隐私政策

欢迎使用 VegeBuddy（以下简称“我们”）。我们致力于保护您的隐私并确保您个人信息的安全。本隐私政策说明了我们在您使用本移动应用程序及网站时，如何收集、使用、披露和保护您的信息。

VegeBuddy 在马来西亚运营，并依照《2010 年个人资料保护法》（Personal Data Protection Act 2010，PDPA）及其 2024 年修订处理您的个人数据。本政策中提及的您的权利与我们的义务，应与 PDPA 及其他适用的马来西亚法律一同解读。

我们会收集您直接提供给我们的信息，包括：

• 账户信息：在您创建账户时提供的电子邮件、用户名、头像及其他资料
• 用户内容：您通过 App 分享的照片、帖子、评论及其他内容
• 位置信息：在您授权后，我们会收集位置数据，用于展示附近的素食餐厅及相关地点
• 使用数据：您与 App 的互动信息，包括所使用的功能与使用时长
• 设备信息：设备类型、操作系统及唯一设备识别码

如您使用 VegeBuddy Jio Connect（社群约伴功能），我们会要求您在 App 内现场拍摄一张自拍照，用于身份验证。根据 PDPA 2024 年修订，生物特征数据被视为特殊类别个人数据，须接受额外保护。

• 数据类别：面部照片（生物特征数据），通过设备摄像头在 App 内实时采集。
• 使用目的：仅用于身份验证及真人活体检测（“liveness check”）——确认您是真实用户而非冒用者。我们不会将其用于营销、广告定向、跨平台人脸识别或任何资料匹配功能。
• 法律依据：您的明示、主动同意。摄像头启动前，App 内会先弹出同意提示。您可以拒绝，也可随时通过删除 Jio Connect 资料或注销 VegeBuddy 账户来撤回同意。
• 保留期限：自拍照仅在您的 Jio Connect 资料保持启用期间保存。以下情形较早发生者起 30 天内删除：(a) 您完成入驻并通过验证；(b) 您删除 Jio Connect 资料；(c) 您的 VegeBuddy 账户被注销。
• 共享情况：绝不与第三方共享。自拍照存储于我们的 Supabase 后端（新加坡区域），仅限少数授权审核人员为验证目的访问。不会被出售、授权、导出至广告网络，也不会用于训练任何机器学习模型。
• 您的控制权：您可随时通过 「设置 → 隐私与数据 → 删除生物特征数据」申请立即删除自拍照，或通过第 11 节中的邮箱联系隐私团队。

我们使用所收集的信息来：

• 提供、维护及改进我们的服务
• 个性化您的体验并展示相关内容
• 支持发帖、评论、社群互动等社群功能
• 根据您的位置展示附近的素食餐厅与地点
• 在您同意的前提下向您发送动态、更新及推广通知
• 展示广告，包括个性化广告
• 分析使用情况以改进 App
• 防范欺诈并保障安全

我们会通过第三方广告服务在 App 中展示广告。这些服务可能会收集并使用关于您的设备及 App 使用情况的某些信息，以便提供个性化广告。我们的广告合作伙伴包括：

• Google AdMob：Google 可能会使用 Cookie 和设备标识符，根据您的兴趣投放广告。详见 policies.google.com/privacy

您可以在设备设置中选择关闭个性化广告。

我们依赖少量精心挑选的服务供应商（“处理方”与“次级处理方”）来运营 VegeBuddy。每个处理方只会接收其完成特定任务所需的数据类别，并须依照合同保护您的数据，仅用于我们指定的用途。

• Curlec（Razorpay 旗下公司）——支付处理（信用卡、FPX、电子钱包）——数据：姓名、邮箱、电话、支付工具明细、交易金额——托管地：马来西亚（Curlec 于马来西亚注册，Razorpay 母公司业务在印度）。
• Billplz——餐饮与商城订单的支付处理（FPX、电子钱包）——数据：姓名、邮箱、电话、交易金额——托管地：马来西亚。
• Lalamove——餐饮/商城订单的即时快递派送——数据：收件人姓名、配送地址、电话、订单编号——托管地：区域（香港总部，马来西亚运营）。
• EasyParcel——商城订单的预约快递派送——数据：收件人姓名、配送地址、电话、包裹明细——托管地：马来西亚。
• Supabase——核心后端：身份验证、数据库、文件/照片存储、Edge Functions——数据：VegeBuddy 持有的全部个人数据（账户、内容、位置、生物特征自拍照、交易）——托管地：新加坡（AWS ap-southeast-1）。
• Firebase Cloud Messaging（Google Cloud）——仅用于推送通知投递（当前版本未启用 Firebase Analytics 或 Crashlytics）——数据：设备推送 Token、消息载荷元数据——托管地：美国 / Google Cloud 全球区域。
• Google AdMob——免费版 App 内的广告投放；同时也是当前 App 内唯一在用的分析数据来源（仅汇总广告展示、点击和频次指标）——数据：广告 ID（可在系统设置中重置）、设备类型、与广告位相关的粗略使用信号——托管地：美国 / 全球。个性化与非个性化广告由您在 App 内的同意选择决定（详见第 4b 节）。当前 App 版本未集成任何独立产品分析 SDK（Firebase Analytics、Sentry、Amplitude、Mixpanel、Segment、PostHog）。
• Cloudflare——CDN、边缘缓存及 well-known 文件分发——数据：IP 地址、请求元数据——托管地：全球边缘网络。
• Resend——事务性及管理性邮件（验证、收据、举报回执）——数据：邮箱地址、邮件内容——托管地：美国。

我们亦可能在马来西亚法律要求、合法法院或监管机构指令下，或为保护用户及公众的安全与权利时共享您的信息。我们不会将您的个人信息出售给第三方。

我们采用适当的技术与组织措施，保护您的个人信息免受未经授权的访问、更改、披露或销毁。这些措施包括传输加密（HTTPS/TLS）、数据库与存储的静态加密、基于角色的访问控制、审计日志，以及定期的安全审查。但互联网传输并非 100% 安全。

若我们发现可能对您造成重大损害的个人数据泄露事件，我们将不无故拖延地通知您及马来西亚个人资料保护专员（Personal Data Protection Commissioner），并在 PDPA 及其 2024 年修订所要求的期限内完成通知。通知内容将包括泄露性质、受影响的数据类别、我们已采取的应对措施，以及您可以采取的保护措施。

马来西亚是我们的主要管辖地，也是大部分个人数据的处理地。然而，由于第 5 节中所列的部分服务供应商在马来西亚境外运营，您的个人数据可能会被传输至并在以下地点处理：

• 新加坡——Supabase（核心后端，包括数据库、存储及生物特征自拍照）。
• 美国——Firebase Cloud Messaging / Google Cloud（仅推送投递）、Google AdMob（广告及汇总广告分析）、Resend（事务性邮件）。
• 印度——Curlec 背后 Razorpay 母公司的运营（支付基础设施）。
• 全球边缘——Cloudflare CDN（缓存与分发，不长期存储个人数据）。

跨境传输的法律依据：这些传输是为履行您与 VegeBuddy 之间的合同所必需（即为提供您所注册的服务），并在必要时基于您注册账户或启用依赖特定供应商的功能时所给予的同意。我们要求所有境外处理方提供与 PDPA 所要求相当的保护水平，包括书面合同保障。

我们仅在为您提供服务、履行法律义务、解决争议及执行协议所必需的期间内保留您的个人信息。各类数据的保留期限如下：

• 账户信息（电子邮件、用户名、资料）：在您的账户保持活跃期间持续保留。账户注销后，相关信息会在 30 天内从我们的活跃系统中删除，法律另有要求的除外。
• 用户内容（帖子、评论、照片、点评）：在您删除该内容或账户之前持续保留。删除后会在 30 天内从活跃系统移除，但匿名化或汇总后的副本可能在分析数据中继续存在。
• 生物特征数据（Jio Connect 自拍照）：仅在您的 Jio Connect 资料启用期间保留；以入驻完成、资料删除或账户注销中较早者为准，30 天内删除。详见第 2a 节。
• 位置信息：精确位置仅在当次会话中用于展示附近的素食地点，不会被长期保存；若您主动将位置附加在帖子中，则按上述「用户内容」规则保留。
• 使用数据与分析数据：以汇总或假名化形式保留最多 24 个月，用于改进 App，超过期限后将被删除或彻底匿名化。
• 设备信息：在您账户活跃期间保留，并随账户注销一同删除，最长 30 天清理窗口。
• 交易与订单记录（如适用）：根据马来西亚税务、会计及消费者保护法律的要求，最长保留 7 年，即使账户已注销。
• 服务器日志与安全记录：用于防欺诈、排错与安全调查，最长保留 90 天，到期后自动清除。
• 加密备份：已删除数据的残留副本可能在加密备份中保留最多 90 天，之后会被覆盖。
• 营销与沟通偏好：保留至您退订或注销账户为止，并保留必要的退订名单以确保停止发送。

当某类数据的保留期限届满后，我们会将其删除或进行不可逆的匿名化处理，使其无法再与您关联。您可随时通过本政策“联系我们”一节中的邮箱申请删除账户及相关个人信息；在完成身份核实后，我们将在 30 天内处理删除请求，但上述法律强制保留情形除外。

根据 PDPA 及您所在地区的法律，您享有以下权利：

• 查询——索取我们持有的您的个人信息的副本
• 更正——要求我们更正不准确或不完整的信息
• 删除——要求删除您的账户及相关个人数据（须遵守第 7 节中的法律保留例外）
• 数据可携——以结构化、机器可读格式获取您的个人数据导出
• 撤回授权——对任何基于您授权进行的处理活动（包括 Jio Connect 的生物特征数据）
• 随时选择不接收营销通讯
• 向马来西亚个人资料保护专员提出投诉

如需行使任何上述权利，请在 App 内打开「设置 → 隐私与数据」提交请求，或通过下方「联系我们」一节中的邮箱与我们联系。我们将在 7 个工作日内确认您的请求，并在 PDPA 要求的期限内完成处理。

本 App 不面向 18 岁以下的儿童。根据马来西亚《2001 年儿童法》（Child Act 2001），“儿童”是指未满十八岁的人。我们不会在知情情况下收集 18 岁以下儿童的个人信息。如您相信我们收集了此类信息，请立即联系隐私团队，我们将予以删除。

我们可能会不时更新本隐私政策。如有任何变更，我们将在本页发布新版本并更新“最后更新”日期。

在本政策下负责处理您个人数据的数据控制者为：

• 运营公司：VEGEBUDDY TECHNOLOGIES
• SSM 商业注册号：202603121374 (NS0322648-A)
• 注册地址：712, Jalan Damai 9/1, Taman Damai, 09400 Padang Serai, Kedah, Malaysia
• 邮箱：vegelahmy@gmail.com

您可通过以上联系方式行使 PDPA 项下的权利，或就我们处理您个人数据的方式提出疑问。您亦可向马来西亚个人资料保护专员（Personal Data Protection Commissioner）提起投诉。

隐私相关问题、数据查询/删除请求，以及生物特征数据请求，均由我们的隐私团队受理。我们未指定专门的数据保护官（Data Protection Officer），隐私团队履行同等的受理与分诊职责。

隐私团队邮箱：vegelahmy@gmail.com

其他客服问题，请使用 App 内「帮助与支持」菜单。