本隐私政策说明 Zenist Todo(以下简称“本应用”)中用户数据的处理方式。本应用的提供者(以下简称“我们”)会在提供服务、同步、AI 功能、广告显示、购买状态管理以及维护安全所必需的范围内处理数据。

1. 我们不会收集的信息

在当前规格下,本应用不会通过我们自有功能收集以下信息。

  • 使用 GPS、Wi-Fi、Bluetooth 等获取的设备精确位置信息
  • 通过位置权限取得的当前位置或移动历史
  • 以记录应用内各页面浏览历史、浏览时间、每页停留时间为目的的自有分析日志
  • 相机、麦克风、通讯录的内容
  • 信用卡号等支付手段的详细信息
  • 登录密码的明文
  • 其他类似信息

但是,用于广告、认证、计费、云同步、AI、模型分发等的第三方服务,可能会为了提供各自服务、安全、防止欺诈、广告、诊断等目的,处理 IP 地址、设备信息、标识符、使用状况等数据。

2. 我们处理的信息

本应用会根据使用方式处理以下信息。

账户信息

  • Supabase Auth 的用户 ID
  • 电子邮件地址
  • 使用 Google 登录时,由 Google 提供的显示名称、头像 URL 等基本资料信息
  • 昵称
  • 用户任意设置的个人头像(在应用内压缩后的图像数据)
  • 账户创建时间、更新时间、删除状态等管理信息

我们不会保存密码明文。电子邮件地址和密码认证由 Supabase Auth 处理。

任务、项目、日历和通知相关信息

  • 任务标题、说明、状态、优先级、截止日期、时间、重复设置、通知设置、时区
  • 项目名称、说明、状态、截止日期、颜色、父子关系、排序、进度率
  • 重复任务的单个实例、变更内容、完成状态
  • 任务完成数、每日完成数、总完成数
  • 同步、冲突解决、删除、排序管理所需的 ID、所有者 ID、更新时间等元数据

通知会使用操作系统的本地通知功能在设备内进行安排。通知需要使用设备时区,但不会使用位置权限。

AI、聊天和记忆相关信息

  • 用户输入的聊天内容
  • AI 回复、会话历史、聊天草稿
  • AI 角色设置、对话文本、图标、初始消息
  • 用户创建的函数和工具设置
  • AI 保存或引用的记忆(文本、创建时间、时区、重要度、世代、最后访问时间等)
  • 用于记忆搜索的嵌入向量以及用于地图显示的坐标信息
  • Gemini 使用量(用途、输入字符数、输出字符数、每日使用量)

在使用 Gemini 的在线 AI 模式中,提示词、会话历史、系统指令、必要上下文、工具结果、被想起的记忆等,会通过我们的 Supabase Edge Function 发送至 Google Gemini API。

使用 OpenRouter 时,用户输入的 API 密钥会保存在设备的 secure storage 中,聊天内容、会话历史、工具定义、工具结果等会发送至 OpenRouter 以及所选择的模型提供方。OpenRouter 以 BYOK(用户使用自己的 API 密钥)的方式使用。

使用本地模型时,模型推理会在支持的设备上执行。但是,获取模型列表和下载模型文件时会发生网络通信。

购买和订阅相关信息

  • RevenueCat 的 app user ID
  • 购买、恢复、续订、到期等订阅事件
  • 商品 ID、权益 ID、会员状态、有效期、环境信息
  • 从 RevenueCat 获取的 subscriber 信息

支付本身由 App Store、Google Play、RevenueCat 等处理。我们不会接收信用卡号等支付手段的详细信息。

广告相关信息

本应用使用 Google AdMob / Google Mobile Ads SDK。广告主要面向免费用户显示,会员用户以及部分本地使用场景下不会显示。但是,由于移动版会使用广告 SDK,Google 可能会为了广告投放、测量、防止欺诈、诊断等目的,处理 IP 地址、广告 ID、应用操作信息、诊断信息、设备和账户标识符等。

我们不会为了广告投放请求位置权限。Google 等第三方服务可能会根据 IP 地址等推定大致地区。

设备、设置和本地保存相关信息

  • 应用模式(在线 / 本地)
  • 主题、显示设置、通知设置、排序、筛选器、AI 设置
  • OpenRouter API 密钥、MCP 服务器 Bearer token(保存在设备的 secure storage 中)
  • MCP 服务器 URL、名称、启用状态等非敏感设置(保存在设备内)
  • 导入的本地模型文件、已下载模型信息
  • 保存在应用内数据库、SharedPreferences、secure storage 中的本地状态

在记忆地图和星座显示中,为了画面操作,可能会在设备内使用加速度传感器、磁力传感器等运动信息。这些传感器数据不会保存或同步到我们的服务器。

在本地模式中,任务、项目、记忆等主要数据保存在设备内,不会为了账户同步发送到我们的 Supabase。但是,如果用户切换到在线模式,本地数据会与登录中的账户关联并上传到 Supabase。此外,根据用户使用的功能,广告 SDK、模型下载、外部链接、OpenRouter、MCP 等可能会与第三方发生通信。

链接预览、外部网站和 MCP

当任务、项目等正文中包含 URL 时,本应用可能会为了显示链接预览而获取该 URL 的元数据。此时,IP 地址等通信信息可能会发送到目标网站的服务器。

当用户设置 MCP 服务器时,本应用会连接到所设置的 MCP 服务器,并为了获取工具列表或执行工具,发送和接收用户批准的参数、上下文、结果等。连接目标 MCP 服务器的数据处理,遵循该服务器提供方的条款和隐私政策。

3. 使用目的

我们会为了以下目的使用所取得的信息。

  • 账户注册、登录、认证、身份确认
  • 保存、显示、编辑、同步任务、项目、记忆、AI 角色等
  • 多设备间云同步、冲突解决、删除处理
  • 生成 AI 回复、保存和想起记忆、管理 AI 使用量限制
  • 判定会员状态、管理购买、恢复和订阅
  • 显示广告、防止广告欺诈、诊断广告 SDK
  • 安排本地通知、显示小组件、保存应用设置
  • 获取模型文件列表、下载、进行本地推理
  • 确保安全、防止不正当使用、调查故障、遵守法律法规
  • 回应用户咨询

4. 第三方服务

本应用使用以下第三方服务。这些服务可能会根据各自的隐私政策、使用条款和数据处理条件处理信息。

5. 数据共享和披露

我们不会出售用户的个人数据或用户创建的数据。除以下情况外,也不会向我们使用的服务器运营商和服务提供商以外的外部公开。

  • 用户明确指示或同意时
  • 向 Supabase、Google、RevenueCat、Cloudflare、OpenRouter 等为提供本应用所必需的服务提供商委托处理时
  • 根据用户操作,向用户设置的 MCP 服务器、外部 URL、外部 AI 提供方等发送时
  • 需要响应法律法规、法院、政府机关、侦查机关等有效命令或请求时
  • 需要应对不正当使用、安全问题、权利侵害、违反使用条款等时
  • 发生业务转让、合并、资产转让等,并在必要范围内转移给承继方时

6. 加密和安全

本应用会使用通信保护、访问控制、设备 secure storage、Supabase Row Level Security 等,努力保护信息。

在线账户可以任意启用端到端加密。在当前规格下,云同步的任务、项目、重复任务单个实例的标题和说明属于加密对象。截止日期、状态、父子关系、排序、所有者、更新时间等同步所需的元数据会以明文保存。此外,记忆、AI 角色、函数、个人资料等目前不包含在加密对象中。

即使启用了加密,用户使用云 AI(Gemini 或 OpenRouter)时,提示词和相关上下文仍可能发送到外部 AI 服务。本应用提供在加密启用时阻止云 AI 的设置。

对于通过互联网的通信和设备上的保存,无法保证完全安全。用户应通过强密码、设备锁、更新 OS 和应用等方式保护账户和设备。

7. 数据保存期间和删除

我们会在账户有效期间,或提供本应用所必需的期间内保存用户数据。

当用户执行账户删除时,保存在我们 Supabase 上的账户信息、任务、项目、重复实例、记忆、AI 角色、函数、AI 使用量事件、RevenueCat 相关事件、购买状态以及 Supabase Auth 用户会被删除。对于本地数据,可以通过应用内选项选择保留或删除。

出于备份、日志、安全、防止欺诈、遵守法律法规、会计处理等理由,删除后仍可能在一定期间内保留部分信息。此外,保存在第三方服务中的信息,其保存和删除遵循各服务的政策。

用户可以通过卸载应用,停止设备上许多本地数据的收集和使用。但是,OS、应用商店、第三方服务、云端账户数据可能需要另行办理删除手续。

8. 用户的选择

用户可以通过以下方式调整数据使用范围。

  • 使用本地模式,不使用云同步
  • 不切换到在线模式
  • 在应用设置中关闭通知,或拒绝 OS 的通知权限
  • 加入会员以取消广告显示
  • 重置或删除设备的广告 ID
  • 不使用 OpenRouter、MCP、外部 URL、云 AI 等任意功能
  • 启用加密,并根据需要阻止云 AI
  • 使用应用内账户删除功能
  • 卸载应用

9. 儿童隐私

本应用并非面向 13 岁以下儿童。我们不会故意收集 13 岁以下儿童的个人信息。如果我们发现已提供 13 岁以下儿童的个人信息,会在合理范围内删除该信息。

10. 国际数据处理

本应用使用的 Supabase、Google、RevenueCat、Cloudflare、OpenRouter 等服务,可能会在包括日本国外在内的多个国家或地区处理和保存数据。用户使用本应用,即视为同意信息可能在这些国家或地区被处理。

11. 本政策的变更

我们可能会因功能追加、所使用服务变更、应对法律法规和条款等原因更新本隐私政策。如有重要变更,将通过应用内显示、发布页面或本页面更新进行通知。变更后继续使用本应用,即视为同意更新后的政策。

12. 联系方式

如对本隐私政策或本应用中的数据处理有疑问,请通过以下电子邮件地址联系。

[email protected]