本说明描述 北溟算域 内测阶段对需求方上传资源、提供方设备数据与运营诊断数据的处理路径,作为隐私政策的补充。
(a) 上传:需求方在浏览器或 API 端发起上传请求;后端为本次上传签发 presigned URL,浏览器/客户端直传至第三期 MinIO 对象桶;后端始终位于第三期内网,外部不可直接访问对象桶。
(b) 清单化(manifest):上传完成后,后端生成任务的 manifest,记录 SHA-256、大小、content_type、文件类别。后端不读取文件正文。
(c) 切片计划(slicing):根据清单生成切片计划(chunk index、byte range),仅描述如何拆分,不在 内测阶段执行真实模型。
(d) 对象存储:上传文件按需求方账号分桶隔离;保留窗口与 Privacy Policy 第 3 条一致(默认 14 天滚动清理)。
(a) 下发:当前阶段仅下发 deterministic cpu_hash_smoke_v1 自检任务,作为流程预热;不下发任何需求方数据。
(b) 结果回传:提供方节点上报任务结果到后端;内测阶段结果由后端做哈希校验,并写入对应的 LedgerEntry(仅作为 alpha 计数)。
(a) 节点身份由桌面客户端在 /nodes/register 调用时生成;节点凭据通过 Windows DPAPI 加密保存在本机,永不上传到平台、永不写入明文配置。
(b) 心跳(约每 7 秒)只上报最小状态:pid、进程存活、最近任务时间;不上报本机硬件指纹、不上报用户身份。
(a) 后端 API 访问日志记录 IP、UA、URL、状态、时间;不记录请求体中的敏感字段(会话凭据 / 密码 / 签名秘密)。
(b) 客户端诊断包仅在用户主动生成时创建;上传前在本机做脱敏(去掉主机名、用户名、用户家目录路径与凭据字面量)。
(a) 后端按 role + scope 控制每个接口的访问权限:node_user 不能调运营接口;customer 不能调 /nodes/register;anonymous 只能访问公开接口。
(b) 桌面客户端的 desktop_login 在 Rust 侧也做 role 检查,只接受 node_user 角色;其他角色直接被拒绝,凭据不写入 DPAPI。
(c) 所有 mutation 都会写入 auth_audit_log,便于审计回溯。
(a) 任务 manifest 与切片计划在任务存续期间保留,任务删除后清理。
(b) 任务上传文件按 Privacy Policy 第 3 条管理(默认 14 天滚动清理)。
(c) 诊断包默认保留 30 天。
(d) 审计日志默认保留 180 天。
您可联系 privacy@c3pool.cn 请求删除特定任务、上传资源或全账号数据。运营人员处理删除请求时也会生成对应的 auth_audit_log 行。
需求方与提供方仅通过任务 ID 关联;提供方无法看到上传资源的明细,需求方无法看到提供方节点的硬件指纹或本机路径。平台后端仅保留运营所必需的元数据,不读取需求方上传文件的内容。
进入生产前还需补充:实际邮件通道、verification flow 完整化、按地理区域的数据驻留控制、对接外部合规审计、对用户内容生成内容的版权 attribution 链路、production-grade 删除验证。
生效日期: 2026-06-20 · 版本: 第三期 v1 · 联系方式: privacy@c3pool.cn