隐私政策

1. 概述

Lumart AI（以下简称"我们"）运营 lumart.ai 网站及相关服务。本隐私政策说明我们在您使用平台时收集、使用、披露并保护您信息的方式。

2. 我们收集的信息

• 账户信息： 您通过 Google OAuth 或邮箱魔法链接注册时提供的邮箱、显示名与头像。
• 支付信息： 由 Stripe 安全处理的账单信息。我们不会在自己的服务器存储完整卡号。
• 使用数据： 生成历史、提示词、API 使用日志、Stars 余额与交易记录。
• 技术数据： 自动采集的 IP 地址、浏览器类型、设备信息和访问时间戳。

3. 我们如何使用您的信息

• 提供、维护并改进 AI 生成服务。
• 处理支付并管理您的 Stars 余额。
• 发送交易类通知（订单确认、余额提醒等）。
• 执行服务条款并防止滥用。
• 履行法律义务。

4. 第三方服务

我们将有限数据共享给下列第三方提供商以提供服务：

• Stripe —— 支付处理与账单。
• AI 模型提供商 （如 OpenAI、DeepSeek、Google、字节跳动）—— 您的提示词与输入会发送给这些提供商用于生成内容。我们不会与其共享您的账户或账单信息。
• 云存储 —— 生成的文件托管于 Cloudflare R2 或等价的 S3 兼容对象存储。

5. 数据保留

我们在您账户处于活动状态期间保留您的账户信息与生成历史。计费记录会根据适用税务和会计法规要求保留。您可以随时请求删除自己的数据（参见第 6 节）。

6. 您的权利

根据您所在地区的法律，您可能享有以下权利：

• 访问 —— 查看我们持有的您的个人数据。
• 更正 —— 纠正不准确或不完整的信息。
• 删除 —— 删除您的账户及关联数据。
• 导出 —— 以可携带格式导出您的数据。

如需行使上述任一权利，请通过 support@lumart.ai 与我们联系。

7. 安全

我们采用行业标准安全措施，包括静态数据 AES-256 加密、传输中 TLS 1.2+、带服务端 pepper 的 HMAC 哈希 API Key、基于角色的访问控制以及定期安全审计。然而，没有任何电子传输或存储方式能保证 100% 安全。

8. 国际用户与跨境数据传输

Lumart AI 面向全球用户运营。主服务器位于美国；生成的资产存储于全球分布的 S3 兼容对象存储。使用本服务即表示您同意将您的信息传输至美国及任何上游模型提供商（OpenAI、Anthropic、Google、字节跳动等）所运营的国家进行处理。

• 欧盟 / 英国（GDPR）： 您享有访问、更正、删除、限制、可携带及反对处理个人数据的权利。合法依据包括合同履行、合法利益和同意。您可向当地监管机构投诉。
• 美国加州（CCPA / CPRA）： 您有权了解我们收集的个人信息、要求删除并选择不将个人信息"出售"或"共享"。我们不会以传统意义上的方式出售个人信息。
• 中国（PIPL）： 对中国大陆用户的个人信息处理基于合同必要性，跨境传输仅在提供服务必需时发生（例如将请求路由至上游模型提供商）。
• 儿童： 本服务面向 18 周岁以上用户，我们不会主动收集未成年人的数据。

如需行使上述权利，请使用账户邮箱发送邮件至 support@lumart.ai，我们将在 30 天内回复。

9. Cookie 与本地存储

我们仅使用必要的 Cookie 用于身份验证（会话令牌）、CSRF 保护与语言偏好。不使用第三方广告或跨站追踪 Cookie。若启用分析，则均为匿名汇总。

10. 政策变更

我们可能不定期更新本隐私政策。任何重大变更将通过更新本页面并修改"最后更新"日期来通知您。

11. 联系方式

如对本隐私政策有任何疑问，请联系我们 support@lumart.ai.