隐私政策(Privacy Policy)
生效日期:2026-05-22 · 版本 v1.0
本《隐私政策》说明 MITAI(mitai.at,以下简称"本平台")会收集哪些信息、如何使用、如何保护,以及您拥有的权利。我们倡导最少必要原则:只收集为提供服务所必需的数据。
1. 我们收集哪些信息
| 类别 |
具体字段 |
来源 / 触发 |
| 账号信息 |
邮箱地址、显示名(display_name)、密码(仅存储 PBKDF2 哈希 + 盐,不保存明文) |
注册时由您提供 |
| OAuth 身份 |
OAuth 提供方(如 Google)、OAuth 用户标识(sub) |
仅当您选择"使用 Google 登录"时 |
| 会话凭证 |
session token(随机字符串,约 30 天有效期)、token 创建时间、过期时间 |
登录成功后自动生成 |
| 邮箱验证 |
验证 token、验证邮件发送时间 |
注册后由系统发送验证邮件 |
| 使用记录 |
订阅 / 参与的比赛、自定义股票池、操作日志 |
您主动使用功能时 |
| 技术信息 |
访问 IP(仅短期存于服务器访问日志,用于风控)、User-Agent、请求路径 |
每次访问自动产生 |
我们不收集:身份证号、银行卡号、社保号、生物信息、地理位置精确坐标、通讯录、相册、麦克风、摄像头等敏感个人信息。本平台从不接受真实资金,因此也不存储任何金融账户、支付信息。
2. 我们如何使用这些信息
- 账号鉴权:验证您是登录用户,识别您拥有的资源;
- 邮箱验证:通过 SMTP(当前使用阿里云企业邮件 smtp.qiye.aliyun.com)发送验证邮件、登录通知;
- Google OAuth 单点登录:根据 Google 返回的 sub 标识匹配您在本平台的账户;
- 比赛与排名:展示您订阅 / 参与的模拟比赛、积分、排行位置;
- 滥用防御:通过 IP / 请求频率检测刷号、暴力破解、爬虫等异常行为;
- 错误诊断:服务器日志用于排查 bug、修复故障;
- 聚合分析:仅以匿名聚合形式分析平台整体活跃度、热门策略,不针对个体用户画像。
3. 我们如何保护这些信息
- 密码从不以明文存储,使用 PBKDF2-SHA256(200,000 轮迭代)+ 随机盐存储;
- HTTPS 加密所有公网传输(mitai.at → 浏览器);
- 服务器间通信使用共享密钥(X-Mitai-Internal-Token)鉴权,密钥不暴露给客户端;
- 数据库存储在中国大陆境内的服务器(运维主机 + 阿里云公网入口),不出境;
- 定期备份;备份文件存储在受控环境;
- 对内部访问遵循最小权限原则。
4. 我们是否与第三方共享
本平台不出售、不出租、不交易您的个人信息给任何第三方。
以下是必要的第三方协作,仅为完成服务所需:
- 邮件服务:阿里云企业邮件(用于发送验证邮件 / 系统通知);
- OAuth 身份提供方:Google(当您选择 Google 登录时,会按 Google 标准 OAuth 协议交换身份凭证);
- 行情数据提供方:Interactive Brokers、Yahoo Finance、AKShare、Finnhub。这些是本平台向他们请求行情,不向他们发送您的任何个人信息。
仅在以下法定情形下,我们可能依法配合披露:
- 司法机关、监管机构出具的合法调查令;
- 保护本平台或第三方合法权益的紧急情况;
- 用户本人书面授权。
5. Cookie 和本地存储
本平台使用浏览器 localStorage 保存以下信息:
mitai_token:登录 session token(用于免重复登录);LIVE_STREAMING_TOKEN:(仅管理员)实时行情 WS 令牌;- 其他界面偏好(主题、语言、tab 排序等)。
本平台不使用第三方追踪 Cookie,也不集成 Google Analytics、百度统计等第三方分析。如果您希望清除上述存储,可在浏览器隐私设置中清理 mitai.at 的站点数据。
6. 您的权利
您对自己的个人信息拥有以下权利:
- 访问权:登录后可在"我的账户"页查看您的账号信息;
- 更正权:可修改显示名、密码;如需修改注册邮箱,请联系客服;
- 删除权:您可发送邮件到 info@mitai.at 要求注销账号;除非法律法规要求保留,我们将在30 个工作日内完成删除;
- 导出权:可申请导出您在本平台产生的数据;
- 撤回授权:可解除 Google OAuth 关联(注意:解除后将无法用 Google 登录,需另设密码);
- 申诉权:如认为本平台处理您的个人信息违反相关法律,可向所在地网信办或市场监管部门投诉。
7. 未成年人保护
本平台不向未满 18 周岁的未成年人提供服务。如果您发现未成年人通过虚假信息注册了账号,请联系我们,我们将尽快删除该账号及相关数据。
8. 数据保留期限
- 账号信息:账号有效期间长期保留;账号注销后,与可识别身份关联的字段在 30 个工作日内删除;
- session token:约 30 天自动过期;
- 邮箱验证 token:使用后或 24 小时未使用即失效;
- 服务器访问日志:90 天滚动覆盖;
- 比赛公开排名:账号注销后会脱敏处理(保留比赛历史记录但隐藏您的 display_name);
- 法律法规要求留存的数据按法律规定的最低期限保留。
9. 跨境传输说明
本平台的数据存储与处理均在中华人民共和国境内。Google OAuth 登录会涉及与 Google 服务器(境外)的标准协议交换;如您不希望此跨境交换,请使用邮箱密码登录方式。
10. 政策更新
本《隐私政策》可能因法律法规变化、产品功能调整等原因更新。重大变更我们将通过站内公告或邮件方式通知。继续使用本平台即视为接受更新后的政策。
11. 联系方式
关于本《隐私政策》的任何问题、投诉、数据请求,请联系:
邮箱:info@mitai.at