隐私政策

1. 引言

欢迎使用Where The Bleep（"W.T.B"），这是Ideaduct LLC（"我们"）的产品。我们致力于保护您的隐私，并对我们如何处理您的信息保持透明。本隐私政策说明了我们在移动应用程序（"本应用"）中关于数据收集、使用、存储和披露的做法。

Where The Bleep 是一款以隐私优先、离线优先架构构建的个人物品追踪应用。您的物品数据默认存储在设备本地，如果您选择启用可选的云同步功能，所有数据均受零知识端到端加密保护。我们在任何时候都无法读取、访问或解密您的同步数据。

使用本应用即表示您同意本隐私政策中所述的做法。如果您不同意，请勿使用本应用。我们建议您完整阅读本政策，如有任何问题，请通过 privacy@wherethebleep.app 与我们联系。

2. 我们的隐私原则

Where The Bleep 围绕以下核心隐私原则构建：

• 离线优先：您的数据保存在设备上的本地 SQLite 数据库中。本应用无需互联网连接即可完全运行。
• 零知识加密：如果您启用云同步，所有数据在离开设备之前都会在本地加密。我们从不持有解密您数据的密钥。
• 无分析或追踪：我们不在应用中包含任何分析 SDK、追踪像素、遥测或广告框架。我们不追踪您的使用行为。
• 不进行数据变现：我们不会以任何理由向任何第三方出售、出租、许可或交换您的个人信息。
• 用户控制：您可以随时导出、删除或销毁所有数据。账户删除是全面且不可逆的。

3. 我们收集的信息

我们在服务器上存储的唯一个人信息是您的电子邮件地址，仅在您选择启用云同步时用于身份验证。其他所有内容——您的物品、照片和位置——默认保留在您的设备上。如果您启用云同步，所有数据在离开您的设备之前都会进行端到端加密。以下各节详细说明了涉及的具体数据。

3.1 您直接提供的信息

以下所有数据默认存储在您的设备本地：

• 物品数据：您输入的关于所追踪物品的名称、描述、购买价格、序列号及其他详细信息。
• 照片：您使用相机拍摄或从照片库中选择的用于识别和编目物品的图片。
• 位置数据：您在应用中创建的存储位置的名称、描述和层级结构（如房间、架子、抽屉和箱子）。这是指您定义的组织性位置，而非 GPS 或地理位置数据。
• 人员数据：您在追踪物品借出和归还时记录的借用人姓名。
• 语音输入：来自语音搜索的音频，使用平台的语音识别服务在您的设备上处理。我们不会录制、存储或传输您的语音数据。

3.2 账户信息（可选）

如果您选择创建账户以启用云同步，我们将收集：

• 电子邮件地址：仅用于通过我们的云同步服务 (Supabase) 进行身份验证。您的电子邮件是存储在我们服务器上的唯一个人身份信息。
• 身份验证凭据：您的密码由 Supabase 使用 bcrypt 进行哈希处理，从不以明文形式存储。我们无法访问您的密码。

3.3 订阅信息

如果您订阅 Where The Bleep Pro，以下信息将由我们的订阅管理提供商 RevenueCat 处理：

• 购买收据：来自 Apple App Store 或 Google Play Store 的交易标识符。
• 订阅详情：计划类型（月度或年度）、到期日期和续订状态。
• 匿名用户标识符：用于将您的订阅与账户关联的随机生成标识符，不与任何个人信息相关联。

我们不收集或存储您的支付卡详细信息、账单地址或其他财务信息。所有支付处理完全由 Apple 或 Google 通过其各自的应用商店进行。

3.4 我们不会收集的信息

我们希望明确说明我们不会收集的信息：

• GPS 或地理位置数据
• 设备广告标识符 (IDFA/GAID)
• 浏览历史或网页活动
• 联系人、通话记录或短信
• 使用分析或行为数据
• 任何类型的遥测数据
• IP 地址记录（超出网络请求处理过程中固有的部分）

3.5 崩溃和稳定性数据

我们使用 Google Firebase Crashlytics 在应用遇到错误时自动收集崩溃报告。这有助于我们识别和修复问题，以提高应用稳定性。Crashlytics 可能收集以下信息：

• 崩溃堆栈跟踪和异常信息
• 设备型号、操作系统版本和屏幕方向
• 崩溃时的可用内存和磁盘空间
• 用于识别唯一崩溃实例的 Crashlytics 安装 UUID（这不是广告标识符）
• 应用版本和构建号

Crashlytics 不会收集您的项目内容、照片、个人数据或任何加密数据。崩溃报告将发送至 Google 的 Firebase 基础设施，仅用于崩溃分析和应用稳定性改进。

4. 我们如何使用您的信息

我们将上述收集的信息用于以下目的：

• 核心功能：允许您在应用中对个人物品进行编录、整理、搜索和追踪。
• 云同步（可选）：如果您创建账户并启用同步功能，可在您的多个设备之间同步加密数据。
• 身份验证：在您登录账户时验证您的身份。
• 订阅管理：验证您的订阅状态并解锁 Pro 功能。
• 数据导出：应您的请求生成 CSV、JSON 或 PDF 保险报告导出文件。
• 加密备份：应您的请求创建数据的加密备份存档。
• 客户支持：在您联系我们时回复您的咨询。
• 崩溃报告：使用 Google Firebase Crashlytics 识别、诊断和修复崩溃及稳定性问题。

我们不会将您的信息用于广告、用户画像分析、自动化决策或上述未列出的任何目的。

5. 数据存储与安全

5.1 本地存储

默认情况下，您的所有物品数据、照片、位置和人物数据均仅存储在您设备上的本地 SQLite 数据库中。除非您主动启用云同步或使用可选的 AI 功能，否则这些数据不会离开您的设备。

5.2 云同步与零知识加密

如果您选择启用云同步，您的数据将受到零知识端到端加密（E2EE）的保护。这意味着您的数据在传输前已在您的设备上加密，我们和我们的基础设施提供商均无法解密。我们的加密架构包括：

• 加密算法：XChaCha20-Poly1305 认证加密，一种现代且广受认可的加密标准。
• 密钥派生：采用 PBKDF2-HMAC-SHA256 算法，执行 800,000 次迭代并使用随机 32 字节盐值，旨在抵御暴力破解和硬件加速攻击。
• 子密钥派生：使用 HKDF-SHA256 为不同的加密上下文派生独立的子密钥，确保不同数据类型之间的加密隔离。
• 恢复短语：系统会生成一个 BIP39 标准的 24 个助记词短语作为您的主密钥。该短语是恢复您加密密钥的唯一方式。我们不会存储该短语，如果您丢失了它，您的加密数据将无法恢复。
• 生物识别解锁：您可以选择启用面容 ID 或触控 ID 来解锁您的加密密钥。生物识别数据完全由您设备的安全隔区处理，应用无法访问，也不会被传输。
• 加密字段：各数据库列（如名称、描述等字段）分别单独加密。服务器仅存储和看到以 base64 编码的加密数据块。
• 密文格式：每个加密值由 24 字节随机数、密文和 16 字节认证标签（MAC）组成，确保数据的机密性和完整性。
• 文件加密：照片和其他文件使用流式 XChaCha20-Poly1305 加密，分块大小为 64 KB，可在不将文件完整加载到内存的情况下高效加密大文件。
• 行级安全性：我们的云数据库（Supabase/PostgreSQL）执行行级安全性（RLS）策略，确保即使在基础设施层面，每个用户也只能访问自己的加密数据行。
• 实时同步：双向同步由 PowerSync 提供支持，在加密数据上运行。同步通过 TLS 加密连接进行。

5.3 备份加密

当您创建加密备份存档时，它受到 ChaCha20-Poly1305 认证加密的保护。您有责任妥善保存备份文件并记住所有备份密码。我们无法恢复备份密码。

6. 第三方服务

6.1 云基础设施（可选）

如果您启用云同步，以下服务将处理您的加密数据：

• Supabase：提供身份验证（电子邮件/密码）并托管包含您加密数据的 PostgreSQL 数据库。Supabase 无法访问您的解密密钥。请参阅 Supabase 隐私政策。
• PowerSync：提供本地数据库与云端之间的实时双向同步。PowerSync 仅传输加密数据。请参阅 PowerSync 隐私政策。

6.2 订阅管理

• RevenueCat：管理应用内订阅购买和收据验证。RevenueCat 接收来自 Apple 或 Google 的购买收据以及一个匿名标识符。请参阅 RevenueCat 隐私政策。

6.3 AI 描述服务（可选）

Where The Bleep 提供一项可选的 AI 功能，可根据照片为您的物品生成描述。此功能完全由您自主选择使用，且需要您提供所选提供商的 API 密钥。重要信息：

• 仅当您为特定物品主动点击 AI 描述按钮时，图片才会发送给 AI 提供商。
• 您可以选择和配置使用哪个提供商。我们支持以下提供商：OpenAI、Groq、OpenRouter、Cloudflare Workers AI、Google Gemini、Together AI、Fireworks AI 和 DeepInfra。
• 您的 API 密钥存储在您设备的本地，并直接从您的设备发送到提供商的 API。我们从不接收、存储或代理您的 API 密钥。
• 每个提供商都有自己的数据处理和保留政策。我们建议您查看所选提供商的隐私政策。
• 除非您主动发起请求，否则不会将任何图片发送给任何 AI 提供商。

6.4 平台服务

• Apple App Store / Google Play Store：处理所有订阅付款。其各自的隐私政策适用于支付交易。
• Apple / Google 语音识别：如果您使用语音搜索，您设备的内置语音识别服务会在本地处理音频。我们不会将音频发送到任何服务器。

6.5 条形码查询服务（可选）

当您扫描条形码时，应用可能会使用 UPCitemdb API（一项第三方条形码数据库服务）查询产品信息。

• 条形码查询仅在您主动扫描条形码时发送。仅传输条形码编号——不会发送任何个人信息或设备标识符。
• 查询由您的设备直接发送至 UPCitemdb 的服务器。我们不会代理、记录或存储任何条形码查询请求。
• 请参阅 UPCitemdb 隐私政策。

6.6 崩溃报告

• Google Firebase Crashlytics：自动收集崩溃报告和稳定性数据，帮助我们识别和修复应用问题。Crashlytics 收集崩溃日志、设备状态信息和 Crashlytics 安装 UUID。它不会收集广告标识符、个人内容或任何加密的项目数据。请参阅 Firebase 隐私信息和 Crashlytics 条款。

7. 设备权限

本应用可能会请求以下设备权限。每项权限仅在需要时请求，且仅用于所述目的：

• 相机：用于拍摄物品照片以进行编目。照片存储在本地，仅在您使用可选的 AI 描述功能或云同步（加密）时才会传输。
• 照片图库：允许您为物品选择现有照片，或将应用中的图片保存到您的设备。
• 麦克风：用于捕获语音搜索的音频输入。音频在设备上处理，不会被录制、存储或传输。
• 语音识别：使用设备内置的语音识别功能将语音搜索输入转换为文本。处理在设备上完成。
• 生物识别传感器（Face ID / Touch ID）：提供便捷安全的方式来解锁应用和您的加密密钥。生物识别数据完全由设备的安全区域处理，应用无法访问。

您可以随时通过设备的系统设置撤销上述任何权限。撤销权限将禁用相应功能，但不会影响应用的核心功能。

8. 数据共享与披露

我们不会向任何第三方出售、出租、租赁或交易您的个人信息。绝不。

我们仅在以下有限情况下共享信息：

• 经您明确同意：如果您主动选择使用第三方 AI 服务，您的照片将直接从设备发送给该提供商。
• 加密的云数据：如果您启用云同步，您的加密数据（我们无法读取）将存储在 Supabase 基础设施上。
• 订阅验证：购买收据会与 RevenueCat 共享，以验证和管理您的订阅。
• 法律要求：如法律、传票、法院命令或其他法律程序要求，我们可能会披露信息。但由于您的云数据经过端到端加密，且我们不持有解密密钥，即使被强制要求，我们在技术上也无法提供您加密数据的内容。
• 业务转让：在发生合并、收购或资产出售的情况下，您的数据将作为交易的一部分进行转移。我们将通过电子邮件（如果您有账户）或通过更新本隐私政策通知您此类变更。零知识加密架构意味着任何继承实体同样无法访问您的加密数据。
• 崩溃报告：崩溃日志和设备状态信息会自动发送至 Google Firebase Crashlytics 进行崩溃分析。不包含个人内容或加密数据。

9. 数据保留

9.1 本地数据

存储在您设备上的本地数据将一直保留，直到您主动删除、删除账户或卸载应用。我们无法访问或控制本地存储的数据。

9.2 云数据

如果您使用云同步，您的加密数据将在账户有效期内保留在我们的服务器上。当您删除账户时，所有云数据将被永久且不可逆地删除，包括：

• 云存储中的所有加密文件
• 所有加密的数据库记录
• 您的 Supabase 认证账户和电子邮件

9.3 订阅数据

RevenueCat 根据其自身的数据保留政策及适用的税务/财务记录保存要求保留订阅和购买收据数据。

9.4 无服务器端内容日志

我们不会在服务器端记录您的物品数据、描述、照片或您在应用中输入的任何内容。标准的 Web 服务器访问日志（可能包含 IP 地址和时间戳）最多保留 30 天，用于安全和运营目的，之后自动删除。

10. 您的权利和选择

10.1 数据控制

您在应用程序中对您的数据拥有全面的控制权：

• 访问：随时直接在应用程序中查看您的所有数据。
• 导出：以 CSV、JSON 或 PDF 保险报告格式导出您的数据。您还可以创建加密备份存档。
• 更正：随时编辑或更新任何物品、位置或人员记录。
• 删除：删除单个物品、位置、人员或您的整个数据集。
• 账户删除：永久删除您的账户及所有关联的云端数据（参见第 11 节）。
• 选择退出可选功能：您可以选择不使用云同步、AI 描述或任何其他可选功能，而不影响应用程序的核心功能。

10.2 GDPR 权利（欧洲经济区用户）

如果您位于欧洲经济区 (EEA)、英国或瑞士，您根据《通用数据保护条例》(GDPR) 享有以下权利：

• 访问权（第 15 条）：您有权请求获取我们持有的关于您的个人数据副本。由于我们采用零知识加密，我们能够提供的唯一个人数据是您的电子邮件地址（如果您拥有账户）和订阅状态。
• 更正权（第 16 条）：您有权请求更正不准确的个人数据。您可以通过应用程序的账户设置更新您的电子邮件地址。
• 删除权（第 17 条）：您有权请求删除您的个人数据。您可以通过在应用程序内删除您的账户来行使此权利，此操作将永久移除所有云端数据、身份验证记录及相关信息。
• 限制处理权（第 18 条）：在特定情况下，您有权请求我们限制对您数据的处理。请通过 privacy@wherethebleep.app 联系我们行使此权利。
• 数据可携权（第 20 条）：您有权以结构化、通用且机器可读的格式接收您的个人数据。应用程序提供 CSV、JSON 和 PDF 格式的导出功能以满足此权利。
• 反对权（第 21 条）：您有权反对对您个人数据的处理。由于我们不会出于营销、画像或自动化决策目的处理您的数据，此权利主要适用于我们为身份验证目的处理您的电子邮件。
• 撤回同意权：在基于同意进行处理的情况下，您可以随时撤回同意。撤回同意不影响撤回前所进行处理的合法性。

处理的法律依据：我们基于以下法律依据处理您的个人数据：

• 合同履行（第 6(1)(b) 条）：处理您的电子邮件地址以创建账户和进行身份验证，以及处理订阅数据以提供专业版功能。
• 合法利益（第 6(1)(f) 条）：维护服务器基础设施安全和防止滥用。
• 同意（第 6(1)(a) 条）：当您明确选择使用 AI 描述功能时，通过第三方 AI 服务处理图像。

数据保护官：如有与 GDPR 相关的咨询，请通过 privacy@wherethebleep.app 联系我们。我们将按照 GDPR 的要求在 30 天内回复您的请求。

监管机构：如果您对我们的回复不满意，您有权向当地数据保护监管机构提出投诉。

10.3 CCPA 权利（加利福尼亚州居民）

如果您是加利福尼亚州居民，您根据《加州消费者隐私法》(CCPA) 和《加州隐私权法》(CPRA) 享有以下权利：

• 知情权：您有权了解我们收集、使用、披露和出售哪些个人信息。本隐私政策即为我们的披露声明。我们可能收集的个人信息类别包括：标识符（电子邮件地址）、商业信息（订阅状态）以及互联网或其他电子网络活动信息（仅限于标准服务器访问日志）。
• 删除权：您有权请求删除您的个人信息。您可以通过在应用程序内删除您的账户或通过 privacy@wherethebleep.app 联系我们来行使此权利。
• 更正权：您有权请求更正不准确的个人信息。
• 选择退出出售或共享的权利：我们不会出售或共享您的个人信息用于跨情境行为广告。由于我们从不出售您的数据，因此无需选择退出。
• 限制使用敏感个人信息的权利：我们不收集或处理 CCPA/CPRA 所定义的敏感个人信息。
• 非歧视权：我们不会因您行使任何 CCPA 权利而对您进行歧视。无论您是否行使隐私权利，您都将获得同等的服务和定价。

不出售或共享我的个人信息：我们不出售您的个人信息。我们不会共享您的个人信息用于跨情境行为广告。在过去 12 个月内，我们未出售或共享过个人信息。

经济激励：我们不提供与个人信息的收集、出售或删除相关的经济激励。

如需行使上述任何权利，请通过 privacy@wherethebleep.app 联系我们。我们将在处理您的请求前验证您的身份，并按法律要求在 45 天内作出回复。

11. 账户删除

您可以随时在应用程序内删除您的账户。账户删除是全面且不可逆的。删除过程将移除：

• 存储在云存储中的所有文件（加密照片、备份和附件）
• 与您的账户关联的所有数据库记录（加密的物品、位置、人员、签入/签出记录）
• 您的 Supabase 身份验证账户和电子邮件地址
• 您发起删除操作的设备上的本地数据库
• 发起删除操作的设备上与应用程序关联的所有本地文件
• 存储在设备安全存储中的所有数据（加密密钥、生物识别令牌、会话数据）

为防止意外或未经授权的删除，您必须验证密码并输入特定的确认短语方可执行删除操作。一旦启动，账户删除将无法撤销，您的数据也无法恢复。

12. 数据导出与可携带性

我们相信您应该始终能够随身携带您的数据。应用程序提供多种导出格式：

• CSV：逗号分隔值格式，适用于电子表格和其他应用程序。
• JSON：结构化数据格式，用于程序化访问和互操作。
• PDF 保险报告：格式化报告，适用于保险文档和理赔。
• 加密备份存档：使用 ChaCha20-Poly1305 认证加密保护的完整加密数据库备份。

所有导出均在您的设备上本地生成。导出文件不会传输到我们的服务器。

13. 儿童隐私

Where The Bleep 不面向13岁以下（或您所在司法管辖区适用的最低年龄）的儿童。我们不会故意收集13岁以下儿童的个人信息。

如果我们发现13岁以下的儿童创建了账户或提供了个人信息，我们将立即采取措施删除该账户及所有相关数据。

如果您是父母或监护人，并认为您的孩子向我们提供了个人信息，请通过 privacy@wherethebleep.app 与我们联系，我们将立即删除相关信息。

在获得父母同意的情况下，13岁及以上（或您所在司法管辖区适用的最低年龄）的儿童可以使用本应用。父母和监护人有责任监督其子女对本应用的使用。

14. 国际数据传输

如果您启用云同步，您的加密数据可能存储在位于美国或我们基础设施提供商运营所在的其他国家/地区的服务器上。由于所有云端数据均采用零知识架构进行端到端加密，服务器的物理位置不会影响您数据的保密性，因为除您之外，任何人都无法读取或解密这些数据。

如果您使用可选的AI描述服务，您的图片将直接从您的设备发送至您所选择的AI提供商。这些提供商可能根据其基础设施在不同司法管辖区处理您的图片。您可以选择使用哪家提供商，并有责任审查其数据处理惯例。

对于欧洲经济区用户：当个人数据被转移至欧洲经济区以外时，我们会确保采取适当的保障措施，包括经欧盟委员会批准的标准合同条款。零知识加密提供了 Schrems II 判决所规定的额外补充措施，因为数据对于没有解密密钥的任何一方而言都是不可理解的，而解密密钥仅由您持有。

15. 安全事件响应

在我们的云基础设施发生安全漏洞的极少数情况下，我们将：

• 根据《通用数据保护条例》（GDPR）及其他适用法律的要求，在发现数据泄露后72小时内通过电子邮件通知受影响的用户。
• 提供关于数据泄露性质及可能受影响的数据类型的清晰说明。
• 描述已采取和拟采取的应对措施。
• 在法律要求的情况下，向相关监管机构报告数据泄露事件。

需要特别指出的是，由于我们采用了零知识加密架构，即使我们的云基础设施发生数据泄露，您的物品数据、照片、描述及其他内容仍将保持加密状态，任何未经授权的第三方均无法读取。我们服务器上存储的唯一未加密数据是您的电子邮件地址和订阅状态。

16. Cookie 和跟踪技术

Where The Bleep 移动应用不使用 Cookie、网络信标、像素标签或任何其他跟踪技术。我们不采用设备指纹识别或任何其他机制来跨应用程序或网站识别或跟踪用户。

Where The Bleep 网站 (wherethebleep.app) 可能使用网站功能所必需的基本 Cookie。我们的网站不使用分析或广告 Cookie。

17. 本隐私政策的变更

我们可能会不时更新本隐私政策，以反映我们在实践、技术、法律要求或其他方面的变化。当我们作出变更时：

• 我们将更新本页面顶部的"最后更新"日期。
• 对于重大变更，我们将通过电子邮件（如果您拥有账户）或应用内通知的方式告知您。
• 我们将在重大变更生效前至少提前30天发出通知，以便您有机会审阅更新后的政策。
• 变更生效后您继续使用本应用，即表示您接受更新后的隐私政策。

我们建议您定期查阅本隐私政策，以了解我们如何保护您的数据。本政策的先前版本可应要求提供。

18. 联系我们

如果您对本隐私政策或我们的隐私惯例有任何疑问、意见或请求，请通过以下方式与我们联系：

电子邮件： privacy@wherethebleep.app

我们将在30天内回复所有与隐私相关的咨询。对于 GDPR 数据主体访问请求，我们将在法律规定的期限内作出回复。

如果您认为您的隐私权受到侵犯，您有权向当地数据保护机构提出投诉。