隐私政策

序言和定义

本文件（"政策"）既是 PanicVPN 服务（"服务"、"运营方"、"我们"）的公开要约，也是数据处理政策。注册账户、支付订阅或任何实际使用本服务的行为，均构成用户对本政策在使用时生效版本中所有条款的无条件接受。

定义。 "账户" — 服务中的用户记录。"订阅" — 有效的付费或试用套餐。"余额" — 账户的内部计量数值，用于支付订阅及服务内其他操作。"内容" — 用户通过 VPN 隧道传输的任何数据。

我们处理的数据

我们遵循数据最小化原则。仅处理以下有限的数据集：

2.1 账户识别数据。

• 用户名（登录名）；
• Telegram 识别码以及 Telegram Login 小部件提供的公开字段；
• 密码的加密哈希（bcrypt）——明文密码从不存储；
• 界面偏好设置（语言、主题、通知设置）。

2.2 账单数据。

• 订阅历史记录（套餐、期限、状态）；
• 余额操作（充值、扣款、调整）；
• 由支付提供方传递的内部交易标识符。运营方从不接收或存储银行卡号或钱包凭证。

2.3 DNS 基础设施遥测。 本服务运行自有的 DNS 解析器。在 DNS 层面，仅记录聚合且匿名化的域名请求流——不与任何账户、IP 地址、会话时间戳或任何其他直接或间接识别信息相关联。在架构上无法将 DNS 查询与特定用户关联。

零日志承诺

本服务基于零日志架构构建。运营方不生成、收集、存储，也不具备技术能力获取：

• VPN 连接日志；
• VPN 隧道内的用户活动日志；
• 与特定账户相关联的网站、URL 或目标地址；
• 按用户细分的流量数据；
• 用户使用 VPN 时的真实 IP 地址；
• 可用于识别用户身份的会话元数据。

处理目的

第 2 节中的数据仅用于：

• 服务访问和身份验证；
• 订阅核算和余额管理；
• 通过 Telegram 发送服务通知；
• 防范欺诈和暴力破解尝试；
• 确保可用性和性能。

向第三方披露

5.1 我们不会出于商业目的向第三方出售、交换或转让用户数据。

5.2 我们不进行用户画像或行为广告。

5.3 由于零日志架构（第 3 节），运营方客观上不掌握用户在 VPN 隧道内的活动数据。任何此类数据请求都无法被满足，因为相关信息根本不存在。

5.4 §2.1–2.2 中列出的最低必要技术数据仅在对应功能所需范围内传输给以下处理方：Telegram（认证、通知）；SeverPay / CryptoBot / Telegram Stars（支付）；PanicVPN-panel（VPN 订阅配置）。

存储与安全

6.1 账户数据存储在受保护的 PostgreSQL 数据库中。敏感字段（令牌、恢复短语、集成密钥）使用 AES-256-GCM 加密。密码以 bcrypt 哈希形式存储，无法逆向还原。

6.2 基础设施访问受到限制，并通过多因素认证、权限分离和管理员审计加以保护。已部署 CSP、CSRF 防护、速率限制、会话隔离以及对受损会话的强制终止。

6.3 存储期限仅限于生产必要性。已过期的订阅及相关匿名化技术遥测数据将按计划自动删除。

6.4 没有任何互联网服务能够保证绝对的安全。运营方对因用户设备被入侵、用户因自身过错导致凭证泄露或服务基础设施之外的第三方行为所引发的事件不承担责任。

可接受的使用与用户责任

7.1 唯一的技术限制：禁止传输 torrent / P2P 流量。该限制通过流量特征分析实施，不检查载荷内容，也不与账户关联。违反将导致限制访问或终止服务，且不予退款。

7.2 除 §7.1 外，本服务不限制所传输流量的方向或内容。用户自行决定其网络活动的目的和性质。

7.3 本服务是加密和流量路由的技术工具，并非用户通信的当事方。用户独自且全权负责其行为与适用法律的符合性。运营方不充当用户流量的编辑者、监管者或分类者；鉴于零日志架构，对其性质不知情；不评估用户行为的合法性；并对因使用本服务而产生的用户或第三方任何直接、间接、附带、惩罚性或其他损害不承担责任。

7.4 本服务不设最低年龄限制，对所有人开放。该使用是否符合对用户适用的法律，责任完全由用户本人或其法定代理人承担。

7.5 通过注册，用户确认其具有签订本协议所需的法律行为能力，且使用本服务不会违反其对第三方的义务。

运营方权利

使用本服务即表示用户承认运营方对服务、账户、订阅和余额拥有完整的运营、技术和商业管理权。运营方有权在任何时候、无需事先通知或说明理由：

• 更改、暂停、延期、限制、重新签发或终止任何订阅；
• 封禁、冻结、激活、停用、删除、合并、重命名或重新归属账户；
• 更改任何套餐下可用位置的组成、数量和特性，包括添加和移除位置而不重新计算已付费期间的费用；
• 更改套餐的价格、时长、限制和其他参数；引入、修改或终止促销代码、奖励、推荐计划和其他营销机制；
• 全权管理账户余额——存入、扣减、更正、重新计算、冻结、清零——用于账单、技术错误纠正、防欺诈及其他生产目的。内部余额是条件性的会计单位，并非民事流转意义上运营方的金钱义务；
• 限制、暂停或拒绝对未使用的订阅期间进行退款；
• 更改多跳路由、协议版本，将负载转移至备用节点，以及执行其他技术工作；
• 实施计划内和计划外的维护；
• 运营方有权根据自身判断拒绝向任何用户或类别用户提供服务或终止其服务；
• 随时通过发布新版本对本政策进行修改。

免责声明与责任限制

9.1 本服务按"现状"和"可用状态"提供。运营方不保证不间断、无错误的运行；不保证特定的速度、延迟或可用性指标；不保证适合用户的特定目的；亦不保证与任意软件和第三方服务的兼容性。

9.2 在适用法律允许的最大范围内，运营方的总累计责任不超过用户在产生责任事由的当月就当前订阅实际支付的金额。

9.3 在任何情况下，运营方均不对利润损失、声誉损害、用户数据丢失或其他间接损害承担责任。

用户权利

• 请求查阅关于其本人所存储的数据组成（用户名、Telegram ID、订阅历史、余额操作历史）；
• 要求删除账户；身份识别数据将被擦除，有效订阅将被终止，剩余余额将被作废且不予退款；
• 通过停止使用本服务并删除账户来撤回数据处理同意；
• 通过个人中心设置取消订阅 Telegram 服务通知。

请求通过官方支持渠道提交。运营方可建立合理的身份验证程序，以防止针对账户的未经授权的请求。

Cookie 与本地存储

本服务仅使用严格必要的 Cookie 和 localStorage，用于维持会话、保存用户偏好（语言、主题、字体）以及防范 CSRF 攻击。不使用第三方网络的广告、行为和跟踪 Cookie。

跨境处理

本服务的基础设施分布在多个司法管辖区。通过使用本服务，用户同意在其居住国之外的服务器上处理和存储最低必要数据（第 2 节）。

争议解决

13.1 在采取其他程序之前，用户应通过官方渠道向运营方支持团队提交投诉。运营方将在合理期限内审查该投诉。

13.2 通过协商未能解决的争议，应在运营方所在地解决，除非适用法律的强制性规定另有明确规定。

变更与联系

本政策的当前版本发布在本服务的网站上，并标明最后更新日期。重大变更还会通过官方 Telegram 频道公告。在发布新版本后继续使用本服务，即视为用户接受该版本。

联系方式。 官方 Telegram 支持 — @lottman.