隐私政策

最后更新日期：2026 年 3 月 17 日

1. 简介

Nut Card（“我们”、“本公司”或“我们的”）提供一个平台，帮助用户管理卡片、进行支付以及使用相关金融服务（统称为“服务”）。

本隐私政策说明我们在您使用我们的网站、应用、产品和服务（统称为“平台”）时如何收集、使用、披露和保护您的个人数据，以及您拥有哪些权利以及如何行使这些权利。

当您创建账户、访问或使用平台时，即表示您已阅读、理解并同意本隐私政策。如您不同意本隐私政策的任何内容，请不要使用平台。

2. 我们是谁以及如何联系

在大多数情况下，负责处理您个人数据的控制方（即决定处理目的和方式的实体）为您在账户、开户文件或适用合同中所列明的 Nut Card 实体（“Nut Card 实体”）。

如您不确定由哪一 Nut Card 实体负责处理您的数据，或对本隐私政策有任何疑问，请通过以下方式联系我们：

• 邮箱：privacy@hashgg.com

我们可能会不时在平台中更新联系人信息。

3. 适用范围与法律依据

本隐私政策适用于：

• 平台用户：注册或使用 Nut Card 账户的个人用户；
• 机构用户：代表公司或其他组织使用服务的人员，如管理员、财务人员或员工；
• 访客：访问我们网站或与我们互动但未创建账户的个人。

在适用的数据保护法律（例如欧盟/欧洲经济区《通用数据保护条例》（GDPR）或英国 GDPR）要求的范围内，我们会基于以下一种或多种法律依据处理您的个人数据：

• 履行合同：为向您提供服务、管理您的账户或履行我们在合同项下的义务而必须进行的处理；
• 合法权益：在不侵犯您权利与自由的前提下，为实现我们的合法商业目的（例如改进平台、防止滥用或维护法律权利）而进行的处理；
• 法律义务：为遵守适用法律、法规或有权机关的要求而必须进行的处理；
• 同意：在特定情形下（例如特定营销活动），我们会在获得您同意后处理您的数据。您可随时撤回同意，但撤回前基于同意的处理行为的合法性不受影响。

4. 我们收集的数据类型

我们收集的数据类型取决于您如何使用平台。我们可能收集以下类别的数据。

4.1 账户与个人资料信息

当您创建或管理账户时，我们可能收集：

• 姓名、称谓及联系方式（如电子邮箱、电话号码、邮寄地址）；
• 登录凭证（如用户名、密码、认证令牌等）；
• 组织信息（如公司名称、职位、团队信息、organization slug 等）；
• 通信偏好与语言设置。

4.2 身份与验证信息

在出于监管、合规或风险控制目的需要时（例如“了解你的客户”（KYC）核查），我们可能收集：

• 出生日期、国籍及政府签发证件信息（例如身份证或护照号码，依照适用法律允许的范围）；
• 地址证明（例如水电账单或银行对账单）；
• 用于身份核验的照片或类似标识信息；
• 为满足反洗钱（AML）、反恐怖融资（CTF）或制裁筛查等义务，我们或合作方合理要求的其他信息。

在适用情况下，上述信息可能由我们的第三方服务提供商代表我们收集和核验。

4.3 支付、卡片与交易数据

在您使用卡片或支付功能时，我们可能收集：

• 卡片项目信息与卡片标识信息（例如卡号末几位、卡种类、发卡机构等）；
• 交易详情（例如金额、币种、时间、商户信息及其他元数据）；
• 资金来源与资产信息（例如绑定账户、钱包标识或支持的数字资产）；
• 账单信息（例如账单地址、税务信息或机构账单联系人）。

如我们依赖符合 PCI 标准的支付处理机构或发卡方，则我们不会存储完整卡号或敏感认证数据。这类数据由相关第三方根据其自身的政策进行处理和存储。

4.4 设备与使用信息

当您访问平台时，我们会自动收集部分技术与使用数据，例如：

• 设备标识、操作系统、浏览器类型及版本、语言与时区；
• IP 地址，以及通过 IP 推断的粗略地理位置（如城市、地区或国家）；
• 关于您使用平台的日志数据（例如登录时间、访问页面、点击行为及其他活动记录）；
• 有关性能、诊断与错误的信息（例如崩溃日志和调试数据）。

我们可能通过 Cookie、本地存储等类似技术收集这些信息，详见第 10 节。

4.5 通信与支持信息

当您与我们联系或使用支持渠道时，我们可能处理：

• 您的联系方式与身份验证信息；
• 您与我们的通信记录（例如电子邮件、在线聊天记录或通话摘要）；
• 您通过问卷调查、反馈表或其他方式自愿提供的信息。

4.6 可选与推断信息

在征得您同意或基于我们的合法权益的前提下，我们也可能处理：

• 您对平台使用偏好（例如默认视图、通知设置、保存的筛选条件等）；
• 基于您与平台交互行为形成的推断信息（例如用于功能推荐或风控评分的分析分组）。

5. 我们如何使用您的数据

我们将出于以下目的使用个人数据。

5.1 提供与运营平台

包括但不限于：

• 创建、维护和保护您的账户；
• 提供卡片发行、卡片管理、支付与交易相关服务；
• 处理及结算充值、提现、支付等金融操作；
• 提供客户支持，包括故障排除、事故响应与服务通知。

5.2 遵守法律与监管要求

包括但不限于：

• 履行 KYC、AML、CTF 及制裁筛查等合规义务；
• 按照会计、税务、审计与监管要求保存记录；
• 响应监管机构、执法机关或法院的合法请求。

5.3 保护平台与防止滥用

包括但不限于：

• 发现、防止和调查欺诈、未授权交易及其他恶意或违法活动；
• 保障基础设施安全、防止攻击并监测可疑行为；
• 执行本隐私政策、使用条款及与您或贵机构之间的其他协议。

5.4 改进与个性化平台

包括但不限于：

• 运行分析与使用监测，以了解平台使用情况；
• 测试新功能、进行 A/B 测试并优化用户体验；
• 个性化展示内容和功能推荐（例如显示更相关的功能或文档）。

在法律要求的情形下，我们会通过汇总或假名化等方式使用分析数据，以更好地保护隐私。

5.5 与您沟通

包括但不限于：

• 向您发送交易通知（例如安全提醒、服务更新和账户通知）；
• 提供新手引导材料、功能更新与产品公告；
• 在符合法律要求且基于您的偏好的前提下，向您发送营销信息。如需，我们会事先征得您的同意，您可随时通过邮件退订链接或联系渠道取消订阅。

6. 我们如何共享您的数据

我们可能会在以下情形中共享您的个人数据：

• 服务提供商与处理方：为我们提供基础设施、分析、邮件、客服等服务的第三方。这些主体会依据我们的指示并在合同约束下代表我们处理数据；
• 金融与支付合作伙伴：包括发卡机构、银行、支付处理机构及其他受监管的合作方，用于发卡、处理支付及履行合规义务。这些主体在部分情形下可能作为独立控制方或共同控制方；
• 机构管理员：如您代表某一机构使用平台，根据机构配置，授权管理员可能查看一定范围内的信息（例如用户列表、角色信息与交易摘要）；
• 专业顾问：包括律师、审计师、保险公司及其他专业顾问，用于保护我们的合法权益、管理风险或获取专业意见；
• 监管与执法机关：在我们有理由相信为遵守适用法律、法规或有效法律程序，保护我们的权利和财产或保护您或他人安全而有必要时；
• 公司交易相关方：在发生合并、收购、重组或资产转让等交易时，在符合保密与数据保护要求的前提下。

我们不会出售您的个人数据。

7. 国际数据传输

您的个人数据可能会在您所在国家/地区之外被处理和存储，这些国家/地区的数据保护法律可能与您所在司法辖区不同。

在将个人数据从欧盟/欧洲经济区、英国或其他具有跨境传输要求的地区转移至境外时，我们可能依赖：

• 欧盟委员会或其他相关机构作出的充分性决定；或
• 经批准的标准合同条款等适当保障措施，并在需要时辅以额外技术和组织措施。

如需了解有关跨境传输的具体机制和保障措施，您可以通过本政策列示的方式联系我们。

8. 数据保留

我们仅在为实现本隐私政策所述目的所必需的期限内保留个人数据，包括但不限于：

• 在您持有账户期间；
• 适用法律要求的保存期限（例如财务、税务及 AML/CTF 记录保存要求）；
• 为建立、行使或辩护法律主张所必需的期间。

当我们不再需要出于原始目的保留个人数据时，我们将删除或匿名化相关数据；如暂时无法做到（例如备份系统中），我们会安全存储并隔离该数据，直至可以删除为止。

9. 您的权利

根据您的所在地区及适用法律，您可能享有以下一项或多项权利：

• 访问权：有权确认我们是否处理您的个人数据，并在符合条件时获取一份数据副本；
• 更正权：有权要求更正不准确或不完整的数据；
• 删除权：在特定情形下（例如数据不再必要或您撤回同意且不存在其他合法依据）有权要求删除您的个人数据；
• 限制处理权：在某些情况下有权要求我们限制对个人数据的处理；
• 数据可携权：在符合法律规定的范围内，有权以结构化、通用且机器可读的格式获取您提供给我们的数据，并在技术可行时将其传输给另一控制方；
• 反对权：在我们基于合法权益或出于直接营销目的处理数据时，您有权提出反对；
• 撤回同意权：在我们基于您的同意处理数据的情形下，您有权随时撤回该同意。

您可以通过账户设置（如适用）或通过本政策列示的联系方式行使上述权利。为保障安全，我们可能会在处理您的请求前要求核实您的身份。

在法律允许的范围内，如我们有强制性合法理由继续处理数据，或受制于监管或法律义务，我们可能无法完全满足某些请求。如您认为我们处理个人数据违反适用法律，您也有权向有管辖权的数据保护监管机构提出投诉。我们仍建议您先与我们联系，以便我们有机会解决您的疑虑。

10. Cookie 及类似技术

我们使用 Cookie、本地存储及类似技术，用于：

• 维持登录状态与会话；
• 记住您的设置与偏好；
• 分析平台使用情况并衡量性能；
• 增强安全性并检测滥用行为。

在法律要求的范围内，我们会在设置某些非必要 Cookie（例如分析或营销 Cookie）前征得您的同意。您可以通过浏览器设置或平台提供的 Cookie 控制来管理相关偏好。

如您选择禁用 Cookie，平台的某些功能可能会受到影响。

11. 儿童隐私

平台并非面向 18 周岁以下儿童，我们不会在明知的情况下收集该年龄以下儿童的个人数据。如果我们发现自己在违反本政策的情况下收集了儿童个人数据，我们将采取合理措施删除相关数据。

如您认为儿童向我们提供了个人数据，请通过本政策列示的方式联系我们。

12. 安全性

我们采取适当的技术和组织措施，保护个人数据免于意外或非法的毁损、丢失、篡改、未授权披露或访问。

这些措施可能包括但不限于：

• 在适当情况下对数据进行传输和存储加密；
• 访问控制、认证和授权机制；
• 日志记录、监控与入侵检测；
• 环境隔离与最小权限原则；
• 定期的安全测试与评估。

然而，任何系统都无法保证 100% 安全。您有责任妥善保管登录凭证，并确保用于访问平台的设备安全。如您怀疑账户被未授权访问或存在异常活动，请立即通知我们。

13. 第三方服务与链接

平台可能包含指向第三方网站、服务或应用的链接，这些服务并非由我们运营。您使用这些第三方服务时，应遵守其各自的隐私政策与条款。

我们不对第三方服务的隐私实践或内容负责，建议您在向其提供个人数据前仔细查阅相关政策。

14. 本隐私政策的变更

我们可能会不时更新本隐私政策，以反映技术、法律或业务的变化。

当我们进行重大变更时，将采取适当方式通知您（例如在平台内显示通知、更新本页面顶部的“最后更新日期”，或在法律要求时通过电子邮件通知您）。

您在变更生效后继续使用平台，即视为接受经更新的隐私政策。

15. 联系方式与数据保护咨询

如您对本隐私政策、我们的数据处理做法或您的权利有任何疑问，或希望行使您的权利，请通过以下方式联系我们：

• 邮箱：privacy@hashgg.com

我们将依据适用的数据保护法律，审查并回复您的请求。