跳转至主内容

法律与合规 · 潮汐云灯版隐私白皮书

隐私政策与数据保护白皮书

版本:v2026.05(Caelum · 潮汐云灯版) · 生效日:2026 年 5 月 26 日 · 下次半年度复审:2026 年 11 月

一句话版本: 我们只保留让产品能正常计费、能正常登录、能正常给你寄送服务通知的最小数据;我们做不到、也不愿意持有"你访问了哪些网站"、"你看了什么内容"或"你的真实 IP 与 VPN IP 的对应表"——这一承诺由 RAM-only 节点架构与 12 个月一次的独立第三方审计共同保证。

本《隐私政策与数据保护白皮书》(以下简称"本政策")由 Caelum Labs Pte. Ltd.(以下简称"Caelum Labs"或"我们")发布,适用于您通过 sl-quickq.com.cn 域名、所有官方客户端(iOS / iPadOS / Android / Windows / macOS / Linux)、Caelum Lantern API 及合作伙伴白标产品使用我们 VPN 加速服务时产生的所有数据交互。本政策同时构成订阅服务协议的有机组成部分。

1 · 我们是谁 / 由谁起草 / 由谁负责

  • 运营主体:Caelum Labs Pte. Ltd.(注册于新加坡 · UEN 202xxxxxxA)
  • 数据保护负责人(DPO):[email protected]
  • 欧盟代表(GDPR Art. 27):[email protected]
  • 英国代表(UK GDPR):[email protected]
  • 巴西代表(LGPD):[email protected]
  • 土耳其代表(KVKK · v10 新增):[email protected]
  • 本政策起草顾问:Caelum Labs 法律与合规小组(含 1 名持牌 GDPR DPO、1 名 ISO 27001 LA 主任审核员、1 名 CCPA Bar Counsel 顾问律师、1 名 PCI-DSS QSA 顾问)

2 · 数据流四象限 · 字段最小化矩阵

我们把所有数据来源拆为四象限,每一象限都对应一个明确的合法性基础与最长保留期:

数据象限 字段示例 合法性基础 保留时长
① 账户开通 邮箱、Argon2id 哈希后的密码、注册 IP(注册当天即模糊化为 /24 网段) 合同必要 账户存续期间 + 注销后 30 天
② 订阅计费 订单号、套餐 SKU、币种、金额、支付方式厂商返回的脱敏交易号(不存卡号 / 不存 CVV / 不存 PAN) 合同 + 法定财务义务 依各司法辖区税法保留 5 – 10 年
③ 客户端遥测 客户端版本、操作系统大版本、CPU 架构、崩溃堆栈(不含目标 IP / 不含 URL / 不含原始 IP) 正当利益(运营 / 安全 / 兼容性) 滚动 90 天(默认)
④ 客服工单 工单内容、附件、邮件正文(如含敏感字段会自动脱敏) 履行客户支持义务 工单关闭 + 180 天

字段最小化原则:每个象限都遵循"问到为止、看到即够"的最小可用集合,任何新增字段都需经 DPO 与安全研究员双签批准。

3 · 我们"做不到"的事 · 可被审计验证的零日志承诺

我们的 VPN 节点全部运行在 RAM-only 架构上:操作系统、配置与运行日志都驻留在易失性内存中,节点一旦断电或被远程触发 sysrq + b 即被清空,无任何方式可以恢复。基于此架构,以下数据我们从原理上就无法保存:

  • 你访问的网站、应用程序或在线服务的域名 / URL;
  • 你通过隧道传输或接收的任何数据内容;
  • 你的原始 IP 与分配给你的 VPN 出口 IP 的"对应表";
  • 你的 DNS 查询历史(我们运行自建 DoH 解析器,且解析日志即时丢弃);
  • 你的连接时间戳明细(仅在计费侧保留当月累计流量计数,下月初归零);
  • 你设备发出的任何元数据流量画像。

SLO 承诺: 每 12 个月由具备 ISO 27001 / SOC 2 资质的第三方机构(当前合作方:Cure53、KPMG Singapore、BSI Group)至少完成 1 轮独立审计;审计摘要发布于支持中心 → 透明度报告页。任何审计发现的 P0/P1 级问题,承诺在 30 个自然日内闭环。

4 · 第三方处理者清单(Sub-processor)

为保障服务可用性,我们会将极小子集的数据委托给以下第三方处理者;所有处理者均签署符合 GDPR Art. 28 的数据处理协议(DPA):

4.1 · 支付与计费类处理者

  • 支付:Stripe Payments Europe Ltd. / PayPal (Europe) S.à r.l. / Adyen / Paddle — 仅处理交易必要字段
  • 对象存储:Tigris Data(EU-Frankfurt-1,v10 取代旧 Backblaze)— 仅存放客服附件与发票 PDF

4.2 · 通信与监测类处理者

  • 邮件投递:Postmark / Amazon SES — 仅用于发送账户验证、订单收据与服务通知
  • 崩溃监测:Sentry(v10 切换为自托管实例,数据驻留欧盟法兰克福;旧 Bugsnag 实例已于 2026-04 下线)

4.3 · 基础设施与身份认证类处理者

  • CDN / Edge Compute(仅营销站):Fastly Compute@Edge(v10 取代旧 Bunny CDN,不缓存任何登录后页面、不收集用户行为画像)
  • 企业 SSO:Auth0 by Okta / WorkOS(仅企业版团队接入;个人账户不涉及)

强提示:客户端到 VPN 节点的隧道流量永远不经过上述任何 SaaS——它们只触达"管理面",不触达"数据面"。

5 · 国际数据传输与司法辖区映射

我们的核心计费数据库分布在欧盟(法兰克福)、亚太(新加坡)与北美(蒙特利尔)三个地理位置。跨境传输依据如下机制:

  • EU → US:依据欧盟委员会标准合同条款(SCC 2021)+ 数据隐私框架(EU-US DPF)。
  • UK → 任意:依据英国国际数据传输附录(IDTA)。
  • 中国大陆用户:依据《个人信息保护法》第 38 条,提供单独同意、合法性影响评估(PIPIA)及标准合同备案。
  • 加州 / 弗吉尼亚 / 科罗拉多 / 康涅狄格用户:依据 CCPA / CPRA / VCDPA / CPA / CTDPA,提供 "Do Not Sell or Share My Personal Information" 入口与年度披露。
  • 巴西用户:依据 LGPD,由 [email protected] 巴西代表负责。
  • 日本用户:依据 Japan APPI,仅在合同必要时跨境传输。
  • 土耳其用户:依据 KVKK 第 9 条,由 [email protected] 土耳其代表负责(v10 新增)。

6 · Cookie 与本地存储 · 精确清单

  • qcl_sess — 登录会话标识,Secure / HttpOnly / SameSite=Lax,有效期 30 天,关闭浏览器或退出即作废。属于必要 Cookie,无法关闭。
  • qcl_csrf — 防跨站请求伪造令牌,仅在表单提交时使用,会话结束即清除。属于必要 Cookie。
  • qcl_locale — 记住你选择的语言(如 zh-CN / en),有效期 180 天,可通过浏览器设置清除。
  • qcl_metric — 自托管的页面访问匿名计数(不含 IP 尾段、不含 UA 指纹),用于内部容量规划,有效期 24 小时。可在浏览器设置 DNT=1 自动跳过。
  • qcl_consent_v11 — 潮汐云灯版同意态记忆,有效期 180 天。版本号每次重大变更递增。

我们承诺: 不投放 Google Analytics、Meta Pixel、TikTok Pixel、Baidu Tongji、Yandex Metrica 等第三方广告追踪脚本;不参与跨站行为重定向;不出售或共享任何 Cookie 数据。

7 · 数据安全控制矩阵

7.1 · 传输层与密码学控制

  • 传输:所有客户端到节点链路全程 AES-256-GCM 或 ChaCha20-Poly1305 加密;启用完美前向保密(PFS);强制 TLS 1.3 + HSTS preload。
  • 密码:账户密码经 Argon2id(m=128 MiB · t=3 · p=4)哈希存储,无任何明文或可逆形式留存。
  • 密钥:节点签名密钥由 YubiHSM 2 硬件 HSM 派生,遵循双人共控(dual-control)操作;密钥轮换周期 90 天。

7.2 · 身份、访问与运维

  • 访问:员工访问内部系统须通过 FIDO2 硬件密钥 + 短时凭据;遵循最小权限原则;所有运维操作可审计回放。
  • 应急:任何 P0 级安全事件 15 分钟内组建应急小组,72 小时内向监管机构通报(GDPR Art. 33)。
  • 备份:备份采用 GPG 加密 + 跨大洲 3-2-1 策略;恢复演练每季度执行一次。

8 · 你的数据主体权利与一键行使

8.1 · 你享有的权利清单

依据 GDPR / UK GDPR / CCPA / 中国《个人信息保护法》/ 巴西 LGPD / 日本 APPI / 土耳其 KVKK 及其他适用法律,你享有以下权利:

  • 知情权 / 访问权:查看我们持有的所有与你相关的数据;
  • 更正权:更正不准确或不完整的账户信息;
  • 删除权("被遗忘权"):要求删除账户及相关数据;
  • 限制处理权 / 反对权:要求暂停对你的数据处理;
  • 数据可携带权:以机读 JSON / CSV 文件接收你的数据副本;
  • 拒绝自动化决策权(含 AI 画像);
  • 向监管机构投诉的权利。

8.2 · 一键行使步骤与时效承诺

一键行使邮件模板: 发送邮件至 [email protected] ,主题填写「[DSAR] · 数据主体请求」,正文写明你希望行使的权利类型即可。我们将在 7 个工作日内确认收到,30 天内闭环回复。

9 · 未成年人保护

本服务不面向 18 周岁以下未成年人。我们不会主动向未成年人推送任何营销内容;若发现误收,我们将立即删除相关账户与数据。法定监护人可通过 [email protected] 提出关闭未成年人账户的申请。

10 · 数据泄露通报流程(4 阶段闭环)

  1. T0 · 检测:安全事件检测 → 15 分钟内启动应急;
  2. T0 + 24h · 评估:完成初步影响评估并落实临时缓解措施;
  3. T0 + 72h · 通报:向有管辖权的数据保护监管机构通报(如 ICO、CNIL、PCPD、PDPC 新加坡);
  4. T0 + 7d · 公示:如评估认为对你的权利与自由存在高风险,将在合理期限内通过注册邮箱 + 支持中心公告同时通知你。

11 · 法律传唤、Warrant Canary 与年度透明度报告

由于 RAM-only 零日志架构的特性,即使收到具有法律效力的传唤令,我们能提供的最多仅有「该邮箱在某段时间是活跃账户」这一事实;无法提供任何浏览记录或目标 IP 信息。

我们每月 1 日在支持中心发布 Warrant Canary 声明(确认未收到强制性 gag order);并在每年 1 月发布上一年度的透明度报告,列出收到的传唤数量、来源国家与最终处理结果。

12 · 营销通信与精细化偏好

我们仅在你明确订阅"产品更新简报"后向你发送营销邮件,且每封邮件底部都附"一键取消订阅"链接。即使取消订阅,你仍会收到必要的账户安全 / 账单到期等"事务性邮件",因为它们是合同履行的必要部分。

13 · 数据保留与定期清理

我们在每月 15 日运行一次自动化数据清理任务:删除超过保留期的崩溃日志、关闭超过 180 天的工单及其附件、清理已注销账户的最后 30 天残留数据。清理任务执行结果会自动同步至 SIEM 系统供审计。

14 · 我们与其他公司的关系

Caelum Labs Pte. Ltd. 是独立法人;我们没有向任何政府机构、广告联盟或情报机构出售、出租或共享用户数据;我们也未参与任何"数据销售"行为(CCPA / CPRA 定义)。

15 · 政策变更与版本治理

本政策实行"半年度复审 + 重大事件即时更新"机制:每次变更将提升 v[年].[月] 版本号,并在生效前至少 30 天通过注册邮箱与支持中心置顶公告通知。如你在变更生效后继续使用服务,视为接受新版本;如不接受,可在保留期内申请退订与账户注销。

16 · 数据可携带性与导出

登录后台 → 账户 → 数据导出,可一键生成包含「订阅 / 计费 / 客户端遥测元数据 / 客服工单标题」的机读 JSON 包;如需 CSV 或 XML 格式,请通过 DPO 通道提交人工请求。我们承诺所有导出包采用客户端可解密的密码学密封信封(age 标准)发送至你的注册邮箱。

17 · AI / LLM 数据使用声明

我们承诺:

  • 不将任何用户数据用于训练 LLM 或其他生成式 AI 模型;
  • 我们内部使用的 AI 辅助工具(如 GitHub Copilot、客服意图分类器)均启用"零保留 / 不训练"模式;
  • 客户提交的 PII 不会被传入任何 LLM API;客服侧 LLM 仅接收脱敏后的工单摘要;
  • robots.txt 与 /ai.txt 仅向"声明遵守不训练用户数据"的爬虫开放抓取(v10 同步遵循 ai.txt v0.2 草案)。

18 · 第三方独立审计计划

我们公开承诺以下"可证伪审计计划":

  • 每 12 个月 1 次「零日志架构」专项审计(Cure53 + KPMG Singapore);
  • 每 6 个月 1 次「客户端供应链」专项审计(Trail of Bits);
  • 每 12 个月 1 次「ISO 27001 / 27701 / 22301」监督审计(BSI Group);
  • 每 12 个月 1 次「SOC 2 Type II」(EY);
  • 每 12 个月 1 次「CSA STAR Level 2」(BSI Group);
  • 所有审计摘要在审计闭环后 30 天内发布于支持中心 → 透明度报告页。

19 · 后量子密码学路线图(v10 新增)

NIST 已于 2024 年正式发布 ML-KEM-768(CRYSTALS-Kyber)与 ML-DSA-65(CRYSTALS-Dilithium)后量子标准。我们的迁移路线图:

  • 2026 Q3 — 在 Caelum Lantern v3 协议中已默认启用混合密钥协商(X25519 + ML-KEM-768),覆盖 100% Pro / Crew 套餐节点;
  • 2026 Q4 — 完成 100% 节点的混合密钥协商上线;客户端开启"PQ-Ready"开关;
  • 2027 Q2 — 节点签名密钥迁移至 ML-DSA-65(与 Ed25519 双签过渡);
  • 2027 Q4 — 全面发布"PQ-Default"版本:默认协议握手即使用后量子算法。

我们承诺:路线图任何节点的延期或方案变更,都会在透明度报告中以"延期原因 + 替代方案"两段式公开。

与我们沟通

注:本政策为简明易读版;如与签订订阅时呈现的法律语言版本存在差异,以法律语言版本为准。如需 PDF 版本归档,请通过 DPO 通道索取。