信任中心
最近更新:2026 年 5 月 8 日 · 中文为权威文本
我们把您能问的每一个合规问题都摊在这里。父母端不要求身份证、医保卡,schema 里根本没有这些字段;子女端遵守 GDPR、CCPA、PIPL 全套要求。所有外部依赖、法律文件链接见下方。
1. 跨境数据传输 — PIPL §38(关键)
父母在中国境内打卡 → 数据通过 HTTPS 传输到 Filial+ 海外基础设施给子女查看,构成 PIPL 第 38 条意义上的「跨境提供个人信息」。我们采用:
- SCC(标准合同)路径:依据《个人信息出境标准合同办法》(CAC, 2023)签署中国-海外数据传输标准合同;
- 父母在首次打卡前必须完成 单独同意(PIPL §39);
- 子女端注册时必须主动勾选「我已知晓 PIPL §38 跨境数据传输」;
- 支持父母随时通过
/api/me/export 导出全部数据,/api/me DELETE 可彻底删除。
详情:DPA / 数据处理协议 · 隐私政策(含 PIPL 章节)
2. GDPR 合规(欧洲子女)
- 合法基础:合同履行(GDPR §6(1)(b))+ 数据主体同意(敏感健康数据 §9(2)(a))
- 用户权利:访问、更正、删除、限制处理、可携带、反对自动决策 — 全部通过
/dashboard/account 自助实现
- 数据保留:账户活跃 + 注销后 30 天内删除全部 PII;审计日志按法律要求保留 7 年但脱敏
- DPO 联系:dpo@filialplus.com
3. 医疗免责 — 不是医疗器械
Filial+ 不是医疗器械,不是远程医疗,不替代医生与急救。
未取得 FDA 510(k) / CE Mark / NMPA 注册。仅作为消费级日常关怀工具。详细边界与紧急情况指引:医疗免责声明全文。
4. 子处理者列表
下面的第三方服务商在 Filial+ 服务过程中可能接触到您的数据。我们只在必要范围内传输,签署 DPA。
| 服务商 | 用途 | 数据类型 | 存储地 | 资质 |
| Cloudflare | 公开网站托管 | 访问日志(IP, UA) | 全球边缘网络 | SOC 2 / GDPR DPA |
| Stripe | 订阅支付 | 姓名、邮箱、卡号片段 | 美国 | PCI-DSS L1 / SOC 2 |
| Resend | 事务邮件 | 邮箱、邮件正文 | 美国 | GDPR DPA / SPF/DKIM |
| Twilio | SMS 验证码(中国号码) | 手机号、6 位验证码 | 美国 / 全球 | GDPR DPA / SOC 2 |
| Sentry | 错误监控 | 堆栈、user-agent、UID(脱敏) | 美国 | SOC 2 / GDPR DPA |
| Supabase / Postgres | 数据库 | 全部业务数据 | 美西 | SOC 2 / GDPR DPA |
5. 安全实践
- HTTPS 全链路;HSTS preload;TLS 1.3
- 密码 bcrypt(cost 12);JWT 仅 15min 短期 + 24h 刷新
- 父母端无密码 — 短链 + 6 位 SMS 验证码 + 5 次错误锁定
- 所有写入操作进 audit_log,IP/UA 在 GDPR 删除后脱敏
- SQLi / XSS / CSRF:参数化查询 + httpOnly + sameSite=Strict 父母 cookie + Zod 输入校验
- 定期渗透测试(每季度)+ Sentry 错误率监控告警
6. 服务可用性
实时状态:系统状态页 · SLO 目标 99.5% 月可用率(不含计划维护)。事件公告 RSS:/changelog.rss。
7. 联系
Trust Center
Last updated: 2026-05-08 · Chinese version is the authoritative text
Every compliance question we expect, answered in one place. The parent surface never asks for ID card or insurance card — those fields don't exist in our schema. The child surface meets GDPR, CCPA and PIPL.
1. Cross-border data transfer — PIPL §38 (critical)
Parents in mainland China check in → data flows over HTTPS to Filial+ overseas infrastructure for the overseas child. This is "cross-border provision of personal information" under PIPL §38. We rely on:
- SCC (Standard Contract): signed under the CAC 2023 Standard Contract Measures for Personal Information Outbound;
- Parent separate consent (PIPL §39) before the first check-in;
- Mandatory child checkbox at signup acknowledging PIPL §38 cross-border transfer;
- Self-serve export
/api/me/export and full delete DELETE /api/me.
See: DPA · Privacy policy (PIPL section)
2. GDPR compliance (EU children)
- Legal basis: contract performance (§6(1)(b)) + explicit consent for special-category health data (§9(2)(a))
- Subject rights: access, rectification, erasure, restriction, portability, object — all via
/dashboard/account
- Retention: full PII deletion within 30d of cancellation; audit log retained 7y but PII-redacted
- DPO: dpo@filialplus.com
3. Medical disclaimer — not a medical device
Filial+ is not a medical device, not telemedicine, and is not a substitute for a doctor or emergency services.
No FDA 510(k) / CE Mark / NMPA registration. Consumer-grade lifestyle tool only. Full text: Medical disclaimer.
4. Sub-processors
| Vendor | Purpose | Data type | Region | Compliance |
| Cloudflare | Public website hosting | Access logs (IP, UA) | Global edge network | SOC 2 / GDPR DPA |
| Stripe | Subscription billing | Name, email, card last4 | USA | PCI-DSS L1 / SOC 2 |
| Resend | Transactional email | Email, message body | USA | GDPR DPA / SPF/DKIM |
| Twilio | SMS one-time codes (CN numbers) | Phone, 6-digit code | USA / Global | GDPR DPA / SOC 2 |
| Sentry | Error monitoring | Stack, UA, UID (scrubbed) | USA | SOC 2 / GDPR DPA |
| Supabase / Postgres | Database | All business data | US-West | SOC 2 / GDPR DPA |
5. Security
- HTTPS everywhere; HSTS preload; TLS 1.3
- Passwords: bcrypt(cost 12); JWT 15-min access + 24h refresh
- Parent surface is passwordless — magic link + 6-digit SMS + 5-attempt lockout
- All writes go to audit_log; IP/UA redacted on GDPR delete
- SQLi / XSS / CSRF: parameterized queries, httpOnly + sameSite=Strict parent cookie, Zod schemas
- Quarterly pen tests + Sentry error-rate alerting
6. Availability
Live status: Status page · SLO target 99.5% monthly (excl. planned maintenance). RSS: /changelog.rss.
7. Contact