隐私监管合规

小技巧

Weblate 提供严格的数据最小化、完整的数据所有权、细粒度的访问控制允许组织在 GDPR、DPDPA、PIPL 等隐私框架内运作。所有托管和合规职责完全保持在部署机构的控制下。

本文档概述 Weblate 如何支持符合下列监管框架：

• 欧盟通用数据保护条例（GDPR）

• 加利福利亚消费者隐私法案（CCPA）

• 巴西通用数据保护法（LGPD）

• 瑞士联邦数据保护法（nFADP）

• 加拿大个人信息保护和电子文档法案（PIPEDA）

• 印度数字个人数据保护法案（DPDPA）

• 中华人民共和国个人信息保护法（PIPL）

隐私准则

数据最小化

Weblate 仅收集对平台运行绝对必需的数据。默认情况下，下列个人数据可能被处理：

• 用户名或真实姓名（用户提供）

• 电子邮件地址（对通知和访问控制是必需的）

• 可选的个人资料元数据（头像、自我介绍）

默认不嵌入遥测、分析、或第三方跟踪。

用户同意和透明度

• Weblate 接口允许对所收集个人数据的完全透明。

• 管理员可在用户注册时提供自定义的隐私政策和同意请求。

• 数据收集仅作为直接用户交互或管理员定义的配置的结果发生。

数据访问和便携性

• 用户可以使用用户界面或 API 导出个人数据和翻译贡献。

• 管理员可应用户所请支持数据便携性，履行数据访问的法律义务。

数据擦除和修正的权利

• Weblate 允许通过用户和管理员界面完全删除用户数据。

• 被删除的用户在整个系统中被移除或匿名化。

• 用户可以通过个人资料界面直接更新或修正个人信息。

数据保留和删除

• 没有超出系统必要性的自动数据持续。

• 本地控制日志和备份；运营方可自行配置删除策略。

• 除非管理员明确配置，否则没有第三方数据分享。

安全性和机密性

• 所有用户交互都需要加密的 TLS（HTTPS）。

• 记录失败的登录、权限更改，以及其他安全事件。

• 可选的 SIEM 集成（通过 GELF）满足审计要求的规定。

• 基于角色的访问控制强制数据访问区分。

跨境传输

• Weblate 本身不执行自动的数据传输。

• 所哟托管和数据驻留均由系统运营方控制。

• 组织可以在特定司法管辖区内托管 Weblate（如欧盟、印度和中国）确保符合数据本地化法律的规定。

监管地图

框架	Weblate 支持
GDPR（欧盟）	最小化、同意、擦除、可审计性、地域性
CCPA（加利福尼亚）	访问、删除、无销售、用户控制
LGPD（巴西）	法律依据、访问、修正、删除
nFADP（瑞士）	目的限制、同意、透明度
PIPEDA（加拿大）	同意、访问、个人权利
DPDPA（印度）	合法处理、同意、通知、用户权利
PIPL（中国）	目的限制、数据最小化、‌地域性

合规建议

• 同意获取：通过 法律组件 在注册期间提供通知和/或明确的同意复选框。

• 展示政策：在 Weblate 用户界面中直接链接到隐私和保留政策，通过 法律组件 或 PRIVACY_URL。

• 审计集成：使用内置审计日志和 GELF 转发来满足强制日志记录要求。

• 数据对象请求：定义手动或自动的流程满足访问、擦除请求。

• 地域性：确保基础设置物理位置按照要求位于目标司法管辖区内。