《见字 / Inks》隐私政策

版本：v1.0

生效日期：2026 年 5 月 28 日

开发者：王文鹏（个人开发者）

联系邮箱：hachineko@yeah.net

联系微信：nekooohachi

适用范围：本应用当前适用于中国大陆 Apple App Store 上架版本（如未来扩展至其他国家或地区，将按实际上线范围、功能与适用规则更新本政策）

系统支持：iOS 17.0 及以上（以实际上线版本为准）

1. 我们处理的信息

1.1 你创作的内容（信件/写作内容）

• 信件正文、标题、信件列表、写作内容等默认仅保存在你的设备本地。
• 首次写信、本地信件浏览、查看统计等基础体验无需登录即可完成；后续新建信件需要登录Apple 账号以完成云账号注册。
• 我们不会自动上传你的信件内容，也不会通过分析/埋点上报任何与信件内容相关的数据。
• 当你主动导出、分享、导入、上传自定义资源或使用未来云端投递功能时，相关文件或资源会按你选择的操作进行本地处理或网络传输。
• 本应用对本地内容采用加密、防截获等设计以提升本机数据安全性（实现方式可能随版本迭代优化）。
• 本应用支持文件共享功能（File Sharing），以便于您在必要时管理本地存储的数据。

1.2 云账号与同步数据

当你主动使用 Apple 登录、云账号资料、勋章、权益恢复、自定义头像或自定义贴纸等云功能时，我们可能处理以下信息：

• Apple 登录返回的身份凭证、Apple 用户标识、邮箱（如 Apple 提供）；
• 本地资料标识、云端用户标识、设备标识、设备型号、系统版本、应用版本、语言、时区；
• 你主动设置的昵称、生日、座右铭、头像等账号资料；
• 购买权益、订阅状态、设备授权、功能体验额度、勋章等账号相关状态；
• 你主动上传的自定义头像、自定义贴纸等已接入云端的自定义资源。

当前版本不会自动把信件正文、附件和信件资源上传为云端备份。账号资料同步只用于云账号、权益、勋章、头像、自定义贴纸等已接入云端的功能。

1.3 功能使用统计数据（分析/埋点）

在你开启“数据分析/共享”的情况下，我们可能收集并上报不包含信件内容的事件数据，用于改进体验与优化付费页面表现，例如：

• 功能使用事件：使用了哪些功能、视觉效果、使用频次等；
• 设置项事件：是否打开/关闭“数据分析/共享”；
• 付费墙相关事件：从哪个入口触发、停留时长、页面交互等。
• 上述事件可能附带必要技术上下文字段，如设备型号、系统版本、应用版本（详见 1.5）。

我们不会在埋点中收集或上传任何信件正文、信件列表或隐私文本。

地区分流（独立链路）：

• 中国大陆地区：统计数据发送到开发者自建统计服务（AnalyticsHub）；
• 非中国大陆运行环境：可能根据设备/系统地区使用 PostHog Cloud 处理统计数据；当前第一版仅在中国大陆 App Store 供应，但审核、测试或用户设备地区设置可能触发对应地区链路；
• 两条链路独立运行，不会在两者之间互相兜底或互相补传。

离线与补发机制：当设备离线时，事件可能暂存在本地队列；当恢复联网后会自动发送。若你关闭“数据分析/共享”，将停止事件上报。

1.4 应用内购买

• 购买与支付由 苹果（Apple）处理，我们不会收集银行卡号等支付信息；
• 我们可能向自建后端提交 App Store 交易凭证或交易状态，用于校验购买、绑定云账号权益、恢复权益和处理设备授权。
• 在你开启“数据分析/共享”时，我们会上报购买相关事件（如付费墙浏览、购买成功/失败、恢复购买等），用于分析付费转化率和优化用户体验。这些事件不包含敏感支付信息，仅包含产品ID、来源页面等必要字段。

1.5 技术信息与标识符（用于分析、账号与安全）

在开启数据分析/共享、使用云账号、购买校验或隐私请求等功能时，为实现统计分析、账号服务与安全保障，我们可能处理以下技术信息：

• 设备与应用信息：设备型号、系统版本、应用版本、语言、时区等；
• 标识符：
• 用户标识符：首次启动时生成的随机唯一标识符（UUID），存储在本地数据库；
• 设备标识符：优先使用系统提供的厂商标识符（IDFV），若不可用则使用随机生成的标识符，通过系统密钥链（Keychain）持久化；
• 会话标识符：每次启动生成的临时标识；
• 网络信息：当您的设备向我们的服务器发送数据时，您的互联网协议（IP）地址会作为标准 HTTP 请求的一部分自动记录在服务器日志中。我们收集 IP 地址用于：
• 防止滥用和异常访问检测（如频繁请求、恶意攻击）；
• 粗略的地理区域分析（仅到国家/地区级别，不精确定位）；
• 技术故障排查与服务稳定性监控。

我们不会主动使用 IP 地址识别您的真实身份，也不会用于精确位置追踪。服务器日志会定期清理，IP 地址通常保留不超过 90 天。

1.6 隐私请求联系方式（导出/删除申请）

当你在 App 设置页发起统计数据的导出或删除请求时，我们会处理以下额外信息：

• 联系邮箱（contactEmail）：用于向你发送处理结果通知；
• 请求备注（requesterNote，可选）：用于辅助人工处理；
• 请求元数据：如请求时间、设备标识、用户标识、地区信息、应用版本等。

上述信息仅用于处理你的数据权利请求（export/delete ticket）与审计留痕，不用于广告投放。

1.7 生物识别特征（面容识别/指纹识别）

当你使用“应用锁”或“隐藏信件”等安全功能时，我们可能调用 iOS 系统的本地身份验证框架。

• 仅本地验证：验证过程完全在你的设备安全芯片（Secure Enclave）中进行。
• 不收集：我们无法获取、存储或上传你的面容、指纹等生物特征原始数据，应用仅接收系统返回的“验证通过”或“验证失败”的结果。

这些标识符用于区分不同设备/用户的统计数据、云账号状态和权益状态。我们遵循最小必要原则，不会用这些标识符读取或推断你的信件内容；涉及云账号、购买权益和设备授权的场景，会按提供对应功能所必需的范围与账号状态关联。

2. 权限使用说明

相册权限：

当你选择将统计卡片、信件截图、导出图片或 Live Photo 保存到相册时，应用会请求“仅写入”相册的权限。当你主动选择图片用于头像、自定义贴纸或信件装饰时，应用会读取你选择的图片。我们只处理你主动选择或主动保存的内容。

面容识别 / 生物识别权限：

我们使用 FaceID/TouchID 来保护您的信件隐私，仅用于本地解锁应用或隐藏内容。当你开启应用锁或访问隐藏内容时，应用会请求使用身份验证。此权限仅用于本地验证以保护你的隐私，我们不会获取你的生物特征数据。

运动感应权限：

我们使用设备运动感应来为贴纸提供动态光影效果。

定位权限：

我们需要获取您的位置信息（仅在使用应用期间）以提供基于地点的信件解锁功能（如“到达”或“停留”限制）。你设置的地点解锁条件会随信件访问配置保存在本地；运行时地理围栏判定在设备本地完成，我们不会把你的实时位置或移动轨迹上传到服务器。

3. 信息共享与第三方服务

我们不会出售你的个人信息。为提供数据分析能力，在你开启数据分析/共享时，可能会向以下服务方共享必要的事件数据与技术信息：

• PostHog Cloud：用于非中国大陆运行环境下的产品分析与埋点统计；当前第一版仅在中国大陆 App Store 供应，但审核、测试或用户设备地区设置可能触发对应地区链路；
• AnalyticsHub（开发者自建后台，部署于中国大陆服务器）：用于中国大陆地区的埋点/运营统计数据处理；
• 开发者自建隐私请求工单系统：用于接收导出/删除申请、状态流转、结果通知；
• Apple：用于苹果账号登录、苹果 App Store 应用内购买、订阅管理、退款等系统能力；
• 开发者自建云服务：用于云账号登录、账号资料、头像、自定义贴纸等已接入云端的自定义资源、勋章、权益、购买校验、设备授权和远程配置。

当你提交导出/删除请求后，开发者会在对应处理平台（AnalyticsHub / PostHog）执行人工处理，并将结果回填到工单系统。

共享数据不包含信件内容或隐私文本。我们会采取合理措施限制数据使用范围。

如 App 在非中国大陆运行环境下自动选择 PostHog Cloud 链路，相关统计数据可能跨境传输至 PostHog Cloud 处理。该处理通常基于你开启“数据分析/共享”后的同意（consent），以及为改进服务体验所需的必要处理。你可随时在设置中关闭该开关以撤回同意。

4. 数据安全与存储

• 信件内容默认仅存储在你的设备本地；
• 分析统计数据存储与传输：中国大陆运行环境的分析数据存储于开发者自建服务器；非中国大陆运行环境可能按地区使用 PostHog Cloud 或开发者自建服务器。所有网络传输均采用 TLS/SSL (HTTPS) 加密技术。
• 云账号资料、头像、自定义贴纸等已接入云端的自定义资源、勋章、权益、购买校验、设备授权等数据存储在开发者自建云服务中，用于提供你主动启用的账号和权益能力；
• 隐私请求工单数据（如 requestId、状态、联系邮箱、处理备注）存储于开发者自建后台数据库，用于处理进度跟踪与审计记录；
• 隐私请求工单数据会按处理请求、审计留痕和法律法规要求在必要期限内保留；达到保留期限后将删除或匿名化（法律法规另有要求的除外）；
• 我们采取合理安全措施（如传输加密、访问控制等），但互联网传输不保证绝对安全。
• 本应用不涉及非豁免加密（即 ITSAppUsesNonExemptEncryption 为 false）。

5. 你的权利与选择

• 关闭数据分析/共享：你可在设置中关闭该功能；关闭后将停止任何事件上报。
• 撤回同意的边界：关闭“数据分析/共享”后，仅停止新的统计事件上报；不影响撤回前已基于合法依据完成的处理活动。与导出/删除请求相关的工单与审计记录将在法定或必要期限届满后删除或匿名化。
• 导出统计数据请求：你可在设置页提交导出请求。系统会创建工单并返回请求状态，最终结果通过邮件和/或 App 内状态通知。
• 删除统计数据请求：你可在设置页提交删除请求。系统会创建工单并进入人工处理流程。
• 导出完整应用数据：你可在设置页导出本地数据包（如本地信件、设置快照等，以实际版本为准）。
• 删除完整应用数据：你可在设置页删除本地数据。该操作不可撤销。
• 删除本地数据（系统层）：你也可通过删除应用等方式删除本机数据；重新安装会生成新的本地用户标识。
• 云账号数据：你可在 App 内资料/账号相关页面管理云账号资料、头像等内容，也可通过本政策列明的联系方式申请处理云账号资料、自定义贴纸等已接入云端的自定义资源、权益记录等相关请求；我们会根据账号状态、法律要求和必要审计留痕处理。
• 云账号删除：你可在 App 内删除云账号及其关联云端个人数据。删除云账号不等同于取消 App Store 订阅；订阅取消、退款和付款记录仍需通过 Apple 账户或 Apple 支持处理。

如未来版本扩展至适用 GDPR/UK GDPR 等法律的地区，我们会在法定期限内处理你的数据权利请求（通常为 30 天内，必要时依法延期并通知）。

6. 未成年人保护

本应用面向一般用户，未专门面向 13 岁以下儿童。我们不会有意收集 13 岁以下儿童的个人信息；如发现将尽快删除。

7. 本政策更新

我们可能适时更新本隐私政策。重大变更将通过应用内提示或可获取位置展示方式告知。

8. 联系我们

邮箱：hachineko@yeah.net

微信：nekooohachi

*本文档已于 2026-05-28 更新至 v1.0 版本。首发版本说明：按当前 iOS 第一版功能口径，明确本地信件、云账号、统计分析、购买校验、相册、定位、生物识别等数据处理范围。*