安全与数据
最后更新:2026年7月13日
摘要
Transept 是专为安全翻译打造的翻译工作区。当您提交文本时,我们会将其发送给 AI 提供商进行翻译,将结果存储在我们的数据库中,并供您编辑。本页解释了与此相关的所有内容——数据存放在哪里、谁能看到它,以及我们承诺不会用它做什么。如果您正在评估安全的机器翻译和翻译项目管理平台,这是通俗易懂的版本;完整的法律文本请参阅隐私政策。
- 我们不会使用您的内容来训练 AI 模型——无论是我们的模型,还是我们提供商的模型。
- 您的数据存放在欧盟——应用程序和数据库托管在德国(Hetzner)。
- 传输与静态加密——每个连接均使用 TLS 1.2+,磁盘使用 AES-256 加密。
- 您拥有您的内容——我们仅持有有限的处理许可,不主张所有权。删除您的帐户,您的数据也会随之删除。
- 可应要求提供 DPA——对于企业客户,我们签署涵盖 GDPR 第 28 条义务的数据处理协议(DPA)。
我们如何处理您的内容
当您提交文本进行翻译时,会发生以下三件事:
- 您的文本作为文档的一部分存储在我们的数据库中。
- 对于每个翻译请求,相关的区块会通过加密连接发送给 AI 提供商。提供商返回译文,我们将其存储为新的区块版本。
- 您的文本会一直保留在您的文档中,直到您将其删除(或删除您的帐户)。它绝不会被用于训练任何 AI 模型。
我们不会做的事:
- 我们不会出售您的数据。
- 我们不会使用您的内容来训练模型——无论是我们的还是其他任何人的。
- 我们不会与广告商或第三方营销平台共享您的内容。
- 我们不会扫描您连接的 Google Drive 或 Notion 工作区。我们只能看到您明确选择导入的文件。
- 我们不运行自己的基础模型,也不会使用客户数据进行微调。
您的数据存放在哪里
Transept 的应用服务器和数据库运行在 Hetzner Online GmbH 上,这是一家在德国设有数据中心的欧洲托管提供商。您的帐户、文档、译文、术语库和风格指南——所有这些都存放在欧盟的基础设施上。
当您进行翻译时,相关的文本区块会在该请求期间发送给 AI 提供商。大多数 AI 提供商(Anthropic、OpenAI、Google)在美国处理请求,并遵守合同中的数据保护承诺,以及(在适用情况下)欧盟-美国数据隐私框架或标准合同条款(SCC)。译文返回后,除了短期的操作日志外,提供商不会保留您内容的任何副本——具体信息请参阅各提供商的隐私政策。
加密
- 传输中——在您的浏览器、我们的服务器和 AI 提供商之间的每个连接上使用 TLS 1.2 或更高版本。仅支持 HTTPS;HTTP 会被重定向。
- 静态——数据库和磁盘存储使用 AES-256 加密。
- 备份——静态加密,保留 30 天,然后被覆盖。
- 身份验证——通过短期的电子邮件一次性验证码或 Google OAuth 进行无密码登录。我们不存储密码。会话令牌存储在您浏览器的本地存储中。
谁能访问您的数据
生产环境的访问权限仅限于少数指定的运维人员(目前为两位联合创始人),通过带有审计日志的 SSH 密钥进行身份验证。在日常运维中不会访问客户内容。
为了调查翻译问题或其他支持请求,我们在打开特定文档之前会先征求您的许可。管理面板对用户帐户的访问会被记录并可审计;敏感操作(角色更改、模拟登录、字数调整)会写入永久的审计日志条目。
AI 提供商与模型训练
根据您选择的模型,翻译请求会发送给以下提供商之一:
- Anthropic——Claude 系列模型,通过 Anthropic API 提供。Anthropic 的商业 API 不会使用客户的输入或输出来进行训练。
- OpenAI——GPT 系列模型,通过 OpenAI API 提供。默认情况下,OpenAI API 数据不会用于为 API 客户训练模型。
- Google——Gemini 系列模型,通过 Vertex AI / Gemini API 提供。通过这些 API 提交的客户数据不会用于训练 Google 的基础模型。
- Groq——Llama 系列及其他托管在 Groq 上以实现快速推理的模型。Groq 的 API 不会使用客户数据进行训练。
- OpenRouter——访问其他模型的网关。底层提供商的条款因模型而异。对于需要明确退出训练的工作负载,请将您的翻译固定在已知的提供商(Anthropic、OpenAI 或 Google)上。
在我们使用的 API 层级下,这些提供商都不会使用您的内容进行训练。Transept 本身不运行基础模型,不使用客户数据进行微调,也不出于任何训练目的保留提示词或输出。
子处理器
可能代表我们处理您数据的第三方完整列表(包括名称、地区、角色和上次 DPA 审查日期)请参阅 /subprocessors。摘要如下:
- AI 翻译——Anthropic(美国)、OpenAI(美国)、Google / Vertex AI(美国,提供欧盟区域)、Groq(美国)、OpenRouter(美国)。详见上文。
- Hetzner Online GmbH(德国,欧盟)——应用程序和数据库托管。
- Stripe, Inc.(美国 / 爱尔兰)——订阅计费和一次性购买。我们绝不会看到或存储完整的卡号;Stripe 在 PCI DSS 1 级标准下处理所有银行卡数据。
- PostHog(欧盟托管)——可选的产品分析,仅在您明确同意分析后加载(每位访客均需选择加入)。
- Customer.io(EU workspace)——交易类电子邮件(登录验证码、帐户通知、账单收据),以及——仅在您明确同意接收营销信息的情况下——产品更新电子邮件。
- Google Tag Manager + Google Ads(US)——分析和广告转化测量,仅在您明确同意的情况下加载,并通过 Consent Mode v2 进行控制。
- Meta Platforms(US)——用于广告转化测量的 Pixel + Conversions API,仅在您明确同意接收营销信息的情况下加载。
对此列表的重大更改(新的子处理者、区域变更)将在生效并用于新的处理之前,于本页面和 /subprocessors 中标明。
合规性与认证
Transept 是一家年轻的公司。我们遵守以下框架的实质性义务,但尚未获得第三方认证。我们对已具备和未具备的资质保持透明。
- GDPR(欧盟)和 UK GDPR——是的。作为帐户和使用数据的数据控制者,以及您提交内容的数据处理者,我们符合相关合规要求。我们提供完整的数据主体权利、存储内容的欧盟数据驻留、72 小时内的数据泄露通知,并可应要求提供 DPA。
- CCPA / CPRA(加利福尼亚州)及其他美国州隐私法——是的。我们尊重所有美国居民的知情权、删除权、更正权以及选择退出出售或共享的权利(我们不出售个人数据)。
- SOC 2——尚未获得。我们在访问控制、加密、变更管理和事件响应方面遵循符合 SOC 2 标准的实践,但尚未接受 Type 1 或 Type 2 审计。
- ISO 27001——未认证。
- HIPAA——Transept 不是符合 HIPAA 标准的平台。请勿提交受保护的健康信息。
- PCI DSS——支付数据由 Stripe(PCI DSS Level 1)处理。我们绝不会查看或存储完整的银行卡详细信息。
数据处理协议(DPA)
对于企业客户,我们可应要求提供数据处理协议。该协议涵盖了我们在 GDPR 第 28 条下作为处理者的义务——包括子处理者披露、安全措施、数据主体请求和数据泄露通知。
请将您的帐户电子邮件和公司详细信息发送至 [email protected] 以索取 DPA。
事件响应
如果我们发现可能对您的权利和自由造成风险的个人数据泄露,我们将:
- 在没有不当延迟的情况下通知受影响的用户,并在严重程度符合 GDPR 第 33 条规定的情况下于 72 小时内发出通知。
- 在需要时通知相关监管机构。
- 分享我们所了解的关于泄露性质、受影响数据、可能后果以及我们为控制和修复所采取的措施。
对于非数据泄露的、影响服务的事件(如服务中断、性能下降),我们将通过应用内横幅和电子邮件向活跃用户发布更新。
负责任的披露
如果您在 Transept 中发现漏洞,请发送电子邮件至 [email protected] 提供详细信息。我们要求您:
- 在公开披露之前,给我们一个合理的时间窗口进行调查和修复。
- 在测试时避免侵犯隐私、破坏数据或中断服务。
- 仅针对您自己的帐户或您有权访问的帐户进行测试。
我们目前没有运行付费的漏洞赏金计划,但我们会确认可信的报告,并且——如果您愿意——在修复发布后公开致谢报告者。
更多信息
有关完整的法律文本,请参阅我们的隐私政策和服务条款。对于此处未涵盖的任何内容,请发送电子邮件至 [email protected]。