隐私政策
最近更新:2026 年 5 月 8 日 · 适用于 filialplus.com 及其子域 · 中文为权威文本
医疗数据声明:本服务收集敏感健康数据(血压、血糖、用药记录等)。我们以 GDPR 第 9 条 (h)「健康协助」与 PIPL 第 28 条「敏感个人信息」标准处理,并不替代医疗诊断或急救服务。详见
医疗免责声明。
1. 数据控制者与适用法律
Filial+ 由 Filial Plus, Inc.(特拉华州,美国)运营,是您与父母数据的"控制者"(Controller)。
- 欧盟 / 英国数据主体:适用 GDPR / UK GDPR
- 父母位于中国:适用 《个人信息保护法》(PIPL),包括第 38 条跨境传输
- 美国加州数据主体:适用 CCPA / CPRA
欧盟代表(GDPR 第 27 条)与中国境内代表(PIPL 第 53 条)联系方式:dpo@filialplus.com。
2. 数据类别(明示清单)
| 类别 | 具体字段 | 是否敏感 |
| 账户身份 | 邮箱、姓名、密码哈希、locale、Google sub | 否 |
| 父母档案 | 显示名(可昵称)、关系、出生年份、电话 (E.164)、城市 | 是(PIPL 敏感) |
| 健康打卡(敏感) | 每日心情、血压(收缩/舒张)、血糖、体重、用药勾选、备注 | 是(GDPR 9 条 + PIPL 28 条) |
| 家庭关系 | 子女⇄父母绑定关系 | 是(PIPL 敏感) |
| 短信号码 | 父母 +86 手机号(用于 OTP) | 是 |
| 支付 | Stripe customer ID(不存储卡号) | 否 |
| 系统日志 | IP、User-Agent、audit_log(7 年保留) | 否 |
3. 法律基础
- 合同履行(GDPR 6(1)(b) / PIPL 13(2))— 提供监护服务
- 明示同意(GDPR 9(2)(a) / PIPL 14、29)— 处理敏感健康数据 + 跨境传输;同意可随时撤回
- 合法利益(GDPR 6(1)(f))— 安全审计、欺诈防范(audit_log)
- 法律义务(GDPR 6(1)(c) / PIPL 13(3))— 税务记录、监管响应
注册时您必须主动勾选 "我已阅读医疗免责声明" + "我同意跨境传输父母健康数据至美国",否则无法创建账户。
4. 跨境传输(PIPL 第 38 条 / GDPR 第 V 章)
由于子女在美/欧/日/澳,父母在中国,本服务必然涉及跨境数据流。我们采取以下措施:
- PIPL 第 38 条:通过国家网信办备案的 个人信息出境标准合同(SCC for PI Export)方式向境外(美国 AWS us-east-1)提供父母信息
- GDPR 第 V 章:欧盟数据传输到美国采用 SCC(2021 EU SCCs Module 2)+ DPF(Data Privacy Framework)
- 个人信息保护影响评估(PIPIA):已完成并存档,可应监管要求出示
- 独立同意:跨境传输需单独勾选同意,与一般使用同意分开
- 父母行权代理:父母作为数据主体,可由子女作为 proxy 行使权利;亦可独立通过短信验证身份后直接联系 dpo@filialplus.com
5. 第三方子处理者(Sub-processors)
| 提供方 | 用途 | 数据位置 | 合规依据 |
| AWS (us-east-1) | 主托管 | 美国 弗吉尼亚 | SCC + DPF |
| Cloudflare | 公开网站托管 | 全球边缘网络 | SCC + DPF |
| Stripe | 支付处理 | 美国 / 欧盟 | SCC + DPF + PCI-DSS L1 |
| Twilio (国际) | 父母 OTP 短信 | 美国 / 新加坡 | SCC + DPF |
| 国内短信通道(占位) | 父母 OTP 短信(中国境内 fallback) | 中国境内 | PIPL 数据本地化 |
| Resend | 子女邮件通知 | 美国 / 欧盟 | SCC + DPF |
| Sentry | 错误监控(无健康数据) | 美国 | SCC + DPF |
详细 DPA 见 数据处理协议。
6. 您的权利
- 访问权(GDPR 15 / PIPL 45)— Dashboard 一键导出 JSON
- 更正权(GDPR 16 / PIPL 46)— 在 Dashboard 直接修改
- 删除权 / 被遗忘权(GDPR 17 / PIPL 47)— 账户设置一键删除
- 限制处理权(GDPR 18)— 邮件请求 dpo@filialplus.com
- 数据可携权(GDPR 20 / PIPL 45 (3))— JSON 导出
- 反对权(GDPR 21)— 反对营销邮件,dashboard 一键关闭
- 撤回同意(GDPR 7(3) / PIPL 15)— 立即生效,可能终止服务
- 父母行权:父母通过短信 OTP 验证身份后直接行权,无需子女介入
- 申诉:欧盟向当地 DPA / 中国向网信办(cac.gov.cn)/ 美国向 FTC
7. 数据保留与删除
- 账户删除请求 → 30 天宽限期 → 物理删除全部数据
- audit_log 保留 7 年(GDPR 6(1)(c) 法律义务 + PIPL 19 条)— 与已删除用户脱敏
- Stripe 发票 7 年(税务)
- 未活跃账户:12 个月无登录 + 邮件确认后删除
8. 安全措施
- TLS 1.3 全程加密、scrypt 密码哈希、HttpOnly+Secure+SameSite=Lax cookie
- JWT HS256(128 位 secret)+ 7 天过期 + 父母端 session 30 天独立轮换
- Magic-link 暴力破解防护(5 次错误锁定 + 节流 60 秒)
- Rate-limit 全 API + 二次邮件确认(导出/删除/改密)
- SQLite + WAL + foreign_keys ON + audit_log 不可篡改
- Sentry 错误监控(PII 自动脱敏)
9. Cookies
仅必要会话 cookie(child_token、parent_session、CSRF)。无第三方分析、无广告 cookie、无跨站追踪。详见 Cookie 设置。
10. 未成年人
本服务不面向 18 岁以下用户。父母档案默认目标人群 50 岁以上。若发现未成年人账户立即删除。
11. 政策变更
重大变更(新增数据类别、新子处理者、跨境传输方案变更)会提前 30 天邮件通知,并要求重新勾选同意。
12. 联系方式
DPO(数据保护官):dpo@filialplus.com · 一般问询:hi@filialplus.com · 48 小时内回复。
Privacy Policy
Last updated: May 8, 2026 · Applies to filialplus.com and subdomains · Chinese version is authoritative
Medical Data Notice: This service collects sensitive health data (blood pressure, glucose, medication records). We process it under GDPR Art. 9(2)(h) "health assistance" and PIPL Art. 28 "sensitive personal information" standards, and the service does NOT replace medical diagnosis or emergency services. See
Medical Disclaimer.
1. Data Controller & Applicable Laws
Filial+ is operated by Filial Plus, Inc. (Delaware, USA), the "Controller" of your data and your parents' data.
- EU / UK data subjects: GDPR / UK GDPR
- Parents in China: PIPL (Personal Information Protection Law), including Art. 38 cross-border transfer
- California residents: CCPA / CPRA
EU Representative (GDPR Art. 27) & PRC Representative (PIPL Art. 53): dpo@filialplus.com.
2. Data Categories (explicit list)
| Category | Fields | Sensitive |
| Account identity | email, name, password hash, locale, Google sub | No |
| Parent profile | display name (nickname OK), relation, birth year, E.164 phone, city | Yes (PIPL sensitive) |
| Health check-in (sensitive) | daily mood, BP (sys/dia), glucose, weight, medication taken, note | Yes (GDPR Art. 9 + PIPL Art. 28) |
| Family relation | child⇄parent binding | Yes (PIPL sensitive) |
| SMS number | parent +86 phone (for OTP) | Yes |
| Payment | Stripe customer ID (no PAN stored) | No |
| System logs | IP, UA, audit_log (7 yr retention) | No |
3. Legal Basis
- Contract performance (GDPR 6(1)(b) / PIPL 13(2)) — providing monitoring service
- Explicit consent (GDPR 9(2)(a) / PIPL 14, 29) — sensitive health data + cross-border transfer; revocable any time
- Legitimate interest (GDPR 6(1)(f)) — security audit, fraud prevention
- Legal obligation (GDPR 6(1)(c) / PIPL 13(3)) — tax records, regulatory response
At signup you MUST tick "I have read the Medical Disclaimer" + "I consent to cross-border transfer of parent health data to the United States", otherwise account creation is blocked.
4. Cross-Border Transfer (PIPL Art. 38 / GDPR Chapter V)
Because the child lives abroad and the parent lives in China, cross-border data flow is intrinsic. Our safeguards:
- PIPL Art. 38: Standard Contract for PI Export filed with CAC for transferring parent data to the United States (AWS us-east-1)
- GDPR Chapter V: EU→US transfer uses 2021 EU SCCs Module 2 + Data Privacy Framework
- Personal Information Protection Impact Assessment (PIPIA): completed and on file, available to regulators on request
- Separate consent: cross-border transfer consent is collected separately from general use consent
- Parent rights via proxy: parent (data subject) may exercise rights via the child as proxy, OR independently after SMS-OTP identity verification at dpo@filialplus.com
5. Sub-processors
| Provider | Purpose | Data location | Compliance |
| AWS (us-east-1) | Primary hosting | US Virginia | SCC + DPF |
| Cloudflare | Public website hosting | Global edge network | SCC + DPF |
| Stripe | Payments | US / EU | SCC + DPF + PCI-DSS L1 |
| Twilio (international) | Parent OTP SMS | US / Singapore | SCC + DPF |
| PRC SMS gateway (placeholder) | Parent OTP SMS (PRC fallback) | Mainland China | PIPL local storage |
| Resend | Child email | US / EU | SCC + DPF |
| Sentry | Error monitoring (no health data) | US | SCC + DPF |
See full Data Processing Agreement.
6. Your Rights
- Access (GDPR 15 / PIPL 45) — one-click JSON export from Dashboard
- Rectification (GDPR 16 / PIPL 46) — edit directly in Dashboard
- Erasure / right to be forgotten (GDPR 17 / PIPL 47) — one-click delete
- Restrict processing (GDPR 18) — email dpo@filialplus.com
- Portability (GDPR 20 / PIPL 45(3)) — JSON export
- Object (GDPR 21) — opt-out of marketing in Dashboard
- Withdraw consent (GDPR 7(3) / PIPL 15) — effective immediately, may terminate service
- Parent self-service: parent verifies SMS OTP and exercises rights without child involvement
- Complaint: EU local DPA / PRC CAC (cac.gov.cn) / US FTC
7. Retention & Deletion
- Delete request → 30-day grace → physical deletion of all data
- audit_log retained 7 years (GDPR 6(1)(c) + PIPL Art. 19) — pseudonymized after user delete
- Stripe invoices 7 years (tax)
- Inactive: 12 months no login + email confirmation → deletion
8. Security
- TLS 1.3, scrypt password hash, HttpOnly+Secure+SameSite=Lax cookies
- JWT HS256 (128-bit secret) + 7-day expiry + parent session 30-day independent rotation
- Magic-link brute-force protection (5-attempt lockout + 60s throttle)
- API rate-limit + email re-confirm (export/delete/password)
- SQLite + WAL + foreign_keys ON + tamper-evident audit_log
- Sentry error monitoring (PII auto-redacted)
9. Cookies
Strictly necessary session cookies only. No third-party analytics, ads, or cross-site tracking.
10. Minors
Service not directed at users under 18. Parent profiles target users 50+. Underage accounts deleted immediately upon discovery.
11. Changes
Material changes (new data categories, new sub-processors, transfer mechanism changes) emailed 30 days in advance, with re-consent prompt.
12. Contact
DPO: dpo@filialplus.com · General: hi@filialplus.com · 48-hour response.