跳至内容
返回Arvens

隐私政策

更新于 2026年5月3日

本文件为礼仪性翻译。仅以法语版本为法律准据。

本政策描述 ARVENS 在其安全的私洽分享服务中所实施的个人数据处理。本政策依据《欧盟通用数据保护条例》(EU) 2016/679(GDPR)及法国第 78-17 号《信息与自由法》起草。

数据控制者

ARVENS 是 QUASARIA(个体微型企业)的品牌。 数据控制者:Eliott Faivre,Entrepreneur Individuel,6 rue d'Armaillé, 75017 巴黎, 法国。 GDPR 联系:contact@arvens.app。

相关数据主体类别

ARVENS 实施的处理涉及两类不同的数据主体: · 经纪人:已注册的房地产专业人士,与 ARVENS 存在合同关系并持有经过认证的账户。 · 买家:由经纪人识别的第三方,接收共享链接并接受数字 NDA。买家不持有账户;不收集任何关于他们的直接识别数据(姓名、邮箱),仅记录与 NDA 接受相关的技术要素,作为法律证据。

采集的数据 — 经纪人

当经纪人创建账户时,我们采集以下信息: · 工作邮箱; · 全名; · 密码(经 bcrypt 哈希存储,绝不以明文保存); · 视情况,所属机构名称及 Stripe 客户标识。 法律依据:履行合同(GDPR 第 6.1.b 条)。 保存期限:合同关系存续期间,其后三 (3) 年用于商业开发或会计义务,除非提出反对意见。

采集的数据 — 买家

当买家在 NDA 关卡点击「我接受」时,以下信息被记录: · 公网 IP 地址; · 用户代理(浏览器与操作系统); · 由 IP 推断的大致位置(城市与国家); · 接受的精确时间戳。 法律依据:经纪人保留 NDA 接受之法律证据的合法利益(GDPR 第 6.1.f 条),并在点击前的关卡页面明确告知买家。 保存期限:自接受之日起五 (5) 年,符合适用之民事时效。

照片存储

经纪人上传的照片存储于 Cloudflare R2,该处理者按 GDPR 第 28 条之规定与本公司签订合同。照片绝不会公开;访问仅可通过有时限的签名 URL 进行,且必须在买家接受 NDA 之后。

画像与自动化决策

ARVENS 不进行 GDPR 第 22 条所定义之产生法律效力的自动化决策。任何数据均不用于营销画像、广告或评分。经纪人对 NDA 日志的查阅仅为事实性阅读,不涉及任何评估算法。

未成年人

ARVENS 是严格仅面向成年的、从事常规活动的房地产专业人士的服务。我们不会有意收集任何未成年人的数据。本服务无意面向 18 岁以下人士。一旦发现任何属于未成年人的账户,将被立即删除。

Cookie

本服务仅使用严格必要的 Cookie: · Supabase 会话 Cookie,用于维持经纪人的登录状态; · Cookie nda_accepted_[id],以 HMAC SHA-256 签名,用于记忆买家对 NDA 的接受(每个档案,有效期 30 天); · Cloudflare 出于安全与防攻击目的之技术性 Cookie。 本服务不放置任何广告、画像分析或第三方流量统计 Cookie。

处理者与接收者

您的数据仅与下列受合同约束的处理者共享: · Supabase Inc.(新加坡 / 欧盟)— 数据库与身份认证; · Cloudflare, Inc.(美国 / 欧盟)— 应用托管与文件存储; · Stripe Payments Europe Ltd(爱尔兰)— 信用卡支付处理; · 视情况,事务性邮件发送服务商。 任何数据均不会用于商业或广告目的转交第三方。

向欧盟以外的传输

部分处理者从美国(Cloudflare、Stripe)运营。此类传输依欧盟委员会第 2021/914 号决议通过的标准合同条款(SCC)实施,符合 GDPR 第 46 条之规定。

您的权利

依据 GDPR 第 15 至 22 条,您随时享有以下权利:访问权、更正权、删除权、限制处理权、可携权、反对权,以及撤回同意之权利。 您可通过书面方式行使上述权利,联系:contact@arvens.app。我们将在一个月内予以答复。 您亦有权向法国数据保护局(CNIL — cnil.fr)或您本国主管之监管机构提出投诉。

权利行使程序

为保障您数据之安全,任何行使权利之请求须附以下要素以便认证申请人身份: · 有效身份证件之复印件(核验完成后即予销毁); · 所主张之权利及所涉数据之具体说明。 回复期限:自收到完整请求之日起一 (1) 个月,复杂请求可延长两个月(GDPR 第 12 条)。如经合理拒绝,ARVENS 将告知可行之救济途径。除明显滥用或重复之请求外,不收取任何费用。

安全

ARVENS 实施以下技术与组织措施: · 端到端 TLS 1.3 加密; · 密码哈希(bcrypt); · 数据库 Row Level Security 隔离; · 敏感 Cookie 的 HMAC SHA-256 签名; · 访问的时间戳日志; · 请求来源校验(防 CSRF); · 敏感端点的速率限制; · HTTP 安全头(X-Frame-Options、HSTS、COOP 等)。

数据泄露通知

依据 GDPR 第 33 条与第 34 条,如发生可能危及数据主体权利与自由之个人数据泄露,ARVENS 承诺: · 在知悉后七十二 (72) 小时内通知 CNIL; · 在泄露可能对相关数据主体之权利与自由产生高风险时,立即告知; · 将一切泄露事件、其影响及补救措施记录于内部登记簿,以备 CNIL 查阅。

本政策的更新

为反映法律、技术或组织上的变化,本政策可能予以更新。本文件顶部记载最近更新日期。如有重大变更,我们将通过电子邮件通知已注册的经纪人。