隐私政策

1. 我们收集什么

1.1 注册信息：邮箱地址。如您使用 Google OAuth 登录，还包括 Google 账号的昵称与头像 URL。

1.2 审计信息：每次登录的时间戳、方式（邮箱 / Google）、IP 地址与地理位置（IP 反查，仅国家级）、User-Agent，用于异常行为检测。

1.3 使用行为：您在 Mercu 内查看的页面、订阅的标的、触发的提醒等，用于个性化推荐与产品改进。

1.4 我们不收集：手机号、身份证号、银行账户、钱包私钥或任何可用于直接操作您资产的信息。

2. 我们如何使用

• 账号注册、登录验证、密码/验证码重置
• 向您发送产品更新、交易所返佣/活动相关邮件（仅必要通信，不做营销推广）
• 监测违反《服务条款》的行为
• 满足适用法律法规和主管机关的合法要求

3. 我们如何存储

您的账号数据存储于 Supabase 提供的 PostgreSQL 数据库（AWS 东京区）。敏感字段（如密码哈希）由 Supabase Auth 按业界标准（bcrypt / argon2）加密存储。传输过程全程 TLS 加密。

4. 我们如何与第三方共享

我们不会出售您的个人信息。以下情形下我们可能会共享：

• 基础设施服务商（Supabase、Vercel、Zeabur、Cloudflare）：仅出于提供服务必须
• 邮件送达服务商：发送验证码、密码重置邮件
• 法律要求：响应合法的司法文书或监管要求

5. Cookie 与本地存储

我们使用 localStorage 存储您的登录会话（由 Supabase SDK 管理）。无第三方广告跟踪 Cookie。您可随时通过浏览器设置清除。

6. 您的权利

您对您的个人信息享有以下权利：

• 访问：随时在《个人中心》查看您的账号信息
• 更正：修改用户名、密码
• 删除：要求删除您的账号与关联数据（联系 [email protected]）
• 导出：要求导出您的个人信息副本
• 反对：反对我们对您个人信息的某些处理

我们承诺在 15 个工作日内响应您的合法请求。若您位于 GDPR 管辖区，可向当地数据保护机构投诉。

7. 数据保留

账号在保留期间持续存储。账号删除后，我们将在 30 天内从生产系统中物理删除，备份系统最长保留 90 天后彻底清除。

8. 未成年人

Mercu 不面向 18 岁以下用户。如您发现未成年人使用了我们的服务，请联系我们删除相关信息。

9. 政策变更

本政策可能随产品迭代调整。重大变更将在登录页或邮件通知后生效，您有 30 天时间阅读并决定是否继续使用。

10. 联系我们

对本政策有任何疑问，请联系 [email protected]，或查看《服务条款》。