这些数据处理条款说明 LINGYANG 如何为企业用户处理运营个人数据。本地模式下,对账单内容留在用户浏览器中,LINGYANG 不会接收。
最后更新:2026 年 7 月 2 日
对于本地模式中处理的对账单内容,用户仍对文件负责,因为 LINGYANG 不接收文件。对于客服、购买和授权记录,LINGYANG 按隐私政策和相关服务商条款处理。
运营处理限于网站交付、匿名分析、支付处理、授权验证、客服、退款和安全目的。
Cloudflare、Gumroad、Plausible Analytics 和客服邮箱基础设施可能处理运营记录。当前 OCR 没有云端子处理商。
LINGYANG 不保存对账单内容。购买和客服记录可通过 support@antelope.tools 申请删除,但可能受税务、反欺诈和法律保存要求限制。
运营数据可能通过子处理商页面列出的服务商在美国和欧盟/欧洲经济区处理。
对账单文件、OCR 图片、提取行、导出文件和客服附件不会用于训练 AI 或机器学习模型。
当前未启用云端 OCR。如果未来添加云端 OCR,上传、OCR 和下载链路必须作为独立安全产品设计,并在接受任何生产文件前通过这套上线门槛。 上传的对账单内容必须有明确选择加入、已列出的子处理商、短保存期限、删除验证记录、隔离 OCR worker,以及不记录文件名、交易内容、金额和账号的日志。
| 控制项 | 云端 OCR 上线前必须实现 |
|---|---|
| 文件身份 | 同时校验允许的扩展名和服务端识别的真实 MIME/magic bytes,不能只信任客户端请求头或扩展名。 |
| 大小和结构限制 | 解析前限制文件大小、PDF 页数、图片尺寸、对象数量和解压后大小/压缩比。 |
| 压缩和容器文件 | 拒绝异常压缩包、压缩炸弹、嵌套容器和畸形压缩流。 |
| 私有存储 | 上传文件必须存放在公开 Web 根目录之外,并使用不包含原始文件名的随机对象名。 |
| 签名访问 | 上传和下载都使用短期签名 URL;禁止公开 bucket 读取和永久文件 URL。 |
| 访问控制 | 只有已认证或已授权用户可以上传;状态查询和下载请求也必须再次校验授权。 |
| 恶意文件处理 | 对 PDF、图片和 Office 文件尽可能进行杀毒、沙箱检测或内容拆解与重建。 |
| OCR 隔离 | OCR worker 必须运行在默认禁止外联的容器中,只允许访问最小必要的内部服务。 |
| 资源限制 | 为每个任务设置 CPU、内存、总耗时、并发和队列限制,并防止 PDF 解析器资源耗尽。 |
| 删除和留证 | 自动删除上传文件、衍生文件和导出文件;删除任务必须写入不含内容的验证记录。 |
| 安全日志 | 日志不得保存原始文件名、交易文本、对账单内容、金额或账号。 |
| 接口防滥用 | 按 IP、授权/用户和任务状态限制上传、OCR、状态查询和下载接口频率。 |
| 依赖维护 | 定期更新 PDF、Excel、图片解析依赖、OCR 镜像和容器基础镜像,并运行依赖审计。 |
| 安全测试 | 上线前测试 polyglot 文件、MIME 伪造、畸形 PDF、超大 PDF、图片炸弹、压缩炸弹和超时路径。 |
如需签署版 DPA 或供应商安全审核,请发送邮件到 support@antelope.tools,并包含你的法律实体名称、国家/地区和所需安全问卷。
本地模式下,对账单内容在用户设备上处理,LINGYANG 不接收这些内容。客服、支付和授权验证等运营记录仍可能构成个人数据。
可以。请发送邮件到 support@antelope.tools,提供组织名称、司法辖区和预期用途。
不会。LINGYANG 不使用对账单文件或转换结果训练模型。