MOAT-21 · 季度复核
数据信任白皮书
这份文档给企业采购 / 信息安全审查员看。 不是法律模板 —— 我们把实际架构、每家子处理商拿到什么数据、 每类数据保留几天、用户能申请什么权利全部写清楚。 合规审批走到这里就一页过。
版本v1.0最后复核2026-04-20子处理商10已签 SCC7 / 7境内处理3
一 · 数据流图
用户浏览器
│
│ ① 账号登录 / 提交 URL + 产品图
▼
Vercel (US · 前端托管)
│
│ ② 路由到 /api/*
▼
Supabase (US · 账号 / 订单 / 产品图)
│
├─ ③a 写入作业到 Upstash (SG)
│ │
│ ▼
│ Railway (US · worker 拉取作业)
│ │
│ ├─ ④ 脚本生成 → DeepSeek (CN)
│ ├─ ⑤ 参考视频分析 → Gemini (US)
│ ├─ ⑥ 图生视频 → fal.ai (US) 或 阿里 wanx (CN)
│ ▼
│ 写回 Supabase 成片
│
└─ ③b 支付走虎皮椒 (CN) → 回调更新订单
通知:
成片完成 → Resend (US) → 用户邮箱
两条关键线路:
“数据不出境”路径:DeepSeek + wanx + 虎皮椒 —— 仅经境内处理商。 适合对跨境传输敏感的客户(党政 / 国企 / 金融)。
标准跨境路径:Gemini + fal.ai + Vercel + Supabase + Railway —— 已签 PIPL 标准合同,备案递交中。
“数据不出境”路径:DeepSeek + wanx + 虎皮椒 —— 仅经境内处理商。 适合对跨境传输敏感的客户(党政 / 国企 / 金融)。
标准跨境路径:Gemini + fal.ai + Vercel + Supabase + Railway —— 已签 PIPL 标准合同,备案递交中。
二 · 子处理商清单(Subprocessors)
每家子处理商 + 处理用途 + 拿到什么数据 + 是否已签 PIPL 标准合同。 想走“数据不出境”路径可豁免境外子处理商(/services/research 可单独约定)。
| 处理商 | 区域 | 用途 | 数据种类 | 合同 | 政策 |
|---|---|---|---|---|---|
| Vercel | 美国 | 网站托管 · 边缘缓存 · 静态资源 | 浏览器 UA / 请求路径 / 访问时间戳 | PIPL SCC | 链接 → |
| Supabase | 美国 | 用户账号 · 订单 · 产品图片存储 · RLS 数据库 | 邮箱 / 哈希密码 / 产品图 / 订单记录 | PIPL SCC | 链接 → |
| Upstash Redis | 新加坡(AWS) | 作业队列 · 幂等性 cache | 作业 ID / 用户 ID / 生成参数 | PIPL SCC | 链接 → |
| Railway | 美国 | 视频处理 worker 运行时 | 作业输入 URL / 生成中间文件 | PIPL SCC | 链接 → |
| Google Gemini | 美国 | 视频内容分析(竞品爆款结构提取) | 参考视频 URL / 脚本文本 | PIPL SCC | 链接 → |
| DeepSeek | 中国大陆 | 脚本生成 · hook 评分 · 中文 NLU | 产品名 / 脚本文本 | N/A 境内 | 链接 → |
| fal.ai | 美国 | 图像生成 · 视频生成模型调用 | 产品图(Base64) / 生成参数 | PIPL SCC | 链接 → |
| 阿里云 DashScope (wanx) | 中国大陆 | 通义万相视频生成(国内合规通道) | 产品图 / 生成参数 | N/A 境内 | 链接 → |
| Resend | 美国 | 交易邮件发送(支付成功 / 作业完成通知) | 邮箱 / 邮件内容 | PIPL SCC | 链接 → |
| 虎皮椒(XunhuPay) | 中国大陆 | 微信 / 支付宝收单 | 订单号 / 金额 / 支付凭证 | N/A 境内 | 链接 → |
三 · 分类保留期表
不说“合理期限”,写死天数。超期自动硬删(非软删)。备份按表内天数 滚动覆盖。企业客户可约定更短保留期(/services/research)。
| 数据类型 | 保留期 | 删除触发 | 备份覆盖 |
|---|---|---|---|
| 用户账号(邮箱 / 密码哈希) | 账号存续期间 | 用户主动申请注销 → 30 天内硬删 | 备份 90 天后覆盖 |
| 订单记录 | 5 年(财税法规) | 非用户可主动删除(合规保留) | 备份 1 年后覆盖 |
| 上传的产品图 | 90 天 | 自动过期,或用户主动删除 | 备份 30 天后覆盖 |
| 生成的视频成片 | 180 天 | 自动过期,或用户主动删除 | 备份 60 天后覆盖 |
| 作业日志(含生成参数) | 30 天 | 自动过期 | 不备份 |
| 访问日志(UA / IP / 时间) | 14 天 | 自动滚动覆盖 | 不备份 |
| telemetry events | 180 天 | 匿名数据自动过期 | 不备份 |
四 · 用户权利行使
PIPL 44-51 条规定的七项权利。行使方式 + SLA 透明公开。 企业账号可走 /services/research 的 Dedicated DPO 通道。
| 权利 | 说明 | 行使方式 | SLA |
|---|---|---|---|
| 知情权 | 了解 wenai Skills 收集哪些个人信息、如何使用 | 阅读本页 + /privacy | 即时 |
| 访问权 | 获取 wenai Skills 持有的你的个人信息副本 | 发邮件至 privacy@wenai.work 并附身份验证 | 15 日内提供 |
| 更正权 | 更正不准确的个人信息 | 账号设置页自助更正,或发邮件 | 自助即时 · 邮件 7 日 |
| 删除权 | 删除个人信息(注销账号) | 账号设置页注销按钮,或发邮件 | 30 日内硬删 |
| 限制处理权 | 暂停 wenai Skills 对你数据的特定处理 | 发邮件至 privacy@wenai.work | 15 日内响应 |
| 可携带权 | 导出结构化 JSON 格式的个人信息副本 | 发邮件请求 data export | 15 日内交付 |
| 拒绝自动化决策权 | 拒绝 wenai Skills 纯 AI 自动决策(目前不适用 —— wenai Skills 没有基于个人画像的自动化决策) | 不适用 | 不适用 |
五 · 安全控制
传输层
- ·所有 API 强制 HTTPS (TLS 1.2+)
- ·HSTS preload 已启用
- ·Supabase RLS + service_role 分权
静态存储
- ·Supabase AES-256 at-rest
- ·产品图 + 成片 signed URL 短期有效
- ·密码 Argon2id 哈希
访问控制
- ·管理台 MFA 强制
- ·服务端 API 走 service_role,不暴露给前端
- ·events 写入走 RLS insert policy
监控与响应
- ·错误堆栈脱敏(不吐用户邮箱 / token)
- ·单 org 成本闸防止恶意刷量
- ·数据事件 72 小时内上报 CAC
六 · PIPL 条款对照
| 条款 | 要求 | wenai Skills 落地 |
|---|---|---|
| 第 13 条 | 合法性基础 | 合同履行 / 用户同意双基础 |
| 第 17 条 | 告知义务 | 本页 + /privacy + 注册弹窗三层披露 |
| 第 38 条 | 跨境出境条件 | SCC 备案递交中(2026-Q2 完成) |
| 第 39 条 | 单独同意 | 注册页境外接收方勾选同意 |
| 第 44-51 条 | 用户权利 | 第四节行使流程 + DPO 联系方式 |
| 第 55 条 | PIA 影响评估 | 已完成首轮,季度更新 |
| 第 57 条 | 事件上报 | 72 小时内向 CAC + 受影响个人 |
上次 PIA 更新:2026-04-20。企业客户可申请完整 PIA 报告(含风险清单)。