重要提示： 本文档为英文官方文档的译文。翻译是利用人工智能技术完成的。英文原版是本文档唯一具有法律约束力的版本。

隐私政策

8LENDS 去中心化众贷平台

由 Alpha Systems LLC 运营
(根据《2022年虚拟资产业务法》注册的虚拟资产服务提供商)

生效日期：01.01.2026：

第 I 部分 – 引言和范围

1. 引言与承诺

1.1 数据控制者。Alpha Systems LLC（以下简称“公司”、“我们”或“我们的”）是一家根据《有限责任公司法》（圣文森特和格林纳丁斯修订法律第 151 章）注册成立的有限责任公司，公司编号为 3895 LLC 2024，注册地址为 Suite 305, Griffith Corporate Centre, Beachmont, Kingstown, Saint Vincent and the Grenadines。公司运营 8lends 去中心化众贷平台（以下简称“平台”）。就适用的数据保护原则而言，本公司是负责收集、使用、存储和披露与平台及服务相关的个人数据的数据控制者。

1.2 数据保护承诺。我们致力于保护您的隐私，并确保您的个人数据得到负责、透明的处理，且符合适用的数据保护原则。虽然圣文森特和格林纳丁斯目前尚无等同于欧盟《通用数据保护条例》（“GDPR”）的全面数据保护立法，但我们自愿采用并以合同形式承诺遵守基本等同于 GDPR 及其他领先国际数据保护框架所确定的数据保护标准。此项承诺作为我们与您之间关系的合同条款，可根据《通用条款和条件》强制执行。

1.3 监管框架。我们的数据保护实践旨在符合 2022 年《虚拟资产业务法》（2022 年第 9 号，经修订）（“VABA”）第 11(6) 条的要求。该条款要求注册主体实施相关政策以确保：(a) 个人信息的收集、存储、使用和披露是合法且与业务相关的；(b) 个人信息受到保护，免受未经授权的访问；以及 (c) 个人信息保密。此外，我们遵守 2014 年《反洗钱和打击恐怖融资条例》（2014 年第 20 号法定规则及命令，经修订）（“AML/CFT 条例”）项下的记录保存要求。

1.4 与条款的关系。本隐私政策应与我们的《通用条款和条件》结合阅读，后者管辖您对平台和服务的使用。通过访问或使用平台，您承认已阅读、理解并同意本隐私政策所述的个人数据收集、使用和披露。本隐私政策中使用但未定义的词首字母大写的术语，其含义与《通用条款和条件》中定义的含义相同。

2. 数据保护官

2.1 联系详情。虽然圣文森特和格林纳丁斯法律并无强制要求，但我们已任命一名数据保护官（“DPO”）来监督我们的数据保护实践，并作为您处理所有隐私相关事务的联系点。可以通过以下邮箱联系 DPO：aleksandr.lang@8lends.io。如有一般性查询，您也可以通过 hello@8lends.io 与我们联系。

2.2 注册地址。我们的数据保护信函注册地址为：Alpha Systems LLC, Teichgässlein 9, 4058 Basel, Switzerland。

3. 范围与应用

3.1 范围。本隐私政策适用于：

(a) 所有访问或使用平台的个人，无论是访客、注册用户、投资者还是借款人；

(b) 通过平台、移动应用程序、网站及相关服务收集的个人数据；

(d) 与我们的服务相关而从第三方收到的个人数据，包括身份验证提供商、区块链分析提供商和 Maclear AG；

(e) 与公司用户的董事、高级职员、受益所有人及授权代表相关的个人数据。

3.2 排除情况。本隐私政策不适用于：(a) 可能链接到平台或从平台访问的第三方网站、应用程序或服务；(b) 借款人在其业务活动中处理的个人数据；或 (c) 已匿名化或汇总处理，从而无法再识别任何个人的信息。我们鼓励您在向第三方提供个人数据之前，先查看其隐私政策。

第二部分 – 个人数据收集

4. 收集的个人数据类别

4.1 我们收集并处理以下类别的个人数据，具体项目取决于适用法律及您与我们的关系性质：

4.1.1 身份数据：法定全名（包括任何曾用名）；出生日期；出生地；国籍和公民身份；性别；政府签发的身份证件（护照、国民身份证、驾照）；用于身份验证的照片和生物识别数据；签名样本；以及根据《反洗钱/打击恐怖融资条例》第 9 至 15 条规定，出于客户尽职调查目的所需的任何其他识别信息。

4.1.2 联系数据：居住地址；邮寄地址（如不同）；电子邮件地址；电话号码；手机号码；以及社交媒体账号或标识符（如提供）。

4.1.3 财务数据：资金来源；财富来源；就业状态、职业和雇主详情；年收入和净资产；银行账户详情；加密货币钱包地址；平台上的交易历史；投资偏好和风险承受能力；税务识别号；以及出于客户尽职调查或税务报告目的所需的任何其他财务信息。

4.1.4 公司数据：针对法人实体用户：公司名称；注册或成立编号；注册地司法管辖区；注册办事处地址和主要营业地点；组织章程文件（公司章程）；公司结构和所有权图表；董事、高级职员、股东、受益所有人及授权代表的详情；董事会决议；公司存续证明；以及出于客户尽职调查目的所需的任何其他公司信息。

4.1.5 技术数据：互联网协议 (IP) 地址；浏览器类型、版本和设置；设备标识符、类型和操作系统；时区设置和基于 IP 地址衍生的位置数据；登录时间戳和会话数据；页面响应时间；以及通过 Cookie、网络信标、像素标签和类似技术收集的信息。

4.1.6 使用数据：有关您与平台互动的信息，包括查看的页面和功能；导航路径；投资活动和交易历史；查询搜索；点击流数据；以及参与度指标。

4.1.7 通信数据：与我们的通信记录，包括电子邮件、聊天记录、支持工单、电话录音（如已披露）以及提交的任何反馈、投诉或调查问卷。

4.1.8 监管数据：符合反洗钱、反恐怖融资和制裁合规要求所需的信息，包括针对制裁名单（联合国、欧盟、OFAC、OFSI）、政治敏感人物 (PEP) 数据库、不利媒体报道和执法部门数据库的筛选结果；可疑活动指标；以及提供给金融情报机构 (FIU)、金融服务管理局 (FSA) 或其他监管或执法机构或从其处收到的信息。

5. 收集方法

5.1 直接提供的信息。当您进行以下操作时，我们会收集您直接提供的个人数据：(a) 在平台上创建账户或注册；(b) 完成客户尽职调查验证；(c) 进行投资或交易；(d) 联系客户支持或提交咨询；(e) 订阅营销信息或新闻简报；(f) 参加调查、竞赛或促销活动；(g) 提供反馈或投诉；或 (h) 通过社交媒体与我们互动。

5.2 自动收集的信息。当您访问或使用平台时，我们会通过 Cookie、网络信标、像素标签、软件开发工具包 (SDK) 和类似技术自动收集技术数据和使用数据。这包括：(a) 设备信息（类型、型号、操作系统、唯一标识符）；(b) 日志数据（访问时间、查看的页面、IP 地址、来源 URL）；(c) 基于 IP 地址衍生的位置数据；以及 (d) 有关您使用平台功能的信息。

5.3 来自第三方的信息。我们可能会从以下第三方渠道接收个人数据：

(a) 身份验证提供商（包括 Sumsub），负责验证您的身份证明文件和生物识别数据；
(b) 区块链分析提供商（包括 Chainalysis 和 Elliptic），提供钱包筛选、交易监控和风险评分；
(c) Maclear AG（我们的母公司及抵押品管理人），提供借款人验证和尽职调查信息；
(d) 制裁筛选和 PEP 数据库提供商；
(e) 信用参考和欺诈预防机构；
(f) 公开渠道，包括公司登记处、法院记录和政府数据库；
(g) 与调查或信息请求相关的监管机构和执法部门。

5.4 区块链数据。当您通过平台与区块链网络互动时，包括钱包地址和交易详情在内的某些信息会被记录在公共区块链上。此类信息对任何访问区块链的人员均可见，且不受我们控制。出于合规和服务交付目的，我们可能会将公开的区块链数据与您的账户关联。

第三部分 – 个人数据的使用

6. 处理目的

6.1 我们出于以下目的处理您的个人数据：

6.1.1 服务交付与合同履行：创建并管理您的账户；核实您的身份和资格；提供平台及服务的访问权限；处理并执行您的投资交易；分配投资回报并管理贷款偿还；提供客户支持并回答咨询；发送与服务相关的通知和信息；维护并改进平台；以及履行《通用条款和条件》项下对您的合同义务。

6.1.2 法律与监管合规：根据《反洗钱/打击恐怖融资条例》第 9 至 15 条进行客户尽职调查并核实您的身份；根据国际标准针对制裁名单和政治敏感人物 (PEP) 数据库进行筛选；监控交易是否存在可疑活动，并根据《反洗钱/打击恐怖融资条例》第 20 条的要求向金融情报机构 (FIU) 提交可疑交易报告 (SAR)；遵守《反洗钱/打击恐怖融资条例》第 22 条项下的记录保存要求（保存七年）；遵守《虚拟资产业务法》(VABA) 项下的监管报告要求；根据金融行动特别工作组 (FATF) 第 16 号建议实施虚拟资产转移的“资金转移规则”(Travel Rule)；以及响应监管机构、执法部门、法院和政府机构的合法请求。

6.1.3 正当业务利益：保护平台的安全性、完整性和可用性；检测、预防并调查欺诈、安全违规和禁止的活动；执行我们的《通用条款和条件》；分析使用模式并改进我们的服务；开发新产品、新功能和服务；进行业务分析和研究；管理风险；保护我们的合法权利并寻求可用的救济措施；以及促成合并、收购或重组等公司交易。

6.1.4 营销与通信（需经同意）：在您提供同意的情况下，发送有关我们产品、服务和促销活动的营销信息；发送新闻简报和平台更新；个性化您的体验和内容；以及进行调查和市场研究。

7. 处理的法律依据

7.1 根据我们对等效于 GDPR 标准的自愿承诺，我们依靠以下法律依据处理您的个人数据：

(a) 同意：当您为了特定目的（例如接收营销信息）向我们提供了明确、具体、知情且清晰的同意时。您可以按照第 13 条所述随时撤回您的同意。

(b) 合同必要性：为了履行我们与您签订的合同（《通用条款和条件》），或根据您的要求在订立合同前采取步骤（例如处理您的账户注册或执行您的投资交易）而必须进行的处理。

(d) 正当利益：为了我们的正当利益或第三方的正当利益而必须进行的处理，前提是这些利益未被您的基本权利和利益所覆盖。我们的正当利益包括欺诈预防、安全、网络和信息安全、业务分析以及执行我们的合法权利。

7.2 正当利益评估。在我们依赖正当利益作为依据时，我们已进行了平衡评估，以确保您的权利和利益不会优于我们的正当利益。您可以联系 aleksandr.lang@8lends.io 请求获取有关我们正当利益评估的信息。

第四部分 – 个人数据的披露与共享

8. 个人数据接收方

8.1 我们可能会与以下类别的接收方共享您的个人数据：

8.1.1 关联公司：Maclear AG（我们在瑞士注册成立的母公司），负责提供借款人核实、抵押品管理及尽职调查服务。Maclear AG 根据瑞士数据保护法处理个人数据，并受等同于本隐私政策所述的数据保护合同义务约束。

8.1.2 服务提供商：代表我们处理个人数据的第三方服务提供商。根据书面数据处理协议，这些提供商需执行适当的安全保障措施。这些提供商包括：身份验证提供商 (Sumsub)；区块链分析提供商 (Chainalysis, Elliptic)；云托管和基础设施提供商；支付处理和银行合作伙伴；客户支持和通信平台；包括律师、会计师、审计师和顾问在内的专业顾问；以及技术和软件提供商。

8.1.3 监管与执法机构：圣文森特和格林纳丁斯金融服务管理局 (FSA)；金融情报机构 (FIU)；执法机构；法院和法庭；以及其他政府、监管或公共机构。披露条件为：适用法律要求、回应合法请求，或我们诚意认为披露对于保护我们的权利、您的安全或他人的安全是必要的。

8.1.4 业务交易对手：在涉及合并、收购、融资、资产出售或类似的业务交易时，或在出现资不抵债、破产或接管的情况下，作为尽职调查流程的一部分或作为业务资产，个人数据可能会被转让给潜在或实际的交易对手、收购方或继任者。我们将要求任何此类接收方以符合本隐私政策的方式保护您的个人数据。

8.2 安全保障措施。与我们共享个人すす数据的所有第三方均通过数据处理协议或同等安排承担合同义务，具体包括：(a) 仅根据我们的书面指示处理个人数据；(b) 实施适当的技术和组织安全措施；(c) 履行保密义务；(d) 未经我们授权不得聘用子处理者；(e) 协助我们响应数据主体请求；(f) 在合作终止时删除或归还个人数据；(g) 接受审计和检查。

9. 国际数据传输

9.1 传输司法管辖区。您的个人数据可能会被传输至圣文森特和格林纳丁斯以外的国家进行存储和处理，包括：瑞士（Maclear AG 所在地）；欧洲经济区；美国；以及我们服务提供商运营的其他司法管辖区。

9.2 传输安全保障。根据我们对等效于 GDPR 标准的自愿承诺，在进行国际数据传输时，我们会实施适当的安全保障措施，以确保您的个人数据获得充分的保护水平，包括：

(a) 传输至已被欧盟委员会认定为提供充分数据保护的司法管辖区（如瑞士）；
(b) 针对向其他司法管辖区的传输，使用欧盟委员会批准的标准合同条款 (SCCs)；
(c) 企业集团内部传输采用约束性企业规则；
(d) 适用数据保护法认可的其他合法传输机制。

9.3 副本。您可以联系我们，要求获取我们为国际数据传输所实施的安全保障措施副本。

第五部分 – 数据安全与保留

10. 数据安全措施

10.1 安全计划。我们根据《虚拟资产业务法》(VABA) 第 11(6)(b) 条的规定，实施了全面的信息安全计划，采取了适当的技术和组织措施，旨在保护您的个人数据免遭未经授权或非法的处理，以及意外丢失、毁损或损坏。

10.2 技术保障措施。我们的技术安全措施包括：使用传输层安全协议 (TLS) 对传输中的个人数据进行加密，并使用行业标准的 AES-256 加密技术对静态数据进行加密；对账户访问和管理系统实施多因素身份验证 (MFA)；防火墙保护、入侵检测和入侵防御系统；网络分段和访问控制；定期的漏洞评估和渗透测试；由认可机构（如 Certik、Cyberscope）进行的智能合约安全审计；安全软件开发规范；持续的安全监控和日志记录；以及冗余系统和灾难恢复能力。

10.3 组织保障措施。我们的组织安全措施包括：基于角色的访问控制 (RBAC)，将人员对个人数据的访问严格限制在“按需知密”范围内；与所有员工、承包商和服务提供商签署保密协议；对接触个人数据的人员进行背景审查；对员工进行定期的数据保护、安全意识和反洗钱/打击恐怖融资 (AML/CFT) 要求培训；记录在案的安全政策和程序；事件响应和泄露通知程序；业务连续性和灾难恢复计划；以及定期的内部和外部安全审计。

10.4 安全局限性。虽然我们采取了强有力的安全措施，但任何互联网传输方法或电子存储方法都不是绝对安全的。我们无法保证您个人数据的绝对安全。若发生可能导致您的权利和自由面临风险的个人数据泄露事件，我们将根据我们的泄露通知程序和适用法律，毫不延误地通知您和相关部门。

11. 数据保留

11.1 保留原则。我们仅在为实现收集目的所必需的期限内、为履行我们的法律义务、解决争议以及执行我们的协议而保留您的个人数据。

11.2 保留时间表。适用以下保留期限：

(a) 账户与交易数据：在您的账户关系存续期间，以及根据《反洗钱/打击恐怖融资条例》第 22(1) 条的要求，自业务关系结束或最后一笔交易完成之日起保留七 (7) 年；
(b) 客户尽职调查记录：根据《反洗钱/打击恐怖融资条例》第 22(1) 条的要求，自业务关系结束或单次交易完成之日起保留至少七 (7) 年；
(c) 交易记录：根据《反洗钱/打击恐怖融资条例》第 22(1) 条的要求，自交易之日起保留至少七 (7) 年；
(d) 通信记录：自通信之日起保留三 (3) 年，若涉及未决事项则期限延长；
(e) 营销偏好：保留至您撤回同意或退订营销信息为止；
(f) 技术与使用数据：自收集之日起保留两 (2) 年，若出于安全或欺诈调查目的需要则期限延长。

11.3 延长保留。在下列情况下，个人数据可能会保留更长时间：(a) 适用法律要求；(b) 建立、行使或辩护法律主张所必需；(c) 正在进行的监管调查或审计需要；(d) 无法通过匿名化实现的合法业务目的需要；或 (e) 涉及实际或预期的诉讼而受到法律保留 (Legal Hold) 的约束。

11.4 处置。适用保留期限届满后，个人数据将被安全删除或通过无法重建或重新识别身份的方法进行不可逆的匿名化处理。

第六部分 – 您的权利

12. 数据主体权利

12.1 根据我们对等效于 GDPR 标准的自愿承诺，您对自己的个人数据拥有以下权利：

12.1.1 访问权：您有权确认我们是否在处理您的个人数据；若正在处理，您有权访问该个人数据，并获取有关处理方式的特定补充信息。这使您能够收到一份我们持有的关于您的个人数据副本，并核实我们是否在依法进行处理。

12.1.2 更正权：您有权要求更正我们持有的关于您的任何不准确、过时或不完整的个人数据。这使您能够纠正任何不完整或不准确的数据，但我们可能需要核实您提供的新数据的准确性。

12.1.3 删除权：在特定情况下，您有权要求删除您的个人数据，包括：数据对于收集目的不再必要；您撤回了同意（且处理是基于同意进行的）；您反对处理且没有更优先的正当理由；数据被非法处理；或根据法律义务要求必须删除。此项权利受第 12.3 条所述的例外和限制情况约束。

12.1.4 限制处理权：在特定情况下，您有权要求我们限制处理您的个人数据，包括：您对数据的准确性提出异议；处理是非法的但您不希望删除；我们不再需要这些数据但您因法律主张而需要使用；或您在核实正当理由期间反对处理。

12.1.5 数据可携带权：您有权以结构化、常用且机器可读的格式（如 CSV 或 JSON）接收您提供给我们的个人数据，并有权在不受阻碍的情况下将这些数据传输给另一个控制者，前提是：处理是基于您的同意或合同进行的，且处理是通过自动化手段实施的。此项权利不适用于为执行公共利益任务或行使官方权力所必需的处理。

12.1.6 反对权：当我们依靠正当利益作为处理的法律依据时，您有权反对处理您的个人数据。收到您的反对后，我们将停止处理，除非我们能证明处理具有优于您的利益、权利和自由的紧迫正当理由，或者处理是为建立、行使或辩护法律主张所必需。您有权随时绝对性地反对出于直接营销目的的处理。

12.1.7 撤回同意权：在处理基于您的同意进行的情况下，您有权随时撤回该同意。撤回同意不影响撤回前基于同意进行的处理的合法性。

12.1.8 与自动决策相关的权利：您有权不受仅基于自动化处理（包括画像）作出的决定的约束，前提是该决定对您产生法律效力或对您产生类似的重大影响，除非该决定是：订立或履行合同所必需；法律授权；或基于您的明确同意。我们目前不作出仅基于自动化处理且会产生法律或类似重大影响的决定。

12.2 行使您的权利。如需行使上述任何权利，请向 aleksandr.lang@8lends.io 提交书面请求。我们将在收到请求后的三十 (30) 日内回复，对于复杂的请求，期限可能会延长，届时我们将通知您。在处理您的请求前，我们可能会要求您提供额外信息以核实身份。行使权利无需支付费用，但如果请求明显无据、过度或重复，我们可能会收取合理的行政费用或拒绝处理该请求。

12.3 限制。请注意，这些权利并非绝对的，可能受适用法律或我们更优先的正当利益限制。特别是：(a) 根据《反洗钱/打击恐怖融资条例》第 22 条，我们必须保留客户尽职调查和交易记录至少七年，删除请求不能免除此项法律义务；(b) 我们可能被禁止披露可疑交易报告或其他监管通信的存在；(c) 我们可能会保留为建立、行使或辩护法律主张所必需的数据；(d) 我们可能会保留为防范欺诈或遵守持续的监管义务所必需的数据。

13. 营销通讯

13.1 营销同意。我们仅在您选择接收此类通讯或在适用法律允许的情况下，向您发送营销通讯。

13.2 取消订阅。您可以随时通过以下方式取消接收营销通讯：(a) 点击任何营销电子邮件中的“取消订阅”链接；(b) 在您的账户设置中调整您的通信偏好；或 (c) 通过 hello@8lends.io 联系我们。我们将毫不延误地处理您的取消订阅请求。

13.3 服务通讯。请注意，即使您取消接收营销通讯，我们仍将继续发送运行您的账户所必需的服务相关通讯，包括交易确认、安全提示、政策更新和其他重要通知。

第七部分 – Cookie 与追踪技术

14. COOKIE

14.1 Cookie 的使用。平台使用 Cookie 及类似追踪技术，以提升您的体验、分析使用情况、提供特定功能，以及实现本节所述的其他目的。

14.2 Cookie 类型。我们使用以下类别的 Cookie：

(a) 绝对必要 Cookie：对平台的运行至关重要，包括会话管理、安全、负载均衡和身份验证。禁用此类 Cookie 将影响平台功能的正常使用；

(b) 性能 Cookie：通过匿名收集和报告信息（包括页面浏览量、流量来源和错误消息），帮助我们了解访问者与平台的互动方式；

(d) 定向 Cookie：可能用于推送与您及其兴趣更相关的广告，并衡量广告活动的效果（如适用）。

14.3 Cookie 管理。您可以通过浏览器设置管理 Cookie 偏好。大多数浏览器允许您拒绝全部或部分 Cookie，或在设置 Cookie 时向您发出提示。请注意，禁用绝对必要 Cookie 可能会导致您无法使用平台的某些功能。

第八部分 – 未成年人隐私

15. 未成年人保护

15.1 年龄限制。平台和服务并非面向 18 周岁以下的个人设计，我们也不会故意收集 18 周岁以下个人的个人数据。您必须年满 18 周岁才能使用本平台。

15.2 删除。如果我们获悉在未核实父母同意或其他合法依据的情况下收集了 18 周岁以下未成年人的个人数据，我们将采取措施立即删除该信息。

15.3 报告。如果您认为我们可能收集了 18 周岁以下未成年人的个人数据，请立即通过 aleksandr.lang@8lends.io 与我们联系。

第九部分 – 本政策的变更

16. 政策更新

16.1 修订。我们可能会不时更新本隐私政策，以反映我们的实践、技术、法律要求或其他因素的变化。本隐私政策顶部的“生效日期”表示最近一次修订的时间。

16.2 通知。若发生重大变更，我们将在变更生效前至少十四 (14) 天，通过发送电子邮件至您账户关联的地址和/或在平台上发布显著公告的方式通知您。重大变更包括：收集的个人数据类别、处理目的、第三方接收方、国际传输或您的权利发生变更。

16.3 接受。您在任何变更生效后继续使用本平台，即表示您接受修订后的隐私政策。如果您不同意修订后的隐私政策，必须停止使用本平台并注销您的账户。

第十部分 – 联系信息

17. 如何联系我们

17.1 如果您对本隐私政策或我们的数据处理实践有任何疑问、意见、建议或投诉，请联系我们：

Alpha Systems LLC
Teichgässlein 9,
4058 Basel,
Switzerland

一般咨询：hello@8lends.io
数据保护官：aleksandr.lang@8lends.io

Telegram 支持：@daniel_8lends, @ceviz1399, @henry_8lends

17.2 回复时间。我们努力在收到请求后的三十 (30) 日内回复所有与隐私相关的咨询。如果我们需要更多时间进行回复，将会通知您预计的时间期限。

‍

— 隐私政策结束 —