隐私政策

最后更新:January 18, 2026

1. 引言

Mailhook(以下简称「我们」)提供面向开发者和 AI 智能体的可编程邮件 API 服务。本隐私政策说明当您使用我们的服务网站 mailhook.co 和 API 时,我们如何收集、使用、披露和保护您的信息。

我们致力于保护您的隐私并以透明的方式处理您的数据。请仔细阅读本政策,以了解我们处理您个人数据的做法。

2. 数据控制者与处理者角色

根据 GDPR 等隐私法律,不同角色承担不同的责任:

  • 数据控制者: 对于我们收集的客户(账户持有人)信息,包括账户详情、账单信息和使用数据,Mailhook 作为数据控制者。
  • 数据处理者: 对于代表客户通过我们平台处理的邮件内容,Mailhook 作为数据处理者。我们的客户决定该邮件数据的处理目的和方式。

如果您是通过我们某位客户处理邮件的最终用户,请直接联系该客户以行使您的数据权利。

3. 我们收集的信息

3.1 账户信息

当您注册 Mailhook 时,我们收集:

  • 姓名和电子邮箱地址
  • 公司名称(如适用)
  • 密码(以安全哈希形式存储)
  • API 密钥(以安全哈希形式存储)
  • 自定义域名配置

3.2 支付信息

支付处理由 Stripe 负责。我们不存储您的完整信用卡号。Stripe 可能收集:

  • 信用卡/借记卡详情
  • 账单地址
  • 交易记录

请查阅 Stripe 隐私政策以了解其数据处理详情。

3.3 邮件内容数据

当您使用我们的服务收发邮件时,我们处理:

  • 发件人和收件人邮箱地址
  • 邮件主题
  • 邮件正文内容(纯文本和 HTML)
  • 邮件头和元数据
  • 附件
  • 时间戳

3.4 使用数据

我们自动收集:

  • API 请求日志(访问的端点、响应状态码)
  • 请求量和速率限制数据
  • IP 地址
  • 浏览器类型和设备信息
  • 营销网站的页面访问记录

3.5 Webhook 配置

如果您配置了 webhook,我们存储:

  • Webhook 网址
  • Webhook 密钥(以安全哈希形式存储)
  • 投递尝试日志

4. 处理的法律依据(GDPR)

我们基于以下法律依据处理您的个人数据:

  • 合同履行: 为向您提供服务(账户管理、邮件处理、API 访问)而必需的处理。
  • 正当利益: 用于欺诈预防、安全监控、服务改进和分析的处理,且我们的利益不会凌驾于您的权利之上。
  • 法律义务: 为遵守适用法律、法规或法律程序而必需的处理。
  • 同意: 当您对特定处理活动(如营销通讯)给予明确同意时。

5. 我们如何使用您的信息

我们使用收集的信息用于:

  • 提供、运营和维护我们的服务
  • 通过 API 处理和传递邮件
  • 处理付款和管理账单
  • 发送事务性通知(密码重置、服务提醒)
  • 回复支持请求和咨询
  • 监控和分析使用模式以改进服务
  • 检测、预防和解决欺诈及安全问题
  • 执行我们的服务条款
  • 履行法律义务

6. 数据共享与披露

6.1 服务提供商(子处理者)

我们与协助运营服务的第三方服务提供商共享数据。我们当前子处理者的完整列表可在子处理者页面查看。

所有子处理者均受数据处理协议约束,要求其按照本政策和适用法律保护您的数据。我们会提前通知子处理者变更。

6.2 法律要求

如法律要求,我们可能披露您的信息,例如:

  • 遵守法律程序或政府要求
  • 保护我们的权利、隐私、安全或财产
  • 执行我们的服务条款
  • 与合并、收购或资产出售相关的情况

6.3 不出售个人数据

我们不会向第三方出售您的个人数据。我们不会为跨上下文行为广告目的共享您的个人数据。

7. 数据保留

我们对不同类别的数据保留不同的期限:

7.1 邮件内容

邮件内容根据您的订阅套餐保留:

  • 免费版: 1 小时
  • 专业版: 7 天
  • 商业版: 30 天
  • 企业版: 最长 90 天(可配置)

保留期结束后,邮件内容将从我们的系统中永久删除。

7.2 账户数据

账户信息在账户存续期间保留,此外还包括:

  • 财务记录保留 7 年(法律要求)
  • 账户删除后备份保留 30 天

7.3 使用日志

API 日志和使用数据出于运营目的保留 90 天,之后进行汇总或删除。

8. 国际数据传输

您的数据可能被传输到您居住国以外的国家进行处理,包括美国。我们确保采取适当的保障措施:

  • 欧盟-美国数据隐私框架: 用于向经认证的美国组织传输数据
  • 标准合同条款(SCC): 用于向其他第三国传输数据
  • 充分性认定: 用于向获得欧盟充分性认定的国家传输数据

对于欧盟/欧洲经济区居民,我们确保任何个人数据传输都符合 GDPR 要求的适当保障措施。

9. 数据安全

我们采用行业标准的安全措施保护您的数据:

  • 静态加密: 存储数据采用 AES-256 加密
  • 传输加密: 所有数据传输采用 TLS 1.3
  • 访问控制: 基于角色的访问控制,遵循最小权限原则
  • API 密钥安全: 密钥以 BCrypt 哈希存储,绝不明文存储
  • 基础设施: 托管于经过安全审计的数据中心
  • 监控: 持续的安全监控和日志记录
  • 备份: 定期加密备份并安全销毁

没有任何传输或存储方法是 100% 安全的。如果您发现任何安全事件,请立即通过 [email protected] 联系我们。

10. 您的权利

10.1 GDPR 项下的权利(欧洲经济区/英国居民)

如果您位于欧洲经济区或英国,您有权:

  • 访问权: 请求获取您个人数据的副本
  • 更正权: 请求更正不准确的数据
  • 删除权: 请求删除您的数据(「被遗忘权」)
  • 限制权: 请求限制数据处理
  • 可携权: 以可移植格式接收您的数据
  • 反对权: 反对基于正当利益的数据处理
  • 撤回同意: 在基于同意进行处理的情况下,可随时撤回同意
  • 投诉权: 向当地监管机构提出投诉

我们将在 30 天内回复您的请求。

10.2 CCPA 项下的权利(加州居民)

如果您是加州居民,您有权:

  • 知情权: 请求披露我们收集的个人信息的类别和具体内容
  • 删除权: 请求删除您的个人信息
  • 更正权: 请求更正不准确的个人信息
  • 选择退出权: 选择退出个人信息的出售或共享(注:我们不出售个人信息)
  • 不受歧视权: 行使权利时不会受到歧视

我们将在 45 天内回复可验证的请求。

10.3 行使您的权利

如需行使上述任何权利,请通过以下方式联系我们:

我们可能需要验证您的身份后才能处理您的请求。

11. Cookie 和追踪技术

我们在营销网站上使用 cookie 和类似技术:

  • 必要 Cookie: 网站功能和安全所必需
  • 分析 Cookie: 帮助我们了解访客如何使用网站(PostHog)

您可以通过浏览器设置控制 cookie。禁用 cookie 可能影响网站功能。

我们的 API 不使用 cookie。

12. 自动化决策

我们将自动化系统用于:

  • 速率限制: 根据您的套餐自动执行 API 使用限制
  • 垃圾邮件检测: 自动过滤以防止服务滥用
  • 欺诈预防: 自动监控可疑活动

这些自动化流程不会做出产生法律效力或对您产生类似重大影响的决定。如果您认为自动化决策对您产生了不利影响,请联系我们进行人工审核。

13. 儿童隐私

我们的服务不面向 16 岁以下的个人。我们不会故意收集儿童的个人数据。如果您发现儿童向我们提供了个人数据,请联系我们,我们将采取措施删除该信息。

14. 第三方链接

我们的服务可能包含指向第三方网站或服务的链接。我们不对这些第三方的隐私做法负责。我们建议您查阅其隐私政策。

15. 数据泄露通知

如果发生可能对您的权利和自由造成风险的个人数据泄露:

  • 我们将在 72 小时内通知相关监管机构(GDPR 要求)
  • 如果泄露可能导致高风险,我们将尽快通知受影响的个人
  • 无论风险级别如何,我们都会记录所有泄露事件

16. 本政策的变更

我们可能会不时更新本隐私政策。我们将通过以下方式通知您任何重大变更:

  • 在此页面发布新政策
  • 更新「最后更新」日期
  • 对于重大变更,向账户持有人发送电子邮件通知

我们建议您定期查阅本政策。

17. 数据处理协议

对于需要数据处理协议(DPA)以符合 GDPR 的客户,请通过 [email protected] 联系我们。我们的 DPA 涵盖:

  • 处理的主题和期限
  • 处理的性质和目的
  • 处理的个人数据类型
  • 数据主体类别
  • 控制者的义务和权利
  • 子处理者授权
  • 安全措施
  • 审计权

18. 联系我们

如果您对本隐私政策或我们的数据处理实践有任何疑问,请联系我们:

公司信息

Mailhook 是以下公司运营的服务:

Prism Gateway Services LLC
30 N Gould St, STE R
Sheridan, WY 82801
美国