跳到正文

法律

隐私政策

最后更新:2026年5月5日

最后更新:  ·  4 分钟阅读

01.

概述

FreeBillGen 是由 MB Libranet(立陶宛维尔纽斯)运营的免费托管服务,网址为 freebillgen.com。依据 GDPR 第 4(7) 条,MB Libranet 是所有访客的唯一数据控制者,本政策适用于对本服务的所有使用。

本政策旨在遵守欧盟《通用数据保护条例》(Regulation (EU) 2016/679,"GDPR")第 13 条和第 14 条,以及立陶宛共和国《个人数据法律保护法》。本政策告知您我们收集哪些数据、原因、其他查看者、保留期限以及您如何行使权利。

02.

谁是数据控制者

唯一数据控制者为 MB Libranet(Vilnius,Lithuania)。如有隐私方面的咨询,请发送邮件至 [email protected]。完整法律实体详情请见 公司信息页面

我们未任命数据保护官,因为我们的处理活动未达到 GDPR 第 37 条规定的门槛。负责数据保护的运营者可通过上述电子邮件地址联系。

03.

我们处理哪些数据

当您在 freebillgen.com 使用 FreeBillGen 时,我们基于下列法律依据处理以下有限类别的个人数据:

  • 账户数据. 您的姓名、电子邮件地址以及经 bcrypt 哈希处理的密码(或通行密钥公钥)。 法律依据: 履行合同 — GDPR 第 6(1)(b) 条。
  • 您创建的发票和客户数据. 仅限您自行填写的数据:客户姓名、地址、增值税号、行项目、合计金额、付款状态。 法律依据: 履行合同 — GDPR 第 6(1)(b) 条。
  • 会话与安全 Cookie. 用于保持登录状态并阻止伪造请求的已签名会话 Cookie 和 CSRF 令牌 Cookie。 法律依据: 严格必要 — GDPR 第 6(1)(f) 条,合法利益。
  • 服务器日志. IP 地址、用户代理及请求元数据,短期保留,用于滥用防范与调试。 法律依据: 合法利益 — GDPR 第 6(1)(f) 条。
  • VIES 审计日志. 当您验证欧盟买方增值税号时,我们将存储请求标识符、所查询的国家和号码及响应结果,作为《欧洲理事会条例(EU)904/2010》第 31 条项下的证据。 法律依据: 法律义务 — GDPR 第 6(1)(c) 条。

部分数据并非属于您,而是属于您的发票客户(GDPR 第 14 条)。该数据的来源是您本人 — 我们仅因您将其录入发票而获取。我们基于与您签订的合同以及您作为经营者保留符合税务要求的发票记录的合法利益对其进行处理。

我们绝不出售您的数据。我们不与广告商、数据经纪商或分析网络共享数据。我们不开展任何跟踪、画像或行为定向活动。

04.

数据处理子委托方

FreeBillGen 故意只使用少量数据处理子委托方。它们均不属于广告或分析网络。每家均受《数据处理附录》约束,且仅处理其功能所需的最少数据。

SMTP2GO(事务性电子邮件)

当您通过电子邮件发送发票或接收系统通知时,邮件经由 SMTP2GO 的欧盟区域(mail-eu.smtp2go.com)分发。共享数据:发件人、收件人地址、主题、正文及任何附加的 PDF 文件。SMTP2GO Inc. 在新西兰注册,使用欧盟基础设施;数据传输受标准合同条款保障。

Cloudflare Turnstile(机器人防护)

/login/register 表单呈现 Cloudflare Turnstile 验证,以阻止自动化滥用。该组件从 challenges.cloudflare.com 加载,并与 Cloudflare 的 siteverify 端点交换短效令牌。共享数据:您的 IP 地址、用户代理及一次性验证令牌。Turnstile 不设置跟踪 Cookie,也不用于广告目的。Cloudflare, Inc. 位于美国,数据传输受欧盟-美国数据隐私框架及标准合同条款保障。

bunny.net(字体 CDN)

本站从 fonts.bunny.net 加载两种网络字体,该 CDN 由 BunnyWay d.o.o.(斯洛文尼亚,欧盟)运营,注重隐私保护。共享数据:字体请求期间的 IP 地址和用户代理。详见其 隐私声明

欧盟委员会 VIES(增值税验证)

当您验证买方增值税号时,您输入的国家代码和增值税号将被发送至 ec.europa.eu 上的欧盟委员会增值税信息交换系统(VIES)。接收方为欧盟机构,处理受《条例(EU)2018/1725》约束。

托管与 PDF 渲染(内部处理)

应用程序运行于欧盟境内的专用基础设施上。发票 PDF 由我们自有服务器使用 mPDF 内部渲染。不涉及任何第三方 PDF 服务或托管转售商。

无 Google 服务。无 Meta 或 Facebook 像素。无分析 SDK。无第三方错误报告服务。

05.

Cookies

FreeBillGen 仅设置严格必要的 Cookie。依据《电子隐私指令》(2002/58/EC)第 5(3) 条,严格必要的 Cookie 无需获得同意,因此您不会看到 Cookie 横幅。

会话 Cookie

保持您的登录状态,并在会话期间记住您选择的界面语言。当您注销或会话生命周期到达时过期。

HTTP-only · Secure · SameSite=Lax
CSRF 令牌 Cookie(XSRF-TOKEN)

携带每次会话的防伪令牌,用于验证状态变更请求来自本站。框架对任何已登录操作均需要此 Cookie。

Secure · SameSite=Lax

无分析 Cookie。无广告 Cookie。FreeBillGen 不设置任何第三方 Cookie。第 04 节中描述的 Cloudflare Turnstile 验证可能会设置其自身的短效 Cookie,范围限于 challenges.cloudflare.com;该 Cookie 仅用于机器人防护验证,不用于跟踪目的。

06.

数据保留

账户和发票数据在您的账户有效期间保留。账户删除后,所有标准个人数据将在 30 天内删除,但立陶宛会计法(对发票记录规定了 10 年保留期)要求保留特定文件的情况除外 — 在此情况下,相关记录将转至访问受限的档案库,仅在法律要求的期限内保留。

服务器日志保留最多 30 天,但如活跃安全调查需要,可延长保留期。VIES 审计日志行至少保留 10 年,以满足《欧洲理事会条例(EU)904/2010》的证据要求。

07.

您在 GDPR 下的权利

根据 GDPR,您享有访问权(第 15 条)、更正权(第 16 条)、删除权(第 17 条)、限制处理权(第 18 条)、数据可携带权(第 20 条)及反对权(第 21 条)。若处理基于同意,您可随时撤回同意(第 7(3) 条)。

您还有权依据 GDPR 第 77 条向监管机构投诉 — 通常为您居住、工作或涉嫌侵权发生地所在欧盟/欧洲经济区国家的监管机构。由于运营者在立陶宛注册,牵头监管机构为立陶宛国家数据保护监察局(State Data Protection Inspectorate of Lithuania, VDAI)。

如需了解如何行使每项权利的分步指南(包括时限及申请内容),请访问专设的 GDPR 权利页面

08.

自动化决策

FreeBillGen 不使用 GDPR 第 22 条含义内的自动化决策或画像。任何对您产生法律效果或类似重大影响的决定均不单独通过自动化手段作出。我们不对用户进行广告、信用、欺诈或任何其他目的的评分、排名或画像。

09.

数据安全

技术和组织措施(GDPR 第 32 条):

  • 密码以 bcrypt 哈希形式存储;支持通行密钥(WebAuthn)。
  • 可选的基于时间的双因素认证(2FA),兼容任何 TOTP 验证器应用。
  • 每个状态变更请求均使用 CSRF 令牌。
  • 全程使用参数化查询 — 无字符串拼接 SQL。
  • 传输层使用 HTTPS/TLS;启用 HTTP 严格传输安全(HSTS)。
  • 内容安全策略及其他安全加固响应头。
  • 针对安全敏感操作的应用层审计日志。
  • 加密数据库备份,访问受限。
10.

国际数据传输

个人数据默认在欧盟境内处理。第 04 节中列明的两家数据处理子委托方可能涉及向第三国的数据传输:

  • Cloudflare Turnstile — 向美国传输,受欧盟-美国数据隐私框架及欧盟委员会标准合同条款保障。
  • SMTP2GO — 运营公司在新西兰注册(该国已获欧盟委员会充分性决定),并使用欧盟区域基础设施进行传递。发生传输时,受标准合同条款保障。

不存在向其他第三国的数据传输。如有变化,我们将依据适当的 GDPR 第五章传输机制并在新传输开始前更新本政策。

11.

未成年人

FreeBillGen 是一款商业工具,不面向 16 岁以下的未成年人。我们不会故意收集未成年人的个人数据。

12.

本政策的变更

如有重大变更,我们将在本页面以新的"最后更新"日期发布更新文本,并通过电子邮件通知活跃账户。当前版本以页面顶部的日期为准。

13.

联系方式

隐私问题及权利请求:[email protected]。邮政地址及完整法律实体详情请见 公司信息页面