Mind Lab Toolkit (MinT)

MinT 隐私政策

Mind Lab Toolkit

服务提供方:MINDAI PTE. LTD.

版本号:v1.0

发布日期:2026年4月23日

生效日期:2026年【】月【】日

【请在使用本服务前仔细阅读】本《MinT 隐私政策》(以下简称“本政策”)描述 MINDAI PTE. LTD.(一家在新加坡共和国依法设立的私人有限公司,注册地址为 152 Beach Road, #11-05, Gateway East, Singapore 189721,以下简称“Mindai”、“我们”)在您注册并使用 MinT(Mind Lab Toolkit)时,如何收集、使用、披露、传输、存储和保护您的个人数据/个人信息。本政策构成《MinT 服务条款》不可分割的组成部分。您注册账户或使用 MinT 即视为知悉并同意本政策。

【核心承诺】(一)MinT 系面向开发者与企业客户的训练基础设施工具与参数平台;未经您事先单独的、明示的、可撤回的书面同意,我们不会将您的客户数据、训练数据或训练产出用于训练 Mindai 自有或任何第三方的人工智能模型。(二)我们仅收集为提供、保障和计费本服务所必需的个人信息。(三)涉及跨境传输的,我们将根据适用法(新加坡 PDPA、欧盟 GDPR、中国 PIPL 等)采取相应的法律机制。

第一条 定义

本政策中使用的大写或加引号的术语,未另行定义的,以《MinT 服务条款》中的定义为准。此外:

  • “个人信息”或“个人数据”:指与已识别或可识别的自然人有关的任何信息,含义同适用数据保护法律(包括新加坡 PDPA、欧盟 GDPR、英国 GDPR、中国 PIPL)项下的相应定义。
  • “敏感个人信息”:指适用数据保护法律给予加强保护的特定类别数据(如 GDPR 项下的“特殊类别数据”、PIPL 项下的“敏感个人信息”、PDPA 项下的“敏感个人数据”)。
  • “处理”:指对个人信息进行的任何操作,包括收集、使用、存储、披露、传输、删除和匿名化。
  • “个人信息主体”:指个人信息所指向的自然人。
  • “子处理方”或“受托处理方”:指 Mindai 委托的、代表 Mindai 处理个人信息以提供本服务的任何第三方。
  • “客户数据”:指您通过 MinT 上传、提交、生成或处理的数据,定义同《MinT 服务条款》。客户数据可能附带包含您的终端用户的个人信息;在此情形下,您系该等个人信息的处理者/控制者,Mindai 系受托处理方。

第二条 适用范围与角色定位

2.1 适用范围

本政策适用于 Mindai 处理的下列个人信息:(a)作为 MinT 注册用户的您本人的个人信息(如账户信息、计费信息、使用日志);(b)您上传至 MinT 的客户数据中所包含的您的终端用户的个人信息(Mindai 仅按您的指示代为处理)。

2.2 角色定位

(a)就 2.1(a) 所述个人信息(您本人的账户、计费、使用数据),Mindai 系个人信息处理者(PDPA 项下“organisation”、GDPR 项下“controller”、PIPL 项下“个人信息处理者”)。(b)就您上传至 MinT 的客户数据中所含个人信息,Mindai 系受托处理方(PDPA 项下“data intermediary”、GDPR 项下“processor”、PIPL 项下“受托人”),您系处理者/控制者。受托处理方一侧的具体义务,由《MinT 数据处理协议(DPA)》进一步规定。

2.3 不适用范围

本政策不适用于:(a)您作为处理者在自有产品/服务中处理的个人信息;(b)您选择接入的第三方基础模型或第三方服务商所处理的数据;(c)非由 Mindai 拥有或控制的网站或服务。

第三条 我们收集的个人信息类别

3.1 账户信息

姓名、电子邮箱、所属机构/公司名称、计费地址、电话(可选)、认证凭证、职务/角色,以及您主动填写的个人资料信息。

3.2 身份验证信息(企业版或法律要求时)

企业注册文件、授权代表身份信息、受益所有人信息——仅在 KYC/KYB 或制裁/出口管制筛查所必需的范围内收集。

3.3 计费与支付信息

计费主体、税务识别号(如统一社会信用代码、GST/VAT)、发票地址、支付方式 Token、交易记录。Mindai 不存储完整支付卡号;支付处理由具备 PCI-DSS 资质的第三方支付服务商完成。

3.4 使用与遥测数据

API 请求元数据(时间戳、端点、响应状态码、请求大小)、训练任务标识、GPU 时长消耗、控制台交互、功能使用统计。用于运行、保障、调试与改进本服务。

3.5 设备与连接信息

IP 地址、浏览器类型、操作系统、设备标识、语言偏好、时区设置。通过标准服务器日志和 Cookie/类似技术收集。

3.6 通讯记录

您与我们客服团队的沟通记录、产品内反馈、问卷回复、缺陷报告。

3.7 客户数据中所含个人信息(受托处理方身份)

如您上传的训练数据、Prompt 或评估样本中包含您的终端用户的个人信息,该等数据属于客户数据,Mindai 仅依您的书面指示并按 DPA 约定代为处理。

3.8 敏感个人信息

为本服务运行之目的,Mindai 不主动向您收集敏感个人信息。如您的客户数据包含敏感个人信息,您应当:(a)确保已就该等敏感信息的处理取得适用法律所要求的强化同意;(b)在上传前告知 Mindai;(c)遵守 DPA 项下针对敏感信息的额外处理要求。

第四条 个人信息的使用目的

我们基于下列目的处理个人信息:

  • 提供与运行本服务:账户注册与管理、算力资源配置、训练任务编排、模型成果存储、控制台/API/SDK 接入。
  • 计费与支付:发票生成、支付处理、退款、催款、税务合规。
  • 安全、反欺诈与防滥用:监控未授权访问、异常流量、账户盗用、违规使用,及安全事件响应。
  • 服务改进:基于聚合与去标识化数据进行功能使用、性能与可靠性分析;该等分析不再可识别到个人。
  • 客户支持:响应咨询、排查故障、提供技术协助。
  • 法律合规:税务记录、出口管制与制裁筛查、响应合法的监管或司法机关要求。
  • 通讯:服务通知、安全告警、计费提醒、产品更新(您可随时退订非必要营销通讯)。
  • 基于您单独同意:用于已向您说明并经您书面同意的特定研发目的。

无完全自动化决策。Mindai 不会基于个人信息进行产生法律效力或对您具有类似重大影响的完全自动化决策(含画像),范围依 GDPR 第 22 条理解。如您配置 MinT 用于对您的终端用户开展自动化决策,您作为处理者/控制者,应自行就适用法关于自动化决策与画像的合规要求(含告知、人工复核、争议权)承担全部责任。

第五条 客户数据与“不训练”承诺

未经您事先单独的、明示的、可撤回的书面同意,Mindai 不会将您的客户数据、训练数据或客户模型产出(模型权重、checkpoint、LoRA 适配器及其他训练产物)用于训练、微调、评估、基准测试或以其他方式改进 Mindai 自有或任何第三方的人工智能模型。

上述为便于理解的通俗表述。本项承诺的法律约束力版本(包括客户模型产出的定义、有限例外情形,以及 Mindai 的返还/删除义务)载于《数据处理附录》(“DPA”)第 3.4 条,如与本条不一致,以 DPA 第 3.4 条为准。具体而言:(a)您上传至 MinT 的客户数据,仅在您的书面指示范围内处理,用于运行本服务;(b)客户模型产出的所有权归您,Mindai 不会出于执行您训练任务及提供本服务以外的任何目的访问、复制或使用上述产出;(c)用于运行与改进本服务的使用遥测数据,均经聚合与去标识化处理,绝不包含您客户数据或客户模型产出的实质内容;(d)Mindai 员工对客户数据的访问,仅限于支持、安全或法律合规所必需的最小范围,且受保密义务约束并经审计日志记录。

第六条 处理的合法性基础

适用数据保护法律要求识别合法性基础的,Mindai 依据下列基础进行处理:

  • 履行合同所必需:依据《MinT 服务条款》向您提供本服务(GDPR 第 6(1)(b) 条;PDPA 合同必要性)。
  • 正当利益:用于保障服务安全、防范欺诈与滥用、内部审计、改进服务等不超出您基本权益的合理范围(GDPR 第 6(1)(f) 条)。
  • 履行法定义务:满足税务、会计、制裁、反洗钱及其他对 Mindai 适用的监管要求(GDPR 第 6(1)(c) 条)。
  • 同意:法律有要求时或就特定目的取得您的单独同意(GDPR 第 6(1)(a) 条;PIPL 同意基础;PDPA 视为同意/明示同意)。

依赖同意进行处理的,您可随时撤回同意,但不影响撤回前基于同意的处理活动的合法性。

第七条 个人信息的共享与披露

Mindai 不出售个人信息。我们仅在下列必要范围内向下列类别的接收方共享个人信息:

  • 子处理方:云基础设施提供方、支付处理方、通讯服务商、安全与防滥用厂商、客服工具厂商。当前子处理方清单详见第十七条所列网址,并将不时更新。
  • Mindai 关联公司:在符合本政策的集团内部数据传输安排下进行。
  • 专业顾问:律师、审计师、会计师、保险人,受保密义务约束。
  • 继受方:在合并、收购、融资、重组或资产出售情形下,可能在保密承诺下转移个人信息。
  • 有权机关:基于合法的监管、司法或执法要求,或为保护 Mindai、用户或公众的权利、财产或安全所合理必需的情形。法律允许范围内,Mindai 将事先通知受影响的客户。

第八条 子处理方

Mindai 为提供本服务委托有限数量的子处理方(如云算力、对象存储、内容分发、分析、支付、邮件等)。Mindai 通过书面合同要求子处理方:(a)仅按 Mindai 的书面指示处理个人信息;(b)承担保密义务;(c)实施适当的技术与组织安全措施;(d)提供充分的跨境传输保障。

当前子处理方清单维护于 https://macaron.im/zh/mindlab(“子处理方页面”),或经请求向企业客户提供。如就子处理方发生重大变化,Mindai 将依 DPA 约定提前通知。

第九条 数据驻留与跨境数据传输

MinT 由 MINDAI PTE. LTD.(新加坡注册主体)提供。处理个人信息的子处理方基础设施所在位置取决于客户所选择的部署模式:

  • (a)云部署:个人信息存储和处理于 Mindai 委托的、在中国大陆境内持牌的云服务提供方所提供的中国大陆节点(当前清单详见第八条所述子处理方页面)。云部署客户的个人信息在正常业务中不会传输至中华人民共和国境外。
  • (b)本地化/私有化部署:个人信息存储和处理于客户控制的基础设施。该等个人信息的所在位置以及其任何跨境流转,均由客户自行确定并负责。
  • (c)剩余的跨境传输情形可能涉及与技术支持、计费、合同管理或客户关系管理等行政职能相关的数据流转。

在个人信息被传输至原收集地以外司法辖区时,Mindai 将依据适用法采取相应的法律机制:

  • 新加坡(PDPA):Mindai 确保接收方受具备法律强制力的义务约束,提供与 PDPA 相当的保护标准(依据 PDPA 第 26 条及《Personal Data Protection Regulations 2021》项下的传输限制义务)。
  • 欧盟/英国(GDPR / UK GDPR):Mindai 依据欧盟委员会标准合同条款(2021/914)进行传输;自英国传输的,叠加适用英国国际数据传输附录,并视情形进行传输影响评估并采取附加保障措施。
  • 中华人民共和国(PIPL):将中国境内个人信息向境外传输的,Mindai 依据(并协助客户建立)PIPL 第 38 条项下的合法基础之一,包括国家网信部门组织的安全评估、个人信息保护认证或国家网信部门制定的标准合同。

如您需要附加文件或就您自身的跨境合规义务请求协助,请联系 contact@mindlab.ltd

数据驻留矩阵(示意)

下表按部署模式概述个人信息与运营数据的主要存储地域以及适用的跨境传输机制。具体部署的细节以适用的订单表和子处理方清单为准。

部署模式主要区域所存数据类别跨境机制变更通知
云部署—中国中国大陆客户数据、训练数据、客户模型产出、日志正常业务中不出境;任何剩余出境流转适用 PIPL 机制子处理方变更提前 30 日通知
云部署—国际(如开通)新加坡 / 欧盟(按选择)客户数据、训练数据、客户模型产出、日志PDPA 传输限制义务;涉及 GDPR 的适用欧盟 SCC(2021/914)模块二子处理方变更提前 30 日通知
私有化 / 本地化部署客户控制的环境客户数据与训练数据留存客户侧;仅许可/遥测/支持数据流转至 Mindai由客户自行确定;就最小许可/遥测/支持数据,Mindai 作为独立的个人信息处理者客户数据不适用;Mindai 侧子处理方变更提前 30 日通知
行政与支持新加坡(Mindai 总部)及区域支持中心计费数据、账户标识、工单内容按具体流转分别适用 PDPA / GDPR / PIPL 机制子处理方变更提前 30 日通知

第十条 存储期限

我们仅在为收集目的所必需的期限内存储个人信息,包括法律、会计、报告等要求的期限。下列为指示性期限,具体期限以数据类别和适用法为准:

  • 账户信息:账户存续期间及账户终止后三十(30)日,之后删除或匿名化处理,但法律有要求另行保留的(如税务记录)除外。
  • 计费与税务记录:依据适用税务与会计法律(通常为五(5)至十(10)年)。
  • 客户数据:账户终止后三十(30)日内删除,《MinT 服务条款》第十六条另有规定的除外。您可在该 30 日窗口内导出客户数据与训练产出。
  • 使用日志与安全日志:通常保留九十(90)至一百八十(180)日,之后聚合或删除,但用于持续中安全调查的除外。
  • 通讯与客服记录:自相关工单关闭后保留至多二十四(24)个月。

第十一条 数据安全

Mindai 在合理与适当范围内采取技术与组织措施,保护个人信息免受未授权访问、意外丢失、变更、披露或销毁,并兼顾技术发展水平、实施成本与数据性质。措施包括但不限于:

  • 传输加密(TLS 1.2 及以上)与静态加密(AES-256 或同等强度)。
  • 网络分段、防火墙与入侵检测系统。
  • 基于多因素认证与最小权限原则的身份与访问管理。
  • 对个人信息访问活动的审计日志与持续监控。
  • 员工背景审查、安全培训与保密承诺。
  • 供应商风险评估与子处理方合同约束。
  • 事件响应预案与数据泄露通知流程。

若发生影响您个人信息的安全事件,Mindai 将在不当延迟前通知您,并按适用法律要求的时限(如 GDPR 项下 72 小时通知监管机构的要求)履行通知义务。

第十二条 您的权利

在适用数据保护法律允许的范围内,您就您的个人信息享有下列权利:

  • 访问权:确认 Mindai 是否处理您的个人信息,并获取相关副本。
  • 更正权:要求更正不准确或不完整的个人信息。
  • 删除权:要求删除您的个人信息,受适用法定保留义务限制。
  • 可携权:以结构化、通用、机器可读的格式接收您的个人信息。
  • 限制处理权:在特定情形下要求限制处理您的个人信息。
  • 反对权:基于正当利益的处理(含画像)享有反对权。
  • 撤回同意权:依据同意进行处理的,您可随时撤回,但不影响撤回前的处理合法性。
  • 投诉权:向您所在司法辖区的有权数据保护机关投诉(如新加坡个人数据保护委员会、GDPR 项下监管机构、中国国家网信办或地方网信主管部门等)。

行权方式。请通过您账户绑定的电子邮箱发送邮件至 contact@mindlab.ltd,或使用产品内提供的隐私控制功能行使上述权利。Mindai 将在三十(30)日内回应;适用法律要求更短或更长期限的从其规定(延长的将向您说明理由)。

身份核实。为保护您的信息安全,Mindai 在响应权利请求前将合理核实您的身份。核实方式可能包括:将您提供的信息与我们已有记录进行比对、要求您通过现有账户凭证完成认证、或在高风险情形下要求提供额外佐证文件。

授权代理人。在适用法律允许的范围内(包括加州 CCPA/CPRA),您可委托授权代理人代为提交权利请求。代理人应提供经您签署的书面授权证明;Mindai 在采取行动前仍可要求您本人直接核实身份。

Mindai 在适用法律允许的范围内,有权拒绝明显无依据的、过度的、重复的,或将对他人权利与自由产生不利影响的请求。

第十三条 Cookie 与类似技术

Mindai 在其网站和控制台中使用 Cookie 与类似技术(如 LocalStorage、网络信标),用于下列目的:

  • 严格必需:身份认证、会话管理、安全保障、负载均衡。该等 Cookie 不可禁用,否则将影响本服务的正常使用。
  • 功能性:语言偏好、UI 设置、无障碍功能。用于提升使用体验。
  • 分析性:聚合的、去标识化的使用统计,用于了解和改进本服务。您可通过 Cookie 横幅或浏览器设置选择禁用。

Mindai 不使用广告 Cookie,亦不将个人信息出售给广告网络。

第十四条 未成年人保护

MinT 面向年满 18 周岁(或所在司法辖区法定成年年龄,以较高者为准)的开发者、研究人员与企业用户。我们不有意收集未成年人的个人信息。如发现意外收集,Mindai 将不当延迟前删除。

第十五条 区域性条款

15.1 新加坡(PDPA)

本政策构成 Mindai 依 PDPA 项下的告知文件。Mindai 数据保护官的联系方式为 contact@mindlab.ltd。您亦可联系新加坡个人数据保护委员会(PDPC),网址 https://www.pdpc.gov.sg。

15.2 欧洲经济区、英国与瑞士(GDPR / UK GDPR)

Mindai 处理欧洲经济区、英国或瑞士境内个人信息主体的个人信息时,Mindai 系 GDPR 项下的控制者(在客户数据情形下系处理者)。Mindai 牵头监管机构待定;个人信息主体亦可向其所在地监管机构投诉。

欧盟/英国代表(GDPR 第 27 条 / UK GDPR 第 27 条)。如 Mindai 依法应当在欧盟或英国指定代表,Mindai 将进行该等指定,并在本政策中更新代表的名称与联系方式。在该等指定完成前,欧洲经济区、英国及瑞士的个人信息主体可就所有数据保护事宜联系 contact@mindlab.ltd,Mindai 将按照如同代表已正式指定的标准予以处理。

15.3 中华人民共和国(PIPL)

为向中华人民共和国境内自然人提供产品或服务的目的处理其个人信息时,Mindai 遵守 PIPL。Mindai 依 PIPL 设立的联系人与个人信息保护负责人邮箱为 contact@mindlab.ltd。中国境内个人信息主体可向国家网信办或地方网络与信息化主管部门投诉举报。

PIPL 境内专门机构/代表(PIPL 第 53 条)。如 Mindai 依 PIPL 第 53 条应当在中华人民共和国境内设立专门机构或指定代表,Mindai 将完成该等设立或指定,并在本政策中更新该等机构或代表的名称与联系方式。在该等设立/指定完成前,中国境内个人信息主体可就个人信息保护事项联系 contact@mindlab.ltd

15.4 加利福尼亚(CCPA / CPRA)

如您系加州居民,您依加州《消费者隐私法》(经《加州隐私权法案》修订,统称 “CCPA”)享有以下权利:

  • 知情权:要求知悉我们收集您的个人信息的类别与具体内容、来源、商业目的及接收方类别。
  • 删除权:要求删除我们自您处收集的个人信息,受法律例外限制。
  • 更正权:要求更正不准确的个人信息。
  • 退出销售或共享权:Mindai 不“出售”或“共享”个人信息(含为跨场景行为广告之目的的共享,定义同 CCPA),故无须设置“Do Not Sell or Share My Personal Information”链接。
  • 限制使用敏感个人信息权:Mindai 不会出于将触发该等权利的目的使用或披露敏感个人信息;如有使用,仅限于为提供您所请求服务所合理必需。
  • 不歧视权:Mindai 不会因您行使 CCPA 项下任何权利而对您作出歧视性对待(如拒绝提供服务、收取不同价格)。
  • 授权代理人:加州居民可委托授权代理人按本政策第十二条所述程序提交权利请求。

行使上述权利,请联系 contact@mindlab.ltd。Mindai 不就个人信息的收集、出售或保留提供财务激励。

第十六条 本政策的变更

Mindai 可不时更新本政策。如属重大变更,Mindai 将通过电子邮件、MinT 控制台或官方网站公告,提前至少三十(30)日通知;适用法律要求取得同意的,Mindai 将按要求取得您的同意。当前生效版本以封面所载版本号与生效日期为准。

第十七条 联系方式

如您对本政策或对 Mindai 处理您个人信息的方式有任何疑问、意见或投诉,请通过下列方式与我们联系:

生效日期与版本

本政策自封面所载生效日期起生效。Mindai 可发布本政策的多语言本地化版本。英文版与本地化译本之间存在不一致的,除适用本地法律明确要求外,以英文版为准。

—— 本政策正文结束 ——

MinT 服务条款

上一页

MinT 可接受使用政策

下一页

本页目录

MinT 隐私政策第一条 定义第二条 适用范围与角色定位2.1 适用范围2.2 角色定位2.3 不适用范围第三条 我们收集的个人信息类别3.1 账户信息3.2 身份验证信息(企业版或法律要求时)3.3 计费与支付信息3.4 使用与遥测数据3.5 设备与连接信息3.6 通讯记录3.7 客户数据中所含个人信息(受托处理方身份)3.8 敏感个人信息第四条 个人信息的使用目的第五条 客户数据与“不训练”承诺第六条 处理的合法性基础第七条 个人信息的共享与披露第八条 子处理方第九条 数据驻留与跨境数据传输数据驻留矩阵(示意)第十条 存储期限第十一条 数据安全第十二条 您的权利第十三条 Cookie 与类似技术第十四条 未成年人保护第十五条 区域性条款15.1 新加坡(PDPA)15.2 欧洲经济区、英国与瑞士(GDPR / UK GDPR)15.3 中华人民共和国(PIPL)15.4 加利福尼亚(CCPA / CPRA)第十六条 本政策的变更第十七条 联系方式生效日期与版本