Fresh Dash 隐私政策

生效日期：2026 年 5 月 11 日

最后更新：2026 年 5 月 11 日

致加州居民：本隐私政策包含《加州消费者隐私法》（CCPA）及其修订《加州隐私权利法》（CPRA）要求的额外披露。详见第 2.1、2.2 节、保留时长表格及"加州隐私权利"章节。如需行使权利，请访问隐私选择页面，或邮件 hi@freshdashmarket.com。
说明：以英文版本为法律基准，中文版仅供参考。

1. 简介

欢迎使用 Fresh Dash！本隐私政策说明 Fresh Dash LLC（以下简称"Fresh Dash"、"我们"或"我方"）在您访问我们的网站 freshdashmarket.com（"网站"）、使用我们的移动应用程序（如有）或以其他方式使用我们的服务（统称"服务"）时，如何收集、使用、共享和保护您的个人信息。

我们致力于保护您的隐私。请仔细阅读本政策，了解我们处理您信息的方式。使用我们的服务即表示您同意按照本隐私政策的描述收集、使用和共享您的信息。如果您不同意，请勿使用我们的服务。

2. 我们收集的信息

我们在您使用服务时通过多种方式收集您的信息，具体包括：

您直接提供的信息：

账户信息：当您创建账户时，我们可能收集您的姓名、电子邮件地址、电话号码、密码和配送地址。
订单信息：当您下订单时，我们收集您购买的产品信息、支付信息（由我们的第三方支付处理商处理）、配送说明，以及收件人信息（如与您不同）。
通讯信息：当您通过电子邮件（包括 hi@freshdashmarket.com）、电话或其他渠道联系我们时，我们收集您通讯中的信息。
促销和调查：您参与调查、竞赛或促销活动时提供的信息。
用户内容：您通过服务提交的评论、评分、照片或其他内容。

自动收集的信息：

设备和使用信息：当您访问我们的网站或服务时，我们自动收集有关您设备的信息（IP 地址、操作系统、浏览器类型、设备标识符）以及您的使用模式（访问页面、停留时间、点击链接、搜索查询、引用 URL）。
位置信息：我们可能收集您的大致位置（例如，基于 IP 地址）或精确位置（例如，通过设备设置，如果您授予权限），以提供基于位置的服务，如确定服务可用性或估算配送时间。
Cookie 及类似技术：我们使用 Cookie、网络信标、像素和其他技术收集有关您浏览活动的信息，为您提供个性化体验并分析流量。详情请参阅我们的 Cookie 政策或下方第5节。

来自第三方的信息：

服务提供商：我们可能从第三方服务提供商处收到信息，例如支付处理商（交易确认，而非完整支付详情）或配送合作伙伴。
营销合作伙伴：我们可能从营销或广告合作伙伴处收到信息。
社交媒体：如果您在社交媒体平台上与我们互动或使用社交登录，我们可能根据您的隐私设置从这些平台收到信息。

2.1 收集的个人信息分类（CCPA / CPRA）

下表按 CCPA 法定分类汇总我们过去 12 个月内收集的个人信息（"PI"），包括来源、商业用途、共享对象及每个分类的保留时长。

CCPA 分类	示例	来源	商业用途	共享对象	保留时长
A. 标识符	姓名、邮箱、电话、账户 ID、IP 地址、设备 ID	您直接提供（注册）；自动收集（设备 / 网络）	账户管理、订单履约、安全、反欺诈	Stripe（服务提供商）、Cloudflare（服务提供商）、配送合作伙伴（服务提供商）	账户存续期 + 删除后 30 天
B. 个人记录（Cal. Civ. Code §1798.80(e)）	邮寄 / 配送地址、电话号码	您直接提供	订单配送、反欺诈、客服	Stripe、Mapbox（服务提供商）、配送合作伙伴	账户存续期 + 删除后 30 天；订单相关副本依税务合规要求保留 7 年
D. 商业信息	购买记录、浏览过的商品、购物车内容、退款记录	您直接提供；自动收集（浏览行为）	订单处理、个性化、数据分析、退款	Stripe（仅交易相关）	7 年（税务 / 会计合规）
F. 互联网 / 电子活动	访问页面、点击链接、搜索查询、引用 URL、会话数据	自动收集（Cookie、服务器日志）	数据分析、安全、服务改进	仅内部使用	13 个月
G. 地理位置数据	基于 IP 的大致位置；浏览器授权时的精确位置	自动收集（IP）；您直接提供（geolocation API）	服务可用性检查、配送路线、反欺诈	Mapbox（仅用于地理编码；服务提供商）	精确位置：仅当次会话。大致位置：13 个月
K. 推断信息	基于购买 / 浏览历史推断的商品偏好	从上述分类派生	个性化、推荐	仅内部使用	账户存续期 + 删除后 30 天

我们不收集生物特征信息（E 类）、感官数据（H 类）、职业 / 雇佣相关信息（I 类）、教育信息（J 类）、受保护类别特征（C 类，如种族、宗教、性取向等）。

2.2 敏感个人信息（SPI）

根据《加州隐私权利法》（CPRA），某些类型的个人信息被归类为"敏感"。我们仅为提供服务收集以下敏感 PI，不用于推断您的个人特征：

账户登录凭证：邮箱 + 密码。密码经过加密哈希存储，绝不以明文保存。仅用于身份认证。
精确地理位置：仅在您授权浏览器位置权限时使用，用于配送路线与查找附近自提点。不会跨会话保留。
支付相关信息：银行卡品牌与末四位。完整卡号、有效期与 CVC 由 Stripe 直接收集与处理，绝不到达 Fresh Dash 服务器（参见下文"支付数据处理"）。

您有权将我们对敏感 PI 的使用和披露限制在提供服务所必需的范围内。如需行使此权利，请访问隐私选择页面，或邮件 hi@freshdashmarket.com，主题"限制敏感 PI"。我们将在 15 个工作日内回复。

2.3 支付数据处理

Fresh Dash 使用 Stripe, Inc.（"Stripe"，特拉华公司）作为本平台所有支付交易的处理方。

Stripe 直接收集的信息

您在结账时输入的支付信息将直接传输至 Stripe 安全服务器，不经过 Fresh Dash 任何系统：

完整卡号、有效期、安全码（CVC）；或非卡支付方式（Apple Pay、Google Pay、Alipay、微信支付等）对应的等效信息
账单姓名及账单地址
设备指纹与 IP 地址（用于 Stripe Radar 反欺诈服务）

Fresh Dash 从 Stripe 接收的信息

交易状态（成功、处理中、失败）
支付方式的品牌与末四位（用于订单凭证展示）
Stripe 交易 / PaymentIntent 标识（用于退款与对账）
Stripe Radar 的风险评估摘要（如风险等级）—— 用于决定是否通过、暂缓或拒绝订单

Fresh Dash 与 Stripe 共享的信息

客户姓名、邮箱、电话（用于发送收据与反欺诈核验）
订单金额、币种与配送地址（用于反欺诈筛查与适用的税务合规）
订单标识与订单历史（用于退款处理与争议解决）

Stripe 及其子处理方可能在美国及其他国家的服务器上存储与处理您的数据。使用本平台支付功能即代表您知悉支付数据可能跨境传输。Stripe 已通过 PCI DSS Level 1、SOC 2 Type II、ISO 27001 等认证。详情请参阅 Stripe 隐私政策。

PCI DSS 合规范围：由于 Fresh Dash 使用 Stripe 的托管支付组件，我们不存储、不处理、不传输完整持卡人数据。Fresh Dash 的 PCI DSS 合规范围限定为 SAQ-A。

短信与文字消息隐私：

当您选择接收来自 FreshDashMarket 的短信（SMS）时，我们将收集并存储您的手机号码、您的运营商名称以及您同意接收短信的日期和时间。这些信息仅用于发送您所请求的短信（例如订单更新、促销优惠或通知）。

我们绝不会将您的短信订阅数据或同意状态出售、出租或以任何形式共享给任何第三方或关联公司用于其自身的营销目的。您接收短信的同意不会与任何外部组织共享。

我们不使用任何第三方名单或购买的电话号码进行短信营销。所有短信接收者均已通过合规的订阅机制（例如在我们网站或移动应用上勾选未预先勾选的复选框）向 FreshDashMarket 提供了直接、明确的同意。

您可以随时回复任意短信中的 STOP 撤销同意。如需帮助，请回复 HELP。可能产生标准短信和数据费用。如对我们处理短信数据的方式有疑问，请通过 hi@freshdashmarket.com 联系我们。

3. 我们如何使用您的信息

我们将收集的信息用于多种目的，包括：

提供和改善服务：运营、维护和改善我们的网站和服务，处理您的订单，管理配送，以及管理您的账户。
个性化：为您提供个性化体验，例如展示相关产品或优惠。
通讯：就您的订单、账户、服务或政策更新与您进行沟通，并回复您发送至 hi@freshdashmarket.com 或其他渠道的询问。
营销和广告：向您发送促销通讯、新闻通讯和优惠（您可以按照第6节所述选择退出）。
数据分析：了解用户如何与我们的服务互动，监控和分析趋势，并改善我们的产品。
安全和欺诈预防：检测、预防和应对欺诈、滥用、安全风险和技术问题。
法律合规：遵守法律义务，解决争议，并执行我们的协议（包括我们的服务条款）。

4. 我们如何共享您的信息

我们不按 CCPA / CPRA 定义出售或共享您的个人信息（包括用于跨平台行为广告的共享）。我们目前未使用任何第三方广告 pixel（Meta Pixel、TikTok Pixel、Google Ads conversion tracking 等）。若未来情况发生变化，我们将更新本隐私政策并在任何此类共享开始前提供明确的反对选项。

我们将信息披露给以下接收方，并按 CCPA / CPRA 区分 服务提供商（受书面合同约束，仅可将信息用于为我们提供服务的目的）与 第三方（独立接收方）：

服务提供商（CCPA / CPRA 下不视为"出售"或"共享"）

Stripe, Inc. —— 支付处理、反欺诈（Radar）、退款与拒付管理
Mapbox —— 地址地理编码、地图渲染、路线规划
Cloudflare —— 网站基础设施、内容分发、图片存储（R2 桶）
PostHog —— 产品行为分析。配置为 identified_only 模式（匿名访客不计入用户画像）；流量通过我们自建的反向代理（g.freshdashglobal.com）转发；未启用会话录制（session recording）；SDK 自动响应 Global Privacy Control (GPC) 信号
配送与物流合作伙伴 —— 订单履约
邮件 / 短信 / 推送通知服务（交易类通讯）
客服工具（由我们运营或基于书面 DPA 委托）

其他接收方

业务转让：如果 Fresh Dash 涉及合并、收购、融资、重组、破产或资产出售，您的信息可能作为该交易的一部分被转移。
法律要求：如法律、传票或其他法律程序要求，或我们真诚认为披露对于保护权利、保障您或他人安全、调查欺诈、响应政府请求所必需，我们可能披露您的信息。
经您同意：在获得您明确同意的情况下将您的信息用于其他目的。
汇总或去标识化数据：我们可能共享无法合理用于识别您身份的汇总或去标识化信息。

5. Cookie 和追踪技术

我们使用 Cookie 和类似追踪技术收集有关您与我们服务交互的信息。Cookie 是存储在您设备上的小型数据文件。我们可能使用会话 Cookie（在您关闭浏览器时过期）和持久性 Cookie（在删除之前保留）。这些技术帮助我们运营服务、记住您的偏好、分析使用情况以及用于广告目的。

您通常可以通过浏览器设置控制 Cookie。但是，禁用 Cookie 可能会影响我们服务的功能。

有关我们如何使用 Cookie 的更多信息，请参阅我们的 Cookie 政策。

5.1 个人信息的保留时长

我们仅在为收集目的所必需的时间内保留个人信息，以履行法律义务、解决争议、执行协议。标准保留时长如下：

分类	保留时长	依据
账户信息（姓名、邮箱、电话、密码哈希）	账户存续期 + 删除后 30 天	服务提供；账户恢复窗口
配送地址	账户存续期 + 删除后 30 天	服务提供
订单记录（购买历史、退款、交易元数据）	7 年	IRS 税务与会计合规
退款及争议记录	5 年	Stripe 争议窗口；审计要求
卡片末四位与品牌	与对应订单一同保留；订单删除时一并删除	客服；对账
营销同意记录（短信订阅、邮件订阅）	账户存续期 + 删除后 30 天；法律记录保留 5 年	TCPA / CAN-SPAM 合规
Cookie 与设备数据	最长 13 个月	标准分析保留期；CalOPPA
客服通讯	3 年	争议解决；服务质量
安全与访问日志	1 年	安全调查；反欺诈
精确地理位置	仅当次会话（不持久化）	服务提供；最小化数据保留

若涉及优先于上述时长的法律义务（如正在进行的诉讼、政府调查或反欺诈调查），数据可能保留至该等义务履行完毕。

6. 数据安全

我们实施合理的行政、技术和物理保障措施，旨在保护我们收集的个人信息免遭未经授权的访问、使用、披露、更改或销毁。但是，没有任何互联网传输或电子存储是完全安全的。因此，我们无法保证其绝对安全性。

7. 您的选择与基本权利

您对自己的个人信息拥有以下选择和权利：

账户信息：您可以通过登录账户设置来查看和更新您的账户信息。
营销通讯：您可以按照促销邮件中的退订说明，或通过联系 hi@freshdashmarket.com 选择退出接收促销邮件。您仍可能收到有关账户或订单的非促销性通讯。
位置信息：您可以通过设备设置禁用位置共享。
Cookie：您可以通过浏览器设置管理 Cookie，详见我们的Cookie 政策。

7.1 加州隐私权利（CCPA / CPRA）

如您为加州居民，根据《加州消费者隐私法》（CCPA）及其修订《加州隐私权利法》（CPRA），您拥有以下权利：

知情权

您可请求知悉我们收集的个人信息分类、来源、商业 / 业务用途、共享的第三方分类、以及我们持有的关于您的具体信息内容。详见第 2.1 节按分类的披露。

删除权

您可请求我们删除收集自您的个人信息，但受法律例外约束（如税务记录的法定保留义务、反欺诈、待处理交易等）。

更正权

您可请求我们更正所持有的不准确的个人信息。收到可核实的请求后，我们将使用商业合理努力进行更正，并在 45 天内回复。大部分账户信息您也可登录账户自行修改。

退出出售或共享权

您可随时退出我们对您个人信息的出售或共享。如第 4 节所述，我们目前不出售或共享您的个人信息用于跨平台行为广告，但仍提供退出机制：

访问隐私选择页面提交退出请求
我们自动响应浏览器发送的 Global Privacy Control (GPC) 信号（Sec-GPC: 1），视为合法的退出请求

限制敏感个人信息使用权

您可请求我们将敏感 PI（详见第 2.2 节）的使用与披露限制在提供服务所必需的范围内。我们目前未将敏感 PI 用于必需范围以外的用途，但您仍可通过隐私选择页面提交请求。

非歧视权

我们不会因您行使 CCPA / CPRA 权利而对您进行歧视。您不会因此被收取不同价格、被提供不同水平或质量的服务，或被拒绝访问，除非法律允许我们提供与明确披露的财务激励挂钩的差异价格（见财务激励通知）。

如何提交请求

邮件 hi@freshdashmarket.com，主题"隐私请求 — [权利名称]"；或通过隐私选择页面提交
请提供足够信息以验证您的身份，包括账户邮箱、近期订单号（若适用）
我们将在 10 个工作日 内确认收到，并在 45 天 内实质性回复。复杂请求可能需要额外 45 天，我们会告知您延期原因。

身份验证

验证标准根据请求敏感程度分级：

知情 / 访问：合理程度的确定性。通常匹配账户邮箱 + 近期订单详情。
删除 / 更正：较高程度的确定性。可能需提供政府颁发的身份证件或匹配近期交易数据。我们在使用后立即最小化并安全删除验证信息。

授权代理人

您可指定授权代理人代为提交请求。我们要求：

由您签字的书面授权书指定代理人
代理人身份证明
即使指定代理人，我们仍可能直接联系您核实请求

Shine the Light（《光照》权）

根据《加州民法典》§1798.83，加州居民可每年一次请求了解我们（若有）将个人信息披露给第三方用于其直接营销用途的情况。请发邮件至 hi@freshdashmarket.com，主题"Shine the Light"。

Do Not Track 与 Global Privacy Control

我们的服务目前不响应"Do Not Track"（DNT）信号。但我们依据加州司法部长的执法指引，将 Global Privacy Control (GPC) 信号视为对任何出售或共享个人信息的合法退出请求。

7.2 其他地区权利

欧洲经济区（EEA）、英国、瑞士居民：如您位于这些地区，根据《通用数据保护条例》（GDPR）或类似法律，您可能享有访问、更正、删除、限制处理、反对处理和数据可携带性等权利。请联系 hi@freshdashmarket.com 行使这些权利。

8. 儿童隐私

我们的服务面向 16 岁及以上的用户。

13 岁以下：我们不会故意收集 13 岁以下儿童的个人信息。如发现在未获得可核实的父母同意情况下收集了此类信息，我们将立即采取措施予以删除。这符合《儿童在线隐私保护法》（COPPA）。
13–16 岁（加州居民）：根据《加州民法典》§1798.120(c)，未经肯定授权（opt-in），我们不会出售或共享 16 岁以下消费者的个人信息。13–16 岁消费者的 opt-in 须由其本人提供；13 岁以下消费者须由父母或监护人提供。如第 4 节所述，我们目前不出售或共享个人信息。

如您认为我们在未获得适当同意的情况下意外收集了未成年人信息，请联系 hi@freshdashmarket.com，我们将立即删除。

9. 本隐私政策的变更

我们可能会不时更新本隐私政策。如果我们进行重大变更，我们将通过在网站上发布更新后的政策、更新"生效日期"和/或通过其他适当的沟通渠道通知您。我们鼓励您定期查阅本政策。

10. 无障碍

我们致力于让所有用户（包括残障人士）都能顺畅使用我们的网站，目标遵循《网页内容无障碍指南》（WCAG）2.1 Level AA。如果您在使用我们的网站时遇到障碍，或希望以其他方式完成下单，请发送邮件至 hi@freshdashmarket.com，我们将在一个工作日内回复。完整声明请见无障碍声明页。

11. 联系我们

如果您对本隐私政策或我们的数据处理有任何疑问或顾虑，请通过以下方式联系我们：

电子邮件：hi@freshdashmarket.com
邮寄地址：Fresh Dash LLC, 1119 N KRAEMER BLVD, ANAHEIM, CA 92806