跳转至主内容

法律与合规 · 蔚蓝湾航版隐私白皮书

隐私政策与数据保护白皮书

版本:v2026.07(Marina · 蔚蓝湾航版) · 生效日:2026 年 7 月 1 日 · 下次半年度复审:2027 年 1 月

一句话版本: 我们只保留让产品能正常计费、能正常登录、能正常给你寄送服务通知的最小数据;我们做不到、也不愿意持有"你访问了哪些网站"、"你看了什么内容"或"你的真实 IP 与 VPN IP 的对应表"——这一承诺由 RAM-only 节点架构与 12 个月一次的独立第三方审计共同保证。

本《隐私政策与数据保护白皮书》(以下简称"本政策")由 Marina Cartography Studio Pte. Ltd.(以下简称"Marina Studio"或"我们")发布,适用于您通过 cg-quickq.com.cn 域名、所有官方客户端(iOS / iPadOS / Android / Windows / macOS / Linux)、Azure Compass API 及合作伙伴白标产品使用我们 VPN 加速服务时产生的所有数据交互。本政策同时构成订阅服务协议的有机组成部分。

1 · 我们是谁 / 由谁起草 / 由谁负责

  • 运营主体:Marina Cartography Studio Pte. Ltd.(注册于新加坡 · UEN 202xxxxxxB)
  • 数据保护负责人(DPO):[email protected]
  • 欧盟代表(GDPR Art. 27):[email protected]
  • 英国代表(UK GDPR):[email protected]
  • 巴西代表(LGPD):[email protected]
  • 土耳其代表(KVKK):[email protected]
  • 印度代表(DPDP Act 2024 · v13 新增):[email protected]
  • 本政策起草顾问:Marina Studio 法律与合规小组(含 1 名持牌 GDPR DPO、1 名 ISO 27001 LA 主任审核员、1 名 CCPA Bar Counsel 顾问律师、1 名 PCI-DSS QSA 顾问、1 名 ETSI EN 319 401 评估师)

2 · 数据流四象限 · 字段最小化矩阵

我们把所有数据来源拆为四象限,每一象限都对应一个明确的合法性基础与最长保留期:

数据象限 字段示例 合法性基础 保留时长
① 账户开通 邮箱、Argon2id 哈希后的密码、注册 IP(注册当天即模糊化为 /24 网段) 合同必要 账户存续期间 + 注销后 30 天
② 订阅计费 订单号、套餐 SKU、币种、金额、支付方式厂商返回的脱敏交易号(不存卡号 / 不存 CVV / 不存 PAN) 合同 + 法定财务义务 依各司法辖区税法保留 5 – 10 年
③ 客户端遥测 客户端版本、操作系统大版本、CPU 架构、崩溃堆栈(不含目标 IP / 不含 URL / 不含原始 IP) 正当利益(运营 / 安全 / 兼容性) 滚动 90 天(默认)
④ 客服工单 工单内容、附件、邮件正文(如含敏感字段会自动脱敏) 履行客户支持义务 工单关闭 + 180 天

字段最小化原则:每个象限都遵循"问到为止、看到即够"的最小可用集合,任何新增字段都需经 DPO 与安全研究员双签批准。

3 · 我们"做不到"的事 · 可被审计验证的零日志承诺

我们的 VPN 节点全部运行在 RAM-only 架构上:操作系统、配置与运行日志都驻留在易失性内存中,节点一旦断电或被远程触发 sysrq + b 即被清空,无任何方式可以恢复。基于此架构,以下数据我们从原理上就无法保存:

  • 你访问的网站、应用程序或在线服务的域名 / URL;
  • 你通过隧道传输或接收的任何数据内容;
  • 你的原始 IP 与分配给你的 VPN 出口 IP 的"对应表";
  • 你的 DNS 查询历史(我们运行自建 DoH 解析器,且解析日志即时丢弃);
  • 你的连接时间戳明细(仅在计费侧保留当月累计流量计数,下月初归零);
  • 你设备发出的任何元数据流量画像。

SLO 承诺: 每 12 个月由具备 ISO 27001 / SOC 2 资质的第三方机构(当前合作方:Cure53、Mazars Singapore、LRQA)至少完成 1 轮独立审计;审计摘要发布于支持中心 → 透明度报告页。任何审计发现的 P0/P1 级问题,承诺在 30 个自然日内闭环。

4 · 第三方处理者清单(Sub-processor)

为保障服务可用性,我们会将极小子集的数据委托给以下第三方处理者;所有处理者均签署符合 GDPR Art. 28 的数据处理协议(DPA):

4.1 · 支付与计费类处理者

  • 支付:Stripe Payments Europe Ltd. / PayPal (Europe) S.à r.l. / Adyen / Paddle — 仅处理交易必要字段
  • 对象存储:Tigris Data(EU-Frankfurt-1)— 仅存放客服附件与发票 PDF

4.2 · 通信与监测类处理者

  • 邮件投递:Resend EU(v13 新增 · 出站事务邮件主链路)/ Postmark / Amazon SES — 仅用于发送账户验证、订单收据与服务通知
  • 崩溃监测:Sentry(自托管实例,数据驻留欧盟法兰克福;旧 Bugsnag 实例已于 2026-04 下线)
  • 页面统计:Plausible Self-hosted(v13 自托管 · 不投放第三方追踪脚本 · 完全在我们的欧盟节点上聚合)

4.3 · 基础设施与身份认证类处理者

  • CDN / Edge Compute(仅营销站):bunny.net Magic Containers(v13 自 Fastly Compute@Edge 迁出;不缓存任何登录后页面、不收集用户行为画像)
  • 企业 SSO:Auth0 by Okta / WorkOS(仅企业版团队接入;个人账户不涉及)

强提示:客户端到 VPN 节点的隧道流量永远不经过上述任何 SaaS——它们只触达"管理面",不触达"数据面"。

5 · 国际数据传输与司法辖区映射

我们的核心计费数据库分布在欧盟(法兰克福)、亚太(新加坡)与北美(蒙特利尔)三个地理位置。跨境传输依据如下机制:

  • EU → US:依据欧盟委员会标准合同条款(SCC 2021)+ 数据隐私框架(EU-US DPF)。
  • UK → 任意:依据英国国际数据传输附录(IDTA)。
  • 中国大陆用户:依据《个人信息保护法》第 38 条,提供单独同意、合法性影响评估(PIPIA)及标准合同备案。
  • 加州 / 弗吉尼亚 / 科罗拉多 / 康涅狄格 / 德州 / 俄勒冈用户:依据 CCPA / CPRA / VCDPA / CPA / CTDPA / TDPSA / OCPA,提供 "Do Not Sell or Share My Personal Information" 入口与年度披露。
  • 巴西用户:依据 LGPD,由 [email protected] 巴西代表负责。
  • 日本用户:依据 Japan APPI,仅在合同必要时跨境传输。
  • 土耳其用户:依据 KVKK 第 9 条,由 [email protected] 土耳其代表负责。
  • 印度用户:依据 DPDP Act 2024,由 [email protected] 印度代表负责;按《数字个人数据保护规则(2025 草案)》定期复审。

6 · Cookie 与本地存储 · 精确清单

  • qmr_sess — 登录会话标识,Secure / HttpOnly / SameSite=Lax,有效期 30 天,关闭浏览器或退出即作废。属于必要 Cookie,无法关闭。
  • qmr_csrf — 防跨站请求伪造令牌,仅在表单提交时使用,会话结束即清除。属于必要 Cookie。
  • qmr_locale — 记住你选择的语言(如 zh-CN / en),有效期 180 天,可通过浏览器设置清除。
  • qmr_metric — 自托管的页面访问匿名计数(不含 IP 尾段、不含 UA 指纹),用于内部容量规划,有效期 24 小时。可在浏览器设置 DNT=1 自动跳过。
  • qmr_consent_v13 — 蔚蓝湾航版同意态记忆,有效期 180 天。版本号每次重大变更递增。

我们承诺: 不投放 Google Analytics、Meta Pixel、TikTok Pixel、Baidu Tongji、Yandex Metrica 等第三方广告追踪脚本;不参与跨站行为重定向;不出售或共享任何 Cookie 数据。

7 · 数据安全控制矩阵

7.1 · 传输层与密码学控制

  • 传输:所有客户端到节点链路全程 AES-256-GCM 或 ChaCha20-Poly1305 加密;启用完美前向保密(PFS);强制 TLS 1.3 + HSTS preload。
  • 密码:账户密码经 Argon2id(m=192 MiB · t=3 · p=4)哈希存储(v13 由 m=128 MiB 提升至 m=192 MiB),无任何明文或可逆形式留存。
  • 密钥:节点签名密钥由 YubiHSM 2 / nShield Solo XC 硬件 HSM 派生,遵循双人共控(dual-control)操作;密钥轮换周期 90 天。

7.2 · 身份、访问与运维

  • 访问:员工访问内部系统须通过 FIDO2 硬件密钥 + 短时凭据;遵循最小权限原则;所有运维操作可审计回放。
  • 应急:任何 P0 级安全事件 15 分钟内组建应急小组,72 小时内向监管机构通报(GDPR Art. 33)。
  • 备份:备份采用 age 加密 + 跨大洲 3-2-1 策略;恢复演练每季度执行一次。

8 · 你的数据主体权利与一键行使

8.1 · 你享有的权利清单

依据 GDPR / UK GDPR / CCPA / 中国《个人信息保护法》/ 巴西 LGPD / 日本 APPI / 土耳其 KVKK / 印度 DPDP Act 及其他适用法律,你享有以下权利:

  • 知情权 / 访问权:查看我们持有的所有与你相关的数据;
  • 更正权:更正不准确或不完整的账户信息;
  • 删除权("被遗忘权"):要求删除账户及相关数据;
  • 限制处理权 / 反对权:要求暂停对你的数据处理;
  • 数据可携带权:以机读 JSON / CSV 文件接收你的数据副本;
  • 拒绝自动化决策权(含 AI 画像);
  • 向监管机构投诉的权利。

8.2 · 一键行使步骤与时效承诺

一键行使邮件模板: 发送邮件至 [email protected] ,主题填写「[DSAR] · 数据主体请求」,正文写明你希望行使的权利类型即可。我们将在 5 个工作日内确认收到(v13 由 7 个工作日缩短为 5 个工作日),30 天内闭环回复。

9 · 未成年人保护

本服务不面向 18 周岁以下未成年人。我们不会主动向未成年人推送任何营销内容;若发现误收,我们将立即删除相关账户与数据。法定监护人可通过 [email protected] 提出关闭未成年人账户的申请。

10 · 数据泄露通报流程(4 阶段闭环)

  1. T0 · 检测:安全事件检测 → 15 分钟内启动应急;
  2. T0 + 24h · 评估:完成初步影响评估并落实临时缓解措施;
  3. T0 + 72h · 通报:向有管辖权的数据保护监管机构通报(如 ICO、CNIL、PCPD、PDPC 新加坡、IDPC 都柏林);
  4. T0 + 7d · 公示:如评估认为对你的权利与自由存在高风险,将在合理期限内通过注册邮箱 + 支持中心公告同时通知你。

11 · 法律传唤、Warrant Canary 与年度透明度报告

由于 RAM-only 零日志架构的特性,即使收到具有法律效力的传唤令,我们能提供的最多仅有「该邮箱在某段时间是活跃账户」这一事实;无法提供任何浏览记录或目标 IP 信息。

我们每月 1 日在支持中心发布 Warrant Canary 声明(确认未收到强制性 gag order);并在每年 1 月发布上一年度的透明度报告,列出收到的传唤数量、来源国家与最终处理结果。

12 · 营销通信与精细化偏好

我们仅在你明确订阅"产品更新简报"后向你发送营销邮件,且每封邮件底部都附"一键取消订阅"链接。即使取消订阅,你仍会收到必要的账户安全 / 账单到期等"事务性邮件",因为它们是合同履行的必要部分。

13 · 数据保留与定期清理

我们在每月 1 日运行一次自动化数据清理任务(v13 把 v12 的"每月 15 日"前置到月初):删除超过保留期的崩溃日志、关闭超过 180 天的工单及其附件、清理已注销账户的最后 30 天残留数据。清理任务执行结果会自动同步至 SIEM 系统供审计。

14 · 我们与其他公司的关系

Marina Cartography Studio Pte. Ltd. 是独立法人;我们没有向任何政府机构、广告联盟或情报机构出售、出租或共享用户数据;我们也未参与任何"数据销售"行为(CCPA / CPRA 定义)。

15 · 政策变更与版本治理

本政策实行"半年度复审 + 重大事件即时更新"机制:每次变更将提升 v[年].[月] 版本号,并在生效前至少 30 天通过注册邮箱与支持中心置顶公告通知。如你在变更生效后继续使用服务,视为接受新版本;如不接受,可在保留期内申请退订与账户注销。

16 · 数据可携带性与导出

登录后台 → 账户 → 数据导出,可一键生成包含「订阅 / 计费 / 客户端遥测元数据 / 客服工单标题」的机读 JSON 包;如需 CSV 或 XML 格式,请通过 DPO 通道提交人工请求。我们承诺所有导出包采用客户端可解密的密码学密封信封(age 标准)发送至你的注册邮箱。

17 · AI / LLM 数据使用声明

我们承诺:

  • 不将任何用户数据用于训练 LLM 或其他生成式 AI 模型;
  • 我们内部使用的 AI 辅助工具(如 GitHub Copilot、客服意图分类器)均启用"零保留 / 不训练"模式;
  • 客户提交的 PII 不会被传入任何 LLM API;客服侧 LLM 仅接收脱敏后的工单摘要;
  • robots.txt 与 /ai.txt 仅向"声明遵守不训练用户数据"的爬虫开放抓取(已同步至 ai.txt v0.2 草案)。

18 · 第三方独立审计计划

我们公开承诺以下"可证伪审计计划":

  • 每 12 个月 1 次「零日志架构」专项审计(Cure53 + Mazars Singapore);
  • 每 6 个月 1 次「客户端供应链」专项审计(Trail of Bits);
  • 每 12 个月 1 次「ISO 27001 / 27701 / 22301」监督审计(LRQA);
  • 每 12 个月 1 次「SOC 2 Type II」(Mazars);
  • 每 12 个月 1 次「CSA STAR Level 2」(LRQA);
  • 每 24 个月 1 次「ETSI EN 319 401」(v13 新增);
  • 所有审计摘要在审计闭环后 30 天内发布于支持中心 → 透明度报告页。

19 · 后量子密码学路线图

NIST 已于 2024 年正式发布 ML-KEM-768(CRYSTALS-Kyber · FIPS 203)与 ML-DSA-65(CRYSTALS-Dilithium · FIPS 204)后量子标准。Marina Studio 的迁移路线图:

  • 2026 Q2 — 在 Azure Compass v1 协议中默认启用混合密钥协商(X25519 + ML-KEM-768),覆盖 100% Voyager Pro / Crew 节点(已完成);
  • 2026 Q4 — 完成 100% 入门 / Lite 套餐节点的混合密钥协商升级;客户端"PQ-Ready"开关默认打开;
  • 2027 Q2 — 节点签名密钥迁移至 ML-DSA-65(与 Ed25519 双签过渡),并接入 SLH-DSA 备选签名链路;
  • 2027 Q4 — 发布"PQ-Default"版本:默认握手不再回退到纯古典算法,仅在客户端显式回退开关打开时降级。

我们承诺:路线图任何节点的延期或方案变更,都会在透明度报告中以"延期原因 + 替代方案"两段式公开。

20 · DSAR 操作手册(v13 新增)

为了让"行使权利"成为可被复现的步骤,而不是一句口号,我们公开下列 DSAR 操作手册:

  1. Step 1 · 准备:请使用注册邮箱发起 DSAR;我们会在 24 小时内回执确认;
  2. Step 2 · 身份核验:通过验证码 / Magic Link 完成身份比对,避免恶意冒名(≤ 48 小时);
  3. Step 3 · 数据集生成:自动化脚本扫描计费 / 工单 / 遥测库存,输出 JSON + 数字签名包;
  4. Step 4 · 二审复核:由 DPO 与一名独立法务复核 30 项隐私字段是否遗漏,签字归档;
  5. Step 5 · 投递:以 age 加密包发送至注册邮箱;密码通过 Signal / Element 等带外通道告知。

21 · 海湾绿能与 Net-Zero 承诺(v13 新增)

从 2025 Q3 起,所有新增节点都部署在 100% 可再生能源 IDC,PUE 中位数 ≤ 1.15。我们以 2030 年实现全网 Scope 1+2+3 净零排放为目标,每年发布对齐 GHG Protocol 与 SBTi 1.5°C 路径的可持续披露报告;隐私视角下,这意味着我们采购数据中心的能源来源也将进入数据处理协议(DPA)的审计范围。

与我们沟通

注:本政策为简明易读版;如与签订订阅时呈现的法律语言版本存在差异,以法律语言版本为准。如需 PDF 版本归档,请通过 DPO 通道索取。