Privacy Policy

Effective Date: 29 January 2026

Last Updated: 29 January 2026

AequiLex ("we", "us", "our") operates this service and is the data controller for your personal information. This Privacy Policy explains how we collect, use, disclose, and protect your personal data in compliance with the Personal Data (Privacy) Ordinance (Cap. 486) of Hong Kong ("PDPO"). By using our service, you agree to the practices described in this policy.

1. Data Collection & Storage

We collect and store both personal data (data that identifies you) and non-personal data (data that does not identify you):

Personal Data we store:

Authentication Data: Email address, user ID, and authentication tokens from OAuth Provider.
Payment Data: Credit card details and transaction history (if you subscribe to a paid plan).

Non-Personal Data we store:

Conversations: Your legal research queries, AI-generated responses, and conversation titles (unless you include identifying information about yourself or others in your queries).
Usage Analytics: Token counts, query volumes, system performance metrics.
Local Storage & Cookies: Your browser's localStorage is used to maintain authentication sessions. The authentication system may set essential cookies as needed for proper functioning. Cookies are not intentionally used for tracking or analytics purposes, though third-party services may set their own necessary cookies.

2. Personal Information Collection Statement (PICS)

In accordance with Hong Kong's Personal Data (Privacy) Ordinance (Cap. 486), we provide the following information about our collection of your personal data (data from which your identity can be ascertained):

Purpose of Collection: Your personal data is collected for: (a) account creation and authentication, (b) providing access to the service, (c) processing payments and billing (if applicable), and (d) complying with legal obligations.
Classes of Personal Data: We collect: email address, OAuth authentication tokens, user ID, and payment information (credit card details, transaction history - if you subscribe).
Transfer of Personal Data: Your personal data will be transferred to: authentication service providers (for OAuth login), cloud infrastructure providers (for database hosting), and payment processors (if you subscribe). See "Cross-Border Data Transfers" section for details.
Your Rights: You have the right to request access to and correction of your personal data. You may also request deletion of your data, subject to our legal retention obligations. Requests can be made to info@aequilex.io.
Voluntary/Mandatory: Providing an email address for account creation is mandatory. Payment information is only required if you choose to subscribe to a paid plan.
Consequences of Non-Provision: If you do not provide an email address, we will be unable to create your account or provide the service to you.

3. Non-Personal Data

The service also collects and processes data that is not personal data under the PDPO, as it does not directly or indirectly identify you:

Legal research queries: Your questions and search terms (unless you include your own personal information in them).
Conversation content: AI-generated responses and your research conversations (unless you include identifying information).
Usage metrics: Token counts, query volumes, system performance data.

Important: If you include personal information about yourself or others in your queries (e.g., names, ID numbers, confidential case details), such content becomes personal data subject to PDPO. We recommend you avoid including confidential or identifying information in your legal research queries.

Non-personal data may be used for system improvement, analytics, and service optimization without the restrictions applicable to personal data under PDPO.

4. Personal Data (Privacy) Ordinance Compliance

This service complies with Hong Kong's Personal Data (Privacy) Ordinance (Cap. 486) ("PDPO"). We collect and process personal data in accordance with the six Data Protection Principles:

Purpose & Collection (DPP1): Personal data is collected for the lawful purpose of providing legal research services and is collected fairly with your knowledge through account creation and service usage.
Accuracy & Retention (DPP2): We take practicable steps to ensure data accuracy and retain personal data only as long as necessary for service provision and legal obligations.
Use of Data (DPP3): Personal data is used only for the purposes stated in our Personal Information Collection Statement or directly related purposes. You agree that data which is not Personal Data within the definition under PDPO may be used by the service provider to improve the system.
Security (DPP4): We implement appropriate technical and organizational measures, such as Row Level Security in our database and restricted database access except only for technical tasks, to protect personal data against unauthorized access, processing, erasure, loss, or use.
Information to be Generally Available (DPP5): We maintain transparent policies about our data handling practices.
Access to Personal Data (DPP6): You have rights to access, correct, and object to processing of your personal data as detailed below.

5. Your Data Rights

Under the PDPO, you have the right to:

Request access to your personal data held by us.
Request correction of inaccurate personal data.
Object to processing of your personal data.
Request deletion of your personal data (subject to legal retention requirements).
Receive reasons if any request is refused.
Lodge a complaint with the Privacy Commissioner for Personal Data if you believe your rights have been violated.

6. Data Access & Correction Request Procedures

To exercise your right to access or correct your personal data, please submit a written request to info@aequilex.io with:

Your full name and account email address.
Specific details of the personal data you wish to access or correct.
Proof of identity (copy of HKID card or passport).
For correction requests, the proposed amendments and supporting documentation.

Processing Time: We will respond to your request within 40 days of receiving all necessary information and verification documents.

Fees: For data access requests, we may charge a reasonable fee not exceeding HK$200 to cover our administrative costs. Correction requests are generally processed free of charge. We will inform you of any applicable fees before processing your request.

Refusal: If we refuse a data access or correction request (wholly or partially), we will provide written reasons and inform you of your right to complain to the Privacy Commissioner.

7. Data Retention

We retain your data for the following periods:

Active account data: Retained while your account is active.
Conversations: Stored indefinitely unless you delete them manually.
Deleted conversations: Permanently removed from our systems within 30 days.
Account deletion: All personal data purged within 90 days of account deletion request.
Usage logs: Retained for up to 12 months for system monitoring and debugging.

You can delete individual conversations or your entire account at any time through the account settings.

8. Cross-Border Data Transfers

In accordance with Section 33 of the PDPO, we inform you that your personal data will be transferred to jurisdictions outside Hong Kong for processing:

Authentication Service Providers (OAuth):

Personal Data Classes Transferred: Email address, OAuth authentication tokens, user ID.
Purpose: Account authentication and login services.
Safeguards: Industry-standard OAuth 2.0 security, encryption in transit and at rest, contractual data protection obligations.

Cloud Infrastructure Providers (Cloudflare D1):

Personal Data Classes Transferred: Email address, user ID, authentication tokens.
Purpose: Database hosting and application infrastructure.
Safeguards: SOC 2 Type 2 certified, AES-256 encryption at rest, TLS encryption in transit, row-level security policies, contractual data processing agreements.

Payment Processors (Stripe - if applicable):

Personal Data Classes Transferred: Email address, payment information, transaction details.
Purpose: Processing subscription payments.
Safeguards: PCI-DSS Level 1 certified (highest security standard for payment processors), SOC 1/SOC 2 certified, encryption in transit and at rest, contractual data protection obligations.

Non-Personal Data Transfers: Your legal research queries and conversation content are processed by AI service providers including Google LLC (Gemini API), located in the United States and other jurisdictions. These are generally not personal data unless you include identifying information about yourself or others.

Your Consent: By using this service, you expressly consent to these cross-border transfers of personal data. You acknowledge that the data protection standards in these jurisdictions may differ from Hong Kong's requirements, but we ensure reasonable contractual and technical safeguards are in place.

Transfer Security: All transfers are conducted using encrypted channels (TLS/HTTPS). We require all third-party processors to implement appropriate security measures and use your data only for the purposes specified.

9. Security Measures

We implement commercially reasonable security measures to protect your personal data, including:

Encryption of data in transit (HTTPS/TLS) and at rest.
Row-level security policies in our database to isolate user data.
Restricted database access limited to essential technical operations.
Regular security assessments and monitoring for unauthorized access.
Secure authentication through trusted OAuth providers.

However, no internet transmission is completely secure. While we strive to protect your data, we cannot guarantee absolute security. You acknowledge the inherent security risks of internet services.

10. Data Breach Notification

In the event of a data breach affecting your personal information, we will notify you and relevant authorities as required by Hong Kong law, typically within 72 hours of becoming aware of the breach. Notifications will include the nature of the breach, affected data, and steps we're taking to address it.

11. Direct Marketing

We currently do not use your personal data for direct marketing purposes. Should we wish to use your personal data (including your name and email address) for direct marketing of our services in the future:

We will obtain your written consent before using your data for such purposes.
You will be clearly informed of what data will be used and for which products/services.
You can opt-out or withdraw consent at any time free of charge.
We will not provide your data to third parties for their direct marketing without your separate consent.

If you receive any marketing communications from us that you did not consent to, please contact info@aequilex.io immediately.

12. Children's Privacy

This service is intended for use by legal professionals, researchers, and law students who are at least 18 years of age. We do not knowingly collect personal data from individuals under 18 years old.

If you are under 18, you must not use this service or provide any personal information to us. If we discover that we have inadvertently collected personal data from a person under 18, we will delete that information promptly.

13. Consent & Withdrawal

By creating an account and using this service, you provide your explicit consent to the collection, use, and processing of your personal data as described in this policy. For first-time users, you will be prompted to explicitly agree to these terms before accessing the service.

You may withdraw your consent at any time by contacting us or deleting your account, though this may limit your ability to use the service.

14. Changes to This Privacy Policy

We may update this Privacy Policy from time to time to reflect changes in our practices, legal requirements, or service features. When we make material changes, we will:

Update the "Last Updated" date at the top of this policy.
Notify you via email to your registered account email address.
Display a prominent notice on the service homepage or within your account dashboard.
For significant changes affecting your rights, we may require your explicit re-consent.

Your continued use of the service after notification of changes constitutes acceptance of the updated Privacy Policy. If you do not agree to the changes, you should discontinue use and may delete your account.

15. Contact for Privacy Matters

For privacy-related inquiries, data access requests, or to exercise your rights under the PDPO, contact: info@aequilex.io

私隱權政策

生效日期： 2026年1月29日

最後更新： 2026年1月29日

AequiLex（下稱「我們」）負責營運本服務，並作為您個人資料的資料控制者。本隱私權政策旨在說明我們如何依據香港法例第486章《個人資料（私隱）條例》（PDPO）收集、使用、披露及保護您的個人資料。使用本服務即代表您同意本政策所述之實務。

1. 資料收集與儲存

我們收集並儲存個人資料（可識別您身分的資料）及非個人資料（無法識別您身分的資料）：

我們儲存的個人資料：

驗證資料： 電郵地址、用戶 ID 及來自 OAuth 提供者的驗證權杖。
付款資料： 信用卡詳情及交易紀錄（如您訂閱付費方案）。

我們儲存的非個人資料：

對話內容： 您的法律研究查詢、AI 生成的回應及對話標題（除非您在查詢中包含了可識別您或他人身分的資訊）。
使用分析： Token 計數、查詢量、系統效能指標。
本地儲存與 Cookies： 瀏覽器的 localStorage 用於維持登入狀態。系統可能會設定必要的 Cookies 以確保運作正常，但不會刻意用於追蹤或分析。

2. 個人資料收集聲明 (PICS)

依據《個人資料（私隱）條例》，我們提供以下關於收集您個人資料的資訊：

收集目的： (a) 帳戶建立與驗證；(b) 提供服務存取權；(c) 處理付款與帳單；(d) 遵守法律義務。
資料類別： 電郵地址、OAuth 權杖、用戶 ID 及付款資訊。
資料轉移： 資料將轉移至：驗證服務供應商、雲端基礎設施供應商及付款處理商。詳情請見「跨境資料轉移」章節。
您的權利： 您有權要求查閱及更正您的個人資料，亦可要求刪除資料（受限於法律保留義務）。請聯繫 info@aequilex.io。
自願/強制性： 提供電郵地址以建立帳戶為強制性。付款資訊僅在訂閱付費方案時需要。
不提供的後果： 如不提供電郵地址，我們將無法為您建立帳戶或提供服務。

3. 非個人資料

本服務亦會收集及處理不屬於 PDPO 定義下之個人資料的數據：

法律研究查詢： 您的問題與搜尋關鍵字。
對話內容： AI 回應及您的研究對話。

重要提示： 如您在查詢中包含關於您自己或他人的個人資料（如姓名、身分證號、機密案件詳情），該等內容將成為受 PDPO 規範的個人資料。我們強烈建議您避免在法律研究查詢中包含機密或可識別身分的資訊。

4. 符合《個人資料（私隱）條例》規定

本服務遵守香港《個人資料（私隱）條例》（第486章）。我們依據六項保障資料原則收集及處理資料：

目的及收集 (DPP1)： 合法且公平地收集資料。
準確性及保留 (DPP2)： 採取切實可行步驟確保準確性，且僅在必要期間內保留。
資料使用 (DPP3)： 僅用於 PICS 所述之目的。
保安 (DPP4)： 實施資料庫列級安全 (RLS) 及限制存取權限。
公開資訊 (DPP5)： 保持政策透明。
查閱資料 (DPP6)： 您擁有查閱、更正及反對處理的權利。

5. 您的資料權利

根據 PDPO，您有權要求查閱、更正、反對處理及刪除您的個人資料。

6. 資料查閱及更正程序

如需行使權利，請以書面形式發送至 info@aequilex.io。我們將在 40 天內回覆。查閱要求可能收取不超過 HK$200 的行政費。

7. 資料保留

活躍帳戶資料： 帳戶活躍期間保留。
已刪除對話： 30 天內從系統永久移除。
帳戶刪除： 要求後 90 天內清除所有個人資料。

8. 跨境資料轉移

依據 PDPO 第 33 條，您的資料將轉移至香港以外地區進行處理，包括 OAuth 驗證（Google）、雲端託管（Cloudflare）及 AI 處理（Google Gemini, 美國）。使用本服務即代表您明確同意此類轉移。

9. 保安措施

我們採用 HTTPS/TLS 加密、資料庫列級安全 (RLS) 及嚴格的存取控制來保護您的資料。

10. 資料外洩通知

如發生資料外洩，我們將在知悉後 72 小時內通知您及相關機構。

11. 直接促銷

我們目前不會將您的資料用於直接促銷。如未來有此需求，我們必先取得您的書面同意。

12. 兒童隱私

本服務僅供 18 歲或以上人士使用。

13. 變更通知

重大變更將透過電郵通知及網站公告發布。

14. 聯絡方式

隱私相關查詢：info@aequilex.io

隐私权政策

生效日期： 2026年1月29日

最后更新： 2026年1月29日

AequiLex（以下简称“我们”）运营本服务，并作为您个人信息的数据控制者。本隐私权政策旨在说明我们如何依据香港法例第486章《个人资料（私隐）条例》（PDPO）收集、使用、披露及保护您的个人资料。使用本服务即代表您同意本政策所述之实务。

1. 数据收集与存储

我们收集并存储个人数据（可识别您身份的数据）及非个人数据（无法识别您身份的数据）：

我们存储的个人数据：

验证数据： 电子邮件地址、用户 ID 及来自 OAuth 提供商的验证令牌。
支付数据： 信用卡详情及交易记录（如您订阅付费方案）。

我们存储的非个人数据：

对话内容： 您的法律研究查询、AI 生成的回复及对话标题（除非您在查询中包含了可识别您或他人身份的信息）。
使用分析： Token 计数、查询量、系统性能指标。
本地存储与 Cookies： 浏览器的 localStorage 用于维持登录状态。系统可能会设置必要的 Cookies 以确保运作正常，但不会刻意用于追踪或分析，尽管第三方服务可能会设置其必要的 Cookies。

2. 个人资料收集声明 (PICS)

依据香港《个人资料（私隐）条例》（第486章），我们提供以下关于收集您个人资料（可确定您身份的数据）的信息：

收集目的： 您的个人资料用于：(a) 账户创建与验证；(b) 提供服务访问权；(c) 处理付款与账单（如适用）；(d) 遵守法律义务。
个人资料类别： 我们收集：电子邮件地址、OAuth 验证令牌、用户 ID 及支付信息（信用卡详情、交易记录——如您订阅）。
个人资料转移： 您的个人资料将转移至：验证服务提供商（OAuth 登录）、云基础设施提供商（数据库托管）及支付处理商（如订阅）。详情请见“跨境数据转移”章节。
您的权利： 您有权要求查阅及更正您的个人资料。您亦可要求删除资料，但受限于我们的法律保留义务。请求可发送至 info@aequilex.io。
自愿/强制性： 提供电子邮件地址以创建账户为强制性。支付信息仅在选择订阅付费方案时需要。
不提供的后果： 如不提供电子邮件地址，我们将无法为您创建账户或提供服务。

3. 非个人数据

本服务亦会收集及处理在 PDPO 定义下不属于个人资料的数据，因为它们无法直接或间接识别您的身份：

法律研究查询： 您的提问与搜索关键词（除非您在其中包含了自己的个人信息）。
对话内容： AI 生成的回复及您的研究对话（除非您包含了识别信息）。
使用指标： Token 计数、查询量、系统性能数据。

重要提示： 如您在查询中包含关于您自己或他人的个人信息（如姓名、身份证号、机密案件详情），该等内容将成为受 PDPO 规范的个人资料。我们建议您避免在法律研究查询中包含机密或可识别身份的信息。

非个人数据可用于系统改进、分析及服务优化，而不受 PDPO 对个人资料的限制。

4. 符合《个人资料（私隐）条例》规定

本服务遵守香港《个人资料（私隐）条例》（第486章）（“PDPO”）。我们依据六项保障资料原则收集及处理个人资料：

目的及收集 (DPP1)： 个人资料是为提供法律研究服务的合法目的而收集，并通过账户创建和服务使用在您知情的情况下公平收集。
准确性及保留 (DPP2)： 我们采取切实可行步骤确保数据准确性，且仅在服务提供及法律义务所需期间内保留个人资料。
数据使用 (DPP3)： 个人资料仅用于我们的个人资料收集声明中所述之目的或直接相关目的。您同意 PDPO 定义下的非个人资料可由服务提供商用于改进系统。
保安 (DPP4)： 我们实施适当的技术和组织措施，如数据库中的行级安全 (RLS) 及仅限技术任务的数据库访问限制，以防止个人资料被未经授权的访问、处理、删除、丢失或使用。
资讯须在一般情况下可供取用 (DPP5)： 我们对数据处理实务保持透明政策。
查阅个人资料 (DPP6)： 您拥有查阅、更正及反对处理您的个人资料的权利，详见下文。

5. 您的数据权利

根据 PDPO，您有权：

要求查阅我们持有的您的个人资料。
要求更正不准确的个人资料。
反对处理您的个人资料。
要求删除您的个人资料（受限于法律保留要求）。
如任何请求被拒绝，有权获得理由。
如认为您的权利受到侵犯，可向个人资料私隐专员公署投诉。

6. 数据查阅及更正请求程序

如需行使查阅或更正您个人资料的权利，请提交书面请求至 info@aequilex.io，并提供：

您的全名及账户电子邮件地址。
您希望查阅或更正的个人资料的具体详情。
身份证明（香港身份证或护照副本）。
对于更正请求，提供建议的修订及支持文件。

处理时间： 我们将在收到所有必要信息及验证文件后的 40 天内回应您的请求。

费用： 对于数据查阅请求，我们可能会收取不超过 HK$200 的合理费用以支付行政成本。更正请求通常免费处理。在处理您的请求前，我们会告知任何适用费用。

拒绝： 如我们拒绝数据查阅或更正请求（全部或部分），我们将提供书面理由并告知您向私隐专员投诉的权利。

7. 数据保留

我们将按以下期限保留您的数据：

活跃账户数据： 在您账户活跃期间保留。
对话： 无限期存储，除非您手动删除。
已删除对话： 在 30 天内从我们的系统中永久移除。
账户删除： 所有个人资料在账户删除请求后 90 天内清除。
使用日志： 保留最多 12 个月用于系统监控及调试。

您可以随时通过账户设置删除个别对话或整个账户。

8. 跨境数据转移

依据 PDPO 第 33 条，我们特此通知您，您的个人资料将转移至香港以外的司法管辖区进行处理：

验证服务提供商 (OAuth):

转移的个人资料类别： 电子邮件地址、OAuth 验证令牌、用户 ID。
目的： 账户验证及登录服务。
保障措施： 行业标准 OAuth 2.0 安全、传输及静态加密、合同数据保护义务。

云基础设施提供商 (Supabase/Cloudflare):

转移的个人资料类别： 电子邮件地址、用户 ID、验证令牌。
目的： 数据库托管及应用程序基础设施。
保障措施： SOC 2 Type 2 认证、静态 AES-256 加密、传输 TLS 加密、行级安全策略、合同数据处理协议。

支付处理商 (Stripe - 如适用):

转移的个人资料类别： 电子邮件地址、支付信息、交易详情。
目的： 处理订阅付款。
保障措施： PCI-DSS Level 1 认证（支付处理商最高安全标准）、SOC 1/SOC 2 认证、传输及静态加密、合同数据保护义务。

非个人数据转移： 您的法律研究查询及对话内容由 AI 服务提供商（包括 Google LLC 的 Gemini API 及 Novita AI）处理，位于美国及其他司法管辖区。除非您包含关于自己或他人的识别信息，否则这些通常不是个人资料。这些提供商的数据实务受其各自的隐私政策管辖：Google 隐私权政策、Gemini API 条款、Novita AI 隐私权政策。

您的同意： 使用本服务即代表您明确同意上述个人资料的跨境转移。您承认这些司法管辖区的数据保护标准可能与香港的要求不同，但我们会确保实施合理的合同及技术保障措施。

转移安全： 所有转移均通过加密通道 (TLS/HTTPS) 进行。我们要求所有第三方处理商实施适当的安全措施，并仅将您的数据用于指定目的。

9. 保安措施

我们实施商业上合理的安全措施来保护您的个人资料，包括：

传输中 (HTTPS/TLS) 及静态数据的加密。
数据库中的行级安全策略以隔离用户数据。
仅限于必要技术操作的数据库访问限制。
定期安全评估及未经授权访问的监控。
通过受信任 OAuth 提供商的安全验证。

然而，没有任何互联网传输是完全安全的。虽然我们努力保护您的数据，但无法保证绝对安全。您承认互联网服务固有的安全风险。

10. 数据外泄通知

如发生影响您个人信息的数据外泄，我们将按香港法律要求通知您及相关机构，通常在知悉外泄后 72 小时内。通知将包括外泄的性质、受影响的数据及我们采取的应对措施。

11. 直接营销

我们目前不使用您的个人资料进行直接营销。如未来我们希望将您的个人资料（包括您的姓名及电子邮件地址）用于我们服务的直接营销：

我们会在将您的数据用于此类目的前获得您的书面同意。
我们将清楚告知将使用什么数据以及用于哪些产品/服务。
您可以随时免费选择退出或撤回同意。
未经您单独同意，我们不会将您的数据提供给第三方用于其直接营销。

如您收到任何未经您同意的营销通讯，请立即联系 info@aequilex.io。

12. 儿童隐私

本服务仅供年满 18 岁的法律专业人士、研究人员及法律系学生使用。我们不会有意收集 18 岁以下人士的个人资料。

如您未满 18 岁，不得使用本服务或向我们提供任何个人信息。如我们发现无意中收集了未满 18 岁人士的个人资料，我们将立即删除该信息。

如您是家长或监护人并认为您的孩子向我们提供了个人信息，请联系 info@aequilex.io 以便我们删除该信息。

13. 同意与撤回

通过创建账户及使用本服务，您明确同意按本政策所述收集、使用及处理您的个人资料。对于首次使用的用户，您将在访问服务前被提示明确同意这些条款。

您可以随时通过联系我们或删除账户来撤回您的同意，但这可能会限制您使用本服务的能力。

14. 本隐私权政策的变更

我们可能会不时更新本隐私权政策以反映我们的实务、法律要求或服务功能的变化。当我们做出重大变更时，我们将：

更新本政策顶部的“最后更新”日期。
通过电子邮件通知您的注册账户。
在服务主页或您的账户仪表板中显示显著通知。
对于影响您权利的重大变更，我们可能需要您明确重新同意。

您在收到变更通知后继续使用本服务即构成接受更新后的隐私权政策。如您不同意变更，应停止使用并可删除您的账户。

15. 隐私事宜联络

有关隐私的查询、数据查阅请求或行使 PDPO 下的权利，请联系：info@aequilex.io