隱私政策

1. 簡介

歡迎使用 Where The Bleep（「W.T.B」），這是 Ideaduct LLC（「我們」、「我們的」）的產品。我們致力於保護您的隱私，並對處理您資訊的方式保持透明。本隱私政策說明我們對行動應用程式（「本應用程式」）資料收集、使用、儲存及揭露的相關實踐。

Where The Bleep 是一款個人物品追蹤應用程式，採用隱私優先、離線優先的架構建構。您的物品資料預設儲存在您裝置的本機上，若您選擇啟用選用的雲端同步，所有資料皆受到零知識端對端加密保護。我們在任何時候都無法讀取、存取或解密您同步的資料。

使用本應用程式即表示您同意本隱私政策中所述的實踐。若您不同意，請勿使用本應用程式。我們鼓勵您完整閱讀本政策，並透過 privacy@wherethebleep.app 聯絡我們提出任何疑問。

2. 我們的隱私原則

Where The Bleep 圍繞以下核心隱私原則建構：

• 離線優先： 您的資料儲存在您裝置的本機 SQLite 資料庫中。本應用程式可完全在無網路連線的情況下運作。
• 零知識加密： 若您啟用雲端同步，所有資料在離開您的裝置前皆已加密。我們從未持有解密您資料的金鑰。
• 無分析或追蹤： 本應用程式不包含任何分析 SDK、追蹤像素或廣告框架。我們不會追蹤您的使用行為。我們僅使用 Google Firebase Crashlytics 進行自動當機回報，以改善應用程式穩定性（請參閱第 6.6 節）。
• 不將資料商業化： 我們不會基於任何理由向任何第三方出售、出租、授權或交易您的個人資訊。
• 使用者控制： 您可隨時匯出、刪除或銷毀您的所有資料。帳戶刪除是全面且不可逆的。

3. 我們收集的資訊

我們在伺服器上儲存的唯一個人資訊是您的電子郵件地址，僅在您選擇啟用雲端同步時用於身份驗證。其他所有資料 — 您的物品、照片和位置 — 預設都保留在您的裝置上。如果您啟用雲端同步，所有資料在離開您的裝置之前都會經過端對端加密。以下章節將詳細說明涉及的具體資料。

3.1 您直接提供的資訊

預設情況下，以下所有資料都儲存在您的裝置本機：

• 物品資料：名稱、描述、購買價格、序號，以及您輸入的關於追蹤物品的任何其他詳細資訊。
• 照片：您使用相機拍攝或從照片庫中選擇用於識別和編目物品的圖片。
• 位置資料：您在應用程式內建立的儲存位置（如房間、架子、抽屜和箱子）的名稱、描述和層級結構。這指的是您定義的組織位置，而非 GPS 或地理位置資料。
• 人員資料：您在追蹤物品借出和歸還時記錄為借用者的個人姓名。
• 語音輸入：來自語音搜尋的音訊，使用平台的語音辨識服務在您的裝置上處理。我們不會記錄、儲存或傳輸您的語音資料。

3.2 帳號資訊（選填）

如果您選擇建立帳號以啟用雲端同步，我們將收集：

• 電子郵件地址：僅用於我們的雲端同步服務（Supabase）的身份驗證。您的電子郵件是儲存在我們伺服器上唯一的可識別個人身份資訊。
• 身份驗證憑證：您的密碼由 Supabase 使用 bcrypt 進行雜湊處理，絕不會以明文儲存。我們無法存取您的密碼。

3.3 訂閱資訊

如果您訂閱 Where The Bleep Pro，以下資訊將由我們的訂閱管理服務商 RevenueCat 處理：

• 購買收據：來自 Apple App Store 或 Google Play Store 的交易識別碼。
• 訂閱詳情：方案類型（每月或每年）、到期日和續約狀態。
• 匿名使用者識別碼：用於將您的訂閱與您的帳號關聯的隨機產生識別碼，不會連結到任何個人資訊。

我們不會收集或儲存您的付款卡詳細資訊、帳單地址或其他財務資訊。所有付款處理完全由 Apple 或 Google 透過各自的應用程式商店進行。

3.4 我們不會收集的資訊

我們希望明確說明我們不會收集的內容：

• GPS 或地理位置資料
• 裝置廣告識別碼（IDFA/GAID）
• 瀏覽歷史記錄或網路活動
• 聯絡人、通話記錄或簡訊
• 使用分析或行為資料
• 任何形式的遙測資料
• IP 位址記錄（網路請求過程中固有處理的內容除外）

3.5 當機與穩定性資料

當應用程式遇到錯誤時，我們使用 Google Firebase Crashlytics 自動收集當機報告。這有助於我們識別和修復問題以改善應用程式的穩定性。Crashlytics 可能會收集以下內容：

• 當機堆疊追蹤和例外狀況資訊
• 裝置型號、作業系統版本和螢幕方向
• 當機時的可用記憶體和磁碟空間
• 用於識別獨立當機實例的 Crashlytics 安裝 UUID（這不是廣告識別碼）
• 應用程式版本和組建編號

Crashlytics 不會收集您的物品內容、照片、個人資料或任何加密資料。當機報告會傳送至 Google 的 Firebase 基礎架構，僅用於當機分析和應用程式穩定性改善。

4. 我們如何使用您的資訊

我們將上述資訊用於以下目的：

• 核心功能：讓您能在應用程式內編目、整理、搜尋和追蹤您的個人物品。
• 雲端同步（選填）：如果您建立帳號並啟用同步，將在您的裝置之間同步加密資料。
• 身份驗證：當您登入帳號時驗證您的身份。
• 訂閱管理：驗證您的訂閱狀態並解鎖 Pro 功能。
• 資料匯出：應您的要求產生 CSV、JSON 或 PDF 保險報告匯出檔。
• 加密備份：應您的要求建立資料的加密備份檔案。
• 客戶支援：當您聯絡我們時回覆您的詢問。
• 當機報告：使用 Google Firebase Crashlytics 識別、診斷和修復當機與穩定性問題。

我們不會將您的資訊用於廣告、剖析、自動化決策，或上述未列出的任何目的。

5. 資料儲存與安全性

5.1 本機儲存

預設情況下，您所有的物品資料、照片、位置和人員資料都僅儲存在您裝置上的本機 SQLite 資料庫中。除非您明確啟用雲端同步或使用選用的 AI 功能，否則這些資料絕不會離開您的裝置。

5.2 雲端同步與零知識加密

若您選擇啟用雲端同步，您的資料將受零知識端對端加密（E2EE）保護。這表示您的資料會在您的裝置上加密後再傳輸，我們及我們的基礎架構供應商皆無法解密。我們的加密架構包含：

• 加密演算法： XChaCha20-Poly1305 認證加密，一種現代且廣受推崇的加密標準。
• 金鑰衍生： 採用 PBKDF2-HMAC-SHA256，迭代 800,000 次並使用隨機 32 位元組鹽值，旨在抵禦暴力破解與硬體加速攻擊。
• 子金鑰衍生： 使用 HKDF-SHA256 為不同的加密情境衍生獨立的子金鑰，確保資料類型之間的加密隔離。
• 復原密語： 系統會產生一組符合 BIP39 標準的 24 字助記詞作為您的主金鑰。此密語是復原您加密金鑰的唯一方式。我們不會儲存它，若您遺失，您的加密資料將無法復原。
• 生物辨識解鎖： 您可選擇性地啟用 Face ID 或 Touch ID 來解鎖您的加密金鑰。生物辨識資料完全由您裝置的安全隔離區處理，App 永遠無法存取，也不會被傳輸。
• 加密欄位： 個別資料庫欄位（如名稱、描述及其他欄位）皆分別加密。伺服器僅儲存與檢視以 base64 編碼的加密資料區塊。
• 密文格式： 每個加密值由 24 位元組的隨機數、密文及 16 位元組的認證標籤（MAC）組成，以確保機密性與完整性。
• 檔案加密： 照片及其他檔案使用 64 KB 區塊的串流式 XChaCha20-Poly1305 進行加密，可有效率地加密大型檔案而無需將其完整載入記憶體。
• 列級安全性： 我們的雲端資料庫（Supabase/PostgreSQL）強制執行列級安全性（RLS）政策，確保即使在基礎架構層級，每位使用者也只能存取其自身的加密資料列。
• 即時同步： 雙向同步由 PowerSync 提供支援，於加密資料上運作。同步透過 TLS 加密連線進行。

5.3 備份加密

當您建立加密備份檔案時，將以 ChaCha20-Poly1305 認證加密進行保護。您須自行負責儲存備份檔案與記住任何備份密碼。我們無法復原備份密碼。

6. 第三方服務

6.1 雲端基礎架構（選用）

若您啟用雲端同步，下列服務將處理您的加密資料：

• Supabase： 提供身分驗證（電子郵件/密碼），並託管包含您加密資料的 PostgreSQL 資料庫。Supabase 永遠無法存取您的解密金鑰。請參閱 Supabase 隱私權政策。
• PowerSync： 提供您本機資料庫與雲端之間的即時雙向同步。PowerSync 僅傳輸加密資料。請參閱 PowerSync 隱私權政策。

6.2 訂閱管理

• RevenueCat： 管理應用程式內訂閱購買與收據驗證。RevenueCat 會收到來自 Apple 或 Google 的購買收據，以及一組匿名識別碼。請參閱 RevenueCat 隱私權政策。

6.3 AI 描述服務（選用）

Where The Bleep 提供一項選用的 AI 驅動功能，可從照片產生您項目的描述。此功能完全採用選擇加入機制，並需要您提供所選供應商的自有 API 金鑰。重要事項：

• 圖片僅在您針對特定項目明確點擊 AI 描述按鈕時，才會傳送至 AI 供應商。
• 您可自行選擇與設定要使用的供應商。我們支援以下供應商：OpenAI、Groq、OpenRouter、Cloudflare Workers AI、Google Gemini、Together AI、Fireworks AI、DeepInfra 及 Anthropic Claude。
• 您的 API 金鑰儲存於您的裝置本機，並會直接從您的裝置傳送至供應商的 API。我們絕不會接收、儲存或代理您的 API 金鑰。
• 每家供應商皆有其自身的資料處理與保留政策。我們鼓勵您查閱所選供應商的隱私權政策：OpenAI、Groq、OpenRouter、Cloudflare、Google Gemini、Together AI、Fireworks AI、DeepInfra、Anthropic。
• 除非您明確發起請求，否則不會傳送任何圖片給任何 AI 供應商。

6.4 平台服務

• Apple App Store / Google Play Store： 處理所有訂閱付款交易。其各自的隱私權政策適用於付款交易。
• Apple / Google 語音辨識： 若您使用語音搜尋，您裝置的內建語音辨識服務會於本機處理您的音訊。我們不會將音訊傳送至任何伺服器。

6.5 條碼查詢服務（選用）

當您掃描條碼時，應用程式可能會使用 UPCitemdb API（一項第三方條碼資料庫服務）來查詢產品資訊。

• 條碼查詢僅在您明確掃描條碼時傳送。僅傳輸條碼號碼——不會傳送任何個人資訊或裝置識別碼。
• 查詢直接從您的裝置傳送至 UPCitemdb 的伺服器。我們不會代理、記錄或儲存任何條碼查詢請求。
• 請參閱 UPCitemdb 隱私權政策。

6.6 當機回報

• Google Firebase Crashlytics： 自動收集當機回報與穩定性資料，協助我們找出並修復應用程式問題。Crashlytics 會收集當機記錄、裝置狀態資訊及一組 Crashlytics 安裝 UUID。其不會收集廣告識別碼、個人內容或您的任何加密項目資料。請參閱 Firebase 隱私權資訊及 Crashlytics 條款。

7. 裝置權限

App 可能會請求下列裝置權限。每項權限僅在需要時才會請求，且僅用於所述目的：

• 相機： 用於拍攝項目照片以進行編目。照片儲存於本機，僅在您使用選用的 AI 描述功能或雲端同步（加密）時傳輸。
• 照片圖庫： 用於讓您為項目選擇現有照片，或將 App 中的圖片儲存至您的裝置。
• 麥克風： 用於擷取語音搜尋的音訊輸入。音訊於裝置端處理，不會被錄製、儲存或傳輸。
• 語音辨識： 使用您裝置內建的語音辨識功能將您的語音搜尋輸入轉換為文字。處理於裝置端進行。
• 生物辨識感測器（Face ID / Touch ID）： 提供便利且安全的方式來解鎖 App 與您的加密金鑰。生物辨識資料完全由您裝置的安全隔離區處理，App 永遠無法存取。

您隨時可透過裝置的系統設定撤銷上述任何權限。撤銷權限將會停用對應的功能，但不會影響 App 的核心功能。

8. 資料分享與披露

我們不會向任何第三方出售、出租、租賃或交易您的個人資訊。絕無例外。

我們僅在以下有限情況下分享資訊：

• 經您明確同意： 若您主動選擇使用第三方 AI 服務，您的照片會直接從您的裝置傳送至該供應商。
• 加密的雲端資料： 若您啟用雲端同步，您的加密資料（我們無法讀取）將儲存於 Supabase 基礎架構上。
• 訂閱驗證： 購買收據將與 RevenueCat 共享，以驗證並管理您的訂閱。
• 法律要求：如法律、傳票、法院命令或其他法律程序要求，我們可能會披露資訊。然而，由於您的雲端資料採用端到端加密且我們不持有解密金鑰，即使被強制要求，我們在技術上也無法提供您加密資料的內容。
• 業務轉讓：在合併、收購或資產出售的情況下，您的資料將作為該交易的一部分進行轉讓。如有任何此類變更，您將透過電子郵件（如您擁有帳戶）或本隱私政策的更新獲得通知。零知識加密架構意味著任何繼承實體將同樣無法存取您的加密資料。
• 當機回報：當機紀錄與裝置狀態資訊會自動傳送至 Google Firebase Crashlytics 進行當機分析。不會包含任何個人內容或加密資料。

9. 資料保留

9.1 本機資料

儲存在您裝置本機的資料將保留在該處，直到您明確刪除、刪除帳戶或解除安裝應用程式為止。我們無法存取或控制本機儲存的資料。

9.2 雲端資料

若您使用雲端同步，您的加密資料將在您的帳戶有效期間保留於我們的伺服器上。當您刪除帳戶時，所有雲端資料將被永久且不可逆地刪除，包括：

• 雲端儲存中所有加密檔案
• 所有加密資料庫紀錄
• 您的 Supabase 驗證帳戶與電子郵件

9.3 訂閱資料

RevenueCat 將根據其自身的資料保留政策以及適用的稅務／財務紀錄保存要求保留訂閱與購買收據資料。

9.4 無伺服器端內容紀錄

我們不會在伺服器端保存您的物品資料、描述、照片或您輸入應用程式的任何內容紀錄。標準網頁伺服器存取紀錄（可能包含 IP 位址與時間戳記）為了安全與營運目的最多保留 30 天，之後會自動刪除。

10. 您的權利與選擇

10.1 資料控制

您對應用程式內的資料擁有全面的控制權：

• 存取：隨時可在應用程式內直接檢視您的所有資料。
• 匯出：以 CSV、JSON 或 PDF 保險報告格式匯出您的資料。您也可以建立加密備份檔案。
• 更正：隨時編輯或更新任何項目、位置或人員紀錄。
• 刪除：刪除個別項目、位置、人員，或整個資料集。
• 帳戶刪除：永久刪除您的帳戶及所有相關的雲端資料（請參閱第 11 節）。
• 選擇退出可選功能：您可以選擇不使用雲端同步、AI 描述或任何其他可選功能，且不影響應用程式的核心功能。

10.2 GDPR 權利（歐洲經濟區使用者）

若您位於歐洲經濟區（EEA）、英國或瑞士，您依《一般資料保護規則》（GDPR）享有以下權利：

• 存取權（第 15 條）：您有權要求取得我們所持有關於您個人資料的副本。由於我們採用零知識加密，因此我們唯一能提供的個人資料是您的電子郵件地址（若您擁有帳戶）以及訂閱狀態。
• 更正權（第 16 條）：您有權要求更正不準確的個人資料。您可透過應用程式的帳戶設定更新您的電子郵件地址。
• 刪除權（第 17 條）：您有權要求刪除您的個人資料。您可在應用程式內刪除帳戶以行使此權利，這將永久移除所有雲端資料、身分驗證紀錄及相關資訊。
• 限制處理權（第 18 條）：在特定情況下，您有權要求我們限制處理您的資料。請透過 privacy@wherethebleep.app 聯絡我們以行使此權利。
• 資料可攜性權（第 20 條）：您有權以結構化、常用且機器可讀取的格式接收您的個人資料。應用程式提供 CSV、JSON 與 PDF 格式的匯出功能以實現此權利。
• 反對權（第 21 條）：您有權反對處理您的個人資料。由於我們不會將您的資料用於行銷、剖析或自動化決策，此權利主要適用於我們處理您電子郵件以進行身分驗證的情形。
• 撤回同意權：當處理是基於您的同意時，您可隨時撤回同意。撤回同意不影響撤回前所進行處理的合法性。

處理之法律依據：我們根據以下法律依據處理您的個人資料：

• 履行契約（第 6(1)(b) 條）：處理您的電子郵件地址以建立帳戶與身分驗證，並處理訂閱資料以提供 Pro 功能。
• 正當利益（第 6(1)(f) 條）：維護伺服器基礎架構安全並防止濫用。
• 同意（第 6(1)(a) 條）：當您明確選擇使用 AI 描述功能時，透過第三方 AI 服務處理影像。

資料保護長：有關 GDPR 的相關詢問，請透過 privacy@wherethebleep.app 聯絡我們。我們將依 GDPR 規定於 30 天內回覆您的請求。

監管機關：若您對我們的回覆不滿意，您有權向當地的資料保護監管機關提出申訴。

10.3 CCPA 權利（加州居民）

如果您是加州居民，根據《加州消費者隱私法》（CCPA）和《加州隱私權法》（CPRA），您享有以下權利：

• 知情權：您有權知悉我們所收集、使用、揭露及出售的個人資訊。本隱私權政策即為我們的揭露聲明。我們可能收集的個人資訊類別包括：識別碼（電子郵件地址）、商業資訊（訂閱狀態），以及網際網路或其他電子網路活動資訊（僅限 Firebase Crashlytics 收集的標準伺服器存取紀錄與當機報告）。
• 刪除權：您有權要求我們刪除您的個人資訊。您可透過在應用程式內刪除帳戶，或透過 privacy@wherethebleep.app 聯絡我們以行使此權利。
• 更正權：您有權要求更正不準確的個人資訊。
• 選擇退出出售或共享之權利：我們不會為跨情境行為廣告而出售或共享您的個人資訊。由於我們從不出售您的資料，因此無需選擇退出。
• 限制使用敏感個人資訊之權利：我們不會收集或處理 CCPA/CPRA 所定義的敏感個人資訊。
• 不受歧視的權利：我們不會因您行使任何 CCPA 權利而對您進行歧視。無論您是否行使隱私權，您將獲得同等的服務和定價。

不出售或共享我的個人資訊：我們不會出售您的個人資訊。我們不會為跨情境行為廣告而共享您的個人資訊。在過去 12 個月內，我們未曾出售或共享個人資訊。

財務獎勵：我們不提供與收集、出售或刪除個人資訊相關的財務獎勵。

如要行使上述任何權利，請透過 privacy@wherethebleep.app 與我們聯絡。我們將在處理您的請求前驗證您的身份，並依法律規定於 45 天內回覆。

11. 帳戶刪除

您可隨時於應用程式內刪除帳戶。帳戶刪除是全面且不可逆轉的。刪除程序將移除：

• 儲存於雲端儲存空間的所有檔案（加密的相片、備份和附件）
• 與您帳戶相關的所有資料庫記錄（加密的物品、地點、人員、簽到/簽出歷史記錄）
• 您的 Supabase 驗證帳戶與電子郵件地址
• 您發起刪除操作之裝置上的本機資料庫
• 發起刪除之裝置上與本應用程式相關的所有本機檔案
• 儲存於裝置安全儲存空間中的所有資料（加密金鑰、生物辨識權杖、工作階段資料）

為防止意外或未經授權的刪除，您必須在刪除執行前驗證密碼並輸入特定的確認語句。一旦啟動，帳戶刪除無法撤銷，您的資料也無法復原。

12. 資料匯出與可攜性

我們相信您應始終能夠帶走您的資料。本應用程式提供多種匯出格式：

• CSV：逗號分隔值，可用於試算表及其他應用程式。
• JSON：結構化資料格式，便於程式化存取與互通性。
• PDF 保險報告：適合用於保險文件與索賠的格式化報告。
• 加密備份壓縮檔：整個資料庫的完整加密備份，採用 ChaCha20-Poly1305 認證加密保護。

所有匯出檔案皆於您的裝置上本機產生。匯出檔案不會傳輸至我們的伺服器。

13. 兒童隱私

Where The Bleep 並非針對 13 歲以下兒童（或您所在司法管轄區所適用的最低年齡）。我們不會故意收集 13 歲以下兒童的個人資訊。

若我們得知 13 歲以下的兒童已建立帳戶或提供個人資訊，我們將立即採取措施刪除該帳戶及所有相關資料。

如果您是父母或法定監護人，且認為您的孩子已向我們提供個人資訊，請透過 privacy@wherethebleep.app 與我們聯絡，我們將立即刪除該資訊。

本應用程式可由 13 歲以上（或您所在司法管轄區所適用的最低年齡）的兒童在父母同意下使用。父母與監護人應負責監督其子女對本應用程式的使用。

14. 國際資料傳輸

如果您啟用雲端同步，您的加密資料可能儲存於位於美國或我們基礎設施供應商運營的其他國家/地區的伺服器上。由於所有雲端資料皆採用零知識架構進行端對端加密，伺服器的實體位置不會影響您資料的機密性，因為除您之外任何人都無法讀取或解密。

如果您使用選用的 AI 描述服務，您的圖片會直接從您的裝置傳送至您所選擇的 AI 供應商。這些供應商可能會根據其基礎設施在不同司法管轄區處理您的圖片。您可選擇使用哪個供應商，並有責任檢視其資料處理慣例。

對於歐洲經濟區的使用者：當個人資料傳輸至歐洲經濟區之外時，我們確保已採取適當的保護措施，包括歐盟委員會核准的標準合約條款。零知識加密提供 Schrems II 判決所考慮的額外補充措施，因為若無解密金鑰，任何一方均無法理解該資料，而解密金鑰僅由您持有。

15. 安全事件回應

在我們雲端基礎設施發生安全違規的不太可能事件中，我們將：

• 依照 GDPR 及其他適用法律的要求，於得知違規事件後 72 小時內透過電子郵件通知受影響的使用者。
• 提供關於違規性質及可能受影響資料類型的明確說明。
• 說明已採取及擬採取以解決違規問題的措施。
• 於法律要求時向相關監管機關通報違規事件。

重要的是要注意，由於我們的零知識加密架構，即使我們的雲端基礎設施發生違規事件，您的物品資料、照片、描述及其他內容仍將保持加密狀態，任何未經授權的一方均無法讀取。儲存於我們伺服器上的唯一未加密資料是您的電子郵件地址和訂閱狀態。

16. Cookie 與追蹤技術

Where The Bleep 行動應用程式不使用 Cookie、網路信標、像素或任何其他追蹤技術。我們不採用指紋辨識或任何其他機制來辨識或追蹤跨應用程式或網站的使用者。

Where The Bleep 網站 (wherethebleep.app) 可能使用網站功能所必需的基本 Cookie。我們的網站不使用任何分析或廣告 Cookie。

17. 本隱私政策的變更

我們可能會不時更新本隱私政策，以反映我們慣例、技術、法律要求或其他因素的變化。當我們進行變更時：

• 我們將更新本頁頂部的「最後更新」日期。
• 對於重大變更，我們將透過電子郵件（若您擁有帳戶）或應用程式內通知告知您。
• 重大變更生效前，我們將至少提前 30 天發出通知，讓您有機會檢視更新後的政策。
• 在變更生效後您繼續使用本應用程式即表示您接受更新後的隱私政策。

我們鼓勵您定期查閱本隱私政策，以隨時瞭解我們如何保護您的資料。本政策的舊版本可應要求提供。

18. 聯絡我們

如果您對本隱私政策或我們的隱私實踐有任何疑問、疑慮或請求，請與我們聯絡：

電子郵件： privacy@wherethebleep.app

我們致力於在 30 天內回覆所有與隱私相關的查詢。對於 GDPR 資料主體存取請求，我們將在法律規定的時間內回覆。

若您認為您的隱私權受到侵害，您有權向當地的資料保護機關提出申訴。