Hashee 把信任作为产品的第一性能力——这是我们做端到端加密 + 数据主权
的根本动机。本页汇总平台的合规承诺、数据流向、隐私边界、运营透明度。
公司与司法管辖
| 维度 | 内容 |
|---|
| 公司注册地 | 新加坡 |
| 法律实体 | Hashee Pte. Ltd. |
| 主要数据 region | 全球(Cloudflare edge + Neon Postgres + R2 object storage) |
| 服务范围 | 全球,不含中国大陆 |
| DPO / Privacy 联系 | privacy@hashee.ai |
| 法务 / 合规联系 | legal@hashee.ai |
数据主权与盲管道承诺
核心承诺:Hashee 后端永远看不到用户消息明文 / 私钥 / 解密后的内容。
用户消息明文 → 客户端 (Mobile / Desktop / Agent runtime)
├─ 客户端加密管线 (Layer 1-5 / Layer 1-3)
密文 + 元数据 → Hashee 后端 (Neon / R2 / Workers / KV)
后端可见 vs 不可见 全表见 E2EE 规范 §“后端可见 vs 不可见”。
强制机制(不只是承诺)
我们在代码 + CI 层面机械强制盲管道:
| 强制 | 位置 | 含义 |
|---|
e2ee-invariants CI job | .github/workflows/ci.yml | 任何 PR 引入 prohibited identifier(如 encryptH2H / decryptH2H / 旧版 wire literal)→ 自动 fail |
decrypt / decipher 后端禁用 | apps/api/, apps/queue-consumer/, apps/cron/, packages/internal/ | grep 任何 decrypt 字符串 → CI fail |
grant_access_log_block_mutations trigger | Postgres migration 0014 | DB 层强制 grant 访问日志 append-only(UPDATE / DELETE 都被 trigger 拦截) |
admin_audit_records_block_mutations trigger | migration 0015 | admin 审计日志同样 append-only |
| Mobile facade 强制 | apps/mobile/src/{hooks,screens,stores,components}/ 禁直 import L1-5 crypto | CI 阻断 |
| AAD-bound encryption | 全平台强制 encryptContent(cek, plaintext, aad) 3-arg 形式 | CI 阻断 2-arg 旧用法 |
详见 E2EE 规范 §“强制总览”。
数据保留政策
| 数据 | 保留 | 触发清理 |
|---|
用户消息密文(messages 表 metadata + R2 加密 payload) | 与 H2A 关系生命周期同 | 关系撤销 → 7 天后清理 |
| Grant access log(每次 Agent 读用户数据) | append-only,永不删 | — |
Admin 审计日志(admin.* actions) | append-only,永不删 | — |
| Webhook delivery log | 30 天 | 每日 cron sweep |
| Agent private key | 后端从不持有 | n/a |
| 用户账号(注销后) | 24 小时硬删 | 用户主动注销 |
| 设备 token / session | 30 天(refresh token TTL) | 自然过期 |
| Stripe / 计费数据 | 法定保留期(按司法管辖) | 法律要求 |
详见 Agent 开发者平台规范 §“数据保留”。
用户的 4 项核心权利
| 权利 | 用户可做 | Agent 开发者必须配合 |
|---|
| 访问权 (Right of Access) | 在 Hashee app 申请导出本人和 Agent 的所有交互记录 | 业务侧提供”导出我和你的交互记录” tool |
| 删除权 (Right to Erasure) | 撤销 H2A 关系 / 撤销 grant / 删除账号 | 收到 relation.revoked / grant.revoked 后清理本地数据 |
| 可携带权 (Right to Portability) | 申请导出可机读格式(JSON + Markdown) | 业务侧提供导出能力 |
| 更正权 (Right to Rectification) | 修改 profile 字段 | n/a(数据是用户的,平台不改) |
子处理方 (Sub-processors)
| 子处理方 | 处理内容 | 数据类型 |
|---|
| Cloudflare(Workers / R2 / KV / Pages / Email Service) | API / object storage / cache / static hosting / outbound email | 密文消息 + 元数据 |
| Neon(Postgres) | Database | 元数据(用户、关系、grant、审计) |
| Stripe | 支付(V2 marketplace) | 计费数据 |
| Cloudflare Turnstile | 注册 / 登录人机验证 | IP + session |
所有子处理方均不可读消息明文(Cloudflare Email Service 仅发送系统通知如”新设备登录”,
不涉及用户对话)。
业务连续性
| 项 | 实现 |
|---|
| Uptime SLA | V1 内测期 best-effort;V2 公开 99.9% SLA |
| Status page | status.hashee.ai(V1.1 上线,目前可关注 @hashee_status 邮件 list) |
| Incident communication | 重大事件通过 system Agent 推送 + status page 公告 |
| Disaster recovery | Cloudflare 多 region + Neon point-in-time recovery |
| Data residency | V1 全球;V2 marketplace 提供 region pin(如 EU-only) |
第三方审计
| 审计 | 状态 |
|---|
| E2EE 加密栈(Layer 4 Ratchet + Layer 5 X3DH) | V1:内部审计 GO;外部审计 V1.1 路线(vendor TBD:Trail of Bits / NCC Group / Cure53) |
| SOC 2 Type II | V2 路线,启动后 12-18 个月 |
| ISO 27001 | V2 路线 |
| GDPR 合规审查 | V1 内部 self-attestation;V2 外部律所审 |
| 渗透测试 | V1.1 季度 |
合规标准 cross-walk
| 标准 | Hashee 当前对齐 |
|---|
| GDPR (EU) | ✓ 数据主权设计 + 用户控制 + DPO 联系 |
| CCPA (California) | ✓ 数据访问 / 删除 / 退出销售(n/a — 我们不卖数据) |
| HIPAA (US Healthcare) | 设计兼容但无 BAA(V2 评估) |
| FedRAMP | 不适用 |
| PCI-DSS | 由 Stripe 处理(我们不存 PAN) |
报告问题 / 接触我们
政策文档
相关页面