账户数据：姓名、电子邮件地址、语言偏好、密码哈希（在使用邮箱/密码注册时）、身份提供方标识（如 Google、Apple、GitHub）、订阅层级、推荐码，以及登录时间、IP 地址、浏览器、操作系统和根据 IP 推测的大致地理区域等安全事件。

工作空间数据：聊天消息与提示词、上传的文件（PDF、图片、Excel、纯文本）、分子草图、绘制的结构（SMILES/InChI）、已保存的报告草稿、学习会话、闪卡、测验记录、错题历史，以及从开放学术 API 获取的参考文献和您选择生成的导出文件。

文件与向量嵌入：当您上传文件时，其二进制内容会保存在我们的私有对象存储桶中，并被解析为文本与图像分块。我们计算向量嵌入（1024 维，BGE-M3，在我们位于德国的自有服务器上生成），以便该文件可被用于您日后提问时的检索。化学图像还可能由本地部署的 DECIMER 模型处理以提取 SMILES。

使用与遥测数据：每个模型消耗的额度、排队延迟、模型标识、错误码、功能交互、页面浏览、网页核心指标以及防滥用信号。部分遥测数据通过 Vercel Analytics、Firebase Analytics 以及在启用时由自建错误监控系统收集。

支付元数据：订阅状态、套餐、发票、税务区域、Stripe 颁发的客户标识，以及 Stripe 回传的有限卡片元数据，例如卡组织和卡号后四位。我们绝不存储完整卡号、CVC 或银行凭据。

通信数据：客户支持工单与回复、自愿提供的营销偏好、事务性邮件的语言偏好。

履行合同（第 6(1)(b) 条）——用于运行工作空间、执行提示词、生成报告、保存项目、处理付款以及提供付费功能。

正当利益（第 6(1)(f) 条）——用于监控服务可靠性、防止滥用、保护基础设施、生成聚合使用统计，并以不凌驾于您权利之上的方式改进产品。

同意（第 6(1)(a) 条）——用于非必要 Cookie、营销邮件以及当地法律要求获得同意的可选分析。您可随时撤回同意。

法律义务（第 6(1)(c) 条）——税务记录、监管问询以及合法的执法请求。

在 KVKK 下，对应依据为第 5(2)(c) 条（履行合同所必需）、第 5(2)(f) 条（正当利益）、第 5(1) 条（明确同意）和第 5(2)(a) 条（法律义务）。

服务交付：保存并恢复项目，使用 RDKit 渲染分子结构，运行多智能体编排器，从开放学术 API 检索文献，生成报告并通过网页应用交付，并使 Moll 能够感知当前工作空间。

订阅运营：依据您的每周额度计量用量并展示用量条，开具发票，通过 Stripe 处理续订与取消，对符合条件的用户应用教育折扣，并防止欺诈性支付行为。

安全与防滥用：检测撞库攻击、对激进客户端进行限流、拒绝违反可接受使用政策的提示词、调查可疑账户活动，并遵守合法的法律程序。

产品改进：调试崩溃、降低延迟、监控失败任务、确定修复优先级，并分析聚合的、不可识别个人身份的使用模式。

通信：响应客户支持、发送有关计费与安全的事务性邮件，并——仅在您明确同意时——分享产品资讯。

我们不会将用户提示词、上传文件、已保存项目、分子草图、报告、向量嵌入或任何衍生数据集出售给广告商、数据经纪人、数据交易市场或抓取方。

默认情况下，您的工作空间内容仅用于为您本人提供并改进 Cheemly 体验。我们不会在公共数据集中发布客户的提示词或分子。

当第三方模型提供方处理您的提示词时（见子处理者一节），在其提供该控制项时，我们会在提供方设置中选择不将客户 API 输入用于训练（Google AI Studio API：付费 API 流量默认禁用训练；Anthropic API：默认禁用训练；OpenAI API：默认禁用训练）。企业客户可在订单中要求获取书面确认。

Hetzner Online GmbH（德国 Falkenstein）——主要基础设施：托管数据库（带 pgvector 的 PostgreSQL）、对象存储桶（运行在我们自有 VM 上的 Supabase Storage）、向量嵌入模型（BGE-M3，TEI）、化学 OCSR（DECIMER）、API 服务和反向代理的虚拟机。所有工作空间内容存放于此。

Vercel Inc.（美国特拉华州；数据中心遍布多个地区）——为营销网站和 Next.js 应用提供托管与全球 CDN；在启用时使用 Vercel Analytics。

Cloudflare, Inc.（美国旧金山）——权威 DNS、DDoS 防护、边缘 TLS、机器人管理，以及 api.cheemly.com / auth.cheemly.com 的代理。Cloudflare 可能短暂处理请求元数据（IP、请求头、user-agent）以提供这些服务。

OpenRouter, Inc.（美国）——LLM 网关，将提示词路由至所选的底层提供方。当前所用的底层提供方包括 Google（Gemini 系列）、Anthropic（Claude 系列）、OpenAI 与 Meta（通过免费层使用 Llama）。该清单可能随我们新增或下架模型而变化；最新模型清单以产品内模型选择器为准。

Stripe, Inc.（美国）与 Stripe Payments Europe Ltd.（爱尔兰，面向欧盟/英国客户）——支付处理、订阅计费、发票开具与欺诈检测信号。Stripe 已通过 PCI-DSS Level 1 认证。

Resend, Inc.（美国）——事务性邮件投递（注册验证、密码重置、计费回执）。

Google LLC（Firebase Analytics、Google Sign-In）——在用户选择 Google OAuth 身份认证时使用，并用于分析事件。

PostHog Inc.（欧盟区域）——在启用时提供产品分析（事件级别）；您可在账户设置中选择退出。

Sentry——在启用时提供错误监控。

我们代您查询的开放学术 API，仅发送公共书目查询（不发送任何个人数据）：Semantic Scholar（Allen Institute for AI）、OpenAlex（OurResearch）、Crossref、Europe PMC、arXiv、Unpaywall、PubChem（NIH/NLM）、ChEMBL。

仅当用户主动选择通过 Apple 登录时才会联系 Apple Inc.。

新增或替换子处理者将在本页更新；重大变更将通过产品内通知或邮件推送。企业客户可在订单中选择获得事先书面通知。

工作空间数据（账户、聊天、文件、向量嵌入、参考文献、报告、计费元数据、活动日志）托管在德国 Hetzner Online GmbH 的基础设施上（Falkenstein/Helsinki 区域），位于欧洲经济区（EEA）境内。主数据库为带 pgvector 的 PostgreSQL 16。

网页流量通过 Vercel 全球 CDN 提供；静态与边缘节点在全球分布以提升性能。Cloudflare 通过其全球边缘代理 API 与认证请求。

LLM 推理在底层提供方的数据中心进行，目前这些数据中心根据所用模型分布在美国和欧盟。我们无法控制上游提供方的精确数据中心路由。

若数据传输离开 EEA（例如发送至 Stripe、OpenRouter、Resend、Vercel、Cloudflare、Sentry 以及底层 LLM 提供方），相关传输依据欧盟委员会的标准合同条款（2021/914 号实施决定），并在适用时依据欧盟–美国数据隐私框架的充分性决定进行。我们会执行基础的传输影响评估，并采取额外的保障措施（传输加密、最小权限范围等）。

账户记录：在账户活跃期间予以保留。账户注销后，我们将在 30 天内删除账户、项目、文件、向量嵌入、参考文献与已保存的报告，但法律要求更长保留期的除外（例如在适用情况下保留税务发票 10 年）。

运营日志：错误日志、访问日志与安全日志最多保留 90 天用于调试与防滥用，之后将被删除或聚合。

身份认证事件（登录 IP、user-agent、时间戳）：最多保留 180 天用于安全审查。

计费与发票：依据适用税法所要求的期限保留（通常为 5–10 年）。

加密备份：以 30 天为周期轮转保留。已删除的用户内容可能在备份中持续存在，直至轮转将其移除；除非出于安全或法律要求，我们不会将已删除内容恢复至生产环境。

营销邮件订阅记录：在订阅有效期间予以保留，并在撤回后再保留 12 个月，作为同意的证明。

严格必要的 Cookie 与本地存储：会话令牌、身份认证状态（Supabase SSR Cookie）、语言偏好（NEXT_LOCALE）、主题偏好、CSRF 保护。这些在不破坏网站功能的情况下无法关闭。

功能性存储：工作空间草稿（zustand 本地状态）、固定的参考文献、学习会话进度——保存在您浏览器的本地/会话存储中，以便在页面加载之间保持工作空间响应性。

分析：Vercel Analytics 与 Firebase Analytics 可能设置第一方 Cookie 用于聚合页面浏览量度量。仅当当地法律要求时，在获得同意后方启用 PostHog 事件分析。

仅当您使用通过 Google 或 Apple 登录时才会设置第三方 Cookie，并限定于该提供方的身份认证流程。

您可在浏览器中管理 Cookie。停用必要 Cookie 将导致无法登录。

根据 GDPR / 英国 GDPR（第 15–22 条），您享有以下权利：访问权、更正权、删除权（被遗忘权）、限制处理权、数据可携权（以机器可读的方式导出您的账户与工作空间）、对基于正当利益的处理提出异议的权利，以及不受仅基于自动化决策且对您产生法律或类似重大影响的决定约束的权利。Cheemly 在该意义上并不作出仅基于自动化的决策。

根据 KVKK（土耳其，第 11 条），您可请求了解您的数据是否被处理及其目的、接收方与来源，要求更正、删除、匿名化，并可对仅由自动化分析得出的结果提出异议。

根据 CCPA/CPRA（加利福尼亚州），您享有知情权、删除权、更正权、退出出售或共享的权利（我们在 CCPA 意义上并不出售或共享个人数据），以及限制对敏感个人信息使用的权利。

如需行使任何权利，请使用账户邮箱发送邮件至 privacy@cheemly.com。我们将核实您的身份，并在 30 天内予以答复；如需延期将通知您。任何 12 个月期间内首次请求均不收取费用。您还有权向所在地的监管机构投诉——例如在土耳其向个人数据保护局（Kişisel Verileri Koruma Kurumu，KVKK Kurumu）投诉，或向您所在欧盟成员国的数据保护机构投诉。

Cheemly 并非面向 13 岁以下儿童（在 EEA 当地实施 GDPR 第 8 条的国家或地区，为 16 岁以下儿童）。未达该年龄的用户必须在父母、监护人或具有适当授权的教育机构的可验证同意下使用 Cheemly。

在课堂上使用 Cheemly 的教育者应避免上传学生个人数据，除非具有合法授权和明确的教学需求。在未签署书面附录的情况下，Cheemly 不会承担 FERPA 项下学校官员的角色。

如果我们获悉某位儿童在未获得适当同意的情况下提供了个人数据，我们将删除该账户及相关内容。

如我们意识到可能对用户的权利与自由构成风险的个人数据泄露，我们将在 72 小时内通知主管监管机构（GDPR 第 33 条）；如风险较高，将不无故迟延地通知受影响用户（GDPR 第 34 条）。

KVKK 第 12(5) 条同样要求尽快向 Kurum 与数据主体通知——我们将同样的 72 小时窗口作为硬性目标。

通知将包括：发生了什么、涉及哪些数据、我们已采取的措施、用户应采取的行动以及如何联系我们。

隐私 / 数据保护请求：privacy@cheemly.com

法律通知（包括知识产权侵权通知）：legal@cheemly.com

安全披露：security@cheemly.com（另见 /.well-known/security.txt）

通用支持：support@cheemly.com