隐私政策

本隐私政策说明 FIM 集团——由 FIM Labs Pte. Ltd.（“FIM Labs”，新加坡）与北京飞沐网络科技有限公司（“FIM 中国”）共同组成，统称“FIM”或“我们”——在您访问我们的网站（fim.ai、one.fim.ai）、使用 FIM One（我们的企业级 AI 智能体平台）或与我们的服务交互时，如何收集、使用和保护您的个人信息。 具体由哪一主体作为您个人信息的数据控制者，取决于您所在的地区。详情请参见下文“适用主体与数据控制者”章节。 FIM One 同时提供云托管服务和私有化部署两种方式。本政策主要适用于我们的云服务和网站。对于私有化部署，您对自己的数据拥有完全控制权，本政策中的相关章节会予以说明。 使用我们的服务即表示您同意本政策中描述的做法。如您不同意本政策，请勿使用我们的服务。

就您的个人信息而言，FIM 集团中具体承担数据控制者角色的主体及适用的数据保护法律，取决于您所在的地区： • 如您位于新加坡、东南亚、欧洲经济区（EEA）、英国、美国或中国大陆以外的其他地区： – 数据控制者：FIM Labs Pte. Ltd.（“FIM Labs”） – 注册地址：68 Circular Road, #02-01, Singapore 049422 – 适用法律：新加坡《个人数据保护法》（PDPA）；对欧洲经济区/英国数据主体同时适用欧盟《通用数据保护条例》（GDPR）；对加利福尼亚居民同时适用《加州消费者隐私法案》（CCPA）。 • 如您位于中国大陆： – 数据控制者：北京飞沐网络科技有限公司（“FIM 中国”） – 注册地址：北京市朝阳区达美中心 T3-2112 – 适用法律：中华人民共和国《个人信息保护法》、《网络安全法》、《数据安全法》及相关法规。 两个主体均按照本政策所述的相同数据保护标准运营。无论您位于何处，均可通过 privacy@fim.ai 联系我们的数据保护官，您的请求将被转交给相应的数据控制者处理。

我们可能收集以下类型的信息： • 您通过表单提供的联系信息（姓名、邮箱、公司名称、手机号、职位） • 注册 FIM One 云服务时的账户信息（邮箱、密码、组织信息） • 网站访问期间自动收集的技术信息（IP 地址、浏览器类型及版本、设备信息、操作系统、访问页面、访问时间、来源 URL） • 通过云服务使用 FIM One 时的使用数据（功能使用情况、工作流配置、性能指标） • 您联系客服时的通讯记录（工单、邮件、在线聊天记录） • 营销偏好数据（订阅状态、同意记录、通讯历史）

我们依据 GDPR 第 6 条，基于以下合法事由处理您的个人数据： • 同意：我们在发送营销通讯（如产品更新和新闻通讯邮件）及设置非必要 Cookie（分析类）时，依赖您的明确同意。您可随时撤回同意。 • 合同履行：为向您提供服务（包括账户管理、技术支持以及按服务条款提供 FIM One 云服务），处理是必要的。 • 合法利益：我们基于合法利益处理某些数据，前提是这些利益不会凌驾于您的权利之上。具体包括：维护服务的安全性和完整性、检测和防范欺诈行为、改进产品和用户体验，以及进行内部分析。我们在每种情形下都会审慎权衡我们的利益与您的隐私权。 • 法律义务：我们可能为遵守适用的法律要求（包括税务法规、财务报告义务以及响应合法的政府请求）而处理您的数据。

我们将收集的信息用于以下目的： • 安排产品演示和回复咨询 • 提供、维护和改进 FIM One 云服务 • 提供技术支持和客户服务 • 改进我们的产品、服务和网站体验 • 发送相关产品更新、安全通告和通知（经您同意） • 通过自托管的分析平台分析网站流量和使用情况 • 确保服务的安全和正常运行 • 遵守法律义务和保护我们的权利

我们不会向第三方出售您的个人信息。我们可能在以下情况下共享信息： • 协助运营我们网站和服务的服务提供商（受数据处理协议和保密义务约束） • 法律要求或为保护我们合法权益时向执法机关披露 • 仅在获得您明确同意后与业务合作伙伴共享 所有第三方服务提供商均被合同要求保护您的数据，且只能为我们委托的特定目的处理数据。详情请参阅下方“第三方服务”章节。

我们使用少量第三方服务来运营平台和网站，每项服务均受数据处理协议（DPA）约束： • Amazon Web Services（AWS）— 云基础设施提供商。我们的服务托管在 AWS 香港区域（ap-east-1）。AWS 拥有全面的合规认证，包括 SOC 1/2/3、ISO 27001 及 GDPR 合规框架。 • 阿里云邮件推送（Direct Mail）— 用于事务性邮件和营销通讯的邮件递送服务。仅处理递送所需的邮箱地址和邮件内容。 • Umami 分析 — 我们使用自托管的 Umami 实例进行网站分析，运行在我们自己的服务器基础设施上。分析数据不会与任何第三方共享。Umami 在设计上注重隐私：不使用 Cookie 进行追踪，不收集个人可识别信息。 我们不使用任何第三方广告网络、社交媒体追踪像素或 Google Analytics 等外部分析服务。

我们采取适当的技术和管理措施保护您的个人信息，包括： • 所有通讯均使用 TLS/SSL 加密传输 • 敏感信息进行静态加密存储 • 内部系统实施基于角色的严格访问控制 • 定期进行安全评估和漏洞测试 • 员工数据保护培训 • 针对潜在安全事件的应急响应流程 对于私有化部署的 FIM One，所有数据均保留在您自己的基础设施上，由您完全掌控。除非您为获取技术支持而明确授权，否则我们无法访问私有化部署环境中的任何数据。

我们仅在实现收集目的所必需的期限内，或在法律要求的期限内保留您的个人数据。具体保留期限如下： • 活跃账户数据：在您的账户保持活跃且持续使用服务期间保留。 • 账户删除后：收到删除请求后 30 天内从活跃系统中删除个人数据。无法关联到您个人的匿名化和汇总统计数据可能会被保留，用于产品改进。 • 客服通讯记录：在问题解决后保留 24 个月，以便为后续支持提供上下文参考和质量保证。 • 营销同意记录：保留至您撤回同意后，另加 6 个月作为审计记录，以证明我们遵守了同意要求。 • 服务器日志：90 天后自动清除。 • 账单和交易记录：按照适用的税务和财务法规要求保留（通常为 5–7 年）。 • 私有化部署：您对所有数据保留拥有完全控制权。除非您主动使用我们的云端支持服务，否则我们不会存储来自私有化部署环境的任何数据。

我们的云服务托管在 AWS 香港区域。根据您所在地区的不同，您的数据可能被传输至您所在司法管辖区以外的地区进行处理。 • 欧盟/欧洲经济区（EU/EEA）用户：向 EEA 以外传输个人数据受欧盟委员会标准合同条款（SCCs）保护，并辅以 AWS 的合规认证和我们自身的技术保障措施。您可联系我们的数据保护官索取适用 SCCs 的副本。 • 其他地区用户：我们确保任何跨境数据传输均符合当地适用的数据保护法律，并采取适当的保障措施。 • 私有化部署用户：所有数据保留在您自行选择的位置的基础设施上。FIM 不会为私有化部署客户发起任何跨境数据传输。您对数据拥有完全的主权控制。

根据《通用数据保护条例》（GDPR）及其他适用的数据保护法律，您对个人数据享有以下权利： • 访问权：您可以要求获取我们持有的关于您的个人数据副本，以及数据处理方式的相关信息。 • 更正权：您可以要求我们更正不准确或不完整的个人数据。 • 删除权（“被遗忘权”）：您可以要求我们删除您的个人数据，但法律要求我们保留的部分除外。 • 限制处理权：在特定情况下（例如您对数据准确性提出异议时），您可以要求我们限制对您数据的处理方式。 • 数据可携带权：您可以要求以结构化的、通用的、机器可读的格式获取您的个人数据，并在技术可行的情况下要求将其传输给其他控制者。 • 反对权：您可以反对基于合法利益或用于直接营销目的的数据处理。除非我们证明存在不可抗拒的合法理由，否则将停止处理。 • 撤回同意权：在我们基于您的同意进行处理的情况下，您可随时撤回同意。撤回不影响撤回前已进行的处理的合法性。 • 投诉权：如果您认为我们对您个人数据的处理违反了适用法律，您有权向您惯常居住地、工作地或涉嫌侵权行为发生地的 EU/EEA 成员国监管机构提出投诉。 如需行使上述任何权利，请联系我们的数据保护官：privacy@fim.ai。我们将在 30 天内回复您的请求。在某些情况下，我们可能需要验证您的身份后再处理请求。

如果您是加利福尼亚州居民，您根据《加州消费者隐私法案》（CCPA）享有额外的权利。 • 知情权：您可以要求了解我们收集的关于您的个人信息的类别和具体内容。 • 删除权：您可以要求删除您的个人信息，但某些法定例外情况除外。 • 拒绝出售权：您有权拒绝出售您的个人信息。我们不会出售个人信息。 • 不受歧视权：我们不会因为您行使 CCPA 权利而对您进行歧视。 如需行使上述权利，请通过 privacy@fim.ai 联系我们。我们将在 45 天内回复可验证的消费者请求。

我们的网站使用 Cookie 和类似技术来确保正常运行，并了解访客如何与网站互动。 当您首次访问我们的网站时，会看到一个 Cookie 同意横幅，提供两个选项： • 接受所有 Cookie：启用必要 Cookie 和分析 Cookie。 • 仅必要 Cookie：仅启用网站正常运行所必需的 Cookie。 我们使用的 Cookie 类型： • 必要 Cookie：网站基本运行所需（如会话管理、语言偏好、安全功能）。这些 Cookie 无法禁用，因为没有它们网站将无法正常运行。 • 分析 Cookie：我们使用自托管的 Umami 分析平台来了解网站流量和使用情况。Umami 注重隐私保护，不会跨网站追踪用户，也不收集个人可识别信息。分析 Cookie 仅在您选择“接受所有 Cookie”时才会启用。分析数据不会与任何第三方共享。 我们不使用广告 Cookie、社交媒体追踪 Cookie 或任何第三方追踪技术。 您可以随时通过网站页脚的 Cookie 设置链接或浏览器设置更改 Cookie 偏好。

如果发生可能对您的权利和自由构成风险的个人数据泄露事件，我们承诺： • 在知悉泄露事件后 72 小时内通知相关监管机构，符合 GDPR 第 33 条的要求。 • 如果泄露可能对您的权利和自由造成高风险，我们将按照 GDPR 第 34 条的要求，及时通知受影响的个人。 • 泄露通知将包括：泄露的性质、受影响的数据类别和大致数量、可能造成的后果，以及已采取或拟采取的补救措施和缓解潜在不利影响的措施。 • 我们维护内部泄露登记簿，记录所有事件及其影响和补救措施，无论其是否达到通知标准。

我们已指定数据保护官（DPO）负责监督数据保护实践，确保符合适用的隐私法规。 如有任何隐私相关问题、疑虑或需要行使数据保护权利，您可联系我们的数据保护官： 邮箱：privacy@fim.ai 数据保护官负责：监督 GDPR 及其他数据保护法律的合规性、就数据保护义务向公司提供建议、与监管机构配合，以及作为数据主体就其个人数据处理相关事宜的联系人。

我们可能会不时更新本隐私政策，以反映我们在实践、技术、法律要求或其他方面的变化。当发生重大变更时，我们将： • 在网站上发布更新后的政策并标注新的“最后更新”日期 • 通过邮件通知注册用户重大变更 • 在法律要求时，就影响数据处理方式的重大变更征得您的同意 建议您定期查阅本政策。在变更后继续使用我们的服务，即表示您接受更新后的政策。

如您对本隐私政策、我们的数据实践有疑问，或希望行使数据保护权利，请联系我们： 数据保护官邮箱：privacy@fim.ai 一般咨询邮箱：hi@fim.ai 新加坡总部 — FIM Labs Pte. Ltd. 68 Circular Road, #02-01, Singapore 049422 中国办公室 — 北京飞沐网络科技有限公司 北京市朝阳区达美中心 T3-2112 网站：fim.ai