数据处理协议

这些数据处理条款说明 LINGYANG 如何为企业用户处理运营个人数据。本地模式下,对账单内容留在用户浏览器中,LINGYANG 不会接收。

查看子处理商隐私政策

最后更新:2026 年 7 月 2 日

核心条款

角色

对于本地模式中处理的对账单内容,用户仍对文件负责,因为 LINGYANG 不接收文件。对于客服、购买和授权记录,LINGYANG 按隐私政策和相关服务商条款处理。

处理范围

运营处理限于网站交付、匿名分析、支付处理、授权验证、客服、退款和安全目的。

子处理商

Cloudflare、Gumroad、Plausible Analytics 和客服邮箱基础设施可能处理运营记录。当前 OCR 没有云端子处理商。

保存和删除

LINGYANG 不保存对账单内容。购买和客服记录可通过 support@antelope.tools 申请删除,但可能受税务、反欺诈和法律保存要求限制。

跨境处理

运营数据可能通过子处理商页面列出的服务商在美国和欧盟/欧洲经济区处理。

不用于训练

对账单文件、OCR 图片、提取行、导出文件和客服附件不会用于训练 AI 或机器学习模型。

云端 OCR 上传处理

当前未启用云端 OCR。如果未来添加云端 OCR,上传、OCR 和下载链路必须作为独立安全产品设计,并在接受任何生产文件前通过这套上线门槛。 上传的对账单内容必须有明确选择加入、已列出的子处理商、短保存期限、删除验证记录、隔离 OCR worker,以及不记录文件名、交易内容、金额和账号的日志。

控制项云端 OCR 上线前必须实现
文件身份同时校验允许的扩展名和服务端识别的真实 MIME/magic bytes,不能只信任客户端请求头或扩展名。
大小和结构限制解析前限制文件大小、PDF 页数、图片尺寸、对象数量和解压后大小/压缩比。
压缩和容器文件拒绝异常压缩包、压缩炸弹、嵌套容器和畸形压缩流。
私有存储上传文件必须存放在公开 Web 根目录之外,并使用不包含原始文件名的随机对象名。
签名访问上传和下载都使用短期签名 URL;禁止公开 bucket 读取和永久文件 URL。
访问控制只有已认证或已授权用户可以上传;状态查询和下载请求也必须再次校验授权。
恶意文件处理对 PDF、图片和 Office 文件尽可能进行杀毒、沙箱检测或内容拆解与重建。
OCR 隔离OCR worker 必须运行在默认禁止外联的容器中,只允许访问最小必要的内部服务。
资源限制为每个任务设置 CPU、内存、总耗时、并发和队列限制,并防止 PDF 解析器资源耗尽。
删除和留证自动删除上传文件、衍生文件和导出文件;删除任务必须写入不含内容的验证记录。
安全日志日志不得保存原始文件名、交易文本、对账单内容、金额或账号。
接口防滥用按 IP、授权/用户和任务状态限制上传、OCR、状态查询和下载接口频率。
依赖维护定期更新 PDF、Excel、图片解析依赖、OCR 镜像和容器基础镜像,并运行依赖审计。
安全测试上线前测试 polyglot 文件、MIME 伪造、畸形 PDF、超大 PDF、图片炸弹、压缩炸弹和超时路径。

签署版

如需签署版 DPA 或供应商安全审核,请发送邮件到 support@antelope.tools,并包含你的法律实体名称、国家/地区和所需安全问卷。

常见问题

本地模式下 LINGYANG 是否处理对账单内容?

本地模式下,对账单内容在用户设备上处理,LINGYANG 不接收这些内容。客服、支付和授权验证等运营记录仍可能构成个人数据。

可以申请签署版 DPA 吗?

可以。请发送邮件到 support@antelope.tools,提供组织名称、司法辖区和预期用途。

文件会用于模型训练吗?

不会。LINGYANG 不使用对账单文件或转换结果训练模型。