法律条款
隐私政策
最后更新:2026年5月24日
1. 我们是谁
本政策说明 MerchGent Inc.(下称「MerchGent AI」或「我们」)在你使用 merchgent.com 上提供的 MerchGent AI 服务(下称「本服务」)时如何收集和使用信息。
2. 我们收集哪些数据
我们只收集运行本服务所必需的数据:
- 账户数据 — 你的姓名、工作邮箱、密码哈希(由我们的身份认证服务商保管 — 见第 5 节),以及订阅元数据(状态、账单周期、支付方式末四位 — 绝不保存完整卡号)。
- 邮箱连接元数据 — 你接入的邮箱地址及其服务商(Microsoft 365 / Outlook 通过 OAuth;或任何支持 IMAP 的邮箱通过应用专用密码 — 包括 Gmail、个人 Outlook.com、腾讯企业邮、网易企业邮、阿里云邮箱、新浪、Titan、iCloud、Yahoo,以及通过「任意 IMAP 邮箱」选项接入的任意服务器,涵盖 Zoho、Yandex、Fastmail、自有域名邮箱、ProtonMail Bridge、自建 Dovecot 等)。所有邮箱凭据 — OAuth 刷新令牌与 IMAP 应用密码 — 均以 AES-256-GCM(与银行保护交易所用的同一 认证加密标准)加密存储,密钥仅保存在我们的基础设施中。对于通用 IMAP,我们另外保存客户提供的 IMAP/SMTP 主机名与端口,以便代理知道连接哪台服务器。
- 邮件内容(瞬态) — 代理运行时,我们从你的服务商拉取相关的收件箱与已发邮件,在内存中处理,并在该次运行结束时丢弃。我们不会把原始邮件正文作为语料持久保存在数据库中。
- 草稿历史(有限) — 对代理起草的每封回信,我们保存一条记录:草稿正文、原始邮件标识符,以及(如果我们之后检测到你发送了该邮件)你实际发送的正文和两者的差异。这份草稿日志的存在,是为了让代理能从你的修改中学习并随时间改进。该日志仅限你的账户范围,仅用于优化你的语气画像,并按第 7 节的规定删除。我们不会记录你未回复邮件的正文。
- 派生画像(持久) — 代理生成语气画像、按供应商/按客户的联系人卡片、一份业务摘要,以及你所在岗位的语域提示。这些每周用你最近的已发邮件 + 草稿修改刷新一次。它们保存在我们的数据库中供后续运行使用,仅限你的账户范围,绝不在账户之间共享,也不会展示给任何其他人。
- 运行日志 — 运行时间戳、邮件计数、草稿计数、通道统计(必复 / 应读 / 无需关注的总数)、错误类名等元数据。日志绝不包含你邮件的正文,邮箱地址在日志层即被脱敏(例如
kis***@gmail.com)。 - 网站分析 — 来自托管服务商的最小化第一方页面访问计数。merchgent.com 不使用第三方分析脚本(Google Analytics 等)。
3. 我们如何使用你的数据
- 提供本服务 — 读取你的邮箱、分类邮件、起草回信。
- 向你收费并管理你的订阅。
- 发送事务性邮件(欢迎邮件、深度学习完成通知、每日摘要)。
- 通过汇总的运行指标改进本服务。我们不会用邮件内容训练模型,无论是我们自己的还是任何他人的模型。
- 响应法律程序或遵守适用法律。
4. AI 处理 — 你应当清楚了解的部分
为了对你的邮件分类并以你的语气起草回信,我们会把邮件内容和你的派生语气画像发送给作为我们子处理者的第三方大语言模型(「LLM」)服务商。截至本页顶部所示日期,指定的 LLM 服务商为 阿里云通义千问 Qwen(Alibaba Cloud Computing Ltd.,中国杭州)— 主用;DeepSeek(DeepSeek AI Ltd.,中国杭州)— 备用。我们选择他们,是因为其商业 API 合同声明不会使用客户的 API 输入训练其模型。我们未来可能更换 LLM 服务商,并将提前 30 天通过邮件通知 — 见第 5 节。
每次 LLM 调用发送的数据包括:(a) 来件正文或相关历史邮件;(b) 你的派生语气画像;(c) 一段简短的业务摘要;(d) 同一会话中最多三封先前邮件作为上下文;(e) 仅就每周工作报告功能而言,近期草稿主题列表(发送前已清除邮箱地址与对方名称)及汇总计数。服务商返回通道分类、适当时的草拟回信,以及报告功能的叙述文本。MerchGent AI 与 LLM 服务商都不会在防滥用所需的常规短期运行日志之外保留这些输入(阿里云 DashScope 公布的保留窗口为 30 天;DeepSeek 同为 30 天)。
公开演示路由。/demo 分类器接受访客粘贴的单封来件样式邮件并返回分拣结果。输入由上文指定的同一 LLM 子处理者处理。我们保留按 IP 的限流计数 7 天;除即时响应外不保留演示输入。
数据实际去往哪里。阿里云 DashScope(通义千问)与 DeepSeek 的生产 API 均托管在中国大陆。发送给任一模型的邮件内容因此会传输至中国大陆的基础设施并在其中处理。位于中国以外的客户应当知悉这一路由,并在接入邮箱前咨询自身内部的数据处理政策。阿里云提供非中国大陆的区域部署(如新加坡),我们正在为需要非 PRC 处理的客户评估 — 如与你的组织相关,请联系 hello@merchgent.com。
默认情况下,MerchGent AI 没有任何人会阅读你的邮件。 整条管线端到端自动化,代理运行时是唯一解密邮箱内容的地方。团队成员可能查看特定内容的少数指定例外是:
- 你要求我们查看。当你提交支持工单并分享特定邮件或草稿以便我们调试时,我们只查看你转发给我们的内容,并在工单关闭后丢弃。
- 安全事件响应。如果我们检测到或被告知某邮箱疑似被未授权访问,值班工程师可能检查为遏制事件所必需的最小范围(通常是连接元数据、错误日志和近期草稿 ID)。我们会记录每一次此类操作并通知账户持有人。
- 法律强制。法院命令或执法请求,以我们依法必须配合的范围为限。在法律允许的情况下我们会通知你。
在上述情形之外,生产环境的访问仅限于运行元数据和加密的凭据数据 — 团队中没有人持有能在代理运行时之外以明文读取它们的密钥。
5. 子处理者
我们依赖一组数量很少的指定子处理者。每一家都为特定职能而选定,并受合同约束仅限该职能。截至本页顶部所示日期:
- 云托管 — Vercel Inc.(美国)。托管 merchgent.com 网页应用并运行 HTTP 边缘函数。
- 数据库 — Neon Inc.(美国、欧盟区域)。存储订阅状态、邮箱连接元数据、派生画像和运行日志。
- 身份认证 — Clerk Inc.(美国)。保管你的账户凭据。我们从不接触你的密码。
- 支付 — Stripe Inc.(美国)。处理付款并存储账单信息。我们从不接触你的完整卡号。
- 事务性邮件 — Resend Inc.(美国)。发送欢迎邮件、启动完成通知和每日摘要。
- LLM 服务商 — 阿里云通义千问 Qwen(Alibaba Cloud Computing Ltd.,中国杭州)— 主用;DeepSeek(DeepSeek AI Ltd.,中国杭州)— 备用。对单次运行的邮件内容执行分类与起草,然后丢弃(受服务商自身用于防滥用的短期保留窗口约束)。
- DNS 与边缘 — Cloudflare Inc.(美国)。为 merchgent.com 与 merchgentai.com 提供 DNS,并将 *@merchgentai.com 转发至我们的 hello@merchgent.com 收件箱(Email Routing)。
- 企业邮箱托管 — Zoho Corporation Pvt. Ltd.(印度 / 美国)。托管 merchgent.com 的入站邮箱(如 hello@、support@),用于客户支持往来。你作为支持请求的一部分发送给我们的任何邮件,其存储受 Zoho 隐私政策约束。
- 邮箱 API — Microsoft Corporation(Microsoft Graph)、Google LLC(Gmail API),以及你邮箱所在的 IMAP 服务商(如腾讯、网易、阿里、新浪、Titan、Apple、Yahoo)。它们并非通常意义上的子处理者 — 而是我们在你接入时授予的权限下读取邮件并写回草稿的源系统。
- 持续集成与代理运行时 — GitHub Inc.(美国)。每小时的代理作为定时任务在 GitHub Actions 上运行。只有运行所需的密钥会进入该环境;邮箱内容在每次定时运行内拉取、处理并丢弃。
我们可能新增或更换子处理者,并提前 30 天通过邮件通知备案地址。变更后继续使用本服务即视为接受。如需随时索取最新的子处理者清单,请发邮件至 hello@merchgent.com。
6. 你的数据存放在哪里
我们的网页应用与数据库运行在美国和欧盟的云区域。邮箱令牌与派生画像存储在这些区域内我们的 Neon Postgres 实例中。每小时的代理作为定时任务运行在 GitHub Actions 环境中。
发送给 LLM 服务商的邮件内容会传输至中国大陆。如第 4 节所披露,我们当前的 LLM 服务商为 DeepSeek,其 API 托管在中国大陆。如果你的组织有禁止数据经由 PRC 路由的政策,请在我们于你所在区域提供替代服务商之前不要接入邮箱。如这对你构成约束,请发邮件至 hello@merchgent.com。
跨境传输机制。对于通过 DeepSeek 将个人数据传输至中国大陆的欧盟 / 英国 / 瑞士客户,我们依赖的合法基础是客户对该特定传输的明确同意(GDPR 第 49(1)(a) 条及英国 / 瑞士的对应条款)。你接入邮箱即提供了该同意 — 你已通过本政策获知目的地司法辖区(中国大陆)未获得欧盟委员会的充分性认定,且可能不提供同等的数据保护权利。你可以随时通过取消订阅撤回同意 — 见第 7 节关于删除的说明。如你需要标准合同条款(SCC) 或其他传输机制,请在订阅前联系我们。
我们不会有意处理特殊类别个人数据(健康、生物特征、宗教、政治立场)、儿童数据或政府签发的身份证号。如果你发现你邮箱中的此类数据因本服务而被处理,请联系我们,我们将与你一起把它排除在处理范围之外。
7. 我们保留你的数据多久
- 原始邮件内容 — 每次代理运行开始时拉入内存,处理后在该次运行结束时丢弃。绝不作为语料持久保存在我们的数据库中。
- 邮箱 OAuth 令牌 + IMAP 授权码 — AES-256-GCM 加密存储,订阅有效期间保留。取消后七 (7) 天内删除。
- 草稿日志条目(sent_match 学习闭环) — 代理起草回信后,我们将草稿正文与原始邮件 ID 保留至多九十 (90) 天,用于检测你是否发送了该草稿,并在发送时计算我们所写与你所发之间的差异。已并入下一次每周语气画像刷新的已发正文与修改差异随即清除。90 天内未匹配的一律删除。以上全部在取消后七 (7) 天内删除。
- 派生画像 — 语气画像、供应商 / 客户卡片、业务摘要、角色与语域提示。每周刷新。取消后七 (7) 天内删除。
- 运行日志与运行统计 — 保留九十 (90) 天,用于调试、计费准确性和防滥用。日志行内的邮箱地址在写入时即脱敏。
- 账户与账单记录 — 按税务与会计法律要求的期限保留(美国税务通常为七年),随后删除。
- 工作报告配置 — 你为每周工作报告指定的收件地址、发送频率,以及最近一次发送的时间戳。订阅有效期间保留。取消后七 (7) 天内删除。
- 等候名单条目 — 从主页收集的付费前注册信息(邮箱 + 可选公司 + 备注)。在我们评估市场需求期间保留至多 24 个月,随后删除。你可以通过 hello@merchgent.com 请求提前删除。
- 公开演示限流数据 — /demo 分类器的按 IP 与全局每日计数。保留七 (7) 天用于防滥用。每日清理。
8. 安全
我们采用行业标准的防护措施:
- 所有邮箱令牌与 IMAP 授权码静态存储均采用 AES-256-GCM 加密。
- 每一条连接都使用 TLS — 到你的邮箱服务商、到 LLM 服务商、我们服务器之间,以及从你的浏览器到网页应用。
- 可用范围内最严格的最小 OAuth 权限。对 Microsoft 我们请求
Mail.ReadWrite+MailboxSettings.ReadWrite— 绝不请求Mail.Send。对 Gmail 我们只请求读取 + 草稿 + 修改权限 — 绝不请求gmail.send。任何接入流程中都不包含发送权限。 - IMAP 服务商:你在接入中国邮箱服务商(腾讯企业邮、网易企业邮、阿里邮箱、新浪等)、iCloud、Titan 或 Yahoo 时提供的密码 / 应用专用授权码会同时授予 IMAP(读取)和 SMTP(发送)能力 — 协议层面没有办法收窄到只读。我们刻意从不接入 SMTP 客户端:草稿通过 IMAP(
APPEND到草稿邮箱)放入服务商的草稿箱,由客户在自己的客户端中审阅并发送。你可以在开源的代理代码中检索任何 SMTP 调用来验证 — 一个也没有。 - HTTP 响应包含严格的 Content-Security-Policy、X-Frame-Options: DENY、Permissions-Policy,以及带 preload 的 HSTS。
- 公开演示分类器按 IP 和全局每日限流,并在任何 LLM 调用之前在边缘拒绝提示注入模式。
- 服务商的错误响应绝不会原样回显给客户端,也不会带原始响应体写入日志 — 许多服务商会在 400 类错误中包含出错的提示词片段,因此我们丢弃响应体,只记录状态码类别。
- 我们的技术栈中任何地方都没有明文凭据存储。凭据加密密钥由 Vercel + GitHub Actions 的环境变量存储保管;团队中没有人对
encrypted_credentials的内容有直接读取权限。 - 生产基础设施的访问仅限于负有书面保密义务的工程人员。
没有任何系统是绝对安全的。如果我们获悉影响你数据的泄露事件,我们将在适用法律要求的时限内(GDPR 下为 72 小时;多数美国州法下为不得无故迟延)通过邮件通知你。
9. 你的权利
取决于你的居住地,你可能有权:
- 访问我们持有的关于你的数据;
- 更正不准确的数据;
- 删除你的数据(注意:取消订阅会在 7 天内触发自动删除);
- 以机器可读格式导出你的派生画像;
- 反对处理或撤回同意(这将终止你对本服务的使用);
- 向你当地的数据保护机构投诉。
自助通道。已登录用户无需提交工单即可立即行使访问与删除权利:
- 导出:
GET /api/account/export返回包含你的订阅、邮箱连接(凭据数据已脱敏)以及最近 90 天草稿历史的 JSON 下载。 - 删除:
POST /api/account/delete,JSON 请求体{"confirmEmail":"<your-primary-email>"},立即清除你的邮箱连接与草稿历史,并切断任何留存账单记录与你 Clerk 身份之间的关联。如响应中所述,你还应删除你的 Clerk 账户并取消任何剩余的 Stripe 扣费。
对于上述其他权利,或当任一自助端点对你失效时,请发邮件至 hello@merchgent.com。我们将在 30 天内回复。
10. Cookie
merchgent.com 只设置少量必要 Cookie,用于保持你的登录状态、记住你的语言偏好,以及保护 OAuth 流程免受 CSRF 攻击。我们不使用第三方广告或分析 Cookie。
目前使用的具体 Cookie:
__session、__client、__clerk_db_jwt、__refresh_*— 由我们的身份认证子处理者 Clerk 设置(见第 5 节),保存你的登录会话。在merchgent.com与clerk.merchgent.com上为第一方。退出登录或达到 Clerk 配置的不活跃窗口后过期。mg_locale— 第一方。记住你偏好英文还是中文界面。12 个月有效期。其中不存储任何个人数据。mg_oauth_state— 第一方、短时(10 分钟)、 HTTP-only。HMAC 签名的随机数,在你接入邮箱时保护 OAuth 握手。回调时即销毁。
上述所有 Cookie 在 ePrivacy 指令下均归类为「绝对必要」,无需同意横幅。如果我们将来添加任何非必要 Cookie(分析、营销等),会先引入同意横幅。
11. 本政策的变更
重大变更将至少提前 14 天通过邮件通知备案地址。非重大变更(错别字修正、措辞澄清)可不经通知进行;本页顶部的「最后更新」日期始终反映当前版本。
12. 联系方式
任何隐私相关的问题或请求,请发邮件至 hello@merchgent.com。
© 2026 MerchGent Inc..