隐私政策

一句话版本：BYOK 模式下我们不保存您的 API 密钥、对话内容或模型输出；云同步、加密备份和 Oriveo Free 免费层属于可选功能，开启后才会处理相应数据。

• 您的 API 密钥：只保存在您本地设备的系统安全存储中，永不上传到我们的服务器。
• 您的对话与附件：BYOK 模式下从您的设备直连 AI 供应商；开启云同步或备份时才会上传，且备份采用 AES-256 端到端加密。
• Oriveo Free 免费层：请求会经由 Oriveo 服务器转发至第三方模型商，我们仅保留配额控制、反滥用和审计所需的最小记录。
• 我们不做的事：不出售您的个人数据、不投放定向广告、不用您的内容训练我们自己的 AI 模型。

本隐私政策下"数据控制者"（或《个人信息保护法》下的"个人信息处理者"）为 Oriveo 团队。

• 运营主体：[运营主体名称，以正式工商登记为准]
• 注册地 / 通讯地址：[待补充]
• 隐私与数据保护联系邮箱：[email protected]
• 一般支持联系邮箱：[email protected]

若您位于欧洲经济区（EEA）、英国或瑞士，您可随时就本服务的个人数据处理向我们或您所在国的数据保护监管机构提出咨询或投诉。

我们仅收集运营服务所必需的最小信息，主要包括以下类别：

• 账户信息：通过 Firebase Authentication 记录您的电子邮箱、显示名、头像 URL 以及登录方式（Google、Apple、邮箱 OTP）。我们不保存账户密码；邮箱 OTP 验证码由 Resend 发送，通常在 10 分钟内失效。
• 云同步元数据（开启后收集）：通过 Firebase Firestore 同步会话标题、时间戳、文件夹、Skill 目录、Memory 文本、偏好设置和费用统计等元数据。消息正文默认不上云，只有您明确创建加密备份时才会以 AES-256 加密上传到 Firebase Cloud Storage。
• 附件（开启云同步后收集）：图片、PDF 等附件会通过 Firebase Cloud Storage 上传到您的账户分区，以支持多设备访问；您可随时删除。
• Skill 知识库文件：当您为 Skill 上传知识库文件时，文件会由我们的后端代理上传至 OpenAI Vector Store 用于检索增强；原文与向量仅供您的账户使用。
• 设备与技术数据：IP 地址（用于反滥用、限速与地理合规判断）、由 IP 推断的粗略地理位置、设备型号、操作系统版本、应用版本、语言与时区。
• 错误与性能诊断：通过 Sentry 收集未捕获异常的堆栈、面包屑、当前用户标识（Firebase UID）和设备指纹。此项记录可关联到您的账户，不是完全匿名；如您不希望上传，请在"设置 → 隐私"中关闭诊断开关。
• Oriveo Free 运营记录：使用免费层时，我们保留 Guest Session ID、设备识别 token、每次调用的模型 ID 与 token 计数、举报与配额审计日志；默认不保留消息正文，仅在合规举报复核场景按需抽样并限期保留。
• 管理后台安全数据：管理员登录时我们使用 Cloudflare Turnstile 验证人机并记录登录日志。

在 BYOK（自带密钥）模式下，以下数据从不离开您的设备，我们既不采集、也无法读取：

• 您输入的 API 密钥；
• 您与第三方 AI 供应商（OpenAI、Anthropic、Google 等）之间的对话内容；
• 模型生成的响应与引用；
• 本地附件原文（除非您主动开启云同步或创建加密备份）；
• 会话历史（除非您主动开启云同步或创建加密备份）。

BYOK 模式下，您的请求从您的设备直接发送到您选择的 AI 供应商，不经过 Oriveo 服务器。我们不做代理，也不做镜像。

我们按以下目的处理您的个人数据，并在适用时遵循 GDPR、CCPA/CPRA、PIPL 等法规规定的法律依据：

• 提供与维护服务（账户登录、云同步、跨设备访问）——基于合同履行必要（GDPR 第 6(1)(b) 条）。
• 故障诊断与产品改进（错误日志、崩溃堆栈、聚合使用指标）——基于我们改进服务的合法利益（第 6(1)(f) 条）。
• 反滥用、配额控制与安全防护（限速、CAPTCHA、异常登录检测、Oriveo Free 配额审计、反欺诈）——基于合法利益及履行法律义务（第 6(1)(c) 条）。
• Oriveo Free 服务提供（请求转发、配额计量、内容举报处理）——基于合同履行必要。
• 响应法律合规要求（法院指令、监管请求、数据主体请求）——基于法律义务。
• 与您沟通服务变更、安全事件与重要公告——基于合同履行或合法利益。

我们不会：

• 将您的个人数据出售或出租给第三方；
• 用您的个人数据投放定向广告或进行广告画像；
• 用您的用户内容训练 Oriveo 自己的 AI 模型。

为提供服务，我们会与以下受托处理方（sub-processor）共享运营所必需的最少数据，并与其签订数据处理协议（DPA）：

• Google Firebase（Authentication / Firestore / Cloud Storage / Hosting）——账户、同步数据、附件；数据中心位于美国。
• Sentry（错误与性能监控）——错误堆栈与诊断数据。
• Resend（邮件 OTP 发送）——接收方邮箱与一次性验证码。
• Cloudflare（CDN、DDoS 防护、Admin 端 Turnstile CAPTCHA）——请求元数据与 IP。
• OpenAI（仅用于 Skill 知识库 Vector Store，以及 Oriveo Free 免费层按路由调用对应模型）——您上传的知识库文件或免费层对话。
• 您选择的第三方 AI 供应商（BYOK 模式下从您设备直连，不经我们服务器）——包括 OpenAI、Anthropic、Google、DeepSeek、OpenRouter、Groq、Together AI、Fireworks AI、MiniMax、Zhipu、Qwen、SiliconFlow 以及您自定义的 Relay 端点。每家供应商都有各自的隐私政策和数据处理方式，您有责任阅读并遵守；对于训练数据选项（opt-out），请在其官方控制台设置。

除上述情形以及法律法规强制要求之外，我们不会向任何第三方披露、出售、出租或出让您的个人数据。

我们的云基础设施（Firebase、Sentry、Cloudflare 等）部署在全球多个区域。如您位于非服务器所在区域，您的个人数据可能需要跨境传输。我们采取下列合法机制：

• 欧洲经济区 / 英国 / 瑞士 用户：依据欧盟委员会批准的标准合同条款（SCCs）及附加补充措施向第三国传输。
• 中国大陆用户：依据《个人信息保护法》关于个人信息跨境提供的要求，评估必要性并告知您。
• 其他地区：依据当地法律对跨境传输的要求执行。

如您希望了解具体的传输机制或获取副本，请联系 [email protected]。

保留期限：

• 账户信息：账户生命周期内 + 账户删除后 30 天缓冲期（用于误删恢复）
• 云同步元数据 / 附件 / 知识库文件：保存至您主动删除或注销账户为止
• Oriveo Free 调用记录：最长 180 天（用于滥用判定与合规审计）
• Oriveo Free 举报内容快照：最长 12 个月或至相关纠纷结案
• 错误日志（Sentry）：最长 90 天
• 登录日志（管理后台）：最长 12 个月
• OTP 验证码：10 分钟或验证成功后立即失效
• 法律法规要求保留的数据：按当地法律规定的期限保留，可能超过以上期限

安全措施：

• 传输加密：所有客户端与服务端通信使用 TLS 1.2 及以上协议。
• 存储加密：服务端数据库启用静态加密；用户加密备份使用 AES-256 端到端加密，密钥由您持有。
• 设备端密钥保护：API 密钥存储于 iOS Keychain / Android Keystore / 浏览器加密存储。
• 访问控制：内部访问遵循最小权限原则，敏感操作记录审计日志。
• 数据泄露通知：如发生可能给您带来高风险的个人数据泄露事件，我们将在 72 小时内通过邮件或应用内通知告知您，并依法向监管机构报告。

根据适用法律（GDPR、UK GDPR、CCPA/CPRA、PIPL 等），您对自己的个人数据享有以下权利：

• 访问与获取副本：通过"设置 → 备份 → 导出"随时下载您的全部数据，格式为加密 ZIP 便于迁移。
• 更正：在账户设置中直接修改；对于无法自助修改的字段，请邮件联系我们。
• 删除：通过"设置 → 账户 → 删除账户"一键删除服务端所有关联数据（部分日志按保留期限处理）。
• 可携带：导出数据为结构化、常用、机器可读格式。
• 限制 / 反对处理：可关闭诊断上报、关闭云同步、随时停用账户。
• 撤回同意：对基于您同意处理的数据，您可随时撤回同意（不影响撤回前基于同意已进行的处理的合法性）。
• 不受自动化决策约束：我们没有对您实施产生法律效果的自动化决策；Oriveo Free 的配额计算属于运营必要的反滥用措施，仅涉及计数不涉及画像。
• 向监管机构投诉的权利：EEA / 英国用户可向所在国数据保护机构投诉；加州用户可向加州总检察长办公室投诉；中国大陆用户可依《个人信息保护法》向网信部门投诉。

响应时限：我们在收到可验证的请求后 30 天内响应；复杂请求可依法延长不超过两次、每次不超过 30 天，并告知您延长理由。如您对我们的处理不满意，可先直接联系 [email protected] 协商。

Oriveo 官网和 Web 应用使用下列存储技术，均不用于广告定向或跨站追踪：

• 严格必要（无法关闭）：Firebase Auth 会话 Cookie、CSRF 防护令牌、Admin 后台 JWT Cookie。
• 功能性：主题、语言、布局等 UI 偏好；会话草稿、模型元数据缓存等存于浏览器 IndexedDB。
• 安全防护：Admin 后台 Cloudflare Turnstile 人机验证；Cloudflare DDoS 防护令牌。

我们不使用第三方广告 Cookie、跨站追踪像素或第三方分析脚本。您可通过浏览器设置清除或阻止 Cookie，但可能会影响登录态和部分功能。

本服务不面向 13 岁以下儿童；若您所在司法辖区（如欧盟部分成员国）将数字同意年龄提高至 16 岁，请达到当地法定年龄方可使用。未达法定年龄者须在监护人同意并监督下使用本服务。

我们不会有意收集未达法定年龄儿童的个人信息。如您是监护人且发现我们收集了您孩子的信息，请立即联系 [email protected]，我们将在核实后立即删除相关数据。

政策变更：我们可能不时更新本隐私政策以反映产品、技术或法律法规的变化。重大变更我们将在生效前通过应用内通知、邮件或官网显著位置告知您，并将"最后更新"日期相应前移。您在变更生效后继续使用服务即视为接受更新后的政策；如您不同意，可停止使用服务并注销账户。

联系我们：

• 隐私与数据主体请求：[email protected]
• 一般产品支持：[email protected]
• 法律事务：[email protected]

我们会尽力在合理期限内回复您的请求。