最后更新:2026 年 4 月 16 日
本《数据处理附录》(“DPA”)构成 MachineFi Inc.(“处理方”)与使用 QuickSilverPro API 的客户(“控制方”)之间《服务条款》的一部分。凡 QuickSilverPro 代表控制方处理个人数据,且该处理属于欧盟 GDPR、英国 GDPR 或同等法律意义下的情形,本 DPA 即适用。
企业客户:如需包含 SCC(标准合同条款)的双方签署版 DPA,请发送邮件至 hello@quicksilverpro.io。
控制方决定提交至本服务的个人数据之处理目的与方式。处理方仅依据控制方记录在案的指示(通过 API 请求参数体现)处理该等个人数据,并且仅为提供服务之目的而处理。
数据主体:控制方应用的终端用户,其输入被提交到 API。类别:提示词和回复内容(其中可能包含控制方选择发送的任何个人数据)、账户元数据以及使用元数据。期限:服务协议有效期内。
仅依据控制方指示处理个人数据,除非法律另有要求(在法律允许的情况下,处理方将先通知控制方)。
对获授权处理个人数据的人员施加保密义务。
实施第 6 节所述的技术和组织措施。
不使用控制方个人数据训练机器学习模型。
在数据主体请求和监管调查方面协助控制方;对于非常规请求,控制方需承担合理成本。
控制方授权处理方聘用我们隐私政策中列明的子处理方。新增或更换子处理方前,我们将至少提前 30 天通过电子邮件或仪表盘通知。若控制方提出合理异议,控制方可终止服务并按比例退还已预付但未使用的费用。
个人数据可能会在美国处理。对于源自 EEA、英国或瑞士的传输,双方依赖欧盟标准合同条款(模块二,控制方向处理方)以及英国国际数据传输附录;在签署企业版 DPA 后,这些文件将通过引用纳入本协议。
传输中的数据使用 TLS 1.2+;强制启用 HSTS。
API 密钥以 SHA-256 哈希形式存储;仅在创建时以明文显示一次。
Webhook 签名通过 HMAC-SHA256 和时间戳有效窗口进行校验。
提示词和回复内容不会持久化到我们的存储中(仅在请求处理期间保留于内存中)。
生产系统访问权限仅授予授权人员,并保留日志以供调查。
托管于 Railway(SOC 2 Type II 基线)并使用 Cloudflare 边缘网络。
一旦发现影响控制方个人数据的已确认个人数据泄露事件,我们将在不无故拖延的情况下通知控制方,且无论如何不晚于知悉后 72 小时。通知将包括泄露性质、数据主体类别及大致人数、可能后果以及已采取的措施。
服务终止后,我们将在 30 天内删除全部个人数据,但法律要求保留的除外(例如税务/会计需要,可保留最长 7 年的汇总非个人形式数据)。控制方可在服务期内随时通过仪表盘或 API 导出账户和使用元数据。
处理方将在控制方请求时提供其最近的第三方审计报告(完成后将为 SOC 2 Type II)或同等摘要。如适用法律要求额外审计权,处理方将在控制方承担费用的前提下提供合理协助。
如本 DPA 与《服务条款》存在冲突,就个人数据处理事项而言,以本 DPA 为准。
数据保护联系人:hello@quicksilverpro.io — MachineFi Inc., 68 Willow Road, Menlo Park, CA 94205, USA。