🔒 数据合规与隐私承诺

所有原始数据 + LLM 采样响应 + 客户上传 (BHT/Kantar PDF) 入库 阿里云华东 1 (杭州 cn-hangzhou)。 不经过任何境外节点。CF Pages 仅托管 frontend HTML/JS, 不缓存业务数据。

客户业务数据不出境 · 包括但不限于 BHT 调研 / KOL ROI / 投放预算 / 客户电商数据。 仅 LLM 调用本身经过模型厂商 (DeepSeek/Kimi/MiniMax/智谱) 标准 API, 这些厂商的服务器均在境内, 详见各厂商隐私政策。

客户提出书面要求 14 天内提供完整数据导出 (CSV + JSONL + Postgres dump), 含原始 LLM 采样, 计算指标, 客户上传文件。导出后 30 天内删除全部副本, 提供书面销毁证明。

客户数据 + LLM 采样回答均不用于训练任何 LLM 模型, 也不用于优化第三方厂商的模型。 采样数据仅用于客户自己的 dashboard / chat agent / 简报输出。

每个客户的 brand list / 上传文件 / chat 历史在 DB 层 strict isolation (customer_id + brand_id 双键索引), 无任何数据可被跨客户访问。 内部工程师通过 audit log 才能 read-only 访问 (留痕)。

所有接入的国内 LLM (DeepSeek / Kimi / MiniMax / 智谱) 在 API 调用层有 "本次请求数据不入训练集" 的标准条款 (各厂商已签 SOP), 我们只调标准 API, 不接 fine-tune / 蒸馏 / 数据购买等接口。

所有 dashboard / chat / 简报 入口需账号认证 (邮件/SSO), 客户管理员可创建/撤销 BM / Insights Lead 账号 (RBAC, 4 角色: admin / writer / reader / auditor)。

Vendor API key (DeepSeek / TikHub 等) 储存在我方密钥管理系统 (KMS), 不接触客户. 客户内部数据接入 (天猫数据银行 / 抖音电商罗盘 / CDP) 走 OAuth, refresh token 加密存储, 不读 secret_key.

所有 read / write / chat / export 操作均有 timestamp + user_id + IP + resource_id 留痕, 客户可申请审计日志导出。日志保留 180 天。

[email protected] · 24h 内 acknowledge · 7 天内修复 critical / 30 天内修复 medium。 已知 CVE 在 quarterly security review 通报。

dashboard / chat 月可用性目标 99.5% (excl. scheduled maintenance, <4h/月). 年终未达标按月费 pro-rata 退还。

每日 cron 跑 `reliability/checks.py` (5-pillar 框架: freshness / volume / distribution / schema / lineage) 自动检测异常并 publish_safe=false 时下线 dashboard 直至修复。 客户可在 ReliabilityBanner 实时看本周异常清单。

标准 SaaS 协议含本页全部承诺。客户法务可基于此页起草补充协议条款。 重大变更 30 天前邮件通知, 客户有权 30 天内无理由解约 + pro-rata 退款。

合同终止后 60 天内销毁客户所有数据 (含离线备份), 提供数据销毁证书 (含 SHA256 hash + 销毁时间 + 操作工程师签名)。

所有合规问题 → [email protected] · 法务承包: bbd.sh studio (Pearler Pte Ltd · Singapore) 主体合同。