GDPR声明
生效日期:2026年6月29日 · 最后更新:2026年6月30日
Zeptun Intelligence Limited (Hong Kong SAR)(“我们”)运营位于unbox.im的Unbox邮件平台,致力于按照欧盟《通用数据保护条例》(GDPR)及类似法律保护个人数据。本页概述我们如何处理欧洲经济区(EEA)、英国和瑞士客户的数据。它是对我们的隐私政策和服务条款的补充。
我们是谁
Zeptun Intelligence Limited (Hong Kong SAR)是通过unbox.im上的Unbox处理的个人数据的数据控制者。有关数据保护的咨询,请联系privacy@unbox.im。
Unbox是什么(以及不是什么)
Unbox是一个事务性邮件和域名收件箱平台。我们帮助您在自己的域名上发送和管理重要邮件——验证码、密码重置、订单更新和团队通知。
我们不提供营销或新闻简报广播服务。我们的HTTP API和SMTP提交路径仅限于事务性邮件。这一产品选择降低了GDPR营销同意复杂性:我们不会代您发送促销活动,也不要求平台邮件提供营销选择加入或退订流程。
出站API和SMTP——仅限事务性邮件
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
允许的示例
- 账户验证、密码重置和安全提醒
- 订单确认、收据、发货更新和付款通知
- 由特定用户或系统事件触发的通知
- 团队和工作空间消息(邀请、分配、内部提醒)
禁止的示例
- 新闻简报、促销活动或广播营销
- 冷启动外联或向购买、抓取或未获同意的列表发送邮件
- 联盟垃圾邮件、钓鱼或欺骗性内容
- 任何试图绕过收件人上限、速率限制或套餐配额的行为
速率和收件人限制(政策)
为防止事实上的批量营销,同时允许正常的团队通知,出站API和SMTP流量除计划配额外还受以下限制。限制自动执行,适用于每个工作空间(所有者和团队成员共享每日唯一收件人池,UTC午夜重置):
- 每封邮件的收件人数: 最多50个(收件人+抄送+密送合计)
- 每日独立收件人数: 每个工作空间最多1,000个
- 发送请求速率: 每个域名每分钟最多10次API或SMTP提交
- 套餐出站配额: 您的订阅的月度发送限制仍然适用
这些规则是我们的可接受使用政策的一部分。自动执行已在网页编辑器、HTTP API和SMTP提交中生效。发送营销邮件、批量邮件或以其他方式滥用发送基础设施的账户可能会被限流、暂停或终止。
我们监控投递质量信号。持续超过3%的退信率或超过0.1%的投诉率可能触发临时发送暂停或人工审核。
这些规则也在我们的服务条款中说明。
处理的合法依据
- 合同 — 提供您注册的主机、DNS、收件箱、API发送、计费和支持服务。
- 合法利益 — 安全、滥用预防、可投递性监控和产品改进,与您的权利相平衡。
- 同意 — 在需要时,例如将内容发送到云端模型提供商的可选AI功能,或连接第三方邮件账户。
- 法律义务 — 税务、账单以及来自当局的合法请求。
我们已经采取的措施
- 验证注册 — 新账户必须在登录前确认邮箱(一次性验证码或魔法链接)。
- 加密 — 传输中的数据使用TLS;敏感凭证和令牌静态加密;API密钥以哈希形式存储。
- 数据最小化 — 外发投递日志仅存储元数据(不含邮件正文)。外部账户预览在七天后过期。投递日志按短期保留策略清除(默认14天)。
- 用户控制的保留 — 回收站、垃圾邮件隔离和永久删除流程;您可以自行选择删除邮件在清除前的保留时长。
- DNS认证 — 我们引导您完成SPF、DKIM和DMARC设置,并在域名验证通过前阻止发送。
- 操作员问责 — 平台工作人员在管理控制台中的操作均记录审计日志;团队成员变更将记录在工作区活动动态中。
- 不出售个人数据 — 我们不会将您的信息出售给广告商或数据中间商。
子处理器
我们使用值得信赖的基础设施合作伙伴来运行Unbox。他们仅在我们的指示和合同保障下处理数据:
- Vercel — Web应用托管和无服务器函数
- Neon — PostgreSQL数据库
- Upstash — Redis(队列和速率限制)
- Vercel Blob — 附件和邮件Blob存储
- Amazon Web Services (SES) — 入站和出站邮件投递
- Stripe — 订阅计费和发票
- OpenRouter — 当您使用需要远程模型的AI功能时的云端AI推理
最新列表见我们的隐私政策。需要签署数据处理协议(DPA)的商业客户可通过 privacy@unbox.im 申请。
国际数据传输
Unbox 主要从新加坡运营,基础设施位于 AWS ap-southeast-1 以及我们的托管提供商使用的全球边缘节点。当个人数据被传输到欧洲经济区以外时,我们依赖于适当的保障措施,例如标准合同条款和供应商DPA。我们正在为需要在欧盟进行数据驻留的客户规划欧盟区域存储选项。
您在GDPR下的权利
如果GDPR适用于您,您可能有权:
- 访问我们持有的关于您的个人数据
- 纠正不准确的数据
- 以可移植格式导出您的数据
- 删除您的数据(“被遗忘权”)
- 限制或反对某些处理
- 撤回基于同意的处理中的同意
- 向您当地的监管机构提出投诉
如何立即行使您的权利: 使用注册邮箱发送邮件至 privacy@unbox.im。我们将在一个月内回复。设置中的自助导出和账户删除功能已列入路线图——请参见下文。
AI与您的邮件
当您使用AI功能时,相关邮件内容可能会被发送给AI提供商用于摘要、分类或起草。我们尽量减少发送的内容,并且不会使用您的邮件来训练公共模型。商业客户将能够在账户设置中限制云端AI处理;在此功能上线之前,请联系我们选择退出云端推理。
安全与数据泄露
我们维护技术和组织措施,包括访问控制、加密、MFA/通行密钥支持以及事件响应流程。如果个人数据泄露对您的权利构成风险,我们将依法通知受影响的用户和监管机构。
改进计划
我们正在积极加强GDPR合规性,包括:
- 在设置中提供自助数据导出和账户删除功能
- 在注册时存储同意记录,并跟踪政策版本
- 外发发送限制,防止批量营销滥用,同时允许正常的团队通知(见上文)
- 扩展子处理方透明度及客户DPA模板
- 可选欧盟数据驻留
联系方式
数据保护咨询:privacy@unbox.im
一般支持:hello@unbox.im