certsaas 隐私政策

生效日期：2026年4月20日

certsaas（以下简称“我们”、“平台方”）尊重并保护用户隐私，严格按照《中华人民共和国个人信息保护法》《网络安全法》《数据安全法》等相关法律法规，处理用户在使用本平台免费服务过程中提交的各类信息。本隐私政策旨在明确信息收集、使用、存储、保护、共享等规则，请用户仔细阅读并理解，用户使用本平台服务，即视为同意本隐私政策全部内容；用户因非法使用、商用本平台服务导致的信息使用相关风险及责任，均由用户自行承担，与平台方无关。

一、信息收集范围与目的

（一）账号注册与身份核验信息

1. 个人用户：可能收集姓名、手机号、邮箱、身份证相关信息（仅用于OV/EV证书申请所需的身份核验），用于账号创建、身份验证、服务开通、售后对接；上述信息仅用于本平台免费服务提供，不用于任何商业目的。
2. 企业用户：可能收集企业名称、统一社会信用代码、法人信息、营业执照等资质材料，用于企业身份核验、证书申请合规审核、订单处理；本平台无付费订单，相关信息仅用于免费服务的合规审核。

（二）服务必需核心信息

1. 域名信息：包括用户提交的域名列表、域名所有者信息、DNS解析记录等，用于SSL证书的自动申请、验证、签发及状态监控；严禁用户利用上述信息及平台服务从事商业活动或非法行为。
2. 设备与服务配置信息：包括服务器（Nginx、Apache等）、NAS设备（群晖、绿联、飞牛等）的IP地址、端口、授权账号及密钥，云存储（OSS/COS）、CDN的账号信息及API密钥，用于证书的自动部署、续费、续签，确保免费服务正常运行；因用户非法使用平台、将服务商用导致的上述信息泄露、滥用等后果，由用户自行承担。

（三）日志与设备信息

自动收集用户使用本平台时的IP地址、浏览器类型、操作系统版本、操作日志、服务使用状态、错误记录、访问时间等信息，用于免费服务优化、故障排查、安全审计、防范滥用及违规行为（包括商用、非法使用平台等），保障平台运行安全。

（四）敏感信息特别说明

服务器密码、云服务API密钥、SSL证书私钥等敏感信息，将采用AES-256加密存储，仅用于平台自动部署、续费等免费服务所需，人工无法访问，确保敏感信息不泄露。我们不收集用户的生物识别、宗教信仰、医疗健康、财产明细等无关信息；因用户自身行为（包括商用、非法使用平台）导致敏感信息泄露的，平台方不承担任何责任。

二、信息使用规则

1. 信息使用范围严格限定于为用户提供、维护、优化本平台免费服务，包括但不限于SSL证书申请、验证、签发、自动部署、自动续费、自动续签、域名管理、技术支持、故障排查等；严禁将用户信息用于商业目的。
2. 向用户发送必要的服务通知，包括但不限于证书到期提醒、部署状态通知、系统公告等，用户可根据自身需求选择退订非必要通知（核心服务通知不可退订）；所有通知均围绕免费服务展开，不发送商业营销信息。
3. 用于合规处理，包括但不限于配合司法机关、监管部门的合法要求，防范欺诈、滥用、网络攻击、商用、非法使用平台等安全风险，保护用户及平台的合法权益。
4. 我们不会将用户信息用于广告营销，不会向任何第三方出售、出租、出借用户信息；因用户非法使用平台导致的信息泄露、共享等后果，由用户自行承担。

三、信息共享与披露

（一）必要共享（最小范围）

1. CA机构：向证书颁发机构（如Let's Encrypt等）共享域名信息、身份核验材料等，仅用于SSL证书的签发、吊销、续期等必要操作，双方已签署保密协议，限定信息使用范围；共享行为仅为保障免费服务提供，不涉及任何商业交易。
2. 云厂商与设备厂商：向阿里云、腾讯云、群晖、绿联等合作厂商共享证书及相关配置信息，仅用于证书自动部署、同步更新等免费服务，合作厂商均承诺遵守保密义务；因用户商用、非法使用平台导致共享信息被滥用的，责任由用户自行承担。

（二）法定披露

在法律法规、司法机关、监管部门的强制要求下，我们可能会披露用户相关信息，无需提前征得用户同意，但会尽力告知用户（法律法规禁止告知的除外）；因用户非法使用、商用平台导致的信息披露，相关责任由用户自行承担。

（三）其他情况

若发生平台并购、重组、资产转让等情况，用户信息可能会随之转移，转移后的接收方将继续遵守本隐私政策的约定，保护用户信息安全；若接收方变更隐私保护规则，将另行公示并征得用户同意；转移行为仅针对免费服务相关信息，不涉及商业用途。

四、信息存储与保护

1. 存储地域：用户信息均存储在中华人民共和国境内合规服务器，不进行跨境传输，除非服务必需且获得用户明确同意，并符合相关法律法规要求。
2. 保存期限：用户信息保存至服务期限届满后1年；用户注销账号后，我们将在15个工作日内删除或对用户信息进行匿名化处理（法律法规要求留存的除外）。
3. 安全措施：采用HTTPS/TLS加密传输、加密存储、访问权限控制、权限最小化等安全技术，定期开展安全审计、防入侵、防泄露、防篡改检测，建立信息泄露应急响应机制，若发生信息泄露，将立即采取补救措施、通知受影响用户，并按要求上报监管部门；因用户商用、非法使用平台导致的信息安全问题，平台方不承担责任。

五、用户信息相关权利

1. 访问与更正权：用户可在平台账号中心查看、修改自身提交的个人信息、设备信息等（涉及身份核验、证书申请的核心信息，修改后需重新审核）；修改信息不得用于商用或非法使用平台的目的。
2. 删除与撤回权：用户可申请删除自身提交的非服务必需信息，可撤回对设备授权等权限，撤回后可能影响部分免费服务的正常使用；因撤回权限导致的服务异常、损失等，由用户自行承担。
3. 账号注销权：用户可在平台申请注销账号，注销后所有免费服务自动终止，我们将按约定删除或匿名化处理用户信息（法律法规要求留存的除外）；注销账号不免除用户此前因商用、非法使用平台产生的责任。
4. 数据导出权：用户可申请导出自身的域名信息、证书信息等，方便后续管理与备份；导出数据仅限非商业使用，严禁用于盈利等非法目的。
5. 咨询与投诉权：若用户对信息处理有疑问、异议或投诉，可通过本政策末尾的联系方式联系我们，我们将在15个工作日内响应并处理；因用户商用、非法使用平台导致的咨询/投诉，平台方有权拒绝处理。

六、Cookie与同类技术使用

为实现用户登录状态保持、服务配置记忆、操作偏好记录等功能，我们可能会使用Cookie及同类技术。用户可在浏览器设置中禁用Cookie，但若禁用，可能导致部分平台功能无法正常使用；Cookie技术仅用于免费服务优化，不用于商业营销。

七、隐私政策更新

我们有权根据法律法规更新、平台运营需要，修改本隐私政策条款。修改后的隐私政策将在certsaas平台（certsaas.com）公示。用户继续使用本平台服务，即视为接受修改后的隐私政策；若用户不同意修改，应立即停止使用本平台全部服务。

八、联系方式