隱私政策

一句話版本：在 BYOK 模式下，我們不保存你的 API Key、對話內容或模型輸出；雲端同步、加密備份與 Oriveo Free 免費層都屬於可選功能，只有在你啟用後，我們才會處理相應資料。

• 你的 API Key：只會保存在你本地裝置的系統安全儲存中，絕不會上傳到我們的伺服器。
• 你的對話與附件：在 BYOK 模式下會直接從你的裝置連接 AI 供應商；只有開啟雲端同步或備份時才會上傳，而且備份採用 AES-256 端對端加密。
• Oriveo Free 免費層：請求會經由 Oriveo 伺服器轉發給第三方模型服務商，我們只保留配額控制、防濫用與稽核所需的最少記錄。
• 我們不做的事：不出售你的個人資料、不投放定向廣告、不使用你的內容訓練我們自己的 AI 模型。

本隱私政策中的「資料控制者」（或依適用法等同於個人資料處理者的角色）為 Oriveo 團隊。

• 營運主體：[營運主體名稱，以正式商業登記為準]
• 註冊地 / 通訊地址：[待補充]
• 隱私與資料保護聯絡信箱：[email protected]
• 一般支援信箱：[email protected]

若你位於歐洲經濟區（EEA）、英國或瑞士，你可隨時就本服務的個人資料處理事宜，向我們或你所在地的資料保護主管機關提出查詢或申訴。

我們只蒐集營運本服務所必需的最少資訊，主要包括以下類別：

• 帳號資訊：透過 Firebase Authentication 記錄你的電子郵件地址、顯示名稱、頭像 URL，以及登入方式（Google、Apple、電子郵件 OTP）。我們不保存帳號密碼；電子郵件 OTP 驗證碼由 Resend 發送，通常會在 10 分鐘內失效。
• 雲端同步中繼資料（啟用後才會蒐集）：透過 Firebase Firestore 同步會話標題、時間戳、資料夾、Skill 目錄、Memory 文字、偏好設定與費用統計等中繼資料。訊息正文預設不上雲，只有你明確建立加密備份時，才會以 AES-256 加密上傳至 Firebase Cloud Storage。
• 附件（啟用雲端同步後才會蒐集）：圖片、PDF 等附件會透過 Firebase Cloud Storage 上傳至你帳戶專屬的儲存區域，以支援多裝置存取；你可隨時刪除。
• Skill 知識庫檔案：當你為 Skill 上傳知識庫檔案時，檔案會由我們的後端代理上傳至 OpenAI Vector Store，以支援檢索增強；原文與向量僅供你的帳戶使用。
• 裝置與技術資料：IP 位址（用於防濫用、速率限制與地區合規判斷）、由 IP 推估的粗略地理位置、裝置型號、作業系統版本、應用版本、語言與時區。
• 錯誤與效能診斷資料：透過 Sentry 蒐集未捕捉例外的堆疊資訊、breadcrumb、目前使用者識別碼（Firebase UID）與裝置指紋。這些記錄可能與你的帳戶關聯，並非完全匿名；若你不希望上傳，可在「設定 → 隱私」中關閉診斷開關。
• Oriveo Free 營運記錄：使用免費層時，我們會保留 Guest Session ID、裝置識別 token、每次呼叫的模型 ID 與 token 計數，以及檢舉與配額稽核日誌；預設不保留訊息正文，僅在合規檢舉複核情境下按需抽樣，並在限定期間內保留。
• 管理後台安全資料：管理員登入時，我們會使用 Cloudflare Turnstile 驗證是否為真人，並記錄登入日誌。

在 BYOK（自備 Key）模式下，下列資料不會離開你的裝置，我們既不蒐集，也無法讀取：

• 你輸入的 API Key；
• 你與第三方 AI 供應商（如 OpenAI、Anthropic、Google 等）之間的對話內容；
• 模型生成的回應與引用；
• 本地附件原文（除非你主動啟用雲端同步或建立加密備份）；
• 會話歷史（除非你主動啟用雲端同步或建立加密備份）。

在 BYOK 模式下，你的請求會從你的裝置直接發送到你選擇的 AI 供應商，不會經過 Oriveo 伺服器。我們不做代理，也不做鏡像。

我們會基於以下目的處理你的個人資料，並在適用時遵循 GDPR、CCPA/CPRA、PIPL 等法規所要求的法律依據：

• 提供與維護服務（帳號登入、雲端同步、跨裝置存取）——基於履行契約所必需（GDPR 第 6(1)(b) 條）。
• 故障診斷與產品改善（錯誤日誌、崩潰堆疊、彙總後的使用指標）——基於我們改善服務的正當利益（第 6(1)(f) 條）。
• 防濫用、配額控制與安全防護（速率限制、CAPTCHA、異常登入偵測、Oriveo Free 配額稽核、防詐欺）——基於正當利益及履行法律義務（第 6(1)(c) 條）。
• 提供 Oriveo Free（請求轉發、配額計量、檢舉處理）——基於履行契約所必需。
• 回應法律與合規要求（法院命令、監管要求、資料主體請求）——基於法律義務。
• 與你溝通服務變更、安全事件與重要公告——基於履行契約或正當利益。

我們不會：

• 將你的個人資料出售或出租給第三方；
• 用你的個人資料投放定向廣告或建立廣告画像；
• 用你的使用者內容訓練 Oriveo 自有 AI 模型。

為了提供服務，我們會與以下受託處理方（sub-processor）分享營運所需的最少資料，並與其簽署資料處理協議（DPA）：

• Google Firebase（Authentication / Firestore / Cloud Storage / Hosting）——帳號、同步資料、附件；資料中心位於美國。
• Sentry（錯誤與效能監控）——錯誤堆疊與診斷資料。
• Resend（電子郵件 OTP 發送）——收件電子郵件地址與一次性驗證碼。
• Cloudflare（CDN、DDoS 防護、Admin 後台 Turnstile CAPTCHA）——請求中繼資料與 IP 位址。
• OpenAI（僅用於 Skill 知識庫 Vector Store，以及 Oriveo Free 免費層依路由呼叫對應模型）——你上傳的知識庫檔案或免費層對話。
• 你選擇的第三方 AI 供應商（在 BYOK 模式下由你的裝置直連，不經過我們的伺服器）——包括 OpenAI、Anthropic、Google、DeepSeek、OpenRouter、Groq、Together AI、Fireworks AI、MiniMax、Zhipu、Qwen、SiliconFlow，以及你自訂的 Relay 端點。每家供應商都有各自的隱私政策與資料處理方式，你有責任自行閱讀並遵守；如需設定訓練資料選項（opt-out），請前往其官方控制台操作。

除上述情形及法律法規強制要求外，我們不會向任何第三方揭露、出售、出租或轉讓你的個人資料。

我們的雲端基礎設施（如 Firebase、Sentry、Cloudflare 等）部署於全球多個地區。若你位於伺服器所在區域之外，你的個人資料可能需要跨境傳輸。我們會採取以下合法機制：

• 歐洲經濟區 / 英國 / 瑞士使用者：依據歐盟委員會核准的標準契約條款（SCCs）及補充保障措施，將資料傳輸至第三國。
• 中國大陸使用者：依據《個人信息保護法》關於個人資料跨境提供的要求，評估必要性並向你告知。
• 其他地區：依據當地法律對跨境傳輸的要求執行。

若你希望了解具體的傳輸機制或索取相關副本，請聯絡 [email protected]。

保存期間：

• 帳號資訊：帳號存續期間 + 帳號刪除後 30 天緩衝期（用於誤刪復原）
• 雲端同步中繼資料 / 附件 / 知識庫檔案：保存至你主動刪除或註銷帳號為止
• Oriveo Free 呼叫記錄：最長 180 天（用於濫用判定與合規稽核）
• Oriveo Free 檢舉內容快照：最長 12 個月，或保存至相關爭議結案
• 錯誤日誌（Sentry）：最長 90 天
• 登入日誌（管理後台）：最長 12 個月
• OTP 驗證碼：10 分鐘，或驗證成功後立即失效
• 法律法規要求保存的資料：依當地法律規定之期間保存，可能超過上述期限

安全措施：

• 傳輸加密：所有客戶端與伺服器之間的通訊均使用 TLS 1.2 或以上版本。
• 儲存加密：伺服器端資料庫啟用靜態加密；使用者的加密備份採用 AES-256 端對端加密，金鑰由你持有。
• 裝置端金鑰保護：API Key 儲存於 iOS Keychain / Android Keystore / 瀏覽器加密儲存中。
• 存取控制：內部存取遵循最小權限原則，敏感操作會記錄稽核日誌。
• 資料外洩通知：若發生可能對你造成高度風險的個人資料外洩事件，我們將於 72 小時內透過電子郵件或應用內通知告知你，並依法向監管機關通報。

根據適用法律（GDPR、UK GDPR、CCPA/CPRA、PIPL 等），你對自己的個人資料可能享有以下權利：

• 查閱與取得副本：可透過「設定 → 備份 → 匯出」隨時下載你的全部資料，格式為便於遷移的加密 ZIP。
• 更正權：可在帳號設定中直接修改；對於無法自行修改的欄位，請透過電子郵件聯絡我們。
• 刪除權：可透過「設定 → 帳號 → 刪除帳號」一鍵刪除伺服器端所有關聯資料（部分日誌將依保存期限處理）。
• 資料可攜權：可將資料匯出為結構化、常用且機器可讀的格式。
• 限制 / 反對處理：可關閉診斷資料上報、關閉雲端同步，或隨時停用帳號。
• 撤回同意：對基於你同意所處理的資料，你可隨時撤回同意（但不影響撤回前基於同意已進行處理的合法性）。
• 不受自動化決策拘束：我們不會對你進行產生法律效果的自動化決策；Oriveo Free 的配額計算屬於營運所必需的防濫用措施，只涉及計數，不涉及画像。
• 向監管機關申訴的權利：EEA / 英國使用者可向所在地資料保護機關申訴；加州使用者可向加州總檢察長辦公室申訴；中國大陸使用者可依《個人信息保護法》向網信主管部門申訴。

回應時限：在收到可驗證的請求後，我們會於 30 天內回應；對於複雜請求，可依法延長最多兩次、每次不超過 30 天，並告知你延長理由。若你對我們的處理結果不滿意，也可先直接聯絡 [email protected] 協商。

Oriveo 官網與 Web 應用會使用以下儲存技術，且不會用於廣告定向或跨站追蹤：

• 絕對必要（不可關閉）：Firebase Auth 工作階段 Cookie、CSRF 防護權杖、Admin 後台 JWT Cookie。
• 功能性用途：主題、語言、版面等 UI 偏好；會話草稿、模型中繼資料快取等會儲存在瀏覽器 IndexedDB。
• 安全防護：Admin 後台的 Cloudflare Turnstile 人機驗證；Cloudflare DDoS 防護權杖。

我們不使用第三方廣告 Cookie、跨站追蹤像素或第三方分析腳本。你可透過瀏覽器設定清除或阻擋 Cookie，但這可能影響登入狀態與部分功能。

本服務不面向 13 歲以下兒童；若你所在司法轄區（例如歐盟部分成員國）將數位同意年齡提高至 16 歲，請達到當地法定年齡後再使用本服務。未達法定年齡者，必須在監護人同意與監督下使用本服務。

我們不會故意蒐集未達法定年齡兒童的個人資料。若你是監護人，且發現我們蒐集了你孩子的資訊，請立即聯絡 [email protected]，我們會在核實後立即刪除相關資料。

政策變更：我們可能會不時更新本隱私政策，以反映產品、技術或法規的變化。若有重大變更，我們會在生效前透過應用內通知、電子郵件或官網顯著位置通知你，並同步更新「最後更新」日期。若你在變更生效後繼續使用服務，即視為接受更新後的政策；若你不同意，可停止使用服務並註銷帳號。

聯絡我們：

• 隱私與資料主體請求：[email protected]
• 一般產品支援：[email protected]
• 法務事務：[email protected]

我們會盡力在合理期限內回覆你的請求。