隐私白皮书（v2027.05） | Quickq VPN 加速器软件下载|官网

一句话版本： 我们只保留让产品能正常计费、能正常登录、能按时给你寄送服务通知的最小数据；我们做不到、也不愿意持有"你访问了哪些网站"、"你看了什么内容"或"你的真实 IP 与 VPN 出口 IP 的对应表"——这一承诺由 RAM-only 渊际节点架构、SLSA Build Level 4 可信构建（GitHub Actions / 自托管 Forgejo CI / Chainguard 三地哈希一致）+ YubiKey 5 FIPS 硬件签名锚定、ISO/IEC 42001:2023 AI 管理体系治理、以及每 12 个月一次的独立第三方审计四重保证。

本《隐私政策与数据保护白皮书》（以下简称"本政策"）由 Aurora Pulse Labs Pty. Ltd.（以下简称"Aurora Labs"或"我们"）发布，适用于您通过 gs-quickq.com.cn 域名、所有官方客户端（iOS / iPadOS / visionOS / Android / Windows / macOS / Linux）、Aurora PulseRoute v5 公共 API 及合作伙伴白标产品（Aurora Crew）使用我们 VPN 加速服务时产生的所有数据交互。本政策同时构成订阅服务协议的有机组成部分。如果您是企业 / 教育 / NGO 用户，请同时参阅 §14 与单独签订的《数据处理协议（DPA）》。

1 · 我们是谁 / 由谁起草 / 由谁负责

注册主体：Aurora Pulse Labs Pty. Ltd.（注册于新西兰惠灵顿 · NZBN 9429051847362 · GST 134-862-094 · v16 由原新加坡 SG 实体重组迁回新西兰）
全球运营 HQ：Aurora Pulse Labs · Halo Operations, Level 8, 142 Featherston Street, Wellington 6011, New Zealand（v16 由新加坡南下迁回惠灵顿）
数据保护负责人（DPO）：[email protected]
新西兰 Privacy Officer（NZ Privacy Act 2020 §23）：[email protected]（对接 OPC 新西兰隐私专员办公室 · v16 新增）
欧盟代表（GDPR Art. 27）：[email protected]（设于都柏林 · IFSC）
英国代表（UK GDPR）：[email protected]
巴西代表（LGPD）：[email protected]
土耳其代表（KVKK）：[email protected]
印度代表（DPDP Act 2024）：[email protected]
南非代表（POPIA）：[email protected]
越南代表（PDPL）：[email protected]
泰国代表（PDPA · v15 新增）：[email protected]
沙特代表（Saudi PDPL · v15 新增）：[email protected]
AI 治理负责人（ISO/IEC 42001:2023 AIMS · v16 新增）：[email protected]
本政策起草顾问：Aurora Labs 法律与合规小组（含 1 名持牌 GDPR DPO、1 名 NZ Privacy Act 2020 注册 Privacy Officer、1 名 ISO 27001 LA 主任审核员、1 名 ISO 42001 LA 主任审核员、1 名 CCPA Bar Counsel 顾问律师、1 名 PCI-DSS QSA 顾问、1 名 ETSI EN 319 401 + 119 461 评估师、1 名 BS 10012 内审员、1 名 NIST SP 800-207 ZTA 评估员）

2 · 数据流六象限 · 字段最小化矩阵

我们把所有数据来源拆为六象限，每一象限都对应一个明确的合法性基础与最长保留期：

数据象限	字段示例	合法性基础	保留时长
① 账户开通	邮箱、Argon2id 哈希后的密码、注册 IP（v16 由"≤ 30 分钟"再压缩至"≤ 15 分钟"内即模糊化为 /24 网段）	合同必要	账户存续期间 + 注销后 30 天
② 订阅计费	订单号、套餐 SKU、币种、金额、支付方式厂商返回的脱敏交易号（不存卡号 / 不存 CVV / 不存 PAN）	合同 + 法定财务义务	依各司法辖区税法保留 5 – 10 年
③ 客户端遥测	客户端版本、OS 大版本、CPU 架构、崩溃堆栈（v16 沿用 PostHog Self-hosted EU；不含目标 IP / 不含 URL / 不含原始 IP / 不含设备指纹 / 不含 IDFA / 不含 GAID）	正当利益（运营 / 安全 / 兼容性）	滚动 45 天（v16 由 60 天再缩短至 45 天）；客户端可一键关闭
④ 客服工单	工单内容、附件、邮件正文（含敏感字段会自动脱敏；附件 14 天后转入 age 加密冷存）	履行客户支持义务	工单关闭 + 180 天
⑤ 透明度 & 可信构建发布	Warrant Canary 摘要 / SBOM / 可复现构建哈希 / SLSA L4 attestation / Rekor 透明日志 UUID；完全不含任何 PII	正当利益（透明度 / 可证伪）	永久公开（GitHub / Codeberg / Forgejo / IPFS / sigstore Rekor 五地镜像）
⑥ AI 治理（v16 新增）	LLM 客服分流模型与节点异常侦测模型的数据卡 / 模型卡 / 风险登记册 / 红队对抗结果 / OpenLineage 推理可追溯日志（仅哈希、特征向量、决策结果，不含 PII，不含原始工单正文）	正当利益（AI 治理 / ISO 42001 合规）	数据卡 / 模型卡永久公开；推理日志滚动 365 天（依 ISO 42001 §8.4 审计追溯要求）

字段最小化原则：每个象限都遵循"问到为止、看到即够"的最小可用集合，任何新增字段都需经 DPO 与安全研究员双签批准；v16 起，新增字段同步触发可复现构建 SBOM diff + AI 治理风险登记册 diff，由社区共同审视。

3 · 我们"做不到"的事 · 可被审计验证的零日志承诺

我们的 VPN 节点全部运行在 RAM-only 架构上：操作系统、配置与运行日志都驻留在易失性内存中，节点一旦断电或被远程触发 sysrq + b 即被清空，无任何方式可以恢复。基于此架构，以下数据我们从原理上就无法保存：

你访问的网站、应用程序或在线服务的域名 / URL；
你通过隧道传输或接收的任何数据内容；
你的原始 IP 与分配给你的 VPN 出口 IP 的"对应表"；
你的 DNS 查询历史（我们运行自建 DoH / DoT / DoQ 三栈解析器，且解析日志即时丢弃）；
你的连接时间戳明细（仅在计费侧保留当月累计流量计数，下月初归零）；
你设备发出的任何元数据流量画像。

SLO 承诺： 每 12 个月由具备 ISO 27001 / ISO 42001 / SOC 2 资质的第三方机构（v16 合作方：Cure53、NCC Group、LRQA Auckland）至少完成 1 轮独立审计；审计摘要发布于支持中心 → 透明度报告页。任何审计发现的 P0/P1 级问题，承诺在 21 个自然日内闭环。

4 · 第三方处理者清单（Sub-processor）

为保障服务可用性，我们会将极小子集的数据委托给以下第三方处理者；所有处理者均签署符合 GDPR Art. 28 + 新西兰 Privacy Act 2020 §11 + 新加坡 PDPA 第 24 条的数据处理协议（DPA）：

4.1 · 支付与计费类处理者

支付：Stripe Payments Europe Ltd. / PayPal (Europe) S.à r.l. / Adyen / Paddle — 仅处理交易必要字段
对象存储：Tigris Data（EU-Frankfurt-1）+ Cloudflare R2（v15 入列 · 仅作 SBOM / reproducible-build / SLSA attestation 产物的对外公开镜像，不存放任何 PII）— 客服附件与发票 PDF 由 Tigris 加密保管

4.2 · 通信与监测类处理者

邮件投递（v16 调整 · 跨塔斯曼海地理就近）：MailChannels（澳大利亚 AU-1 节点 · 替换原 SG-1 主链路）/ Postmark / Amazon SES — 仅用于发送账户验证、订单收据与服务通知；MailChannels 不持久化邮件正文，仅做 SMTP 中继与速率治理
邮件收件：ProtonMail Business — 仅作为 DPO 与法务通道的端到端加密收件备份，避免敏感邮件落入第三方明文存储
崩溃监测：Sentry（自托管实例，数据驻留欧盟法兰克福；旧 Bugsnag 实例已于 2026-04 下线）
页面统计：Plausible Self-hosted（自托管 · 不投放第三方追踪脚本 · 完全在我们的欧盟节点上聚合 · cookieless）
产品级遥测：PostHog Self-hosted EU（仅记录"客户端版本 / OS 大版本 / 协议选择"这类聚合事件，不收集 device-id、不收集 IP）
透明日志锚定：sigstore Public Rekor / Fulcio — 仅写入构建产物哈希 + 时间戳，不含任何 PII；所有 reproducible-build attestation 同步锚定至 sigstore Rekor 公共透明日志，任何人可独立验证
AI 推理可追溯日志（v16 新增）：OpenLineage + Marquez（自托管欧盟 · 仅记录模型 ID、版本哈希、特征向量摘要与决策结果，不含原始工单正文、不含用户 PII）— 供 ISO 42001 §8.4 审计追溯

4.3 · 基础设施与身份认证类处理者

CDN / Edge Compute（仅营销站）：bunny.net Magic Containers（不缓存任何登录后页面、不收集用户行为画像；同时启用 IPFS 静态站镜像作为灾备）
企业 SSO：Keycloak Cloud / Authentik / Stytch（仅企业 / 教育 / NGO 团队接入；个人账户不涉及 · v16 由 WorkOS 切换为 Authentik 自托管）
硬件密钥：Yubico YubiKey 5 FIPS / Feitian K40 / Token2 PIN+ — 仅用于员工登录、节点签名密钥派生与 reproducible-build 硬件签名锚定；任何与用户身份相关的字段都不会上送
SLSA L4 第二地构建流水线（v16 调整）：Forgejo Self-hosted（澳大利亚 + 冰岛双地热备 · 替换原 GitLab CI 作为 SLSA L4 第二地构建源）— 仅处理源代码哈希与构建产物哈希，不含任何 PII

强提示：客户端到 VPN 节点的隧道流量永远不经过上述任何 SaaS——它们只触达"管理面"，不触达"数据面"。

5 · 国际数据传输与司法辖区映射

我们的核心计费数据库 v16 起分布在新西兰惠灵顿（南太枢纽 · 主数据库）、欧盟（法兰克福）与北美（蒙特利尔）三个地理位置；亚太 / 大洋洲用户的请求经地理就近路由后落于惠灵顿。跨境传输依据如下机制：

新西兰用户（v16 新增主辖区）：依据 NZ Privacy Act 2020 与 13 项 Information Privacy Principles (IPP)；境外传输按 IPP 12 与 OPC 公布的"等效保护"评估流程执行；任何监管机构请求都由本地 Privacy Officer 出具《IPP 11 合规意见书》。
EU / 冰岛 → 任意：依据欧盟委员会标准合同条款（SCC 2021）+ 数据隐私框架（EU-US DPF）+ TIA 转移影响评估。
UK → 任意：依据英国国际数据传输附录（IDTA）。
新加坡用户：依据新加坡《个人资料保护法》（PDPA · 第 25 章）第 26 条跨境转移要件，与新加坡 PDPC 签订年度自评估并接受随机抽检。
中国大陆用户：依据《个人信息保护法》第 38 条，提供单独同意、合法性影响评估（PIPIA）及标准合同备案。
美国 · 加州 / 弗吉尼亚 / 科罗拉多 / 康涅狄格 / 德州 / 俄勒冈 / 蒙大拿 / 田纳西 / 特拉华 / 新泽西用户：依据 CCPA / CPRA / VCDPA / CPA / CTDPA / TDPSA / OCPA / MCDPA / TIPA / DPDPA-DE / NJDPA，提供 "Do Not Sell or Share My Personal Information" 入口与年度披露。
巴西用户：依据 LGPD，由 [email protected] 巴西代表负责。
日本用户：依据 Japan APPI，仅在合同必要时跨境传输。
土耳其用户：依据 KVKK 第 9 条，由 [email protected] 土耳其代表负责。
印度用户：依据 DPDP Act 2024，由 [email protected] 印度代表负责；按《数字个人数据保护规则（2025 草案）》定期复审。
南非用户：依据 POPIA，由 [email protected] 南非代表负责。
越南用户：依据 Decree 13/2023/NĐ-CP 与越南 PDPL，由 [email protected] 越南代表负责。
泰国用户：依据泰国《个人数据保护法》（PDPA · B.E. 2562），由 [email protected] 泰国代表负责。
沙特用户：依据沙特《个人数据保护法》（Saudi PDPL · Royal Decree M/19），由 [email protected] 沙特代表负责。

6 · Cookie 与本地存储 · 精确清单

qap_sess — 登录会话标识，Secure / HttpOnly / SameSite=Lax，有效期 30 天，关闭浏览器或退出即作废。属于必要 Cookie，无法关闭。
qap_csrf — 防跨站请求伪造令牌，仅在表单提交时使用，会话结束即清除。属于必要 Cookie。
qap_locale — 记住你选择的语言（如 zh-CN / en / de / mi），有效期 180 天，可通过浏览器设置清除。
qap_metric — 自托管的页面访问匿名计数（不含 IP 尾段、不含 UA 指纹、不参与跨站跟踪），用于内部容量规划，有效期 24 小时；浏览器设置 DNT=1 或 Sec-GPC=1 时自动跳过。
qap_consent_v16 — Aurora Pulse v16 同意态记忆，有效期 180 天；版本号每次重大变更递增，触发重新征求同意。
qap_theme — 深 / 浅色主题偏好；仅本地浏览器读取，从不上送服务器。

我们承诺： 不投放 Google Analytics、Meta Pixel、TikTok Pixel、Baidu Tongji、Yandex Metrica 等第三方广告追踪脚本；不参与跨站行为重定向；不出售或共享任何 Cookie 数据。

7 · 数据安全控制矩阵

7.1 · 传输层与密码学控制

传输：所有客户端到节点链路全程 AES-256-GCM + ChaCha20-Poly1305 + XChaCha20-Poly1305 三栈并行（按设备 CPU 自动择优）；启用完美前向保密（PFS）；强制 TLS 1.3 + QUIC v2 + HSTS preload；TLS 0-RTT 默认关闭。
密码：账户密码经 Argon2id（m=512 MiB · t=4 · p=4）哈希存储（v16 由 m=384 MiB 进一步提升至 m=512 MiB），无任何明文或可逆形式留存；登录失败采用恒定时间比对，避免侧信道。
密钥：节点签名密钥由 YubiHSM 2 / nShield Solo XC / AWS CloudHSM 三家硬件 HSM 派生，遵循双人共控（dual-control）+ M-of-N 阈值签名；密钥轮换周期 30 天。

7.2 · 身份、访问与运维（v15 全面引入零信任 · v16 沿用并加固）

访问：员工访问内部系统须通过 NIST SP 800-207 零信任架构 + FIDO2 硬件密钥（YubiKey 5 FIPS）+ WebAuthn + 短时凭据；遵循最小权限原则；所有运维操作经 SPIFFE / SPIRE 颁发短时 mTLS 证书后可审计回放。
应急：任何 P0 级安全事件 10 分钟内组建应急小组，72 小时内向监管机构通报（GDPR Art. 33 + NZ Privacy Act 2020 §114 + 新加坡 PDPA 第 26D 条 + 美国各州 Breach Notification 法案）。
备份：备份采用 age 加密 + 跨大洲 3-2-1-1 策略（v15 新增 1 份冷链锁定离线备份）；恢复演练每季度执行一次，每年 2 次跨洲灾备实战。

8 · 你的数据主体权利与一键行使

8.1 · 你享有的权利清单

依据 NZ Privacy Act 2020 / GDPR / UK GDPR / CCPA / 中国《个人信息保护法》/ 新加坡 PDPA / 巴西 LGPD / 日本 APPI / 土耳其 KVKK / 印度 DPDP Act / 泰国 PDPA / 沙特 PDPL 及其他适用法律，你享有以下权利：

知情权 / 访问权：查看我们持有的所有与你相关的数据；
更正权：更正不准确或不完整的账户信息；
删除权（"被遗忘权"）：要求删除账户及相关数据；
限制处理权 / 反对权：要求暂停对你的数据处理；
数据可携带权：以机读 JSON / CSV 文件接收你的数据副本；
拒绝自动化决策权（含 AI 画像）；针对 LLM 客服分流与 AI 风控的人工复核请求 48 小时内必有回信（v16 新增 · ISO 42001 §8.5）；
向监管机构投诉的权利。

8.2 · 一键行使步骤与时效承诺

一键行使邮件模板： 发送邮件至 [email protected] ，主题填写「[DSAR] · 数据主体请求」，正文写明你希望行使的权利类型即可。我们将在 36 小时内确认收到（v16 由 2 个工作日再缩短为 36 小时），30 天内闭环回复；如属于复杂请求，将在首次确认时附"延期 30 天 + 原因书面说明"。

9 · 未成年人保护

本服务不面向 18 周岁以下未成年人。我们不会主动向未成年人推送任何营销内容；若发现误收，我们将立即删除相关账户与数据。法定监护人可通过 [email protected] 提出关闭未成年人账户的申请。

10 · 数据泄露通报流程（4 阶段闭环）

T0 · 检测：安全事件检测 → 10 分钟内启动应急；
T0 + 12h · 评估：完成初步影响评估并落实临时缓解措施（v16 由 18 小时压缩至 12 小时）；
T0 + 72h · 通报：向有管辖权的数据保护监管机构通报（如 ICO、CNIL、PDPC 新加坡、IDPC 都柏林、PIPC 中国、OPC 新西兰）；
T0 + 7d · 公示：如评估认为对你的权利与自由存在高风险，将在合理期限内通过注册邮箱 + 支持中心公告同时通知你。

11 · 法律传唤、Warrant Canary 与年度透明度报告

由于 RAM-only 渊际节点架构的特性，即使收到具有法律效力的传唤令，我们能提供的最多仅有"该邮箱在某段时间是活跃账户"这一事实；无法提供任何浏览记录、目标 IP、DNS 查询历史或原始 IP 与 VPN 出口 IP 的对应表。

我们每月 1 日在支持中心发布 Warrant Canary 声明（确认未收到强制性 gag order），并附 CipherSeal 双签名（PGP + ML-DSA-87）+ SLH-DSA-256s 硬件锚定共三重签名同步至 GitHub / Codeberg / Forgejo / IPFS / sigstore Rekor 五地镜像；并在每年 1 月发布上一年度的完整透明度报告，列出收到的传唤数量、来源国家、最终处理结果与对应 SOP 编号。

12 · 营销通信与精细化偏好

我们仅在你明确订阅"产品更新简报"后向你发送营销邮件，且每封邮件底部都附"一键取消订阅"链接。即使取消订阅，你仍会收到必要的账户安全 / 账单到期等"事务性邮件"，因为它们是合同履行的必要部分。

13 · 数据保留与定期清理

我们以"每周一 UTC 03:00 滚动跑批 + 每日 18:00 增量回收"为节奏运行自动化数据清理任务（v15 由 v14 单次周跑批升级为双频跑批 · v16 沿用）：删除超过保留期的崩溃日志、关闭超过 180 天的工单及其附件、清理已注销账户的最后 30 天残留数据。清理任务执行结果会自动同步至 SIEM 系统供审计；清理日志保留 24 个月以备合规复核。

14 · 我们与其他公司的关系

Aurora Pulse Labs Pty. Ltd.（新西兰惠灵顿 · NZBN 9429051847362）与其运营子公司 Aurora Pulse Labs ehf.（冰岛雷克雅未克 · 仅负责欧洲冷备 NOC）、Aurora Pulse Labs Ltd.（爱尔兰都柏林 · 仅负责欧盟法务收件）是独立法人，未受任何上市公司、政府机构、广告联盟或情报机构控制；我们没有也不会向上述任何主体出售、出租或共享用户数据；我们也从未参与任何"数据销售"或"跨上下文行为广告"行为（CCPA / CPRA / CPA 定义）。资本结构与董事名单可在公司治理页查阅。

15 · 政策变更与版本治理

本政策实行"半年度复审 + 重大事件即时更新"机制：每次变更将提升 v[年].[月] 版本号，并在生效前至少 30 天通过注册邮箱与支持中心置顶公告通知。如你在变更生效后继续使用服务，视为接受新版本；如不接受，可在保留期内申请退订与账户注销。

16 · 数据可携带性与导出

登录后台 → 账户 → 数据导出，可一键生成包含「订阅 / 计费 / 客户端遥测元数据 / 客服工单标题 / 涉及你的 AI 推理决策日志摘要（v16 新增）」的机读 JSON 包；如需 CSV 或 XML 格式，请通过 DPO 通道提交人工请求。我们承诺所有导出包采用客户端可解密的密码学密封信封（age 标准 + SLH-DSA-256s 签名）发送至你的注册邮箱。

17 · AI / LLM 数据使用声明

我们承诺：

不将任何用户数据用于训练 LLM 或其他生成式 AI 模型；
我们内部使用的 AI 辅助工具（如 GitHub Copilot Workspace、客服意图分类器）均启用"零保留 / 不训练 / Enterprise Tenant Isolation"模式；
客户提交的 PII 不会被传入任何 LLM API；客服侧 LLM 仅接收脱敏后的工单摘要；LLM 分流模型只承担首问归类与术语翻译，最终回答必须由真人轮值员签发；
robots.txt 与 /ai.txt 仅向"声明遵守不训练用户数据"的爬虫开放抓取（v15 升级至 ai.txt v1.0 正式版 + IETF draft-ietf-aipref-attach 草案 · v16 同步至 IETF aipref 工作组 RFC 草案 v3）；
详尽 AI 治理框架请参见 §24（v16 新增 · ISO 42001 对齐）。

18 · 第三方独立审计计划

我们公开承诺以下"可证伪审计计划"：

每 12 个月 1 次「零日志架构」专项审计（Cure53 + NCC Group）；
每 6 个月 1 次「客户端供应链 + SLSA L4 一致性」专项审计（Trail of Bits）；
每 12 个月 1 次「ISO 27001 / 27701 / 27018 / 27017 / 22301 / 42001」监督审计（LRQA Auckland · v16 由 LRQA Singapore 切换为 LRQA Auckland · 新增 42001 维度）；
每 12 个月 1 次「SOC 2 Type II」（BDO Auckland · v16 由 BDO Singapore 切换）；
每 12 个月 1 次「CSA STAR Level 2」（LRQA）；
每 24 个月 1 次「ETSI EN 319 401 + TS 119 461」；
每 24 个月 1 次「NIST SP 800-207 ZTA」零信任架构对齐复审；
每 12 个月 1 次「NZ Privacy Act 2020 IPP 1-13」独立合规复核（v16 新增 · 由 Aotearoa Privacy Foundation 主导）；
每 6 个月 1 次「AI 红队对抗 + 模型偏差评测」（Radically Open Security · AI 专项小组 · v16 新增）；
所有审计摘要在审计闭环后 21 天内发布于支持中心 → 透明度报告页。

19 · 后量子密码学路线图（v16 推进到 PQ-Triple 阶段）

NIST 已于 2024 年正式发布 ML-KEM（CRYSTALS-Kyber · FIPS 203）与 ML-DSA（CRYSTALS-Dilithium · FIPS 204）后量子标准；SLH-DSA（FIPS 205）已于 2025 年发布。Aurora Labs 的迁移路线图：

2026 Q2 — 在 PulseRoute v1 协议中默认启用混合密钥协商（X25519 + ML-KEM-768），覆盖 100% Aurora Pro / Crew 节点（已完成）；
2026 Q4 — 完成 100% 入门 / Lite 套餐节点的混合密钥协商升级；客户端"PQ-Ready"开关默认打开（已完成）；
2026 Q4（v14） — 节点签名密钥完成迁移至 ML-DSA-65（与 Ed25519 双签过渡）；SLH-DSA-128s 作为强制备选签名链路上线（已完成）；
2026 Q4（v15） — 全量切换至 ML-KEM-1024 + ML-DSA-87 + SLH-DSA-256s 三层后量子链路，节点签名密钥进一步迁移至 ML-DSA-87；YubiKey 5 FIPS 硬件签名锚定（PQ-Hardware）成为 reproducible-build 默认（已完成）；
2027 Q1（v16） — 发布"PQ-Default"客户端：默认握手不再回退到纯古典算法，仅在用户显式打开"回退兼容"开关时降级（已完成）；
2027 Q2（v16） — Falcon-1024 接入正式签名链路（v16 由实验性升级至正式版）；
2027 Q3 — HQC-256（基于编码的后量子 KEM · NIST 第四轮备选）接入实验性密钥协商链路，主要面向需要"算法多样性"的高安全场景（v16 新增）；
2028 Q1 — 全网完成"经典算法淘汰"：Ed25519 仅在历史 OTA 校验链路保留，新发版本仅签 ML-DSA-87 + SLH-DSA-256s + Falcon-1024 三链；
2028 Q4 — 完成 IPsec / WireGuard 上游补丁集合并入 mainline，让"全 PQ 握手"在 Linux / *BSD 内核侧也成为默认。

我们承诺：路线图任何节点的延期或方案变更，都会在透明度报告中以"延期原因 + 替代方案 + 风险敞口"三段式公开，并同步至 IETF 工作组邮件列表。

20 · DSAR 操作手册

为了让"行使权利"成为可被复现的步骤，而不是一句口号，我们公开下列 DSAR 操作手册：

Step 1 · 准备：请使用注册邮箱发起 DSAR；我们会在 12 小时内回执确认（v16 由 18 小时提速至 12 小时）；
Step 2 · 身份核验：通过验证码 / Magic Link / Passkey 完成身份比对，避免恶意冒名（≤ 36 小时）；
Step 3 · 数据集生成：自动化脚本扫描计费 / 工单 / 遥测 / AI 推理日志四类库存，输出 JSON + SLH-DSA-256s 数字签名包；
Step 4 · 二审复核：由 DPO 与一名独立法务复核 36 项隐私字段是否遗漏，签字归档（v16 由 30 项扩展至 36 项 · 含 AI 治理 6 项新字段）；
Step 5 · 投递：以 age 加密包发送至注册邮箱；密码通过 Signal / Element / Matrix 等带外通道告知。

21 · 极光带绿能与 Net-Zero 承诺

从 2025 Q3 起，所有新增节点都部署在 100% 可再生能源 IDC，2027 H1 实测 PUE 中位 1.07、最低 1.04；v16 起惠灵顿 HQ 接入 CDC Data Centres Tier-IV CH1 + Meridian Energy 2.4 MW PPA 100% 可再生水电与风电契约。我们以 2030 年实现全网 Scope 1+2+3 净零排放为目标，每年发布对齐 GHG Protocol 与 SBTi 1.5°C 路径的可持续披露报告；隐私视角下，这意味着我们采购数据中心的能源来源也将进入数据处理协议（DPA）的审计范围，子处理者清单中的"能源构成"字段每年由独立审计师抽查。

22 · 可复现构建与客户端可验证性

从 v15 起，QuickQ Aurora 客户端的全部 6 个平台（Windows / macOS / Linux / iOS / Android / visionOS）都支持可复现构建（reproducible builds）：

我们在 GitHub / Codeberg / 自托管 Forgejo 三地公开完整源代码、构建脚本（包含锁定的工具链版本）与 SBOM（CycloneDX 1.6 + SPDX 2.3 双格式）；
任何研究人员或开发者可以在自己干净的环境中按指南构建，并使用我们提供的校验脚本与官方发行包做 SHA-256 + ML-DSA-87 + SLH-DSA-256s 三重比对；
如比对不一致，可通过 [email protected] 上报，我们承诺 36 小时内人工复核并出具书面回执；
对隐私的实际意义：这把"客户端是否含有非公开的数据采集逻辑"这一关键判断，从"信任公司声明"变成了"亲手验证哈希一致"。

23 · SLSA L4 三地哈希一致性 + 硬件签名锚定（v15 入列 · v16 加固）

在 §22 可复现构建的基础上，v15 进一步把"客户端供应链"提升到 SLSA Level 4 等级（业内当前最高），v16 把第二地构建源由 GitLab CI 替换为自托管 Forgejo CI（地理就近 · 减少对单一商业 SaaS 的依赖），通过三地并行 + 硬件锚定实现物理层证伪：

三地并行流水线：每一次官方发版同时在 (a) GitHub Actions 隔离 runner、(b) 自托管 Forgejo CI（澳大利亚 + 冰岛双地热备）、(c) 第三方 Chainguard "ChainBench" 平台三套独立环境上并行构建；三处产物哈希一致才会被签发，否则发版自动阻断并发布 incident report；
硬件签名锚定：所有最终产物由 YubiKey 5 FIPS 双因子硬件密钥执行 SLH-DSA-256s 后量子签名，私钥永不导出，签名过程对独立审计师可视；
透明日志：每一份签名同步写入 sigstore Public Rekor 透明日志，并在 humans.txt / security.txt / Brand Guideline 中公开 Rekor UUID，便于任何人独立验证；
社区参与：任何外部研究人员可在不联系我们的前提下，自行从 GitHub / Codeberg 拉取源代码并复算哈希；如发现与官方哈希不一致，最高奖励 36,000 USD（v16 由 32,000 USD 上调）；
对隐私的实际意义：v15 把"客户端无后门"从一句声明，升级为物理层 + 透明日志 + 三地哈希一致 + 硬件签名锚定四重证伪——任何后门一旦插入，几乎必然在三地哈希分歧中暴露，并被 sigstore Rekor 永久记录。

24 · ISO/IEC 42001:2023 AI 管理体系（AIMS）治理声明（v16 新增 · 全球 VPN 行业首批）

Aurora Labs 已于 2027 年 2 月正式通过 ISO/IEC 42001:2023 AI 管理体系认证，成为全球 VPN 行业首批正式取证的服务商。本治理声明对应 ISO 42001 第 4 – 10 章节的全部 38 条管控点，并在隐私视角下进一步收紧：

① 治理范围：包括但不限于 LLM 客服分流模型（Aurora Halo Classifier）、节点异常侦测模型（Aurora Sentinel Anomaly）、反欺诈风控模型（Aurora Crew RiskFence）与可观测告警分级模型（Aurora Lumen Triage）；不含任何"用户画像 / 行为预测 / 内容审查"类模型——我们承诺永不构建这类模型。
② 五件套档案：任一上线模型必须公开《数据卡（Datasheet）》《模型卡（Model Card）》《风险登记册（Risk Register）》《红队对抗结果（Red-Team Report）》《推理可追溯日志规范（Audit Log Spec）》共五份档案，全部以 CC BY 4.0 发布于 GitHub / Codeberg / Forgejo 三地。
③ 红队对抗：每季度由 Radically Open Security · AI 专项小组开展 1 次盲测，标准动作包含 Prompt Injection / Model Extraction / Jailbreak / Hallucination 四类；任何 P0 / P1 级发现 21 天内闭环，结果同步进《Aurora AI 治理报告》。
④ 推理可追溯日志：所有 AI 推理走 OpenLineage + Marquez 自托管栈，仅记录模型 ID、版本哈希、特征向量摘要与决策结果，绝不记录原始工单正文或用户 PII；日志滚动保留 365 天供 ISO 42001 §8.4 审计追溯。
⑤ 申诉与人工复核：任一用户对模型行为有疑虑都可通过 [email protected] 提交申诉，48 小时内必有人工复核回信；触发模型卡更新或数据卡修订者将公开致谢于《Aurora AI 治理报告》并获颁 AI 红队挑战奖金（最高单笔 8,000 USD）。
⑥ 训练数据来源：我们承诺永不将任何用户数据用于训练模型；外部预训练模型仅选择具备明确数据来源声明、且与 Aurora AI 治理框架原则相容的开源底座（如 Llama-Guard / Mistral-Small / Gemma-2 / Phi-4-mini）；任何商业 LLM 服务（如 GPT / Claude / Gemini）一律以 Enterprise Tenant + Zero Retention + No Training 模式接入。
⑦ AI 决策的最终回路：任一 AI 决策都不会替代真人 SOP：客服分流必须由真人轮值员签发最终回答；异常侦测告警必须由 NOC 真人值班员判断是否触发流量切换；风控拦截必须由 Aurora Crew 风控复核小组在 60 分钟内人工复盘。AI 仅承担"建议"，不承担"决策"。
⑧ 隐私护栏：AI 治理章节不会以任何方式弱化 §1 – §23 的隐私承诺；当 AI 治理义务与隐私义务发生冲突时，以隐私义务为优先（依 ISO 42001 §6.1.4 风险登记册第 7 条登记）。

与我们沟通

客服咨询： [email protected]
数据保护负责人（DPO）： [email protected]
新西兰 Privacy Officer（v16 新增）： [email protected]
安全漏洞披露： [email protected]
滥用 / 举报： [email protected]
法务与合规： [email protected]
企业合作： [email protected]
可信构建 / 透明度（v15 入列）： [email protected] · [email protected]
AI 治理 / 模型行为申诉（v16 新增）： [email protected]

注：本政策为简明易读版；如与签订订阅时呈现的法律语言版本存在差异，以法律语言版本为准。如需 PDF 版本归档，请通过 DPO 通道索取。