合规与隐私
数据处理与合规要求说明
本文档提供通用的合规指导,具体要求请根据您所在地区的法律法规进行调整。
适用范围
产品与版本
- 产品名称: Captcha v4(行为验证服务)
- 适用版本: 所有 v4 版本
- 服务提供商: Geelab
部署形态
本合规说明适用于以下所有部署形态:
- ✅ Web(网页和 H5 应用)
- ✅ iOS(原生应用)
- ✅ Android(原生应用)
- ✅ 服务端(后端验证)
适用地区
- 全球: 支持全球部署
- 数据本地化: 支持全球、欧洲、北美三个区域数据存储
- 合规框架: 符合 GDPR、CCPA、PIPL 等主流隐私法规要求
数据处理概述
收集的数据类型
收集的设备信息:
- 设备类型(手机、平板、电脑)
- 操作系统版本
- 浏览器类型和版本
- 屏幕分辨率
- 时区设置
- 语言设置
这些信息用于适配验证界面和检测异常设备。
收集的行为特征:
- 鼠标移动轨迹
- 触摸操作模式
- 键盘输入节奏
- 验证交互时间
- 操作序列
行为特征数据经过加密处理,用于区分人类用户和自动化程序。
验证结果数据:
- 验证是否通过
- 验证类型(滑动、点选等)
- 验证时间戳
- 流水号(lot_number)
- 风险评分
验证结果数据用于统计分析和服务优化。
数据用途
| 用途 | 说明 | 数据类型 |
|---|---|---|
| 风险评估 | 判断请求是否来自真实用户 | 设备信息、行为特征 |
| 验证挑战 | 生成适合的验证类型 | 设备信息、历史记录 |
| 滥用检测 | 识别和阻止恶意行为 | 行为特征、验证结果 |
| 服务优化 | 改进验证体验和准确性 | 验证结果、统计数据 |
个人敏感信息
不包含个人敏感信息 - Captcha v4 不收集以下信息:
- ❌ 姓名、身份证号等身份信息
- ❌ 手机号、邮箱等联系方式
- ❌ 地理位置(GPS 坐标)
- ❌ 生物特征(指纹、人脸)
- ❌ 财务信息
- ❌ 健康信息
收集的 IP 地址仅用于风险评估,不用于追踪用户身份。
数据存储与传输
数据存储位置
Geelab 支持多区域数据存储,您可以在创建验证 ID 时选择数据存储区域。
| 区域 | 域名 |
|---|---|
| 🌏 全球 | cap-global.geelabapi.com |
| 🇪🇺 欧洲 | cap-eu.geelabapi.com |
| 🇺🇸 北美 | cap-na.geelabapi.com |
重要: 请务必在客户端和服务端使用与您注册 ID 时选择的地域相对应的域名。
数据保留期限
| 数据类型 | 保留期限 | 说明 |
|---|---|---|
| 验证事件数据 | 90 天 | 用于问题排查和统计分析 |
| 行为特征数据 | 30 天 | 用于风险模型训练 |
| 统计汇总数据 | 2 年 | 用于服务优化和趋势分析 |
超过保留期限的数据将自动删除,无法恢复。
传输加密
- ✅ HTTPS/TLS 1.2+ - 所有数据传输使用 HTTPS 加密
- ✅ 端到端加密 - 敏感数据在客户端加密后传输
- ✅ 证书验证 - 严格验证服务器证书
访问控制
- ✅ 最小权限原则 - 仅授权人员可访问数据
- ✅ 审计日志 - 记录所有数据访问操作
- ✅ 多因素认证 - 管理后台需要 MFA 验证
数据删除与导出
数据删除:
- 您可以通过控制台删除特定验证 ID 的所有数据
- 删除操作不可逆,请谨慎操作
数据导出:
- 支持导出验证统计数据(CSV 格式)
- 不支持导出原始行为特征数据(已加密)
合规要求清单
适用法规
通用数据保护条例(GDPR)
Captcha v4 符合 GDPR 要求:
- ✅ 合法性基础 - 基于合法利益(防止滥用)
- ✅ 数据最小化 - 仅收集必要数据
- ✅ 透明度 - 提供清晰的隐私说明
- ✅ 用户权利 - 支持数据访问和删除请求
- ✅ 数据保护 - 实施技术和组织措施
加州消费者隐私法案(CCPA)
Captcha v4 符合 CCPA 要求:
- ✅ 知情权 - 用户有权知道收集的数据
- ✅ 删除权 - 用户可请求删除数据
- ✅ 选择退出 - 支持禁用某些数据收集
- ✅ 不歧视 - 不因用户行使权利而歧视
CCPA 适用于加州居民,但建议全球用户都享有相同权利。
个人信息保护法(PIPL)
Captcha v4 符合 PIPL 要求:
- ✅ 告知同意 - 明确告知数据收集目的
- ✅ 目的限制 - 仅用于验证和安全目的
- ✅ 数据安全 - 采取必要的安全措施
- ✅ 境内存储 - 支持中国境内数据存储
集成方需完成的动作
重要: 以下动作是您作为数据控制者的责任,必须完成。
-
隐私政策披露
在您的隐私政策中说明使用了验证服务,示例文案:
我们使用 Geelab 验证服务来防止自动化滥用和保护账户安全。该服务会收集设备信息和行为特征用于风险评估。详情请参阅 Geelab 隐私政策。
-
用户授权
如果适用法规要求,在首次使用验证服务前获取用户同意。
-
数据处理协议
与 Geelab 签订数据处理协议(DPA),明确双方责任。
-
安全评估
完成内部安全评估,确保符合您的安全标准。
审计与日志保留
- 审计日志: 保留 1 年
- 访问日志: 保留 90 天
- 安全事件日志: 保留 2 年
您可以通过控制台查看验证日志和统计数据。
最佳实践
前端披露文案建议
在验证界面附近添加隐私说明:
<!-- 简短版本 -->
<p class="privacy-notice">
本站使用验证服务保护账户安全。
<a href="/privacy">隐私政策</a>
</p>
<!-- 详细版本 -->
<p class="privacy-notice">
为了保护您的账户安全,我们使用 Geelab 验证服务。
该服务会收集设备信息和行为特征用于风险评估。
<a href="/privacy">了解更多</a>
</p>权限与开关的配置建议
推荐配置:
- 默认启用验证 - 保护所有用户
- 提供退出选项 - 允许用户禁用(如果法规要求)
- 记录用户选择 - 保存用户的隐私偏好
示例代码:
// 检查用户是否同意使用验证服务
if (userConsent.captchaEnabled) {
initGeetest4({
captchaId: 'YOUR_CAPTCHA_ID'
}, callback);
} else {
// 使用备用验证方式
showAlternativeVerification();
}线下合规评审材料准备
准备以下材料用于内部合规评审:
- ✅ 本合规说明文档
- ✅ Geelab 隐私政策
- ✅ 数据处理协议(DPA)
- ✅ 安全认证证书(ISO 27001 等)
- ✅ 数据流图
- ✅ 风险评估报告
如需获取这些材料,请联系 Geelab 技术支持。
常见问题
是否可以禁用某些数据采集?
不建议禁用数据采集,这会严重影响验证准确性。
如果必须禁用,可以:
- 使用无感模式(仅行为分析,不显示验证界面)
- 调整验证策略(降低验证频率)
- 使用备用验证方式
如何响应用户的数据请求?
数据访问请求:
- 用户通过您的系统提交请求
- 您联系 Geelab 技术支持
- Geelab 提供该用户的验证数据(如果有)
- 您将数据提供给用户
数据删除请求:
- 用户通过您的系统提交请求
- 您联系 Geelab 技术支持
- Geelab 删除该用户的验证数据
- 您确认删除完成
响应时间:通常在 30 天内完成。
数据保留期限是否可配置?
可以根据您的合规要求调整数据保留期限。
- 缩短保留期限: 联系技术支持配置
- 延长保留期限: 需要额外的合规审查
- 立即删除: 可以手动删除特定数据
是否支持数据本地化存储?
支持多区域数据存储,满足数据本地化要求。
可选区域:
- 全球
- 欧洲
- 北美
如何确保数据安全?
Geelab 采取以下安全措施:
- ✅ 传输加密 - HTTPS/TLS 1.2+
- ✅ 存储加密 - 静态数据加密
- ✅ 访问控制 - 基于角色的权限管理
- ✅ 安全审计 - 定期安全评估
- ✅ 漏洞管理 - 及时修复安全漏洞
- ✅ 备份恢复 - 定期数据备份
Geelab 已通过 ISO 27001 信息安全管理体系认证。
下一步
获取合规材料
如需获取详细的合规说明材料,请联系技术支持:
- 📧 邮箱:[email protected]
- 💬 在线客服:Geelab 控制台
- 📞 电话:请通过控制台查看
相关资源
如有任何合规相关问题,欢迎随时联系我们的合规团队。