隐私政策

1. 数据控制者与客户内容

对于我们为提供和计费服务而处理的、您作为账户持有人的个人数据，数据控制者为 Craft Intertech (Thailand) Co., Ltd.，以 DriteStudio 品牌运营，注册地址：泰国 沙没沙空府 潘泰诺拉辛 邦坤天-柴塔莱 Delight Village 17 巷 100/280 74000。对于与本隐私政策相关或行使 PDPA 权利的任何事项，请通过本政策末尾的联系信息与我们联系。 对于您上传、存储或在您所控制的 VPS、虚拟主机、独立服务器、游戏服务器、托管服务或任何其他服务中处理的个人数据，您作为该数据的数据控制者，而我们仅在为您运营服务所必需的范围内作为数据处理者，除非另有单独的数据处理协议或适用法律另有规定。您应负责确保您选择存储在我们服务上的任何个人数据的合法基础、透明度和数据主体权利。

2. 我们收集的信息

我们按以下类别收集个人数据。具体收集的数据取决于您使用的服务以及您与我们的互动方式。

• 身份识别和账户数据 — 姓名、电子邮件地址、电话号码、账单地址、税务识别号、公司名称
• 账单和支付数据 — 支付方式类型、交易历史、发票、支付工具部分标识符；完整卡号和 CVV 由我们的支付合作伙伴处理，我方不存储
• 身份验证数据 — 密码哈希、双重认证密钥、通行密钥凭证、恢复代码和会话令牌
• 服务使用数据 — IP 地址、服务标识符、资源消耗指标、服务器访问和错误日志
• 技术和设备数据 — 浏览器类型、操作系统、设备标识符、语言和引用 URL
• 支持和通信数据 — 支持工单、电子邮件往来、聊天记录、满意度调查
• 营销偏好和同意记录

3. 我们如何使用您的个人数据

我们将个人数据用于以下目的。每个目的均基于 PDPA 第 24 条规定的合法依据（履行合同所必需、合法利益、法律义务或同意）。

• 提供、运营、维护和改进服务 — 合同必要性
• 处理付款、开具发票并发送账单相关通信 — 合同必要性和法律义务
• 对访问进行身份验证、管理会话并执行账户安全 — 合同必要性和合法利益
• 响应支持请求并提供客户服务 — 合同必要性
• 侦测、防止和调查欺诈、滥用、AUP 违规和安全事件 — 合法利益
• 遵守税务、反洗钱、法院命令及泰国法律下的其他法律义务 — 法律义务
• 发送服务公告、安全警报和维护通知 — 合同必要性
• 发送营销和促销通信 — 同意（您可以随时撤回）
• 进行汇总分析以了解和改进服务性能 — 合法利益

4. 信息共享与次级处理方

我们不出售、出租或交易您的个人数据。我们仅在必要时与以下类别的接收方共享数据，每位接收方均受适当的保密和数据保护义务的约束：

• 支付处理方和收单银行（用于处理付款；完整卡数据不由我方存储）
• 用于运营平台的云、数据中心和网络基础设施提供商
• 用于事务性和支持通信的电子邮件、短信和消息提供商
• 域名注册局和注册商（当您通过我们注册域名时；ICANN 和注册局政策要求）
• 分析、日志和错误监控提供商（在可行情况下数据经过假名化或汇总）
• Craft Intertech 集团的关联公司和集团内公司，受同等的隐私义务约束
• 审计师和律师等专业顾问，承担保密义务
• 依法或为保护权利、财产或安全所需的执法部门、监管机构和法院
• 在合并、收购、重组或资产出售情况下的继承方，前提是其在至少同等保护条件下继续保护

5. 国际数据传输

我们的一些次级处理方和基础设施提供商位于泰国境外。当我们进行国际数据传输时，我们根据 PDPA 第 28-29 条确保足够的保障措施，包括传输到被认定提供充分保护的司法管辖区、使用标准合同条款等合同保障，或您的明确同意。您可以通过联系我们了解特定传输机制的详细信息。

6. 数据保留

我们仅在为收集目的所必需的时间内保留个人数据，或按泰国法律要求的期限保留。指示性保留期限为：

• 账户信息 — 账户活跃期间，加上账户关闭后最多 12 个月
• 账单记录、发票和会计文件 — 10 年（根据泰国《税法典》和《会计法》要求）
• 服务器运营日志 — 90 天
• 安全、滥用和审计日志 — 最长 12 个月
• 支持工单和通信记录 — 问题解决后 36 个月
• 营销同意记录 — 直到撤回，加上 12 个月用于审计目的
• 如数据涉及争议、AUP 违规、安全事件、法律索赔或政府命令，我们可在必要且合法的范围内，将相关数据保留超过上述指示性期限

7. 您在 PDPA 下的权利

在 PDPA 限制范围内，您对个人数据享有以下权利。要行使任何这些权利，请使用本政策末尾的详细信息联系我们。我们将在收到可验证请求后 30 天内回复。

• 访问权 — 获取我们持有的您的个人数据的确认和副本
• 更正权 — 更正不准确或不完整的数据
• 删除权 — 请求删除个人数据，但须遵守我们的法定保留义务
• 限制处理权 — 在特定情况下限制我们使用您的数据的方式
• 反对权 — 反对基于合法利益的处理，包括直接营销
• 数据可携权 — 以结构化、常用、机器可读的格式接收您的数据
• 撤回同意权 — 对依赖同意的任何处理，不影响在撤回之前的处理的合法性
• 投诉权 — 如果您认为权利受到侵害，可向泰国个人数据保护委员会（PDPC）投诉

8. Cookie 和跟踪技术

我们使用以下类别的 Cookie 和类似技术。您可以通过我们的 Cookie 横幅或浏览器设置管理非必要 Cookie。

• 严格必要 — 用于身份验证、安全和核心网站功能；无法禁用
• 功能性 — 记住您的语言、主题和其他偏好（仅在适用法律要求的同意下设置）
• 分析 — 以汇总方式衡量网站使用情况以改善性能（仅在您同意时设置）
• 营销 — 衡量营销活动效果并个性化内容（仅在您同意时设置）

9. 数据安全

我们采取适当的技术和组织措施以保护个人数据，包括传输中的 TLS 加密、适用时的静态加密、安全的密码哈希、双重认证、基于角色的访问控制、最小权限原则、网络分段和定期安全审查。任何传输或存储方法都不是完全安全的；虽然我们努力使用商业上合理的方式保护您的数据，但无法保证绝对安全。

10. 儿童隐私

我们的服务面向已达到泰国法定成年年龄（20 岁）或获得可验证的父母或监护人同意的个人。未经此类同意，我们不会有意收集 20 岁以下任何人的个人数据。如果您认为未成年人向我们提供了个人数据，请联系我们以便我们采取适当行动。

11. 数据泄露通知

如果发生对您的权利和自由构成风险的个人数据泄露，我们将在意识到泄露后 72 小时内按 PDPA 要求通知泰国个人数据保护委员会（PDPC）。当泄露可能对您的权利造成高风险时，我们也将及时通知受影响的个人，告知泄露性质、涉及的数据、可能的后果以及我们已采取或建议的措施。

12. 政策变更和联系

我们可能不时更新本隐私政策。重大更新将发布在此页面，"最后更新"日期将被修订。在法律要求的情况下，我们将通过电子邮件或服务通知您。如对本政策有疑问，要行使 PDPA 权利或提出投诉，请通过以下方式联系我们：