隐私政策

本隐私政策依据欧盟《通用数据保护条例》(GDPR) 第13条制定，描述了访问Sherlok平台（以下简称"平台"）的用户个人数据的收集、使用和保护方式。 Sherlok是一个让意大利企业的买卖双方相识并启动谈判的交易平台。Sherlok不参与当事人之间的交易，不充当中介，不处理付款，也不收取销售佣金。该服务仅限于提供一个连接供需双方的技术平台。 平台包含若干用户之间的相互可见机制：(a) 广告主可免费、无需任何额外解锁操作，自动查看访问其广告的注册用户的完整资料；(b) 买方用户可通过消耗积分来解锁广告、主动搜索委托和专业人士资料。用户注册即表示知悉并接受：访问某一广告将使本人的资料自动对该广告所属广告主可见，除非用户在账户设置中启用匿名可见。

数据控制者为： Sherlok 意大利特雷维索 增值税号：05614300266 邮箱：info@sherlok.it 依据GDPR第28条的受托处理者最新清单保存于数据控制者的注册办公室。

我们收集以下类别的数据： a) 用户自愿提供的数据 姓名、电子邮箱、电话号码、密码（加密）、公司名称及专业资料信息。 b) 列表数据 发布的企业列表相关信息，包括：标题、描述、行业、位置、要价、财务数据、照片和附件文档。 c) 浏览数据 浏览期间自动收集的数据：IP地址（匿名化）、浏览器类型和设备、访问页面、停留时间、流量来源。这些数据以聚合和匿名形式处理，用于统计目的。 d) Cookie 有关所使用Cookie的详细信息，请参阅我们的Cookie政策。 e) 可能对其他用户可见的资料数据 访问某一广告后，用户在其资料中填入的以下数据将对该广告的所属广告主可见：姓名、邮箱、电话、公司、简介、年龄段、性别（如已声明）、大致位置（大区/省）、收购预算、收购经验、搜索动机、感兴趣的行业和地区、等级（base / verified / premium）。从不共享：密码、身份证件、支付数据、内部解锁历史。

个人数据的处理基于以下目的： | 目的 | 法律依据 | |---|---| | 创建和管理用户账户 | 合同履行 (GDPR第6.1.b条) | | 发布和管理列表 | 合同履行 (GDPR第6.1.b条) | | 记录广告访问并将访客列表呈现给广告主 | 合同履行 (第6.1.b条) + 合法利益 (第6.1.f条) | | 广告主自动查看注册访客的资料 | 合同履行 (第6.1.b条) + 合法利益 (第6.1.f条)，用户可通过启用匿名可见行使反对权 | | 通过算法处理买家资料以发送建议邮件 (AI matching) | 所选等级下的合同履行 (第6.1.b条) | | 通过积分解锁广告、委托和专业人士资料 | 合同履行 (GDPR第6.1.b条) | | 服务通信（交易通知、用户间消息） | 合同履行 (GDPR第6.1.b条) | | 税务和会计义务 | 法律义务 (GDPR第6.1.c条) | | 防止欺诈和平台安全 | 合法利益 (GDPR第6.1.f条) | | 匿名统计分析和服务改进 | 合法利益 (GDPR第6.1.f条) | | 与AI matching无关的促销通信 | 明确同意 (GDPR第6.1.a条) |

机制。 当注册用户访问某一广告页面时，平台会记录该次访问。该广告所属广告主随后可免费访问访客列表及第3(e)条所述的完整资料。 要求。 可见权限仅限拥有注册账户的广告主，且仅涵盖同样已注册的访客。未登录用户的访问将以匿名访问形式呈现，不含任何识别数据。 各方角色。 自资料被查看之时起，广告主就其所获数据成为独立的数据控制者，必须仅为广告所涉交易的预合同评估目的处理该等数据。明令禁止将该等数据用于：未经授权的营销、转让给第三方、纳入CRM或邮件列表、爬取，或与该广告无关的联系。 反对权（GDPR第21条）。 用户可随时在账户设置中启用匿名可见。启用后，用户后续对广告的访问将不会暴露其资料：广告主仅能看到无识别数据的匿名访问记录。更改立即生效，但不具追溯效力：在启用前已查看过资料的广告主将作为独立数据控制者继续保留其已获得的数据。 日志保留。 Sherlok保留访问和资料查看日志5年，用于安全、审计和纠纷管理。

Sherlok通过匹配算法（包括基于人工智能的算法）处理买方用户的资料数据（预算、感兴趣的行业和地区、经验、动机、交易类型），以识别相关广告并定期发送建议邮件。 频率。 匹配邮件的频率取决于用户等级：base（有限或无），verified（每月），premium（每周）。此功能构成与用户合同服务的一部分。 性质。 匹配是一种建议工具，依GDPR第22条不产生法律效果或对用户产生显著影响：用户保有充分的评估和选择自由。不使用特殊类别数据（GDPR第9条）。 反对权。 用户可通过每封邮件中的退订链接或联系 info@sherlok.it 来禁用AI matching邮件。

个人数据的保留时间严格限于实现收集目的所需的时间： - 账户数据： 保留至用户删除账户，之后按法律要求的期限保留。 - 合同和税务数据： 自关系终止起保留10年，符合意大利税法。 - 用户通信： 自最后一条消息之日起保留2年。 - 广告访问和资料查看日志： 保留5年。 - 匿名浏览数据： 以聚合形式无限期保留。 - Cookie： 按Cookie政策中规定的到期日保留。

个人数据可能与以下方共享： - 技术服务提供商： 托管(Vercel)、数据库(MongoDB Atlas)、电子邮件服务(Resend)、文件存储(Cloudflare R2)、身份验证(Google OAuth)。此等主体依据GDPR第28条作为受托处理者。 - 主管当局： 仅应司法或行政当局的要求，按法律规定。 第5节所述用户间共享与与服务提供商的共享在本质上不同，基于独立的法律依据。 个人数据绝不会出售或转让给第三方用于营销目的。

数据主要存储在欧盟境内的服务器上。如果处理涉及将数据传输到第三国，此类传输将基于欧盟委员会批准的标准合同条款(SCC)或充分性决定进行，完全符合GDPR第44-49条。

根据GDPR第15-22条，用户有权： - 访问权 (第15条)：确认其数据的存在并获取副本。 - 更正权 (第16条)：更正不准确或不完整的数据。 - 删除权 (第17条)：要求删除其数据（"被遗忘权"）。 - 限制权 (第18条)：在某些情况下要求限制处理。 - 数据可携权 (第20条)：以结构化格式接收其数据并传输给其他控制者。 - 反对权 (第21条)：反对基于合法利益的处理。特别是，用户可通过在账户设置中启用匿名可见来反对其资料对广告主的可见。 - 撤回同意： 随时撤回同意，不影响撤回前已进行的处理的合法性。 关于可能已通过可见机制与其他用户（广告主）共享的数据，用户可直接向每个独立控制者接收方行使其权利。应以书面形式向 info@sherlok.it 提出请求，Sherlok将在技术上可行的情况下，提供过去24个月内查看过该资料的广告主清单。 行使这些权利，请联系：info@sherlok.it 我们将在收到请求后30天内回复，符合GDPR要求。

本平台仅限18岁或以上的用户使用。我们不会故意收集未成年人的个人数据。如果我们发现收集了未成年人的数据，将立即删除。

我们采取适当的技术和组织措施保护个人数据，包括：传输中数据加密(TLS/SSL)、密码哈希、加密备份、访问控制和员工培训。

我们保留更新本政策的权利。如有重大变更，将通过电子邮件或平台通知告知注册用户。最后更新日期标注在本文档顶部。

用户有权向意大利数据保护局投诉： Garante per la protezione dei dati personali Piazza Venezia 11, 00187 Roma www.garanteprivacy.it

如有任何关于个人数据处理的问题： Sherlok 邮箱：info@sherlok.it