隐私与数据处理
你上传的文档会怎么样 —— 去了哪里、谁能看到、保留多久、怎么随时删掉。
更新于:
我们不拿你的数据训练模型
这是这一页里最重要的一句话:你上传到 Ztract 的文档绝不会被用来训练 AI 模型 —— 我们自己的不会,我们调用的第三方 LLM 也不会。
执行文档理解的引擎调用的是 OpenAI、Anthropic、Google 的商用大模型 API。这三家提供商的 API 条款都禁止使用客户提交的数据进行训练,我们 也依赖这些合同承诺。对于他们针对非 API 产品可能提供的可选训练计划, 我们一概不参加。
正式条款见隐私政策。这一页讲的是用户视角的实际情况。
你的数据放在哪里
虽然我们是一家香港公司(Interval Limited),但运行 Ztract 的基础设施 都托管在美国:
| 组件 | 提供商 | 位置 |
|---|---|---|
| 应用与计算 | Fly.io | LAX (Los Angeles) |
| 数据库与认证 | Supabase (on AWS) | us-east-2 (Ohio) |
| 文档存储 | Cloudflare R2 | Western North America |
| 邮件投递 | Resend | United States |
| 支付处理 | Stripe | Global; primarily US |
| LLM 处理 | OpenAI / Anthropic / Google | United States |
如果你从 EU、UK 或其他对数据跨境有规定的地区访问 Ztract,你的数据 将依据数据处理协议中引用的标准合同条款传输到美国。
文档保留
默认规则是 只要你保留文档就一直在、删了就立刻删:
- 上传的文档会一直保存在对象存储(Cloudflare R2)里,只要它还在你 的账号下就在。不会在 N 天后自动清除。
- 当你删除一份文档 —— 通过仪表盘、删除项目,或删除账号 —— 它会 立刻 从活跃存储中移除。
- 例行备份可能会保留一份副本 最多 14 天,之后会在正常轮换中被覆盖。 14 天后,副本不再存在。
- 抽取出来的结果(结构化数据)会和源文档同时删除。它们不会比原文档 活得久。
怎么删除一份文档
三个粒度:
单份文档
- 在项目视图里打开那份文档。
- 点击 ⋯ 菜单,选择 删除。
- 确认。
文档和它的抽取结果会立刻从活跃存储中消失。备份轮换会在 14 天内完成 剩下的清理。
整个项目
在项目列表里,点击项目旁边的 ⋯ 菜单 → 删除项目。这会删除该项目 里的每一份文档、它的 schema,以及项目本身。永久且立即生效。
你的账号
要注销账号,从注册邮箱地址发邮件到 support@ztract.com。 我们会在 30 天内删除账号数据和任何剩余的文档,但出于税务或其他法律 原因必须保留的记录除外(例如账单发票)。
其他用户能看到什么
在当前版本里,每个 Ztract 工作区就是 一个账号 —— 还没有团队席位、 没有共享项目,也没有”分享给”之类的入口。能看到你文档的只有:
- 你(账号所有者)。
- 一小部分 Ztract 运维人员,基于必要原则才会接触,配合最小权限访问 控制和审计日志。
多席位团队工作区在路线图上。等它上线时,分享模型会是明确的、需要主 动选择加入的。
我们的员工能看到什么
Ztract 运维人员只在交付服务必需的情况下访问客户数据 —— 例如排查你 报告的支持问题,或调查安全事件。访问遵循最小权限原则,需要多因素认 证,并且全程记录。我们 不会 浏览客户文档来做产品分析或训练。
如果你想要更严格的限制(员工零访问、未经明确批准不更换子处理者等), 并且用量足以支撑这种安排,欢迎来聊企业版方案。
当你想让我们多做一点
隐私政策涵盖了你在 GDPR(访问、删除、可携带等)、 CCPA 和香港 PDPO 下的权利。DPA涵盖了面向企业客户的 正式处理者关系。
对于”我想要 X”这种实际请求,发邮件到 support@ztract.com。常见的有:
- 请求一份我们持有的关于你的所有数据的副本。
- 请求在删除前导出你所有项目的数据。
- 请求一份我们使用的子处理者清单。
- 请求针对合规审计的特定保证。
- 报告疑似安全问题。
我们争取在一个工作日内回复。