1. Thremark 收集的信息
- Marks(已保存的事实) — 存储在您的设备上,并通过匿名设备 ID(非 Apple ID 或个人账户)与我们的服务器同步。服务器端存储支持 AI 记忆功能(如语义搜索、矛盾检测、跨事实关联)。服务器上的 Marks 不与可识别个人身份的信息关联。您可随时在设置中删除所有服务器数据。
- 聊天消息 — 存储在您的设备上,并通过匿名设备 ID 与我们的服务器同步,以便多设备访问和聊天历史。消息会转发至 AI 提供商(OpenAI、Google Gemini、Anthropic)以生成回复。服务器上的消息在达到每用户存储限制时会自动轮换。
- 匿名会话 — 设备生成的 UUID,用于管理您的 API 会话。姓名、电子邮件或 Apple ID 均不会发送到我们的服务器。所有服务器端数据仅与此匿名设备 ID 关联。
- Apple ID(可选) — 若您选择“通过 Apple 登录”,您的姓名和电子邮件仅存储在您的设备上用于显示。Apple ID 用于通过 Apple 管理订阅,但不会存储在我们的服务器上。
- 文件 — AI 生成的文件(文档、摘要、计划等)存储在您的设备上,并通过匿名设备 ID 与我们的服务器同步,以支持跨设备访问和服务器端搜索等功能。您可随时在设置中删除所有服务器数据。
- 通知与提醒 — 若您请求 Thremark 提醒某事,推送通知可能在我们的服务器上排程并通过 Apple Push Notification service (APNs) 送达。您的设备令牌(匿名)和提醒详情在送达前存储在服务器上,之后自动删除。通知不与个人信息关联。
- 思考与推理模型 — 若您选择思考或推理模型,您的消息会发送至 OpenAI 或 Anthropic 的 reasoning API。模型可能生成不会存储的内部推理令牌。仅最终回复会返回给您。
- 照片、相机与图像生成 — 若您在聊天中附加图像,图像会在设备端压缩并发送给 AI 提供商分析。若您请求 AI 生成图像,您的提示会发送至 Google Gemini 以创建图像。上传和生成的图像不会永久存储在我们的服务器上。
- 麦克风与 Voice AI — 若您使用语音输入或 Voice AI 对话,音频会流式传输至 Google Gemini Live API 或 OpenAI Realtime API 进行实时处理,或发送至 OpenAI Whisper 进行语音转文字。处理完成后,音频不会存储在我们的服务器上。语音会话元数据(时长、所用提供商、提取的 marks 数量等)可能会用于服务改进。语音对话可自动提取 marks(事实)并创建文件,与文字聊天相同。
2. 数据如何存储
- 在您的设备上 — marks、聊天、消息和文件使用 SwiftData(Apple 的本地数据库)本地存储。除非您使用需要服务器同步的功能,否则这些数据不会离开您的设备。
- 在我们的服务器上 — marks、聊天、消息和文件通过您的匿名设备 ID 同步到我们的服务器(Cloudflare D1 数据库)。这使得 AI 记忆、跨设备访问和智能搜索成为可能。不会存储可用于识别个人身份的信息 — 仅有首次启动时生成的匿名设备 UUID。
- 语义搜索索引 — marks 作为数值向量(Cloudflare Vectorize)嵌入以便语义搜索。每位用户的向量通过设备 ID 命名空间隔离。
- 保留 — 我们服务器上的消息受自动轮换规则约束:当达到每用户存储限制时会删除较旧的消息(通常在累积约 90 天后)。Marks 和文件保留至您删除为止。在设置中删除数据会从您的设备和我们的服务器两处移除。
3. 第三方服务
- OpenAI API — 处理聊天消息以生成回复,包括推理模型。受 OpenAI 隐私政策 约束。
- Google Gemini API — 替代 AI 提供商。受 Google 隐私政策 约束。
- Anthropic API — 用于聊天和推理模型的替代 AI 提供商。受 Anthropic 隐私政策 约束。
- Google Gemini Image Generation — 若您请求 AI 生成图像,您的文本提示会发送至 Google Gemini。受 Google 隐私政策 约束。
- Tavily Search API — 当您使用网络搜索时,您的查询会发送至 Tavily 以获取实时结果。受 Tavily 隐私政策 约束。
- Google Gemini Live API — Voice AI 对话的默认提供商。音频会流式传输至 Google 进行实时处理。受 Google 隐私政策 约束。
- OpenAI Realtime API — Voice AI 的替代提供商(Plus 和 Pro 可用)。音频会流式传输至 OpenAI。受 OpenAI 隐私政策 约束。
- Cloudflare — 我们的服务器基础设施。数据存储在 Cloudflare D1(数据库)和 Cloudflare Vectorize(语义搜索)。受 Cloudflare 隐私政策 约束。
- GitHub(可选) — 若您连接 GitHub Sync(Plus/Pro),您的 marks、文件和聊天历史会推送到您拥有的私有 GitHub 仓库。您的 GitHub OAuth 令牌存储在我们的服务器上。您可随时在设置中断开。受 GitHub 隐私声明 约束。
- Sentry — iOS 应用和后端基础设施的崩溃报告与性能监控。不包含个人数据、消息内容或 marks。错误报告可附加假名设备标识以便调试。受 Sentry 隐私政策 约束。
4. 我们不收集的数据
- 我们不出售、共享或将您的个人数据货币化。
- 我们不追踪您的位置。
- 我们不使用广告 SDK 或追踪器。
- 我们不在服务器上收集您的姓名、电子邮件或 Apple ID。
- 我们不使用跨应用追踪(未使用 IDFA)。
5. 您的权利
- 删除所有数据 — 随时可在设置中使用。从您的设备和我们的服务器(D1 数据库和 Vectorize 索引)删除所有 marks、聊天、消息、文件及相关元数据。某些无法与您关联的汇总分析数据可能会被保留。此操作不可逆。
- 删除账户 — 若您使用“通过 Apple 登录”,可以在设置中删除账户。这将登出、删除所有本地数据、删除与您设备 ID 关联的所有服务器数据,并将应用重置为初始状态。
- 导出 — 您可以通过分享面板导出 marks。
- 无需账户 — Thremark 无需登录即可使用。“通过 Apple 登录”为可选。
- GDPR 与 CCPA — 若您位于欧盟或加利福尼亚州,您有权访问、更正或删除您的数据。请通过 [email protected] 联系我们。
6. 分析
Thremark 使用注重隐私的分析以改进产品:
- 网站: Plausible Analytics (plausible.io) — 无 cookie、不收集个人数据,符合 GDPR/CCPA。仅追踪页面浏览和来源。PostHog (posthog.com) — 匿名产品分析以改进网站。无个人数据或跧站追踪。
- iOS 应用: PostHog (posthog.com) — 通过设备 UUID 识别的假名使用指标(界面、功能、会话时长)。无个人信息、消息内容或 marks。无跨应用追踪(未使用 IDFA)。无需 ATT 提示。Sentry — 仅崩溃报告。无用户内容。
- 后端: PostHog — 通过设备 UUID 识别的假名 API 使用指标。Sentry — 错误追踪与服务器基础设施性能监控。错误报告可附加缩短的设备标识以便调试。
所有分析数据均为汇总且匿名。无法通过分析识别您的个人身份。
7. 儿童
Thremark 不面向 13 岁以下儿童。我们不会故意收集儿童数据。
8. Cookies
Thremark 网站使用单一 cookie 存储您的语言偏好。不使用追踪 cookie、广告 cookie 或第三方 cookie。iOS 应用不使用 cookies。
9. 国际数据传输
Thremark 使用 Cloudflare 的全球边缘网络。您的数据可能在您居住国以外的数据中心处理(包括美国)。Cloudflare 提供标准合同条款(SCCs)并遵守适用的数据传输框架。所有传输均通过 TLS 在传输过程中加密。
10. 处理的法律依据(GDPR)
- 合同履行 — 提供您所请求的 Thremark 服务(聊天、marks、文件、语音)所必需的处理。
- 正当利益 — 在不侵害您隐私权的前提下,进行匿名分析、崩溃报告和服务改进。
- 同意 — 推送通知、“通过 Apple 登录”、GitHub Sync 等可选功能仅在您明确操作后激活。
11. 变更
我们可能随着功能发布更新本政策。重大变更将在此处注明并更新日期。