隐私政策

1. 简介及数据控制者

EMORA AI（以下简称"EMORA"或"我们"）是本平台所处理个人数据的数据控制者。我们依照包括《通用数据保护条例》（GDPR）、《加州消费者隐私法》（CCPA）及韩国《个人信息保护法》（PIPA）在内的适用数据保护法律，致力于保护您的隐私。

数据控制者：EMORA AI｜隐私咨询：administrator@tryemora.com｜数据保护官（DPO）：administrator@tryemora.com 电话: +82-10-5170-5136.

2. 我们收集的数据

我们收集以下类别的个人数据：

• 账户数据：电子邮件地址、用户名、密码哈希值（bcrypt）、出生日期、账户创建日期。
• 个人资料数据：显示名称、头像图片、个人简介、语言偏好、年龄验证状态。
• 使用数据：创建的角色、聊天消息、生成的媒体、GEM余额及交易记录、任务及签到记录。
• 支付数据：通过Toss Payments Co., Ltd.处理的交易标识符（含银行卡、账户转账及移动支付；卡/账户信息由Toss Payments独家保管，我们不存储原始卡号）。
• 技术数据：IP地址、浏览器/设备类型、会话令牌、错误日志、请求元数据。
• 年龄验证数据：出生日期确认及验证时间戳。
• 通信数据：发送至我们团队的支持邮件及安全举报。

3. 处理的法律依据（GDPR第6条）

在GDPR适用的情况下，我们依据以下法律依据处理数据：

• 合同履行（第6(1)(b)条）：账户创建、聊天服务提供、GEM交易、支付处理。
• 合法利益（第6(1)(f)条）：欺诈预防、平台安全、服务改进、安全监控。
• 法律义务（第6(1)(c)条）：CSAM强制报告（NCMEC/IWF）、执法配合、财务记录保存。
• 同意（第6(1)(a)条）：可选Cookie、营销通信。同意可随时撤回。

4. 我们如何使用您的数据

• 提供并个性化EMORA平台及AI角色聊天服务。
• 处理支付及管理GEM服务积分余额。
• 符合所在司法管辖区法规的年龄确认。
• 安全监控、内容审核及法定报告义务履行。
• 技术问题诊断、AI质量改进及滥用防范。
• 发送交易邮件（账户、支付）及可选服务更新。

5. 数据共享与披露

我们不出售、出租或交易您的个人数据。仅在以下情况下共享数据：

• Toss Payments Co., Ltd.：支付处理（银行卡、账户转账、移动支付）及反欺诈。仅处理支付标识符（卡/账户数据由Toss Payments独家保管）。依电子商务法保留5年。
• xAI / Grok: AI文本和图像生成（api.x.ai）
• Vercel（托管）：在美国境内处理请求日志及边缘函数执行数据。
• Supabase / AWS东京（数据库）：所有用户数据存储于AWS ap-northeast-1（日本东京）。含文件存储。
• 执法机关：法律、法院命令或人身安全保护所必需时。
• NCMEC CyberTipline及IWF：依照适用法律强制报告已确认的CSAM。

我们绝不向第三方出售您的个人数据用于广告或其他商业目的。

6. 国际数据传输

您的数据可能在以下地区处理：

• 大韩民国：我们的主要运营主体。
• 日本（AWS ap-northeast-1 / Supabase东京）：主要数据库存储地。
• 美国（Vercel）：无服务器托管及边缘交付。
• 必要时，传输受欧盟委员会批准的标准合同条款（SCC）保护。

7. 数据保留

• 账户数据：账户活跃期间保留。删除后有90天宽限期，之后永久删除。
• 聊天记录及AI生成媒体：自创建之日起保留12个月后删除。
• 支付记录：依财务法规保留7年。
• 安全日志及CSAM相关记录：依适用法律保留3年。
• 备份快照：实际删除后30天内清除。

8. GDPR赋予的权利

如果您位于EEA、英国或瑞士，您享有以下权利：

• 访问权：请求获取个人数据副本。
• 更正权：更正不准确或不完整的数据。
• 删除权（"被遗忘权"）：在法律保留义务范围内请求删除。
• 限制权：在特定情况下限制我们处理数据的方式。
• 可携权：以结构化、机器可读格式接收数据。
• 异议权：对基于合法利益的处理提出异议。
• 自动化决策：不受具有法律效力的纯自动化决策约束。
• 投诉权：向所在国监管机构（如ICO、CNIL、BfDI）提出投诉。

行使权利请发送邮件至administrator@tryemora.com，我们将在30天内答复。

9. CCPA权利——加利福尼亚州

加利福尼亚州居民依CCPA享有以下权利：

• 知情权：请求披露所收集个人信息的类别及具体项目。
• 删除权：请求删除我们收集的个人信息。
• 更正权：请求更正不准确的个人信息。
• 非歧视权：行使CCPA权利不受歧视。
• CCPA请求请发送至administrator@tryemora.com，我们将在45天内答复。

10. 韩国《个人信息保护法》（PIPA）

我们遵守韩国《个人信息保护法》（PIPA）。

• 收集项目：电子邮件、用户名、密码（bcrypt哈希）、出生日期、IP地址、支付标识符。
• 收集目的：账户管理、服务提供、安全合规。
• 保留期限：见第7条；财务记录依相关法律保留5年。
• 咨询：administrator@tryemora.com｜个人信息保护负责人：administrator@tryemora.com

11. Cookie

• 必要Cookie：用于身份验证（会话令牌）及安全（CSRF），不可禁用。
• 功能Cookie：语言偏好（区域设置Cookie），可选但建议启用。
• 我们不使用追踪Cookie、广告Cookie或第三方分析Cookie。

12. 儿童隐私 (COPPA / GDPR-K)

EMORA不会故意收集13岁以下（EEA地区16岁以下）儿童的个人数据。如果您未满13岁（EEA地区未满16岁），请在获得父母或监护人可验证的同意之前不要使用本服务。如果我们发现在未获得父母同意的情况下收集了适用年龄以下儿童的个人数据，我们将立即删除该数据。父母或监护人可通过administrator@tryemora.com联系我们。

13. 安全

• 传输中的数据通过TLS 1.2/1.3加密保护。
• 静态数据在数据库层面通过AES-256加密保护。
• 密码使用带有用户专属盐值的bcrypt进行哈希处理。
• 如发生影响您权利的数据泄露，我们将依GDPR规定在72小时内通知您及相关监管机构。

14. 联系我们

如有隐私相关问题，请联系相应团队：

• 一般咨询：administrator@tryemora.com
• 隐私请求（GDPR/CCPA/PIPA）：administrator@tryemora.com
• 数据保护官：administrator@tryemora.com
• 法务及DMCA：administrator@tryemora.com
• 安全及CSAM举报：administrator@tryemora.com
• CCPA请求：administrator@tryemora.com