隐私政策

HALO 是一个社区拼车平台。我们在可信赖的社区（学校、体育俱乐部、社区邻里）内部，连接家长、司机和孩子。本政策说明我们收集哪些个人信息、如何使用，以及你对这些信息所享有的权利。

[REVIEW: name + registered address of data controller, jurisdiction of incorporation, registered ICO/CNIL/etc. number where applicable.]

我们收集的信息分为三类：

2.1 账户信息

• 姓名、电子邮箱、角色（家长 / 司机 / 乘客 / 孩子）
• 个人头像（可选）
• 认证元数据（登录时间、二次验证注册）

2.2 活动信息

• 你所属的社区，以及你在每个社区中的角色
• 你驾驶或加入的行程，包括上车地点、目的地和时间戳
• 拼车参与情况和行程状态变更
• 你给出和收到的评价（1–5 星 + 可选评论）
• 你触发或涉及的 SOS 事件
• 你通过应用内问题报告器提交的反馈

2.3 司机信息（仅限司机）

• 你为验证而上传的驾照和保险文件
• 车辆品牌、型号和注册信息

2.4 儿童信息

对于在你所在司法管辖区未达到数字同意年龄的孩子，只有在家长或监护人通过第 6 节所述的电子邮件确认流程提供可核验的同意之后，我们才会收集以下信息：

• 显示名称和出生日期（用于确定年龄类别）
• 允许孩子乘车的社区
• 家长 / 监护人关系（通过你的账户关联）

[REVIEW: jurisdictional table — UK 13, EU 13–16 by member state, US 13 (COPPA), California 13 (CCPA child carve-out). Confirm cut-off ages used in ageCategoryAtConsent computation match.]

我们使用上述信息来：

• 提供拼车服务：匹配司机和乘客、计算容量、优化上车顺序，以及发送行程通知
• 向你的社区管理员展示司机验证文件以供人工审核 — HALO 不进行自动化背景调查
• 在进行中的行程期间运营 SOS 和事件处置流程
• 在你的社区内维护信誉信号（评价、爽约次数）
• 仅在进行中的行程期间向参与乘客推送司机位置 — 行程结束的那一刻即清除实时位置
• 侦测欺诈与滥用，暂停违反我们条款的账户
• 遵守法律义务并响应合法请求

[REVIEW: lawful basis per processing purpose under UK/EU GDPR Article 6 — most will be Article 6(1)(b) contract, with safety / fraud / audit being 6(1)(f) legitimate interests. Children's processing relies on Article 6(1)(a) + Article 8 verifiable parental consent.]

我们不出售个人信息。我们仅在运营服务所需的范围内，与以下类别的接收方共享：

• 你社区的其他成员 — 你的显示名称和角色对活跃成员可见；行程参与情况对参与者和司机可见；评价按照该社区的评价阈值可见。
• 你的社区管理员 — 你的社区管理员可以看到成员资格和批准状态、他们所审核的司机申请、他们社区内的 SOS 事件，以及汇总统计数据。
• 服务提供商（次级处理方）：托管于 Google Cloud Platform 的 Google Firebase（认证、数据库、文件存储、推送通知）。[REVIEW: list any other sub-processors — email transactional provider, SMS, mapping, analytics — once finalised.]
• 主管机关 — 当受合法请求（传票、法院命令、监管查询）所强制时。

[REVIEW: international transfer language — Google Cloud regions used, Standard Contractual Clauses if EU/UK data leaves region, adequacy decisions relied on.]

我们仅在实现上述目的所需的期限内保留个人信息。具体的保留窗口是发布在我们 Remote Config 中、运营方可切换的数值，目前设置为：

• 不活跃账户：在 24 个月不活跃后擦除
• 已完成的行程：在 18 个月后匿名化
• 已取消 / 爽约的行程：在 6 个月后彻底删除
• 已解决的 SOS 事件：在 36 个月后匿名化
• 反馈消息：在 24 个月后匿名化（移除 userId）
• 审计日志条目：在 36 个月后彻底删除
• 电子邮件投递日志：成功发送保留 30 天，失败保留 90 天

[REVIEW: confirm these windows align with statutory retention duties (e.g. tax, road-traffic incident reporting). Legal-hold flag overrides all schedules; coordinate with retention engineering before publishing.]

HALO 在设计上仅在获得可核验的家长同意后才供儿童使用。流程如下：

1. 家长提交孩子的姓名、出生日期，以及他们将乘车的社区。
2. HALO 向家长发送一个有效期为 24 小时的一次性同意链接。
3. 家长在登录状态下点击该链接以确认同意。确认会连同政策版本、方式（电子邮件双重确认）和时间戳一并记录。
4. 只有在确认之后，孩子的个人资料才会激活。

家长可随时暂停孩子的账户，并可通过下方的联系渠道请求删除所有儿童数据。

[REVIEW: COPPA Section 312.5 verifiable-consent method — confirm email-with-credit-card or alternative is satisfied; current flow is email double opt-in to a verified parent address. UK ICO age-appropriate-design code implications.]

你有权：

• 访问我们持有的关于你的个人信息（数据导出）
• 更正不准确的信息
• 删除你的账户以及我们持有的关于你的数据
• 反对或限制某些处理
• 以可携带的、机器可读的格式获取你的数据
• 撤回对依赖同意的处理的同意（包括儿童同意）
• 向你的监管机关提起申诉

你可以随时在 HALO 应用内行使访问和删除权利 —「设置 → 隐私」可让你请求导出一份包含你的个人资料、孩子的个人资料、行程历史、评价和同意记录的 JSON（链接 7 天后失效）。删除也可在同一界面进行。对于其他请求，请按照第 10 节中的地址写信给我们。

[REVIEW: response-time commitments — UK/EU GDPR is 1 month extendable to 3; California CCPA is 45 days. Confirm contact routing meets §15 GDPR information request requirements.]

HALO 管理后台网页门户仅使用一个必要的 Cookie（认证会话），以便平台管理员保持登录状态。我们目前不在公开站点上使用分析、广告或任何非必要的 Cookie。[REVIEW: revisit if Plausible / GA4 / Hotjar etc. are introduced — UK/EU ePrivacy requires consent banner before non-essential cookies are set.]

HALO 采用符合行业标准的技术和组织措施，包括：通过 Google Cloud Platform 实现传输中和静态存储时的加密、对平台管理员采用基于角色的访问控制并配以多因素认证、对特权操作进行只可追加的审计日志记录，以及对破坏性操作进行升级的二次认证。

互联网上的任何传输方式或电子存储方式都无法做到 100% 安全。当某次泄露可能对你的权利和自由构成风险时，我们将依照适用法律通知相关监管机关，并在法律要求时通知你。

如有任何隐私问题、数据主体请求或申诉，请通过联系页面与我们联系。

[REVIEW: postal address of controller, DPO contact if appointed, EU/UK Representative contact if controller is outside the territory but processes EU/UK personal data.]

当我们的实践发生变化时，我们会更新本政策。重大变更将通过提升政策版本并向账户持有人发送电子邮件来公告。版本号和最后更新日期显示在本页顶部。