小树工作室小树工作室通行证

小树工作室通行证隐私政策

最后更新日期:2026年4月25日

引言

小树工作室(以下简称"我们")深知个人信息对您的重要性,我们将按照法律法规要求,采取相应的安全保护措施,尽力保护您的个人信息安全可控。本隐私政策旨在帮助您了解我们如何收集、使用、存储、共享和保护您的个人信息,以及您享有的相关权利。

本政策适用于小树工作室通行证(以下简称"本平台")提供的全部服务。如您使用本平台,即表示您已阅读、理解并同意本隐私政策的全部内容。

一、我们收集的信息

1.1 您主动提供的信息

当您注册账号、完善个人资料或使用特定功能时,我们可能收集:

  • 账号信息:邮箱地址、密码(经 Argon2id 哈希处理后存储,我们无法获取原始密码)、账号类型(用户/开发者/管理员);
  • 个人资料:显示名称、头像、个人简介、生日、性别(均为选填);
  • 开发者信息:应用名称、描述、回调地址(仅在您注册 OAuth 应用时收集);
  • 安全设置:二次验证密钥(经 AES-256-GCM 加密存储)、备用码哈希。

1.2 我们在您使用服务时自动收集的信息

  • 设备与日志信息:IP 地址、浏览器类型与版本、操作系统、设备名称(从 User-Agent 提取)、访问时间、请求路径、操作类型;
  • 会话信息:登录会话标识、会话创建时间、过期时间、设备信息、IP 地址;
  • 安全日志:登录/登出时间、密码修改、二次验证启用/禁用、账号封禁/解封等安全事件记录;
  • Cookie 信息:我们使用 Cookie 维护您的登录状态。Cookie 中不包含您的明文密码或敏感个人信息。

1.3 第三方授权信息

如您选择通过第三方平台(如 GitHub、Google)登录,我们可能从第三方平台获取您的公开资料信息(如昵称、头像、邮箱),具体以您授权时第三方平台展示的信息范围为准。

二、我们如何使用您的信息

我们严格遵守法律法规的规定以及与您的约定,将收集的信息用于以下用途:

  • 身份验证与账号管理:创建和维护您的账号,验证您的身份,确保账号安全;
  • 提供核心服务:实现 OAuth2 授权、API Token 管理、二次验证等身份认证功能;
  • 安全保护:检测异常登录、防止欺诈和滥用、调查安全事件、执行封号等管理措施;
  • 服务优化:分析服务使用情况,改进功能设计和用户体验;
  • 通知与沟通:向您发送服务通知、安全警报、密码重置邮件、邮箱验证邮件等;
  • 合规义务:履行法律法规、监管要求或法院判决所要求的披露义务。

三、信息的存储与保护

3.1 存储位置与期限

您的个人信息存储于中华人民共和国境内的服务器上。我们仅在实现本政策所述目的所必要的最短时间内保留您的个人信息,除非法律法规另有要求:

  • 账号信息:保留至您注销账号后 180 日,用于处理可能的争议和合规审计;
  • 安全日志:保留 12 个月,用于安全事件追溯;
  • 会话信息:保留至会话过期或被主动撤销;
  • 未验证账号:注册后 14 天内未完成邮箱验证的账号将被自动删除。

3.2 安全措施

我们采用业界公认的安全技术和程序来保护您的个人信息:

  • 传输加密:所有数据传输均使用 HTTPS/TLS 加密;
  • 密码保护:用户密码使用 Argon2id 算法进行哈希处理,该算法为目前业界推荐的密码哈希标准;
  • 敏感数据加密:二次验证密钥等敏感信息使用 AES-256-GCM 算法加密存储;
  • 访问控制:对数据的访问实施最小权限原则,仅授权必要人员访问;
  • 安全审计:定期进行安全评估和漏洞扫描,及时修复安全隐患。

3.3 安全事件响应

如发生个人信息泄露、损毁或丢失等安全事件,我们将立即启动应急预案,采取补救措施,并按照法律法规要求及时向您和有关监管部门告知。

四、信息的共享与披露

4.1 我们不会出售您的个人信息。仅在以下情形下,我们可能与第三方共享您的信息:

  • 经您明确同意:如您授权第三方应用通过 OAuth2 获取您的个人信息;
  • 服务提供商:我们可能与提供技术支持的第三方服务商(如云存储、邮件服务提供商)共享必要信息,但这些服务商须遵守不低于本政策的保密义务;
  • 法律要求:根据法律法规、法院命令、政府监管要求,我们有义务披露相关信息;
  • 保护合法权益:为保护我们、您或其他用户的合法权益、财产安全或公共安全,我们可能在必要范围内披露信息;
  • 业务转让:如我们发生合并、分立、收购或资产转让,您的个人信息可能作为业务资产的一部分被转移,我们将确保接收方继续遵守本政策。

4.2 OAuth2 授权场景

当您使用 OAuth2 授权第三方应用访问您的信息时:

  • 我们仅向该应用共享您明确授权的权限范围内的信息;
  • 您可以在授权页面查看并选择同意或拒绝特定权限;
  • 我们不控制第三方应用对其获取数据的使用方式,建议您仔细阅读第三方应用的隐私政策。

五、Cookie 与同类技术

5.1 Cookie 的使用

我们使用 Cookie 来识别您的身份、维护登录状态并改善服务体验。我们使用的 Cookie 包括:

  • 访问令牌 Cookie(accessToken):用于维持您的登录状态,有效期 15 分钟,HttpOnly、SameSite=Strict(生产环境);
  • 刷新令牌 Cookie(refreshToken):用于获取新的访问令牌,有效期 7 天,HttpOnly、路径限制为 /api/v1/auth;
  • 主题偏好 Cookie:用于记住您的明暗主题偏好,不包含个人身份信息。

5.2 Cookie 管理

您可以通过浏览器设置清除或阻止 Cookie。但请注意,禁用 Cookie 可能导致您无法正常使用需要登录的功能。

六、您的权利

根据适用的法律法规,您对您的个人信息享有以下权利:

  • 访问权:您有权查看我们持有的关于您的个人信息;
  • 更正权:如您发现个人信息有误,您有权通过个人资料页面进行更正;
  • 删除权:在符合法律法规规定的情形下,您有权要求我们删除您的个人信息;
  • 撤回同意权:对于基于同意处理的信息,您有权随时撤回同意(撤回同意不影响此前已进行的处理活动的效力);
  • 注销账号权:您有权注销您的账号,注销后我们将删除或匿名化您的个人信息,但法律法规要求保留的信息除外;
  • 限制处理权:在特定情形下,您有权要求我们限制对您个人信息的处理;
  • 数据可携带权:您有权获取您的个人信息副本,并在技术可行的情况下将其传输给其他数据控制者。

如您希望行使上述权利,请通过管理员联系方式提交请求。我们将在收到请求后的 15 个工作日内予以响应。

七、未成年人保护

我们非常重视对未成年人个人信息的保护。本平台主要面向成年用户提供服务。

如您为未成年人,请在法定监护人的指导下使用本服务,并确保监护人已阅读并同意本隐私政策。我们不会故意收集未成年人的个人信息,如您发现我们意外收集了未成年人的个人信息,请立即联系我们,我们将尽快删除相关信息。

八、第三方链接与服务

本服务可能包含指向第三方网站或服务的链接。我们对这些第三方的隐私政策或内容不承担责任。我们建议您在访问任何第三方网站或服务前仔细阅读其隐私政策。

当您使用第三方登录(如 GitHub、Google)时,您的信息将受该第三方平台的隐私政策约束。

九、隐私政策的更新

我们可能会根据法律法规变化或服务调整,不时更新本隐私政策。更新后的政策将在本页面公布,并自公布之日起 7 日后生效。对于重大变更,我们将通过邮件或服务内通知的方式告知您。如您不同意修改后的政策,您有权停止使用本服务。

我们鼓励您定期查看本页面,以了解我们如何保护您的信息。

十、联系我们

如您对本隐私政策有任何疑问、意见或建议,或您认为您的个人信息权利受到侵害,请通过以下方式与我们联系:

  • 通过管理后台提交反馈;
  • 发送邮件至管理员邮箱。

我们将在收到您的请求后 15 个工作日内予以回复。如您对我们的回复不满意,您还可以向有关监管部门投诉或举报。