生效日期:2026年2月21日
1.引言
Bitbase(以下簡稱“我們”)運營一家加密貨幣交易平臺,可通過 www.Bitbase.com 及我們的移動應用程序(統稱“平臺”)訪問。本隱私政策(以下簡稱“本政策”)說明了在您使用本平臺及相關服務過程中,我們如何收集、使用、存儲、披露、傳輸及保護您的個人數據。本政策適用於所有平臺用戶,包括個人用戶、機構客戶以及網站訪客(以下簡稱“您”)。
本政策構成《使用條款》的一部分,並與其共同適用。您在註冊賬戶或使用相關服務時,即表示您已閱讀並理解本政策,並同意我們按照本政策所述方式處理您的個人數據。如您不同意本政策的任何內容,請勿使用本平臺。除非本政策另有定義,本政策中使用的所有大寫術語應具有《使用條款》中所賦予的含義。
我們可能會不時更新本政策。最新版本將始終在平臺上發佈。如發生重大變更,我們將按照第22條所述方式進行通知。
2.您的同意
爲確保透明度並增強您對我們在收集、使用及保護個人數據方面的信任,建議您仔細並完整閱讀本隱私政策。無論您是否已註冊賬戶,只要您訪問或登錄本平臺,即表示您已閱讀、理解並同意本隱私政策的條款。尤其是,您確認並同意:
- 您系自願提供個人數據,並明確同意我們根據本隱私政策對該等個人數據進行收集、使用、處理及披露。
- 您同意遵守本隱私政策中載明的所有適用條款、條件及規定。
- 您同意在訪問本平臺過程中(包括但不限於登錄、註冊賬戶及使用平臺提供的服務)進行個人數據的收集與處理。您進一步確認並同意,本隱私政策可能不時進行修訂、更新或修改;在相關變更後,您繼續訪問或使用本平臺即視爲接受更新後的隱私政策。
- 除非您已明確表示不希望接收相關信息,您同意我們的分支機構、關聯方、相關實體及員工可就可能令您感興趣的產品、服務、推廣活動或其他信息與您取得聯繫。
3.適用範圍
本政策適用於我們在以下情形中收集和處理的個人數據:
- 您賬戶的註冊及維護;
- 您使用平臺提供的任何服務;
- 與您開戶註冊及持續合作關係相關的身份驗證以及反洗錢/反恐融資(AML/CFT)合規程序;
- 您與我們的溝通,包括通過客戶支持、電子郵件及在線客服;
- 您訪問我們的網站及使用我們的移動應用程序;以及
- 您在使用本平臺過程中與我們發生的任何其他互動。
本政策不適用於通過本平臺鏈接的任何第三方網站、應用程序或服務的隱私做法。在向該等第三方提供個人數據之前,我們建議您查閱其各自的隱私政策。
4.我們收集的個人數據——完整清單
我們通過多種來源收集個人數據,包括:您直接提供的信息、您使用平臺過程中自動收集的信息、我們的第三方服務提供商提供的信息、來自公開渠道及登記機構的信息,以及爲履行“旅行規則”(Travel Rule)合規義務而從交易對手虛擬資產服務提供商(VASP)獲取的信息。
下表列示了我們所收集的個人數據類別、具體數據項、數據收集方式、處理目的以及相應的法律依據的完整清單。
| 类别 | 数据项 | 收集方式 | 处理目的 | 法律依据 |
| 身份数据 | 姓名;出生日期;性别;国籍;公民身份;出生地;个人身份证件号码/国家身份证号码;政府签发的身份证明文件(如护照、身份证、驾驶证),包括但不限于:证件类型、签发国家、证件号码、有效期、机器可读区(MRZ)、条形码、安全特征以及证件影像/扫描件。 | 在注册及KYC过程中由您直接提供;以及通过我们的身份验证服务提供商收集。 | 账户开立;身份验证(KYC);反洗钱/反恐融资(AML/CFT)合规;防范欺诈;履行监管报告义务。 | 法律义务;合同履行。 |
| 脸部图像与生物识别数据 | 自拍照片;身份证件中的面部图像/扫描件;用于人脸比对的生物特征面部模板;活体检测图像/视频(眨眼、微笑、动作提示);视频身份识别记录;重复身份检测比对 | 在 KYC 流程中,通过我们的身份验证服务提供商 | 身份认证;活体验证;欺诈/深度伪造/模拟器检测;重复账户检测;反洗钱/反恐怖融资(AML/CFT)合规 | 明确同意;重大公共利益(反洗钱/反恐怖融资) |
| 联系信息 | 电子邮箱地址;电话号码;住宅/邮寄地址;邮政编码;城市;居住国家 | 由您直接提供 | 账户管理;服务提供;沟通交流;地址核实;反洗钱(AML)检查 | 合同履行;法律义务 |
| 财务数据 | 银行账户信息(在使用法币服务时);银行卡信息(仅限前 6 位和后 4 位);法币金额;支付方式信息 | 在法币存取款流程中由您直接提供;通过支付服务提供商收集 | 法币入金/出金处理;支付验证;防欺诈 | 合同履行;法律义务 |
| 交易与交易行为数据 | 钱包地址(充值和提现);所有交易及订单历史(交易对、价格、数量、时间戳、类型);充值和提现记录(金额、资产、日期、链上交易哈希、对方地址);账户余额历史;未平仓头寸;资金费率记录;强制平仓记录;盈亏历史 | 由您使用本平台时自动生成 | 服务提供;反洗钱/反恐怖融资(AML/CFT)交易监控;合规报告;争议解决;纳税义务 | 合同履行;法律义务 |
| 链上及区块链数据 | 区块链钱包地址;链上交易 ID 和哈希;资产类型及数量;对方钱包地址;区块链分析风险评分;钱包筛查结果;旅行规则(Travel Rule)数据(发送方/接收方姓名、住址或国家身份证号或出生日期/地点、汇款方/受益方账户号码、虚拟资产服务提供商标识) | 来源于链上数据;通过区块链分析服务提供商;来自对方虚拟资产服务提供商(旅行规则) | 反洗钱/反恐怖融资(AML/CFT)合规;旅行规则(Travel Rule)合规;制裁筛查;欺诈检测;钱包归属识别 | 法律义务;合法利益 |
| 身份验证风险与合规数据 | 重要公众人物(PEP)身份及筛查结果;制裁筛查结果(OFAC、欧盟、联合国及特定国家名单);负面媒体检查结果;高风险国家/居住地标识;企业尽职调查(KYB)验证结果(最终受益人、董事、公司结构、登记信息核查);电子邮箱和电话号码风险评分;基于设备的欺诈信号;风险等级/客户风险概况;增强尽职调查(EDD)文件 | 通过我们的身份验证服务提供商;通过区块链分析及合规工具;来自监管数据库 | 反洗钱/反恐怖融资(AML/CFT)合规;制裁合规;客户风险评估;合规报告;防欺诈 | 法律义务;合法利益 |
| 企业及机构数据 | 法人名称及注册号;注册成立司法辖区;注册地址;公司注册证书;章程文件;最终受益人(UBO)声明;董事及高管信息;公司结构图;监管资质及许可证;授权签字人信息 | 在机构用户入驻过程中由其直接提供;来自公开公司注册登记信息 | 机构账户开立;企业尽职调查(KYB);反洗钱/反恐怖融资(AML/CFT)合规;监管义务 | 法律义务;合法利益 |
| 设备及技术数据 | IP 地址;设备标识符(Android ID、IDFV、IDFA、OAID);设备品牌、型号、操作系统类型及版本;浏览器类型及版本;网络信息(Wi-Fi SSID/BSSID、运营商、MAC 地址、连接类型);设备硬件属性(摄像头名称及类型);运行应用列表(用于风险控制);会话时间戳;来源/退出页面 | 通过我们的平台、移动应用及 SDK 自动收集 | 平台安全;欺诈检测;模拟器/机器人检测;访问控制;分析 | 合法利益;(非必需)同意 |
| 设备行为数据 | 屏幕尺寸及分辨率;会话语言设置;操作系统验证信号;窗口聚焦/失焦事件;粘贴事件;鼠标移动模式;按键事件时序;触控事件模式;电池使用数据;加速度计/重力计读数;隐身模式检测 | 在平台会话及身份验证流程中自动收集 | 模拟器检测;机器人及自动化攻击防护;欺诈评分;活体验证 | 合法利益 |
| 使用及行为数据 | 登录历史(时间戳、IP 地址、设备);访问页面;使用功能及产品;订单流程及交易模式;API 调用模式及数量;会话时长;应用内导航 | 通过平台自动收集 | 平台改进;个性化服务;市场完整性监控;反洗钱/反恐怖融资(AML/CFT)模式检测;API 滥用检测 | 合法利益;(可选)同意 |
| 沟通与支持数据 | 客服工单及聊天记录;电子邮件往来;争议记录;视频身份核验面试记录;反馈及问卷回复;KYC 验证决策记录及拒绝原因代码 | 由您直接提供;在客服互动及身份验证流程中生成 | 客户支持;争议解决;质量保障;法律程序;KYC 审计追踪 | 合同履行;合法利益 |
| 营销及偏好数据 | 营销通信偏好(是否选择接收/拒收);语言偏好;产品兴趣信号;推荐码/联盟计划数据;促销活动反馈 | 由您直接提供;通过平台使用行为推断 | 发送营销通信(需经同意);管理联盟计划;产品改进 | 同意;合法利益 |
4.1 個人數據來源
(a) 您直接提供 當您進行以下操作時,會向我們提供個人數據:註冊賬戶;完成身份驗證(KYC);提交增強盡職調查(EDD)文件;進行存取款操作;下單或執行交易;參與金融產品;聯繫客戶支持團隊;填寫調查問卷或參與促銷活動;或以其他方式與我們進行溝通。
(b) 自動收集 當您訪問平臺或使用我們的移動應用時,我們會通過平臺基礎設施、移動 SDK 以及 Cookie 或類似技術,自動收集設備數據、IP 地址、技術標識符、會話數據及行爲信號。
(c) 來自身份驗證服務提供商 我們聘請第三方身份驗證服務提供商代表我們執行 KYC、面部生物識別驗證、文件認證、活體驗證、制裁篩查、PEP 檢查及欺詐檢測。在此過程中,該服務提供商根據我們的指示作爲數據控制方處理您的身份、面部生物識別、聯繫方式、設備及合規數據。服務提供商也可能以其自身的獨立目的處理部分數據(包括服務開發及跨客戶欺詐檢測),在這種情況下,其處理行爲受其自身隱私政策約束,數據主體針對該處理的權利請求應直接向該提供商提出。您可在我們的幫助中心找到當前身份驗證服務提供商的隱私政策鏈接。
(d) 來自區塊鏈及鏈上數據源 我們及區塊鏈分析服務提供商可能會訪問公開可用的鏈上數據,包括錢包地址、交易歷史及區塊鏈記錄,以履行反洗錢/反恐怖融資(AML/CFT)合規、制裁篩查及旅行規則(Travel Rule)義務。
(e) 來自公共來源及第三方數據庫 我們可能會從公共企業登記信息(用於機構 KYB)、政府身份登記、PEP 及制裁數據庫、負面媒體來源、消費者信用機構及其他與合規義務相關的公共數據庫收集您的信息。
(f) 來自對方虛擬資產服務提供商(旅行規則) 根據 FATF 旅行規則,當您發起或接收符合適用旅行規則門檻的加密貨幣轉賬時,我們可能會從對方虛擬資產服務提供商處接收個人數據(包括髮送方及接收方的身份信息)。
4.2 生物識別及特殊類別數據
我們在身份驗證流程中收集和處理生物識別數據(包括從您的自拍照片及身份文件圖像中提取的面部特徵模板,以及活體驗證錄像)。根據適用的數據保護法律,生物識別數據屬於“特殊類別”個人數據,需格外謹慎處理。具體處理活動包括:
- 文件面部匹配:將您的自拍照片與身份文件上的面部圖像進行比對,以確認您對該文件的所有權。
- 活體驗證:實時確認您爲真實存在的人員,檢測使用靜態圖片、視頻、面具、深度僞造或模擬器進行的欺詐嘗試。您可能會被提示眨眼、微笑或移動設備。
- 生物識別去重:將您的面部圖像與平臺上已驗證用戶進行比對,以識別重複賬戶創建的嘗試。
- 重新身份驗證:當您使用生物識別進行敏感賬戶操作時,您的活體驗證圖像可能會與之前存儲的生物識別記錄進行比對。
- 視頻身份覈驗:在進行實時視頻面試時,錄像可能會由授權人員審覈,用於質量保障及合規目的。
我們處理生物識別數據的依據爲您的明確同意,或在重大公共利益需要的情況下進行,包括遵守適用的反洗錢及反恐怖融資(AML/CFT)義務。
您可隨時通過本隱私政策提供的聯繫方式撤回對生物識別數據處理的同意。但請注意,撤回同意可能導致我們無法完成身份驗證流程,並可能限制或阻止您訪問平臺上某些功能或服務。
4.3 我們不收集的數據
我們不會收集或存儲以下信息:完整的支付卡號或 CVV 碼;網銀密碼;區塊鏈私鑰或助記詞;或未滿 18歲人員的個人數據。如我們發現意外收集了未成年人的數據,將會立即刪除。
5.處理目的 — 我們如何使用您的數據
5.1 賬戶開立與入駐
我們處理您的身份、聯繫方式及財務數據,以建立您的賬戶、進行身份驗證(KYC)及企業驗證(KYB)程序、評估您使用服務的資格,並根據分級驗證體系設定您的賬戶等級及交易限額。
5.2 交易及金融服務提供
我們處理您的交易、交易行爲及財務數據,以執行您在現貨市場的訂單;處理衍生品交易頭寸並計算保證金、清算水平及資金利率;便捷進行數字資產的存取款;提供金融產品訪問及收益計算;處理推薦及聯盟計劃交易;並提供賬戶報表、交易確認及稅務申報數據。
5.3 反洗錢/反恐怖融資(AML/CFT)、制裁及監管合規
我們需遵守反洗錢、反恐怖融資及制裁相關法律法規,要求驗證用戶身份、監控交易、進行制裁名單篩查、報告可疑活動及保留記錄。爲履行這些義務,我們處理您的身份數據、合規數據、交易數據、鏈上數據及旅行規則(Travel Rule)數據。此類處理爲強制性操作,不可選擇退出,相關數據的提供是賬戶開立及服務提供的前提條件。
具體合規活動包括:
- 初始及持續的 KYC 和增強盡職調查(EDD)身份驗證;
- 對 OFAC、歐盟、聯合國安理會及特定國家的 PEP 與制裁名單進行實時及定期篩查;
- AML 交易監控及可疑活動報告;
- “瞭解您的交易”(KYT)區塊鏈監控,以識別非法活動;
- 旅行規則(Travel Rule)合規 — 收集、驗證並傳輸符合條件的虛擬資產轉賬的發起方及受益方信息;
- 風險評估及客戶風險評分;
- 對機構客戶進行 KYB 驗證;
- 根據適用法律要求,進行稅務申報及與稅務機關的信息交換。
5.4 欺詐防範及市場完整性
我們分析交易模式、交易行爲、設備信號及賬戶活動,以檢測和防止以下行爲:賬戶接管及未授權訪問;身份欺詐及文件僞造;市場操縱(包括洗盤交易、虛假掛單、分層交易、拉高出貨及搶跑行爲);API 濫用及自動化攻擊行爲;違反政策的多賬戶創建;以及《使用條款》下的其他禁止行爲。此類處理屬於 Bitbase 及其用戶社區的合法利益。
5.5 平臺安全
我們處理設備及技術數據、IP 地址、登錄歷史及設備行爲信號,以監控未授權訪問、調查安全事件、維護平臺穩定性並保護用戶賬戶。具體安全措施包括 IP 聲譽檢查、設備指紋識別、模擬器及機器人檢測,以及異常會話活動監控。
5.6 客戶支持與爭議解決
我們保留並處理溝通與支持數據,以迴應您的諮詢、調查投訴、解決爭議及進行質量審查。視頻身份覈驗記錄及 KYC 決策記錄可能會由授權員工審覈,用於審計及合規目的。
5.7 風險管理與財務控制
我們處理交易、交易行爲及財務數據,以管理我們的財務及運營風險,包括但不限於監控賬戶負餘額並向風險管理部門報告。
5.8 數據分析、研究及平臺改進
我們使用匯總的、在可能情況下已匿名化的使用及行爲數據,分析平臺表現、瞭解用戶活動模式、開發新功能、開展市場研究及生成內部商業情報。真正匿名化的數據不屬於本政策適用範圍。
5.9 營銷通信
在您提供同意(法律要求的情況下)或我們具有合法利益的情況下,我們可能通過電子郵件、推送通知或平臺內消息向您發送關於新產品、功能、優惠及市場動態的推廣信息。您可隨時通過消息中的退訂鏈接或在賬戶設置中更新偏好來取消訂閱。我們不會將您的個人數據出售或出租給第三方用於其營銷目的。
5.10 法律程序與監管義務
我們可能處理您的個人數據以遵守法院命令、應對監管調查、履行稅務及財務報告義務,以及建立、行使或維護法律權利。根據法律要求,我們可能需要向執法部門、監管機構、金融情報單位或法院披露個人數據,而無需事先通知您。
5.11 自動決策與用戶畫像
我們及我們的身份驗證服務提供商在 KYC 入駐流程及持續 AML/CFT 交易監控中使用自動化處理技術,包括機器學習、模式識別及基於規則的評分。自動化檢查可能生成風險評分、欺詐標識或驗證結果,這些結果可能影響您訪問服務的權限或交易限額。
自動決策適用的重要保障措施如下:
- KYC 流程中的自動化檢查會提供報告和風險指標;最終是否允許您入駐,由我們的人力審覈決定,除非檢查結果明確且適用法律及您的明確同意允許完全自動化決策。
- 若您的驗證未通過,或賬戶因自動化結果受到限制,您可通過 support@Bitbase.com 提出申訴,我們的合規團隊將進行人工複覈。
- 我們在自動化流程中實施人工監督,以確保公平性並糾正錯誤的機器學習結果。
- 若我們作出完全自動化的決策,且該決策產生法律或同等重要影響,我們將通知您,並提供關於所用邏輯的充分說明。
6.處理您個人數據的依據
我們僅在具有合法理由的情況下收集和處理您的個人數據。我們依賴的主要依據包括:
- 向您提供服務 當您開立賬戶並使用平臺時,我們會處理爲履行對您義務所必需的個人數據,包括執行交易、處理存取款、管理您的賬戶以及提供客戶支持。如不進行這些處理,我們將無法向您提供服務。
- 遵守法律及監管義務 作爲虛擬資產服務提供商,我們需遵守法律義務,要求收集和處理個人數據,包括身份驗證、反洗錢/反恐怖融資(AML/CFT)篩查、制裁檢查、旅行規則(Travel Rule)合規、交易監控及監管報告。此類義務不依賴於您的同意,亦不可放棄。
- 保護平臺及用戶 我們處理個人數據以檢測並防止欺詐、賬戶接管、市場操縱、API 濫用及其他有害行爲。同時,我們使用數據維護平臺安全性和完整性。這些活動對於保護我們及整個用戶社區至關重要,若無此類處理,平臺將無法安全、公平地運行。
- 您的同意 對於某些處理活動——尤其是身份驗證過程中生物識別數據的收集與使用、非必需 Cookie、以及直接營銷通信——我們依賴您的同意。您可隨時通過 privacy@bitbase.com 或相關退出機制撤回同意。撤回同意不影響撤回前已進行的處理,但可能會限制您使用服務的某些功能。
- 取決於您所在地的額外權利 數據保護法律因轄區而異。根據您所在的國家或地區,您可能享有當地法律賦予的額外權利或保護,包括《歐盟通用數據保護條例》(GDPR)、英國 GDPR 或其他適用隱私立法下的權利。在這些法律適用的情況下,我們將遵守相關義務。如您對當地法律如何適用於您的數據有疑問,請通過 privacy@bitbase.com 聯繫我們。
7.數據共享及第三方披露
7.1 一般原則
我們不會將您的個人數據出售、出租或交易給第三方用於其自身商業目的。我們僅在提供服務、遵守法律義務以及本政策中所述情況下,共享您的個人數據。
7.2 第三方接收方 — 概覽表
下表(附錄 A 亦有說明)列出了我們可能共享個人數據的第三方類別、共享目的、共享的數據類別以及所採取的保障措施。
| 接收方类别 | 目的/提供的服务 | 数据传输 | 保障措施 |
| 身份验证服务提供商 | KYC;反洗钱/反恐怖融资(AML/CFT)筛查;生物识别验证;活体验证;文件认证;PEP/制裁筛查;欺诈网络检查;KYT/KYB;旅行规则(Travel Rule);钱包归属识别 | 身份数据;面部图像/生物识别数据;联系方式数据;设备/行为数据;合规数据 | 数据处理协议;合同义务;传输和静态加密保护 |
| 云基础设施服务提供商 | 托管服务;数据存储;计算资源;灾难恢复 | 平台上持有的所有类别个人数据 | AWS 数据处理附录;AWS 共享责任模型;SOC 2 / ISO 27001 认证 |
| 区块链分析与合规服务提供商 | 链上交易监控;钱包筛查;制裁合规;反洗钱/反恐怖融资(AML/CFT)报告 | 钱包地址;交易哈希;链上交易数据;旅行规则(Travel Rule)数据 | 数据处理协议;合同保密义务 |
| 法币支付服务提供商 | 处理法币存取款;退单管理 | 身份数据;联系方式;财务数据;交易数据;设备数据 | 数据处理协议;符合 PCI-DSS 标准(如适用) |
| 欺诈防范及风险情报服务提供商 | 基于设备的欺诈检测;风险评分;模拟器/机器人检测;跨平台欺诈信号 | 设备数据;设备行为数据;IP 地址;电子邮件/电话风险信号 | 数据处理协议;合同保密义务 |
| 监管机构、税务机关及执法部门 | 遵守法律义务;响应法院命令;配合金融调查;虚拟资产服务提供商(VASP)旅行规则信息交换 | 身份数据;交易数据;合规数据;链上数据(法律要求时) | 法律义务;仅在法律要求下进行数据传输 |
| 关联公司及集团公司 | 集团内部运营支持;合规协调;共享风险职能 | 身份数据;联系方式;合规数据;账户数据 | 集团内部数据共享协议;等效隐私标准 |
| 专业顾问(法律、审计、税务) | 法律咨询;审计;税务合规;争议解决 | 为特定顾问任务所需的数据 | 专业保密义务;适用时的数据处理协议 |
| 企业继承方(兼并与收购) | 与兼并、收购、重组或资产出售相关的业务转让 | 所有类别数据,但须遵守等效隐私保护 | 保密协议;转让条件下的隐私保护 |
7.3 旅行規則(Travel Rule)數據共享
在適用法律要求遵守 FATF 旅行規則的情況下,當您發起或接收符合規定閾值的虛擬資產轉賬時,我們將與對方虛擬資產服務提供商(VASP)共享匯款人和收款人信息(包括姓名、錢包地址及身份信息)。此類共享屬於強制性要求,不可選擇退出。使用我們的轉賬服務即表示您授權我們共享所需的旅行規則信息。
我們可能會向執法機構、金融情報單位、稅務機關及監管機構披露個人數據,適用情形包括:(i)法律或法院命令要求;(ii)爲防範、偵測或調查金融犯罪、欺詐或恐怖活動所必需;(iii)爲保護 Bitbase、我們的用戶或公衆的權利、財產或安全所必需。
在法律允許的範圍內,我們將盡力在進行此類披露前通知您。
7.5 業務轉讓
如發生兼併、收購、重組、破產或全部或絕大部分資產出售,您的個人數據可能會轉移至收購方。我們將要求收購方維持與本政策等效的隱私保護,並在法律要求的情況下提前通知您。
7.6 聚合及匿名化數據
我們可能會向公衆或合作伙伴共享聚合或匿名化數據(無法合理用於識別您的身份),用於市場情報、研究和報告目的。此類數據不屬於個人數據,因此不受本政策約束。
8.數據傳輸
我們可能會將您的個人數據傳輸或披露給我們的關聯公司、可信的第三方合作伙伴及位於全球各地的服務提供商,以實現本隱私政策中列明的處理目的。
當您的個人數據被傳輸至您所在國家/地區以外的第三國或國際組織,而這些國家或組織未被認定爲具有充分數據保護水平,或未達到適用數據保護法律下的等效保護標準時,我們將實施適當的保障措施,以確保該類傳輸符合適用法律要求。此類保障措施可能包括技術、組織及合同安排,旨在確保您的個人數據在傳輸後仍獲得與適用數據保護法律一致的充分保護。
使用本平臺即表示您知悉並接受您的個人數據可能如上所述進行傳輸。
9.數據保留
我們會在實現收集目的及遵守法律和監管義務所必需的期限內保留個人數據。我們的數據保留時間安排如下表所示。
| 数据类别 | 保留期限 | 保留期限依据 |
| 账户注册数据及身份文件 | 自账户关闭或最后一次交易之日起至少保留 5 年(以较晚者为准) | 反洗钱/反恐融资(AML/CFT)法律义务;监管记录保存要求 |
| 生物特征数据(面部特征模板、活体检测图像) | 仅在验证目的所必需期间保留;在反洗钱/反恐融资(AML/CFT)保留期限届满或经确认的删除请求后删除;删除后永久不可恢复 | 反洗钱/反恐融资合规;法律义务;基于明确同意 |
| 交易及交易记录(所有服务) | 自每笔交易之日起至少保留 5 年;如适用税法或监管法律要求,可延长保留期限 | 反洗钱/反恐融资(AML/CFT);税法;监管报告义务 |
| 链上及区块链 / 旅行规则数据 | 自交易日期起至少保留 5 年 | FATF 旅行规则;反洗钱/反恐融资(AML/CFT)法规;适用的虚拟资产服务提供商(VASP)法律法规 |
| KYC / 合规风险记录(PEP/制裁名单筛查、尽职调查EDD) | 自账户关闭之日起至少保留 5 年;如适用法律或正在进行的调查要求,可延长保留期限 | 反洗钱/反恐融资(AML/CFT);监管审查义务 |
| 法币交易及支付记录 | 自交易日期起至少保留 5 年,或根据适用支付法规延长保留期限 | 支付法律;税法;反洗钱/反恐融资(AML/CFT) |
| 客户支持及沟通记录 | 自最后一次沟通之日起 3 年;如涉及未结争议、法律程序或监管调查,则延长保留期限 | 合法利益;合同履行;法律辩护 |
| 设备、技术及行为日志 | 最多保留 2 年;如与安全调查或法律程序相关,可延长保留期限 | 合法利益;防欺诈及安全义务 |
| 视频身份验证录制 | 与 KYC 记录相同(至少 5 年)或根据适用 eIDAS / AML/CFT 法律要求 | 反洗钱/反恐融资(AML/CFT);eIDAS 框架(如适用);法律义务 |
| 营销偏好记录 | 直至撤回同意;另为合规记录保存 1 年 | 同意;问责义务 |
| 企业/机构入驻记录 | 自业务关系结束之日起至少保留 5 年 | 反洗钱/反恐融资(AML/CFT);KYB 监管义务 |
9.2 確定數據保留期限的標準
在確定適當的數據保留期限時,我們會考慮以下因素:
- 數據的性質及敏感程度;
- 數據處理的目的;
- 是否可以通過保留匿名化數據實現該目的;
- 適用的反洗錢/反恐融資(AML/CFT)、稅務及金融監管要求;
- 合同義務;
- 未經授權披露可能造成的潛在風險。
9.3 刪除與銷燬
在適用的數據保留期限屆滿後,我們將安全、永久地刪除或不可逆地匿名化您的個人數據。我們的刪除程序包括:
- 電子數據:通過防止恢復的方法從所有系統中永久刪除;對於雲端存儲的數據,使用 AWS S3 對象刪除功能。已備份的數據將在備份輪換週期內刪除備份副本。
- 生物特徵數據:通過確保數據不可恢復的方法刪除,包括使用法醫技術。
- 紙質文件:碎紙或焚燒處理。
- 移動及可移動存儲介質:對敏感數據進行恢復出廠設置或物理銷燬。
我們會採取合理措施,確保第三方數據處理方在保留期限屆滿後,也按照與我們的合同義務刪除或匿名化您的數據。
您提出的刪除請求將在三十(30)天內處理,但須遵守強制性法律保留義務。如因法律要求無法刪除某些數據,我們會通知您。
10.數據安全
10.1 技術與組織措施
我們實施了一整套技術及組織安全措施,以保護您的個人數據免受未經授權的訪問、披露、篡改、意外丟失或銷燬。這些措施包括:
- 數據傳輸加密:使用 TLS(傳輸層安全協議)加密所有傳輸中的數據;靜態數據加密:在 AWS 上使用 AES-256 或同等加密標準對靜態數據進行加密;
- 基於角色的訪問控制與最小權限原則:確保僅有經授權且需要使用個人數據履行職能的人員可以訪問數據;
- 所有平臺用戶賬戶強制雙因素認證(2FA);
- API 密鑰白名單及訪問速率限制,防止未經授權的 API 訪問;
- 多簽名(multi-sig)錢包架構與冷錢包存儲,用於大部分數字資產儲備;
- 分層熱/冷錢包系統,以最小化在線資產暴露風險;
- 專門的內部風險控制及安全監控職能,持續監控平臺活動;
- 定期滲透測試、漏洞評估及安全審計;
- 事件檢測與響應程序,包括法醫調查能力;
- 定期員工培訓,涵蓋信息安全、數據保護及防釣魚意識。
10.2 您的責任
您有責任妥善保管賬戶憑證的機密性,包括密碼、雙因素認證(2FA)代碼及 API 密鑰。 您應使用強且唯一的密碼,啓用所有可用的安全功能,並且絕不共享您的賬戶憑證。 如果您懷疑賬戶存在未經授權的訪問,請立即通過 support@Bitbase.com 與我們聯繫。
10.3 無絕對安全保證
儘管我們已採取一切合理措施保護您的數據,但任何系統都無法完全免受安全威脅。通過互聯網傳輸的數據本身具有固有的不安全性。因此,我們無法對通過平臺傳輸的任何數據的絕對安全性作出保證。
11.個人數據泄露通知
如發生可能對您的權利和自由造成風險的個人數據泄露事件,我們將:
- 在適用法律規定的時限內,向相關監管機構報告(如適用);
- 在不當延遲的情況下通知受影響的用戶,並在可能的情況下,於適用的數據保護法律規定的時限內完成通知;
-
向受影響的用戶提供以下信息:
- 泄露事件的性質;
- 受影響的數據類別及大致數量;
- 泄露事件可能造成的後果;
- 已採取或擬採取的應對措施。
泄露通知將發送至與您的賬戶關聯的電子郵件地址,並在適當情況下通過平臺上的顯著公告進行通知。
如果由於泄露事件規模過大,無法合理地逐一通知用戶,我們將通過平臺發佈公開公告。
12.Cookies 及追蹤技術
12.1 我們使用的技術
我們在平臺及移動應用中使用 cookies 和類似追蹤技術(包括網絡信標、像素標籤、SDK 以及設備指紋識別)用於以下目的:
嚴格必要 這些技術對平臺的正常運行至關重要。它們支持核心功能,例如會話管理、身份驗證、安全防護(CSRF 防護、未授權訪問檢測)以及負載均衡。同時,這些技術也支撐我們的防欺詐及模擬器/機器人檢測系統。此類技術不可禁用。
性能與分析 我們使用性能 cookies 和分析工具,以瞭解用戶如何使用平臺、識別性能問題、衡量功能使用情況,並提升整體用戶體驗。在適用法律要求的情況下,此類技術需經您同意。
功能性 這些技術會記住您的偏好設置(如語言和地區),並啓用增強型平臺功能。在適用法律要求的情況下,此類技術需經您同意。
廣告與定向 在啓用且獲得您同意的情況下,我們可能使用第一方及第三方廣告 cookies,向您展示相關促銷內容。在適用法律要求的情況下,此類技術需經您同意。
12.2 Cookies 管理
您可以通過我們的 Cookie 偏好中心(可通過網站頁腳的“Cookie”鏈接訪問)或通過瀏覽器設置管理您的 cookie 偏好。 禁用某些 cookies 可能會影響您使用平臺部分功能的能力。 如果您使用 VPN,請注意,VPN 分配的 IP 地址可能會影響基於位置的 cookie 同意橫幅的準確性;我們建議您通過 Cookie 偏好中心 手動管理偏好設置。
12.3 移動應用權限
我們的移動應用可能會請求訪問某些設備權限以提供服務。主要權限及用途包括:
- 相機:用於在 KYC 流程中進行文件掃描及活體檢測;
- 存儲:用於上傳文件;
- 設備標識符:用於防欺詐和設備綁定。
授予這些權限並不意味着它們會立即啓用;敏感權限僅在訪問相關功能時請求,屆時會提示您進行同意。
13.您的數據保護權利
13.1 您可享有的權利
在適用法律及特定法律例外的前提下,您就我們持有的個人數據可能享有以下權利:
訪問權(數據主體訪問請求) 您可以請求獲取我們持有的關於您的個人數據副本,以及關於數據處理目的、數據類別、接收方、保留期限和您的權利等信息。我們將以常用電子格式提供迴應。
更正權 您可以請求更正我們持有的關於您的不準確或不完整的個人數據。請注意,某些數據(如身份驗證記錄)無法單方面更改,可能需要重新進行驗證流程。
刪除權(被遺忘權) 在以下情況下,您可以請求刪除您的個人數據:
- 數據不再用於收集時的目的;
- 您撤回同意(適用於基於同意的處理);
- 您成功反對基於合法利益的處理;
- 數據被非法處理。
除非法律要求或允許我們保留該數據(例如 AML/CFT 記錄保存義務),我們將遵從您的請求。
限制處理權 在特定情況下,您可以請求限制數據處理,包括:
- 我們正在覈實有爭議數據的準確性;
- 正在評估您對基於合法利益處理的異議;
- 數據處理違法但您不希望我們刪除該數據。
數據可攜帶權 對於基於同意或合同履行並通過自動化手段進行的處理,您可以請求我們以結構化、常用、機器可讀的格式提供您的個人數據,或在技術可行的情況下直接傳輸給另一數據控制方。
反對權 您可以隨時反對基於我們合法利益的處理(包括畫像分析)。除非我們能證明存在壓倒您權益、權利和自由的強制性合法理由,或該處理對於建立、行使或防衛法律主張是必要的,否則我們將停止處理。 您也可以無條件反對用於直接營銷目的的數據處理。
撤回同意權 對於基於您明確同意的數據處理(包括生物識別數據),您可以隨時通過 privacy@Bitbase.com 撤回同意。 請注意,撤回同意不影響撤回前合法進行的數據處理。撤回生物識別數據處理同意可能導致身份驗證無法完成,並可能限制賬戶訪問。
與自動化決策相關的權利 您有權不受完全基於自動化處理(包括畫像分析)的決策影響,該決策會對您產生法律或類似重大影響,除非此類處理對於與您締結或履行合同是必要的、經適用法律授權,或基於您的明確同意。 在此類處理髮生時,您有權獲得人工審查、表達意見,並對決策提出異議。
13.2 如何行使您的權利
如需行使上述任何權利,請通過電子郵件向 privacy@Bitbase.com 提交書面請求,幷包含以下信息:
- 您的全名;
- 與您的賬戶關聯的電子郵件地址;
- 清晰標明您希望行使的權利;
- 足夠的信息以驗證您的身份(我們可能要求提供額外驗證資料)。
我們會及時確認收到您的請求,並在三十(30)天內作出迴應。在複雜情況下,我們可能會將期限延長六十(60)天,並事先向您說明延長原因。
處理合理請求不收取費用;但對於明顯無理、過度或重複的請求,我們可能收取合理的管理費用或拒絕處理。
13.3 權利的限制
在以下情況下,您的權利可能會受到限制或約束:
(i) 我們根據法律要求保留或處理數據(包括 AML/CFT 記錄保存);
(ii) 數據對於建立、行使或防衛法律主張是必要的;
(iii) 行使該權利可能不利影響第三方的權利或自由;
(iv) 其他法定豁免適用。
對於具體請求的任何限制或約束,我們將始終進行說明。
13.4 非活躍賬戶數據
我們不設獨立觸發數據刪除的非活躍賬戶政策。
非活躍賬戶仍受我們的標準 AML/CFT 交易監控流程約束。
賬戶數據將按照第 9 節規定進行保留,無論賬戶活動水平如何。
14.加密貨幣特定的數據處理實踐
14.1 區塊鏈透明性
請注意,區塊鏈網絡是公開且不可篡改的。當您在區塊鏈上發送或接收數字資產時,您的錢包地址和交易詳情(包括金額及交易對方的錢包地址)將公開顯示在區塊鏈上。我們無法刪除或更改鏈上數據。根據本政策,我們的隱私義務僅適用於我們系統中持有的個人數據;我們無法控制鏈上數據的可見性。
14.2 錢包地址關聯
出於 AML/CFT 合規目的,我們會在內部系統中將您註冊的錢包地址與您的身份關聯。此類關聯不會公開發布。然而,第三方區塊鏈分析工具可能會利用公開的鏈上數據獨立地將錢包地址與身份關聯。
14.3 FATF Travel Rule 合規
作爲虛擬資產服務提供商(VASP),我們需遵守 FATF Travel Rule,要求在符合條件的虛擬資產轉賬中收集、驗證並傳輸匯款人和收款人的信息。
當您發起或接收符合閾值的轉賬時,我們將:
- 收集您的姓名、錢包地址及相關身份信息;
- 在 KYC 流程中驗證該信息;
- 通過加密消息協議將信息傳輸給交易對方 VASP;
- 保留傳輸信息的記錄。
在您接收虛擬資產轉賬時,我們也可能從交易對方 VASP 接收匯款人和收款人信息。我們僅將接收的 Travel Rule 數據用於 AML/CFT 合規目的。
14.4 瞭解您的交易(KYT)監控
我們使用區塊鏈分析工具進行“瞭解您的交易”(KYT)監控。KYT 包括分析與您錢包地址相關的鏈上交易數據,以識別異常交易模式、與非法活動的關聯或制裁風險。KYT 結果可能影響您存取數字資產的能力,並可能觸發增強盡職調查(EDD)。
14.5 非託管錢包驗證
在適用的 Travel Rule 規定下,我們可能要求您驗證對非託管(自我託管)錢包地址的所有權或控制權。驗證方式可能包括:
- 使用錢包私鑰簽署測試消息;
- 提交所有權聲明;
- 提供錢包截圖;
- 在某些情況下,通過微交易(Satoshi 測試)。
驗證記錄將爲 Travel Rule 合規目的保留。
15.衍生品交易及槓桿產品 — 特定數據處理實踐
對於使用我們衍生品交易產品的用戶,我們會處理與槓桿產品相關的額外數據:
- 持倉數據:包括未平倉頭寸、持倉數量、開倉價格、標記價格、強平價格、未實現盈虧以及保證金比率。
- 保證金與抵押品數據:包括保證金類型(逐倉/全倉)、初始保證金、維持保證金、保證金比率違約情況及抵押資產構成。
- 強平記錄:當保證金比率低於維持保證金水平觸發強制平倉時,我們會記錄強平事件,包括平倉的頭寸、平倉時的標記價格,以及保險基金(Insurance Fund)的使用情況。
- 資金費率記錄:包括多頭與空頭頭寸之間的週期性資金費率支付。
16.機構及企業用戶
當您以企業或機構身份使用本服務時,除上述個人數據外,我們還會收集企業相關的個人數據,包括與您實體的授權代表、最終受益所有人(UBO)、董事、高管、股東及其他相關自然人(“關聯人員”)相關的數據。
您有責任確保關聯人員已被告知,其個人數據將提供給我們並按照本政策進行處理。通過向我們提供關聯人員的個人數據,您聲明您擁有合法依據這樣做,且關聯人員已被告知並已同意(在法律要求下)此類披露。
機構用戶可能需要遵循增強盡職調查要求,接受更廣泛的數據收集,並受制於補充本政策的獨立機構賬戶條款。
17.API 用戶
如果您通過我們的 API 訪問平臺,我們會收集並保存使用您憑證進行的所有 API 調用記錄,包括時間戳、IP 地址、參數及響應內容。API 訪問日誌用於安全監控、欺詐檢測、速率限制及濫用防範。異常的 API 使用模式(包括具有市場操縱特徵或未授權訪問行爲)可能會觸發賬戶審查或限制。
18.未成年人
本平臺及服務不面向且不適用於 18 歲以下人士。我們不會有意收集未成年人的個人數據。我們的身份驗證流程設計有防範機制,可識別並拒絕未成年人註冊。
如果我們發現無意中收集了未成年人的個人數據,或在未取得父母/監護人同意的情況下(適用法律要求時)對未成年人進行身份驗證,我們將在發現該問題後立即刪除相關數據。如果您認爲有未成年人的數據已被提交,請立即通過 privacy@Bitbase.com 與我們聯繫。
19.第三方鏈接與集成
本平臺可能包含指向第三方網站、應用程序或服務的鏈接,這些網站或服務並非由我們運營或控制。當您點擊此類鏈接時,即離開本平臺,您的活動將受第三方自身隱私政策的約束。我們不對任何第三方網站的隱私實踐或內容負責。
本平臺也可能與第三方服務提供商集成(例如支付處理商、法幣通道提供商及區塊鏈數據服務商),這些提供商在我們的指示下處理您的數據,如第 7 節及附錄 A 所述。這些提供商自身的隱私政策將規範其獨立的數據處理行爲;我們主要服務提供商的隱私政策鏈接可在幫助中心查閱。
20.已故用戶
在用戶去世的情況下,我們可能會根據經過驗證的近親或遺產代表的請求,處理關於已故用戶賬戶及資產的事務,但需遵循我們的賬戶關閉流程、適用的繼承法律及 AML/CFT(反洗錢/反恐融資)義務。已故用戶的個人數據將繼續按照本政策規定的適用保留期限進行保留和處理。
21.適用法律
本政策受巴拿馬共和國法律管轄並依其進行解釋。因本政策產生的任何爭議,應依據我們《使用條款》中規定的爭議解決條款進行處理。本條款中的任何內容均不限制您在居住司法管轄區內適用的強制性數據保護法律所賦予的權利。
22.隱私政策的變更
我們可隨時更新或修改本政策。修訂後的政策將在平臺上發佈,並標明生效日期。對於重大變更——包括收集的數據類別、數據處理目的、共享數據的第三方類別或您的權利的變更——我們將在生效前至少十四(14)天,通過電子郵件發送至您賬戶關聯的郵箱和/或在平臺上發佈顯著通知(在可行的情況下),提前告知您。對於非重大變更(例如排版修正或不影響數據處理實踐的澄清),我們將在平臺上發佈更新後的政策,而無需單獨通知。
在任何修訂政策生效後,您繼續使用本平臺即視爲接受更新後的條款。如果您不同意任何變更,應在生效前停止使用平臺並提交賬戶關閉請求。
23.語言
本隱私政策以英文版本爲準。如英文版本與任何譯本存在衝突,以英文版本爲準。
術語表
- AML/CFT(反洗錢/反恐怖融資):旨在發現並防止洗錢及恐怖融資的法律、法規及操作程序的監管框架。
- 生物識別數據(Biometric Data):通過對個體的身體或行爲特徵進行特定技術處理而產生的個人數據,可用於識別或確認個人身份的唯一性,包括面部特徵模板。
- 數據控制者(Controller):決定個人數據處理目的和方式的自然人或法人。本政策所指的數據控制者爲 Bitbase Corp.。
- 數據主體(Data Subject):任何被識別或可識別的自然人,其個人數據由數據控制者處理。
- 增強盡職調查(EDD, Enhanced Due Diligence):針對高風險客戶採取的額外身份驗證和風險評估措施。
- FATF Travel Rule(金融行動特別工作組旅行規則):金融行動特別工作組(FATF)提出的建議,要求虛擬資產服務提供商(VASP)在超過特定閾值的虛擬資產轉移中收集並傳輸發起方和受益方信息。
- GDPR(通用數據保護條例):歐盟《通用數據保護條例》(EU 2016/679),及在適用情況下,通過英國國內法律實施的英國 GDPR。
- KYB(瞭解您的企業):驗證法人實體身份、結構及受益所有權的流程。
- KYC(瞭解您的客戶):按照 AML/CFT 及監管要求驗證個人用戶身份的流程。
- KYT(瞭解您的交易):對區塊鏈交易進行監控,以發現虛擬資產轉移中的異常或非法活動。
- 政治公衆人物(PEP, Politically Exposed Person):擔任或曾擔任顯著公職的個人,包括其直系親屬及密切關聯人。
- 個人數據(Personal Data):與已識別或可識別的自然人相關的任何信息。
- 數據處理者(Processor):代表數據控制者處理個人數據的自然人或法人。
- 特殊類別數據(Special Category Data):需要更高保護的個人數據類別,包括生物識別數據、健康數據、種族/民族來源、政治觀點、宗教信仰及工會會員身份。
- VASP(虛擬資產服務提供商):提供虛擬資產交易、轉賬、託管或相關服務的企業。
評論
0 條評論
文章評論已關閉。