隐私政策

最后更新: 2026-05-29

摘要

本地优先：您的视频文件、缩略图、标签和转录文本始终保存在您的设备上，不会上传到我们的服务器。
购买与许可：我们仅存储有限的数据，用于发放和验证许可证以及处理退款/退单。
可选的应用遥测和错误报告：默认禁用；您可以随时在应用中启用或禁用。
网站分析与嵌入媒体：仅当您在 Cookie 横幅中同意相应类别后，Google Analytics 和 YouTube 嵌入内容才会加载。

数据控制者

PAULUS DIGITAL SOLUTIONS LLC 是通过本网站和 ClipCatalog 应用程序收集的个人数据的数据控制者。

3833 POWERLINE RD SUITE 201
FORT LAUDERDALE, FL. US 33309
privacy@clipcatalogpro.com

欧盟代表（GDPR 第27条）：PAULUS DIGITAL SOLUTIONS LLC 是在美国设立的控制者，处理 EU/EEA 居民有限范围的个人数据（电子邮箱、许可证权益，以及由我们的 Merchant of Record——Paddle.com Market Limited 处理的支付数据）。我们目前尚未根据 GDPR 第27条指定欧盟代表。EU/EEA 数据主体仍享有 GDPR 规定的全部权利，可通过发送电子邮件至 privacy@clipcatalogpro.com 行使上述权利。EU/EEA 数据主体也有权向其居住成员国的监管机构提出投诉。随着我们处理数据规模的增长，我们将重新评估第27条项下的代表指定义务。

数据保护官：PAULUS DIGITAL SOLUTIONS LLC 未根据 GDPR 第37条指定数据保护官；强制任命标准并不适用于我们的规模和处理活动。如有任何数据保护方面的咨询，请发送至 privacy@clipcatalogpro.com。

网站分析

我们在本网站上使用 Google Analytics 来了解访问者如何使用本站并加以改进。Google Analytics Cookie 仅在您通过 Cookie 横幅同意分析类别后才会加载。

在您同意后，Google 可能会收集和处理诸如您的 IP 地址、浏览器类型、访问页面和在网站上停留时间等数据。更多信息请参阅 Google 隐私政策。

Google Analytics 仅在您同意后启用。您可以随时撤回同意（请参阅我们的 Cookie 政策）。

嵌入视频（YouTube）

本网站的部分页面嵌入了一段由 YouTube 提供的简短产品演示视频。该嵌入使用 youtube-nocookie.com（Google 的隐私增强版本），且不会加载，除非您通过 Cookie 横幅主动同意外部媒体类别。在此之前会显示占位图，没有任何数据流向 Google。

当您给予同意且播放器加载时，Google 会接收您的 IP 地址、浏览器 user-agent、引荐来源（通过 strict-origin-when-cross-origin 限制）— 以及，如果您在同一浏览器中登录了 Google 账户，您的 Google 账户 Cookie。Google 可能会在其自身来源设置存储以记忆播放偏好等类似信息。请参阅 Google 隐私政策和 YouTube 服务条款。

合法依据（EEA/英国）：GDPR 第6条第1款(a)项下的同意，通过在 Cookie 横幅中启用外部媒体类别（或通过点击视频卡上内嵌占位图中的启用外部媒体）作出。您可以随时通过网站页脚中的Cookie 设置链接或清除外部媒体复选框撤回同意；后续页面加载将不再加载 YouTube，已经渲染的嵌入将恢复为占位图。

提供者：YouTube 由 Google Ireland Limited（Gordon House, Barrow Street, Dublin 4, Ireland）面向 EEA/英国/瑞士的用户运营，由 Google LLC（1600 Amphitheatre Parkway, Mountain View, CA 94043, USA）面向其他地区的用户运营。跨境传输：任何向美国的传输均依赖 Google 在 EU-US Data Privacy Framework 下的认证，在该框架不适用时，则依赖 Google 公布的标准合同条款作为备选。

您可以通过清除浏览器中本域的网站数据来更改您的选择，或在我们的 Cookie 政策中查看详情。

应用数据

ClipCatalog 设计为在您的设备上本地运行。您的视频文件、缩略图、标签和转录文本仍保留在您的存储中，不会上传到我们的服务器。

Telemetry and error reporting are prompted on first launch and disabled unless you opt in. No video content is ever sent.

人脸识别数据（生物识别）

ClipCatalog 包含可选的人脸识别功能，该功能默认禁用。您必须在应用设置中明确启用才能使用。是否启用人脸识别完全由您决定。

在适用的数据保护法律下（包括将生物识别数据归类为个人数据特殊类别的欧盟《通用数据保护条例》（GDPR）第9条），人脸识别数据可能构成生物识别数据。

所有人脸识别处理均完全在您的本地设备上进行。人脸数据（如人脸嵌入、分组及相关元数据）仅存储在您的设备上，绝不会被上传、传输或共享给我们或任何第三方。我们无法访问您的人脸识别数据。

您可以随时通过应用中的专用删除按钮永久删除所有人脸识别数据。禁用人脸识别功能后，所有进一步的人脸相关处理都会停止。

为符合《欧盟人工智能法案》（法规 (EU) 2024/1689）第 50 条的透明度义务，ClipCatalog 会在应用内的设置 → 人脸检测中向您披露设备本地的 AI 人脸检测系统，并提示 AI 结果可能不准确。

除人脸识别外，ClipCatalog 还内置了一套设备本地的图像标签词汇表，用于描述您视频中的场景与物体。该词汇表不包含可推断您的种族或族裔出身、政治观点、宗教或哲学信仰、工会会员身份、性生活或性取向的标签。这些类别从生物特征数据中加以推断的行为已被《欧盟人工智能法案》第 5 条第 1 款 (g) 项明确禁止。该词汇表确实包含一些带有文化或宗教含义的通用物体与场景标签（例如「教堂」、「清真寺」、「犹太会堂」、「圣经」、「十字架」）以及可能根据可见服饰与环境而适用的职业标签（例如「僧侣」、「修女」、「传教士」）。这些标签对画面整体视觉内容进行分类；它们并非由《欧盟人工智能法案》第 3 条第 40 项和第 5 条第 1 款 (g) 项所指的生物特征分类系统产生，因为它们来源于图像的整体内容（服装、环境、物体），而非从个人身上提取的生物特征。此外，除上述标签词汇之外，ClipCatalog 不会训练、构建或部署任何旨在从个人身上提取的生物识别特征中推断敏感属性（种族、宗教、性取向、政治观点、工会会员身份或 GDPR 第 9 条规定的任何其他特殊类别）的模型。

专业与商业用户

ClipCatalog 主要是为个人与家庭用途而设计的。如果您以非个人身份使用本应用 — 例如处理员工、客户、艺人或公众成员的素材 — GDPR 第 2 条第 2 款 (c) 项以及《欧盟人工智能法案》第 2 条第 10 款下的家庭与个人活动豁免不适用于您的使用，且就素材中出现的人员而言，您将作为独立的数据控制者（依据 GDPR）和《欧盟人工智能法案》意义上的部署者（deployer）行事。您的典型义务包括：根据 GDPR 第 9 条第 2 款确定处理生物特征数据的合法依据；根据第 13 条或第 14 条向数据主体提供告知；以及向相关人员提供《欧盟人工智能法案》所要求的任何透明度信息。应用程序的架构本身并不免除您履行上述义务的责任；ClipCatalog 仅提供工具，而非提供使用该工具的法律依据。

许可证及购买数据（Paddle + 我们的后端）

如您购买 ClipCatalog，我们会处理有限的数据用于发放您的许可证、验证激活、提供支持以及处理退款或退单。购买由我们的注册商家 Paddle 处理（参见下文注册商家）。Paddle 是面向购买者的合同卖方；随后，Paddle 会将购买者的有限数据共享给我们，我们作为独立控制者按照本节列示的目的进行处理。

标识符：许可证密钥、Paddle 客户 ID、Paddle 交易 ID、Paddle 价格 ID。
客户联系方式：用于购买及支持目的的客户邮箱地址（由 Paddle 提供）。
许可证详情：套餐、许可证状态、激活上限、有效期/到期日（如适用）以及相关事件的时间戳。
支付元数据：货币代码及支付金额（作为购买元数据存储）。

邮件订阅与营销列表（双重确认）

ClipCatalog 维护一个双重确认的邮件列表（「ClipCatalog 更新」），用于偶尔分享有关新功能和重要版本的发行说明。仅当您 (a) 通过下述同意入口之一提交表单，并且 (b) 点击 Brevo 向您地址发送邮件中的确认链接后，您才会被加入列表。仅提交表单不构成订阅 — 若您未点击，您的地址将在 30 天后被清除，永远不会进入营销列表。

14 天试用延长：在应用内，您可以通过提供您的邮箱地址来申请 14 天完整库试用。在邮箱字段旁有一个默认未勾选的营销同意复选框；勾选后会触发一封要求您点击链接以完成订阅的确认邮件。无论是否勾选该复选框，也无论您之后是否点击确认链接，试用延长都会被授予。试用授予的确认邮件由我们依据 GDPR 第6条第1款(b)项（履行合同）发送；营销列表的加入仅在您完成 DOI 点击之后才会发生。
购买后选择加入：Paddle 付款成功后，我们的「感谢」页面会显示一个默认未勾选的营销同意复选框。勾选后会触发一封要求您点击链接以完成订阅的确认邮件。Paddle 自身的结账页面不会代我们收集营销同意 — 复选框仅在重定向后的我们页面上显示，且您的地址仅在 DOI 点击之后才会进入营销列表。
网站新闻通讯订阅：本站的发行说明页面包含一个默认未勾选的选择加入表单。通过该表单提交您的邮箱会触发一封确认邮件；仅当您点击其中的链接后，您才会被加入列表。

合法依据（EEA/英国）：GDPR 第6条第1款(a)项下的同意 — 通过点击您提交表单后 Brevo 向您发送邮件中的确认链接而完成。仅提交表单本身不构成同意；点击才是同意行为。您可以随时通过点击我们发送的任何邮件页脚中的退订链接来撤回同意 — 无需登录或账户。

提交表单这一步与点击确认链接这一步均为自愿，且与所有其他功能相互独立：无论您是提交表单、点击链接，还是两者都未做，14 天试用延长、500 个视频的免费试用、您的购买，以及安装链接邮件的流程完全相同。在任一步骤拒绝同意，都不会对产品造成任何影响。

反滥用记录（无论是否给予营销同意）。当我们授予 14 天试用延长时，我们会在后端保留一条小记录，包含您的邮箱和授予时间戳，以便实施每个邮箱 12 个月的冷却期 — 否则用户可以清除其安装标识符，然后无限次以相同邮箱再次申请延长。如您未勾选营销复选框，则该记录仅包含您的邮箱和授予时间戳；不会存储下文列出的任何同意元数据。该处理基于 GDPR 第6条第1款(f)项（防止重复授予滥用的合法利益），并在授予 12 个月后删除。拒绝营销同意复选框对试用本身或产品的其他部分仍然没有任何影响。

关于您试用的事务性邮件。试用延长确认邮件依据 GDPR 第6条第1款(b)项（履行合同 — 14 天授予即为合同）发送，无论是否勾选营销同意复选框。其中不含营销文案。我们还会在 14 天试用到期前约 3 天发送一封提醒，基于相同的合法依据（第6条第1款(b)项，与营销同意无关），同样不含营销文案。

付费墙拒绝反馈。如您在试用延长申请中提交了原因或自由文本评论，该反馈会基于 GDPR 第6条第1款(f)项（改进产品的合法利益）存储在单独的表中，与是否勾选营销同意复选框无关。

我们针对每个订阅在后端存储以下内容，以便落实您的同意并在被询问时证明其来源：

订阅身份：邮箱地址；注册来源（trial-extension、paddle-purchase 或 web-newsletter）；首次出现时间戳；当前同意状态（在您点击确认链接之前为 pending_doi，点击之后变为 confirmed；在 pending_doi 状态下保留 30 天的记录将被删除）。
同意审计（在您于注册时勾选营销同意复选框时填充，并在您完成 DOI 点击时以 doi_confirmed_at 重新锚定同意基准）：表单提交时间戳；您点击确认链接的时刻；此时所显示隐私政策的版本标签；一个稳定标识符（consent_label_id），用于标识您注册时所见同意标签的精确措辞，以便将旧记录与所同意的标签版本关联；您的客户端 IP 截断到网络前缀（IPv4 匿名化为 /24，IPv6 为 /48 — 我们绝不在此同意记录中存储完整地址）；以及同意时的 user-agent 字符串。我们出于问责义务（GDPR 第5条第2款及第7条第1款）保留这些审计字段，以便在您或监管机构要求时证明同意存在，并在我们依赖您同意的整个期间内 — 即在您的订阅记录存在期间内 — 予以保留。当您的订阅记录被删除时（例如您要求我们将其抹除时；参见下文您的权利），这些字段即被删除。
上下文：您的界面语言（由 Brevo 用于发送匹配语言的活动版本），并且对于 14 天试用延长路径，引用提出授予请求的安装（仅用于强制实施我们的反滥用规则：每次安装一次授予）。
订阅状态：用于保持我们的后端与 Brevo 同步的 Brevo 联系人 ID；当您退订时记录的退订时间戳（永久设定 — 即使后续购买，我们也不会将您的地址重新加入；如您之后希望重新订阅，请通过 privacy@clipcatalogpro.com 联系我们，我们会手动将您加回）；以及用于送达性维护的硬退信计数器（基于我们维护列表质量的合法利益处理，GDPR 第6条第1款(f)项）。
邮箱有效性预检结果：当您通过 14 天延长路径提交邮箱时，在加入列表之前，我们会通过外部邮箱验证服务进行检测（参见下文子处理者）。我们存储验证结果字符串及一个余额额度指标，以便监控服务配额；不会存储被拒绝的地址（无效、临时、角色专用） — 这些会在提交时被阻止并丢弃。

子处理者：

Sendinblue SAS（以 Brevo 名义运营；SIREN 498 019 298），地址：17 rue Salneuve, 75017 Paris, France，负责托管联系人列表并发送我们的新闻通讯活动。EU/EEA 订阅者数据在 Brevo 的欧盟基础设施上处理 — 此环节不会向 EEA 之外传输。Brevo 收到您的邮箱、界面语言以及粗略的订阅等级标签以便进行活动细分。Brevo 的隐私政策位于 brevo.com/legal/privacypolicy。
ZeroBounce 在我们将地址加入列表前对邮箱进行有效性预检，以避免向打字错误、不可送达或临时地址（都会损害所有人的送达率）发送邮件。我们调用 ZeroBounce 的欧盟专用端点（api-eu.zerobounce.net），因此邮箱在 EEA 内处理。ZeroBounce 仅接收提交的邮箱地址；我们收到判定结果，如被拒绝则丢弃该地址。我们已与 ZeroBounce 签订符合 GDPR 第 28 条的数据处理协议（于注册时提供），并连同标准合同条款，用于涵盖位于美国的 ZeroBounce 人员的任何第三国访问。邮箱验证本身在 ZeroBounce 的欧盟基础设施（api-eu.zerobounce.net）上进行。ZeroBounce 的隐私政策位于 zerobounce.net/privacy-policy；可通过 privacy@clipcatalogpro.com 申请获取协议与标准合同条款的副本。该预检的合法依据为 GDPR 第6条第1款(f)项 — 我们在送达性与防止滥用方面的合法利益，且与所共享的最少数据（仅邮箱地址）以及不进行任何画像分析相权衡。
Cloudflare, Inc. 提供 Turnstile，这是一个反机器人挑战小部件，保护本站的邮件提交表单（应用内的试用延长流程不使用 Turnstile）。Turnstile 通过行为信号区分人类访客与自动机器人，无需可见的 CAPTCHA 谜题。它不会设置跟踪 Cookie，不会构建跨站点画像，也不用于分析。Cloudflare 仅接收最少的请求元数据（您的 IP 地址、user-agent 和会话令牌），仅用于评估表单提交是否来自人类；我们仅收到通过/失败判定结果和时间戳。Cloudflare 的隐私政策位于 cloudflare.com/privacypolicy；其 Turnstile 专属信息位于 developers.cloudflare.com/turnstile。Cloudflare 总部位于美国，在欧盟设有数据处理位置；对于任何附带的第三国访问，我们依赖 Cloudflare 公布的标准合同条款。

新闻通讯的打开与点击跟踪：我们通过 Brevo 发送的活动邮件包含一个小型远程图像（「跟踪像素」），它会在您打开邮件时从 Brevo 加载，以及在到达最终目的地之前先经过 Brevo 的链接。Brevo 的设计本身就会按收件人逐条记录这些打开与点击事件 — 邮件服务提供商以此方式衡量送达率与互动度。我们仅使用从这些记录中得出的聚合统计（例如「该活动打开率为 28%」），不会以任何方式导出、出售、共享或使用按收件人的打开/点击数据；我们也不会针对每位收件人构建画像。基础的按收件人记录由 Brevo 依据我们的服务协议保存在其欧盟基础设施上，在您退订或我们响应删除请求时与您的订阅记录一并删除。退订后，下一次活动发送时邮件将停止 — 因此进一步的跟踪也会停止。要按邮件抑制该像素，大多数邮件客户端允许禁用远程图像加载。

退订方式：我们发送的每封新闻通讯页脚都包含一键退订链接。点击后会在您的后端记录上永久标记「已退订」时间戳 — 即使您后续购买，即使购买后营销同意框再次被勾选，我们也不会将您的地址重新加入。您也可以通过 privacy@clipcatalogpro.com 联系我们，以请求退订或彻底删除您的订阅记录。下文 GDPR（EEA/英国）所列的所有 GDPR 权利同样适用于您的订阅记录（访问、更正、删除、可携带、反对、向监管机构投诉）。

保留期：活跃订阅记录在您订阅期间保留。同意审计字段（时间戳、匿名化 IP、user-agent、政策版本）依据我们的问责义务，与您的订阅记录一并保留，并在我们依赖您同意的整个期间内保留，且在您的订阅记录被删除时（例如收到抹除请求时）一并删除。退订时间戳会保留至落实您撤回同意所需的时间。

安装链接邮件（事务性）

ClipCatalog 是 Windows 桌面应用程序，无法安装在手机上。为方便从移动设备发现我们的访问者之后在 PC 上安装，本站提供了「向我邮件发送安装链接」表单。提交表单后，会向您发送一封事务性邮件，内含可在您电脑上访问的下载页面链接。该邮件属于服务信息，不属于营销。

合法依据（EEA/英国）：根据 GDPR 第6条第1款(b)项，因您的请求采取的合同前措施的履行 — 您要求我们向您发送安装链接，该邮件即是该请求的履行行为。

我们对每次请求在后端存储邮箱地址和时间戳（存储于专门的事务性邮件审计表中，与邮件订阅所述的营销列表表分离），仅用于：(a) 发送安装链接邮件；(b) 通过每邮箱 24 小时提交上限防止滥用；(c) 维护与我们其他邮件流一致的同意审计轨迹（匿名化 IP /24 或 /48、user-agent、隐私政策版本、语言区域）。我们将邮箱通过上述相同的 ZeroBounce 预检；被拒绝的地址不存储。表单还受 Cloudflare Turnstile 保护（参见上文子处理者），以阻止自动提交。

安装链接表单不提供营销同意。该表单的唯一输出是事务性的安装链接邮件；如您希望偶尔收到发行说明，请使用 changelog 页面或 download 页面上的新闻通讯订阅卡。两个流程完全分离 — 安装链接请求绝不会进入营销列表，也不会出现在邮件订阅所述的数据流中。

保留期：邮箱地址和时间戳的保留期与我们其他事务性邮件审计记录相同 — 在执行 24 小时上限并落实您的审计轨迹所需的时间内保留，否则按照上述邮件列表保留规则删除。

安装与设备数据（可选）

ClipCatalog 使用安装标识符以支持许可与激活管理。如您选择启用遥测/错误报告，我们也可能接收基本的设备/应用信息（例如：平台、操作系统版本、CPU 核心数、RAM、架构、型号、发行版本和应用版本）。

如您选择退出，我们将停止收集和发送此可选遥测和错误报告。已收集的数据仅按下文数据保留的描述保存。

应用遥测和错误报告（选择启用）

遥测和错误报告默认禁用。如您启用，我们可能会处理聚合的使用指标和错误/崩溃信息，以改进 ClipCatalog 并诊断问题。

在首次启动时，ClipCatalog 会询问您是否启用可选的遥测和错误报告。您可以随时在应用设置中更改此选项。

我们不会使用应用遥测来收集或上传您的视频内容、缩略图、标签或转录文本。

启用时，遥测/错误报告可能包括以下数据类别：

设备和应用基础信息：平台、应用版本、操作系统版本、CPU 核心数、RAM 等类似的高级别系统信息。
粗略 GPU 指标（Windows）：适配器数量、是否有集成/独立可用、所选 GPU 类型（集成/独立）、厂商类别（例如：Intel/NVIDIA/AMD/其他）以及 VRAM 大小分级等计数/布尔值与分桶。我们既不需要也不打算为此可选遥测收集完整 GPU 型号名称或硬件 ID。
聚合库统计：视频数、缩略图数、标签数、转录单词数、人脸/人员数、目录/卷数、总时长和总资产大小等汇总值。仅为计数/聚合，不包含您文件的内容。
聚合使用/性能指标：用于改进性能与可靠性的匿名化处理与搜索分析（例如各阶段时序与计数）。
错误/崩溃诊断：错误信息、调用堆栈以及结构化诊断字段（适用时），用于帮助我们识别和修复 Bug。请勿在自由文本错误信息中包含敏感个人数据。

更新检查（不识别身份）

与可选遥测无关，每个运行中的 ClipCatalog 副本会定期联系我们的更新检查端点，以便您能收到新版本和安全修复的通知。这些请求会在应用启动时及之后每两小时执行一次，与您的遥测选择无关。

每次更新检查请求的查询字符串中仅携带聚合字段：已安装的应用版本、您的界面语言、粗略的操作系统标签（例如 win10、win11、mac 或 linux），以及指示您遥测选择的单一令牌（granted、declined 或 undecided）。这些请求不附带任何安装 ID、账户标识符或其他用户级标识符，我们也不保留这些请求中的客户端 IP 地址。

更新检查记录最多保存 30 天，与其他 API 日志的保留期一致（参见下文数据保留）。我们在 EEA/英国的合法依据是 GDPR 第6条第1款(f)项的合法利益 — 提供安全和功能更新是我们应当向您提供的服务，而附带的聚合信号能够让我们在不识别个人用户的前提下衡量分布（操作系统组成、语言组成、拒绝率）。

安全公告（应用内通知渠道）

独立于上述更新检查，ClipCatalog 会定期获取发布在 https://clipcatalogpro.com/security/advisories/active.json 的公共静态 JSON 信息源，以发现影响您所安装版本的安全公告。获取在应用启动时进行，之后大约每 24 小时一次。当某条公告适用于您所安装的版本时，应用会以红色横幅形式显示，并附上指向完整公告页面的链接。设立此渠道是为了履行我们将依据《欧盟网络弹性法案》（Cyber Resilience Act）第14条第8款（自 2026 年 9 月 11 日起适用）承担的义务，即不无故拖延地就影响您所用产品的已被利用漏洞通知您 — 关于这些公告背后的协调披露背景，请参见我们的安全政策。

每次请求都是对上述 URL 的一次简单匿名 HTTP GET。不会发送的内容：不发送任何安装标识符、许可证密钥、JWT、遥测数据、您在本地已关闭的公告列表，以及任何类型的用户级状态。请求体为空，URL 不含查询字符串。我们不会通过此渠道接收您的视频内容、搜索历史、标签、字幕转录或任何其他应用数据。该信息源通过 Amazon CloudFront 以静态文件形式提供（关于任何 HTTPS 请求本身固有的 IP 级处理，请参见下文服务器和访问日志）。

合法依据（EEA/英国）：GDPR 第6条第1款(f)项的合法利益。我们的权衡测试：被处理的唯一个人数据是您 TCP/IP 协议栈为到达我们服务器而必须传输的 IP 地址；我们不会使用该 IP 对您进行画像、与您联系或将获取行为与任何账户关联；该 IP 仅出现在服务器和访问日志中所述的 CloudFront 访问日志（保留 30 天）中；该处理对于运行《欧盟网络弹性法案》将（自 2026 年 9 月 11 日起）要求我们为您的利益提供的安全通知渠道是必要的。我们不征求您的同意，因为对于一项为保护您安全而设立的安全通知渠道而言，同意并非合适的合法依据。

完整性与防篡改事件

为保护服务并防止滥用，如检测到应用程序被修改或篡改，ClipCatalog 可能会发送一个最少量的完整性事件。该事件用于安全目的，即使可选的遥测/错误报告已被禁用也可能被发送。它不包含您的视频内容。

服务器和访问日志

与大多数在线服务一样，出于安全、可靠性和故障排查目的，我们会处理服务器和访问日志。这可能包括 IP 地址、user-agent、请求元数据，以及网站、下载和 API 访问的时间戳。

网站 CDN 访问日志。clipcatalogpro.com（主站，同时也托管上文安全公告中所述的安全公告信息源）和 download.clipcatalogpro.com（应用所用安装程序和机器学习模型文件的下载镜像）上的静态内容均通过 Amazon CloudFront 提供。CloudFront 会将访问日志写入私有的 S3 存储桶；每条日志条目包含来源 IP 地址、user-agent 字符串、请求的 URI、HTTP 响应状态和时间戳。我们将这些 CloudFront 访问日志保留 30 天，之后由 S3 生命周期规则自动删除。

我们的日志还可能包含您发送给我们的标识符（例如安装 ID、许可证密钥或令牌），以及遥测和错误报告中包含的数据。请勿在遥测或错误信息中包含敏感个人数据。

更新检查例外：对上文更新检查所述端点的请求在我们保留的日志中不会附带 IP 地址。更新检查端点由 API Gateway（而非 CloudFront）提供；该端点未启用 API Gateway 访问日志，且对应的应用日志条目也不记录客户端 IP。

如您位于 EEA 或英国，根据《通用数据保护条例》（GDPR），您拥有以下权利：

访问权：您可以请求获取我们持有的关于您的个人数据副本。
更正权：您可以要求我们更正不准确的个人数据。
删除权：在符合法律要求的情况下，您可以要求我们删除您的个人数据。
限制权：在某些情况下，您可以要求我们限制对您个人数据的处理。
可携带权：您可以请求以可携带的格式获取某些个人数据副本。
反对权：在某些情况下，您可以反对基于我们合法利益的处理。
撤回同意：您可以随时撤回同意（例如，通过 Cookie 横幅撤回分析 Cookie 同意，通过应用内设置撤回可选的遥测/错误报告同意，或通过任何邮件中的退订链接撤回新闻通讯同意 — 参见邮件订阅）。
监管机构：如您认为您的数据保护权利受到侵犯，您有权向您所在司法管辖区的监管机构投诉。

如需行使您的权利，请联系 privacy@clipcatalogpro.com。在回复之前，我们可能会要求您验证身份。

合法依据（EEA/英国）

合同：为提供您在购买 ClipCatalog 时请求的许可与激活功能。
合法利益：维护服务的安全性与可靠性，防止滥用，响应支持请求，提供软件更新及更新检查中所述的聚合信号，以及维护新闻通讯送达性（邮件订阅中所述的硬退信计数器）。
同意：用于 Google Analytics Cookie、可选的应用遥测/错误报告（启用时）以及选择加入的新闻通讯列表（参见上文邮件订阅与营销列表）。
问责义务（GDPR 第5条第2款及第7条第1款）：为新闻通讯列表保留同意审计字段（时间戳、匿名化 IP、user-agent、政策版本标签），仅用于在被询问时证明同意存在。

加利福尼亚州居民（CCPA/CPRA）

如您是加利福尼亚州居民，本节列示根据加利福尼亚州消费者隐私法（及其经加利福尼亚州隐私权利法修订的版本，「CCPA/CPRA」）向您提供的告知与权利。本节所述处理与上述各节中详述的处理相同；结构遵循 Cal. Civ. Code §§1798.100 和 1798.130 的要求。

我们不出售或共享 CCPA/CPRA 所定义意义上的个人信息，在过去 12 个月内也未曾这样做。

所收集个人信息的类别（按 Cal. Civ. Code §1798.140(v) 的定义）：

标识符：邮箱地址、许可证密钥、Paddle 客户 ID、Paddle 交易 ID、安装 ID，以及在服务器/访问日志中记录的 IP 地址（更新检查端点除外 — 参见更新检查）。
商业信息：套餐、许可证状态、激活历史、货币代码及支付金额；完整列举见许可证及购买数据。
互联网或其他电子活动：聚合的网站分析信号（仅在 Cookie 同意后）、更新检查查询字符串字段、服务器日志中记录的 user-agent 字符串、提交受保护网站表单时由 Cloudflare 代我方收集的 Turnstile 验证信号（参见子处理者），以及如您启用，选择加入的应用遥测和错误报告。
地理位置：Paddle 作为购买元数据提供的国家代码，以及 Cookie 同意后 Google Analytics 由您 IP 推断的粗略国家。我们不收集精确地理位置。
生物识别信息：参见下文敏感个人信息 — 人脸识别数据仅在您的本地设备处理，我们不收集。
推断：无。我们不会基于所收集数据对您进行推断以构建画像。
加密的本地目录恢复密钥（付费许可证）：激活付费许可证时，应用会上传您本地 SQLCipher 数据库密钥的 AES-256-GCM 加密副本，仅可使用您的许可证密钥解密，以便您在 Windows 账户切换或 PC 迁移后重新打开目录。托管副本与您的许可证关联存储在我们的 AWS 后端中，并在您申请账户删除时移除。

我们不收集受保护分类、关于您的音频、视频或热感信息、专业或就业相关信息或教育信息。

来源类别：

直接来自您 — 当您提供邮箱、联系支持、申请 14 天试用延长、在本站订阅新闻通讯、在 Paddle 付款后的我们「感谢」页面上勾选营销同意复选框，或使用网站「向我邮件发送安装链接」表单时（参见安装链接邮件）。
Paddle，我们的注册商家（独立控制者），交易完成后向我们转发有限的购买元数据 — 参见注册商家。
安装在您设备上的 ClipCatalog 应用程序 — 安装标识符、许可证激活事件、更新检查请求，以及（启用时）遥测与错误报告。
ZeroBounce — 在试用延长、新闻通讯或安装链接注册时返回的邮箱有效性判定（参见邮件订阅）。
Brevo (Sendinblue SAS) — 用于使我们的订阅状态与新闻通讯平台保持同步而返回的退信信号和 Brevo 联系人 ID。
Cloudflare — 每次受保护网站表单提交时返回的 Turnstile 通过/失败判定及时间戳，以确认请求来自人类。

收集和使用个人信息的商业及业务目的：

发放和验证许可证、强制激活上限以及处理退款和退单。
提供客户支持和回应咨询。
仅对已表示同意的用户运营选择加入的新闻通讯，并维护列表的送达性。
发送事务性服务邮件 — 例如，当移动端访问者使用网站「向我邮件发送安装链接」表单时发送的安装链接邮件（参见安装链接邮件）。
通过更新检查端点提供软件更新和安全修复。
如您启用，处理可选的遥测和错误报告以改进产品。
保护我们的服务，防止滥用（包括网站表单上的 Cloudflare Turnstile 挑战），以及检测完整性事件。
遵守法律、会计和税务义务。

为上述业务目的而向其披露个人信息的第三方和服务提供商类别（以下任何披露均不构成 CCPA/CPRA 意义上的「出售」或「共享」）：

Paddle — 购买与支付数据的独立控制者（参见注册商家）。
Brevo (Sendinblue SAS) — 托管明示同意新闻通讯列表并发送活动邮件的服务提供商。仅披露已表示同意的订阅者。
ZeroBounce — 在试用延长、新闻通讯及安装链接注册时执行邮箱有效性预检的服务提供商。
Cloudflare (Turnstile) — 为本站邮件提交表单提供反机器人挑战的服务提供商；接收请求元数据（IP、user-agent、会话令牌），返回通过/失败判定。
Amazon Web Services — 托管我们后端、数据库和日志的服务提供商（主处理区域 eu-west-1，爱尔兰）。我们在同一区域（eu-west-1）使用 Amazon Simple Email Service (Amazon SES) 作为事务性邮件发送渠道 — 包括 Paddle 购买后的许可证发放、通过网站「向我邮件发送安装链接」表单发送的安装链接邮件、试用延长确认邮件，以及 14 天试用到期前约三天发送的单封 T-3 提醒。
Google Analytics — 本站的第三方分析，仅在 Cookie 同意后加载。
YouTube / Google LLC — 嵌入式产品演示视频播放器，仅在您于 Cookie 横幅中启用「外部媒体」后加载。Google 会接收您的 IP 地址、user-agent、引荐来源以及 Google 账户 Cookie（如果您已登录）。Google 自行决定其对该数据的目的 — 完整披露请参见上文嵌入视频（YouTube）。

敏感个人信息。ClipCatalog 可选的人脸识别功能处理 CCPA/CPRA 归类为敏感个人信息的生物识别信息。如上文人脸识别数据（生物识别）所述，所有人脸相关处理完全在您的本地设备进行；人脸嵌入、分组与元数据仅存储在您的设备上，绝不会传输至我们或任何第三方。我们无法访问该数据，也不收集。我们也不收集 §1798.140(ae) 项下其他类别的「敏感个人信息」 — 政府标识符、金融账户访问凭证、精确地理位置、种族或民族出身、宗教信仰、通信内容、遗传数据或健康信息。由于我们不收集或处理敏感个人信息，限制其使用与披露的权利在我方不存在可加以限制的处理活动；我们通过设计原则履行该权利。

保留期。我们按照数据保留中规定的期限保留各类别的个人信息。

作为加利福尼亚州居民的权利：

知情权：请求获取我们就您所收集的个人信息类别和具体内容、来源类别、业务目的，以及我们向其披露这些信息的第三方类别（Cal. Civ. Code §§1798.100、1798.110、1798.115）。
删除权：请求删除我们从您处收集的个人信息，适用 §1798.105(d) 项下的法定例外（例如完成交易、安全、法律合规）。
更正权：请求更正我们持有的关于您的不准确个人信息（§1798.106）。
数据可携带权：以可携带且可立即使用的格式接收您向我们提供的个人信息（§1798.130(a)(2)）。
限制使用敏感个人信息的权利：如上文敏感个人信息所述，我方并无可限制的基础处理（§1798.121）。
选择不出售或共享的权利：我们不为包括跨上下文行为广告在内的任何目的出售或共享个人信息，但 §1798.120 下的权利存在，我们将记录并兑现您提交的任何选择退出请求。
不歧视权（§1798.125）：我们不会因您行使任何 CCPA/CPRA 权利而拒绝向您提供商品或服务、向您收取不同价格，或为您提供不同水平或质量的服务。

可验证消费者请求。如需行使上述任一权利，请从与您 ClipCatalog 购买或新闻通讯订阅相关联的邮箱地址，向 privacy@clipcatalogpro.com 发送邮件，并告知您行使的权利。由于我们对每位消费者持有有限的数据集，我们通过将请求邮箱与我们的记录进行匹配，并结合您已提供给我们的一个或多个其他标识符来验证身份 — 例如许可证密钥、Paddle 交易 ID 或安装 ID。我们将在 §1798.130(a)(2)(A) 要求的 45 天窗口内回复，并可在通知您的情况下再延长一次 45 天。如我们无法按 CCPA/CPRA 实施细则 §7060 要求的标准（一般情况下「合理程度的确定」，删除请求则为「相对较高程度的确定」）验证请求，我们会告知您并请求补充信息；若仍无法验证，我们会附上说明予以拒绝。授权代理人可凭您书面签署的许可，按 CCPA/CPRA 实施细则 §7063 代您提交请求。

自动化决策

我们不会基于您的个人数据作出对您具有法律或类似重大影响的自动化决策。ClipCatalog 中的人工智能功能（如打标签、转录、人脸识别）在您的设备上本地运行，我们不会用其对您作出决定。

儿童数据

ClipCatalog 不面向 16 岁以下的儿童。我们不会有意收集 16 岁以下儿童的个人数据。如您认为有儿童提供了个人数据，请联系 privacy@clipcatalogpro.com，我们将予以删除。

跨境传输

我们的后端服务和邮件列表基础设施托管于 EEA，但我们依赖的部分服务提供商位于 EEA/英国之外或可能将数据路由至 EEA 之外的处理位置。当前情况：

Brevo / Sendinblue SAS（新闻通讯列表） — 设立于欧盟；EU/EEA 订阅者数据在 Brevo 的欧盟基础设施上处理。此环节不涉及第三国传输。
ZeroBounce（邮箱有效性预检） — 我们调用 ZeroBounce 的欧盟专用端点（api-eu.zerobounce.net），因此通过 14 天延长表单提交的邮箱在 EEA 内处理。ZeroBounce 在美国可能有人员对其账户/注册数据具有管理访问权限；此类第三国访问由我们与 ZeroBounce 签订的标准合同条款覆盖，并辅以我们之间符合 GDPR 第 28 条的书面数据处理协议。
Paddle（注册商家） — Paddle.com Market Ltd. 设立于英国，欧盟业务在爱尔兰运营，Paddle Inc. 在美国运营。作为独立控制者（参见上文注册商家），Paddle 自行决定其传输机制；对任何 EEA 之外的流量，其依赖自行公布的标准合同条款，并在适用时依赖 EU-US Data Privacy Framework。
Google Analytics（网站分析，美国） — 仅在您通过 Cookie 横幅同意后加载。向 Google 美国的传输依赖 Google 在 EU-US Data Privacy Framework 下的认证；在该框架不适用时，依赖 Google 公布的标准合同条款。
YouTube / Google LLC（嵌入式产品演示视频，美国） — 仅在您通过 Cookie 横幅同意外部媒体类别后加载。该嵌入指向 youtube-nocookie.com，即 Google 的隐私增强版本。向 Google 美国的传输依赖 Google 在 EU-US Data Privacy Framework 下的认证；在该框架不适用时，依赖 Google 公布的标准合同条款。
托管和后端提供商 — 主要处理区域为 AWS eu-west-1（爱尔兰）；附带的数据流（如 AWS 的 SDK 遥测）依赖 AWS 公布的数据处理附录和标准合同条款。
Cloudflare（Turnstile 反机器人小部件） — Cloudflare 总部位于美国，在欧盟设有数据处理位置。Turnstile 仅在网站邮件提交表单上调用；传输依赖 Cloudflare 公布的标准合同条款。

在数据流离开 EEA/英国时，我们依赖 GDPR 第46条规定的适当保障（标准合同条款、等同的合同保护，或在适用时，EU-US Data Privacy Framework 等充分性框架）。您可通过邮件向 privacy@clipcatalogpro.com 索取相关传输文件副本。

服务提供商（处理者）

以下服务提供商作为 GDPR 第28条意义上的处理者，代表我们并依据我们的书面指示处理个人数据。其不得为其自身目的使用数据。

托管提供商：为我们的网站和后端服务提供托管、存储、数据库和日志。
Brevo (Sendinblue SAS)：托管我们的明示同意新闻通讯列表并发送活动邮件。仅明示同意的订阅者（参见上文邮件订阅）会被分享给 Brevo。
ZeroBounce：注册时进行邮箱有效性预检，通过欧盟专用端点处理。仅接收试用延长、新闻通讯或安装链接表单中提交的邮箱；被拒绝的地址不存储。
Cloudflare (Turnstile)：为本站邮件提交表单提供反机器人挑战。接收请求元数据；我们仅收到通过/失败判定。
Amazon SES (Amazon Web Services, Inc.)：发送事务性邮件 — 许可证密钥、安装链接邮件、试用延长确认邮件以及试用到期提醒。仅接收收件人地址、发件人、主题和邮件正文。在我们的主 AWS 区域（eu-west-1 / 爱尔兰）运行，依照公布的 AWS 数据处理附录以及针对任何附带美国管理访问的标准合同条款。合法依据：GDPR 第6条第1款(b)项（履行许可合同，包括如安装链接请求等合同前措施）。
Google Analytics：网站分析（仅在 Cookie 同意后）。

注：YouTube/Google LLC 未列入上方名单，因为对于嵌入式视频而言，其不是 GDPR 第28条意义上的处理者 — Google 自行决定播放器数据的目的，并作为独立控制者行事，与 Paddle 在支付方面的角色类似。该披露请参见上文嵌入视频（YouTube）。

注册商家（独立控制者）

Paddle（根据购买者所在区域，可能为 Paddle.com Market Ltd.（英国）或 Paddle Inc.）对所有 ClipCatalog 购买充当我们的注册商家。在此安排下，Paddle 是面向购买者的合同卖方，并以独立控制者（而非处理者）的身份处理购买与支付数据。Paddle 自行决定其目的，包括了解客户（KYC）审查、欺诈防范、反洗钱、税务合规和退单处理，并独立受 GDPR、英国 GDPR 及其他适用数据保护法律的约束。

交易后，Paddle 根据其隐私政策及 Paddle 数据共享安排向我们共享有限的购买者数据：客户邮箱地址、国家、货币代码、支付金额、Paddle 客户 ID、Paddle 交易 ID 和 Paddle 价格 ID。我们以独立控制者的身份处理上述收到的数据，用于发放许可证、提供支持、退款处理和会计记录（参见上文许可证及购买数据）。

当您行使与 Paddle 结账或支付记录相关的权利（例如退款、法定撤回权或针对 Paddle 记录的 GDPR 权利）时，这些请求将由 Paddle 根据其自身隐私政策直接处理。

数据保留

Google Analytics：14 个月（在 Google Analytics 中配置）。
应用遥测和错误报告：出于调试、可靠性和安全目的最多保留 30 天。
API 日志：通常最多保留 30 天。
网站/下载访问日志：CloudFront 访问日志最多保留 30 天（参见服务器和访问日志）。
许可证及购买记录：在提供许可、处理退款/退单和支持以及履行法律/会计义务所需的期间内保留。
安装与激活：在许可/反滥用和支持所需的期间内保留。
邮件列表（同意）记录：在您的订阅记录存在期间内保留（包括您订阅期间，以及您退订后我们为兑现您撤回同意而保留的最少记录 — 含退订时间戳）。同意审计字段在您的订阅记录被删除时（例如收到抹除请求时）一并删除。参见邮件订阅。

个人数据泄露通知

如发生可能对您的权利和自由造成风险的个人数据泄露，我们将依据适用法律（包括 GDPR 第33条和第34条）在不无故拖延的情况下通知受影响的用户和相关监管机构。

本政策的变更

我们可能会更新本隐私政策。顶部的「最后更新」日期反映最新修订。影响现有订阅者的实质性变更将通过站内通知公告；在变更实质性改变收集数据的依据时，我们也可能再次请求同意。

联系方式

关于隐私的问题，请联系 privacy@clipcatalogpro.com。