最后更新:2026年5月22日
本隐私声明适用于 Gnomi App Corp(GNOMI)对个人信息的处理,包括在我们的移动应用程序、我们位于 gnomi.com 的网站以及我们的其他线上或线下服务(统称为服务)上的处理。
我们可能会不时更新本隐私声明。如果我们这样做,我们会通过在我们的网站上发布更新后的隐私声明来通知您,和/或我们也可能发送其他通信。
我们收集您提供给我们的个人信息,当您使用服务时我们自动收集的个人信息,以及来自第三方来源的个人信息。
当您将GNOMI与社交媒体账户(Reddit、LinkedIn、Meta、X)连接或使用第三方登录服务时,我们可能会从第三方服务收集个人信息。
在适用法律允许的情况下,我们可能使用您的个人信息通过电子邮件活动向您提供营销信息和优惠。
重要提示: 我们使用您的使用和搜索活动来帮助训练我们的和第三方的AI模型。如果您使用我们的Social Connections功能,我们还会使用您的社交媒体互动信息来训练AI模型并提供个性化新闻推荐。当与第三方AI模型共享时,提供商可能会保留此信息。请不要分享敏感信息,如密码或财务数据。
我们可能会进行自动化决策,包括分析,以根据您与服务的互动提供定制内容。
我们可能会披露信息以遵守法律要求、保护权利和安全、执行政策或协助调查。
您的信息可能会在合并、收购或其他公司交易中被披露。
您可能有权:
个人信息可能会在世界任何地方被传输、处理和存储,包括具有不同数据保护法律的国家。对于来自欧盟/英国的传输,我们可能使用欧盟标准合同条款作为保障措施。
我们在您使用服务期间存储个人信息,或在必要时为了实现目的、提供服务、解决争议和遵守法律义务而保留。
本节适用于受欧盟或英国《通用数据保护条例》(GDPR)约束的个人信息。在某些情况下,提供个人信息可能是法律或合同要求的。如果您选择不提供所需信息,我们将告知您可能面临的后果。
本服务不面向16岁以下儿童,我们不会故意收集儿童的个人信息。如果您认为您的孩子违反适用法律上传了信息,请联系我们。
GNOMI App Corp.("赞助商")收集并处理参与者提交的个人信息,包括姓名、电子邮件地址、国家或州的居住地,以及验证资格和发放奖品所需的信息。这些信息仅用于管理促销活动、防止欺诈、验证资格和发放奖品。
对于位于欧洲经济区或英国的参与者,赞助商基于合同履行(促销活动管理)和赞助商在运营和保障促销活动方面的合法利益处理个人数据。如果参与者选择接收营销通信,则处理基于同意。参与促销活动不以提供营销同意为条件。
赞助商可能会使用服务提供商协助促销活动管理、通信、分析和奖品发放。个人数据可能会被传输到美国或赞助商或其服务提供商运营的其他国家并在那里处理,在需要时受适当法律保障措施的约束。
个人数据在促销活动结束后最多保留十二(12)个月,之后将被删除或匿名化,除非法律或监管目的要求更长的保留期。促销活动仅向年满18岁或在其管辖区达到法定成年年龄的个人开放。
根据适用法律,参与者可能有权要求访问、更正或删除其个人数据,限制或反对处理,或要求数据可携带性。欧洲经济区或英国的参与者还可以向当地数据保护机构提出投诉。美国居民可能根据适用的州法律拥有额外的隐私权。
有关个人数据的请求可提交至: privacy@gnomi.com
GDPR 和适用隐私法合规文件
本数据保留和处置政策定义了 GNOMI 如何保留、保护、删除、匿名化和安全处置公司、客户、用户、财务集成、经纪、银行、投资组合、交易、技术、运营和供应商管理的数据。本政策的目的是确保数据仅为合法的业务、产品、安全、合同、法律和合规目的而保留,并在不再需要时删除、匿名化或安全处置。
GNOMI 维护本已定义和执行的数据保留和处置政策,以支持遵守适用的数据隐私和数据保护法律,包括在 GDPR 适用于 GNOMI 处理活动的情况下遵守通用数据保护条例 (GDPR)。本政策旨在实施符合 GDPR 的保留和处置原则,包括存储限制、数据最小化、目的限制、完整性和保密性、问责制,以及对数据主体删除和限制请求的合法处理。
GNOMI 的保留和处置控制旨在确保个人数据的保留时间不超过收集或以其他方式合法处理该数据的目的所需的时间,除非法律、监管、合同、安全、欺诈预防、会计、审计、争议解决或合法业务目的要求继续保留。
当 GNOMI 通过 Plaid 或类似提供商处理用户授权的财务账户或投资组合信息时,GNOMI 应用旨在将财务集成数据的保留限制在提供授权功能、维护安全、履行合同义务、预防欺诈和遵守适用法律所需期间的保留和处置控制。
本政策适用于 GNOMI 或代表 GNOMI 行事的第三方服务提供商收集、处理、存储、传输或维护的所有数据。这包括生产系统、云服务、应用程序数据库、用户账户系统、财务集成系统、投资组合分析系统、AI 生成的财务智能系统、财务分析系统、Plaid 集成、经纪账户集成、银行集成、安全日志、分析环境、客户支持工具、供应商平台、公司记录、备份和灾难恢复系统。
本政策适用于代表 GNOMI 创建、访问、管理、存储、处理、传输、保留、删除或处置数据的 GNOMI 员工、承包商、顾问、服务提供商和其他授权人员。
GNOMI 仅在提供和改进其服务、支持授权用户功能、维护安全、履行合同和法律义务、开展业务运营以及保护 GNOMI、其合作伙伴和用户所需的时间内保留数据。当数据不再需要时,GNOMI 使用适当的管理、技术和程序控制删除、匿名化、聚合或安全处置数据。
保留期限基于数据类型、处理目的、用户关系、法律依据、业务需求、合同义务、监管要求和安全要求。GNOMI 定期审查保留和处置实践,以确认它们对其业务、产品、系统、供应商和适用隐私义务仍然适当。
GNOMI 仅在提供用户请求的授权财务智能功能所需的时间内保留用户授权的财务集成数据,包括投资组合分析、多元化分析、投资组合情绪生成、AI 生成的财务洞察、欺诈预防和集成支持。
GNOMI 根据敏感性、处理目的、适用义务和运营用途对数据进行分类。保留和处置控制根据数据的性质及其所在系统应用。
GNOMI根据以下类别应用保留期限。在法律、合同、安全需求、技术系统要求或经批准的业务必要性要求的情况下,具体期限可能会进行调整。在法律未要求特定保留期限的情况下,GNOMI仅在适用目的所需的时间内保留数据,然后删除、匿名化或安全处置数据。
| 数据类别 | 主要目的 | 保留标准 | 处置方法 |
|---|---|---|---|
| 账户和用户资料数据 | 账户运营、身份验证、用户支持、服务交付 | 在账户处于活跃状态期间保留,并在账户关闭后根据安全、欺诈预防、法律、审计或支持目的的需要保留有限期限。 | 从活跃系统中删除、匿名化或安全清除。 |
| 用户授权的金融集成数据 | 提供授权的金融智能功能、用户请求的功能、集成支持和安全 | 仅在用户维持授权的金融连接期间保留,或在提供授权的金融智能功能、维护安全、预防欺诈、支持合法业务运营、履行合同义务或满足法律和监管要求所必需的期间保留。已撤销、断开、过期或不活跃的集成将根据运营和法律要求进行删除、停用、匿名化或令牌撤销。 | 从活跃系统中删除、安全令牌撤销、匿名化、在法律要求的情况下进行受限归档保留,或安全处置。 |
| AI生成的金融洞察和投资组合分析 | 投资组合智能、多元化分析、情绪分析、AI聊天功能、用户请求的分析 | 在关联的用户账户保持活跃且功能保持启用期间保留,受删除请求、安全要求、法律义务和运营必要性的约束 | 删除、匿名化、聚合或安全处置 |
| 支持和通信记录 | 客户支持、问题解决、质量保证和合规 | 根据解决请求、维护服务记录以及支持业务或法律要求的需要进行保留。 | 到期后删除或安全归档处置。 |
| 安全、访问和审计日志 | 安全监控、欺诈预防、事件检测、访问审查、审计和系统完整性 | 根据安全目的、系统要求以及法律或合同义务,保留适当的期限。 | 定期到期、安全清除或受限归档处置。 |
| 账单、税务、公司和法律记录 | 会计、税务、公司治理、审计、合同管理和法律合规 | 根据适用法律、审计标准、合同或公司治理要求所要求的期限进行保留。 | 在法律或业务需要到期后进行安全处置。 |
| 聚合、匿名化或去标识化数据 | 分析、产品改进、研究、报告和商业智能 | 在数据无法合理识别且根据适用法律不属于个人数据范围的情况下,可以保留更长时间。 | 持续使用、进一步聚合,或在不再需要时处置。 |
| 备份和灾难恢复数据 | 业务连续性、安全恢复和系统恢复 | 根据备份生命周期计划进行保留,并通过正常备份轮换进行覆盖或清除,除非受到法律保留的约束。 | 定期覆盖、到期或安全销毁。 |
GNOMI 通过行政、技术和程序控制措施执行数据删除和处置。处置方法根据数据类型、系统、敏感性、保留要求和技术可行性进行选择。
在适用 GDPR 或其他适用隐私法的情况下,GNOMI 根据适用的法律要求和合法例外情况处理与访问、更正、删除、限制、反对和可携带性相关的数据主体请求。GNOMI 根据请求者的身份、数据的性质、适用的法律依据、系统要求以及任何保留数据的合法义务来评估请求。
在经验证的账户关闭或经验证的删除请求后,GNOMI 从活动系统中删除、匿名化或限制适用的个人数据,除非出于法律、监管、合同、安全、防欺诈、会计、审计、争议解决或合法业务目的需要或允许保留。如果数据无法立即从备份中删除,则对其进行保护以防止正常使用,并通过适用的备份生命周期将其删除。
在技术可行且法律允许的情况下,GNOMI 处理经验证的请求,以断开财务集成、撤销财务访问令牌、删除相关的投资组合分析数据,并删除与用户授权的财务集成相关的 AI 生成的财务洞察。
当数据受到法律保全、争议、调查、监管请求、审计要求、安全事件、合同义务、会计义务或其他合法业务要求的约束时,GNOMI 可能会暂停正常的保留或删除计划。受法律保全或经批准的例外情况约束的数据仅在例外情况适用期间保留,然后返回到适用的保留和处置流程。安全、防欺诈、反滥用、争议解决、审计、监管审查或其他合法合规义务可能需要有限地继续保留财务集成记录或与安全相关的财务元数据。
当 GNOMI 使用第三方服务提供商存储或处理数据时,GNOMI 通过供应商审查、适用的合同义务和运营控制措施要求适当的保留和处置处理。对于作为处理者或服务提供商的提供商,GNOMI 期望在适用的协议、数据处理条款或供应商控制措施中解决保留、删除、保密、安全和协助义务。
GNOMI 根据服务的性质、数据的敏感性以及适用的隐私和安全要求,适当审查供应商的数据处理实践。当 GNOMI 收到适用于供应商或处理者持有的数据的经验证的删除请求时,GNOMI 采取合理步骤通过适用的供应商工作流程传达或执行删除、限制或匿名化请求,但须遵守合法例外情况。
GNOMI 评估 Plaid 和其他财务集成提供商是否具有适当的合同、隐私、安全、保留、删除、保密和监管合规控制措施。
在需要的情况下,GNOMI 对涉及财务集成数据的跨境处理实施适当的符合 GDPR 的数据传输保障措施。
备份或灾难恢复系统中包含的数据可能在从活动生产系统中删除后持续有限的时间。备份数据受到保护以防止未经授权的访问,并受生命周期控制、保留计划以及计划的覆盖或删除的约束。GNOMI 在适用的删除请求后不将备份数据用于普通业务处理,除非出于安全、灾难恢复、法律或运营必要性需要恢复。备份系统中保留的财务集成数据和 AI 生成的财务洞察仍受访问限制、加密控制、生命周期管理和安全覆盖程序的约束。
GNOMI 管理层、安全、工程、产品、运营和合规人员负责在其职责范围内应用本政策。员工和承包商必须遵循经批准的保留、删除、访问控制和处置程序。禁止在经批准的流程之外未经授权保留、导出、复制或处置数据。
本政策至少每年审查一次,并在 GNOMI 的产品、系统、供应商、数据处理活动、法律要求、合同义务或安全态势发生重大变化时进行审查。审查旨在确认保留标准、处置程序、符合 GDPR 的实践、供应商控制措施和运营执行仍然适当和有效。审查必须考虑新的财务集成功能、AI 财务分析功能、投资组合分析系统、Plaid 集成的变化以及不断演变的隐私或财务数据义务。
GNOMI 将本政策作为数据保留、删除和处置的有效公司文件进行维护。本政策旨在支持遵守适用的数据隐私法律(包括适用的 GDPR),并为 GNOMI 如何保留、删除、匿名化和处置数据提供明确且可执行的框架。
经 GNOMI 管理层批准,作为数据保留和处置的有效公司政策,包括符合 GDPR 的保留和删除实践。
包括GDPR和适用的隐私法律控制措施
本信息安全政策的目的是定义GNOMI的安全治理要求和操作控制措施,以保护信息资产免遭未经授权的访问、披露、更改、丢失、滥用、中断或破坏。本政策支持GNOMI遵守适用的信息安全、隐私、财务数据、消费者保护和数据保护义务,包括适用的GDPR要求。本政策还管理对用户授权的金融账户信息、经纪集成、银行集成、投资组合分析系统以及通过Plaid或类似金融集成提供商处理的AI生成的金融洞察的保护。
本政策适用于所有GNOMI员工、创始人、高级管理人员、承包商、顾问、服务提供商、供应商、系统、应用程序、云环境、数据库、源代码存储库、生产资产、公司设备、用户数据、合作伙伴数据以及用于提供GNOMI产品和服务的任何其他信息资产。
本政策适用于公司、客户、用户、财务、技术、运营、身份验证、API和供应商管理的数据,包括用户授权的经纪账户数据、银行关系数据、投资组合持仓、交易元数据、金融集成令牌、AI生成的投资组合分析和金融智能输出,包括由GNOMI处理或代表GNOMI处理的个人数据、敏感数据和受监管数据。
GNOMI设计和运营其安全计划以支持遵守与其运营相关的所有适用的信息安全和隐私法律、规则、法规和合同要求,包括在适用的情况下:
如果法律、合同或合作伙伴要求施加比本政策更严格的义务,则适用更严格的标准。GNOMI定期审查本政策,以确保其与适用的法律、监管、合作伙伴和安全要求保持一致。
GNOMI将隐私设计和安全设计原则应用于涉及个人数据的系统和流程。在GDPR适用的情况下,GNOMI的安全和隐私控制措施旨在支持以下原则:
GNOMI支持数据主体权利流程,包括在适用的情况下的访问、更正、删除、限制、可携带性和反对。请求将根据适用法律以及GNOMI的内部隐私、安全、保留和法律保留要求进行评估。
GNOMI识别、评估、缓解和监控可能影响机密性、完整性、可用性、隐私或法律合规性的信息安全风险。风险审查可能包括系统架构、数据流、供应商依赖关系、身份验证控制、访问权限、生产环境、新产品功能、第三方集成和事件历史。
重大风险将上报给适当的管理层以进行补救、接受、转移或采取额外控制措施。风险处理决策必须考虑法律要求、合作伙伴义务、用户影响、安全影响和业务连续性。
风险评估必须考虑金融集成、Plaid依赖关系、AI生成的金融分析功能、投资组合分析系统、金融数据访问控制、模型输出和第三方金融数据流。
GNOMI根据敏感性、业务价值、法律义务和风险对数据进行分类和保护。数据类别可能包括公开、内部、机密、敏感、个人、金融、身份验证、源代码、安全和合作伙伴数据。
GNOMI实施访问控制,旨在限制对生产资产、云资源、管理工具、系统、源代码库和敏感数据的访问。访问授予基于角色、业务需求、最小权限和批准要求。
GNOMI使用适当的技术保障措施来保护敏感数据、凭证和通信。必须对传输中的敏感数据使用加密,并在支持和适当的情况下对静态敏感数据应用加密。密钥、令牌、证书、密钥和凭证必须存储在已批准的安全系统中,并防止未经授权的使用或披露。
当密钥和凭证遭到泄露、不再需要或人员或供应商访问权限发生变化时,必须对其进行轮换、禁用或撤销。除非使用已批准的服务账户控制,否则凭证不得在用户之间共享。
Plaid API凭证、金融集成令牌、OAuth凭证、webhook密钥、刷新令牌以及相关的金融集成密钥必须进行加密、安全存储,并防止未经授权的访问。
GNOMI维护与其系统和风险状况相适应的日志记录和监控实践。日志可能包括身份验证事件、管理活动、应用程序事件、系统活动、生产变更、访问变更以及与安全相关的错误或警报。
GNOMI将安全纳入软件开发和产品交付。在GNOMI系统的设计、开发、测试、部署和维护过程中考虑安全要求。
GNOMI根据处理的数据类型、提供的服务、运营依赖性、安全状况、法律义务和合同要求评估第三方供应商、处理者、子处理者和集成合作伙伴。
GNOMI维护事件响应程序,以识别、调查、遏制、修复、记录和沟通安全事件。安全事件可能包括未经授权的访问、数据暴露、凭证泄露、系统入侵、数据丢失、恶意软件、服务中断,或疑似违反保密性、完整性或可用性。
GNOMI仅在收集或处理信息的目的所合理需要的期限内保留信息,包括产品交付、用户账户管理、安全、欺诈预防、分析、法律合规、财务记录、合同义务、争议解决和合法业务运营。
有权访问公司系统、生产资产或敏感数据的GNOMI人员和承包商必须遵守本政策和适用的安全程序。人员应保护凭证、使用经批准的系统、报告疑似安全事件,并根据分类和知情需要要求处理数据。
安全和隐私意识可通过入职培训、特定角色指导、内部沟通以及随着GNOMI产品、风险和合规义务的演变而持续更新来提供。
有权访问金融集成系统或用户授权金融数据的人员可能会收到关于金融数据处理、隐私义务、安全处理、防范网络钓鱼、令牌安全和事件上报程序的额外指导。
GNOMI维护合理措施以支持关键服务的连续性和可用性。控制措施可能包括云弹性、备份、监控、事件上报、供应商依赖性审查、灾难恢复规划,以及基于系统关键性和风险的运营响应程序。业务连续性规划应考虑对Plaid和其他金融集成提供商的依赖性,包括可用性风险、供应商中断、令牌故障和金融集成服务中断。
本政策的任何例外必须由适当的GNOMI管理层根据业务需求、风险、补偿控制、持续时间以及法律或合同要求批准。例外必须在适当情况下记录,并定期审查直至修复或正式接受。
未能遵守本政策可能导致访问撤销、修复要求、供应商行动、纪律处分、合同终止或其他与违规性质和严重程度相适应的措施。GNOMI可调查疑似违规行为并采取纠正措施以保护公司系统、用户、合作伙伴和数据。