隐私政策

前言

本《隐私政策》的目的在于告知 FlixBag 平台(以下简称“平台”)用户,其个人数据在何种条件下由 FlixBag 公司(SASU,注册资本 1,000 欧元,登记于 Bourg-la-Reine 商业与公司注册处,注册号为 [RCS],注册地址为 53 rue Hoffmann, 92340 Bourg-la-Reine)(以下简称“FlixBag”或“数据控制者”)进行收集、处理、使用、保存,以及在适用情况下进行转移。

FlixBag 是一个数字化平台,连接行李有多余公斤数的旅客与希望以具竞争力价格进行国际寄件的寄件人。该业务涉及对敏感个人数据的处理,尤其包括身份信息、支付信息与定位信息。

FlixBag 承诺严格遵守适用的个人数据保护法规,尤其包括:2016 年 4 月 27 日欧盟第 2016/679 号条例(GDPR)、1978 年 1 月 6 日第 78-17 号法国《信息技术与自由法》(修订版),以及平台运营国家/地区的本地适用法律(欧盟、法语非洲国家、加拿大、美国、中国、印度、巴基斯坦)。

第 1 条 — 定义

在本政策中,下列术语具有如下含义:

  • “个人数据”:与已识别或可识别的自然人有关的任何信息(直接或间接)。
  • “处理”:对个人数据执行的任何操作或一组操作(收集、记录、保存、修改、提取、查阅、使用、传输、删除等)。
  • “用户”:以旅客、寄件人或收件人身份使用 FlixBag 平台的任何自然人。
  • “旅客”:向平台提供其行李多余公斤数用于运输包裹的用户。
  • “寄件人”:通过平台寄送包裹的用户。
  • “收件人”:由寄件人指定在目的地接收包裹的人员。
  • “数据控制者”:FlixBag(SASU),决定处理目的与手段的主体。
  • “DPO”:数据保护官,负责监督处理合规性的人员。

第 2 条 — 数据控制者

通过平台收集的个人数据的数据控制者为:

公司名称FlixBag
法律形式单一股东简化股份公司(SASU)
注册资本1,000 欧元
注册地址53 rue Hoffmann, 92340 Bourg-la-Reine
RCSBourg-la-Reine [编号]
法定代表人ARNAUD KINTOHOU
DPO 邮箱dpo@flixbag.com
电话+33 7 46 55 02 99

第 3 条 — 收集的数据

3.1 用户直接提供的数据

在注册、使用平台与进行交易时,FlixBag 可能收集以下类别的数据:

a) 身份识别与验证数据

  • • 姓名、名字、出生日期、国籍
  • • 电子邮箱、电话号码
  • • 护照或身份证件副本(旅客必须提供扫描件)
  • • 证件照(验证徽章)
  • • 完整邮寄地址

b) 航班与运输数据

  • • 电子机票(数字化副本)
  • • 预订参考号(PNR — Passenger Name Record)
  • • 完整行程信息(始发地、目的地、经停、时间)
  • • 购票日期、航班日期、票价
  • • 可携带行李件数与可用公斤数

c) 交易与财务数据

  • • 银行信息与支付方式(银行卡、Apple Pay、Google Pay、KKiaPay、FedaPay、PayDunya、CinetPay)
  • • 交易记录(金额、日期、状态)
  • • 托管支付(Escrow)相关信息
  • • 退款、罚金与取消费用相关数据

d) 包裹相关数据

  • • 包裹类型与类别(Standard、Premium)
  • • 申报重量与核验重量
  • • 内容描述、寄件地与目的地

3.2 自动收集的数据

  • 连接数据:IP 地址、浏览器类型、操作系统、设备标识符
  • 地理定位数据:用于撮合与验证在自提点投递的 GPS 定位
  • Cookies 与追踪器:浏览数据、偏好、使用统计
  • 航班跟踪数据:通过 Flightradar24 与 FlightAware API 获取的实时信息
  • 评价数据:星级评分、等级(1 至 5)、“常客/常用”状态

第 4 条 — 处理目的与法律依据

个人数据为以下目的进行处理:

目的描述法律依据
创建与管理用户账户注册、身份验证、个人资料管理合同履行(GDPR 第 6 条第 1 款 b)
旅客/寄件人撮合匹配算法、展示方案合同履行(GDPR 第 6 条第 1 款 b)
动态定价(Smart-Pricing)通过 PNR/OCR 提取自动计算价格合法利益(GDPR 第 6 条第 1 款 f)
支付与托管管理托管、释放、退款合同履行(GDPR 第 6 条第 1 款 b)
航班跟踪与通知实时跟踪、自动提醒合同履行(GDPR 第 6 条第 1 款 b)
纠纷与争议管理调解、证据留存、账户停用合法利益(GDPR 第 6 条第 1 款 f)
评分与等级星级系统、“常客”状态、1-5 等级合法利益(GDPR 第 6 条第 1 款 f)
平台改进统计、行为分析、优化同意(GDPR 第 6 条第 1 款 a)
商业沟通新闻通讯、促销同意(GDPR 第 6 条第 1 款 a)
法定义务税务、反洗钱、法定调查法定义务(GDPR 第 6 条第 1 款 c)

第 5 条 — 数据接收方

在严格必要范围内,个人数据可能被披露给以下接收方类别:

5.1 内部接收方

FlixBag 授权员工(客服、技术团队、管理层),仅在其职责范围内访问。

5.2 处理者与技术合作伙伴

  • • 支付服务商:Stripe、Apple Pay、Google Pay、KKiaPay、FedaPay、PayDunya、CinetPay
  • • 身份验证(KYC)服务商
  • • 航班跟踪 API:Flightradar24、FlightAware
  • • 云基础设施与托管服务
  • • 合作承运商:Colissimo、UPS、DHL

5.3 依法授权第三方

  • • 司法、行政或监管机关在合法请求下
  • • 平台其他用户(仅限交易所必需的交付信息)

第 6 条 — 国际数据传输

由于 FlixBag 在国际范围运营(欧盟、法语非洲、加拿大、美国、中国、印度、巴基斯坦),可能发生向第三国的数据传输。

此类传输将依 GDPR 第五章由以下保障措施进行规范:

  • • 欧盟委员会的充分性决定(例如加拿大依据 LPRPDE)
  • • 欧盟批准的标准合同条款(SCC)用于向美国、中国、印度、巴基斯坦的传输
  • • 处理者具备时采用具有约束力的公司规则(BCR)
  • • 对已认证的美国服务商适用 EU-US Data Privacy Framework

对法语非洲国家,FlixBag 将确保符合当地个人数据保护法规,尤其包括《马拉博公约》以及各国适用法律。

第 7 条 — 保存期限

个人数据的保存期限不超过实现处理目的所需期限:

数据类别保存期限
用户账户数据合同关系期间 + 最近一次活动后 3 年
身份验证(KYC)数据账户关闭后 5 年(反洗钱义务)
交易数据10 年(会计与税务义务)
航班与 PNR 数据交易期间 + 1 年
跟踪与定位数据交付完成后 6 个月
纠纷数据最终解决后 5 年
评分/等级数据合同关系期间
Cookies 与追踪器最长 13 个月
商业推广数据最近一次联系后 3 年

期限届满后,数据将被永久删除或进行不可逆匿名化用于统计。

第 8 条 — 数据安全

FlixBag 根据 GDPR 第 32 条采取适当的技术与组织措施,确保与风险相适应的安全水平:

8.1 技术措施

  • • 传输中加密(TLS 1.3)与静态加密(AES-256)
  • • PNR 与上传机票的专门加密(符合 GDPR 标准)
  • • 管理员访问的多因素认证(MFA)
  • • 在可行时进行假名化与匿名化
  • • 防火墙、入侵检测与防御系统(IDS/IPS)
  • • 定期渗透测试与安全审计
  • • 加密备份与业务连续性/灾备计划(PRA/PCA)

8.2 组织措施

遵循最小权限原则的访问管理政策、定期员工培训、数据泄露通知流程(GDPR 第 33、34 条:72 小时内向 CNIL 通知;如对数据主体存在高风险则通知相关人员)。

第 9 条 — 用户权利

根据 GDPR 第 15 至 22 条与法国《信息技术与自由法》(修订版)第 48 至 56 条,每位用户享有以下权利:

  • 访问权(GDPR 第 15 条):确认数据是否被处理并获得副本。
  • 更正权(GDPR 第 16 条):更正不准确或不完整的数据。
  • 删除权(GDPR 第 17 条):在 GDPR 规定情形下请求删除(受法定保存义务限制)。
  • 限制处理权(GDPR 第 18 条):在特定情况下限制处理。
  • 数据可携带权(GDPR 第 20 条):以结构化、通用、机器可读格式获取数据。
  • 反对权(GDPR 第 21 条):反对基于合法利益的处理或用于商业推广。
  • 撤回同意权:随时撤回同意且不影响撤回前的合法性。
  • 身后指示权:对死亡后数据处置作出指示(法国法)。
  • 自动化决策相关权利(GDPR 第 22 条):不受仅基于自动化处理(含画像分析)的决定所约束。用户可就 Smart-Pricing 算法要求人工介入。

用户可通过发送邮件至 dpo@flixbag.com,或邮寄至 FlixBag 总部行使上述权利,并需附上身份证明。FlixBag 承诺在收到请求后一个月内答复;在复杂或请求数量较多时,可延长两个月。

若在行使权利方面遇到困难,用户可向法国国家信息与自由委员会(CNIL)提出申诉:3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07,或向其居住国主管机构投诉。

第 10 条 — Cookies 与追踪器

FlixBag 使用 Cookies 与类似技术以保障平台运行、衡量受众并个性化体验。Cookies 类别包括:

  • 严格必要 Cookies:平台运行所必需(认证、安全、购物车),不需要同意。
  • 性能 Cookies:受众测量与统计分析(如 Google Analytics),需同意。
  • 功能 Cookies:记住偏好(语言、货币),需同意。
  • 广告定向 Cookies:展示个性化广告,需同意。

用户可随时通过平台的 Cookies 管理横幅或浏览器设置管理偏好。拒绝非必要 Cookies 不影响平台核心功能使用。

第 11 条 — 自动化处理与画像分析

FlixBag 可能实施自动化处理,尤其包括:

  • Smart-Pricing 算法:依据航班数据、提前系数与产品类别自动计算每公斤价格。该处理不会对用户产生重大影响的法律效果,但会决定交易价格。
  • 等级排序算法:基于使用历史、取消与评价自动计算分数与等级(1-5),影响向寄件人展示旅客的排序。
  • 欺诈检测:对行为进行自动分析以识别可疑活动。

根据 GDPR 第 22 条,用户有权请求人工介入、表达观点并向 FlixBag 客服提出异议。

第 12 条 — 未成年人保护

FlixBag 平台仅面向成年人(年满 18 岁或居住国法定成年年龄)。FlixBag 不会明知收集未成年人个人数据。如发现收集到未成年人数据,将立即删除。

第 13 条 — 政策变更

FlixBag 保留随时修改本政策的权利,以适应法律、监管或技术变化。任何重大修改将至少在生效前 30 天通过邮件和/或应用内通知告知用户。

用户在修改版本生效后继续使用平台,视为接受新政策。

第 14 条 — 联系方式

如对本政策有任何疑问或希望行使权利,请联系:

数据保护官(DPO)Judicael AHYI
邮箱dpo@flixbag.com
邮寄地址FlixBag — DPO, 53 rue Hoffmann 92340 Bourg-la-Reine, France
电话+33 7 46 55 02 99

签署地点:Bourg-la-Reine,日期:05/02/2026

代表 FlixBag 公司

ARNAUD KINTOHOU,总裁(Président)