隐私政策

生效日期：2026年4月14日

1. 概述

DupeScan（以下简称"本服务"）是一个用于识别复制 Dota 2 物品的社区驱动工具，从欧盟运营。本政策说明了本服务收集哪些数据、如何使用这些数据以及您拥有哪些控制权。

本服务不会向广告商或数据经纪人出售、出租或共享您的个人数据。本服务使用匿名、无 Cookie 的分析工具来收集汇总的使用数据（例如页面浏览量和一般设备信息）。分析系统不会收集或存储任何个人数据，也不会识别或跟踪任何个人访客。

2. 服务运营方

DupeScan 是由设立于 an European Union member state 的个人运营的独立项目。

与数据相关的大部分问题和请求通过应用内反馈表单处理，该表单在您使用 Steam 账户登录后即可使用。当需要书面记录时——例如正式请求行使第13条所述的权利——也可以通过电子邮件联系运营者：lageliyf.nacsepud

3. 收集数据的性质

本服务旨在尽可能少地收集个人数据。我们存储的数据主要是功能性的——它的存在是为了使服务正常运作，而非建立用户画像或追踪行为。

实际上，Steam 仅与第三方应用程序共享面向公众的标识符——而非私密账户信息、电子邮件地址或凭证。我们接收和存储的是面向公众的 Steam 标识符（Steam ID、显示名称、头像），这些在您的 Steam 个人资料上已经可见。我们将这些用于展示目的（例如，在结果旁显示名称和头像）以及在投票和提交等功能中区分用户。

本服务不会构建广告画像，也不会对单个用户执行任何形式的自动化决策。

4. 处理的法律依据（GDPR 第6条）

根据《欧盟通用数据保护条例》，我们依据以下法律基础处理个人数据：

处理活动	法律依据	说明
身份验证（Steam 登录）	合同/同意	为提供您通过登录所请求的服务所必需
库存检查和缓存	合法利益	本服务的核心功能——检查物品是否被复制。使用的数据在 Steam 上已公开
社区提交和投票	合法利益	社区驱动的验证是本服务的目的。为防止滥用而存储提交者身份
防止滥用（IP 地址）	合法利益	防止滥用、强制执行速率限制以及支持封禁执行。最后一次与您账户关联的 IP 在账户存在期间被保留
反馈表单	同意	您主动选择提交反馈。附带 Steam 显示名称和个人资料 URL 以便运营者跟进
支付处理	合同	处理您发起的购买所必需（Seeing Stone, Credit Pack, Max Watchlist Slots, Max Batch Capacity）。支付数据由外部处理方处理
必要 Cookie	合法利益	身份验证所严格必需——根据电子隐私指令第5条第3款无需同意
匿名分析	合法利益	用于改进服务的汇总匿名使用统计数据。不收集任何个人数据

5. 我们收集的数据

我们收集的数据取决于您与本服务的交互方式。以下是按类别的细分。

5a. 已认证用户（Steam 登录）

当您通过 Steam 登录时，以下数据从 Steam API 获取并存储在我们的数据库中：

数据	来源	目的
Steam ID	Steam OpenID	唯一账户标识符
显示名称	Steam API	在用户界面和排行榜（如选择加入）中显示
头像 URL	Steam API	头像显示
角色	内部派生	决定访问级别和权限
贡献数量	内部派生	追踪已验证提交以进行角色提升
最后登录时间	登录时生成	记录最后登录
账户权限和偏好	内部派生	套餐等级、贡献等级、搜索点数余额、附加解锁、显示偏好、排行榜加入选项。这些都不是敏感数据——它们的存在仅是为了让本服务为您的账户工作
IP 地址	登录请求	防止滥用、强制执行速率限制和封禁检查。在账户存在期间针对账户保留，并在账户删除时移除

5b. 库存检查

当库存被检查时（由您或其他用户检查某个资料时），以下数据在服务器端缓存：

数据	目的
被检查资料的 Steam ID	识别检查了谁的库存
发现的标记物品（物品标识符、名称、图片）	向用户显示结果
检查时间戳	缓存刷新（服务器缓存定期更新）

5c. 社区提交和投票

数据	目的
提交的物品标识符	社区复制数据库
提交者身份（Steam ID）	归属和防止滥用
投票记录（哪个提交、投票方向）	社区验证系统

5d. 匿名访客

数据	目的	存储
IP 地址	匿名搜索的速率限制和防止滥用	在短期速率限制计数器中，每个时间窗口结束后自动过期

5e. 支付

当您购买任何可用的产品（Seeing Stone, Credit Pack, Max Watchlist Slots, Max Batch Capacity）时，将存储以下数据。任何卡号、钱包地址或 KYC 数据均不会接触本服务——运营者从不查看您付款的钱包，仅查看外部处理方返回的通用订单元数据（参见第8条）。

数据	目的
Steam ID	将购买与您的账户关联
购买的产品（Seeing Stone, Credit Pack, Max Watchlist Slots, Max Batch Capacity）	确定成功后授予的内容
美元金额	会计和退款处理
处理方订单 / 发票 / 支付 ID	对账 webhook 回调并追踪争议
支付状态	追踪购买是否已完成、失败或待处理
时间戳	用于会计和欺诈预防的审计记录

6. Cookie

本服务仅使用身份验证所需的必要 Cookie。没有广告或跟踪 Cookie。本服务使用的分析方案完全不使用 Cookie。

Cookie	类型	目的	持续时间
会话令牌	严格必要	加密会话——保持您的登录状态	会话（关闭浏览器时清除）
CSRF 令牌	严格必要	防止跨站请求伪造	会话
回调 URL	严格必要	在 Steam 登录流程中存储重定向 URL	会话

由于所有 Cookie 都是服务运行所严格必要的，根据电子隐私指令，无需 Cookie 同意横幅。不设置任何可选 Cookie。

7. 浏览器存储

本服务使用您浏览器的本地存储和会话存储在您的设备上缓存数据。此数据不会离开您的浏览器，也不会传输到我们的服务器。

内容	目的	过期时间
最近的搜索结果	无需重新获取即可立即访问之前的检查结果	7天（自动清理，最多50条）
批量搜索资料	临时保存用于批量检查的资料列表	会话（关闭标签页时清除）
报告数据	临时保存生成的报告内容以供查看	会话（关闭标签页或5分钟后清除）

您可以随时通过浏览器设置（清除站点数据）清除此数据。

8. 第三方服务

本服务依赖以下第三方提供商。除以下所述范围外，不会共享任何数据。

服务	提供商	共享的数据	目的
Steam Web API	Valve Corporation（美国）	Steam ID	获取玩家资料和库存数据
Web3Forms	Web3Forms（美国）	反馈消息、Steam 显示名称、Steam 个人资料 URL	通过电子邮件将反馈提交转发给运营者
hCaptcha	Intuition Machines Inc.（美国）	浏览器验证数据	反馈表单的机器人防护
NOWPayments	NOWPayments（美国）	订单 ID、订单描述、金额、币种	处理可购买产品的加密货币支付（Seeing Stone, Credit Pack, Max Watchlist Slots, Max Batch Capacity）
Cloudflare	Cloudflare Inc.（美国 / 全球）	所有 HTTP 流量，包括 IP 地址	CDN、DDoS 防护

hCaptcha 有其自己的隐私政策，请访问 hcaptcha.com/privacy。

9. 我们可能披露您数据的情形

除上述第三方服务外，我们可能在以下有限情况下披露您的数据：

法律义务——应有效的法律请求（法院命令、传票或监管要求），且适用法律要求披露。
执行我们的条款——如果我们认为您的行为违反了我们的服务条款，或为保护本服务及其用户的权利、安全或完整性。
紧急情况——如果我们善意地认为披露是防止对某人造成即将发生的严重伤害所必要的。

在所有情况下，披露仅限于必要的最少数据。

10. 国际数据传输

本服务使用的某些第三方服务由位于美国的公司运营：

Valve Corporation（Steam Web API）——处理 Steam ID 以返回公开的个人资料和库存数据。
Web3Forms——接收您选择提交的反馈消息。
Intuition Machines / hCaptcha——在您提交反馈表单时处理浏览器验证数据。
NOWPayments——在您购买任何可购买产品（Seeing Stone, Credit Pack, Max Watchlist Slots, Max Batch Capacity）时处理加密货币支付。
Cloudflare——运营所有发往本服务的流量所经过的网络边缘。

这些传输是提供服务所必需的（GDPR 第49条第1款(b)），并且仅限于所需的最少数据。在适用的情况下，这些提供商维护其自身的数据保护承诺。

11. 公开可见的数据

本服务的目的是帮助 Dota 2 交易社区识别复制物品。为实现这一目的，某些数据是公开可访问的：

社区提交（物品标识符、状态、置信度分数）对所有访客可见。
最近被标记的物品，包括当前所有者的 Steam ID，在网站上列出。
可查看哪些 Steam ID 曾持有特定标记物品的历史记录。
贡献者排行榜仅限选择加入——默认隐藏，您必须明确选择才能显示。

本服务显示的 Steam 个人资料信息（显示名称、头像）是从 Steam API 获取的，在任何 Steam 个人资料页面上已经公开可见。本服务不会将私密的 Steam 数据公开。

12. 数据保留

数据	保留期限	原因
用户账户数据	直到通过个人资料页面请求删除	角色和贡献追踪所需。请求后30天内删除
最后与账户关联的 IP	直到账户删除	用于防止滥用和封禁执行。账户删除时移除
检查结果	无限期	标记物品的历史记录。账户删除时不会被删除
搜索历史（服务器端）	免费账户30天，Pro 账户6个月	记录您搜索了哪些资料及结果。用于重新访问历史结果和防止滥用
监控列表条目及运行历史	直到用户删除或账户删除	存储您监控的资料及每次自动检查的结果。用户可随时删除条目或清除历史记录
社区提交	无限期	本服务的核心数据库。账户删除时提交者身份被匿名化，但物品记录保留
提交投票	无限期	验证完整性。账户删除时匿名化
基于 IP 的速率限制计数器	临时（自动过期）	用于强制执行每个时间窗口限制的计数器；在每个时间窗口后自动过期，从不持久化到长期存储
会话 Cookie	浏览器会话	关闭浏览器时清除
浏览器本地存储缓存	7天	客户端自动清理
反馈（通过 Web3Forms）	按 Web3Forms 政策	转发至电子邮件，不由本服务存储
支付记录	适用税务和会计法律所要求的期间（通常为6–10年，具体取决于成员国），之后删除	法定簿记、退款处理及欺诈预防
运营日志	最多90天	调试和滥用调查。运营日志层在写入之前对其接触的任何 IP 应用不可逆的短哈希——避免在日志中出现原始 IP。针对您账户记录存在的 IP（上文）是单独的、已披露的保留
封禁（IP / Steam ID）	默认无限期；管理员可酌情设定时限	防止滥用。手动移除或到期移除

您可以随时请求删除您的账户数据（请参阅第13条）。

13. 您的权利

根据 GDPR 和适用的数据保护法，您对个人数据享有以下权利：

权利	说明
访问	请求获取我们所持有的您的个人数据的副本。
更正	请求更正不准确的数据。注意：显示名称和头像与 Steam 同步——在 Steam 上更新后将在此反映。
删除	通过个人资料页面请求删除您的账户数据。您的用户记录和账户访问权限将在30天内删除。您为数据库贡献的物品记录将被匿名化但予以保留，因为它们对本服务的功能至关重要。
限制	在解决问题期间，请求限制我们处理您数据的方式。
数据可携带性	从您的个人资料页面以机器可读的结构化格式接收您的数据。导出内容包括您的账户记录、您的提交、您的投票以及您的购买历史。
反对	反对基于合法利益的处理。除非我们有令人信服的理由，否则将停止处理。
撤回同意	在处理基于同意的情况下（例如反馈表单），您可以随时撤回同意。这不影响先前处理的合法性。
监管机构	向您居住地或工作地的 EU/EEA 成员国的数据保护机构提出投诉。

如需行使上述任何权利，请登录并使用应用内反馈表单。如果需要书面记录，第2条中也提供了运营者的电子邮件联系方式。我们将在30天内回复。

服务中可用的控制项

删除账户——从个人资料页面请求删除账户。30天内处理。在此期间您可以通过重新登录来取消。处理完成后，使用同一 Steam 账户重新注册将被永久封禁。
退出登录——结束您的会话并清除身份验证 Cookie。
排行榜可见性——默认隐藏。您必须选择加入才能显示。
清除本地数据——清除浏览器的站点数据以删除缓存的搜索历史。

14. 数据安全

已采取适当的技术和组织安全措施来保护本服务存储的数据。当 GDPR 要求通知个人数据泄露时，运营者将遵循第33条和第34条规定的法定义务。

15. 儿童

本服务不面向13岁以下的儿童（在 GDPR 数字同意年龄为16岁的管辖区为16岁以下）。我们不会故意收集儿童的个人数据。访问本服务需要 Steam 账户，而 Steam 本身要求用户满足 Steam 的最低年龄要求。

16. 本政策的变更

本政策可能不时更新。重大变更将在本页面顶部注明，并附有更新的生效日期。变更后继续使用本服务即构成接受修订后的政策。

17. 联系方式

如有隐私咨询、数据访问请求或行使您在 GDPR 下的任何权利，请使用您的 Steam 账户登录并使用应用内反馈表单。如果您特别需要书面记录（例如来自代表的正式数据请求），也可以通过电子邮件联系运营者：lageliyf.nacsepud

我们将努力在30天内回复所有请求。