个人信息保护指引
更新日期:2026 年 1 月 15 日
本指引依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》及相关法规制定,旨在帮助您详细了解 Devnors 得若平台(以下简称"本平台")如何收集、使用、存储和保护您的个人信息,以及您依法享有的各项权利。本指引是《隐私政策》的补充细则。
一、个人信息收集清单
下列为本平台收集的个人信息类别、具体字段、处理目的及处理方式:
1.1 必要信息(拒绝提供将影响核心功能使用)
- 手机号码 — 目的:注册登录、身份验证、找回密码、接收验证码。存储:加密存储。保留期限:账户存续期间及注销后 30 日
- 登录密码 — 目的:账户安全验证。存储:bcrypt 哈希加密,不可逆。保留期限:账户存续期间
- 用户名称/昵称 — 目的:平台内展示、身份识别。存储:明文存储。保留期限:账户存续期间
1.2 功能信息(增值服务,用户自愿提供)
- 简历信息(姓名、教育经历、工作经历、项目经验、技能标签、求职意向、期望薪资、头像、个人简介)— 目的:AI 智能匹配、岗位推荐、简历展示。存储:明文存储。保留期限:账户存续期间,可随时删除
- 岗位信息(职位名称、描述、要求、薪资范围、工作地点)— 目的:人才推荐、岗位展示。保留期限:岗位存续期间,可随时关闭或删除
- 企业信息(企业名称、行业、规模、简介、联系方式)— 目的:企业认证、企业主页展示。保留期限:账户存续期间
- 记忆数据(求职偏好、招聘偏好、技能特长、职业目标等自由文本)— 目的:AI 个性化推荐优化。保留期限:用户可随时查看、修改或删除
- 对话记录(与 AI 助手的对话内容)— 目的:提供连续对话服务。保留期限:账户存续期间,可通过清空对话记录删除
1.3 敏感个人信息(需单独同意)
- 身份证号码 — 目的:仅用于实名认证。存储:AES-256 加密存储。访问限制:仅认证审核流程中解密使用,不对外展示。保留期限:认证有效期内
- 营业执照信息(统一社会信用代码、法定代表人等)— 目的:仅用于企业资质认证审核。存储:加密存储。保留期限:认证有效期内
- 联系方式(邮箱、手机号用于联系交换)— 目的:仅在双方通过平台确认意向后,经明确操作同意才可互相查看。保留期限:账户存续期间
1.4 自动收集信息
- 设备信息(设备型号、操作系统、浏览器类型)— 目的:兼容性适配、安全防护
- 网络信息(IP 地址)— 目的:安全审计、异常登录检测。保留期限:日志保留不少于 6 个月
- 操作日志(访问时间、功能使用记录)— 目的:安全审计、服务改进。保留期限:日志保留不少于 6 个月
- Token 消耗记录(AI 调用次数、消耗量、模型类型)— 目的:计费管理、使用统计
二、个人信息处理规则
2.1 合法性基础
我们基于以下合法性基础处理您的个人信息:
- 知情同意:在收集个人信息前,通过隐私政策弹窗或功能页面说明等方式取得您的明确同意
- 合同履行:为履行招聘服务合同所必需的信息处理
- 法定义务:基于网络安全法、反电信网络诈骗法等法律法规的强制性要求
- 合理需要:为维护平台安全、防范欺诈所必需的信息处理
2.2 处理原则
- 合法正当必要原则:有明确、合理的处理目的,不超出实现目的所必需的范围
- 最小必要原则:仅收集实现服务功能所必需的最少信息,不强制要求非必要信息
- 公开透明原则:个人信息处理规则公开透明,明示处理目的、方式和范围
- 准确性原则:保证个人信息准确,及时更新和纠正
- 存储期限最短原则:仅在实现处理目的所必要的最短时间内保存个人信息
2.3 同意与拒绝
- 必要信息拒绝提供将影响核心功能使用(如无法注册登录)
- 功能信息拒绝提供仅影响对应增值功能,不影响基础服务
- 敏感信息需单独取得您的明确同意,拒绝不影响非敏感功能使用
三、个人信息主体权利
根据《个人信息保护法》第四章,您依法享有以下权利:
- 知情权与决定权(第44条):了解个人信息处理情况,有权限制或拒绝他人处理您的个人信息
- 查阅复制权(第45条):您可在「系统设置 → 账号信息」中查看已提交的个人信息。如需获取个人信息副本,请通过反馈工单提出申请,我们将在 15 个工作日内以电子文件形式提供
- 更正补充权(第46条):您可随时在相应页面修改您的个人信息。如因技术原因无法自行修改,可提交工单由我们协助处理
- 删除权(第47条):在以下情形中您有权要求删除个人信息——(1) 处理目的已实现、已不存在;(2) 我们停止提供相关产品或服务;(3) 超出约定保存期限;(4) 您撤回同意;(5) 我们违反法律或协议约定处理您的个人信息
- 可携带权(第45条第3款):符合国家网信部门规定条件时,您有权请求将个人信息转移至您指定的其他个人信息处理者。请通过反馈工单提出申请
- 撤回同意权(第15条):您可随时撤回此前给予的处理同意。撤回同意的方式包括:删除记忆数据、关闭个性化推荐、提交注销申请等。撤回不影响撤回前已进行的合法处理
- 自动化决策拒绝权(第24条):对于 AI 算法推荐结果,您有权要求说明决策逻辑和推荐依据。如推荐结果对您的权益产生重大影响,您有权拒绝仅基于自动化决策做出的决定
- 账户注销权:您有权随时注销账户,我们将在收到注销申请后 15 个工作日内完成账户删除及个人信息清除(法律法规要求保留的除外)
- 逝者近亲属权利(第49条):自然人死亡后,其近亲属为了自身合法、正当利益,可依法对死者的个人信息行使查阅、复制、更正、删除等权利
权利行使方式:通过「反馈建议」功能提交"个人信息权利"类型工单,或在「系统设置」中自行操作。我们将在 15 个工作日内受理并回复。
四、个人信息共享与委托处理
4.1 第三方共享清单
- MiniMax(稀宇科技):共享简历文本、对话内容用于 AI 模型实时处理。数据不被存储或用于训练
- Google(谷歌):共享对话内容用于 Gemini AI 模型备选处理。数据不被存储或用于训练
- 支付服务商:Token 充值时共享订单金额信息,不共享个人身份信息
4.2 共享原则
- 仅在为您提供服务所必需的范围内共享
- 已与第三方签订数据处理协议,约束其数据使用行为
- 第三方不得将共享数据用于协议约定以外的用途
五、个人信息跨境传输
本平台优先使用境内 AI 模型服务(如 MiniMax)。当使用境外 AI 模型(如 Google Gemini)时,可能发生个人信息跨境传输。我们已采取以下措施:
- 仅传输实现服务功能所必需的最少数据(简历文本或对话内容的片段)
- 传输全程使用 HTTPS/TLS 加密
- 境外接收方不会长期存储或二次使用您的数据
- 按照《个人信息保护法》第三章相关规定,对跨境传输进行个人信息保护影响评估
- 您可在「系统设置 → 自定义大模型」中选择仅使用境内模型,避免跨境传输
六、个人信息存储与删除
6.1 存储地点
您的个人信息存储在中华人民共和国境内的服务器。
6.2 存储期限
- 账号基本信息:账户存续期间及注销后 30 日
- 简历和岗位信息:用户可随时删除,删除后立即从活跃数据库移除
- 操作日志和安全审计日志:保留不少于 6 个月(网络安全法要求)
- Token 消耗记录:保留 3 年(财务合规要求)
6.3 删除机制
- 用户主动删除内容后,从活跃数据库中立即删除
- 账户注销后 30 日内完成所有个人信息删除或匿名化处理
- 备份系统中的数据在备份轮转周期内自动覆盖清除
- 法律法规要求保留的信息除外
七、个人信息安全事件应急响应
7.1 应急预案
- 已建立个人信息安全事件分级响应机制(一般/重要/重大/特别重大)
- 成立应急响应小组,明确职责分工和处置流程
7.2 事件处理流程
- 发现阶段:通过安全监控系统、用户举报、第三方通知等渠道发现安全事件
- 止损阶段:立即采取隔离、封堵、日志固化等措施防止影响扩大
- 评估阶段:评估事件影响范围、受影响用户数量和可能造成的危害
- 通知阶段:按照法律规定时限向有关主管部门报告,并通过站内消息、短信等方式通知受影响用户
- 整改阶段:修复安全漏洞,完善安全防护措施
7.3 用户通知内容
安全事件通知将包括:事件基本情况和原因、已泄露的信息类型、可能造成的风险、已采取和将要采取的补救措施、用户可自行采取的防护建议、我们的联系方式。
八、个人信息保护影响评估
根据《个人信息保护法》第55条,我们在以下情形中开展个人信息保护影响评估:
- 处理敏感个人信息(如身份证号码、营业执照信息)
- 利用个人信息进行自动化决策(AI 匹配推荐)
- 向第三方提供个人信息(AI 模型服务商数据传输)
- 向境外提供个人信息(使用境外 AI 模型时)
评估报告和处理情况记录保存不少于 3 年。
九、个人信息保护负责人
- 杭州势行网络科技有限公司已依法指定个人信息保护负责人,负责监督个人信息处理活动和保护措施
- 个人信息保护负责人联系方式:通过「反馈建议」功能提交"个人信息保护"类型工单
- 我们将在 15 个工作日内受理并回复您的请求
- 如对处理结果不满意,您有权向浙江省网信办或杭州市市场监督管理局投诉举报