← Docs/

§ 法律 · Legal

服务条款与隐私政策

HiPMM Engine 服务由「北京涌智星河科技有限公司」运营. 本页含服务条款 (ToS)、隐私政策 (Privacy)、数据处理 (DPA) 摘要.

00

主体信息

运营主体
北京涌智星河科技有限公司
产品名称
HiPMM Engine (含 webapp 自助控制台)
服务地域
中国大陆 + 海外
生效日期
2026-01-15
最近更新
2026-05-14
联系邮箱
legal@hipmm.dev
01

服务条款 (Terms of Service)

注册或使用 HiPMM Engine (含 API、SDK、webapp 控制台) 即视为同意本条款. 不接受请勿使用.

1.1 服务说明

HiPMM Engine 是 PMM-8+ 人格画像 SaaS, 提供:

  • L3 代号确定性命名 (本地表查, 无 LLM 调用)
  • 三协议兼容的 LLM 网关 (Anthropic Messages / OpenAI Chat / 原生 /v1/analyze)
  • BYOM (Bring Your Own Model) 透传, 客户用自己的上游 key
  • 用量计费 / 配额管理 / 速率限制 (按套餐档)

1.2 账户与 API key

  • 客户须用真实邮箱注册, 验证后开通 Free 套餐
  • API key 一旦创建明文只显示一次, 保管由客户负责. 泄露引发的滥用费用客户承担, 但客户随时可在 dashboard 撤销
  • 禁止账户共享、转售 key、租赁配额. 一经发现立即停服且不退余额

1.3 用量与计费

  • managed 模式: 10 cost_units / 次请求 (我们承担 LLM 上游成本)
  • BYOM 模式: 4 cost_units / 次请求 (LLM 成本客户付给上游)
  • 套餐月配额到期清零, 不滚存. 配额耗尽返回 HTTP 429 QUOTA_EXCEEDED
  • 升级套餐立即生效, 按比例计算当月差额; 降级在下个计费周期生效

1.4 禁止用途

客户承诺不利用本服务从事下列行为, 违者立即停服且不退款:

  • 违反所在地法律法规 (含但不限于色情、暴力、毒品、恐怖、欺诈、深度伪造他人身份)
  • 对未成年人产生不利影响的内容生成
  • 针对真实自然人未经其同意的人格画像 (本服务不提供也不应被用于此目的; 仅用于已授权场景: 自我探索、虚构角色塑造、组织匿名聚合分析)
  • 压力测试、DoS、爬取本服务自身或其他第三方服务
  • 逆向工程、反编译、抓取我方 prompts 或算法 (核心 IP 保护)

人格画像伦理

PMM-8+ 是结构化人格模型, 不是医学诊断也不是命运判断. HiPMM Engine 输出仅供参考, 不构成心理咨询、医疗、招聘决策的法定依据. 用于人事评估前请咨询专业心理学家或 HR 顾问.

1.5 服务可用性 (SLA)

  • Free / Starter: 无 SLA 承诺, 尽力而为
  • Pro: 月度可用性 99.5%, 不达标按超出停机时长返还当月费用 5%-20%
  • Enterprise: 99.9% + 专属故障通道, 详见单独合同

1.6 责任限制

在法律允许的最大范围内, HiPMM Engine 对客户的累计责任不超过该客户过去 12 个月实际支付的服务费. 对间接损失、利润损失、数据损失、商誉损失不承担责任.

1.7 终止

  • 客户可随时在 dashboard 注销账户, 已使用配额不退款
  • 我方保留对违反 §1.4 的账户立即停服权, 不另行通知
  • 服务停止后, 客户数据保留 30 天供导出, 30 天后永久删除

1.8 适用法律

本条款受中华人民共和国法律管辖. 任何争议提交北京市朝阳区人民法院诉讼解决.

02

隐私政策 (Privacy Policy)

2.1 收集的信息

  • 注册信息: 邮箱、加密密码 (bcrypt 单向哈希, 我方无法看到明文)、注册 IP、注册时间
  • 用量数据: 请求时间、请求路径、cost_units、响应状态码 (用于计费 + 限流)
  • 请求/响应正文: 默认不持久化 (审计日志只记 prompt_hash, 不记原文)
  • BYOM api_key: 只在内存中保留请求时长, 转发后销毁, 不写盘也不进日志

2.2 数据处理原则 (ADR-0001)

提示

Prompts 永不出 Engine 持久化. 我方核心 system prompts 内嵌在镜像中, 不向客户透出; 客户的请求 messages 在响应返回后即从内存清除, 不写入数据库或日志.
  • audit 表只记请求元数据 (时间 / 路径 / cost / status / prompt_hash), 不记 prompt 内容
  • Sentry / OpenTelemetry 上报: 已配置 before_send 严格脱敏 Authorization / x-api-key / system_prompt / messages / input
  • BYOM 模式: 客户的 api_key 内存隔离, 进程级 ContextVar, 协程间不共享
  • 服务端日志默认不开 DEBUG. 生产环境只有 WARN 以上落盘, 7 天滚转

2.3 第三方共享

仅在以下情形向第三方传递数据:

  • managed 模式: 客户请求转发至 Anthropic / OpenAI / DeepSeek 上游 LLM (受其各自隐私政策约束)
  • BYOM 模式: 客户请求转发至客户指定的上游 LLM (受客户与该 provider 的合同约束, 我方不介入)
  • 支付: Stripe (海外) / 微信支付 (国内). 我方不存储信用卡 / 银行账号信息
  • 邮件: SendGrid / 阿里云邮件推送 (仅传递收件人邮箱 + 邮件内容 hash)

2.4 客户权利 (GDPR / PIPL)

  • 知情权 / 查询权: 通过 dashboard 查看自己的注册信息、key 列表、用量明细
  • 更正权: 邮箱修改通过验证流程; 密码可在 dashboard 直接重置
  • 删除权 / 被遗忘权: 注销账户后 30 天内永久删除所有可识别个人信息
  • 数据可携权: 申请 GET /v1/me/export, 我方在 7 工作日内提供 JSON 全量导出
  • 联系: privacy@hipmm.dev

2.5 Cookie 与追踪

  • webapp 仅使用 HttpOnly JWT cookie 维持登录态, 不放第三方追踪像素
  • localStorage 保存主题偏好 (hipmm-theme), 与个人身份无关
  • 不接入 Google Analytics / Facebook Pixel / 其他广告追踪

2.6 未成年人

本服务面向 18 岁以上开发者. 不主动收集未成年人信息. 发现误注册的未成年人账户将立即关闭并删除数据.

2.7 数据存储位置

  • 中国大陆客户: 数据存储于阿里云北京/上海可用区
  • 海外客户: 数据存储于 AWS 东京 / Frankfurt 可用区 (按账号注册地路由)
  • 管理审计日志仅在主可用区, 不跨境传输
03

数据处理协议 (DPA) 摘要

Enterprise 客户可签署单独的 DPA, 明确我方作为「处理者」(processor) 的义务. 单独索取请联系 legal@hipmm.dev. 核心条款摘要:

  • 我方仅按客户书面指示处理客户数据
  • 次级处理者 (Anthropic / OpenAI / DeepSeek / Stripe / SendGrid) 列表公开, 变更提前 30 天通知
  • 发生数据泄露 72 小时内书面通知客户, 含影响范围 + 补救措施
  • 合同终止后 30 天内删除或返还客户数据 (客户可选)
04

政策变更

本页变更时, 我们会通过以下方式通知:

  • 重大变更 (责任 / 费用 / 隐私) — 邮件通知 + dashboard 顶部横幅 + 提前 30 天生效
  • 次要变更 (措辞 / 排版) — 仅更新本页「最近更新」日期
  • 客户在生效日后继续使用即视为接受新条款; 不接受可在生效前注销账户
05

相关链接