永不出售数据承诺

TL;DR：CookieVault 绝不出售、出租、租赁、为跨上下文广告而共享、或以任何方式将你的数据货币化。这是覆盖每位用户与每类数据的永久、可执行承诺 —— 不是临时营销话术 —— 并约束任何未来的收购方。

永不出售承诺是 CookieVault 永久、公开的承诺：绝不出售、出租、租赁、为跨上下文广告而共享、或以任何形式为换取价值而将用户数据货币化。它存在的理由是：浏览器扩展和 Cookie 工具领域有过长长的一串案例 —— 产品被收购后悄悄变成数据采集渠道 —— 所以一款隐私优先的产品需要朴素、持久地说出来：我们不会这么干。

承诺的范围

简而言之：承诺覆盖每一位用户（免费、Pro、Team）和我们接触到的每一类数据 —— 我们能读取的邮箱与计费 ID、以及我们读不了的加密 blob。“匿名化""聚合""去标识化”数据没有任何例外条款。

承诺覆盖的全部范围：

• Cookie 内容 —— 本已端到端加密，无论如何都不会被出售或共享
• 账户邮箱 —— 永不为广告而出售、出租或共享
• 计费标识符 —— Paddle 客户 ID 与相关元数据
• 客服往来邮件 —— 永不挖掘或货币化
• 聚合分析 —— 无 Cookie、仅聚合，即便是摘要形式也永不出售
• 任何”去标识化”衍生数据 —— 明确纳入范围，因为去标识化通常是漏洞

不存在”匿名化”数据的例外条款，因为对所谓匿名数据集的再识别已有充分文献记载，我们不会指望这层薄薄的遮羞布。

“出售”是什么意思

简而言之：我们采用 CCPA 的广义定义 —— 以金钱或其他有价对价向第三方披露个人信息 —— 并明确包括公司用来在不叫”出售”的名义下把数据货币化的那些间接安排（授权、相似受众、广告竞价、群组销售）。

我们采用 CCPA 刻意广义的措辞，它把”出售”定义为以”金钱或其他有价对价”释放、披露或以其他方式传达个人信息。¹ CPRA 修正案另外加入了”共享”用于跨上下文行为广告，我们的承诺同样覆盖。²

中国《个人信息保护法》第 23 条与第 38 条规定，将个人信息向其他处理者提供、或向境外提供，必须取得单独同意并履行额外告知义务；第 56 条要求开展高风险处理活动前进行个人信息保护影响评估（PIPIA）。我们的承诺超出了这一法定门槛 —— 我们根本不进行任何形式的对外销售。³

允许的披露

简而言之：恰好三种，且没有一种是出售：Paddle 用于计费、Cloudflare 用于托管和传输、以及在有效法院命令下的合法强制披露。我们从中不收取任何对价，也对过宽的请求予以抵制。

我们确实进行的全部披露：

1. Paddle —— 作为我们的 Merchant of Record 处理支付与税务
2. Cloudflare —— 托管服务并传输你的加密数据
3. 合法强制 —— 仅在有效传票或法院命令下，且仅交出最低限度内容

以上没有一种是出售：我们不收取任何对价，接收方是受合同或法院约束的服务提供者，而加密 blob 在传输与静态状态下都依然不可读。我们承诺发布一份透明度报告，汇总任何被强制的披露 —— 在中国语境下，这包括国家互联网信息办公室（CAC）、公安部或检察机关依法发出的协助调查请求。

这如何可执行

简而言之：已声明的不出售承诺在 CCPA 下可由监管机关执行，歪曲它即构成不正当商业行为。我们用 Git 中的 PGP 签名声明、嵌入有约束力的服务条款、以及约束任何收购方的控制权变更条款来强化它。

可执行性的多层堆栈，从最强的法律层开始：

• 法定 —— 在 CCPA / CPRA 之下，不出售陈述可由加州隐私保护局（CPPA）和总检察长执行，错误陈述构成不正当商业行为¹；中国《个人信息保护法》第 66 条规定违法处理可被处以最高 5,000 万元人民币或上一年营业额 5% 的罚款，由国家互联网信息办公室（CAC）、公安部、工业和信息化部协同执法³
• 合同 —— 承诺嵌入有约束力的服务条款，构成你我协议的一部分
• 约束继受人 —— 控制权变更条款把承诺带给任何收购方，公司被出售不能悄悄变成数据被出售
• 密码学溯源 —— 承诺的 PGP 签名副本归档于公开 Git 历史，带时间戳且防篡改

另见

• 隐私政策 —— 我们收集什么、绝不收集什么
• 安全 —— 支撑这些承诺的端到端加密
• 服务条款 —— 承诺在此具有合同约束力
• 关于 —— 我们为什么靠订阅而非数据来融资