AgentSkillsCN

notion-privacy-guide

Notion 隐私政策深度解读与安全使用指南。涵盖 Notion 数据收集范围、数据使用方式、第三方共享、AI 训练政策、隐私配置优化、敏感数据存储建议、团队合规实践。当用户询问 Notion 隐私安全、评估是否适合存储敏感数据、配置 Notion 隐私设置、进行 SaaS 工具隐私评估,或需要了解 Notion 数据处理方式时,可使用此技能。

SKILL.md
--- frontmatter
name: notion-privacy-guide
description: Notion 隐私政策深度解读与安全使用指南。涵盖 Notion 数据收集范围、数据使用方式、第三方共享、AI 训练政策、隐私配置优化、敏感数据存储建议、团队合规实践。当用户询问 Notion 隐私安全、评估是否适合存储敏感数据、配置 Notion 隐私设置、进行 SaaS 工具隐私评估、或需要了解 Notion 数据处理方式时使用。

Notion 隐私政策深度解读与安全使用指南

版本: 1.0 | 更新: 2026-02-06 基于 Notion Privacy Policy(生效日期: 2025-04-10)

概述

本 Skill 基于 Notion 官方隐私政策(https://www.notion.com/trust/privacy-policy),提供深度解读和实操安全使用建议,帮助个人和团队在使用 Notion 时做出知情的隐私决策。

核心结论:Notion 是一款商业 SaaS 工具,非端到端加密,不适合存储高度敏感/涉密信息,但通过合理配置可满足大多数商业场景的隐私需求。


一、Notion 收集的数据全景

1.1 主动提供的数据

数据类别具体内容风险等级
账户信息姓名、邮箱、密码、角色、头像🟡 中
用户通信与 Notion 客服的邮件、消息、附件🟡 中
支付信息账单地址、交易信息(由第三方支付商处理)🔴 高
工作区内容用户在 Workspace 中提交、发布、修改的所有内容🔴 高
调查问卷参与 Notion 调查时提供的联系和其他信息🟢 低
求职信息通过 Notion 投递的简历、求职信🟡 中

1.2 自动收集的数据

数据类别具体内容可关闭
设备信息IP 地址、MAC 地址、浏览器、操作系统、设备标识
行为数据访问页面、点击链接、使用频率和时长
Cookie 数据通过 Cookie、Pixel Tag、Web Beacon 收集⚠️ 部分可控
位置信息基于 IP 推断的大致位置(非精确 GPS)
分析数据第三方分析服务收集的使用数据⚠️ 部分可控
广告数据第三方广告技术合作伙伴收集的浏览行为✅ 可选择退出

1.3 第三方来源的数据

来源内容触发条件
第三方登录通过社交账号登录时的公开信息用户主动选择
数据补充商B2B 营销相关的组织信息使用企业邮箱注册时
Google API联系人(People API)、日历、Gmail、Workspace 数据用户授权集成

二、数据使用方式解读

2.1 Notion 使用你的数据做什么

code
数据使用目的分类:
├── 📦 提供服务(核心功能)
│   ├── 履行合同义务
│   ├── 处理支付
│   ├── 响应请求和技术支持
│   └── 提供服务功能和访问
├── 📊 运营和改进
│   ├── 产品研发和改进
│   ├── 使用分析和兴趣度量
│   ├── 内部质量控制和安全
│   └── 审计
├── 📢 营销和广告
│   ├── 发送新功能/促销通知
│   ├── 定向广告(仅推广 Notion 自身服务)
│   └── 跨设备追踪浏览行为
├── 👥 协作功能
│   ├── 在共享 Workspace 中显示基本信息
│   └── 向组织管理员显示用户信息
├── ⚖️ 法律合规
│   ├── 遵守法律义务
│   ├── 防止非法活动
│   └── 执行服务协议
└── 📈 去标识化/聚合使用
    └── 研究、分析等(不受隐私政策约束)

2.2 关键风险点

风险点描述影响
去标识化数据不受约束去标识化/聚合数据不受隐私政策保护,可用于任何目的🔴 高
跨设备追踪Notion 及其合作伙伴可能跨设备追踪浏览行为🟡 中
组织可见性使用企业邮箱注册时,组织可能获取你的信息和 Workspace 内容🔴 高
服务商数据共享信息可能共享给服务提供商、商业伙伴、关联公司🟡 中
并购转让公司并购/出售时数据可能随之转让🟡 中
法律披露配合执法/法律程序时可能披露存储信息🟡 中

2.3 广告与数据"出售"

Notion 的广告实践(需要认清的事实):

  • Notion 不会 利用你的数据为第三方产品打广告
  • 但 Notion 会 将你的信息(Cookie 数据、IP、设备标识、使用信息)共享给第三方广告合作伙伴,用于推广 Notion 自身服务
  • 根据 CCPA 定义,这种行为可能构成个人信息的 "出售""共享"
  • 用户可以通过网站页脚 "Do Not Sell or Share My Info" 链接选择退出

三、第三方数据共享全景

3.1 数据接收方类别

接收方类别共享内容用户可控
服务提供商运营、支付、客服、IT、欺诈预防相关数据
商业伙伴用户主动请求的产品/服务相关信息
关联公司共同控制下的实体
广告合作伙伴在线标识符(Cookie、IP、设备ID、使用信息)✅ 可退出
同一 Workspace 用户姓名、邮箱、头像、Workspace 内容⚠️ 取决于设置
你的组织账户信息、Workspace 详情、内容⚠️ 使用企业邮箱时自动
执法/法律机构配合合法法律程序时的任何存储信息
并购方公司交易中的全部数据

3.2 子处理器(Subprocessors)

Notion 使用子处理器处理数据,详见官方子处理器列表页面。这意味着你的数据可能流经多个第三方系统。


四、隐私配置优化指南

4.1 必做配置清单

#操作路径优先级
1调整 Cookie 偏好设置Settings & Members → My notifications & settings → Cookie settings⭐⭐⭐
2关闭非必要 Cookie网站页脚 Cookie 设置 → 仅保留"必要"⭐⭐⭐
3选择退出数据"出售/共享"网站页脚 → "Do Not Sell or Share My Info"⭐⭐⭐
4启用浏览器 GPC 信号浏览器设置 → Global Privacy Control⭐⭐
5审查第三方集成权限检查已授权的 Google、日历等集成⭐⭐
6取消不必要的邮件订阅邮件底部 Unsubscribe 链接

4.2 企业邮箱用户特别注意

code
⚠️ 关键警告:
如果你使用组织提供的企业邮箱注册 Notion:
  → 组织可能获取你的姓名、邮箱、头像
  → 组织可能获取你的 Workspace 名称、ID、成员规模、创建日期
  → 组织甚至可能获取你的 Workspace 内容

应对措施:
  ✅ 个人内容使用个人邮箱注册的独立账户
  ✅ 如需更换关联邮箱:Settings → Account → 修改邮箱
  ✅ 不确定时联系 team@makenotion.com 获取帮助

4.3 移动端隐私配置

操作说明
关闭推送通知设备设置中关闭 Notion 推送权限
拒绝精确定位设备设置中拒绝 Notion 位置权限
管理后台刷新关闭不必要的后台数据刷新

五、数据安全评估

5.1 Notion 的安全措施

根据隐私政策:

  • Notion 表示采取措施确保信息安全处理
  • 但明确声明:没有系统是 100% 安全的
  • Notion 不接受因未授权披露产生的责任(在法律允许范围内)
  • 发现安全违规时,将通过服务通知、邮件或信函方式通知用户

5.2 安全能力评估表

安全能力Notion 情况评级
端到端加密❌ 不支持🔴
传输加密✅ HTTPS/TLS🟢
静态加密✅ 是(参见 Security 页面)🟢
零知识架构❌ Notion 可访问内容🔴
SOC 2 认证✅ 有🟢
GDPR 合规✅ 有(DPF 认证)🟢
数据驻留选择⚠️ 数据可能存储在全球任何地方🟡
自托管选项❌ 不支持🔴
导出功能✅ 支持数据导出🟢
帐号删除✅ 支持请求删除🟢

5.3 数据存储与跨境传输

所有由 Notion 处理的信息可能被传输、处理和存储在世界任何地方,包括但不限于美国或其他可能与你所在地区数据保护法律不同的国家。

影响:如果你受到严格的数据驻留要求(如中国《数据安全法》、欧盟某些行业规定),需额外评估合规性。


六、什么该存、什么不该存

6.1 数据分类存储建议

类别示例建议
适合存储公开项目文档、团队 Wiki、会议纪要、任务管理放心使用
适合存储产品需求文档、技术方案(非核心机密)适当使用
⚠️ 谨慎存储客户联系信息、内部流程文档评估合规后使用
⚠️ 谨慎存储薪酬结构、绩效评估(脱敏后)加强访问控制
不建议存储密码、API Key、访问令牌使用专用密码管理器
不建议存储身份证号、银行卡号等 PII使用加密工具
不建议存储涉密/机密/绝密文件内容禁止
不建议存储未公开的财务数据、交易信息使用合规的财务系统

6.2 决策流程图

code
需要在 Notion 中存储某项信息?
│
├─ 信息是否涉密(国家秘密/商业绝密)?
│   ├─ 是 → ❌ 绝对禁止,使用涉密系统
│   └─ 否 ↓
│
├─ 信息是否包含个人敏感数据(身份证、银行卡等)?
│   ├─ 是 → ❌ 不建议,使用专用加密系统
│   └─ 否 ↓
│
├─ 信息泄露是否会造成重大商业损失?
│   ├─ 是 → ⚠️ 谨慎评估,考虑替代方案
│   └─ 否 ↓
│
├─ 你所在行业/地区是否有特殊数据合规要求?
│   ├─ 是 → ⚠️ 咨询法务/合规团队
│   └─ 否 ↓
│
└─ ✅ 可以在 Notion 中存储

七、用户隐私权利

7.1 你拥有的权利

权利描述行使方式
访问权请求获取 Notion 收集的关于你的信息联系 Notion
更正权请求更正不准确/不完整的信息联系 Notion
删除权请求删除你的信息(有例外)联系 Notion
限制/反对处理权请求限制或反对某些数据处理联系 Notion
数据可携权请求以电子形式获取或转让数据联系 Notion
不受歧视权行使隐私权利不会受到区别对待自动保障
退出数据出售/共享选择退出广告定向数据共享网站页脚链接
申诉权对 Notion 回复不满时可申诉联系 Notion
监管投诉权向数据保护监管机构投诉(欧盟/英国)当地 DPA

7.2 联系方式

code
Notion Labs, Inc.
685 Market St.
San Francisco, CA 94105
United States

邮箱:team@makenotion.com
隐私专线:privacy@makenotion.com

八、特殊场景合规指南

8.1 加州居民(CCPA)

要点说明
信息出售/共享在线标识符(Cookie、IP、设备ID)可能被视为"出售"
退出方式网站页脚 "Do Not Sell or Share My Info"
敏感个人信息Notion 声明不会超出 CCPA 允许的商业目的使用
Shine the LightNotion 声明不向第三方披露信息用于其直接营销

8.2 欧盟/英国用户(GDPR + DPF)

要点说明
法律依据DPF 认证(EU-U.S. / UK Extension / Swiss-U.S.)
监管机构FTC(美国联邦贸易委员会)
投诉机制先联系 Notion → DPA 调解 → 约束性仲裁
数据传输全球传输,通过 DPF 框架保障

8.3 儿童数据

  • Notion 服务面向一般受众,非面向儿童
  • 如发现未经家长同意收集了儿童数据,将尽快删除

九、团队使用最佳实践

9.1 管理员安全清单

#操作说明
1制定 Notion 使用规范明确可以/不可以在 Notion 中存储的内容类型
2定期审查访问权限移除已离职员工、调整角色权限
3收紧公开共享设置禁止/限制 "Publish to Web" 功能
4审查第三方集成最小化 API 集成,仅保留必要的
5配置数据导出策略定期备份关键数据到自主控制的存储中
6监控 Workspace 活动利用审计日志(企业版)追踪异常操作
7培训员工隐私意识确保团队了解何种信息不该放入 Notion

9.2 敏感信息替代方案

数据类型推荐替代工具原因
密码/密钥1Password, Bitwarden, HashiCorp Vault专为凭证设计、零知识架构
个人身份信息(PII)加密数据库 + 访问控制合规要求
合同/法律文件专用合同管理系统审计追踪、权限管理
财务数据专用财务系统审计合规
涉密信息涉密专用系统法律要求
医疗健康数据HIPAA 合规系统行业合规要求

十、隐私政策变更追踪

10.1 关注要点

Notion 声明可能随时修改隐私政策:

  • 重大变更会按法律要求通知用户
  • 继续使用服务即视为接受更新后的政策
  • 建议通过 RSS/书签定期检查政策更新

10.2 版本记录

版本日期关键变更
2025-04-10当前生效版本,新增 Notion Mail (Gmail API) 相关条款
2025-09-29最后更新日期(未更改生效日期)

十一、快速参考卡

Notion 隐私"一句话"总结

Notion 收集你的账户信息、使用内容和行为数据;将部分数据共享给服务商和广告合作伙伴(用于推广自身);数据全球存储、非端到端加密;组织管理员可查看企业邮箱用户的 Workspace 内容;用户可行使访问/删除/退出等权利。

风险速查

code
🔴 高风险(需要注意):
  - Notion 可以访问你的所有内容(非零知识)
  - 企业邮箱用户的内容对组织可见
  - 数据可能跨境传输至全球任何地方
  - 去标识化数据不受隐私政策保护
  - 公司交易时数据可能整体转让

🟡 中风险(可以管控):
  - 行为数据和设备信息自动收集
  - 第三方服务商数据共享
  - 跨设备浏览追踪
  - Cookie 和分析追踪

🟢 低风险(已有保障):
  - 支付信息由第三方处理,Notion 不直接存储
  - 不用你的数据为第三方产品打广告
  - 支持 GDPR/CCPA 用户权利
  - DPF 框架保障跨境传输合规
  - SOC 2 认证和安全措施