!给 GDPR 用户的快速说明
MailAI 作为数据处理器(Data Processor),在您(数据控制者,Data Controller)的指示下处理您的邮件数据。我们使用 OAuth 2.0 授权,您的密码始终安全。
您的数据主体权利(访问权、删除权、可携带权等)在第 2 节中有详细说明。您可以通过 notice@ainavhub.cn 随时联系我们行使这些权利。
1数据处理的法律基础
根据 GDPR 第 6 条,MailAI 处理您个人数据的法律基础包括:
📝 合同履行
处理您的邮件数据是为了向您提供约定的 AI 邮件助手服务(GDPR 第 6(1)(b) 条)。
✅ 明确同意
您通过 OAuth 授权页面明确、自愿地同意我们访问您的收件箱(GDPR 第 6(1)(a) 条)。
⚖️ 合法利益
包括系统安全维护、垃圾邮件防护和服务的持续优化(GDPR 第 6(1)(f) 条)。
2您的 GDPR 数据主体权利
GDPR 赋予您以下权利,MailAI 全力支持您行使这些权利:
访问权(第 15 条)
您可以随时要求确认我们是否在处理您的个人数据,以及处理的详细信息(目的、类别、接收方、保留期限等)。我们将在 15 个工作日内提供完整答复。
删除权 / 被遗忘权(第 17 条)
当您撤销同意、数据不再必要或处理不合法时,您有权要求立即删除数据。我们承诺在 30 天内彻底清除所有关联数据。
数据可携带权(第 20 条)
您有权以结构化的、通用的、机器可读的格式(JSON)获取您的数据,并直接传输给其他数据控制者。
限制处理权(第 18 条)
在特定条件下(如数据准确性争议期间),您可以要求限制对您数据的处理。在后台关闭"巡逻模式"即可实现。
更正权(第 16 条)
您可以随时在后台自行更正不准确的个人信息,修改即时生效。
反对权(第 21 条)
您有权反对基于合法利益的数据处理。我们将在收到请求后立即评估并响应。
💡 如何行使您的权利?
发送邮件至 notice@ainavhub.cn,主题注明 GDPR 请求 + 您的邮箱地址。我们将在 15 个工作日内回复。所有权利行使完全免费。
3数据处理架构
MailAI 的系统架构从设计之初就贯彻"隐私优先"原则:
- 🧠内存即时处理:邮件正文在 AI 分析时暂存于内存,任务完成后立即释放。不做持久化存储。
- 🔒AES-256 加密:知识库文件在存储时使用行业最高标准加密,不同租户数据逻辑隔离。
- 🔄OAuth 2.0 令牌:访问令牌有有效期限制,您随时可以撤销。令牌用于 API 调用,我们无法获取您的密码。
4跨境数据传输
我们的主要服务器位于中国(成都),但服务全球用户。对于欧盟用户的个人数据传输,我们采取以下保障措施:
- 📄标准合同条款(SCCs):欧盟委员会批准的标准化数据保护条款,为跨境传输提供法律依据。
- 🔐等同保护:无论数据存储在哪里,我们均适用统一的隐私保护标准,不低于 GDPR 的要求。
- 📋数据处理协议(DPA):企业客户可单独签订 DPA,明确双方在数据处理中的责任和义务。
5数据保护影响评估(DPIA)
MailAI 已针对 AI 邮件处理场景完成了内部数据保护影响评估(Data Protection Impact Assessment)。评估确认我们的"内存即时处理 + 非持久化 + OAuth 授权"架构将隐私风险降至最低水平。DPIA 报告可应要求提供审查。
6安全漏洞响应
根据 GDPR 第 33-34 条,我们建立了完善的安全事件响应流程:
- ⏱️发现个人数据泄露后 72 小时内通知监管机构。
- 📢如泄露可能对用户权益造成高风险,立即通知受影响的数据主体。
- 📋完整的泄露事件记录和根本原因分析,供监管机构审查。
7数据保护官(DPO)
MailAI 已指定数据保护官(Data Protection Officer),负责监督 GDPR 合规事宜:
您也可以直接联系您当地的 GDPR 监管机构提出投诉。我们在欧洲的代表处信息可应要求提供。
8CCPA · 中国个保法 补充说明
🇺🇸 加州消费者隐私法案(CCPA)
如果您是加州居民,CCPA 赋予您以下额外权利:了解我们收集的个人信息类别、要求删除个人信息、选择不出售个人信息(我们不出售)。CCPA 请求请发送至 notice@ainavhub.cn。
🇨🇳 中华人民共和国个人信息保护法(PIPL)
对于中国用户,我们严格遵守《个人信息保护法》的要求:以"最小必要"原则收集和处理个人信息;提供完整的知情同意流程;支持您行使查阅、更正、删除等权利;明确告知数据出境情况。