小坡岛

法律条款

隐私政策

最近更新:2026 年 5 月 21 日 · 版本 v2.0(PDPA 完整合规版)

XPD TECHNOLOGY PTE. LTD.(运营品牌为 小坡岛;网址:xiaopodao.com;以下简称"小坡岛"、"我们")是面向在新加坡学习、工作、生活的华人用户提供租房信息撮合与顾问服务的平台。我们承诺依据新加坡《个人数据保护法 2012》(Personal Data Protection Act 2012,简称 PDPA)及其后续修订保护你的个人数据。

本隐私政策说明当你访问 xiaopodao.com 或与我们的顾问服务互动时,我们如何收集、使用、披露、传输、保留和保护你的个人数据。使用我们的网站即表示你同意本政策所述的处理方式。

1. 我们收集的个人数据

我们仅在你自愿提供时收集个人数据。收集的个人数据类别包括:

  • 身份与联系数据:姓名、微信号、手机号、邮箱、原籍地、所在/目标学校或机构。
  • 住宿偏好:预算区间、目标区域/学校、预计入住日期、房型、居住时长、生活方式偏好。
  • 沟通记录:咨询表单内容、与顾问的微信沟通记录、邮件往来。
  • 账号数据:微信登录标识、头像/昵称、收藏与浏览历史(仅在你主动注册账号时收集)。
  • 技术数据:IP 地址(脱敏存储)、浏览器类型与版本、设备类型、操作系统、来源 URL、浏览页面、点击行为。
  • Cookie 与同类技术:必要 cookie(会话、语言、安全)、分析 cookie(Google Analytics 4 / Google Tag Manager)。

我们仅在提供免费咨询服务、完成每次互动目的及遵守适用法律所必需的范围内收集这些信息。我们不会收集 NRIC、银行账户、健康记录等敏感个人数据。

2. 收集、使用与披露的目的

根据 PDPA 的目的限制义务,我们仅在以下目的范围内使用你的个人数据:

  • 回应你的咨询并提供租房顾问服务。
  • 为你匹配合适的房源、品牌、学校与区域。
  • 促成你与合作公寓品牌、业主或经纪人之间的看房和预订(事先告知)。
  • 发送服务更新、看房通知,以及(仅在你主动订阅时)营销信息。
  • 改进网站可用性、搜索质量与内容相关性。
  • 遵守新加坡的法律、监管与执法义务。
  • 检测、预防和应对欺诈、滥用或安全事件。

未经你新的同意,我们不会将你的个人数据用于上述目的以外的重大不同用途。

3. 信息的共享与披露

我们不会出售你的个人信息。仅在以下情况下我们会披露:

  • 内部团队成员:仅限提供咨询服务和运营平台所需的人员。
  • 合作公寓品牌 / 业主:仅当你明确通过小坡岛发起看房或预订时,仅披露完成该咨询所必需的最少信息(如姓名、联系方式、入住日期、预算)。
  • 数据处理方:见下方"第四方数据处理方"章节,受书面数据处理条款约束。
  • 政府机关:当法律、法规、传票、法院命令或其他合法政府请求要求时,按最小必要原则配合。

在与合作品牌或业主共享你的信息之前,我们将始终告知你。所有接收方均受保密义务和 PDPA 同等保护义务的约束。

4. 第三方数据处理方

根据 PDPA 的传输限制义务,我们披露所有可能代表我们处理你个人数据的第三方处理方:

  • Vercel Inc.(美国)— 网站托管、边缘分发与无服务器函数。主要服务区域:新加坡(SIN1)。 隐私政策
  • Supabase Inc.(美国)— 托管式 PostgreSQL 数据库与认证服务。数据驻留地:AWS ap-southeast-1(新加坡)。 隐私政策
  • Google LLC — Google Analytics 4、Google Tag Manager、OneMap 代理回退。 隐私政策
  • 阿里云(新加坡) — 运维型 ECS 节点,用于批处理、数据导入与定时任务。数据驻留地:ap-southeast-1(新加坡)。
  • Tencent(微信开放平台) — 微信登录与顾问对接。仅接收 OpenID 与用户授权的资料字段。 隐私政策

所有处理方均受合同约束,须以不低于 PDPA 标准保护你的数据。

5. 跨境数据传输

根据 PDPA 的传输限制义务,当个人数据被传输至新加坡境外时,我们采取合理措施确保接收方提供与 PDPA 可比的保护标准:

  • 主要存储位置:通过本网站提交的个人数据存储于 Supabase 托管 Postgres,位于 AWS ap-southeast-1(新加坡)
  • 托管:网站由 Vercel 主要从 新加坡(SIN1)边缘区域提供服务。
  • 运维元数据(如日志、分析数据)可能由 Vercel、Supabase、Google 在美国或欧盟处理。这些供应商受合同约束,须遵守可比 PDPA 的保护标准,并/或维持标准合同条款(SCC)、EU-US Data Privacy Framework 认证或同等保障措施。
  • 微信 OAuth 标识符由 Tencent 在中国大陆按微信开放平台条款处理;仅接收 OpenID 与用户授权的资料字段。
  • 我们不会将个人数据出售或转移至不具有可比数据保护法律的司法管辖区。

6. 数据安全

根据 PDPA 的保护义务,我们实施以下技术与组织安全措施:

  • 传输加密:xiaopodao.com 的所有流量均通过 HTTPS / TLS 1.2+ 加密。
  • 存储加密:数据库中的个人数据采用 AES-256 加密存储(Supabase 托管 Postgres)。
  • 访问控制:生产数据库访问仅限授权人员通过认证的管理员账号;所有表均实施行级安全(RLS)策略;管理后台启用 2FA 与访问日志。
  • 最小权限原则:团队成员仅获得履行职责所需的最小权限,并定期审计。
  • 供应商安全:仅使用持有 SOC 2 Type II 与 ISO 27001 等企业级认证的处理方(Vercel、Supabase)。
  • 监控:通过托管与数据库提供商进行基础设施级别的日志记录与异常活动告警;管理后台对特权操作记录审计日志。
  • 账号安全:管理员账号要求强密码与 2FA;定期密码轮换。
  • 备份:Supabase 自动每日备份;支持时间点恢复。

虽然没有任何互联网传输方式能保证 100% 安全,我们采用的是符合 PDPA 保护义务的商业合理手段。

7. 数据保留

根据 PDPA 的保留限制义务,我们仅在实现收集目的或法律要求的必要时间内保留个人数据:

  • 咨询与沟通记录:自最后一次互动起最多保留 24 个月,之后将被匿名化或删除。
  • 账号数据(收藏、浏览历史):保留至账号删除或连续 24 个月不活跃。
  • 营销订阅数据:保留至你退订为止。
  • 服务器访问日志:出于安全与滥用检测目的最多保留 90 天。
  • 分析数据:聚合并匿名化;原始事件级数据按 Google Analytics 默认保留 14 个月。
  • 备份:滚动保留 30 天,到期自动失效。

你可以随时通过联系我们的 DPO 要求提前删除。

8. 你在 PDPA 下的权利

根据新加坡《个人数据保护法》,你享有以下权利:

  • 访问权:要求获取我们持有的关于你的个人数据副本。
  • 更正权:要求更正不准确或不完整的个人数据。
  • 撤回同意权:全部或部分撤回对收集、使用或披露你个人数据的同意。
  • 数据可携权(在适用即将生效的 PDPA 修订时)。
  • 投诉权:向新加坡个人数据保护委员会(PDPC)投诉,详见 www.pdpc.gov.sg

如需行使上述任何权利,请发送邮件至我们的数据保护官 [email protected]。我们将依据 PDPA 时限,在 30 个日历日内回应经核实的请求。

9. 撤回同意

你可以随时通过以下方式撤回我们对你个人数据的收集、使用或披露的同意:

  • 发送邮件至 [email protected],主题为"撤回同意"或"Withdraw Consent"。
  • 点击任何营销邮件中的"unsubscribe"链接。
  • 在微信对话中回复"退订"或"STOP"。

我们将在合理时间内处理你的请求(在任何情况下不晚于 30 个日历日)。请注意,撤回同意可能会限制我们为你提供某些服务的能力。在处理撤回之前,我们将告知你可能产生的后果。

10. 数据泄露通知

根据 PDPA 的数据泄露通知义务(PDPA 第 6A 部分),若发生须通报的数据泄露事件,我们将:

  • 通知个人数据保护委员会(PDPC):在事件被评估为须通报后,尽快且在任何情况下不晚于 3 个日历日内通报。
  • 通知受影响个人:当泄露可能对个人造成重大伤害时,尽快告知受影响个人,提供泄露性质、涉及数据及建议缓解措施等信息。
  • 内部记录与调查:对事件进行记录与调查以防止再次发生。

如你认为发生了数据泄露或你的数据可能已被泄露,请立即通过 [email protected] 联系我们的 DPO。

11. 未成年人

我们的服务面向 18 岁及以上的成年用户。我们不会在未经父母或法定监护人同意的情况下,故意收集 18 岁以下未成年人的个人数据。若家长 / 监护人发现未成年子女在未经同意的情况下向我们提交了个人信息,请通过 [email protected] 联系我们删除。

12. Cookie 使用

小坡岛使用以下 Cookie 类别:

  • 严格必要 Cookie:网站正常运行所需(如会话、语言、安全)。
  • 分析 Cookie:Google Analytics 4 / Google Tag Manager — 用于测量汇总的流量模式。

你可以在浏览器中拒绝 Cookies,但某些功能可能无法正常运行。继续浏览本网站而不更改 Cookie 设置即表示你同意上述使用方式。

13. 数据保护官(DPO)

根据 PDPA 第 11(3) 条,XPD TECHNOLOGY PTE. LTD. 已指定数据保护官,负责确保我们在 xiaopodao.com 的合规:

你可就涉及个人数据收集、使用、披露或保护的任何事宜(包括访问请求、更正请求、撤回同意、投诉及数据泄露报告)联系我们的 DPO。

14. 本政策的更新

我们会不定期更新本政策,重大调整会通过站内公告、邮件等方式通知你。请定期访问本页面了解最新版本。任何修订后,我们将更新本页面顶部的"最近更新"日期。

15. 联系方式

注册主体:XPD TECHNOLOGY PTE. LTD.(新加坡),运营品牌为小坡岛。

一般咨询:

数据保护事宜(访问、更正、撤回、投诉、泄露):