隐私政策 — World-Meeting

隐私政策 — WORLD-MEETING

版本：1.0
生效日期：2026年5月27日

1. 目的

本隐私政策解释 World-Meeting 如何收集、使用、保存、保护和共享与 World-Meeting 网站、Web 应用程序及服务有关的个人数据。该等服务尤其可通过 world-meeting.app 域名及其可能的子域名访问，以下统称为“网站”或“服务”。

World-Meeting 允许用户创建、加入和管理 WebRTC 音频/视频会议 room，并可根据所选设置提供自动实时翻译、字幕、译音、room 消息、屏幕共享、等候室、organizer 审批准入、发言控制以及与付款、退款、事件或争议有关的技术证据。

本隐私政策在单一文件中涵盖隐私信息、cookies 和本地存储、AI 与翻译相关处理，以及 World-Meeting 使用的主要技术供应商和分包处理者类别。

本隐私政策应与使用条款、销售条款、退款与取消政策、法律声明以及在适用于企业客户时的数据处理附录（“DPA”）一并阅读。

2. 数据控制者

数据控制者为 World-Meeting 的运营者，以下简称“World-Meeting”、“发布者”、“我们”或“我们的”。

控制者身份信息：

• 法定名称：M LOUE XAVIER
• 法律形式：个人企业主（Entrepreneur individuel, EI）
• 注册资本：不适用于个人企业主
• 注册办公地址：3 Impasse Denis Papin, 44310 Saint-Philbert-de-Grand-Lieu, France
• 公司注册号：SIREN 891 108 615
• VAT 号码：FR37891108615
• 隐私联系邮箱：[email protected]
• 一般联系邮箱：[email protected]
• 数据保护官：未任命

当 World-Meeting 为自身目的处理数据时，包括网站管理、安全、付款、账单、证据、支持、欺诈预防、服务改进、争议管理和遵守法律义务，World-Meeting 作为数据控制者行事。

当 World-Meeting 仅为按照企业 Client 的指令提供订购的 room 而处理由该 Client 邀请的 participants、员工、客户、学生、合作伙伴、访客或其他人员的数据时，World-Meeting 可作为 GDPR 意义下的处理者。在这种情况下，数据处理附录或 DPA 补充适用本隐私政策。

3. 涉及人员

本隐私政策尤其可能涉及：

• 网站访客；
• 使用联系页面的人；
• organizers；
• 付费 clients；
• 被邀请进入 room 的 participants；
• 请求准入 room 的用户；
• 联系支持的人；
• 涉及争议、退款、报告或付款争议的人；
• 授权内部管理员；
• 企业 Client 的代表、员工、承包商或代理人。

4. 收集的数据

World-Meeting 仅根据所使用的功能收集为下述目的所需的数据。

4.1 网站访问数据

当用户访问网站时，我们可能处理：

• IP 地址或其最小化、截断、哈希或掩码版本；
• 连接日期和时间；
• 查看页面；
• referrer 或导航来源；
• 浏览器、操作系统、设备类型、语言、时区和技术设置；
• 安全事件、错误、服务器日志和反滥用措施；
• cookies 或追踪器选择；
• SSR 渲染、缓存、安全、负载均衡和网站保护所需的数据。

4.2 联系和支持数据

当用户联系 World-Meeting 或报告问题时，我们可能处理：

• 姓名或显示名称；
• 电子邮件地址；
• 组织或公司（如提供）；
• 请求主题；
• 消息内容；
• 自愿提供的文件或截图；
• 请求日期和时间；
• 相关 room 或 order（如注明）；
• 有助于诊断的技术数据；
• 安全和滥用限制数据，包括在配置时的哈希或最小化 IP 证据。

4.3 room 创建数据

当创建 room 时，我们可能处理：

• 唯一技术 room 标识符；
• room 模式，包括 conversation room 或 team room；
• 所选时长；
• 所选容量；
• room 中可用语言；
• room 状态；
• room 商业状态；
• 创建、开启、开始、过期、取消、退款或结束日期；
• 已锁定设置；
• 定价数据和价格版本；
• 技术邀请链接；
• 在配置时以受保护、哈希或加密形式保存的 organizer code 或 organizer secret；
• 与 organizer 控制有关的事件。

4.4 organizer 数据

为识别和授权 room 中的 organizer，我们可能处理：

• 技术 participant 身份；
• 显示名称；
• 拥有 organizer code 的证明；
• 哈希形式的 token 或 secret；
• 服务器端以哈希形式存储的 room access token；
• organizer 动作，例如开启、锁定、解锁、批准、拒绝、移除、结束 room、管理发言权限、重置发言队列、报告或支持动作；
• 这些动作的时间戳。

4.5 预进入、准入和等候室数据

当 participant 尝试加入 room 时，我们可能处理：

• room 标识符；
• 所选显示名称；
• 口语语言偏好；
• 翻译语言偏好；
• 准入请求状态，例如 pending、approved、denied 或等效状态；
• 请求、批准、拒绝、进入、退出或过期的时间戳；
• 技术 participant 身份；
• 哈希形式的请求或访问 token；
• presence 状态和 heartbeat；
• 用户体验所需的媒体权限或本地 readiness 信息；
• 表明 participant 正在等待、已接受、已拒绝、已离开、已过期或已被移除的事件。

邀请链接不提供对 room 的自动访问权。非 organizer participants 可在 organizer 批准前留在等候室。

4.6 音频、视频和屏幕共享数据

服务支持实时音频/视频通信。

根据配置，音频、视频或屏幕共享流可通过 WebRTC 基础设施传输，包括 LiveKit 或兼容服务。World-Meeting 无意永久记录原始音频、原始视频或原始屏幕共享内容。

在当前架构中，World-Meeting 后端不一定接收原始音频/视频流。但为媒体传输所需的技术供应商可实时处理流，以提供 room。

用户仍对其开启、说出、展示或共享的内容负责。

4.7 翻译、字幕和译音数据

使用翻译功能时，我们可能处理：

• 源语言；
• 目标语言；
• speaker 的技术身份；
• listener 的翻译偏好；
• 字幕或译音请求；
• 翻译 session 事件；
• 翻译 lease 元数据；
• 创建、续期、heartbeat、过期或 session 错误时间戳；
• 必须在 room 中显示的部分或最终字幕；
• active room 体验所需的最终翻译 transcript 或回顾；
• 技术指标、延迟、供应商错误以及运行或失败的最小化证据。

翻译为自动化处理。为提供所请求结果，可能临时向自动翻译供应商（包括 OpenAI）传输音频、文本或元数据。

World-Meeting 不将翻译视为认证翻译、官方口译或证据记录。

4.8 room 消息

如果用户使用 room 消息，我们可能处理：

• 作者显示名称；
• 作者技术身份；
• 消息文本；
• 日期和时间；
• room 标识符；
• 同步或交付事件。

room 消息与字幕和音频翻译相互独立。除非特定功能另有说明，手动输入的消息不一定会被翻译。

4.9 发言控制和 team room 数据

在 team room 中，我们可能处理：

• 当前 speaker 的技术身份；
• 发言请求；
• 发言队列；
• 请求取消；
• 传递发言权；
• organizer 干预；
• 根据角色确定的麦克风状态；
• 相关时间戳和事件。

这些数据对于 team room 的结构化运行是必要的。

4.10 付款和账单数据

对于付费 room，付款通过 Stripe Checkout 处理。

World-Meeting 可处理或从 Stripe 接收：

• order 标识符；
• Stripe Checkout Session 标识符；
• 可用时的 PaymentIntent、Charge 或 Customer 标识符；
• 付款状态；
• 不含税金额；
• 已计算税费；
• 总金额；
• 货币；
• 账单国家；
• 账单地址或地址摘要；
• 姓名或法定名称；
• checkout 时提供的电子邮件地址；
• VAT 号码或 tax ID（如提供）；
• 收据或收据 URL（如有）；
• 有限的付款方式信息，例如品牌、国家、后四位、3D Secure 结果、CVC/AVS 或风险信号（如有）；
• 对账、账单、欺诈预防和争议管理所需的元数据。

World-Meeting 不存储完整银行卡号。银行卡数据由 Stripe 根据其自身条款和政策处理。

4.11 交易电子邮件数据

发送交易电子邮件时，例如付款后提供开始链接、邀请链接、organizer code、时长和开始窗口，我们可能处理：

• Checkout 中提供的电子邮件地址；
• 交易内容；
• 发送日期；
• 交付状态；
• 技术电子邮件标识符；
• 根据所配置供应商可能产生的交付、退信或错误事件。

当服务使用单独 organizer code 时，电子邮件链接不得包含原始 secret。

4.12 证据、争议、Stripe 争议和安全数据

在发生争议、退款、chargeback、Stripe dispute、报告、事件或疑似欺诈时，我们可能处理：

• order 和 room 标识符；
• 使用条款、销售条款、隐私政策和已接受 checkout 文本的版本；
• 接受条款的证明；
• Stripe Checkout 同意证明；
• 付款、开启、准入、参与、过期或事件时间戳；
• room 状态和商业状态；
• 已销售设置；
• 服务可用性证据；
• 最小化访问数据，例如掩码 IP、HMAC 哈希、国家或在可用时的技术信息；
• 在该机制配置用于欺诈或争议受限证据时的加密原始 IP；
• 证明运行、降级或失败的技术事件；
• 报告和支持交流；
• 退款、拒绝、取消或解决证明。

用于争议的证据导出必须排除 secrets、tokens、API keys、cookies、原始音频、原始视频和完整 transcripts，除非存在特定法律义务或严格正当的必要性。

4.13 技术 analytics 和可观测性数据

为维护、保护和改进服务，我们可能处理以下技术事件：

• 服务器事件；
• 有限客户端事件；
• 延迟；
• 供应商错误；
• WebRTC 错误；
• 汇总统计；
• 承诺、请求、正常、降级或失败的能力状态；
• 付款、funnel、商业、使用、翻译、issue 和 ops 信号；
• 聚合指标。

这些数据用于可观测性、安全、运行证据、服务改进和故障检测。

默认情况下，World-Meeting 不应在技术 analytics 中存储原始音频、原始视频、OpenAI secrets、API keys 或原始 transcripts。

5. 目的和法律依据

World-Meeting 为以下目的和法律依据处理数据。

5.1 提供服务

目的：

• 创建和管理 room；
• 允许访问预进入页面；
• 管理 organizer 审批准入；
• 提供音频/视频功能；
• 提供翻译、字幕和译音功能；
• 管理消息；
• 管理 organizer 控制；
• 管理发言控制；
• 提供 participants 之间的同步；
• 发送与 room 相关的交易电子邮件。

法律依据：

• 履行与 Client 或用户的合同；
• 提供功能性服务的合法利益；
• 当 World-Meeting 作为处理者时，根据 Client 的指令处理。

5.2 付款、账单和税务

目的：

• 创建 Stripe Checkout session；
• 处理付款；
• 计算税费；
• 出具收据或发票；
• 保留会计证据；
• 管理退款；
• 对账 orders 和付款。

法律依据：

• 履行合同；
• 会计和税务法律义务；
• 确保付款安全的合法利益。

5.3 安全、滥用预防和欺诈预防

目的：

• 保护网站；
• 保护 rooms；
• 防止未经授权访问；
• 检测滥用行为；
• 限制过量请求；
• 保护 tokens 和 secrets；
• 防止滥用性增加翻译 sessions；
• 防止付款欺诈；
• 管理安全事件。

法律依据：

• World-Meeting、Clients 和用户的合法利益；
• 在适用时的法律义务；
• 履行合同。

5.4 支持、联系和事件

目的：

• 回复请求；
• 诊断问题；
• 处理报告；
• 改进服务质量；
• 记录事件；
• 与用户通信。

法律依据：

• 履行合同或合同前措施；
• 提供支持的合法利益；
• 在适用时的法律义务。

5.5 争议、退款、chargebacks 和证据

目的：

• 回复索赔；
• 处理 Stripe 争议；
• 证明接受条款；
• 证明提供服务；
• 管理退款；
• 维护 World-Meeting 权利；
• 防止欺诈；
• 回复主管机关、银行、付款服务商或顾问。

法律依据：

• 建立、行使或抗辩法律请求的合法利益；
• 履行合同；
• 在适用时的法律义务。

5.6 服务改进和技术 analytics

目的：

• 理解创建、付款和进入流程；
• 衡量可靠性；
• 检测错误；
• 改进体验；
• 改进音频/视频稳定性；
• 评估翻译性能；
• 生成聚合统计。

法律依据：

• 改进和维护服务的合法利益；
• 当 analytics 或追踪器需要事先同意时，基于同意。

5.7 Cookies 和本地存储

目的：

• 提供必要功能；
• 记住偏好；
• 保护访问；
• 保留 cookie 选择；
• 在适用时衡量受众或改进网站；
• 启用付款或所请求功能所需的第三方服务。

法律依据：

• 对严格必要追踪器的技术必要性；
• 对非必要追踪器的同意。

5.8 营销

World-Meeting 仅在存在适当法律依据时发送营销通信，包括同意、既有商业关系或适用规则允许的 B2B 推广。

营销通信必须包含简单的退订机制。

6. 必填或选填数据

某些数据对提供服务是必要的。例如：

• 没有 room 标识符，无法找到 room；
• 没有显示名称，准入可能无法进行；
• 没有语言偏好，翻译可能受限；
• 没有账单地址或 checkout 电子邮件，付款或 room 恢复可能无法进行；
• 没有技术数据，安全、诊断或证据可能受限。

当数据为选填时，用户可选择不提供，但某些功能可能不可用或降级。

7. Cookies、本地存储和类似技术

World-Meeting 可使用 cookies、本地存储、session 存储、pixels、技术标识符、日志和类似技术，统称为“追踪器”。

7.1 严格必要追踪器

World-Meeting 可使用严格必要追踪器来运行网站和服务，包括：

• 提供导航；
• 保护网站；
• 记住隐私选择；
• 在适用时管理 admin 或用户 session；
• 从 Stripe 返回后临时保存恢复 token；
• 在 session 期间本地保存 room access token；
• 本地保存用户收到的 organizer code 或 room 信息；
• 启用预进入、等候室或 room 访问；
• 记住预期体验所需的语言、界面或媒体偏好；
• 保护表单；
• 限制滥用；
• 启用负载均衡；
• 通过 Stripe Checkout 启用付款；
• 诊断技术错误。

这些追踪器对提供用户请求的服务或启用电子通信是必要的。在适用法律允许时，它们无需事先同意。

7.2 技术追踪器示例

根据配置，World-Meeting 尤其可使用：

• organizer code 或 room 指针的本地存储，以便 organizer 恢复控制；
• room access token 的 session 存储，以在 session 期间访问受保护 room API；
• 临时 checkout 恢复存储，以在从 Stripe 返回后恢复付费 room；
• 语言偏好存储；
• 在可能时浏览器中的媒体设备偏好存储；
• cookie 或存储用于 cookie 选择；
• 技术安全 cookies 或 tokens；
• 服务器安全和诊断日志；
• 授权管理员使用 admin 区域时的 HTTP-only admin cookie。

追踪器的具体名称可随服务版本变化。

7.3 Stripe 付款追踪器

当用户通过 Stripe Checkout 支付 room 时，用户会被重定向至 Stripe 付款界面或使用 Stripe 元素。

Stripe 可使用自己的 cookies、追踪器、安全机制、欺诈预防工具、认证、付款、Link、3D Secure、风险分析或合规技术。

这些追踪器受 Stripe 政策约束。World-Meeting 不控制 Stripe 域名或界面上放置的所有追踪器。

不得绕过付款。银行卡数据由 Stripe 而非 World-Meeting 处理。

7.4 媒体、WebRTC 和翻译追踪器

服务可使用实时通信所需技术，包括 WebRTC、LiveKit 或兼容服务。

这些技术可处理音频/视频连接所需的技术信息，例如连接状态、网络质量、设备、浏览器、WebRTC 统计、延迟、错误或 session 标识符。

使用自动翻译时，可处理技术信息以创建或维持翻译 session。

这些处理操作对用户请求的功能是必要的。

7.5 Analytics 和非必要追踪器

World-Meeting 可使用技术测量来理解可靠性、错误、媒体质量、checkout 成功率、创建流程、rooms、翻译能力和事件。

当这些测量对服务运行、安全或提供严格必要时，可在法律允许范围内无需同意使用。

当 World-Meeting 使用不豁免的受众测量追踪器、广告追踪器、营销 pixels、社交网络追踪器或跨站测量时，这些追踪器仅在法律要求时取得事先同意后启用。

在法律要求时，World-Meeting 不会在未取得事先同意的情况下放置广告 cookies、重定向 pixels、社交媒体追踪器或类似非必要追踪器。

7.6 同意管理

当需要同意时，用户必须能够：

• 获得关于目的的清晰信息；
• 接受追踪器；
• 拒绝非必要追踪器；
• 在相关时按目的选择；
• 随时撤回同意；
• 轻松访问其偏好设置。

接受使用条款或销售条款并不构成对非必要 cookies 的同意。

继续浏览或保持沉默不得被解释为对需同意追踪器的同意。

7.7 浏览器设置

用户可配置其浏览器以阻止、删除或限制某些 cookies 和本地存储。

但是，阻止严格必要追踪器可能妨碍服务正常运行，包括 room 创建或恢复、Stripe 付款后返回、organizer code 存储、等候室准入、访问受保护 API、语言偏好、安全、音频/视频连接或翻译。

8. AI、自动翻译和透明度

World-Meeting 可提供自动翻译、字幕、译音和翻译回顾功能。

这些功能可使用人工智能或自动翻译技术。它们处理提供所请求翻译所需的数据，包括音频、源语言、目标语言、transcript 文本或技术元数据。

World-Meeting 不使用这些功能作出对用户产生法律效果或类似重大影响的自动化决策（GDPR 意义下）。

翻译、字幕和译音可能包含错误、遗漏、延迟、误译、近似或质量变化。它们不得被视为认证翻译、官方口译、专业建议或关键决策的唯一依据。

用户和 Clients 不得仅依赖 World-Meeting 翻译作出医疗、法律、财务、安全、紧急、移民、监管合规、关键合同谈判或其他高风险决定。

当 room 使用自动翻译、字幕、译音或翻译回顾功能时，organizer 和 Client 负责告知 participants，并取得适用法律要求的任何同意或法律依据。

9. 接收者、供应商和分包处理者

数据可在需要时被以下接收者类别访问：

• World-Meeting 授权人员或承包商；
• 托管和基础设施供应商；
• WebRTC 和媒体供应商，包括 LiveKit 或兼容服务；
• 自动翻译供应商，包括使用翻译时的 OpenAI；
• 付款供应商，包括 Stripe；
• 交易电子邮件供应商，包括配置时的 SendGrid、Twilio 或等效服务；
• 安全、CDN、DNS、监控或日志供应商；
• 在配置时的数据库、技术 analytics 或可观测性供应商；
• 律师、会计师、保险人、审计师或顾问；
• 银行、卡网络、Stripe、付款服务商以及参与争议的实体；
• 在法律要求或允许时的行政、司法或监管机关；
• 在 room、支持、DPA 或其义务所需范围内负责 room 的 Client organizer 或组织。

9.1 主要供应商类别

World-Meeting 可使用以下主要供应商类别：

托管、基础设施、VPS、云、DNS、CDN 和网络安全

• 供应商：OVH SAS / OVHcloud，用于位于法国 Gravelines（GRA）的 VPS 和应用托管；Cloudflare，用于 DNS、CDN、反向代理、tunnel 和网络安全服务。
• 角色：网站、API、数据库、反向代理、存储、DNS、CDN、安全和可用性的托管。
• 涉及数据：访问数据、日志、room 数据、技术数据、事件、支持数据和运行所需数据。
• 主要位置：VPS 和应用托管位于法国 Gravelines（GRA）；启用 Cloudflare 服务时，其使用全球边缘网络。
• 转移保障：声明生产区域的 OVH 托管位于法国；Cloudflare 处理受其适用数据处理条款和转移机制约束，包括在需要时的标准合同条款或等效保障。

Stripe

• 供应商：Stripe
• 角色：付款、Stripe Checkout、配置时的税费计算、账单、欺诈预防、认证、争议管理和退款。
• 涉及数据：交易数据、checkout 电子邮件、姓名或法定名称、账单地址、国家、tax ID、金额、货币、有限付款方式数据、Stripe 标识符、欺诈和争议信号。
• 主要位置：欧盟、美国及其他国家，取决于 Stripe 服务。
• 地位：根据处理类型，Stripe 可作为供应商、处理者、独立控制者或共同控制者。
• 转移保障：Stripe 合同保障、适用转移机制和 Stripe 政策。

LiveKit 或兼容 WebRTC 服务

• 供应商：LiveKit 或已配置的兼容服务
• 角色：WebRTC 基础设施、媒体 room、音频、视频、屏幕共享、媒体轨道的发布和订阅。
• 涉及数据：实时媒体流、room 或 participant 标识符、连接元数据、技术统计、网络质量和错误日志。
• 主要位置：取决于供应商区域或配置。
• 转移保障：供应商 DPA、适用转移机制以及在可用时的区域设置。

OpenAI 或已配置自动翻译供应商

• 供应商：OpenAI 或已配置自动翻译供应商
• 角色：自动实时翻译、转录、字幕、译音或翻译 sessions 的处理。
• 涉及数据：翻译所需音频、文本或 transcript、源语言和目标语言、session 元数据以及运行所需技术信息。
• 主要位置：取决于供应商和配置。
• 转移保障：供应商 business/API 条款、DPA 和适用转移机制。
• 注：翻译功能不得用作认证翻译或官方口译。

交易电子邮件供应商

• 供应商：SendGrid、Twilio 或已配置电子邮件供应商
• 角色：发送交易电子邮件，包括 room ready 邮件、开始链接、邀请链接、organizer code、时长和开始窗口信息。
• 涉及数据：电子邮件地址、交易内容、技术发送标识符、交付状态、错误或退信。
• 主要位置：取决于供应商和配置。
• 转移保障：供应商 DPA 和适用转移机制。

数据库、缓存、技术 analytics 和可观测性

• 供应商：自托管 PostgreSQL、Redis 和 ClickHouse，位于生产 VPS 上，除非之后配置托管供应商。
• 角色：存储 rooms、participants、偏好、floor state、消息、字幕、leases、orders、analytics 事件、证据和技术日志。
• 涉及数据：服务运行数据、技术数据、商业数据、最小化证据、指标和事件。
• 主要位置：法国 Gravelines（GRA）。
• 转移保障：托管在声明生产 VPS 的法国区域，并采用本隐私政策所述访问控制、最小化和加密措施；如之后使用托管供应商或非欧盟/欧洲经济区区域，适用转移机制必须在使用前记录。

专业服务提供商

• 供应商：律师、会计师、审计师、保险人、银行、顾问、催收或抗辩服务提供商。
• 角色：会计、税务、合规、争议、催收、保险、审计和权利抗辩。
• 涉及数据：相关档案严格必要的数据，包括 orders、发票、付款、证据、争议和支持交流。
• 主要位置：取决于供应商。
• 转移保障：专业合同、保密义务以及在适用时的职业秘密。

9.2 Client 自有供应商

Client 可与 World-Meeting 并行使用自己的工具或服务，包括浏览器、操作系统、录制工具、截图工具、电子邮件、日历、代理、VPN、企业网络或安全解决方案。

这些工具不是 World-Meeting 的分包处理者。Client 仍负责其合规性。

9.3 供应商变更

World-Meeting 可为提供、保护、改进或维护服务而增加、替换或移除供应商。

当变更涉及代表企业 Clients 处理数据的重要分包处理者时，World-Meeting 可通过更新本隐私政策、网站通知、电子邮件或任何合理方式告知 Clients。

Client 可根据 DPA 中规定的条件，基于正当的数据保护理由反对变更。

10. 国际转移

World-Meeting 面向国际受众，包括欧盟、美国和亚洲。部分供应商或接收者可能位于欧盟或欧洲经济区之外。

当个人数据转移至未获得充分性决定的国家时，World-Meeting 会在需要时实施适当保障，包括标准合同条款、在可用且适用时的数据隐私框架、补充措施、加密、假名化、最小化或供应商合同承诺。

用户可通过隐私联系地址请求关于适用保障的合理信息。

11. 保留期限

World-Meeting 根据目的、数据性质、room 状态、法律义务、安全需求以及是否存在争议，在有限期限内保存数据。

作为说明：

• 网站访问数据和技术日志：为安全、诊断和滥用预防所需的短期保存，除非发生事件或争议。
• Cookie 选择：为保留用户选择而在有限期限内保存，随后根据适用法规更新或删除。
• 联系和支持请求：在处理请求所需期间保存，随后为证据和跟进进行有限归档，除非存在合法异议或相反义务。
• 免费 room 数据：在 room 生命周期内保存，随后按运营保留政策删除或清理。
• 付费 room 运营数据：在 room 生命周期内保存，随后按配置的运营保留期归档、最小化或删除，争议情形除外。
• room 消息：与 room 及适用运营保留相关的有限保留；World-Meeting 不是永久归档服务。
• 字幕和翻译回顾：为显示、同步、late joiners 和 active room 临时保留，随后按 room 规则删除或清理，争议情形除外。
• 商业数据和付费 orders：为会计、税务、审计、证据和法律义务所需期间保留，可延伸至适用法定保留期。
• Stripe 证据、退款、欺诈或争议数据：为处理争议、chargeback、审计、欺诈或权利抗辩所需期间保留。
• 原始技术 analytics 数据：有限保留，默认可配置为最长 365 天，除非因争议被复制或保留。
• litigation hold 下的数据：在争议、调查、chargeback、法律义务或证据需求证明其合理期间延长保留。
• secrets、tokens 和 keys：在架构允许时不以明文保存；根据情况以哈希、加密或临时形式存储。

某些数据可匿名化或聚合，以生成不再识别个人的统计信息。

12. 安全

World-Meeting 实施合理的技术和组织措施来保护数据，包括根据配置：

• 传输中 TLS 加密；
• 在可能时哈希存储访问 tokens、organizer secrets 和准入 tokens；
• 在配置时加密某些 secrets 或敏感数据；
• 将翻译 secrets 限制为短期临时 secrets；
• API keys 保存在服务器端；
• admin 访问控制；
• 速率限制；
• 关键事件日志；
• 分离 runtime 和商业状态；
• 阻止 pending、cancelled 或 refunded rooms；
• 在视图和导出中最小化 IP 证据；
• 在导出中删除或掩码 secrets；
• 有限保留；
• 监控、监督和漏洞修复；
• 将数据访问限制给需要访问的人。

任何电子传输或存储均不能保证绝对安全。用户必须保护其链接、organizer codes、设备、浏览器、电子邮件收件箱和网络。

13. 敏感数据

World-Meeting 并非为处理敏感数据而设计，包括健康数据、用于唯一识别目的的生物识别数据、犯罪相关数据、Stripe 以外的高度敏感财务数据、儿童数据、受保护秘密或受特定监管制度约束的信息。

除非用户拥有适当法律依据、授权，并在必要时与 World-Meeting 达成特定书面协议，否则不得通过服务传输此类数据。

如果用户在 room、消息、报告、屏幕共享、音频流或翻译中自愿传达敏感数据，用户或 Client organizer 仍承担责任。

14. 数据主体权利

根据适用法规，尤其是适用于位于欧盟或受 GDPR 规制处理影响人员的 GDPR，个人可能拥有以下权利：

• 访问权；
• 更正权；
• 删除权；
• 限制处理权；
• 反对权；
• 数据可携带权；
• 当处理基于同意时撤回同意的权利；
• 在法国法适用时，就身后数据命运作出指示的权利；
• 向监督机关投诉的权利，包括法国 CNIL。

为行使这些权利，用户可通过本隐私政策中列明的地址联系 World-Meeting。

World-Meeting 可请求合理信息以核实请求者身份、定位相关数据并避免向未经授权的人通信数据。

当 World-Meeting 作为企业 Client 的处理者时，除非存在相反的直接法律义务，World-Meeting 可将请求转交 Client 或请求指令。

当保留数据为遵守法律义务、建立或抗辩法律请求、防止欺诈、处理争议、保护服务安全或尊重他人权利所必需时，某些权利可能受限。

15. 欧盟以外的隐私权利

根据居住国家或州，包括某些美国州或亚洲国家，个人可能拥有额外权利，例如了解收集数据类别的权利、删除权、更正权、选择退出某些数据出售或共享的权利、限制使用敏感数据的权利、因行使权利不受歧视的权利或申诉权。

World-Meeting 不按通常意义出售个人数据。如当地法规对“出售”或“共享”作出广义定义，World-Meeting 将按相关法律处理适用请求。

相关个人可联系 World-Meeting 行使其当地权利。World-Meeting 会在适用法规要求的范围内回复。

16. 未成年人

World-Meeting 面向专业或组织用途，并非面向儿童。

在适用法律允许的情况下，未成年人仅可在法定代理人、机构、雇主、教育负责人或授权组织的责任下使用服务。

如 World-Meeting 发现未成年人在没有适当授权的情况下提供数据，World-Meeting 可在可能且适当时删除或限制相关数据。

17. 隐私政策的修改

World-Meeting 可修改本隐私政策，以反映服务、法律、供应商、处理操作或安全的变化。

适用版本为使用时网站上发布的版本，除非 order 或特定协议另有说明。

如发生重大修改，World-Meeting 可通过任何合理方式通知用户。

18. 隐私联系

如对本隐私政策或权利行使有任何问题：

• 隐私联系：[email protected]
• 一般联系：[email protected]
• 邮寄地址：3 Impasse Denis Papin, 44310 Saint-Philbert-de-Grand-Lieu, France

位于欧盟的人员还可向其有管辖权的监督机关投诉，包括法国 CNIL。