跳到主内容
Deutsch English (United States) Polski (Polska) Русский 中文 (香港)

隐私政策

Bitbase
更新
生效日期:2026年2月21日

 

1.引言

Bitbase(以下简称“我们”)运营一家加密货币交易平台,可通过 www.Bitbase.com 及我们的移动应用程序(统称“平台”)访问。本隐私政策(以下简称“本政策”)说明了在您使用本平台及相关服务过程中,我们如何收集、使用、存储、披露、传输及保护您的个人数据。本政策适用于所有平台用户,包括个人用户、机构客户以及网站访客(以下简称“您”)。
本政策构成《使用条款》的一部分,并与其共同适用。您在注册账户或使用相关服务时,即表示您已阅读并理解本政策,并同意我们按照本政策所述方式处理您的个人数据。如您不同意本政策的任何内容,请勿使用本平台。除非本政策另有定义,本政策中使用的所有大写术语应具有《使用条款》中所赋予的含义。
我们可能会不时更新本政策。最新版本将始终在平台上发布。如发生重大变更,我们将按照第22条所述方式进行通知。
 

2.您的同意

为确保透明度并增强您对我们在收集、使用及保护个人数据方面的信任,建议您仔细并完整阅读本隐私政策。无论您是否已注册账户,只要您访问或登录本平台,即表示您已阅读、理解并同意本隐私政策的条款。尤其是,您确认并同意:
  • 您系自愿提供个人数据,并明确同意我们根据本隐私政策对该等个人数据进行收集、使用、处理及披露。
  • 您同意遵守本隐私政策中载明的所有适用条款、条件及规定。
  • 您同意在访问本平台过程中(包括但不限于登录、注册账户及使用平台提供的服务)进行个人数据的收集与处理。您进一步确认并同意,本隐私政策可能不时进行修订、更新或修改;在相关变更后,您继续访问或使用本平台即视为接受更新后的隐私政策。
  • 除非您已明确表示不希望接收相关信息,您同意我们的分支机构、关联方、相关实体及员工可就可能令您感兴趣的产品、服务、推广活动或其他信息与您取得联系。
     

3.适用范围

本政策适用于我们在以下情形中收集和处理的个人数据:
  • 您账户的注册及维护;
  • 您使用平台提供的任何服务;
  • 与您开户注册及持续合作关系相关的身份验证以及反洗钱/反恐融资(AML/CFT)合规程序;
  • 您与我们的沟通,包括通过客户支持、电子邮件及在线客服;
  • 您访问我们的网站及使用我们的移动应用程序;以及
  • 您在使用本平台过程中与我们发生的任何其他互动。
本政策不适用于通过本平台链接的任何第三方网站、应用程序或服务的隐私做法。在向该等第三方提供个人数据之前,我们建议您查阅其各自的隐私政策。
 

4.我们收集的个人数据——完整清单

我们通过多种来源收集个人数据,包括:您直接提供的信息、您使用平台过程中自动收集的信息、我们的第三方服务提供商提供的信息、来自公开渠道及登记机构的信息,以及为履行“旅行规则”(Travel Rule)合规义务而从交易对手虚拟资产服务提供商(VASP)获取的信息。
下表列示了我们所收集的个人数据类别、具体数据项、数据收集方式、处理目的以及相应的法律依据的完整清单。
 
类别 数据项 收集方式 处理目的 法律依据
身份数据 姓名;出生日期;性别;国籍;公民身份;出生地;个人身份证件号码/国家身份证号码;政府签发的身份证明文件(如护照、身份证、驾驶证),包括但不限于:证件类型、签发国家、证件号码、有效期、机器可读区(MRZ)、条形码、安全特征以及证件影像/扫描件。 在注册及KYC过程中由您直接提供;以及通过我们的身份验证服务提供商收集。 账户开立;身份验证(KYC);反洗钱/反恐融资(AML/CFT)合规;防范欺诈;履行监管报告义务。 法律义务;合同履行。
脸部图像与生物识别数据 自拍照片;身份证件中的面部图像/扫描件;用于人脸比对的生物特征面部模板;活体检测图像/视频(眨眼、微笑、动作提示);视频身份识别记录;重复身份检测比对 在 KYC 流程中,通过我们的身份验证服务提供商 身份认证;活体验证;欺诈/深度伪造/模拟器检测;重复账户检测;反洗钱/反恐怖融资(AML/CFT)合规 明确同意;重大公共利益(反洗钱/反恐怖融资)
联系信息 电子邮箱地址;电话号码;住宅/邮寄地址;邮政编码;城市;居住国家 由您直接提供 账户管理;服务提供;沟通交流;地址核实;反洗钱(AML)检查 合同履行;法律义务
财务数据 银行账户信息(在使用法币服务时);银行卡信息(仅限前 6 位和后 4 位);法币金额;支付方式信息 在法币存取款流程中由您直接提供;通过支付服务提供商收集 法币入金/出金处理;支付验证;防欺诈 合同履行;法律义务
交易与交易行为数据 钱包地址(充值和提现);所有交易及订单历史(交易对、价格、数量、时间戳、类型);充值和提现记录(金额、资产、日期、链上交易哈希、对方地址);账户余额历史;未平仓头寸;资金费率记录;强制平仓记录;盈亏历史 由您使用本平台时自动生成 服务提供;反洗钱/反恐怖融资(AML/CFT)交易监控;合规报告;争议解决;纳税义务 合同履行;法律义务
链上及区块链数据 区块链钱包地址;链上交易 ID 和哈希;资产类型及数量;对方钱包地址;区块链分析风险评分;钱包筛查结果;旅行规则(Travel Rule)数据(发送方/接收方姓名、住址或国家身份证号或出生日期/地点、汇款方/受益方账户号码、虚拟资产服务提供商标识) 来源于链上数据;通过区块链分析服务提供商;来自对方虚拟资产服务提供商(旅行规则) 反洗钱/反恐怖融资(AML/CFT)合规;旅行规则(Travel Rule)合规;制裁筛查;欺诈检测;钱包归属识别 法律义务;合法利益
身份验证风险与合规数据 重要公众人物(PEP)身份及筛查结果;制裁筛查结果(OFAC、欧盟、联合国及特定国家名单);负面媒体检查结果;高风险国家/居住地标识;企业尽职调查(KYB)验证结果(最终受益人、董事、公司结构、登记信息核查);电子邮箱和电话号码风险评分;基于设备的欺诈信号;风险等级/客户风险概况;增强尽职调查(EDD)文件 通过我们的身份验证服务提供商;通过区块链分析及合规工具;来自监管数据库 反洗钱/反恐怖融资(AML/CFT)合规;制裁合规;客户风险评估;合规报告;防欺诈 法律义务;合法利益
企业及机构数据 法人名称及注册号;注册成立司法辖区;注册地址;公司注册证书;章程文件;最终受益人(UBO)声明;董事及高管信息;公司结构图;监管资质及许可证;授权签字人信息 在机构用户入驻过程中由其直接提供;来自公开公司注册登记信息 机构账户开立;企业尽职调查(KYB);反洗钱/反恐怖融资(AML/CFT)合规;监管义务 法律义务;合法利益
设备及技术数据 IP 地址;设备标识符(Android ID、IDFV、IDFA、OAID);设备品牌、型号、操作系统类型及版本;浏览器类型及版本;网络信息(Wi-Fi SSID/BSSID、运营商、MAC 地址、连接类型);设备硬件属性(摄像头名称及类型);运行应用列表(用于风险控制);会话时间戳;来源/退出页面 通过我们的平台、移动应用及 SDK 自动收集 平台安全;欺诈检测;模拟器/机器人检测;访问控制;分析 合法利益;(非必需)同意
设备行为数据 屏幕尺寸及分辨率;会话语言设置;操作系统验证信号;窗口聚焦/失焦事件;粘贴事件;鼠标移动模式;按键事件时序;触控事件模式;电池使用数据;加速度计/重力计读数;隐身模式检测 在平台会话及身份验证流程中自动收集 模拟器检测;机器人及自动化攻击防护;欺诈评分;活体验证 合法利益
使用及行为数据 登录历史(时间戳、IP 地址、设备);访问页面;使用功能及产品;订单流程及交易模式;API 调用模式及数量;会话时长;应用内导航 通过平台自动收集 平台改进;个性化服务;市场完整性监控;反洗钱/反恐怖融资(AML/CFT)模式检测;API 滥用检测 合法利益;(可选)同意
沟通与支持数据 客服工单及聊天记录;电子邮件往来;争议记录;视频身份核验面试记录;反馈及问卷回复;KYC 验证决策记录及拒绝原因代码 由您直接提供;在客服互动及身份验证流程中生成 客户支持;争议解决;质量保障;法律程序;KYC 审计追踪 合同履行;合法利益
营销及偏好数据 营销通信偏好(是否选择接收/拒收);语言偏好;产品兴趣信号;推荐码/联盟计划数据;促销活动反馈 由您直接提供;通过平台使用行为推断 发送营销通信(需经同意);管理联盟计划;产品改进 同意;合法利益
4.1 个人数据来源
(a) 您直接提供 当您进行以下操作时,会向我们提供个人数据:注册账户;完成身份验证(KYC);提交增强尽职调查(EDD)文件;进行存取款操作;下单或执行交易;参与金融产品;联系客户支持团队;填写调查问卷或参与促销活动;或以其他方式与我们进行沟通。
(b) 自动收集 当您访问平台或使用我们的移动应用时,我们会通过平台基础设施、移动 SDK 以及 Cookie 或类似技术,自动收集设备数据、IP 地址、技术标识符、会话数据及行为信号。
(c) 来自身份验证服务提供商 我们聘请第三方身份验证服务提供商代表我们执行 KYC、面部生物识别验证、文件认证、活体验证、制裁筛查、PEP 检查及欺诈检测。在此过程中,该服务提供商根据我们的指示作为数据控制方处理您的身份、面部生物识别、联系方式、设备及合规数据。服务提供商也可能以其自身的独立目的处理部分数据(包括服务开发及跨客户欺诈检测),在这种情况下,其处理行为受其自身隐私政策约束,数据主体针对该处理的权利请求应直接向该提供商提出。您可在我们的帮助中心找到当前身份验证服务提供商的隐私政策链接。
(d) 来自区块链及链上数据源 我们及区块链分析服务提供商可能会访问公开可用的链上数据,包括钱包地址、交易历史及区块链记录,以履行反洗钱/反恐怖融资(AML/CFT)合规、制裁筛查及旅行规则(Travel Rule)义务。
(e) 来自公共来源及第三方数据库 我们可能会从公共企业登记信息(用于机构 KYB)、政府身份登记、PEP 及制裁数据库、负面媒体来源、消费者信用机构及其他与合规义务相关的公共数据库收集您的信息。
(f) 来自对方虚拟资产服务提供商(旅行规则) 根据 FATF 旅行规则,当您发起或接收符合适用旅行规则门槛的加密货币转账时,我们可能会从对方虚拟资产服务提供商处接收个人数据(包括发送方及接收方的身份信息)。
 

4.2 生物识别及特殊类别数据

我们在身份验证流程中收集和处理生物识别数据(包括从您的自拍照片及身份文件图像中提取的面部特征模板,以及活体验证录像)。根据适用的数据保护法律,生物识别数据属于“特殊类别”个人数据,需格外谨慎处理。具体处理活动包括:
  • 文件面部匹配:将您的自拍照片与身份文件上的面部图像进行比对,以确认您对该文件的所有权。
  • 活体验证:实时确认您为真实存在的人员,检测使用静态图片、视频、面具、深度伪造或模拟器进行的欺诈尝试。您可能会被提示眨眼、微笑或移动设备。
  • 生物识别去重:将您的面部图像与平台上已验证用户进行比对,以识别重复账户创建的尝试。
  • 重新身份验证:当您使用生物识别进行敏感账户操作时,您的活体验证图像可能会与之前存储的生物识别记录进行比对。
  • 视频身份核验:在进行实时视频面试时,录像可能会由授权人员审核,用于质量保障及合规目的。
我们处理生物识别数据的依据为您的明确同意,或在重大公共利益需要的情况下进行,包括遵守适用的反洗钱及反恐怖融资(AML/CFT)义务。
您可随时通过本隐私政策提供的联系方式撤回对生物识别数据处理的同意。但请注意,撤回同意可能导致我们无法完成身份验证流程,并可能限制或阻止您访问平台上某些功能或服务。
 
4.3 我们不收集的数据
我们不会收集或存储以下信息:完整的支付卡号或 CVV 码;网银密码;区块链私钥或助记词;或未满 18岁人员的个人数据。如我们发现意外收集了未成年人的数据,将会立即删除。
 

5.处理目的 — 我们如何使用您的数据

5.1 账户开立与入驻
我们处理您的身份、联系方式及财务数据,以建立您的账户、进行身份验证(KYC)及企业验证(KYB)程序、评估您使用服务的资格,并根据分级验证体系设定您的账户等级及交易限额。
5.2 交易及金融服务提供
我们处理您的交易、交易行为及财务数据,以执行您在现货市场的订单;处理衍生品交易头寸并计算保证金、清算水平及资金利率;便捷进行数字资产的存取款;提供金融产品访问及收益计算;处理推荐及联盟计划交易;并提供账户报表、交易确认及税务申报数据。
5.3 反洗钱/反恐怖融资(AML/CFT)、制裁及监管合规
我们需遵守反洗钱、反恐怖融资及制裁相关法律法规,要求验证用户身份、监控交易、进行制裁名单筛查、报告可疑活动及保留记录。为履行这些义务,我们处理您的身份数据、合规数据、交易数据、链上数据及旅行规则(Travel Rule)数据。此类处理为强制性操作,不可选择退出,相关数据的提供是账户开立及服务提供的前提条件。
具体合规活动包括:
  • 初始及持续的 KYC 和增强尽职调查(EDD)身份验证;
  • 对 OFAC、欧盟、联合国安理会及特定国家的 PEP 与制裁名单进行实时及定期筛查;
  • AML 交易监控及可疑活动报告;
  • “了解您的交易”(KYT)区块链监控,以识别非法活动;
  • 旅行规则(Travel Rule)合规 — 收集、验证并传输符合条件的虚拟资产转账的发起方及受益方信息;
  • 风险评估及客户风险评分;
  • 对机构客户进行 KYB 验证;
  • 根据适用法律要求,进行税务申报及与税务机关的信息交换。
 
5.4 欺诈防范及市场完整性
我们分析交易模式、交易行为、设备信号及账户活动,以检测和防止以下行为:账户接管及未授权访问;身份欺诈及文件伪造;市场操纵(包括洗盘交易、虚假挂单、分层交易、拉高出货及抢跑行为);API 滥用及自动化攻击行为;违反政策的多账户创建;以及《使用条款》下的其他禁止行为。此类处理属于 Bitbase 及其用户社区的合法利益。
5.5 平台安全
我们处理设备及技术数据、IP 地址、登录历史及设备行为信号,以监控未授权访问、调查安全事件、维护平台稳定性并保护用户账户。具体安全措施包括 IP 声誉检查、设备指纹识别、模拟器及机器人检测,以及异常会话活动监控。
5.6 客户支持与争议解决
我们保留并处理沟通与支持数据,以回应您的咨询、调查投诉、解决争议及进行质量审查。视频身份核验记录及 KYC 决策记录可能会由授权员工审核,用于审计及合规目的。
5.7 风险管理与财务控制
我们处理交易、交易行为及财务数据,以管理我们的财务及运营风险,包括但不限于监控账户负余额并向风险管理部门报告。
5.8 数据分析、研究及平台改进
我们使用汇总的、在可能情况下已匿名化的使用及行为数据,分析平台表现、了解用户活动模式、开发新功能、开展市场研究及生成内部商业情报。真正匿名化的数据不属于本政策适用范围。
5.9 营销通信
在您提供同意(法律要求的情况下)或我们具有合法利益的情况下,我们可能通过电子邮件、推送通知或平台内消息向您发送关于新产品、功能、优惠及市场动态的推广信息。您可随时通过消息中的退订链接或在账户设置中更新偏好来取消订阅。我们不会将您的个人数据出售或出租给第三方用于其营销目的。
5.10 法律程序与监管义务
我们可能处理您的个人数据以遵守法院命令、应对监管调查、履行税务及财务报告义务,以及建立、行使或维护法律权利。根据法律要求,我们可能需要向执法部门、监管机构、金融情报单位或法院披露个人数据,而无需事先通知您。
5.11 自动决策与用户画像
我们及我们的身份验证服务提供商在 KYC 入驻流程及持续 AML/CFT 交易监控中使用自动化处理技术,包括机器学习、模式识别及基于规则的评分。自动化检查可能生成风险评分、欺诈标识或验证结果,这些结果可能影响您访问服务的权限或交易限额。
自动决策适用的重要保障措施如下:
  • KYC 流程中的自动化检查会提供报告和风险指标;最终是否允许您入驻,由我们的人力审核决定,除非检查结果明确且适用法律及您的明确同意允许完全自动化决策。
  • 若您的验证未通过,或账户因自动化结果受到限制,您可通过 support@Bitbase.com 提出申诉,我们的合规团队将进行人工复核。
  • 我们在自动化流程中实施人工监督,以确保公平性并纠正错误的机器学习结果。
  • 若我们作出完全自动化的决策,且该决策产生法律或同等重要影响,我们将通知您,并提供关于所用逻辑的充分说明。

6.处理您个人数据的依据

我们仅在具有合法理由的情况下收集和处理您的个人数据。我们依赖的主要依据包括:
  • 向您提供服务 当您开立账户并使用平台时,我们会处理为履行对您义务所必需的个人数据,包括执行交易、处理存取款、管理您的账户以及提供客户支持。如不进行这些处理,我们将无法向您提供服务。
  • 遵守法律及监管义务 作为虚拟资产服务提供商,我们需遵守法律义务,要求收集和处理个人数据,包括身份验证、反洗钱/反恐怖融资(AML/CFT)筛查、制裁检查、旅行规则(Travel Rule)合规、交易监控及监管报告。此类义务不依赖于您的同意,亦不可放弃。
  • 保护平台及用户 我们处理个人数据以检测并防止欺诈、账户接管、市场操纵、API 滥用及其他有害行为。同时,我们使用数据维护平台安全性和完整性。这些活动对于保护我们及整个用户社区至关重要,若无此类处理,平台将无法安全、公平地运行。
  • 您的同意 对于某些处理活动——尤其是身份验证过程中生物识别数据的收集与使用、非必需 Cookie、以及直接营销通信——我们依赖您的同意。您可随时通过 privacy@bitbase.com 或相关退出机制撤回同意。撤回同意不影响撤回前已进行的处理,但可能会限制您使用服务的某些功能。
  • 取决于您所在地的额外权利 数据保护法律因辖区而异。根据您所在的国家或地区,您可能享有当地法律赋予的额外权利或保护,包括《欧盟通用数据保护条例》(GDPR)、英国 GDPR 或其他适用隐私立法下的权利。在这些法律适用的情况下,我们将遵守相关义务。如您对当地法律如何适用于您的数据有疑问,请通过 privacy@bitbase.com 联系我们。

7.数据共享及第三方披露

7.1 一般原则
我们不会将您的个人数据出售、出租或交易给第三方用于其自身商业目的。我们仅在提供服务、遵守法律义务以及本政策中所述情况下,共享您的个人数据。
7.2 第三方接收方 — 概览表
下表(附录 A 亦有说明)列出了我们可能共享个人数据的第三方类别、共享目的、共享的数据类别以及所采取的保障措施。
接收方类别 目的/提供的服务 数据传输 保障措施
身份验证服务提供商 KYC;反洗钱/反恐怖融资(AML/CFT)筛查;生物识别验证;活体验证;文件认证;PEP/制裁筛查;欺诈网络检查;KYT/KYB;旅行规则(Travel Rule);钱包归属识别 身份数据;面部图像/生物识别数据;联系方式数据;设备/行为数据;合规数据 数据处理协议;合同义务;传输和静态加密保护
云基础设施服务提供商 托管服务;数据存储;计算资源;灾难恢复 平台上持有的所有类别个人数据 AWS 数据处理附录;AWS 共享责任模型;SOC 2 / ISO 27001 认证
区块链分析与合规服务提供商 链上交易监控;钱包筛查;制裁合规;反洗钱/反恐怖融资(AML/CFT)报告 钱包地址;交易哈希;链上交易数据;旅行规则(Travel Rule)数据 数据处理协议;合同保密义务
法币支付服务提供商 处理法币存取款;退单管理 身份数据;联系方式;财务数据;交易数据;设备数据 数据处理协议;符合 PCI-DSS 标准(如适用)
欺诈防范及风险情报服务提供商 基于设备的欺诈检测;风险评分;模拟器/机器人检测;跨平台欺诈信号 设备数据;设备行为数据;IP 地址;电子邮件/电话风险信号 数据处理协议;合同保密义务
监管机构、税务机关及执法部门 遵守法律义务;响应法院命令;配合金融调查;虚拟资产服务提供商(VASP)旅行规则信息交换 身份数据;交易数据;合规数据;链上数据(法律要求时) 法律义务;仅在法律要求下进行数据传输
关联公司及集团公司 集团内部运营支持;合规协调;共享风险职能 身份数据;联系方式;合规数据;账户数据 集团内部数据共享协议;等效隐私标准
专业顾问(法律、审计、税务) 法律咨询;审计;税务合规;争议解决 为特定顾问任务所需的数据 专业保密义务;适用时的数据处理协议
企业继承方(兼并与收购) 与兼并、收购、重组或资产出售相关的业务转让 所有类别数据,但须遵守等效隐私保护 保密协议;转让条件下的隐私保护
7.3 旅行规则(Travel Rule)数据共享
在适用法律要求遵守 FATF 旅行规则的情况下,当您发起或接收符合规定阈值的虚拟资产转账时,我们将与对方虚拟资产服务提供商(VASP)共享汇款人和收款人信息(包括姓名、钱包地址及身份信息)。此类共享属于强制性要求,不可选择退出。使用我们的转账服务即表示您授权我们共享所需的旅行规则信息。
我们可能会向执法机构、金融情报单位、税务机关及监管机构披露个人数据,适用情形包括:(i)法律或法院命令要求;(ii)为防范、侦测或调查金融犯罪、欺诈或恐怖活动所必需;(iii)为保护 Bitbase、我们的用户或公众的权利、财产或安全所必需。
在法律允许的范围内,我们将尽力在进行此类披露前通知您。
7.5 业务转让
如发生兼并、收购、重组、破产或全部或绝大部分资产出售,您的个人数据可能会转移至收购方。我们将要求收购方维持与本政策等效的隐私保护,并在法律要求的情况下提前通知您。
7.6 聚合及匿名化数据
我们可能会向公众或合作伙伴共享聚合或匿名化数据(无法合理用于识别您的身份),用于市场情报、研究和报告目的。此类数据不属于个人数据,因此不受本政策约束。
 

8.数据传输

我们可能会将您的个人数据传输或披露给我们的关联公司、可信的第三方合作伙伴及位于全球各地的服务提供商,以实现本隐私政策中列明的处理目的。
当您的个人数据被传输至您所在国家/地区以外的第三国或国际组织,而这些国家或组织未被认定为具有充分数据保护水平,或未达到适用数据保护法律下的等效保护标准时,我们将实施适当的保障措施,以确保该类传输符合适用法律要求。此类保障措施可能包括技术、组织及合同安排,旨在确保您的个人数据在传输后仍获得与适用数据保护法律一致的充分保护。
使用本平台即表示您知悉并接受您的个人数据可能如上所述进行传输。
 

9.数据保留

我们会在实现收集目的及遵守法律和监管义务所必需的期限内保留个人数据。我们的数据保留时间安排如下表所示。
数据类别 保留期限 保留期限依据
账户注册数据及身份文件 自账户关闭或最后一次交易之日起至少保留 5 年(以较晚者为准) 反洗钱/反恐融资(AML/CFT)法律义务;监管记录保存要求
生物特征数据(面部特征模板、活体检测图像) 仅在验证目的所必需期间保留;在反洗钱/反恐融资(AML/CFT)保留期限届满或经确认的删除请求后删除;删除后永久不可恢复 反洗钱/反恐融资合规;法律义务;基于明确同意
交易及交易记录(所有服务) 自每笔交易之日起至少保留 5 年;如适用税法或监管法律要求,可延长保留期限 反洗钱/反恐融资(AML/CFT);税法;监管报告义务
链上及区块链 / 旅行规则数据 自交易日期起至少保留 5 年 FATF 旅行规则;反洗钱/反恐融资(AML/CFT)法规;适用的虚拟资产服务提供商(VASP)法律法规
KYC / 合规风险记录(PEP/制裁名单筛查、尽职调查EDD) 自账户关闭之日起至少保留 5 年;如适用法律或正在进行的调查要求,可延长保留期限 反洗钱/反恐融资(AML/CFT);监管审查义务
法币交易及支付记录 自交易日期起至少保留 5 年,或根据适用支付法规延长保留期限 支付法律;税法;反洗钱/反恐融资(AML/CFT)
客户支持及沟通记录 自最后一次沟通之日起 3 年;如涉及未结争议、法律程序或监管调查,则延长保留期限 合法利益;合同履行;法律辩护
设备、技术及行为日志 最多保留 2 年;如与安全调查或法律程序相关,可延长保留期限 合法利益;防欺诈及安全义务
视频身份验证录制 与 KYC 记录相同(至少 5 年)或根据适用 eIDAS / AML/CFT 法律要求 反洗钱/反恐融资(AML/CFT);eIDAS 框架(如适用);法律义务
营销偏好记录 直至撤回同意;另为合规记录保存 1 年 同意;问责义务
企业/机构入驻记录 自业务关系结束之日起至少保留 5 年 反洗钱/反恐融资(AML/CFT);KYB 监管义务

9.2 确定数据保留期限的标准

在确定适当的数据保留期限时,我们会考虑以下因素:
  • 数据的性质及敏感程度;
  • 数据处理的目的;
  • 是否可以通过保留匿名化数据实现该目的;
  • 适用的反洗钱/反恐融资(AML/CFT)、税务及金融监管要求;
  • 合同义务;
  • 未经授权披露可能造成的潜在风险。

9.3 删除与销毁

在适用的数据保留期限届满后,我们将安全、永久地删除或不可逆地匿名化您的个人数据。我们的删除程序包括:
  • 电子数据:通过防止恢复的方法从所有系统中永久删除;对于云端存储的数据,使用 AWS S3 对象删除功能。已备份的数据将在备份轮换周期内删除备份副本。
  • 生物特征数据:通过确保数据不可恢复的方法删除,包括使用法医技术。
  • 纸质文件:碎纸或焚烧处理。
  • 移动及可移动存储介质:对敏感数据进行恢复出厂设置或物理销毁。
我们会采取合理措施,确保第三方数据处理方在保留期限届满后,也按照与我们的合同义务删除或匿名化您的数据。
您提出的删除请求将在三十(30)天内处理,但须遵守强制性法律保留义务。如因法律要求无法删除某些数据,我们会通知您。
 

10.数据安全

10.1 技术与组织措施
我们实施了一整套技术及组织安全措施,以保护您的个人数据免受未经授权的访问、披露、篡改、意外丢失或销毁。这些措施包括:
  • 数据传输加密:使用 TLS(传输层安全协议)加密所有传输中的数据;静态数据加密:在 AWS 上使用 AES-256 或同等加密标准对静态数据进行加密;
  • 基于角色的访问控制与最小权限原则:确保仅有经授权且需要使用个人数据履行职能的人员可以访问数据;
  • 所有平台用户账户强制双因素认证(2FA)
  • API 密钥白名单及访问速率限制,防止未经授权的 API 访问;
  • 多签名(multi-sig)钱包架构与冷钱包存储,用于大部分数字资产储备;
  • 分层热/冷钱包系统,以最小化在线资产暴露风险;
  • 专门的内部风险控制及安全监控职能,持续监控平台活动;
  • 定期渗透测试、漏洞评估及安全审计
  • 事件检测与响应程序,包括法医调查能力;
  • 定期员工培训,涵盖信息安全、数据保护及防钓鱼意识。
10.2 您的责任
您有责任妥善保管账户凭证的机密性,包括密码、双因素认证(2FA)代码及 API 密钥。 您应使用强且唯一的密码,启用所有可用的安全功能,并且绝不共享您的账户凭证。 如果您怀疑账户存在未经授权的访问,请立即通过 support@Bitbase.com 与我们联系。
 
10.3 无绝对安全保证
尽管我们已采取一切合理措施保护您的数据,但任何系统都无法完全免受安全威胁。通过互联网传输的数据本身具有固有的不安全性。因此,我们无法对通过平台传输的任何数据的绝对安全性作出保证。
 

11.个人数据泄露通知

如发生可能对您的权利和自由造成风险的个人数据泄露事件,我们将:
  • 在适用法律规定的时限内,向相关监管机构报告(如适用);
  • 在不当延迟的情况下通知受影响的用户,并在可能的情况下,于适用的数据保护法律规定的时限内完成通知;
  • 向受影响的用户提供以下信息:
    • 泄露事件的性质;
    • 受影响的数据类别及大致数量;
    • 泄露事件可能造成的后果;
    • 已采取或拟采取的应对措施。
泄露通知将发送至与您的账户关联的电子邮件地址,并在适当情况下通过平台上的显著公告进行通知。
如果由于泄露事件规模过大,无法合理地逐一通知用户,我们将通过平台发布公开公告。
 

12.Cookies 及追踪技术

12.1 我们使用的技术
我们在平台及移动应用中使用 cookies 和类似追踪技术(包括网络信标、像素标签、SDK 以及设备指纹识别)用于以下目的:
严格必要 这些技术对平台的正常运行至关重要。它们支持核心功能,例如会话管理、身份验证、安全防护(CSRF 防护、未授权访问检测)以及负载均衡。同时,这些技术也支撑我们的防欺诈及模拟器/机器人检测系统。此类技术不可禁用。
性能与分析 我们使用性能 cookies 和分析工具,以了解用户如何使用平台、识别性能问题、衡量功能使用情况,并提升整体用户体验。在适用法律要求的情况下,此类技术需经您同意。
功能性 这些技术会记住您的偏好设置(如语言和地区),并启用增强型平台功能。在适用法律要求的情况下,此类技术需经您同意。
广告与定向 在启用且获得您同意的情况下,我们可能使用第一方及第三方广告 cookies,向您展示相关促销内容。在适用法律要求的情况下,此类技术需经您同意。
 

12.2 Cookies 管理

您可以通过我们的 Cookie 偏好中心(可通过网站页脚的“Cookie”链接访问)或通过浏览器设置管理您的 cookie 偏好。 禁用某些 cookies 可能会影响您使用平台部分功能的能力。 如果您使用 VPN,请注意,VPN 分配的 IP 地址可能会影响基于位置的 cookie 同意横幅的准确性;我们建议您通过 Cookie 偏好中心 手动管理偏好设置。

12.3 移动应用权限

我们的移动应用可能会请求访问某些设备权限以提供服务。主要权限及用途包括:
  • 相机:用于在 KYC 流程中进行文件扫描及活体检测;
  • 存储:用于上传文件;
  • 设备标识符:用于防欺诈和设备绑定。
授予这些权限并不意味着它们会立即启用;敏感权限仅在访问相关功能时请求,届时会提示您进行同意。
 

13.您的数据保护权利

13.1 您可享有的权利
在适用法律及特定法律例外的前提下,您就我们持有的个人数据可能享有以下权利:
访问权(数据主体访问请求) 您可以请求获取我们持有的关于您的个人数据副本,以及关于数据处理目的、数据类别、接收方、保留期限和您的权利等信息。我们将以常用电子格式提供回应。
更正权 您可以请求更正我们持有的关于您的不准确或不完整的个人数据。请注意,某些数据(如身份验证记录)无法单方面更改,可能需要重新进行验证流程。
删除权(被遗忘权) 在以下情况下,您可以请求删除您的个人数据:
  • 数据不再用于收集时的目的;
  • 您撤回同意(适用于基于同意的处理);
  • 您成功反对基于合法利益的处理;
  • 数据被非法处理。
除非法律要求或允许我们保留该数据(例如 AML/CFT 记录保存义务),我们将遵从您的请求。
限制处理权 在特定情况下,您可以请求限制数据处理,包括:
  • 我们正在核实有争议数据的准确性;
  • 正在评估您对基于合法利益处理的异议;
  • 数据处理违法但您不希望我们删除该数据。
数据可携带权 对于基于同意或合同履行并通过自动化手段进行的处理,您可以请求我们以结构化、常用、机器可读的格式提供您的个人数据,或在技术可行的情况下直接传输给另一数据控制方。
反对权 您可以随时反对基于我们合法利益的处理(包括画像分析)。除非我们能证明存在压倒您权益、权利和自由的强制性合法理由,或该处理对于建立、行使或防卫法律主张是必要的,否则我们将停止处理。 您也可以无条件反对用于直接营销目的的数据处理。
撤回同意权 对于基于您明确同意的数据处理(包括生物识别数据),您可以随时通过 privacy@Bitbase.com 撤回同意。 请注意,撤回同意不影响撤回前合法进行的数据处理。撤回生物识别数据处理同意可能导致身份验证无法完成,并可能限制账户访问。
与自动化决策相关的权利 您有权不受完全基于自动化处理(包括画像分析)的决策影响,该决策会对您产生法律或类似重大影响,除非此类处理对于与您缔结或履行合同是必要的、经适用法律授权,或基于您的明确同意。 在此类处理发生时,您有权获得人工审查、表达意见,并对决策提出异议。
13.2 如何行使您的权利
如需行使上述任何权利,请通过电子邮件向 privacy@Bitbase.com 提交书面请求,并包含以下信息:
  • 您的全名;
  • 与您的账户关联的电子邮件地址;
  • 清晰标明您希望行使的权利;
  • 足够的信息以验证您的身份(我们可能要求提供额外验证资料)。
我们会及时确认收到您的请求,并在三十(30)天内作出回应。在复杂情况下,我们可能会将期限延长六十(60)天,并事先向您说明延长原因。
处理合理请求不收取费用;但对于明显无理、过度或重复的请求,我们可能收取合理的管理费用或拒绝处理。
13.3 权利的限制
在以下情况下,您的权利可能会受到限制或约束:
(i) 我们根据法律要求保留或处理数据(包括 AML/CFT 记录保存);
(ii) 数据对于建立、行使或防卫法律主张是必要的;
(iii) 行使该权利可能不利影响第三方的权利或自由;
(iv) 其他法定豁免适用。
对于具体请求的任何限制或约束,我们将始终进行说明。
13.4 非活跃账户数据
我们不设独立触发数据删除的非活跃账户政策。
非活跃账户仍受我们的标准 AML/CFT 交易监控流程约束。
账户数据将按照第 9 节规定进行保留,无论账户活动水平如何。
 

14.加密货币特定的数据处理实践

14.1 区块链透明性
请注意,区块链网络是公开且不可篡改的。当您在区块链上发送或接收数字资产时,您的钱包地址和交易详情(包括金额及交易对方的钱包地址)将公开显示在区块链上。我们无法删除或更改链上数据。根据本政策,我们的隐私义务仅适用于我们系统中持有的个人数据;我们无法控制链上数据的可见性。
14.2 钱包地址关联
出于 AML/CFT 合规目的,我们会在内部系统中将您注册的钱包地址与您的身份关联。此类关联不会公开发布。然而,第三方区块链分析工具可能会利用公开的链上数据独立地将钱包地址与身份关联。
14.3 FATF Travel Rule 合规
作为虚拟资产服务提供商(VASP),我们需遵守 FATF Travel Rule,要求在符合条件的虚拟资产转账中收集、验证并传输汇款人和收款人的信息。
当您发起或接收符合阈值的转账时,我们将:
  • 收集您的姓名、钱包地址及相关身份信息;
  • 在 KYC 流程中验证该信息;
  • 通过加密消息协议将信息传输给交易对方 VASP;
  • 保留传输信息的记录。
在您接收虚拟资产转账时,我们也可能从交易对方 VASP 接收汇款人和收款人信息。我们仅将接收的 Travel Rule 数据用于 AML/CFT 合规目的。
14.4 了解您的交易(KYT)监控
我们使用区块链分析工具进行“了解您的交易”(KYT)监控。KYT 包括分析与您钱包地址相关的链上交易数据,以识别异常交易模式、与非法活动的关联或制裁风险。KYT 结果可能影响您存取数字资产的能力,并可能触发增强尽职调查(EDD)。
14.5 非托管钱包验证
在适用的 Travel Rule 规定下,我们可能要求您验证对非托管(自我托管)钱包地址的所有权或控制权。验证方式可能包括:
  • 使用钱包私钥签署测试消息;
  • 提交所有权声明;
  • 提供钱包截图;
  • 在某些情况下,通过微交易(Satoshi 测试)。
验证记录将为 Travel Rule 合规目的保留。

15.衍生品交易及杠杆产品 — 特定数据处理实践

对于使用我们衍生品交易产品的用户,我们会处理与杠杆产品相关的额外数据:
  • 持仓数据:包括未平仓头寸、持仓数量、开仓价格、标记价格、强平价格、未实现盈亏以及保证金比率。
  • 保证金与抵押品数据:包括保证金类型(逐仓/全仓)、初始保证金、维持保证金、保证金比率违约情况及抵押资产构成。
  • 强平记录:当保证金比率低于维持保证金水平触发强制平仓时,我们会记录强平事件,包括平仓的头寸、平仓时的标记价格,以及保险基金(Insurance Fund)的使用情况。
  • 资金费率记录:包括多头与空头头寸之间的周期性资金费率支付。

16.机构及企业用户

当您以企业或机构身份使用本服务时,除上述个人数据外,我们还会收集企业相关的个人数据,包括与您实体的授权代表、最终受益所有人(UBO)、董事、高管、股东及其他相关自然人(“关联人员”)相关的数据。
您有责任确保关联人员已被告知,其个人数据将提供给我们并按照本政策进行处理。通过向我们提供关联人员的个人数据,您声明您拥有合法依据这样做,且关联人员已被告知并已同意(在法律要求下)此类披露。
机构用户可能需要遵循增强尽职调查要求,接受更广泛的数据收集,并受制于补充本政策的独立机构账户条款。

17.API 用户

如果您通过我们的 API 访问平台,我们会收集并保存使用您凭证进行的所有 API 调用记录,包括时间戳、IP 地址、参数及响应内容。API 访问日志用于安全监控、欺诈检测、速率限制及滥用防范。异常的 API 使用模式(包括具有市场操纵特征或未授权访问行为)可能会触发账户审查或限制。

18.未成年人

本平台及服务不面向且不适用于 18 岁以下人士。我们不会有意收集未成年人的个人数据。我们的身份验证流程设计有防范机制,可识别并拒绝未成年人注册。
如果我们发现无意中收集了未成年人的个人数据,或在未取得父母/监护人同意的情况下(适用法律要求时)对未成年人进行身份验证,我们将在发现该问题后立即删除相关数据。如果您认为有未成年人的数据已被提交,请立即通过 privacy@Bitbase.com 与我们联系。
 

19.第三方链接与集成

本平台可能包含指向第三方网站、应用程序或服务的链接,这些网站或服务并非由我们运营或控制。当您点击此类链接时,即离开本平台,您的活动将受第三方自身隐私政策的约束。我们不对任何第三方网站的隐私实践或内容负责。
本平台也可能与第三方服务提供商集成(例如支付处理商、法币通道提供商及区块链数据服务商),这些提供商在我们的指示下处理您的数据,如第 7 节及附录 A 所述。这些提供商自身的隐私政策将规范其独立的数据处理行为;我们主要服务提供商的隐私政策链接可在帮助中心查阅。
 

20.已故用户

在用户去世的情况下,我们可能会根据经过验证的近亲或遗产代表的请求,处理关于已故用户账户及资产的事务,但需遵循我们的账户关闭流程、适用的继承法律及 AML/CFT(反洗钱/反恐融资)义务。已故用户的个人数据将继续按照本政策规定的适用保留期限进行保留和处理。
 

21.适用法律

本政策受巴拿马共和国法律管辖并依其进行解释。因本政策产生的任何争议,应依据我们《使用条款》中规定的争议解决条款进行处理。本条款中的任何内容均不限制您在居住司法管辖区内适用的强制性数据保护法律所赋予的权利。
 

22.隐私政策的变更

我们可随时更新或修改本政策。修订后的政策将在平台上发布,并标明生效日期。对于重大变更——包括收集的数据类别、数据处理目的、共享数据的第三方类别或您的权利的变更——我们将在生效前至少十四(14)天,通过电子邮件发送至您账户关联的邮箱和/或在平台上发布显著通知(在可行的情况下),提前告知您。对于非重大变更(例如排版修正或不影响数据处理实践的澄清),我们将在平台上发布更新后的政策,而无需单独通知。
在任何修订政策生效后,您继续使用本平台即视为接受更新后的条款。如果您不同意任何变更,应在生效前停止使用平台并提交账户关闭请求。
 

23.语言

本隐私政策以英文版本为准。如英文版本与任何译本存在冲突,以英文版本为准。

术语表

  • AML/CFT(反洗钱/反恐怖融资):旨在发现并防止洗钱及恐怖融资的法律、法规及操作程序的监管框架。
  • 生物识别数据(Biometric Data):通过对个体的身体或行为特征进行特定技术处理而产生的个人数据,可用于识别或确认个人身份的唯一性,包括面部特征模板。
  • 数据控制者(Controller):决定个人数据处理目的和方式的自然人或法人。本政策所指的数据控制者为 Bitbase Corp.
  • 数据主体(Data Subject):任何被识别或可识别的自然人,其个人数据由数据控制者处理。
  • 增强尽职调查(EDD, Enhanced Due Diligence):针对高风险客户采取的额外身份验证和风险评估措施。
  • FATF Travel Rule(金融行动特别工作组旅行规则):金融行动特别工作组(FATF)提出的建议,要求虚拟资产服务提供商(VASP)在超过特定阈值的虚拟资产转移中收集并传输发起方和受益方信息。
  • GDPR(通用数据保护条例):欧盟《通用数据保护条例》(EU 2016/679),及在适用情况下,通过英国国内法律实施的英国 GDPR。
  • KYB(了解您的企业):验证法人实体身份、结构及受益所有权的流程。
  • KYC(了解您的客户):按照 AML/CFT 及监管要求验证个人用户身份的流程。
  • KYT(了解您的交易):对区块链交易进行监控,以发现虚拟资产转移中的异常或非法活动。
  • 政治公众人物(PEP, Politically Exposed Person):担任或曾担任显著公职的个人,包括其直系亲属及密切关联人。
  • 个人数据(Personal Data):与已识别或可识别的自然人相关的任何信息。
  • 数据处理者(Processor):代表数据控制者处理个人数据的自然人或法人。
  • 特殊类别数据(Special Category Data):需要更高保护的个人数据类别,包括生物识别数据、健康数据、种族/民族来源、政治观点、宗教信仰及工会会员身份。
  • VASP(虚拟资产服务提供商):提供虚拟资产交易、转账、托管或相关服务的企业。

相关文章

评论

0 条评论

文章评论已关闭。