Readii 隐私政策(Privacy Policy)

1. 我们是谁(Data Controller)

Readii 是面向英国华人家庭设计的英语口语练习软件,主要服务 7-16 岁孩子的私校面试、社交英语、学校日常情境练习。

法律实体名称:Readii Limited
注册地址:Suite 3.2, 27 Castle Street, Canterbury, England, CT1 2PX
Companies House 注册号:15002332(在 England & Wales 注册)
VAT 注册号:GB 463 5349 77
公司创始人 / Director:Xiaoyu (Kevin) Su
ICO Data Protection 注册号:ZB712826(2024 年 6 月 28 日注册,有效期至 2026 年 6 月 27 日 — 续费提醒已加入 Xiaoyu 个人日历;controller address 已于 2026-05-31 提交更新至 Canterbury 当前地址,ICO 端 1-2 个工作日生效)
数据保护联系方式:admin@readii.co.uk
您也可以以此邮箱联系我们的数据保护负责人(Data Protection Lead)

本政策中"我们"、"Readii"、"我方"指上述实体;"您"指账户持有人(即注册并购买服务的成年家长或法定监护人);"您的孩子"指实际使用本服务进行英语练习的未成年人。

2. 适用范围 + 监护人同意机制(Scope and Parental Consent)

Readii 是专为家长/监护人代孩子购买和管理的服务。我们的设计前提是:

账户持有人必须年满 18 岁,并且是该练习账户下孩子的家长或法定监护人。
您在注册并购买订阅时,同时代表您本人和孩子同意本隐私政策。
13 岁以下儿童的数据处理需要监护人明确同意——您完成 Stripe 付费购买流程的行为构成英国 GDPR 第 8 条所要求的'家长同意机制'(parental consent for information society services)。
我们不为儿童提供独立注册或独立付款入口。

如果您不是该孩子的家长或法定监护人,请勿创建账户;如果您发现未成年人在未经监护人同意的情况下注册了 Readii,请立即邮件 admin@readii.co.uk,我们将在 7 天内删除该账户及全部相关数据。

3. 我们收集什么数据(What Data We Collect)

我们按用途分类列出全部数据。Readii 的设计原则是最少必要原则(data minimisation)——只收集为提供服务而真正必要的内容。

3.1 您的账户信息(数据主体:家长)

电子邮件地址(来自 Google 登录)
姓名(来自 Google 登录,如您选择共享)
Google OAuth 标识符(用于唯一识别您的账户)
时区 + 语言偏好(默认 Europe/London + zh-CN,可手动调整)
账户创建时间 + 最后活跃时间

3.2 您的孩子练习数据(数据主体:儿童,GDPR-K 适用)

这是 Readii 最敏感的数据类别。请仔细阅读 §5(儿童数据特别保护)。

练习场景配置:场景类型(私校面试 / 同学社交 / 学校日常)、子情境、目标学段(7+ 至 16+)
完整对话 transcript:AI 助手的英文台词 + 您孩子的口语回答的英文文字记录(由 Deepgram 实时转录后保存)
AI 分析结果:Claude 生成的中文家长反馈报告(包括口语表现评分、改进建议、文化解码等)
练习时长 + 完成状态(已完成 / 中途退出 / 异常)
使用成本估算(我们的运营成本,以美元小数表示)

⚠️ 我们 NOT 存储孩子的原始语音录音(audio file)——音频实时流式发送给 Deepgram 转录后即丢弃。我们只保留转录后的文字。详见 §4 子处理者。

3.3 支付信息(数据主体:家长)

Stripe Customer ID + Subscription ID(关联到您 Stripe 账户)
订阅方案(月付 / 年付)、状态(active / canceled / past_due)、当前周期起止日期、取消时间
⚠️ 我们 NEVER 直接接收或存储您的信用卡号、CVV、银行账户号码——这些信息由 Stripe 处理,我们的服务器从未接触

3.4 系统/技术数据(自动收集)

IP 地址(由 Netlify 边缘节点处理,用于安全防护和滥用检测,不长期存储)
浏览器类型 + 操作系统(标准 HTTP 请求头)
您与本服务交互产生的服务器日志(短期,通常 < 30 天)
Stripe webhook 事件 idempotency 表(包含 Stripe event payload 摘要,用于防止重复处理付款)

3.5 我们 NOT 收集的内容

Cookies / 像素 / 跟踪器,除了1 个登录会话 cookie(Auth.js JWT,严格必要类,无需 cookie banner 同意——见 §8)
您孩子的真实姓名、学校名称、地址、电话(除非孩子在练习对话中主动说出——见 §5)
您的浏览历史、其他网站行为
任何形式的设备指纹识别

4. 我们和谁共享数据(Sub-Processors)

我们使用以下第三方处理者(sub-processors)来提供服务。每一家都签署了 GDPR 第 28 条规定的 Data Processing Agreement(数据处理协议)或同等的标准合同条款(SCC / UK IDTA),并且我们已评估其数据保护水准是否充分。

处理者	业务用途	处理的数据类别	数据所在地	转移机制
Anthropic (Claude API)	生成 AI 角色台词 + 练习结束后生成家长反馈报告	完整对话 transcript + 场景配置	美国	UK IDTA / SCC + ⚠️ 寻求 Zero Data Retention 协议
Stripe	处理订阅支付 + 客户门户(取消/换卡/查发票)	您的姓名、邮箱、IP、付款卡信息	爱尔兰(欧盟)+ 美国	UK GDPR adequacy(欧盟)+ SCC(美国部分)
Deepgram	实时语音转文字	您孩子练习时的语音流	美国	UK IDTA / SCC + Deepgram 政策:实时转录后不长期存储音频
ElevenLabs	文字转语音(AI 角色说话)	AI 助手的英文台词文本	美国	UK IDTA / SCC(不处理孩子语音,只生成 AI 语音)
Supabase	托管我们的 PostgreSQL 数据库	全部账户 + 练习 + 订阅数据	London, United Kingdom (AWS eu-west-2)	数据境内 — 不涉及跨境转移机制
Resend	发送服务通知邮件(目前仅 webhook 失败告警)	邮件收件人地址 + 错误摘要(无 PII)	美国	UK IDTA / SCC
Google (OAuth 登录)	验证您的 Google 账户身份	您的邮箱 + Google 账户标识	美国 + 全球	UK GDPR adequacy(部分)+ SCC
Netlify	托管 Readii 网站和 API	全部 HTTP 请求(IP、URL、User-Agent)	美国 + 全球 CDN	UK IDTA / SCC

注: 我们不出售您或您孩子的数据。我们不与广告网络、数据经纪商、市场分析公司共享任何数据。我们没有 Facebook Pixel、Google Analytics 或类似跟踪。

关于 Anthropic 的特别说明: 您孩子的练习对话会发送给 Claude(Anthropic)以生成 AI 助手台词和家长反馈报告。Anthropic 当前默认政策可能保留 API 输入最多 30 天用于滥用监测。我们正在与 Anthropic 协商 Zero Data Retention(零数据保留)条款,生效后会在本政策更新。在此之前,请知悉此 30 天保留窗口。如您不接受,请勿使用本服务。

5. 儿童数据特别保护(GDPR-K + UK ICO Age Appropriate Design Code)

这是本政策最重要的部分。Readii 是英国 ICO《Age Appropriate Design Code》(AADC,儿童年龄适宜设计准则)适用对象——15 项标准都对我们适用。

5.1 我们对您孩子的数据采取的额外保护

儿童数据最小化:我们不在练习中要求孩子输入或说出真实姓名、学校、地址或任何可识别身份的信息;AI 角色的提示词明确避免引导孩子披露此类信息。
不用于训练 AI:您孩子的对话数据不被 Readii 用于训练任何机器学习模型。Anthropic 默认 API 政策也不会用您的数据训练他们的模型,除非您明确选择加入(我们 never opt in)。
儿童不被用于行为定向 / 个性化广告:Readii 没有广告。
特殊话题安全网:如果您孩子在练习中提及自伤、霸凌求助、家庭暴力等敏感话题,我们的系统会:
- 给出温和的关怀回应,并引导孩子向真实的成年人(老师、家长)求助
- 不在结果报告中放任何评分或负面评价,只肯定孩子开口的勇气
- 不存储或使用此类对话用于 marketing / 产品改进
数据保护影响评估(DPIA):我们已完成 GDPR 第 35 条要求的 DPIA,因为处理儿童数据 + 涉及行为评估 + 大规模处理。DPIA 副本可应监管机构要求提供。⚠️ PLACEHOLDER:Xiaoyu 上线前完成 DPIA 文档,可参考 ICO 模板。

5.2 监护人(家长)权利

作为账户持有人,您可以随时:

查看您孩子全部练习记录的副本
删除任何单场练习记录
删除您孩子的全部数据(等同删除账户,见 §6.3)
导出全部数据为 JSON
暂停账户

请邮件 admin@readii.co.uk 请求行使上述权利,我们会在30 天内响应(英国 GDPR 第 12 条要求)。

5.3 13 岁以下儿童的特别说明

英国 GDPR 第 8 条规定 13 岁以下儿童的数据处理需要监护人明确同意
您完成 Stripe 付费购买流程的行为构成此同意
我们在购买流程中明确告知您将代表孩子同意本政策
您可以随时撤回同意——见 §6.3 删除流程

5.4 我们 NOT 做的

我们不联系您孩子(全部沟通通过您家长账户)
我们不展示广告
我们没有"加好友"、"留言板"、其他孩子可访问的社交功能
我们不向第三方分享或销售儿童数据

6. 数据保留 + 删除(Retention and Deletion)

6.1 我们保留多久

数据类别	保留期	依据
账户基础信息(邮箱、姓名、登录历史)	账户活跃期间 + 注销后 30 天	服务必要性
练习对话 transcript + 分析结果	账户活跃期间 + 注销后 30 天	服务必要性;30 天宽限期允许误操作恢复
Stripe 订阅 + 付款记录	6 年	UK Companies House / HMRC 财务记录法定保留期
Stripe webhook idempotency 表	90 天	技术幂等性需要
服务器日志 / Netlify 访问日志	< 30 天	安全与故障排查

6.2 删除流程(Right to Erasure / Right to be Forgotten,GDPR 第 17 条)

您可以通过两种方式删除数据:

应用内:登录 Readii → 我的账户 → 删除账户(⚠️ PLACEHOLDER:删除账户 UI 待 Phase 3 实现,目前请用方式 2)
邮件请求:发送删除请求至 admin@readii.co.uk,主题 "Delete my account"。我们会在 30 天内处理并发送确认邮件。

删除生效后:

立即(< 24 小时):账户标记为 deleted_at,无法再登录,孩子练习记录立即从所有用户可访问的界面消失
30 天宽限期内:数据保留在数据库中(标记软删除),可恢复
30 天后:从生产 Supabase 永久删除(hard delete)。我们也会向 Anthropic、Deepgram、ElevenLabs 等处理者发送删除请求(法律允许的范围内)
6 年:Stripe 付款记录因 HMRC 财务记录法定要求必须保留——这些不包含 transcript / 练习内容,只是支付元数据

6.3 撤回同意 + 注销账户

您可以随时撤回对孩子数据处理的同意。撤回同意 = 自动触发完整删除流程(§6.2)。

7. 您的权利(Your Rights Under UK GDPR)

您和您的孩子享有以下权利:

权利	法律依据	我们如何提供
查阅权(Right of Access)— 看到我们拥有的全部您和您孩子的数据	第 15 条	邮件请求,30 天内提供 JSON 导出
更正权(Rectification)	第 16 条	应用内编辑账户资料,或邮件请求
删除权(Erasure / 被遗忘权)	第 17 条	见 §6.2
限制处理权(Restriction)	第 18 条	邮件请求,我们暂停处理但保留数据(类似"暂停账户")
数据可携权(Portability)— 导出为机器可读格式	第 20 条	邮件请求,30 天内提供 JSON
反对权(Object)	第 21 条	邮件请求,我们停止任何基于"合法利益"的处理
不被自动决策权(Article 22)	第 22 条	Readii 的 AI 反馈是辅助工具,不构成"对您或您孩子产生法律或类似重大影响的自动决策";如有疑问请联系我们
撤回同意权	第 7 条	邮件请求,等同删除流程
向监管机构投诉的权利	第 77 条	见 §10

所有请求请发至 admin@readii.co.uk,我们承诺在 30 天内(GDPR 法定上限)响应,通常 7 天内。如请求复杂可延长至 90 天(我们会提前告知)。

8. Cookie 使用

Readii 的 cookie 用量极少:

Cookie	类型	用途	保留期
`authjs.session-token`(或类似名)	严格必要(Strictly Necessary)	维持您的登录状态	浏览器关闭 / 30 天(取决于"记住我")

UK ICO 规定严格必要 cookie 无需用户同意(PECR 第 6(4) 条豁免),因此 Readii 当前没有 cookie 同意横幅。

如果未来加入分析或营销 cookie(例如 Sentry、PostHog、Google Analytics),我们将:

提前更新本政策
加 cookie consent banner(GDPR-K 适用——需要 opt-in,不能是 opt-out 或 implicit consent)
默认设置:儿童相关页面下,所有非必要 cookie 默认关闭(AADC Standard 9)

9. 国际数据转移(International Transfers)

如 §4 表格所示,我们部分处理者位于英国以外(主要是美国)。这些转移依以下机制合规:

欧盟内转移(如 Stripe 爱尔兰、可能的 Supabase EU 区域):UK GDPR Article 45 adequacy decision——直接允许,无需额外保障
美国转移(如 Anthropic、Deepgram、ElevenLabs、Resend、Netlify、Google 部分服务):基于 **UK International Data Transfer Agreement(UK IDTA)**或 EU Standard Contractual Clauses + UK Addendum——我们与每家处理者签署了此协议
额外保障:对 Anthropic 我们正在协商 Zero Data Retention 条款,对 Deepgram 我们使用其"实时流处理"模式(转录后丢弃音频)

如您希望了解任何特定处理者的转移机制详情,邮件 admin@readii.co.uk。

10. 投诉途径(Complaints)

如果您认为我们处理您或您孩子的数据方式不当,我们希望您先直接联系我们:admin@readii.co.uk——我们会认真对待并 30 天内回复。

如果您对我们的回应不满意,您有权向英国信息专员办公室(Information Commissioner's Office, ICO)投诉:

网站:https://ico.org.uk/make-a-complaint/
电话:0303 123 1113
邮寄:Information Commissioner's Office, Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF

向 ICO 投诉是您的法定权利,免费。

11. 安全措施(Security)

我们采用以下技术和组织措施保护您和您孩子的数据:

传输加密:全站强制 HTTPS / TLS 1.3
存储加密:Supabase Postgres at-rest 加密(AES-256)
访问控制:数据库 Row Level Security 策略 + 应用层用户数据隔离;只有 Sergio(数据控制人)有生产数据库访问权
身份验证:Google OAuth(无密码存储)+ JWT 会话 cookie + HttpOnly + SameSite
支付安全:Stripe PCI-DSS Level 1 合规;我们的服务器从不接触卡号
代码安全:依赖项漏洞监控、最少特权原则、私密变量通过部署平台加密保管
数据泄露通知:如发生影响您数据的安全事件,我们将在发现后 72 小时内通知 ICO,并在认定有"高风险"时通知您(UK GDPR 第 33-34 条)

12. 政策变更

我们可能更新本政策(例如加入新处理者、法律要求变化)。变更时:

不重大变更(例如错别字修正):页面顶部更新版本号和日期,无需通知
重大变更(例如新增处理者、改变数据用途):提前 30 天邮件通知您;在该 30 天期间,您可以选择不接受变更并注销账户而无需任何费用

历史版本归档于 ⚠️ PLACEHOLDER URL(建议 Xiaoyu 设置 readii.co.uk/privacy/history)。

13. 联系我们

一般数据保护问题:admin@readii.co.uk
紧急安全事件:admin@readii.co.uk(主题加 "URGENT")
取消订阅 / 删除账户:admin@readii.co.uk
投诉:admin@readii.co.uk → 不满意请向 ICO 投诉(§10)

⚠️ PLACEHOLDER:Xiaoyu 上线前考虑是否提供电话联系方式(非必须,但 ICO 建议)。

适用法律: 英格兰和威尔士法律;英国 GDPR + Data Protection Act 2018 + Privacy and Electronic Communications Regulations 2003(PECR)+ ICO Age Appropriate Design Code

服务条款 · 隐私政策 · 儿童版简介