为广告、跨站追踪或向第三方营销商出售。

我们仅在以下情形下与第三方共享信息,且仅共享完成相应目的所必需的最少数据:

• 支付处理商:我们使用结算页面显示的第三方支付处理商处理付款。 处理商可能接收您的邮箱、订单金额、订单编号和支付状态;不接触您的账号密码、连接元数据或其他个人信息。各支付处理商有独立的隐私政策。
• 基础设施提供商:Vultr(服务器托管)、Cloudflare(CDN / DNS / DDoS 防护)等 可能在技术层面接触到连接元数据。这些服务商受合同约束,仅为提供基础设施而处理数据。
• 邮件服务商:我们使用 Resend 发送事务性邮件 (注册确认、密码重置、订单收据、安全通知)。他们接收:您的邮箱与邮件内容。
• 法律要求:当收到有效的法律请求(如加州法院发出的传票、法院命令)时, 我们可能依法提供相应信息。我们不会主动向执法机构提供信息;如法律允许, 我们会就请求通知受影响的用户。
• 企业交易:如发生合并、收购或资产出售,用户信息可能作为交易资产的一部分 被转移,届时我们会提前通知并保证继承方遵守至少同等的隐私保护义务。

我们不会将您的个人信息出售、出租或披露给第三方用于营销目的。

存储位置:主数据库位于美国。备份可能位于其他受适当保护的区域。 欧盟/英国居民的数据跨境传输依赖 Standard Contractual Clauses (SCCs),详见第 8 节。

技术与组织措施:

• 密码使用 Argon2id 单向哈希,不可逆、不以明文存储
• 数据传输使用 TLS 1.3 加密
• 数据库启用 at-rest 加密
• 遵循最小权限原则,管理员访问受审计日志追踪
• 关键基础设施启用多因素认证(MFA)
• 定期进行依赖项扫描、漏洞修补与安全审计

安全漏洞报告:如您发现安全漏洞,请联系 security@xxlink.net。我们遵循负责任披露流程。

尽管我们努力保护您的信息,但互联网上没有绝对安全的传输或存储手段。 如发生影响您个人信息的安全事件,我们将依适用法律及时通知受影响的用户。

如果您是加利福尼亚州居民,您依据《加州消费者隐私法》(CCPA)及其修正案 《加州隐私权法》(CPRA)享有以下权利。

7.1 过去 12 个月收集的个人信息类别 Categories of PI Collected

• 身份标识符 Identifiers:邮箱、账号 ID、有限 IP 相关信息
• 商业信息 Commercial Info:订阅记录、订单记录、交易哈希
• 网络活动 Internet Activity:连接元数据(时间/服务区域/字节)、应用崩溃日志
• 地理位置 Geolocation:仅国家/地区级别(由 IP 推断,用于服务区域调度),非精确位置

7.2 您的权利 Your Rights

• Right to Know / Access:要求我们披露所收集的个人信息类别、来源、用途、共享对象
• Right to Delete:要求删除我们收集的您的个人信息(法律保留义务除外)
• Right to Correct:要求更正不准确的个人信息
• Right to Opt-Out of Sale:选择不让我们出售您的个人信息
• Right to Opt-Out of Sharing:选择不让我们为跨站行为广告共享您的信息
• Right to Limit Use of Sensitive PI:限制对敏感个人信息的使用
• Right to Non-Discrimination:行使上述权利不会受到服务或价格上的歧视

7.3 Do Not Sell or Share My Personal Information

我们不出售也不为跨站行为广告共享您的个人信息。因此,我们没有需要您 "opt-out" 的销售或共享活动。尽管如此,如您仍希望向我们发出不出售/不共享的正式请求, 可发送邮件至 privacy@xxlink.net,主题写明 "Do Not Sell or Share"。

7.4 授权代理 Authorized Agent

您可以指定授权代理代您提交请求。授权代理需提供书面授权证明(您签署的授权书) 以及代理自身的身份证明。我们保留独立向您核实身份与授权的权利。

7.5 如何行使权利 How to Exercise

请发送邮件至 privacy@xxlink.net,主题注明 "CCPA Request"。我们通常在收到请求后 15 个工作日内确认, 并在 45 天内实质性响应(如有必要可延长 45 天并告知您)。 我们可能需要核实您的身份(如要求您从注册邮箱发送请求)。

如果您位于欧洲经济区(EEA)、英国或瑞士,您依据《通用数据保护条例》(GDPR)及 《英国 GDPR》享有以下权利。

8.1 数据主体权利 Data Subject Rights

• 访问权 Right of Access:获取我们持有的您的个人数据副本
• 修正权 Right to Rectification:更正不准确或不完整的数据
• 删除权 Right to Erasure(被遗忘权):在适用条件下要求删除
• 限制处理权 Right to Restriction:在特定情形下限制处理
• 数据可携带权 Right to Data Portability:以结构化、通用、机读格式获取数据
• 反对权 Right to Object:反对基于合法利益或直接营销的处理
• 不受自动化决策约束的权利:我们不对用户执行具有法律或显著影响的自动化决策
• 撤回同意权:如处理基于您的同意,您可随时撤回(不影响撤回前处理的合法性)

8.2 处理的法律依据 Legal Basis

• 合同履行 Contract(GDPR Art. 6(1)(b)):处理账户、订阅、支付以提供服务
• 合法利益 Legitimate Interest(Art. 6(1)(f)):防滥用、防欺诈、产品改进(基于匿名聚合数据)
• 法律义务 Legal Obligation(Art. 6(1)(c)):税务、反洗钱、响应有效法律请求
• 同意 Consent(Art. 6(1)(a)):营销邮件(如有)、可选功能的数据处理

8.3 国际数据传输 International Data Transfers

我们的主数据库位于美国。当您的个人数据从 EEA/UK 传输至美国或其他地区时, 我们依赖欧盟委员会批准的 Standard Contractual Clauses (SCCs)及必要的补充措施(加密、访问控制、审计日志)作为传输的合法机制。 您可通过 privacy@xxlink.net 索取 SCCs 副本。

8.4 如何行使权利及投诉权 How to Exercise & Right to Complain

请发送邮件至 privacy@xxlink.net。我们将在一个月内响应(复杂请求可延长两个月)。 您也有权向您所在国的数据保护监管机构(DPA)投诉,例如爱尔兰 DPC、法国 CNIL、 德国 BfDI、英国 ICO 等。

我们依照以下保留期限管理您的数据:

到期后,数据将被自动删除或不可逆匿名化。您可随时请求提前删除账号数据 (法律保留义务除外,如已发生的交易记录)。

本网站仅使用以下两类 Cookie:

• 必要 Cookie Strictly Necessary:用于维持登录会话(Session Cookie, 关闭浏览器后失效;或有限期限的持久 Cookie 用于"记住我"功能)、CSRF 防护。 没有这些 Cookie 网站无法正常运作。
• 功能 Cookie Functional:例如保存语言偏好、主题偏好。

我们不使用以下技术:

• 第三方追踪 Cookie
• 广告 Cookie、重定向像素和类似跨站营销追踪工具
• Google Analytics、Mixpanel 等行为分析工具
• 会话录制工具(Hotjar、FullStory 等)

您可通过浏览器设置阻止或删除 Cookie。禁用必要 Cookie 可能导致登录功能不可用。

本节依照 Apple App Store 的"App Privacy"披露要求,按 Apple 定义的数据类别 列出本服务的数据实践。

用于追踪您的数据 Data Used to Track You

None(无)。

我们不跨应用或网站追踪您的行为,不将您的身份与第三方数据合并用于广告投放或衡量。

与您关联的数据 Data Linked to You

• 联系方式 Contact Info:邮箱地址
• 购买记录 Purchase History:订阅套餐、交易记录
• 使用数据 Usage Data:连接时间、服务区域、流量字节(聚合层面与账户关联)
• 身份标识符 Identifiers:账号 ID

不与您关联的数据 Data Not Linked to You

• 诊断数据 Diagnostics:匿名化崩溃日志、性能数据

本服务不面向 13 岁以下 儿童。我们不会有意收集 13 岁以下儿童的个人信息。 这符合美国《儿童在线隐私保护法》(COPPA)的要求。

13 至 17 岁的未成年人使用本服务须取得父母或法定监护人的同意。 付费订阅要求使用者年满 18 岁,具备订立合同的完全民事行为能力。

如我们发现注册者为 13 岁以下儿童,我们将立即停用该账号并删除相关个人信息。 如您是父母/监护人,发现未成年人在未经您同意的情况下向我们提供了信息, 请联系 privacy@xxlink.net。

我们可能不时更新本隐私政策以反映服务、法律或业务实践的变化。更新时我们将更新页面顶部 的"最后更新"日期。

对于重大变更(例如新增数据类别、引入新的数据接收方、延长保留期), 我们将在生效前至少 30 天通过邮件通知注册用户,并在必要时请求重新同意。

在变更生效日期之后继续使用本服务,即视为您已接受更新后的政策。

关于本政策或您的数据,请通过以下方式联系我们:

• 隐私请求(CCPA / GDPR / 数据主体权利): privacy@xxlink.net
• 安全漏洞报告: security@xxlink.net
• 法律通知: legal@xxlink.net