隐私政策

最后更新日期:2026 年 4 月 26 日 · 版本 2.0

Native AS(“Native”、“公司”、“我们”或“我们的”)的本隐私政策说明当您使用我们的服务(“服务”)时,我们如何以及为何收集、存储、使用和共享(“处理”)您的个人信息——当您访问 https://native.no 或任何链接至本政策的网站、使用 Native 平台在社交媒体上制作和发布内容,或通过销售、营销或活动等其他方式与我们互动时。Native 是一个 B2B 平台,帮助企业利用人工智能自动化其社交媒体内容。我们的客户遍布美国、挪威、瑞典、丹麦、新西兰及许多其他国家,本政策旨在遵守我们运营所在的所有司法辖区的隐私法律——包括欧盟《通用数据保护条例》(GDPR)、美国州隐私法律以及 New Zealand Privacy Act 2020。如果您不同意我们的政策,请不要使用服务。如有任何问题,请通过 hei@native.no 或 native.no/en/contact 与我们联系。

要点摘要

  • 引言:Native 重视您的隐私,并致力于通过透明的做法保护您的个人信息。
  • 我们收集的信息:我们为提供和改进服务而收集信息,包括账户信息、支付数据、您创建的内容、使用数据以及您连接的第三方集成所提供的信息。
  • 我们如何使用您的信息:我们使用您的数据来提供、运营和改进服务、处理付款、与您沟通、保障平台安全并履行法律义务。
  • AI 的使用:我们使用生成式 AI 代表客户制作内容。我们不使用您的数据训练 AI 模型,并且我们的 AI 提供商受合同约束,禁止将我们的输入/输出用于训练。
  • 法律依据:我们基于合同、正当利益、同意和法律义务处理数据(GDPR 第 6 条)。
  • 个人信息的共享:我们根据数据处理协议与服务提供商(处理者)共享数据,且仅在提供服务所必需时进行。我们不出售个人信息。
  • Cookie:对于非必要 Cookie,我们基于同意使用 Cookie,符合适用法律(包括欧盟的 ePrivacy 指令和加利福尼亚州的 CCPA)。
  • 社交登录:当您使用 Google 或其他服务登录时,我们会收到您授权的基本个人资料数据。
  • 安全:我们按照 GDPR 第 32 条和美国州法律标准实施技术和组织保障措施,包括加密、访问控制和 MFA。
  • 未成年人:Native 不会有意收集 18 岁以下人士的数据,并针对 13 岁以下用户遵守《儿童在线隐私保护法》(COPPA)。
  • 您的权利:您有权访问、更正、删除、携带数据、提出反对以及撤回同意。美国、欧盟/欧洲经济区和新西兰的用户享有下文所述的特定附加权利。
  • Do-Not-Track 与 GPC:由于缺乏行业标准,我们目前不响应 DNT 信号,但我们尊重加利福尼亚州居民的 Global Privacy Control (GPC) 信号。
  • 特定司法辖区的权利:我们明确涵盖 GDPR(欧盟/欧洲经济区)、CCPA/CPRA(加利福尼亚州)、VCDPA(弗吉尼亚州)、CPA(科罗拉多州)、CTDPA(康涅狄格州)、UCPA(犹他州)、TDPSA(得克萨斯州)、OCPA(俄勒冈州)、MCDPA(蒙大拿州)、TIPA(田纳西州)等,以及 New Zealand Privacy Act 2020。
  • 更新:重大变更生效前至少 30 天,我们会通过电子邮件或在服务中通知您。
  • 联系方式:hei@native.no 或 native.no/en/contact。

1. 数据控制者与角色

关于 native.no 访问者、账户持有人、客户联系人和潜在客户信息的数据控制者为:Native AS,注册号 930 324 787,Møllergata 6, 0155 Oslo, Norway。电子邮件:hei@native.no。联系表单:native.no/en/contact。

数据处理者:对于我们的客户通过服务上传或发布的个人信息(内容、评论、来自已连接社交媒体的粉丝信息等),客户是数据控制者,Native 根据我们的数据处理附录(DPA,可应要求提供)作为数据处理者行事。

这一区分遵循 GDPR 第 4(7)–(8) 条和第 28 条,并体现在 CCPA/CPRA 及其他美国州法律中“service provider”/“processor”的定义中。

2. 我们收集的信息

2.1 您自愿提供的信息

  • 账户和个人资料数据:姓名、电子邮件、电话号码、职位、雇主和密码(以哈希形式存储)。
  • 账单数据:公司名称、账单地址、注册号和支付信息。银行卡数据由 Stripe 处理——我们不存储完整的卡号。
  • 用户内容:您通过服务创建、编辑或发布的任何内容、反馈、评论、消息或其他信息。
  • 支持咨询及与我们的其他沟通。

2.2 自动收集的信息

  • 使用数据:访问的页面、使用的功能、时间戳和使用模式。
  • 技术数据:IP 地址、设备类型、浏览器类型、操作系统、语言设置和技术标识符。
  • 位置数据:基于 IP 地址的大致地理位置。我们不收集精确的 GPS 位置。
  • 日志和安全数据:用于运营、故障排查和安全的事件日志。

2.3 来自第三方来源的信息

  • 社交媒体和已连接的服务:当您使用 Google 登录或连接 Meta、LinkedIn、TikTok、X、Canva、Pexels 或其他第三方时,我们会根据您授予的权限收到个人资料信息和令牌。
  • 分析平台:来自 PostHog、Meta Ads 及类似工具的汇总数据,帮助我们了解服务的使用方式。
  • 第三方数据提供商:我们可能收到补充信息(例如企业画像 B2B 数据)以核实企业信息。

2.4 Cookie 及类似技术

我们使用 Cookie 及类似跟踪技术来改善用户体验、分析参与度并启用附加功能。您可以通过 native.no 上的 Cookie 横幅或您的浏览器管理偏好设置。见第 7 节。

2.5 敏感个人信息

我们不会有意收集特殊类别的个人信息(GDPR 第 9 条 / CCPA 下的“sensitive personal information”),例如族裔、宗教、健康信息、生物识别数据、工会会员身份或性取向。我们建议客户在没有有效法律依据的情况下不要上传此类内容。

2.6 来自未成年人的信息

Native 不会有意收集 18 岁以下人士的信息。见第 11 节。

3. 我们如何使用您的信息

3.1 为提供服务和管理账户

  • 创建和管理用户账户及订阅。
  • 处理付款并续订订阅。
  • 提供客户支持并回应咨询。

3.2 为运营和改进服务

  • 确保稳定运行并优化性能。
  • 根据反馈和使用数据实施更新、改进和新功能。
  • 保护平台、用户和数据免受威胁和未经授权的访问。

3.3 为使用 AI 制作内容

如第 5 节所述,我们使用生成式 AI 为客户的社交媒体制作文本和图像。我们仅为此目的处理您的数据,不会将其共享至 AI 提供商的训练数据集。

3.4 为与您沟通

  • 发送有关服务的重要更新和通知。
  • 在适用法律允许的情况下发送营销信息(CAN-SPAM、GDPR 第 6(1)(a)/(f) 条、针对短信的 TCPA 等)。
  • 征求反馈和见解以改进服务。

3.5 为遵守法律法规

  • 履行法律义务,包括记账要求(挪威《记账法》第 13 条:保存 5 年)。
  • 回应当局的合法请求。
  • 执行我们的条款和政策。
  • 保护 Native、我们的用户和公众的权利、财产与安全。

3.6 为分析使用情况和开发服务

  • 分析汇总/假名化的使用数据,以了解趋势和用户行为。
  • 开展研究与开发,包括新功能测试。

3.7 不作出具有法律效力的自动化决策

我们不使用 AI 或其他工具作出对个人产生法律效力或类似重大影响的决策(GDPR 第 22 条)。我们不进行会在美国州隐私法下产生法律效力的画像分析。

4. 处理的法律依据

目的法律依据
提供、运营和改进服务,包括 AI 功能合同,GDPR 第 6(1)(b) 条
账单、会计与记账法律义务,GDPR 第 6(1)(c) 条,挪威《记账法》第 13 条
客户支持与运营沟通合同,GDPR 第 6(1)(b) 条
安全、防滥用与运营稳定性正当利益,GDPR 第 6(1)(f) 条
产品开发及汇总/假名化使用情况分析正当利益,GDPR 第 6(1)(f) 条
就类似服务向现有 B2B 客户进行营销正当利益,GDPR 第 6(1)(f) 条
向其他方进行营销 / 新闻通讯同意,GDPR 第 6(1)(a) 条;针对美国的 CAN-SPAM 合规
非严格必要的 Cookie 及类似技术同意(GDPR/ePrivacy);在美国州法律要求时提供退出选项
遵守法律要求和政府命令法律义务,GDPR 第 6(1)(c) 条

您可以随时撤回同意,且不影响撤回前处理的合法性(GDPR 第 7(3) 条)。对于美国用户,我们的处理还基于您对服务的购买、注册或使用,以及适用州隐私法所定义的我们的正当商业利益。

5. 人工智能(AI)的使用

5.1 不使用您的数据训练模型

Native 不使用客户数据、用户数据或内容来训练或微调 AI 模型。我们已与 AI 提供商(OpenAI、Anthropic、Google、xAI)达成合同约定,通过服务发送的内容不会被用于训练。

5.2 作为处理者的 AI 提供商

OpenAI、Anthropic、Google (Gemini) 和 xAI 会临时处理内容以生成回应。处理在欧盟/欧洲经济区进行,或依据欧盟标准合同条款(SCC 2021/914)和/或 EU–US Data Privacy Framework 在美国进行。见第 12 节。

5.3 关于 AI 生成内容的透明度

根据欧盟《人工智能法》(Regulation (EU) 2024/1689)第 50 条,人工生成或操纵的内容必须可被识别为此类内容。Native 中的 AI 生成内容在我们的界面中可以识别。

当您作为客户在自己的编辑控制下于您的社交媒体渠道发布 AI 生成的内容时,您作为“部署者”(deployer) 行事,并有责任评估是否需要披露——尤其当内容构成深度伪造(deep fake)或就公共利益事项向公众提供信息时(《人工智能法》第 50(2) 和 (4) 条)。

5.4 不作出自动化决策

我们不使用 AI 作出具有法律效力或类似重大影响的决策(GDPR 第 22 条;美国州法律的画像分析条款)。

5.5 您对上传内容的责任

作为客户,您声明并保证,对于您上传或要求 AI 处理的所有材料,您拥有一切必要权利(著作权、隐私权、形象权、姓名及肖像权)。

您不得使用服务创建或传播对可识别人士的未经授权的假冒,包括名人、公众人物或任何个人。这包括根据下列法律(除其他外)被禁止的深度伪造和肖像滥用:

  • New York Civil Rights Law §§ 50–51
  • California Civil Code § 3344
  • Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
  • 其他适用的州形象权(right of publicity)法规

违规可能导致账户被立即停用。请将违规行为报告至 hei@native.no,以便及时审查和删除。另见我们的 Terms of Service 和 Acceptable Use Policy。

5.6 AI 训练的局限性

如果您的数据——经同意或基于其他法律依据——已被第三方用于训练 AI 模型,此类数据并不总能事后从模型中提取或移除。如 5.1 所述,Native 已通过合同防止此类训练,因此对我们的客户而言,这应属于假设性情形。

6. 个人信息的共享

我们不出售个人信息,也不按照 CCPA/CPRA 及其他美国州法律所定义的方式为跨情境行为广告而共享个人信息。在过去 12 个月中,我们没有出售或为跨情境行为广告共享个人信息。

我们与以下类别的接收方共享个人信息,在适用时始终依据数据处理协议(GDPR 第 28 条):

6.1 服务提供商(分包处理者 / 处理者)

分包处理者目的位置传输机制
Amazon Web Services (AWS)云存储与运营欧盟/欧洲经济区-
Google Cloud (GCP)云服务与基础设施欧盟/欧洲经济区-
Stripe支付处理欧盟 + 美国DPF + SCC
OpenAIAI 文本与图像生成欧盟/美国DPF + SCC
AnthropicAI 文本生成欧盟/美国DPF + SCC
Google Gemini / Vertex AIAI 文本与图像生成欧盟/欧洲经济区-
xAIAI 文本生成美国SCC
Ayrshare通过社交媒体 API 发布美国DPF + SCC
Firecrawl用于 AI 上下文的网页抓取美国SCC
Canva导入客户选择的设计文件欧盟/美国DPF + SCC
Google Drive / Google Calendar客户启用的集成欧盟/美国DPF + SCC
Slack内部沟通与客户对话欧盟/美国DPF + SCC
PostHog产品分析欧盟-
Pexels素材图片库欧盟/美国-

分包处理者的最新名单可应要求提供,重大变更将根据我们的 DPA 通知客户。

6.2 其他接收方

  • 专业顾问:审计师、会计师、律师——受保密义务约束。
  • 政府机关:在我们负有法律披露义务的情况下。
  • 业务转让:在合并、收购或资产出售的情况下,您的信息可能被转移给买方。我们将在处理转移之前通知您,且买方必须遵守与本政策一致的做法。
  • 关联公司:如果 Native 成为企业集团的一部分,信息可在同等保护下于集团内部共享。
  • 匿名化/汇总数据:可不受限制地为分析、研究或营销目的共享。

6.3 披露的个人信息类别(CCPA/CPRA)

对于加利福尼亚州居民,在过去 12 个月中,我们出于商业目的向上述类别的接收方披露了以下类别的个人信息:

  • 标识符(姓名、电子邮件、IP 地址、账户 ID)
  • 客户记录(账单详情、联系信息)
  • 商业信息(订阅历史、交易数据)
  • 互联网/电子活动(使用日志、设备信息)
  • 地理位置数据(大致位置,由 IP 推导)
  • 职业/雇佣信息(职位、雇主)
  • 推断信息(偏好、内容互动模式)

除按用户要求提供服务所必需外,我们不披露敏感个人信息。

6.4 社交媒体平台与共同控制

当您将账户连接至 Meta(Facebook/Instagram)、LinkedIn、TikTok、X 或其他平台时,这些服务将根据其自身条款作为独立控制者处理您的信息。对于某些分析功能(例如 Meta Page Insights),Native 与该平台可能构成 GDPR 第 26 条下的共同控制者。您可以通过在应用中断开集成或直接在平台上移除权限来撤销访问。

7. Cookie 与跟踪技术

7.1 我们使用的 Cookie 类型

  • 严格必要的 Cookie:服务运行所必需(登录、安全、页面加载)。无需同意。
  • 功能性 Cookie:记住语言和设置等偏好。
  • 分析类 Cookie:衡量服务的使用方式(PostHog、Google Analytics)。
  • 营销类 Cookie:用于再营销和定向广告(Meta Pixel、LinkedIn Insight Tag)。

7.2 同意与管理

在要求获得同意的司法辖区(依据 ePrivacy 指令的欧盟/欧洲经济区、UK PECR),使用非必要 Cookie 需要您的同意。加利福尼亚州居民可以通过 Cookie 横幅或在浏览器中启用 Global Privacy Control (GPC),选择退出通过定向广告 Cookie 出售或共享个人信息。

您也可以在浏览器设置中阻止 Cookie,但请注意这可能影响功能。

7.3 第三方分析

我们委托第三方服务(PostHog、Meta、Google)分析使用情况并提供统计洞察。这些服务受其自身隐私政策约束。

7.4 详细的 Cookie 披露

包含每个 Cookie 的名称、目的、提供方和有效期的详细 Cookie 声明可通过 native.no 上的 Cookie 横幅获取。

8. 社交登录与平台集成

8.1 社交登录的使用

当您通过 Google 或其他第三方提供商注册或登录时,您授予我们访问您的电子邮件地址和基本个人资料信息的权限,与您在该提供商处的设置一致。

8.2 数据处理

这些信息用于创建和管理您的 Native 账户。未经您通过平台授权流程给予的明确同意,我们不会代表您在社交媒体账户上发布内容。

8.3 安全与隐私

我们保持严格的数据保护标准,确保您的信息得到安全处理,且不会超出本政策所述目的使用。

8.4 您的控制

您可以直接在社交媒体服务处管理您的隐私设置,并可随时在 Native 应用中断开集成。

9. 我们保留您的信息多长时间

类别保留期限
账户和个人资料数据合同期内 + 终止后 90 天
内容和媒体库合同期内;终止后 90 天内删除
账单和会计数据会计年度结束后 5 年(挪威《记账法》第 13 条)
支持沟通记录最后一次联系后最长 24 个月
日志和安全数据最长 12 个月,随后删除或匿名化
营销数据(潜在客户)自最后一次互动起最长 24 个月,或直至同意被撤回
已连接服务的令牌(Google、Canva 等)断开连接或账户关闭后 30 天内删除
备份(缓存)90 天内自动删除
Cookie见 Cookie 声明

我们定期审查保留做法,以确保符合法律要求和运营需要。您可以随时联系 hei@native.no 请求删除您的数据。

10. 安全

我们根据 GDPR 第 32 条和适用的美国州法律标准实施适当的技术和组织保障措施,包括:

  • 传输中加密(TLS 1.2+)和静态加密(AES-256)。
  • 基于最小权限原则的访问控制及基于角色的访问。
  • 对可访问生产数据的员工实施多因素认证(MFA)。
  • 对访问和事件进行日志记录与监控。
  • 漏洞管理和定期安全审查。
  • 具有明确问责的事件响应程序。
  • 与所有分包处理者签订数据处理协议。
  • 对员工进行隐私和安全实践培训。

如发生个人数据泄露,我们将通知:在必要时于 72 小时内通知挪威数据保护局(GDPR 第 33 条);在存在高风险时不无故拖延地通知受影响个人(GDPR 第 34 条);按照适用的州泄露通知法律(如 California Civil Code § 1798.82)通知美国各州总检察长和受影响个人;以及在适用法律要求时通知其他监管机构。

尽管我们采取了保障措施,任何电子传输或存储技术都无法保证 100% 安全。我们建议您使用强密码和 MFA,并对您的登录凭据保密。

11. 未成年人

服务面向企业,不面向 18 岁以下的个人。我们不会有意收集未成年人的信息,也不在营销中针对这一群体。

对于美国用户,我们遵守《儿童在线隐私保护法》(COPPA),不会有意收集 13 岁以下儿童的数据。我们还遵守有关未成年人数据的适用州法律,包括加利福尼亚州“Shine the Light”法,以及康涅狄格州、得克萨斯州和其他州关于处理未成年人数据的要求。

如果您发现有未成年人向我们提供了信息,请联系 hei@native.no,我们将及时删除。

12. 国际数据传输

个人信息主要存储在欧盟/欧洲经济区内(AWS 法兰克福和 Google Cloud Europe)。部分分包处理者在美国或其他第三国处理信息。此类传输仅基于以下之一进行:

  • 充分性认定——包括针对经认证的美国接收方的 EU–US Data Privacy Framework(GDPR 第 45 条)。
  • 欧盟标准合同条款(SCC 2021/914),辅以传输影响评估以及必要时的技术措施(加密、假名化),依据 GDPR 第 46 条。

对于英国用户,我们依据 UK International Data Transfer Agreement (IDTA) 或欧盟 SCC 的英国附录。

对于新西兰用户,传输符合 Privacy Act 2020 的 Information Privacy Principle 12 (IPP 12),该原则要求接收方受可比隐私保护的约束,或数据主体提供明确的知情同意。

您可以联系 hei@native.no 索取传输保障措施的副本。

13. 您的隐私权利

您有权:

  • 访问我们持有的关于您的信息(GDPR 第 15 条;美国州法律下的同等权利)。
  • 更正不准确的信息(第 16 条)。
  • 在条件满足时删除信息(第 17 条)。
  • 限制处理(第 18 条)。
  • 以结构化、常用的格式接收您的数据——数据可携权(第 20 条)。
  • 反对基于正当利益的处理,包括直接营销(第 21 条)。
  • 随时撤回同意(第 7(3) 条)。
  • 向数据保护机构投诉(第 77 条)。

如需行使权利,请向 hei@native.no 或通过 native.no/en/contact 发送可核实的请求。您可以委托授权代理人。我们不会歧视行使权利的用户。

对于 GDPR 请求,我们一般在 30 天内回复(第 12(3) 条);对于美国州法律请求,在 45 天内回复,如合理必要可延长 45 天,并向您发出通知。

14. Do-Not-Track 与 Global Privacy Control

14.1 Do-Not-Track (DNT)

大多数浏览器提供 Do-Not-Track 功能。目前没有关于如何处理 DNT 信号的统一行业标准,我们目前不响应 DNT 信号。如果标准获得采纳,我们将相应调整并更新本政策。

14.2 Global Privacy Control (GPC)

对于加利福尼亚州居民,我们将 GPC 信号视为根据 CCPA/CPRA 选择退出出售/共享个人信息的有效请求。我们也尊重科罗拉多州、康涅狄格州及其他承认此类通用退出机制的州的居民的 GPC 信号。Native 不按照 CCPA 所定义的方式“出售”或“共享”个人信息,因此 GPC 信号只是印证了我们的现行做法。

15. 特定司法辖区的权利

15.1 美国——联邦与州层面

美国没有全面的联邦隐私法,取而代之的是一系列州法律。无论所在州为何,我们均承认并尊重美国用户的权利,并默认向所有美国用户提供以下权利:

  • 知情权 / 访问所收集个人信息的类别、来源、目的和接收方的权利。
  • 删除个人信息的权利。
  • 更正不准确信息的权利。
  • 在技术可行时的数据可携权。
  • 选择退出出售、共享或定向广告的权利。
  • 选择退出具有法律效力或类似重大影响的画像分析的权利。
  • 行使权利时不受歧视的权利。
  • 限制敏感个人信息使用的权利。
法律
CaliforniaCalifornia Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA)
VirginiaVirginia Consumer Data Protection Act (VCDPA)
ColoradoColorado Privacy Act (CPA)
ConnecticutConnecticut Data Privacy Act (CTDPA)
UtahUtah Consumer Privacy Act (UCPA)
TexasTexas Data Privacy and Security Act (TDPSA)
OregonOregon Consumer Privacy Act (OCPA)
MontanaMontana Consumer Data Privacy Act (MCDPA)
TennesseeTennessee Information Protection Act (TIPA)
IowaIowa Consumer Data Protection Act
IndianaIndiana Consumer Data Protection Act
DelawareDelaware Personal Data Privacy Act
New JerseyNew Jersey Data Privacy Act
New HampshireNew Hampshire Data Privacy Act
MarylandMaryland Online Data Privacy Act
MinnesotaMinnesota Consumer Data Privacy Act

以下州法律尤为相关:

15.1 美国——附加条款

Native 不按照 CCPA/CPRA 所定义的方式为跨情境行为广告“出售”或“共享”个人信息。我们在过去 12 个月中没有出售个人信息,也没有此类计划。

加利福尼亚州“Shine the Light”:加利福尼亚州居民可以每年一次免费索取有关为第三方直接营销目的向第三方披露个人信息的情况。由于我们不为第三方直接营销披露个人信息,因此未发生此类披露。

行使权利:向 hei@native.no 或通过 native.no/en/contact 发送可核实的请求。提交请求无需拥有账户。您可以委托授权代理人(须有书面授权)。我们将在 45 天内回复,如合理必要可延长 45 天,并向您发出通知。

申诉权:如果我们拒绝您的请求,您可以回复我们的答复邮件或联系 hei@native.no 提出申诉。我们将在 60 天内(或按您所在州法律的要求)回复申诉。如果您的申诉被驳回,您可以联系您所在州的总检察长或相应的隐私监管机构。

加利福尼亚州投诉:加利福尼亚州居民可以向 California Privacy Protection Agency (cppa.ca.gov) 或 California Attorney General 投诉。

形象权(right of publicity):Native 禁止利用服务创建或传播对可识别人士的未经授权的假冒。这包括根据下列法律(除其他外)享有的权利:

  • New York Civil Rights Law §§ 50–51
  • California Civil Code § 3344
  • Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
  • 其他适用的州形象权(right of publicity)法律

违规行为可报告至 hei@native.no,以便及时审查和删除。

15.2 欧盟/欧洲经济区——包括挪威、瑞典、丹麦及其他成员国

GDPR 直接适用。可向以下机构提出投诉:

  • 挪威:Datatilsynet (datatilsynet.no),Postboks 458 Sentrum, 0105 Oslo。
  • 瑞典:Integritetsskyddsmyndigheten (imy.se)。
  • 丹麦:Datatilsynet (datatilsynet.dk)。
  • 其他欧盟/欧洲经济区国家:您居住国的监管机构。

15.3 英国(UK GDPR 和 Data Protection Act 2018)

对于英国用户,除本政策外,UK GDPR 和 Data Protection Act 2018 亦适用。可向 Information Commissioner's Office (ico.org.uk) 提出投诉。

15.4 瑞士(revFADP)

对于瑞士用户,适用修订后的《联邦数据保护法》(revFADP,自 2023 年 9 月 1 日生效)。可向 Federal Data Protection and Information Commissioner (FDPIC) 提出投诉。

15.5 新西兰(Privacy Act 2020)

对于新西兰用户,适用 13 项 Information Privacy Principles (IPPs)。个人信息仅依照 IPP 12 传输出新西兰——即传输给受可比保护约束的接收方(如欧盟/欧洲经济区的 GDPR),或经数据主体明确知情同意。

我们的隐私联系人担任新西兰的“Privacy Officer”,可通过 hei@native.no 联系。可向 Office of the Privacy Commissioner (privacy.org.nz) 提出投诉。

15.6 澳大利亚(Privacy Act 1988)

对于澳大利亚用户,适用 Privacy Act 1988 下的 Australian Privacy Principles (APPs)。可向 Office of the Australian Information Commissioner (oaic.gov.au) 提出投诉。

15.7 加拿大(PIPEDA 及各省法律)

对于加拿大用户,适用《个人信息保护和电子文件法》(PIPEDA) 及相关省级法律(Quebec Law 25、BC PIPA、Alberta PIPA)。可向 Office of the Privacy Commissioner of Canada (priv.gc.ca) 提出投诉。

15.8 巴西(LGPD)

对于巴西用户,适用 Lei Geral de Proteção de Dados (LGPD)。可向 Autoridade Nacional de Proteção de Dados (ANPD) 提出投诉。

15.9 其他司法辖区

我们努力在开展业务的所有国家遵守适用的隐私法律。如果您位于上文未明确列出的司法辖区并希望行使隐私权利,请联系 hei@native.no,我们将依照适用法律处理该请求。

16. Google 用户数据的收集与使用

当您将 Google 账户连接至服务时,我们可能基于您的明确授权访问并收集以下内容:

  • 基本个人资料信息(姓名、电子邮件地址、头像)。
  • 社交媒体连接及发布帖子的权限。
  • 您授权我们代表您发布的内容。

16.1 限制

我们不会将 Google 用户数据用于:

  • AI 模型训练或机器学习。
  • 定向广告或营销。
  • 向第三方出售或转让。
  • 提供我们核心社交媒体服务之外的任何目的。

16.2 允许的用途

我们仅将 Google 用户数据用于:

  • 验证您的账户并维持安全访问。
  • 向您已连接的社交媒体账户发布内容。
  • 提供与您的社交媒体表现相关的分析。
  • 提供您所请求的特定功能。

16.3 遵守 Google API Services User Data Policy

对从 Google API 接收的信息的使用和传输遵守 Google API Services User Data Policy,包括 Limited Use 要求。

17. Canva 用户数据的收集与使用

当您将 Canva 账户连接至服务时,我们收集并处理 Canva 用户数据以实现设计导入。

17.1 我们从 Canva 收集的数据

  • 基本个人资料信息(姓名、电子邮件地址)。
  • 您选择导入的设计文件。
  • 设计元数据(标题、创建日期)。
  • 帮助您查找和选择设计的文件夹结构。

17.2 我们如何使用 Canva 用户数据

我们仅将 Canva 用户数据用于:

  • 验证并维持您与 Canva 的连接。
  • 显示您的 Canva 设计以供选择和导入。
  • 将导入的设计存储在您的内容库中。
  • 支持将导入的设计排期并发布到您已连接的社交媒体平台。

我们不会将 Canva 用户数据用于 AI 模型训练或机器学习;广告、广告定向或营销;向第三方出售或转让;或本政策所述目的之外的任何目的。

17.3 Canva 用户数据的保留

  • 导入的设计:存储在您的内容库中,直到您删除它们或关闭账户。
  • 连接数据:在您的 Canva 账户与服务保持连接期间保留。
  • 断开连接时:Canva 认证数据在 30 天内删除。
  • 账户关闭时:所有 Canva 用户数据在 30 天内删除。

17.4 数据泄露通知

如发生可能影响 Canva 用户数据的数据泄露,我们将:

  • 在发现后 48 小时内通过电子邮件 legal@canva.com 通知 Canva。
  • 按照适用的隐私法律通知受影响的用户。
  • 立即采取措施遏制并补救泄露。

17.5 安全措施

Canva 用户数据受传输中和静态加密、访问控制、定期安全审查及安全删除程序的保护。

17.6 您的权利

您可以随时在账户设置中断开 Canva 连接,索取我们持有的关于您的 Canva 用户数据的副本,或请求删除。请联系 hei@native.no。

18. 本政策的更新

我们可能根据需要更新本隐私政策。更新后的版本将标注新的“最后更新”日期,并自发布时生效。

重大变更将在生效前至少 30 天通过电子邮件或在服务中告知。早期版本可向 hei@native.no 索取。

19. 如何联系我们

有关本政策的问题或请求,请联系我们的隐私联系人:

Native AS,注册号 930 324 787,Møllergata 6, 0155 Oslo, Norway。电子邮件:hei@native.no。联系表单:native.no/en/contact。

对于美国用户,隐私权利请求也可通过 native.no/en/contact 提交。

20. 如何查看、更新或删除您的数据

  • 查看:登录 Native 并打开账户设置,或联系 hei@native.no 获取完整数据导出。
  • 更新:直接在 Native 中更新个人资料信息,或联系我们寻求协助。
  • 删除:联系 hei@native.no 请求删除账户。我们将在 30 天内删除数据,但依据记账法或其他适用法律必须保留的数据除外(见第 9 节)。