Skip to main content
Didit 融资 750 万美元,打造身份与欺诈基础设施
Didit
Didit
隐私政策
更新于 2026 年 5 月 16 日 · didit.me/terms/privacy-policy
法律

隐私政策

更新于2026 年 5 月 16 日

本页内容

本隐私政策解释了当您访问我们的网站、联系我们、使用我们的产品和服务,或完成由 Didit 提供支持的身份或欺诈验证流程时,Didit 如何处理个人数据。

如果您正在为使用 Didit 的银行、金融科技公司、加密平台、市场、雇主或其他组织验证您的身份,则该组织是决定为何需要验证的一方。在这种情况下,它是控制者业务方,Didit 作为其处理者服务提供商。有关特定验证处理、生物识别数据和白标流程,请阅读我们的验证隐私声明身份验证最终用户条款

1. 我们是谁

根据服务和地理位置,您的数据可能由以下一个或两个 Didit 实体处理:

  • Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, Spain。欧洲联盟、英国、欧洲经济区、瑞士和拉丁美洲客户的签约实体,以及运营欧洲数据平面的机构。
  • Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States。美国、加拿大、亚太地区、中东和全球客户的签约实体。

当我们说“Didit”“我们”“我们的”时,我们指的是提供适用服务的 Didit 实体。

2. 范围和我们的角色

本隐私政策适用于以下情况:

  • 您访问 `didit.me` 或任何 Didit 运营的网站;
  • 您请求信息、演示或支持;
  • 您创建或管理 Didit 业务关系、账户或集成;
  • 您申请 Didit 的职位;或
  • 您使用由 Didit 运营或通过 Didit 运营的验证、欺诈预防、身份验证或合规流程。

我们的角色根据上下文而变化:

上下文Didit 的角色这意味着什么
网站访客、营销、招聘、销售、支持和直接业务关系控制者Didit 决定为何以及如何处理这些直接互动的数据。
Didit 客户请求的验证流程处理者 / 服务提供商客户决定为何进行验证以及启用哪些检查。Didit 代表客户处理数据。
安全、滥用预防、服务完整性、审计日志记录、法律合规、匿名化或假名化数据上的欺诈模型训练和验证,以及法律索赔针对特定目的的独立控制者Didit 可能会处理有限数据以保护平台、训练和改进欺诈检测和验证模型、遵守法律,以及建立、行使或辩护法律索赔。

如果您处于白标验证流程或自定义域中,自定义品牌并不一定意味着只有品牌公司处理您的数据。Didit 仍可能提供底层验证技术和相关处理。

3. 我们处理的个人数据类别

我们处理的数据类别取决于服务、工作流配置以及您与 Didit 的关系。它们可能包括:

  • 身份识别和联系数据, 姓名、电子邮件地址、电话号码、邮寄地址、出生日期和类似身份识别信息。
  • 业务和账户数据, 公司名称、账单信息、账户凭据、API 使用详情以及您与 Didit 关系的记录。
  • 验证数据, 身份文件图像、提取的文件数据、地址证明文件、问卷答案、制裁或观察名单筛选输入以及验证结果。
  • 生物识别和活体数据,如果工作流包含人脸验证或类似检查, 自拍、人脸图像、视频、活体捕捉、反欺骗信号以及从面部几何扫描中提取的数据。
  • 设备、网络和技术数据, IP 地址、浏览器类型、操作系统、语言、设备标识符、时间戳、从网络数据推断的地理位置以及其他安全或反欺诈遥测数据。
  • 通信和支持数据, 消息、支持工单、通话记录、电子邮件交换和操作日志。
  • 第三方和公共来源数据, 由我们的客户、身份或欺诈预防合作伙伴、公共机构、电信提供商以及法律允许的公共来源提供的信息。
  • 招聘数据, 简历、就业历史以及在招聘过程中提交的其他材料。

我们并非每次互动都需要上述所有类别。确切使用的数据取决于所请求的服务和相关客户选择的配置。

4. 我们如何使用个人数据

我们可能将个人数据用于以下目的:

  • 运营我们的网站和服务, 账户访问、产品交付、客户支持、账单和通信。
  • 提供身份和欺诈基础设施服务, 用户验证 (Know Your Customer / KYC)、业务验证 (Know Your Business / KYB)、交易监控、钱包筛选 (Know Your Transaction / KYT) 和其他配置的检查。
  • 保护平台安全, 防止滥用、检测欺骗、预防欺诈、监控可疑活动并维护服务完整性。
  • 使用从验证活动中提取的匿名化或假名化数据(在法律允许的情况下)训练、评估和改进欺诈检测和验证模型。请参阅第 11 节了解选择退出。
  • 响应请求, 演示请求、支持问题、尽职调查请求和业务通信。
  • 管理招聘, 审查申请并与候选人沟通。
  • 遵守法律和监管义务, 维护记录、响应合法请求、执行合同并进行内部或外部审计。
  • 建立、行使或辩护法律索赔并保护 Didit、我们的客户和受影响个人的权利、安全和保障。

5. 处理的法律依据

如果适用《通用数据保护条例》(GDPR)、英国 GDPR、瑞士数据保护法或类似法律,Didit 依赖以下一个或多个法律依据:

  • 履行合同或在签订合同前应您的要求采取的步骤。
  • 合法利益, 保护我们的平台、支持客户、预防欺诈、维护记录、在匿名化或假名化数据上训练和改进欺诈检测和验证模型,以及与业务联系人沟通,前提是这些利益不被您的权利所凌驾。
  • 同意,包括在特定司法管辖区或工作流中,营销通信、某些 cookie 或生物识别处理需要同意的情况。
  • 法律义务,即根据适用法律、法规、法院命令或当局的合法请求需要进行处理的情况。
  • 建立、行使或辩护法律索赔

如果处理特殊类别或敏感数据,包括用于唯一识别您的生物识别数据,Didit 仅在适用法律允许的情况下处理该数据。在验证流程中,相关客户负责确定和记录验证本身的法律依据,包括是否需要明确同意。

6. 我们如何披露个人数据

我们可能会向以下方披露个人数据:

  • 要求我们执行验证的客户,以便客户完成入职、欺诈审查、合规检查或相关业务流程。
  • Didit 集团实体,在运营、支持、保护或提供相关服务所必需的情况下。
  • 服务提供商和子处理者, 云托管、存储、基础设施、通信、支持、分析、欺诈预防、文档处理、安全、审计和专业服务提供商。当前子处理者列表可根据签署的保密协议 (NDA) 向客户和潜在客户提供,请发送请求至 security@didit.me
  • 专业顾问, 律师、审计师、保险公司和顾问,在合法业务、合规或法律目的需要时。
  • 公共机构、监管机构、法院、执法部门或其他第三方,在法律、法律程序或可执行的政府请求要求时。
  • 继承人和交易对手方,如果 Didit 涉及合并、收购、融资、破产程序或资产出售,但须遵守保密和法律保障。

Didit 出售、租赁、交易或以其他方式从生物识别标识符或生物识别信息中获利。

7. 国际传输

Didit 可能会在多个国家处理数据。当个人数据传输到欧洲经济区、英国、瑞士或其他有传输限制的司法管辖区之外时,Didit 会在需要时使用适当的保障措施,包括:

  • 充分性决定;
  • 欧盟委员会 2021 年标准合同条款 (SCCs) 以及任何等效的英国或瑞士附加条款;
  • 集团内部传输安排;或
  • 适用法律认可的其他合法传输机制。

8. 数据保留

Didit 会在合理必要的时间内保留个人数据,以实现本隐私政策中描述的目的,包括:

  • 提供和支持相关服务;
  • 在处理者关系中遵循客户指示;
  • 遵守合同、法律、税务、会计和监管义务;
  • 维护安全和欺诈预防记录;
  • 解决争议;以及
  • 建立、行使或辩护法律索赔。

保留期限因服务、工作流配置、适用法律以及 Didit 在处理中扮演的角色而异:

  • 业务关系数据通常在关系存续期间以及合法的终止后记录保存期间保留。
  • 支持和审计记录可能会出于运营、安全和合规目的而保留。
  • 招聘数据在招聘过程和任何合法的后续期间保留,如果您单独同意,则保留更长时间。
  • 验证数据, 默认保留期限为无限期(“unlimited”),除非客户配置了更短的期限。客户可以在业务控制台中为每个应用程序配置 30 天到 10 年的保留期限,或者随时通过 API 端点 `POST /v3/sessions/:session_id/delete/` 触发按会话删除。最终用户也可以行使第 9 节中描述的删除权利。生物识别数据保留在任何情况下均受适用生物识别隐私法律法规的约束和限制, 包括欧盟通用数据保护条例 (GDPR) 第 9 条、伊利诺伊州生物识别信息隐私法 (BIPA)、德克萨斯州生物识别标识符捕获或使用法案 (CUBI)、华盛顿州 H.B. 1493 以及任何其他适用的生物识别隐私法;如果此类法律规定了更短的保留期限或更早的销毁义务,则该更短或更严格的规则优先于任何默认或客户配置的保留期限。

当数据不再需要时,Didit 会删除、编辑、匿名化、去识别化或安全销毁。有关生物识别数据和验证媒体,请参阅验证隐私声明

9. 您的权利

根据您的位置和适用法律,您可能拥有以下权利:

  • 访问您的个人数据;
  • 请求更正不准确或不完整的数据;
  • 请求删除或擦除;
  • 请求限制处理;
  • 反对某些处理,包括基于合法利益的处理(请参阅第 11 节了解模型训练和欺诈检测选择退出);
  • 在处理基于同意的情况下撤回同意;
  • 请求您提供的数据的可移植性;
  • 不受仅基于自动化处理(包括分析)的决定,该决定产生法律或类似重大影响,但须遵守 GDPR 第 22 条中的条件和例外;以及
  • 向监管机构提出投诉。Didit 的主要监管机构西班牙数据保护局 (Agencia Española de Protección de Datos / AEPD),网址为 `aepd.es`。

当 Didit 作为控制者时,请将隐私请求提交至 privacy@didit.medpo@didit.me

当 Didit 作为客户验证流程的处理者或服务提供商时,请将您的请求直接发送给要求您验证的组织。该客户控制验证的目的,并且最能响应。如果 Didit 直接收到此类请求,我们可能会将其转发给相关客户。

10. Cookie 和类似技术

Didit 在其网站上使用 cookie 和类似技术,用于功能、安全、分析和归因。请阅读我们的Cookie 政策以获取完整清单、同意横幅控件以及我们对全球隐私控制 (GPC) 和“请勿追踪”(DNT) 的立场。

11. 匿名化模型训练和欺诈检测, 您的选择退出

Didit 使用从验证活动中提取的匿名化或假名化数据(例如:文档特征、欺诈信号、攻击模式、模型错误样本)训练、评估和改进其身份验证、生物识别和欺诈检测模型,并运行跨客户欺诈预防保障措施。Didit 应用匿名化、假名化、聚合和访问控制,以确保用于训练和欺诈检测的数据无法合理地与底层验证记录之外的可识别个人关联。

此处理基于 Didit 的合法利益,即:

  • 提高所有客户使用的身份和欺诈基础设施的准确性和安全性;
  • 检测和预防欺诈、身份盗窃攻击、深度伪造和已知攻击者的重复尝试;以及
  • 满足监管机构对模型性能、公平性和安全性的期望。

选择退出。 客户或最终用户可以通过以下方式选择将其数据排除在模型训练和欺诈检测处理之外:

  • 通过 API 或业务控制台删除底层验证记录(删除会在下一次刷新周期中将记录从训练管道中移除),或
  • 发送电子邮件至 privacy@didit.me,并附上相关的会话标识符或账户,请求选择退出。

选择退出自请求之日起生效;Didit 还将尽商业上合理的努力从活动训练数据集中清除符合条件的记录。

12. 美国, 加州消费者隐私法案 (CCPA) / 加州隐私权法案 (CPRA) 附录

本节为加州居民补充本隐私政策,并适用于 Didit 根据加州消费者隐私法案 (CCPA)(经加州隐私权法案 (CPRA) 修订)成为“业务”的任何时候。当 Didit 是 Didit 客户(根据 CCPA 的“业务”)的“服务提供商”或“承包商”时,客户的隐私声明管辖相关验证流程,Didit 根据相关数据处理协议处理个人信息。

过去 12 个月内收集的个人信息类别 (CCPA 类别):

  • 标识符(姓名、电子邮件、电话、IP 地址、设备标识符)。
  • 客户记录(账单、联系方式、账户)。
  • 互联网或网络活动(浏览、互动、遥测)。
  • 地理位置数据(从 IP 推断)。
  • 感官数据(自拍、人脸图像、活体视频、文档图像)。
  • 专业或就业数据(针对候选人)。
  • 敏感个人信息 (SPI),包括用于唯一识别消费者的生物识别信息、身份文件中包含的政府标识符以及账户登录凭据。
  • 从上述任何一项推断出的信息(风险评分、欺诈信号、决策结果)。

目的, 第 4 节中列出的目的。

个人信息的出售或共享。 Didit 出售或共享(根据 CCPA/CPRA 的定义)个人信息,包括生物识别信息。

敏感个人信息的使用和披露。 Didit 仅将敏感个人信息用于加州民法典 § 1798.121(a) 和实施条例允许的目的, 提供和保护验证服务、预防欺诈和安全事件、遵守法律义务以及其他无需单独消费者限制权的目的。

您的加州权利:

  • 了解收集、使用、披露和出售/共享哪些个人信息的权利;
  • 删除个人信息的权利;
  • 更正不准确个人信息的权利;
  • 选择退出出售或共享的权利(Didit 不出售也不共享);
  • 限制敏感个人信息使用和披露的权利(Didit 的处理已限于不触发该权利的目的);
  • 数据可移植性权利;以及
  • 不因行使上述任何权利而受到歧视的权利。

请将加州请求提交至 privacy@didit.me。在回复之前可能需要验证您的身份。授权代理人可以提交附有授权证明的请求。

全球隐私控制 (GPC) 和“请勿追踪”(DNT)。 当您的浏览器发送全球隐私控制信号 (`Sec-GPC: 1`) 时,Didit 将其视为根据 CCPA/CPRA 选择退出出售和共享,并视为选择退出分析和归因 cookie, 即使 Didit 不出售或共享个人信息,GPC 信号也会被记录,以便不会为该浏览器设置任何可能被解释为共享的广告或分析 cookie。Didit 目前不响应旧版“请勿追踪”(DNT) 标头,因为对于如何解释它们没有行业共识;GPC 信号在 Didit 的目的中取代 DNT。

13. 安全

Didit 采用管理、技术和组织保障措施,旨在保护个人数据免受未经授权的访问、丢失、滥用、更改和非法销毁,包括使用 AES-256 进行静态加密、使用 TLS 1.3 进行传输加密、在 AWS KMS 中进行密钥管理、基于角色的访问控制、环境隔离、持续监控、供应商监督和事件响应程序。请参阅信息安全政策以获取完整的态势和认证。

没有完美的安保措施。您还应该保护自己的设备、凭据和通信。

14. 儿童

Didit 的公共网站和标准业务服务不面向儿童。一些客户可能会合法地使用 Didit 进行涉及年轻用户的年龄相关或身份相关检查,但这种使用必须得到适当的法律依据和客户自己的通知的支持。如果您认为个人数据在未经适当授权的情况下提交给 Didit,请联系 privacy@didit.me

15. 本隐私政策的变更

我们可能会不时更新本隐私政策,以反映法律、技术、运营或产品变更。政策顶部的生效日期反映了上次更新。法律要求时将传达重大变更。

16. 联系方式

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/privacy-policy

对特定文档有疑问?

发送电子邮件至 legal@didit.me、privacy@didit.me 或 security@didit.me, 或在 WhatsApp 上给我们留言。我们会将您转接给合适的联系人。

联系我们
让 AI 总结此页面