生效日期:2026 年 3 月 11 日 · 版本:1.0
Rakenne(“我们”)依托少量专业供应商来运营 rakenne.app 平台。本文档说明我们使用哪些供应商、他们的职责,以及他们在作为我们分处理者时可能接触到哪些类型的个人数据。
本页面与我们的隐私政策 配套使用,并不取代后者。隐私政策将更详细地说明法律依据、数据保留规则以及您的权利。
我们如何使用分处理者
我们仅在分处理者能为产品带来明确价值(例如安全托管或支付处理)的前提下与其合作,并且:
- 将每家供应商可访问的数据范围限制在完成其任务的最小必要范围内;
- 与其签订数据保护条款(包括数据处理协议 DPA 以及在适用情况下的标准合同条款 SCCs);
- 将供应商管理纳入第三方风险管理流程,定期进行评估。
从产品职能角度看,分处理者大致支持以下七类场景:
- 基础设施与存储:核心应用与工作区数据的托管与存储;
- AI 推理:为技能(skills)与基于聊天的工作流提供模型推理能力;
- 事务性邮件与收件箱邮件:与账号相关的通知与沟通;
- 计费与订阅管理:付费套餐的收款与订阅生命周期管理;
- 网站与产品分析:了解用户如何发现和使用 Rakenne;
- 应用内聊天与支持:在启用时提供在线客服与支持;
- 域名与 DNS 管理:确保域名与邮件送达率保持健康。
下文将按照上述类别对供应商进行归类说明,而非按法律条款逐条列举,以便阅读。
基础设施与托管
Google Cloud Platform(GCP)
- **用途:**应用托管、持久化存储、网络、负载均衡、备份、机密管理、DNS 等;
- **使用的服务:**Compute Engine、持久化磁盘、Cloud Load Balancing、Cloud DNS、Secret Manager、相关网络组件等;
- **数据类别:**账号数据(如邮箱、姓名)、使用元数据、项目配置、文档内容、访问日志、加密后的机密信息等;
- **处理地点:**美国(GCP 区域);
- **保留:**应用数据依据产品层面的数据保留策略保存;基础设施日志则依据 GCP 默认设置以及我们的日志配置保存;
- **说明:**所有数据在传输过程中使用 TLS 加密,在存储过程中使用静态加密。访问 GCP 资源的权限通过 IAM 和最小权限原则加以限制。
AI 处理
当由 Rakenne 提供 API 密钥时,我们会使用第三方大型语言模型(LLM)来处理提示词、技能指令与文档上下文。这些提供商在生成回复时作为我们的分处理者处理您的内容。
- **法律基础:**履行合同义务(提供核心 AI 辅助起草功能);
- **数据类别:**用户提示词、技能元数据、文档片段、系统指令以及用于生成回复的相关元数据;
- 重要提示:当您启用 Bring Your Own Key(自带密钥) 时,相应 LLM 提供商将依据与您之间的协议行事,在该处理路径中是您的处理者或分处理者,而非我们的。
Anthropic(Claude)
- **用途:**AI 推理——处理聊天消息与工作流步骤,生成草稿与回复;
- **处理地点:**美国;
- 保留:截至 2026 年初,Anthropic 在其 API 条款下会在有限时间内(例如最长 30 天)保留请求数据,用于滥用监控与安全目的,但在标准 API 条款下不会使用客户数据训练模型;
- **说明:**当 Claude 被配置为 Rakenne 托管密钥下的活动模型时使用。
OpenAI
- **用途:**当选择 OpenAI 模型时,为部分技能与工作流提供 AI 推理;
- **处理地点:**OpenAI 在美国的基础设施,并在可用时提供区域化选项;
- **保留:**根据 OpenAI API 条款,请求数据可能被保留有限时间(例如最长 30 天)以用于滥用与安全监控;在使用付费 API 服务时,这些数据不会用于训练模型;
- **说明:**仅在 OpenAI 被配置为活动模型时使用。
Google Cloud AI(Gemini)
- **用途:**为使用 Google Gemini 模型的技能与工作流提供 AI 推理;
- **处理地点:**由 Google 配置的 Google Cloud 区域,通常为美国或欧盟区域;
- **保留:**根据 Google 的企业级 AI 条款,数据会在有限时间内用于服务运行与滥用防范,但不会用于训练基础模型;
- **说明:**我们通过 Google Secret Manager 管理一枚专用 API 密钥。
Bring Your Own Key(BYOK,自带密钥)
如果您配置了自己的 API 密钥(例如 Anthropic、OpenAI 或 Google 的密钥),则相应 LLM 提供商依据您与其签订的协议行事,在该处理路径中不是我们的分处理者。在这种情况下:
- 您负责在该提供商处配置数据保留、区域及合规选项;
- Rakenne 仅在您的工作区与该提供商之间转发请求与响应。
邮件与通信
Mailgun
- **用途:**发送事务性邮件(注册确认、邮箱验证等);
- **数据类别:**收件人邮箱地址、邮件内容、邮件头部信息以及投递元数据(时间戳、状态码、退信信息等);
- **处理地点:**Mailgun 在美国与欧盟的基础设施(具体路由取决于配置与网络);
- **保留:**Mailgun 会在其标准条款下,出于投递、故障排查与滥用防范目的,在有限时间内(如数日到数周)保留邮件日志;
- **说明:**Mailgun API 密钥存储在 Google Secret Manager 中,并在运行时注入;发件域通常为
mail.rakenne.app。
Private Email / Namecheap(邮箱托管)
- **用途:**托管我们用于客户沟通的邮箱(如支持或联系地址),并支持部分营销域名的 DMARC/SPF 设置;
- **数据类别:**通过这些地址往来邮件的内容、头部以及相关元数据;
- **处理地点:**由 Namecheap 及其分处理者运营的数据中心;
- **保留:**邮箱中的邮件按我们的内部保留策略及法律要求保存;
- **说明:**该基础设施与 Mailgun 分离,后者仅用于应用自动发送的事务性邮件。
计费与订阅管理
Stripe
- **用途:**支付处理、订阅计费、发票开具与账务通知;
- **数据类别:**客户标识、电子邮箱、订阅套餐与状态、部分支付方式信息(例如卡号后四位、卡组织)、发票及支付事件。完整卡号与 CVV 仅由 Stripe 处理;
- **处理地点:**Stripe 的全球基础设施,包括欧盟数据中心;Stripe 作为符合 GDPR 的处理者提供适当的跨境传输机制;
- **保留:**出于税务与会计合规目的,计费相关数据在订阅有效期内及终止后至少 7 年内予以保留;
- **说明:**Rakenne 不会存储完整卡号或 CVV。
分析、标签与应用内聊天
我们使用注重隐私的分析与遥测工具,了解营销网站及(在启用时)应用的使用情况。部分分析工具可能仅在某些区域或环境中启用,并可能受 Cookie 同意机制约束。
Google Analytics 与 Google Tag Manager
- **用途:**衡量聚合访问量、营销活动表现与用户路径。Tag Manager 用于统一管理分析标签;
- **数据类别:**伪名化标识、页面 URL、来源页面、设备与浏览器信息、基于 IP 的大致位置以及事件数据(页面浏览、点击等)。不会传输文档内容或聊天消息;
- **处理地点:**Google Analytics 的全球基础设施,包括位于美国与欧盟的服务器;
- **保留:**聚合分析数据依据我们在 Google Analytics 中的属性设置保存(通常为 14–26 个月);Tag Manager 配置数据在容器激活期间持续保存;
- **说明:**在法律要求的场景下,分析功能需基于 Cookie 同意。IP 地址的处理遵循 Google Analytics 配置(例如 IP 匿名化)。
分处理者相关数据保护实践
- **最小化原则:**每家供应商仅接收提供其服务所必需的数据(例如 Stripe 仅接收计费标识,而不接收工作区文档);
- **合同保障:**我们与供应商签订适当的数据保护条款,包括数据处理协议(DPA)以及在需要时的标准合同条款(SCCs);
- **安全评估:**我们选择安全态势良好的供应商,并将其纳入持续的安全与合规工作流程中进行复审;
- **不使用您的内容训练 LLM:**当我们使用第三方 LLM API 且由我们提供密钥时,会选择明示不使用客户内容训练基础模型的配置与条款。
更新本清单
我们的基础设施会随时间不断演进。当我们在实质上改变数据处理方式、增减或更换分处理者时,我们会:
- 更新本页面,反映新的供应商及其角色;并且
- 在法律或合同要求时,通过应用内消息或电子邮件提前向您发出合理通知。
如您希望了解特定供应商的更多信息,或需要一份引用本分处理者清单的签署版 DPA,请联系 privacy@rakenne.app 。
title: “分包处理方与数据处理说明” translationKey: “subprocessors”
生效日期:2026 年 3 月 11 日 · 版本:1.0
Rakenne(“我们”)在运行 rakenne.app 平台时,会依赖少量专业服务商作为分包处理方(sub‑processors)。本页面说明 我们使用哪些服务商、他们承担什么角色,以及在代表我们处理个人数据时可能接触到哪些数据类型。
本说明与我们的隐私政策 配套使用,并不替代隐私政策。隐私政策中提供了有关法律依据、保留期限和数据主体权利的更多细节。
我们如何使用分包处理方
我们只在确有必要、并能带来明显的安全性、可靠性或产品价值提升时才引入分包处理方,并且:
- 将每个服务商可访问的数据范围限制在完成其任务所必需的最小范围;
- 与其签署数据处理协议(包括在适用时签署标准合同条款 SCC);以及
- 将分包处理方纳入供应商风险与安全评估流程,定期复查。
在实际运行中,分包处理方主要支持七类场景:
- 基础设施与存储:应用与工作区的运行、存储与网络,
- 大模型推理:为技能(Skill)与基于对话的流程提供推理能力,
- 事务类邮件与邮箱托管:账户和产品相关通知,
- 计费与订阅:付费计划的计费与结算,
- 站点与产品分析:了解用户如何发现和使用 Rakenne,
- 站内即时沟通与支持:启用在线客服或应用内消息时,以及
- 域名与 DNS 管理:保障站点可用性和邮件送达率。
下文将按照这些类别对主要服务商进行说明。
基础设施与托管
Google Cloud Platform(GCP)
- 用途: 应用托管、持久化存储、网络、备份、机密信息管理、DNS。
- 使用的服务: Compute Engine、持久磁盘、Cloud Load Balancing、Cloud DNS、Secret Manager 以及网络组件。
- 涉及的数据类别: 账户数据(如邮箱、姓名)、使用元数据、项目配置、文档内容、访问日志、加密后的密钥与机密信息。
- 数据所在地: 美国(GCP 区域)。
- 保留期限: 应用数据依据我们的产品内部保留策略保存;基础设施日志则依 Google 默认设置及我们的日志策略保存。
- 说明: 所有数据在传输过程中(TLS)和静态存储时均已加密。对 GCP 资源的访问基于 IAM 与最小权限原则进行控制。
人工智能处理
当由 Rakenne 提供 API 密钥时,我们会调用第三方大语言模型(LLM)来处理提示词、Skill 指令和文档上下文。这些服务商在此情形下是我们的分包处理方。
- 法律依据: 合同履行(提供基于 AI 的文档起草与工作流能力)。
- 涉及的数据类别: 用户输入、Skill 元数据、文档片段、系统指令以及完成推理所需的相关元数据。
- 重要提示: 开启 Bring Your Own Key(BYOK) 后,您自选的大模型服务商会基于您与其签署的协议行事,在该路径下该服务商是您的(次级)处理方,而非 Rakenne 的分包处理方。
Anthropic(Claude)
- 用途: 为聊天消息和工作流步骤提供大模型推理服务。
- 数据所在地: 美国。
- 保留期限: 截至 2026 年初,Anthropic 会在有限时间内(例如最长 30 天)保留 API 请求数据,用于安全与滥用检测;不会将客户数据用于基础模型训练。
- 说明: 当 Claude 被配置为 Rakenne 托管密钥下的活动模型时使用。
OpenAI
- 用途: 为特定 Skill 与流程提供 OpenAI 模型推理。
- 数据所在地: 美国(在可用情况下可配置区域)。
- 保留期限: 按 OpenAI API 条款,请求数据可能在限定时间内(例如最长 30 天)保留,用于安全与滥用控制;使用付费 API 时,这些数据不会用于模型训练。
- 说明: 仅在 OpenAI 被选为活动模型时使用。
Google Cloud AI(Gemini)
- 用途: 为使用 Gemini 模型的 Skill 与流程提供推理服务。
- 数据所在地: 由 Google 配置的 Cloud 区域(通常为美国或欧盟区域,用于模型托管)。
- 保留期限: 按 Google 企业级条款,数据会在有限时间内保留,用于保障服务运行与防止滥用,不会用于训练基础模型。
- 说明: 我们使用由 Google Secret Manager 管理的专用 API 密钥。
Bring Your Own Key(BYOK)
如果您配置了自己的 API 密钥(例如用于 Anthropic、OpenAI 或 Google),对应的大模型服务商完全基于您与其之间的协议行事。在这种情况下:
- 您负责与该服务商约定数据区域、保留策略及合规选项;
- Rakenne 仅在您的工作区与所选服务商之间转发请求与响应。
邮件与通信
Mailgun
- 用途: 发送事务类邮件(如欢迎邮件、确认邮件等)。
- 涉及的数据类别: 收件人邮箱地址、邮件正文、邮件头信息以及投递元数据(时间戳、状态码、退信信息等)。
- 数据所在地: Mailgun 在美国与欧盟的基础设施(具体路由取决于配置与网络)。
- 保留期限: Mailgun 会按其标准条款,在限定时间内(例如数日到数周)保存邮件日志,用于投递、故障排查与滥用防控。
- 说明: Mailgun API 密钥存放于 Google Secret Manager,并在运行时注入;邮件通过
mail.rakenne.app域名发送。
Private Email / Namecheap(邮箱托管)
- 用途: 为支持或联系邮箱等提供托管服务,并为部分营销域名提供 DMARC/SPF 对齐。
- 涉及的数据类别: 与我们的支持或联系地址往来的邮件内容、邮件头和相关元数据。
- 数据所在地: Namecheap Private Email 的基础设施(由 Namecheap 及其分包商运营的数据中心)。
- 保留期限: 邮件会依据我们的内部保留策略和法律义务在邮箱中保存。
- 说明: 该托管层与 Mailgun 分离;Mailgun 主要用于应用自动发送的事务类邮件。
计费与订阅管理
Stripe
- 用途: 处理付款、管理订阅、开具发票以及与计费相关的通知。
- 涉及的数据类别: 客户标识、电子邮箱、订阅方案与状态、有限的支付方式信息(如卡号后四位、卡组织),发票及支付事件。完整银行卡信息仅由 Stripe 处理。
- 数据所在地: Stripe 的全球基础设施(包括欧盟数据中心);Stripe 作为符合 GDPR 的处理方提供服务,并采用适当的跨境传输机制。
- 保留期限: 计费数据在订阅有效期内保存,并为满足税务与会计要求至少额外保留 7 年。
- 说明: Rakenne 不存储完整银行卡号或 CVV 安全码。
分析、标签与站内聊天
我们使用以隐私为重点的分析与遥测工具,来了解网站以及(在启用时)应用的使用情况。部分工具仅在特定区域或环境中启用,并可能依赖 Cookie 同意。
Google Analytics 与 Google Tag Manager
- 用途: 测量整体网站流量、营销活动效果与用户路径;Tag Manager 用于统一管理标签。
- 涉及的数据类别: 伪匿名标识符、页面 URL、来源页面、设备与浏览器信息、基于 IP 的大致地理位置,以及事件数据(页面浏览、点击等)。不会发送文档内容或聊天内容。
- 数据所在地: Google Analytics 的全球基础设施,包括美国与欧盟的服务器。
- 保留期限: 汇总分析数据会依据属性设置(通常为 14–26 个月)保存;Tag Manager 配置在容器有效期间持续保留。
- 说明: 在法律或政策要求的场景下,我们仅在获得相应 Cookie 同意后启用这些工具;IP 地址将按照配置(例如 IP 匿名化)进行处理。
其他分析服务(如 Matomo、Plausible、Baidu、Counter)
- 用途: 补充或区域性分析,例如仅限欧盟的数据分析,或面向特定市场的分析。
- 涉及的数据类别: 与 Google Analytics 类似——伪匿名标识符、页面 URL、来源、设备与浏览器信息以及高层次的使用指标。
- 数据所在地: 取决于具体工具及其托管方式(自建或 SaaS);在可行情况下,我们优先选择位于欧盟或注重隐私保护的配置。
- 保留期限: 由各工具的配置以及我们内部分析数据保留策略共同决定。
- 说明: 并非所有工具始终启用;随着技术栈演进,我们可能启用或停用部分供应商。
站内聊天(如 Crisp)
- 用途: 在网站和/或产品中提供在线聊天或应用内消息。
- 涉及的数据类别: 聊天记录、您提供的姓名或邮箱、设备与浏览器的概略信息,以及仅限聊天启用页面的使用元数据。
- 数据所在地: 聊天服务商的基础设施(通常位于欧盟或美国的数据中心,具体取决于配置)。
- 保留期限: 聊天记录会在有限时间内保存,用于支持与质量管理,并遵循我们的支持策略。
- 说明: 聊天记录可能与您的账户关联,用于形成持续的支持历史。
针对分包处理方的保护措施
- 最小化原则: 每个服务商仅获取提供服务所需的最少数据(例如,Stripe 获取计费标识,但不会接触工作区文档内容)。
- 合同保障: 与服务商签署的合同中包含适当的数据保护条款,包括数据处理协议以及在需要时的标准合同条款(SCC)。
- 安全评估: 我们优先选择安全能力成熟的服务商,并定期对其进行安全与合规性复查。
- 不使用您的内容训练 LLM: 当我们使用第三方 LLM API 且由我们提供密钥时,会选择明确承诺“不将请求与文档用作基础模型训练数据”的配置与条款。
列表更新方式
我们的基础设施会随时间演进。如果新增、更换或移除分包处理方,会对您的数据处理方式产生实质性影响,我们将:
- 及时在本页面更新相应服务商及其角色;并
- 在法律或合同要求的情况下,通过应用内消息或电子邮件提前合理通知您。
如需了解某一具体服务商的详细信息,或需要一份引用本列表的签署版数据处理协议,欢迎通过 privacy@rakenne.app 与我们联系。