隐私政策

本页面亦提供英文版本：English。

最近更新日期：2026 年 6 月 2 日

Brunchie 帮助人们协调线下活动——嘉宾名单、出席回复（RSVP）、投票、行程安排、费用分摊、座位安排、照片分享和群组消息等。本隐私政策说明我们收集哪些个人信息、如何使用、与谁共享，以及您拥有的选择和权利。本政策适用于我们的网站、iOS 和 Android 应用以及相关服务（统称为“服务”）。Brunchie 由 Brunchie 团队运营，该团队是一家位于加拿大的公司。

使用本服务即表示您同意本隐私政策。如您不同意，请不要使用本服务。本政策与我们的服务条款和 SMS 条款与同意同时适用。

我们收集的信息

我们收集以下类别的信息：

• 账户信息。 当您创建账户时，我们会收集您的电子邮箱地址（必填）、姓名、用户名、国家/地区、货币和时区。您可以选择性地添加并验证电话号码。
• 认证信息。 Brunchie 采用免密码机制——我们不存储密码。我们通过一次性邮箱验证码为您登录，并可选通过 SMS 或语音发送的一次性手机验证码（OTP）、通行密钥（passkeys）或您选择的身份提供者的单点登录（SSO）为您登录。我们会处理为发送和验证这些验证码和凭证所必需的信息。
• 设备和安全信息。 每次您登录时，我们会为账户安全目的收集有限的设备和网络概要。详见下文的专门章节设备与安全。
• 您创建的内容（用户内容）。 当您使用服务时，我们会存储您创建或上传的内容——活动、费用、投票、行程安排、座位安排以及您添加的照片、视频、留言簿消息和评论。根据设计，您为某个活动贡献的内容对该活动的其他来宾和组织者可见。照片和视频仅在您选择添加时才会上传。
• 推送及设备标识符（移动应用）。 为发送推送通知，Brunchie iOS 和 Android 应用会收集推送注册令牌（iOS 上的 Apple Push Notification service，Android 上的 Firebase Cloud Messaging）以及随机生成的设备标识符。详见下文移动应用章节。
• 来宾参与信息。 来宾可以通过共享链接，在无需创建账户的情况下提交出席回复（RSVP）、参与投票并查看活动详情。当来宾以此方式参与时，我们会处理其提交的信息（例如 RSVP 回复或投票结果）以运行该活动。
• Cookie 与分析。 我们使用 Cookie 和产品分析工具（PostHog）来了解服务的使用情况并加以改进。我们会将分析用 IP 地址和设备标识符加入拒绝列表，从分析数据链路中剔除，因此这些数据不会被用于在互联网上跟踪您。产品分析在网页体验中运行（包括应用内的 Web 视图）；应用本身不会额外嵌入任何原生广告或分析 SDK。详见下文Cookie 与分析。
• 诊断信息。 运营和排查服务所需的基本技术数据，例如错误日志和连接日志。
• 通信信息。 如果您就支持事宜联系我们，我们会保留您发送的消息，以便为您提供帮助。

设备与安全

当您登录时，我们会收集一个有限的设备和网络概要，仅用于保护您的账户安全。包括：

• 设备类型
• 操作系统及版本
• 浏览器及版本
• 应用平台（网页、iOS 或 Android）
• IP 地址
• 大致国家/地区，由我们的内容分发服务提供商（Cloudflare）根据您的 IP 地址推断

目的：仅用于账户安全。 我们使用上述信息检测未经授权的访问，并基于风险做出是否对特定登录尝试发出挑战的决定（例如在发送验证码 之前 要求您完成额外验证步骤）。我们会为每个账户追踪大约最多十台最近使用的设备，以便识别您曾使用过的设备。

自动化处理。 这一基于风险的升级验证步骤由自动化流程完成：软件会评估上述设备和网络信号，以判断一次登录尝试看起来是否常规，或是否需要额外挑战。该过程不会对您产生法律或类似重大影响——其结果最多可能是要求您完成额外验证步骤。如果您对该处理有疑问，可通过 privacy@brunchie.app 联系我们。

法律依据。 在适用 GDPR 或类似法律的情形下，我们依据保护账户安全和防止未授权访问的正当利益处理这些信息。

保留期限。 我们在您的安全登录记录中保留原始 IP 地址的时间最长为 90 天，之后将不可逆地删除。我们会永久保留该 IP 地址的一份单向加盐哈希值（HMAC-SHA256），以便在无需存储原始 IP 地址的情况下识别回访设备。原始 IP 地址无法从该哈希中恢复。

严格用于安全。 这些设备与安全遥测数据仅用于认证和账户安全风险目的。我们绝不会将其用于产品分析或广告，也绝不会出售此类数据。

移动应用（iOS 和 Android）

Brunchie iOS 和 Android 应用是 Brunchie 服务的移动客户端。除上述信息外，应用还涉及以下内容：

推送和设备标识符。 为向您发送推送通知（例如新的 RSVP 或活动更新），应用会收集推送注册令牌——iOS 上来自 Apple Push Notification service (APNs)，Android 上来自 Firebase Cloud Messaging (FCM)——以及一个随机生成的设备标识符。这些信息会发送至我们的服务器以及 Apple 或 Google，以便通知能够路由至您的设备，并与您的账户关联。推送通知遵循您的通知偏好设置；您可以在应用内或设备设置中将其关闭。卸载应用会删除本地设备标识符，但本身不会删除您在服务器端的账户（参见您的权利）。

设备权限。 应用会在使用相关功能时按情境请求下列权限——您可在任何时间在设备设置中拒绝或撤回：

• 摄像头和麦克风——用于应用内照相亭（照片和视频）、留言簿和扫描签到二维码。采集在您的设备上完成；只有当您选择将媒体添加到活动时才会上传。
• 照片库——用于让您选择现有照片或视频添加到活动。
• 位置——在您设置活动地点或应用为您建议时区时使用。我们不会在后台跟踪您的位置。
• 通知——用于向您展示您已启用的活动更新。

我们遵循数据最小化原则，只会为您所使用的功能请求必要的权限。

我们如何使用您的信息

我们使用所收集的信息以：

• 提供、运营和维护服务，包括您的活动以及来宾的参与。
• 为您登录并保持账户安全（免密码认证以及上述设备/安全检查）。
• 发送事务性和活动类通信——验证码、RSVP 确认、您选择接收的活动更新，以及服务通知。
• 通过我们的支付处理方（Stripe）处理主办方付费功能的支付。
• 提供客户支持并回应您的请求。
• 通过注重隐私的产品分析来了解并改进服务的使用情况。
• 履行法律义务并执行我们的服务条款。

处理的法律依据（GDPR）

在适用欧盟/英国《通用数据保护条例》（GDPR）的情形下，我们基于以下法律依据处理您的个人信息：

• 合同——为向您提供您注册使用的服务，包括您的账户、活动以及来宾参与。
• 正当利益——为保持账户安全（上述设备/安全处理）、防止滥用并改进服务，同时兼顾您的权利。
• 同意——适用于可选功能，如添加电话号码和选择接收活动更新 SMS。您可随时撤回同意。
• 法律义务——为遵守适用法律并回应合法请求。

次级处理者

我们会与下列第三方服务提供者（“次级处理者”）共享个人信息，每一方均代表我们行事，且仅在执行所述职责所必需的范围内：

• Twilio——发送 SMS 和语音验证码及活动更新短信，并验证电话号码。仅用于美国和加拿大的收件人。
• Meta Platforms / WhatsApp Business——未来可能用于发送 WhatsApp 活动更新（计划中；尚未启用）。
• Cloudflare——为我们的网站提供内容分发，并提供用于登录风险评估的大致国家/地区地理位置信号。
• Stripe——为主办方付费功能提供支付处理（目前范围有限）。
• Mailgun——发送事务性和活动类电子邮件。
• Google Cloud Platform——应用托管和基础设施服务。
• Apple (Apple Push Notification service)——向 iOS 设备发送推送通知。
• Google (Firebase Cloud Messaging)——向 Android 设备发送推送通知。
• PostHog——产品分析。

上述提供者仅被允许为我们执行服务而使用您的信息，并受制于保护该等信息的义务。

共享——我们不出售您的信息

我们不会出售您的个人信息，也不会为跨情境行为广告而共享您的个人信息。 我们仅在以下情形共享信息：

• 与上述次级处理者共享，以运营服务。
• 按服务的运作方式，与您活动的其他参与者共享——例如，RSVP、投票结果、共享照片或消息会对相关活动参与者可见。
• 在法律、法律程序或合法政府请求要求，或为保护我们的用户、公众或 Brunchie 的权利、安全和保障时。
• 在发生合并、收购或资产出售时，我们会在您的信息适用新的隐私政策之前提供通知。

跨境传输

Brunchie 在加拿大运营，并使用的基础设施和服务提供者可能在包括美国在内的其他国家处理信息。当我们跨境传输个人信息时，我们依赖适当的保障措施（在法律要求时包括标准合同条款），以确保该等信息依据本政策和适用法律获得保护。

数据保留

我们仅在实现本政策所述目的所必需的期限内保留个人信息：

• 账户和内容数据在您的账户处于激活状态期间予以保留。
• 您安全登录记录中的原始 IP 地址保留时间最长为90 天，之后将被不可逆地删除；如设备与安全中所述，我们会永久保留一份单向加盐哈希，用于识别回访设备。
• 在账户删除时，我们会删除或匿名化您的账户数据，这也会清除您的电话号码、同意记录、会话和消息投递日志。

在为遵守法律义务或解决争议所必需的范围内，我们可能保留有限信息。

您的权利

根据您的居住地，您在 GDPR、《加州消费者隐私法》（CCPA/CPRA）以及加拿大《个人信息保护和电子文档法》（PIPEDA）等法律下可能享有以下权利，包括：

• 访问我们持有的关于您的个人信息。
• 更正不准确或不完整的信息。
• 删除您的个人信息。
• 限制或反对某些处理活动。
• 数据可携权——以可携带格式接收您的信息。
• 在我们依赖同意（例如针对 SMS 或可选电话号码）作为处理依据时，撤回同意。

如欲行使上述任何权利，请通过 privacy@brunchie.app 联系我们。我们将在适用法律要求的时限内答复，并可能需要先验证您的身份。我们不会因为您行使隐私权而对您进行差别待遇。 如果您位于欧盟/英国，您还有权向当地数据保护机构提出投诉。

删除您的账户。 您可以直接在 Brunchie 中删除您的账户及其相关数据——在应用或网页端的账户设置中选择删除账户（delete account）——也可以发送电子邮件至 privacy@brunchie.app。删除操作会移除您的账户数据，并同时清除您的电话号码、同意记录、会话、消息投递日志以及已注册的设备标识符和推送令牌。请注意，仅从您的设备上卸载移动应用本身不会删除您在服务器端的账户。

Cookie 与分析

我们使用 Cookie 和类似技术来运营服务、记住您的偏好并分析使用情况。就产品分析而言，我们使用 PostHog。为保护您的隐私，用于分析的 IP 地址和设备标识符会被加入拒绝列表，从分析数据链路中剔除。您可以通过浏览器设置控制 Cookie；禁用部分 Cookie 可能会影响服务的正常运行。

SMS

如果您添加并验证了电话号码并选择接收 SMS，我们仅在以下两类情形向您发送短信：账户验证码和您选择接收的活动更新。我们不会发送营销或推广短信。SMS 仅面向美国和加拿大的收件人开放。关于完整细节——包括如何选择加入、如何停止（回复 STOP（停止）），以及如何获得帮助（回复 HELP（帮助））——请参阅我们的 SMS 条款与同意。

安全

我们采取适当的技术和组织措施保护您的个人信息，包括对您设备与我们服务器之间传输的数据进行传输中加密（HTTPS）、访问控制，以及设备与安全章节所述的账户安全措施。在移动设备上，推送注册令牌存储于操作系统的安全存储中。尽管任何传输或存储方式都无法做到绝对安全，我们会努力保护您的信息并限制对其的访问。

儿童隐私

本服务不面向 13 岁以下儿童，我们不会在明知的情况下收集 13 岁以下儿童的个人信息。如果您认为 13 岁以下儿童已向我们提供了个人信息，请联系 privacy@brunchie.app，我们将采取措施将其删除。

魁北克省居民与第 25 号法（Law 25）

如果您在魁北克省，当地隐私法（第 25 号法，Law 25）赋予您额外保护：

• 隐私负责人。 您可以通过 privacy@brunchie.app 联系 Brunchie 内负责保护个人信息的人员。
• 泄露通知。 如某一保密事件造成严重损害风险，我们承诺按照法律要求通知受影响个人及相关监管机构，并保留此类事件记录。
• 自动化决定。 如设备与安全所述，我们使用自动化流程评估登录风险。应您的请求，您有权获悉：(a) 用于作出该决定的个人信息；(b) 导致该决定的主要因素和理由；以及 (c) 您有权要求更正该信息并向我们团队成员提交意见，以供其对该决定进行复核。请通过 privacy@brunchie.app 联系我们的隐私负责人。
• 在魁北克省外处理。 部分个人信息会在魁北克省及加拿大以外地区处理（尤其是由上述次级处理者在美国处理）。在进行此类传输前，我们会评估该等信息是否根据适用法律获得足够保护。

本政策的变更

我们可能不时更新本隐私政策。当我们进行重大变更时，我们会更新上方的“最近更新日期”，并在适当情况下提供额外通知。您在更新后继续使用服务即表示您接受修订后的政策。

联系方式

如果您对本隐私政策或我们如何处理您的信息有任何疑问，请通过 privacy@brunchie.app 或通过我们的联系页面与我们联系。

语言

本文件以英文发布，并为方便您而翻译为其他语言。如英文版本与译本之间存在任何冲突或不一致之处，概以英文版本为准 —— 但适用法律要求以当地语言版本为准者除外。特别地，对于加拿大魁北克省（Québec）的居民，在魁北克法律所要求的范围内，适用法文版本。