隐私政策
OORT Labs 如何在 OORT Flows 产品范围内收集、使用、存储、共享和保护个人数据。
本文件是反映产品当前数据处理实践的技术模板。不能替代法律审查。 发布前,请提交至 OORT Labs 法务部门及数据保护官(DPO),以符合 LGPD(第 13.709/2018 号法)、GDPR(第 2016/679 号条例)、CCPA 及其他适用规定。
1.简介
本隐私政策说明 OORT Labs("OORT"、"我们")如何在 OORT Flows 产品("服务"、"平台")范围内收集、使用、存储、共享和保护个人数据。
本政策应与使用条款以及负责用户身份和认证的 OORT Hub 隐私政策一起阅读。
2.数据控制者与数据保护官(DPO)
- 数据控制者: OORT Labs,[CNPJ 00.000.000/0001-00],总部位于[完整地址]。
- 数据保护官(DPO): [姓名] — [dpo@oortlabs.com]。
对于欧洲用户,欧盟代表为:[代表姓名与地址(如适用)]。
3.处理中的角色
OORT Flows 根据数据性质承担不同角色:
| 场景 | OORT 的角色 | 用户/组织的角色 |
|---|---|---|
| 从 OORT Hub 接收的账户数据(标识符、电子邮件、角色) | 与 OORT Hub 共同控制者 | 数据主体 |
| 经由流程处理的用户内容(文件、文档、第三方集成数据、组织客户的个人数据) | 处理者(data processor) | 控制者 |
| 运营日志和使用指标 | 控制者 | 数据主体 |
当 OORT 作为处理者时,处理严格依据组织的指示进行,指示通过流程配置进行记录。
4.收集的数据
4.1.从 OORT Hub 接收的数据
OORT Flows 不创建自己的账户。以下数据通过 Hub 签发的 JWT 到达:
user_id— 用户标识符tenant_id— 租户标识符email— 电子邮件地址role— 用户在租户中的角色(例如tenant_admin)product_access— 用户可访问的产品列表jti、exp、iat— 标准 JWT 声明
4.2.用户提供的数据
使用平台时,用户可能提供:
- 流程定义: 名称、描述、节点、连接、参数;
- 集成凭证: OAuth 令牌(Google、Microsoft、Slack、Jira、Zendesk、DocuSign、Notion 等),使用 Fernet/AES 静态加密存储;
- 上传的文件: PDF、电子表格、图片及其他作为流程输入加载的文件;
- 与 AI 代理交换的消息(Ortis、Flow Builder、专业代理);
- 用户偏好(主题、语言、UI 设置);
- 租户设置: 信用额度、内部政策。
4.3.服务生成的数据
- 流程执行日志: 输入、中间输出、时间戳、时长、状态;
- 审计日志(MongoDB `audit_events`): 操作、租户、执行者、结果、IP、时间戳 — 例如登录、登出、连接/断开集成、配置更改、认证失败等事件;
- 使用与计费指标: 消耗的信用额度、对 AI 提供商的调用、对第三方集成的调用;
- 技术数据: IP 地址、user-agent、会话标识符(
oort_flows_sessioncookie)、性能遥测(通过 Logfire)。
4.4.通过流程处理的数据
当用户配置流程时,第三方的个人数据(用户的客户、潜在客户、员工)可能会流经服务。在这些情况下,OORT 作为处理者,用户/组织为控制者。
5.目的与法律依据
处理出于以下目的和法律依据(LGPD 第 7 条 / GDPR 第 6 条):
| 目的 | 法律依据 |
|---|---|
| 身份认证与权限控制 | 履行合同(LGPD VII / GDPR 6(1)(b)) |
| 执行用户配置的流程 | 履行合同 |
| 安全存储集成凭证 | 履行合同 |
| 将数据发送至 AI 提供商进行处理 | 履行合同 |
| 生成安全审计日志 | 法律义务 / 合法利益(安全) |
| 实施速率限制与防止滥用 | 合法利益(服务完整性) |
| 执行计费与财务管理 | 履行合同 / 法律义务(税务) |
| 运营与支持沟通 | 履行合同 |
| 改进服务(聚合指标,不重新识别) | 合法利益 |
| 应对法律请求并在诉讼中抗辩 | 法律义务 / 行使正当权利 |
OORT Flows 不使用用户内容训练自己的 AI 模型。
6.与第三方共享
数据可能与以下类别的第三方共享,严格限于上述目的:
6.1.AI 提供商
经由 AI 节点传输的数据将发送至用户选择的提供商,包括:
| 提供商 | 目的 |
|---|---|
| OpenAI | LLM 推理 |
| Anthropic | LLM 推理 |
| Google Gemini | LLM 推理与嵌入 |
| AWS Bedrock | 托管 LLM 推理 |
| Cohere | 推理与嵌入 |
| Groq | 加速 LLM 推理 |
每个提供商都有自己的保留和使用政策。用户应查阅并选择符合其内部政策的提供商。
6.2.用户集成的服务
当用户连接集成(Google Workspace、Slack、Jira、Zendesk、Microsoft Dynamics、Microsoft Teams、DocuSign、Notion 等)时,相关数据将按照所授予的 OAuth 权限范围传输到相应服务。
6.3.云基础设施
- AWS S3 — 文件存储;
- Microsoft Azure — 托管基础设施(按运营文档);
- MongoDB Atlas / 托管 Postgres / Redis — 运营数据库(按环境);
- Logfire (Pydantic) — 可观测性与遥测。
这些提供商作为次级处理者,受数据处理协议(DPA)及符合 LGPD/GDPR 的合同条款约束。
6.4.OORT Hub
OORT Hub 接收并签发身份与权限数据(JWT)。Hub 的政策作为本政策的补充适用。
6.5.主管机关
我们可能在法院命令、主管机关要求或为在程序中正当行使权利时披露数据。
6.6.公司交易
在合并、收购、重组或资产出售时,数据可转移给继受方,同时保持与本政策等同的保护。
我们不出售个人数据。
7.国际数据传输
OORT Flows 可能将数据传输至巴西和欧洲经济区以外的地区,特别是为了:
- 在位于美国及其他国家的 AI 提供商上执行;
- 存储于全球云基础设施。
传输遵循 LGPD(第 33 条)和 GDPR(第 V 章)规定的保障措施,包括标准合同条款(SCC)、具有充分性决定的国家或与次级处理者商定的特定保证。
8.数据保留
| 类别 | 期限 |
|---|---|
| 集成凭证(加密) | 集成启用期间;撤销后最多 30 天 |
| 流程数据和配置 | 租户启用期间 |
| 用户上传的文件 | 按租户配置;默认至显式删除 |
| 执行日志 | 最多 [90] 天,除非另有配置 |
| 安全审计日志 | 最多 [12] 个月,或法律要求更长时间 |
| 计费与税务数据 | 适用法定期限(最少 5 年,LGPD 第 16 条 / 税法) |
| 账户终止后的数据 | 90 天内删除或匿名化,法定义务除外 |
用户可请求提前删除,但须遵守要求保留的法律依据。
9.安全
OORT Flows 采用符合 CASA Tier 2 / OWASP ASVS 第 2 级的技术与组织控制措施,包括:
- 传输加密: 所有通信使用 TLS 1.2+;
- 静态加密: 集成凭证使用 Fernet(AES-128-CBC + HMAC-SHA256)加密,密钥通过
TOKEN_ENCRYPTION_KEYS管理并支持轮换; - Cookie:
HttpOnly、Secure、SameSite=Lax; - 本地 JWT 校验 通过
oort-shared(HS256),无需对每个请求都远程调用 Hub; - 多租户隔离: 每个查询都包含
WHERE tenant_id = :tid,并将自动化tenant_isolation测试作为部署关口; - 基于角色的访问控制(例如配置更改需要
tenant_admin); - 防暴力破解(5 次失败 → 锁定 15 分钟),通过虚拟密码哈希缓解时序攻击;
- 上传校验 通过 magic bytes(使用
python-magic),不仅依赖 Content-Type; - 安全响应头: HSTS、X-Content-Type-Options、X-Frame-Options、CSP、Referrer-Policy、Permissions-Policy,敏感路由上使用 Cache-Control
no-store; - 日志中对 PII 的脱敏;
- 静态分析: 每次提交运行 Bandit 和 Ruff;
- 速率限制: 按租户/用户,并根据操作类型分级;
- 审计: 敏感事件记录于 MongoDB(
audit_events)。
没有任何系统是 100% 免疫的。一旦发生对数据主体存在重大风险或损害的安全事件,OORT 将依据 LGPD 第 48 条和 GDPR 第 33–34 条通知 ANPD,并在必要时通知受影响的数据主体。
10.Cookie
OORT Flows 仅使用运营所必需的 Cookie:
| Cookie | 目的 | 属性 |
|---|---|---|
oort_flows_session | 认证会话(由 Hub 签发的 JWT) | HttpOnly, Secure, SameSite=Lax |
OAuth state cookie | OAuth 流程期间的 CSRF 保护 | HttpOnly, Secure, short-lived |
产品中不使用广告跟踪 Cookie。
11.数据主体权利
依据 LGPD(第 18 条)和 GDPR(第 15 至 22 条),您可以行使:
- 确认处理活动的存在;
- 访问您的数据;
- 更正不完整、不准确或过时的数据;
- 匿名化、阻止或删除不必要或不合规处理的数据;
- 数据可携性;
- 删除基于同意处理的数据;
- 获悉与我们共享数据的公共及私营实体;
- 获悉不提供同意的可能性及其后果;
- 撤回同意;
- 反对基于合法利益进行的处理;
- 复核自动化决策,当其影响您的利益时(LGPD 第 20 条 / GDPR 第 22 条)。
如何行使
- 发送请求至 [dpo@oortlabs.com];
- 对于其数据由一个组织(作为控制者)提交的数据主体,OORT 将把请求转交给该组织,或按合同约定予以处理。
我们将在 15(十五)天(LGPD)或 1(一)个月(GDPR)内回复,法律允许的情况下可延长。
您也可以向巴西国家数据保护局(ANPD)、所在国(欧盟)监管机构或其他主管机关投诉。
12.未成年人
OORT Flows 不面向 18 岁以下的未成年人,也不旨在处理儿童和青少年的数据。如我们发现无意处理了未成年人的数据,将予以删除,法律另有规定的除外。
13.自动化决策与 AI
AI 功能可能以自动化方式建议或执行操作。对于会对第三方产生法律效果或重大影响的决策,我们强烈建议保留人工监督。
依据 LGPD 第 20 条和 GDPR 第 22 条,数据主体有权要求对自动化决策进行人工复核。
14.本政策的变更
我们可能定期更新本政策。重大变更将通过平台、电子邮件或 OORT Hub 进行通知。最新更新日期见本文件顶部。
版本历史可在[代码仓库地址 / 链接]查阅。
15.联系我们
关于隐私与数据保护的问题:
- 数据保护官(DPO): [姓名] — [dpo@oortlabs.com]
- 一般邮箱: [privacy@oortlabs.com]
- 地址: [OORT Labs 完整地址]