隐私政策
本政策说明产品代码实际处理的数据类型和保护机制。正式上线前,运营方仍应结合服务器地区、启用的供应商与目标用户所在地完成法律复核。
1. 收集的信息
- 账号信息:用户名、显示名、可选邮箱,以及不可逆的密码哈希。
- 学习数据:词表、例句、材料抽取结果、场景题与自他动词答题、复习记录、产出记录、薄弱点、学习画像、目标和教学偏好。
- AI 会话数据:用户发送的消息、必要的页面上下文、工具动作与反馈记录,用于提供连续教学体验和排查质量问题。
- 配置信息:模型、语音、视觉服务商设置,以及用户选择保存的 API Key。
- 用量与余额:运营方 AI 能力的成功调用次数、扣费流水、充值交易号与到账金额。
- 技术日志:错误、性能与安全日志。启用 Sentry 时默认关闭邮箱、IP 等个人信息上报。
2. API Key 的处理
用户保存的第三方 API Key 在数据库中使用 Fernet 对称加密。加密主密钥保存在服务器环境变量中,并要求与数据库备份分开保管。
- API 不回显 Key 明文,只返回是否已配置。
- Key 仅在服务端为该用户发起对应第三方请求时解密。
- 数据导出不包含 API Key。
- 用户清除配置或删除账号后,在线主库中的对应密文会被删除。
托管密钥始终存在固有风险。高度敏感的用户可不保存个人 Key,改用运营方能力或浏览器本地能力;也可随时在第三方服务商后台撤销旧 Key。
3. 信息用途
信息用于提供学习、个性化出题、AI 纠错、跨会话记忆、复习安排、支付入账、余额扣费、找回密码、数据导出、安全防护、错误排查和产品改进。运营方不出售个人信息,也不会让 AI 直接写入权威掌握度;掌握度和薄弱点由确定性规则与真实练习证据更新。
4. 第三方处理
根据部署时实际启用的配置,以下数据可能发送给第三方:
- 模型、语音与视觉服务商:完成请求所需的文本、音频描述、图片或有限学习上下文。
- 支付服务商:完成结账、验签、退款与对账所需的账号引用、档位、金额和交易信息。
- SMTP 邮件服务商:发送一次性密码重置链接。
- 对象存储服务商:保存加密传输的数据库灾备副本。
- Sentry:保存错误堆栈与运行诊断;默认不发送用户邮箱和 IP。
各第三方按其自身隐私政策处理数据。运营方应在部署站点的运营公示中列出实际启用的服务商。
5. 数据存储与跨境
在线数据存储在运营方部署服务器所在地区,灾备存储在运营方配置的 S3 兼容对象存储地区。若模型、邮件、支付或备份供应商位于其他国家或地区,请求所需数据可能发生跨境传输;运营方应按目标市场法律完成告知、评估与必要同意。
6. 保留与删除
在线学习数据保留至用户删除或账号终止。默认 Litestream 灾备保留窗口为 7 天,运营方可在公示后按实际灾备策略调整。用户删除账号后,主库数据按级联规则删除,备份副本在保留窗口内自然过期。
支付幂等记录、余额流水和依法需要保存的财务对账信息,可能按适用法律和反欺诈要求保留更长时间。
7. 用户权利
用户可在应用内访问、修改、导出或删除学习数据,可清除个人 API Key,并可通过站点公示的隐私联系渠道申请协助。对依法必须保留的信息,运营方会说明原因和期限。
8. 未成年人
本服务不特别面向未满 14 周岁的儿童。未成年人应在监护人指导下使用;如运营方发现未经适当授权收集了儿童个人信息,将依法处理或删除。
9. 安全措施
服务采用密码单向哈希、API Key 加密、HttpOnly 会话 Cookie、生产 HTTPS 与 Secure Cookie、请求限流、SSRF 防护、支付 webhook 验签、支付幂等去重、余额原子扣减、最小化日志和灾备恢复机制。任何措施都无法消除全部风险;发生需要通知的数据安全事件时,运营方将依法采取补救和通知。
10. 政策变更
重大变更会通过站内通知或用户已绑定邮箱告知。更新后的政策会注明新的生效日期。