隐私政策

一句话版本：BYOK 表示你使用自己的供应商账户和 API 密钥。我们不出售你的数据，不用它投放广告，也不用你的内容训练 Oriveo 自有模型。只有在提供你选择的功能所必需时，我们才处理相关内容。

• API 密钥：默认本地保存。Web 版或其他服务端兼容转发路径中，密钥可能只为完成一次请求而传到 Oriveo 转发端点；我们不会把它保存为账户记录。
• 对话与附件：本地优先保存。开启云同步后，会话记录、消息正文、模型输出、可用时的推理文本和附件元数据会通过 Firebase Firestore 同步。附件原文件可能上传到 Firebase Cloud Storage 以支持跨设备访问。
• 供应商请求路径：原生应用的许多 BYOK 流程可能直接请求供应商。Web 版、Relay、Oriveo Free 和部分能力可能通过 Oriveo 服务器转发，以支持流式、兼容性、配额或安全控制。
• 备份：导出的备份可能包含对话数据和附件。只有你选择包含 API 密钥并提供密码时，API 密钥才会加密写入备份。
• 我们不做的事：不出售个人数据、不投放定向广告、不用你的内容训练 Oriveo 自有模型。

本隐私政策下"数据控制者"（或《个人信息保护法》下的"个人信息处理者"）为 Oriveo 团队。

• 运营主体：Oriveo 团队
• 注册地 / 通讯地址：请通过 [email protected] 联系我们获取适用的运营主体与通讯信息
• 隐私与数据保护联系邮箱：[email protected]
• 一般支持联系邮箱：[email protected]

若您位于欧洲经济区（EEA）、英国或瑞士，您可随时就本服务的个人数据处理向我们或您所在国的数据保护监管机构提出咨询或投诉。

我们只收集运营服务和你所使用功能所需的信息，主要包括：

• 账户信息：通过 Firebase Authentication 处理邮箱、显示名、头像 URL 和登录方式（Google、Apple 或邮箱 OTP）。我们不保存账户密码；邮箱 OTP 由 Resend 发送，通常 10 分钟内失效。
• 云同步数据（开启后）：Firebase Firestore 会保存并同步会话记录、消息正文、模型输出、可用时的推理文本、时间戳、文件夹、Skill 目录、Memory 文本、偏好、使用统计、模型/供应商元数据、附件元数据、图片缩略图和存储引用。
• 附件：如果同步或跨设备访问需要，图片、PDF 等文件可能上传到你的 Firebase Cloud Storage 账户空间；你可以随时删除。
• BYOK 请求数据：为完成模型请求，提示词、附件、模型选择、API 密钥和响应会由你选择的 AI 供应商处理。Web 版、Relay 和部分兼容路径中，这些流量可能临时经过 Oriveo 服务器转发。
• Skill 知识库文件：你为 Skill 上传知识库文件时，我们的后端可能转发到 OpenAI Vector Store 用于检索增强；原文与向量仅用于你的账户。
• 设备与技术数据：IP 地址、粗略 IP 地理位置、设备型号、系统版本、应用版本、语言和时区，用于反滥用、限速、诊断和合规。
• 错误与性能诊断：通过 Sentry 可能收到异常堆栈、面包屑、当前用户标识（Firebase UID）和设备指纹。这些记录可能与你的账户关联；你可以在“设置 -> 隐私”关闭诊断。
• Oriveo Free 运营记录：使用免费层时，请求会经由 Oriveo 服务器转发给上游模型供应商。我们保留配额、反滥用、稳定性、举报和审计所需的最少记录。普通 Free 对话的消息正文默认不作为聊天日志持久化保存，但会在转发过程中被处理。
• 管理后台安全数据：管理员登录时，我们可能使用 Cloudflare Turnstile 做人机验证并记录相关登录事件。

在 BYOK 模式下，Oriveo 会尽量减少存储，但下列数据仍可能按功能和平台被处理：

• API 密钥默认本地保存；Web 或服务端兼容转发路径中，可能只为完成所选供应商请求而传输，且不会保存为账户记录。
• 提示词、会话上下文、附件和模型响应会发送给你选择的 AI 供应商，以便模型生成回复。
• Web 版、Relay、Oriveo Free 和部分兼容或流式流程中，请求与响应可能临时经过 Oriveo 服务器。
• 开启云同步后，会话历史、消息正文、模型输出、可用时的推理文本和附件元数据会通过 Firebase Firestore 同步；附件原文件可能上传到 Firebase Cloud Storage。
• 导出或恢复备份时，备份文件可能包含对话和附件。只有你选择包含 API 密钥并用密码保护时，API 密钥才会包含在内。

我们按以下目的处理您的个人数据，并在适用时遵循 GDPR、CCPA/CPRA、PIPL 等法规规定的法律依据：

• 提供与维护服务（账户登录、云同步、跨设备访问）——基于合同履行必要（GDPR 第 6(1)(b) 条）。
• 故障诊断与产品改进（错误日志、崩溃堆栈、聚合使用指标）——基于我们改进服务的合法利益（第 6(1)(f) 条）。
• 反滥用、配额控制与安全防护（限速、CAPTCHA、异常登录检测、Oriveo Free 配额审计、反欺诈）——基于合法利益及履行法律义务（第 6(1)(c) 条）。
• Oriveo Free 服务提供（请求转发、配额计量、内容举报处理）——基于合同履行必要。
• 响应法律合规要求（法院指令、监管请求、数据主体请求）——基于法律义务。
• 与您沟通服务变更、安全事件与重要公告——基于合同履行或合法利益。

我们不会：

• 将您的个人数据出售或出租给第三方；
• 用您的个人数据投放定向广告或进行广告画像；
• 用您的用户内容训练 Oriveo 自己的 AI 模型。

为提供服务，我们会与以下受托处理方或服务提供方共享必要数据：

• Google Firebase（Authentication / Firestore / Cloud Storage / Hosting）——账户数据、开启同步后的会话记录与消息内容、附件元数据、附件文件和托管数据。
• Sentry——错误与性能诊断。
• Resend——收件人邮箱和一次性登录验证码。
• Cloudflare——网络元数据、IP 地址、安全控制和 Admin 端 Turnstile。
• OpenAI——Skill 知识库 Vector Store，以及适用时的模型请求路由。
• 你选择的 AI 供应商——完成 BYOK 或 Relay 模型调用所需的提示词、附件、会话上下文、模型选择和响应。根据平台和功能，请求可能由客户端直接发送，也可能通过 Oriveo 兼容端点转发。
• Oriveo Free 上游供应商——免费层生成响应所需的提示词和会话上下文。

每家供应商都有自己的隐私政策和数据处理规则。你有责任阅读这些规则，包括可用的训练数据 opt-out 设置。除上述情形和法律要求外，我们不会为了广告出售、出租或转让你的个人数据。

我们的云基础设施（Firebase、Sentry、Cloudflare 等）部署在全球多个区域。如您位于非服务器所在区域，您的个人数据可能需要跨境传输。我们采取下列合法机制：

• 欧洲经济区 / 英国 / 瑞士 用户：依据欧盟委员会批准的标准合同条款（SCCs）及附加补充措施向第三国传输。
• 中国大陆用户：依据《个人信息保护法》关于个人信息跨境提供的要求，评估必要性并告知您。
• 其他地区：依据当地法律对跨境传输的要求执行。

如您希望了解具体的传输机制或获取副本，请联系 [email protected]。

保留期限：

• 账户信息：账户生命周期内，以及删除后最多 30 天用于误删恢复；
• 云同步数据、已同步消息内容、附件元数据、附件文件和知识库文件：直到你删除、移除相关数据或注销账户为止，但可能受技术备份保留影响；
• Oriveo Free 配额、反滥用和审计记录：最长 180 天，除非安全、法律或争议处理需要更长时间；
• 用户提交的举报详情：最长 180 天，除非解决争议、执行条款或遵守法律需要更长时间；
• Sentry 错误日志：最长 90 天；
• Admin 登录日志：最长 12 个月；
• OTP 验证码：10 分钟或验证成功后立即失效；
• 法律要求保留的数据：按适用法律要求的期限保留。

安全措施：

• 传输加密：所有客户端与服务端连接使用 TLS 1.2 或更高版本。
• 静态加密：服务端基础设施启用静态加密。导出的备份文件在你提供密码时，可使用 AES-256 加密其中包含的 API 密钥。
• 设备端密钥保护：原生应用使用 iOS Keychain / Android Keystore；Web 使用同源策略隔离的浏览器存储。
• 访问控制：内部访问遵循最小权限原则，敏感操作会记录审计。
• 泄露通知：如果个人数据事件可能给你带来高风险，我们会尽量在 72 小时内通过邮件或应用内通知告知你，并在需要时通知监管机构。

根据适用法律（GDPR、UK GDPR、CCPA/CPRA、PIPL 等），您对自己的个人数据享有以下权利：

• 访问与获取副本：通过"设置 → 备份 → 导出"随时下载您的全部数据，格式为加密 ZIP 便于迁移。
• 更正：在账户设置中直接修改；对于无法自助修改的字段，请邮件联系我们。
• 删除：通过"设置 → 账户 → 删除账户"一键删除服务端所有关联数据（部分日志按保留期限处理）。
• 可携带：导出数据为结构化、常用、机器可读格式。
• 限制 / 反对处理：可关闭诊断上报、关闭云同步、随时停用账户。
• 撤回同意：对基于您同意处理的数据，您可随时撤回同意（不影响撤回前基于同意已进行的处理的合法性）。
• 不受自动化决策约束：我们没有对您实施产生法律效果的自动化决策；Oriveo Free 的配额计算属于运营必要的反滥用措施，仅涉及计数不涉及画像。
• 向监管机构投诉的权利：EEA / 英国用户可向所在国数据保护机构投诉；加州用户可向加州总检察长办公室投诉；中国大陆用户可依《个人信息保护法》向网信部门投诉。

响应时限：我们在收到可验证的请求后 30 天内响应；复杂请求可依法延长不超过两次、每次不超过 30 天，并告知您延长理由。如您对我们的处理不满意，可先直接联系 [email protected] 协商。

Oriveo 官网和 Web 应用使用下列存储技术，均不用于广告定向或跨站追踪：

• 严格必要（无法关闭）：Firebase Auth 会话 Cookie、CSRF 防护令牌、Admin 后台 JWT Cookie。
• 功能性：主题、语言、布局等 UI 偏好；会话草稿、模型元数据缓存等存于浏览器 IndexedDB。
• 安全防护：Admin 后台 Cloudflare Turnstile 人机验证；Cloudflare DDoS 防护令牌。

我们不使用第三方广告 Cookie、跨站追踪像素或第三方分析脚本。您可通过浏览器设置清除或阻止 Cookie，但可能会影响登录态和部分功能。

本服务不面向 13 岁以下儿童；若您所在司法辖区（如欧盟部分成员国）将数字同意年龄提高至 16 岁，请达到当地法定年龄方可使用。未达法定年龄者须在监护人同意并监督下使用本服务。

我们不会有意收集未达法定年龄儿童的个人信息。如您是监护人且发现我们收集了您孩子的信息，请立即联系 [email protected]，我们将在核实后立即删除相关数据。

政策变更：我们可能不时更新本隐私政策以反映产品、技术或法律法规的变化。重大变更我们将在生效前通过应用内通知、邮件或官网显著位置告知您，并将"最后更新"日期相应前移。您在变更生效后继续使用服务即视为接受更新后的政策；如您不同意，可停止使用服务并注销账户。

联系我们：

• 隐私与数据主体请求：[email protected]
• 一般产品支持：[email protected]
• 法律事务：[email protected]

我们会尽力在合理期限内回复您的请求。