隐私政策 - 梦次元幻方

§01

关于本政策

政策范围

本隐私政策适用于您通过以下途径与本公司产生交互时涉及的全部个人信息处理活动：访问梦次元幻方官方网站（含桌面端和移动端页面）；注册并使用梦次元幻方 ERP 系统的各项功能；通过授权流程将您的亚马逊卖家账户与梦次元幻方系统进行对接；以及通过电话、邮件、工单等渠道联系我们的客户服务团队。本政策不适用于任何第三方网站、应用程序或服务，即使该等网站或服务可能与本网站存在链接关系。

法律依据

本政策依据以下法律法规和行业规范制定：中华人民共和国《个人信息保护法》（PIPL）、《网络安全法》及《数据安全法》；欧盟《通用数据保护条例》（GDPR）；以及亚马逊开发者可接受使用政策（Acceptable Use Policy）和数据保护政策（Data Protection Policy）。我们承诺在所有数据处理活动中满足上述各项法规与政策的要求，并定期审查合规状态。

您的同意

您在注册梦次元幻方账户时，须勾选并确认已阅读且同意本政策，此为完成注册的前提条件。当您主动授权梦次元幻方系统获取您的亚马逊店铺数据时，系统将清楚展示拟获取的数据类别与具体用途，由您自主决定是否授予权限。对于非必需性质的信息收集（例如分析类 Cookie），我们将单独向您征求明示同意。您有权在任何时候撤回先前给予的同意，但撤回行为不影响撤回前已完成的合法处理活动的效力。

法律效力

本政策构成您与本公司之间就个人信息处理事项达成的具有法律约束力的协议。在您使用本公司服务期间以及在相关数据按照本政策约定完成删除或匿名化之前，本政策持续有效。

§02

我们是谁

公司概况

杭州梦次元幻方科技有限公司（Hangzhou Dreamension Cube Technology Co., Ltd.）是一家注册于中华人民共和国浙江省杭州市的企业，专注于为跨境电商从业者提供高效的企业资源管理工具。公司注册地址位于浙江省杭州市余杭区五常街道飞鸟客商务中心2幢522室。

产品与服务

梦次元幻方是一款专为亚马逊卖家设计的 ERP 管理系统，旨在帮助卖家高效管理日常运营中的核心业务环节。系统提供的功能模块包括：订单履约追踪与管理、库存水位查看与补货计划编制、销售数据及利润报表生成、广告投放数据汇总与分析，以及采购流程管理。作为亚马逊公开开发者（Amazon Public Developer），本公司已获得亚马逊官方授权，依据亚马逊开发者协议合法获取并处理经用户授权的业务数据，以向用户交付上述服务。

数据角色说明

就您注册时主动提供的账户信息和个人联系信息而言，本公司担任数据控制者的角色，独立决定该等信息的处理目的和方式。就您通过梦次元幻方系统管理的业务运营数据而言，您是数据控制者，本公司作为受您委托的数据处理者，仅按照您的指示和本政策约定的用途对该等数据进行处理，不会超出授权范围使用您的业务数据。

§03

我们收集的信息

我们严格遵循数据最小化原则，仅收集为向您提供服务所必需的信息，且不会将不同用户的数据进行交叉比较或整合分析。以下按类别列示我们可能收集的信息：

账户与身份信息

当您注册梦次元幻方账户时，我们将收集以下信息：

企业名称、经营类型以及统一社会信用代码（选填）。
注册人姓名、职务、电子邮箱地址及手机号码。
您设置的登录用户名与密码。密码以不可逆哈希方式存储，任何人（包括本公司技术人员）均无法获知您的原始密码。

业务运营数据

在您授权梦次元幻方系统对接您的亚马逊卖家账户后，系统将依据您授予的权限范围从亚马逊平台获取以下业务数据。我们仅申请实现相应系统功能所必需的最小权限：

销售订单信息：包括订单编号、商品 SKU/ASIN、售价、数量、订单状态及配送方式。
库存信息：包括各仓库存量、FBA 在库量、在途库存量及库龄分布。
财务信息：包括销售额、平台费用明细、广告花费、退款金额及利润核算结果。
广告投放数据：包括广告活动设置、关键词、竞价、曝光量、点击量及 ACoS 等指标。
供应链数据：包括供应商资料、采购订单记录、物流单号及承运商信息。

技术与设备信息

当您访问本网站或使用梦次元幻方系统时，我们的服务器将记录以下技术信息：

IP 地址（存储时进行去标识化处理，用于安全审计目的）。
操作系统及浏览器的类型与版本、设备类型及屏幕分辨率。
页面访问路径、各功能模块使用记录及会话时长。
系统错误日志和运行状态报告（不含个人信息）。

Cookie 与本地存储

我们通过 Cookie、Session 令牌及浏览器本地存储维持您的会话状态和偏好设置。有关 Cookie 的详细类型及管理方法，请参阅本政策第 §10 节。

客户服务记录

您通过电话、电子邮件、在线工单或即时通讯渠道与我们沟通时提供的问题描述、反馈意见、投诉内容及所附的任何文件。此类信息用于向您提供技术支持、解决问题及提升服务品质。

§04

信息的使用方式

我们对所收集的每一项信息的使用均具有明确的业务目的和合法的法律依据。我们绝不会将您的信息用于本政策未载明的任何用途，亦不会推广、发布或对外分享从亚马逊平台获取的任何业务见解或汇总统计数据。

服务交付

处理您的订单数据以生成销售报表和利润分析。
汇总并展示您的库存状态，辅助您制定补货计划。
整理广告投放数据，帮助您评估广告绩效。
管理采购流程，追踪物流配送进度。

账户管理

验证您的身份与登录凭证，维持会话安全状态，支持多因素认证机制，管理账户内的角色权限分配，以及处理账户注册、变更和注销请求。

安全保障

分析访问日志以检测异常登录行为和可疑活动，防范未经授权的系统访问和账户盗用，记录关键操作的审计日志（如数据导出、权限变更等），以及在发生安全事件时开展调查、遏制和修复工作。

产品改进

基于匿名化处理后的使用行为统计（不含任何个人身份信息），了解各功能模块的使用频率和用户体验状况，从而指导产品迭代和功能优化方向。此类分析不涉及对任何用户个人行为的识别或画像构建。

法律合规

依法保留必要的业务记录以满足税务、审计和会计法规要求。
在收到合法有效的政府机关调查令或司法机关裁定时，依法配合提供相应信息。
履行亚马逊开发者协议规定的数据处理义务，包括数据使用限制、安全维护标准及事件通报义务。

§05

信息的存储与保护

数据中心

您的数据主要存储于中华人民共和国境内的数据中心，该数据中心由具备 ISO 27001 信息安全管理体系认证和 SOC 2 Type II 审计报告的专业云服务商运营。数据中心设有全天候物理安防、多重门禁系统、生物识别准入控制及环境灾害防护设施。数据库运行于私有网络环境中，不直接暴露于公共互联网。

加密措施

静态加密：所有存储的业务数据和个人信息均采用 AES-256 加密算法加密。加密密钥由独立的密钥管理服务（KMS）集中管理，支持密钥的定期轮换、版本管理和安全销毁。
传输加密：您的浏览器或客户端与本系统服务器之间的全部通信均强制使用 TLS 1.2 或更高版本协议。与亚马逊 API 端点之间的数据交互同样全程通过加密信道完成。

访问控制与凭证管理

我们对数据访问实施严格的最小权限原则。每个系统账户——无论是用户账户还是内部运维账户——仅被授予其职能所必需的最低限度数据访问权限，且权限分配须经过审批并定期复审。内部管理人员访问生产系统时强制启用多因素认证。所有 API 密钥、OAuth 访问令牌及刷新令牌以加密形式存储于安全隔离的保管库中，严禁在源代码、配置文件或日志中以明文出现。敏感凭证按计划执行定期轮换，过期凭证即时失效并安全销毁。

网络安全防护

部署 Web 应用防火墙（WAF），防范 SQL 注入、XSS 跨站脚本、CSRF 等常见攻击，并实施请求频率限制以应对 DDoS 攻击。
生产环境、测试环境、管理网络和数据存储区域通过虚拟私有云（VPC）进行严格隔离，不同安全等级区域之间禁止未授权的网络访问。
定期进行安全漏洞扫描和渗透测试，发现的漏洞依据严重等级在规定时限内修复。

备份与灾难恢复

我们按照预定计划对数据库执行全量备份和增量备份。备份文件采用与源数据相同的 AES-256 加密标准，存储于地理隔离的冷存储区域。我们定期执行恢复演练以验证备份数据的完整性和恢复流程的有效性。

人员管理

所有能够接触用户数据的员工入职时须签署保密协议，明确约定数据保护义务和违约责任。我们定期组织涵盖数据保护法规要求、数据泄露预防与应对等主题的安全培训。员工离职时其全部系统访问权限即时撤销，并完成数据交接和清理确认流程。

安全事件响应

我们建立了安全事件应急响应机制。一旦发生数据泄露或未授权访问事件，应急团队将立即启动遏制、调查与修复程序。若事件涉及通过亚马逊授权获取的数据，我们将在确认事件后 24 小时内向亚马逊安全团队提交书面通报并持续更新处置进展。同时，我们将依据适用法律在规定时限内通知受影响的用户。

§06

信息的共享与披露

我们郑重承诺：不会出售、出租或以商业目的交易您的任何个人信息或业务数据。在任何情况下，我们均不会将通过亚马逊授权获取的个人身份识别信息（PII）提供给任何外部第三方。以下为可能发生数据共享的有限情形：

经您明确授权

在获得您以书面或电子方式表达的明确同意后，我们可能将您指定范围内的信息共享至您指定的接收方。共享前，我们会向您清楚说明共享的数据范围、接收方的身份以及接收方的使用目的。

服务提供方

云基础设施提供商：我们使用第三方云计算和存储服务部署与运行系统。该类提供商仅提供底层基础设施支持，无权访问存储于其上的加密业务数据。
物流查询服务：为提供包裹追踪功能，我们可能将不含个人身份信息的物流数据（运单号、承运商名称）发送至第三方物流追踪服务。此过程不涉及买家个人信息。
以上所有服务提供方均须与我们签署符合适用数据保护法律的数据处理协议（DPA），承诺不将数据用于自身目的，并达到不低于本政策要求的安全保护水平。

法律要求

当收到有管辖权的法院、检察院或行政机关依法出具的信息调取令、搜查令或其他强制性法律文书时，我们将在法律允许的范围内仅披露最低限度的必要信息，并在法律许可的前提下尽早通知您。

企业变更

若本公司发生合并、分立、收购或资产处置等重大交易，您的数据可能作为交易资产的一部分进行转移。在此情形下，接收方必须继续受本政策条款的约束，我们也将在交易完成前以适当方式通知您相关变更详情和您享有的选择权。

§07

跨境数据传输

鉴于梦次元幻方系统服务于跨境电商行业用户，系统运营中可能涉及个人信息的跨境传输。我们采取以下制度确保跨境数据流动的合法性与安全性。

中国法律合规

根据《个人信息保护法》第三十八条及《数据出境安全评估办法》，对于确需出境的个人信息，我们将视具体情况采取以下合规路径之一：通过国家网信部门组织的安全评估；取得专业机构出具的个人信息保护认证；依照国家网信部门制定的标准合同与境外接收方签订数据出境合同；或满足法律、行政法规或国家网信部门规定的其他条件。

欧盟 GDPR 合规

对于涉及欧洲经济区（EEA）数据主体个人数据的跨境传输，我们采用欧盟委员会批准的标准合同条款（SCCs）作为合法传输机制，并辅以补充性的技术加密保障措施，以确保传输后的数据保护水平不低于 GDPR 的要求。

传输安全措施

所有跨境数据传输全程通过 TLS 加密通道完成，数据在公共网络上不以明文形式传输。
接收跨境传输数据的任何第三方服务商均须签署数据处理协议，承担等同于本政策的数据保护义务。
我们定期评估数据接收方所在地区的法律保护环境，若发现保护水平明显不足，将及时采取补充措施或终止相关数据传输。

§08

数据保留期限

我们遵循"目的限定、期限最短"的保留原则，针对不同类型的数据设定差异化的保留时长。保留期限综合考量以下因素确定：持续提供服务的必要性、法律法规规定的最低保存年限、解决潜在争议所需的合理期间，以及维护系统安全的需要。

各类数据的保留规则

账户信息：在您的账户处于活跃状态期间持续保留。账户注销后，账户信息将在法定最短保留期限届满后被安全删除。
业务运营数据：在服务合同有效期内保留。合同终止后，依据税务和会计法规要求保留所需年限，期满后安全删除。
技术日志：访问日志和安全审计日志保留不超过 180 天，除非因安全调查需要经审批后延长。
客服记录：自沟通完成之日起保留不超过 3 年，届满后安全删除。

个人身份识别信息（PII）的特别规则

对于通过亚马逊授权获取的含有个人身份识别信息（PII）的数据——例如买家姓名、邮寄地址和联系方式——我们严格限定其仅用于订单履约目的。相关订单完成发货并确认交付后，所有关联的 PII 数据将在不超过 30 天的期限内被安全且不可逆地删除。若因适用法律的强制性要求需延长保留，该等数据将在加密保护状态下存储于隔离的安全环境中，仅在法律许可的范围内使用，并在法律允许的最早时间予以销毁。

删除方式

数据删除操作采用安全擦除方式，确保数据在存储介质上被彻底覆写且不可恢复。备份系统中的数据副本将随备份文件的正常轮转周期一并完成删除。每次删除操作完成后，系统将生成删除确认记录以便审计追溯。

§09

您的权利

依据《个人信息保护法》、《通用数据保护条例》及其他适用数据保护法律，您就自身的个人信息享有以下权利。您可通过本政策 §12 所列联系方式向我们提出请求，我们将在收到请求并完成身份验证后 30 个自然日内予以书面答复。

访问权与知情权

您有权了解我们正在收集和处理哪些关于您的个人信息、处理目的、法律依据、保留期限及数据接收方等详细情况，并有权请求获取我们所持有的您的个人信息副本。

更正权

当您发现我们持有的关于您的个人信息存在不准确或不完整之处时，您有权要求我们予以更正或补充完善。

删除权

在以下情形中，您有权要求我们删除您的个人信息：收集和处理的原始目的已经实现且信息不再为该目的所需；您撤回了同意且不存在其他合法处理依据；信息被违法收集或处理；或者法律法规规定的其他应当删除的情形。

数据可携权

您有权以结构化、通用、机器可读的格式接收您曾提供给我们的个人信息，并在技术可行的情况下请求我们将该等信息直接传输给另一数据控制者。

撤回同意权

对于基于您的同意而进行的数据处理活动，您有权在任何时候撤回该同意。撤回不影响撤回前基于您的同意已完成的合法处理行为的效力。若您撤回对核心功能所需数据的授权，相关功能可能无法继续使用，但不会影响其他独立功能的正常运行。

投诉权

若您认为我们对您个人信息的处理违反了适用的法律规定，您有权向有管辖权的数据保护监管机构提出投诉。我们也欢迎您首先通过本政策 §12 所列的方式直接与我们联系，以便我们有机会及时解决您的关切。

身份验证

为保障信息安全，在处理您的权利请求前，我们需要核实请求人的身份。验证方式可能包括账户登录验证、手机验证码确认或其他合理的身份核实手段。我们不会因您行使上述权利而向您收取费用，但对于明显无理由的或反复的请求，我们保留收取合理行政费用的权利。

§10

Cookie 政策

本网站和梦次元幻方 ERP 系统使用 Cookie 及类似技术来维持服务正常运行并提升用户体验。我们不使用任何 Cookie 进行跨站追踪或构建用户个人画像。

必要性 Cookie

此类 Cookie 是系统正常运行所不可或缺的，用于维持您的登录会话状态、执行身份认证以及管理 CSRF 安全令牌。它们属于基本功能保障范畴，无需征得您的同意即可使用。若您禁用此类 Cookie，系统的核心功能（如登录状态保持、安全校验）将无法正常工作。

功能性 Cookie

此类 Cookie 用于记忆您的界面偏好——如语言选项（中文/英文）、表格显示密度、时区设置等——以便在您再次访问时提供贴合您习惯的体验。功能性 Cookie 不收集可用于识别您身份的信息。

分析性 Cookie

经您明确同意后，我们可能使用分析性 Cookie 收集匿名的访问统计，包括页面浏览量、功能模块使用频率和用户停留时间等指标。这些数据仅以匿名汇总形式使用，帮助我们了解产品使用情况并优化功能设计。

管理您的 Cookie

您可随时通过浏览器设置查看、管理或删除 Cookie。主流浏览器（Chrome、Firefox、Safari、Edge）均提供了相应的管理选项。请注意：删除必要性 Cookie 后您可能需要重新登录；禁用功能性 Cookie 将导致偏好设置无法保存；拒绝分析性 Cookie 不会影响系统核心功能的使用。

§11

未成年人保护

服务对象声明

梦次元幻方 ERP 系统是面向企业用户的商业管理工具，目标用户群体为具有完全民事行为能力的成年人（年满 18 周岁）。本系统和网站明确不面向未满 18 周岁的未成年人提供服务，我们亦不会主动收集任何未成年人的个人信息。

发现与处置

如果我们在事后发现无意中收集了未满 18 周岁未成年人的个人信息，将立即采取以下措施：首先，暂停该账户的全部功能权限并标记为待处理状态；其次，在核实确认后安全删除与该未成年人相关的所有个人信息（包括备份副本）；第三，在可能的情况下通知该未成年人的监护人，告知相关情况和我们的处理措施。如果您有理由相信我们可能持有某位未成年人的个人信息，请立即通过本政策 §12 所列联系方式与我们取得联系，我们将优先处理此类反馈。

§12

政策更新与联系方式

政策修订

我们可能基于以下情况对本政策进行修订：适用法律法规的变化、监管政策的调整、亚马逊开发者政策的更新、公司业务范围的变动，或安全实践的改进。页面顶部标注的"最后更新"日期即为当前版本的生效日期。

重大变更通知

当本政策发生可能对您权益产生重大影响的变更时，我们将至少提前 30 天通过以下一种或多种方式通知您：

在本网站首页和隐私政策页面发布醒目的更新通告。
向您的注册邮箱发送政策变更通知，概述主要变更内容、变更原因和生效日期。
在系统登录界面或管理后台以弹窗或横幅形式展示变更摘要，请求您确认知悉。

在接到变更通知后继续使用本系统的服务，即视为您已阅读并接受更新后的条款。如果您不同意更新后的内容，请在新政策生效前停止使用相关服务，并联系我们办理账户注销事宜。

联系我们

若您对本政策存有任何疑问或建议，或希望行使本政策 §09 所述的数据权利，欢迎通过以下渠道与我们联系。我们将在 30 个自然日内给予正式书面答复。

公司全称杭州梦次元幻方科技有限公司

数据保护负责人吉梦琪

联系电话 18668018383

电子邮箱 merry@dreamcube.tech

公司地址浙江省杭州市余杭区五常街道飞鸟客商务中心2幢522室

来信说明请在来电或来信中注明「隐私政策咨询」或「数据权利请求」，以便我们快速响应您的需求

感谢您耐心阅读本隐私政策。保障您的数据安全与隐私权益是本公司的核心承诺。我们将持续审视并完善数据保护实践，确保您的信息始终得到妥善保护。如中英文版本存在差异，以中文版本为准。