Hermēs(以下称"我们")尊重并致力于保护您的隐私。本《隐私政策》说明当您访问 hermesgex.com、终端应用、API、Discord 频道及相关服务(合称"服务")时,我们如何收集、使用、披露和保护您的个人信息。
本政策与我们的服务条款和免责声明一并适用。使用本服务即表示您同意本政策。
- 账户数据:电子邮箱、密码哈希、显示名称、语言/时区偏好、头像。
- 认证数据:通过 Google 或 GitHub 登录时这些 OAuth 提供商返回的标识符。
- 支付与订阅数据:由 Stripe 处理;我们仅保留交易元数据(套餐、状态、Stripe Customer ID),绝不存储完整卡号或 CVV。
- 激活码:您兑换或获派发的激活码记录。
- 用户内容:您在终端中创建的交易日志、警报模板、自定义参数与笔记。
- 支持与社区通讯:您向我们发送的电子邮件、联系表单、Discord 私信内容。
- 设备与日志数据:IP 地址、浏览器类型、操作系统、设备指纹、时间戳、Referer、错误堆栈。
- 使用数据:访问的页面、点击事件、API 调用记录与频次、功能使用模式。
- Cookie 与本地存储:用于会话保持、主题/时区记忆、A/B 实验及分析(详见第 6 节)。
- MT5 / MotiveWave / Bookmap 集成元数据:当您主动启用这些第三方集成时,我们仅采集最少绑定标识(账号 ID、券商、服务器名);不读取您的实时持仓或订单内容,除非您显式启用对应模块。
- 市场数据合作伙伴:聚合后的期权敞口与希腊字母数据(非个人信息)。
- Stripe:支付状态、退款事件、争议状态。
- OAuth 提供商(Google、GitHub):电子邮箱、用户名、头像 URL、唯一 ID。
- 分析提供商(Plausible、Vercel Analytics 等):聚合级访问指标。
我们使用上述信息以:
- 提供并维护服务 —— 账户创建、登录、订阅鉴权、激活码兑换、API 限流。
- 提供核心功能 —— HuntingFlow 实时刷新、关键位计算、Discord 推送投递。
- 处理支付 —— 通过 Stripe 完成交易、对账与退款。
- 客户支持 —— 回答您的问题、调查滥用举报、解决争议。
- 改进服务 —— 监控错误、性能与体验。我们不会使用您的私有交易日志去训练任何公开模型。
- 安全与合规 —— 反欺诈、防滥用、合规审计、履行法律义务。
- 营销通讯 —— 当您订阅我们的 Newsletter 时发送产品更新或优惠信息。您可以随时退订。
针对特定运营任务(例如:自动内容分类、对推送材料的叙事审核),Hermēs 可能会调用第三方处理者。在涉及此类处理时:
- 我们仅向处理者发送完成任务所需的最少输入(如当前 GEX 摘要、市场体制标签)。
- 我们不会向这些处理者传输您的电子邮箱、姓名或支付数据等可识别个人身份的信息。
- 处理者根据其自身的隐私与保留政策处理输入与输出。在处理者支持的情况下,我们已通过 API 合约要求他们不得使用您的输入训练其模型。
我们仅在以下情形披露您的信息:
- 服务提供商(数据处理者) —— 云托管(Vercel/Cloudflare/AWS)、数据库(Postgres/Redis)、邮件(Resend)、分析(Plausible)、AI 模型(OpenAI/Anthropic/Google)、支付(Stripe)。每一方均受数据处理协议(DPA)约束。
- 法律要求 —— 为遵守传票、法院命令或政府/监管部门的合法请求;为保护我们或他人的权利、财产或安全。
- 业务转让 —— 如 Hermēs 发生并购、收购或资产出售,您的信息可能作为业务资产一并转让;在变更前我们会通过电子邮件或站内通知提前告知您。
- 您的同意 —— 在您明确同意下的其他任何披露。
我们不会出于营销目的出售或出租您的个人信息。
- 账户数据 —— 在您账户存续期间保留;账户删除后,可逆数据将在合理期内(通常 30 天)清除。
- 支付记录 —— 为遵守美国税务及会计法律,至少保留 7 年。
- 服务器日志 —— 通常保留 30—90 天,用于调试与安全分析。
- 备份 —— 加密离线备份可能保存更久,仅在需要进行运营恢复时访问。
我们使用以下 Cookie 类型:
- 必要 Cookie —— 会话保持、CSRF 防护、登录状态。
- 偏好 Cookie —— 主题(深色/浅色)、语言、时区、布局选择。
- 分析 Cookie —— 聚合访问统计与性能监控(不进行个人身份识别)。
您可随时在浏览器中禁用 Cookie,但部分功能(如登录会话)将无法正常使用。
我们采取行业标准的安全措施保护您的信息,包括:
- 端到端 HTTPS/TLS 加密;
- Argon2/bcrypt 密码单向哈希;
- 数据库静态加密;
- 最小权限访问与分级密钥管理;
- 定期渗透测试与漏洞扫描。
但没有任何系统是绝对安全的。如发生重大数据泄露事件,我们会按适用法律向您及相关监管机构发出通知。
根据您所在司法管辖区(包括 GDPR 和加州 CCPA/CPRA),您可能拥有以下权利:
- 访问 —— 获取我们持有的您的信息副本;
- 更正 —— 请求更正不准确或不完整的信息;
- 删除 —— "被遗忘权" —— 请求我们删除您的账户及个人信息;
- 限制处理 —— 暂停特定的处理活动;
- 数据可携 —— 以结构化、机器可读格式获取您的数据;
- 反对 —— 反对基于我们正当利益的处理活动;
- 撤回同意 —— 撤回不影响撤回前处理活动的合法性。
如需行使上述权利,请联系 admin@hermesgex.com。我们将在 30 天内予以回复。
本服务不面向 13 岁以下儿童(或适用法律要求的更高年龄)。我们不会有意识地收集 13 岁以下儿童的信息。如发现此类收集,我们将立即予以删除。
Hermēs 主要在美国运营。如果您从欧盟、英国或其他司法管辖区访问本服务,您的信息将被传输至美国服务器以及上文所述服务提供商所在地。我们依赖标准合同条款(SCC)及类似机制确保跨境传输的合法性。
如您是加州居民,您拥有以下权利:
- 知情 —— 知晓我们在过去 12 个月中收集的您的个人信息类别;
- 删除 —— 请求删除您的个人信息;
- 拒绝出售/共享 —— "请勿出售或共享我的个人信息"。我们不出售您的个人信息。
- 不受歧视 —— 您不会因行使上述权利而受到歧视性服务待遇。
我们可能不时更新本政策。重大变更将至少提前 30 天通过电子邮件或站内通知告知。更新后的政策自发布时生效。
如有问题、投诉或需行使您的权利,请通过 /contact 或 admin@hermesgex.com 联系我们。
数据控制者: