隐私政策

本《隐私政策》说明当您使用 Alter 移动应用及相关服务（“本服务”）时，[主体名称，管辖地]（“Alter”、“镜”、“我们”）如何收集、使用与共享信息。本政策同时说明您的权利及行使方式。

请与《服务条款》一并阅读。本文中未定义的大写术语，含义以《服务条款》为准。

本文档参照我们于 2026-04-18 完成的 Apple App Review 研究结论撰写，覆盖 Apple App Store 审核指南第 5.1.2(i) 条（第三方 AI 数据共享）、加利福尼亚 SB 243、纽约 S3008C 及相关法规。

1. 数据控制者

您个人数据的控制者为 [主体名称，管辖地]，联系方式：

• 邮箱： [联系邮箱]
• 通信地址： [通信地址]

隐私事项请在主题行注明”Privacy Request”。我们目前尚未设立正式的数据保护官（DPO）；在法律要求 DPO 的市场，我们将在正式上线前予以任命。

2. 我们收集什么

我们收集以下类别数据。部分为使用本服务所必需，部分由您自愿提供。

2.1 账户数据

• 电子邮箱 — 用于登录、验证与服务通知。
• 昵称 / 显示名称 — 向其他公民展示。
• 年龄门声明 — 您在注册时对自身年满 17 周岁的确认，以及（在适用情况下）Apple 提供的年龄区间 API 的校验结果。
• 设备标识符 — 用于会话连续性、反滥用与推送送达。
• IP 地址 — 为反欺诈与反滥用目的记录，保留时间有限。

2.2 您创建的内容

• 您在私信、群聊及房间中发送与接收的消息。
• 资料内容 — 简介、照片、兴趣及您资料中填写的任何信息。
• Alter 分身性格数据 — 您对性格问卷的答案，以及我们从您的对话中推导的性格特质，用于运行您的 Alter 分身。

2.3 交互元数据

• 谁和谁聊、何时聊 — 您的互动图谱、已读回执、表情点击、房间停留时长。
• 审核事件 — 您提交的举报、针对您的举报，以及对您账户采取的执行行动。

2.4 推导数据

• 性格特质与兴趣 — 由我们的 AI 从您的对话中提取，主要用于运行您的 Alter 分身，其次用于个性化 feed 与匹配。
• 风险信号 — 用于检测垃圾、欺诈、抓取、未成年使用及类似滥用的内部评分。

2.5 技术数据

• 通过 Sentry 的崩溃日志。我们配置 Sentry 对消息内容进行脱敏；但我们无法保证所有崩溃追踪中完美脱敏（见第 11 条）。
• API 与服务器日志 — 端点、时间戳、响应码、用户 ID。
• 通过 Apple 的应用内购收据及通过 RevenueCat 的订阅状态事件。

我们不收集精确位置数据。我们在原生 App 中不部署 web cookies 或广告追踪器。我们不存储您的 LLM API 密钥 — 您无需提供，且本服务的全部 AI 路由使用平台拥有的密钥。

3. 我们如何使用您的数据

我们出于以下目的使用您的数据。

3.1 运行本服务

• 将您的消息送达目标收件人（人类或 AI）。
• 生成 AI 响应，并经人类滤镜管线处理后送达。
• 运行您的 Alter 分身，包括随时间基于您的新内容更新其状态。
• 为您匹配其他公民，并对 feed 内容排序。
• 启用基础社交功能（资料展示、已读回执、表情反应）。

3.2 审核与安全

• 通过三层审核管线（L1 Scan / L2 Activity / L3 Scene）筛查内容。L2 包含作出自动化决定的 AI 模型；见第 10 条。
• L3 对边缘案例与申诉进行人工审核。
• 检测垃圾、欺诈、抓取、未成年使用、假冒及类似滥用。
• 执行《服务条款》，包括暂停、隐形禁言与账户终止。

3.3 结算

• 通过 Apple In-App Purchase 处理 Alter+ 及私人房间购买。
• 通过 RevenueCat 对账订阅状态。
• 响应退款、拒付与收据校验流程。

3.4 产品改进

• 聚合分析 — 我们关注用户总体的数量、分布与趋势，而非具名个人，用于改进本服务。
• 基于采样与匿名化内容对 AI 输出的质量评估。

3.5 法律与合规

• 响应合法请求（传票、法院命令、监管请求）。
• 为申诉窗口维护审核记录。
• 履行税务、会计与公司治理义务。

4. 我们如何共享您的数据 — 及与谁共享

我们仅将数据与下列方共享，且仅用于下列目的。此列表构成Apple App Store 审核指南第 5.1.2(i) 条要求的第三方 AI 数据共享披露。我们在注册时于应用内向您展示此列表，并在任何 AI 功能对您的内容运作之前，取得您对第三方 AI 共享的明示同意。

4.1 分处理者列表

在上述任一 LLM 服务商（GLM、Kimi、MiniMax、DeepSeek、Anthropic）首次处理您的内容前，我们会征求您的明示、单独同意。您可以撤回该同意，但撤回将禁用 AI 功能，而 AI 功能是本服务的核心。见第 6 条。

我们不出售您的个人数据。我们不与广告商共享您的个人数据。除了运行本服务所严格必需的范围（例如将您的消息发送给 LLM 服务商以生成 AI 公民对您的回复），我们不将您的内容用于训练第三方基础模型。

4.2 其他共享

我们亦可能共享数据：

• 经您同意或在您指示下（例如您将数据导出至其他服务）；
• 与合并、收购或资产出售中的承继方共享，受本政策约束；
• 以遵守法律、响应合法请求或保护权利、安全与财产；以及
• 与我们的专业顾问（会计、审计、律师）在保密前提下共享。

5. 保留期

我们仅在需要期间保留数据。

• 活跃账户： 账户活跃期间保留个人数据。
• 已删除账户： 您删除账户后，我们执行 30 日软冻结（以便您撤销删除），随后按照 GDPR 第 17 条”被遗忘权”的原则对您的个人数据进行硬删除并匿名化。硬删除包括从您的消息和 Alter 分身训练材料中移除标识符。匿名化的聚合使用信号可能保留。
• 备份： 备份保留最长 90 天。从主系统删除的数据将在该窗口结束前从备份中移除。
• 法律保留： 处于法律保留之下的内容在相关争议、调查或法律要求结束之日起 30 日后结束保留。
• 审核日志： 举报、执行行动与申诉记录保留 180 天以支持申诉窗口，之后清除或匿名化。
• 结算记录： 购买和发票记录按适用的税务与会计法律要求的期限保留。

6. 您的权利

您享有下列权利。请发送邮件至 [联系邮箱]（主题注明 “Privacy Request”）或使用应用内相应入口行使。我们将在 30 日内响应；法律允许更长期限的，我们将告知您。

• 访问。 请求一份我们关于您的数据副本。我们通过应用内设置提供您的消息、资料和 Alter 分身数据的 JSON 导出。
• 更正。 通过应用内设置更正不准确的资料数据，无法自行编辑的字段请发邮件。
• 删除。 通过”设置 → 账户 → 删除账户”删除账户。此操作触发第 5 条所述删除流程。
• 反对 / 限制。 您可要求我们停止特定处理。重要权衡： 对您内容的 AI 处理是本服务的核心。反对 AI 处理等同于要求我们停止为您运行本服务；实务上，您应直接删除账户。
• 可携带。 如上所述的 JSON 导出，格式常见且机器可读。
• 撤回同意。 您可撤回第 4.1 条所述第三方 AI 共享的同意。因 AI 功能为核心，撤回实质上等同于删除账户。我们将在撤回流程中向您说明。

6.1 加利福尼亚居民（CCPA / CPRA）

如您是加利福尼亚居民，您享有额外权利：

• 知情权 — 了解我们过去 12 个月及全部期间收集、披露、出售的关于您的个人信息。
• 删除权 — 删除我们从您处收集的个人信息，受法律例外约束。
• 更正权 — 更正不准确的个人信息。
• 退出”出售”或”共享”权 — 我们不为跨上下文行为广告出售或共享（CPRA 所定义）个人信息。
• 限制敏感个人信息使用权 — 限制为提供本服务所必需的范围。
• 不受歧视权 — 行使上述权利不应受歧视性对待。
• Shine the Light。 您可要求了解我们与之共享个人信息用于其直接营销的第三方。我们不为第三方直接营销共享个人信息。
• SB 243 AI 披露。 当您在 Alter 中与 AI 公民互动时，您可长按其资料检查账户性质 — 系统披露即为权威答案。该披露与《服务条款》第 2、3 条一并，旨在满足 SB 243 针对涵盖的陪伴型聊天机器人互动的”清晰显著”标准。如果 ToS 层级披露对您的特定用例不足，请联系 [联系邮箱]，我们将应请求提供附时间戳的、逐对话 AI 存在披露。

6.2 欧盟 / EEA / 英国居民

本服务上线时不面向欧盟 / EEA / 英国市场。如您是这些地区的居民并仍然使用本服务，您在法律适用范围内保留 GDPR / UK GDPR 权利，包括访问权、更正权、删除权、限制权、可携带权、反对权及向监管机构投诉的权利。请联系 [联系邮箱]。我们将在这些地区开展任何主动营销或新用户接入前，委任 DPO 与欧盟代表。

6.3 中国大陆居民

如您在中国大陆并使用本服务中国版，中国专属隐私附录适用，其中说明您依《个人信息保护法》（PIPL）、《数据安全法》（DSL）及相关法规享有的权利，包括与我们使用香港托管基础设施相关的跨境传输机制。

7. 儿童隐私

本服务仅限 17+。我们不会在明知的情况下收集 17 周岁以下人士的个人信息。如我们发现某用户未满 17 周岁，我们将在 30 日内停用并硬删除该账户及其数据，受法律保留例外约束。如您认为某未满 17 周岁的儿童向我们提供了个人信息，请发送邮件至 [联系邮箱]。

8. 国际数据传输

我们的主要基础设施由阿里云（香港）托管。您的个人数据存储于此。如您从美国、欧洲经济区、英国或香港以外的任何司法辖区访问本服务，您的数据将被传输至香港并在香港处理。

我们同样将个人数据传输至第 4.1 条所列第三方分处理者 — 其所在地包括中国大陆、美国，及（视 Sentry 的区域配置）美国或欧盟。

我们依赖以下机制，上线各地区前将与律师确认：

• 欧盟 / 英国用户（若我们后续面向此类市场）：标准合同条款及（适用时）传输影响评估；英国国际数据传输协议或附录。
• 中国大陆用户：依数据量与敏感度阈值适用的 PIPL 跨境传输路径（标准合同、安全评估或认证）。
• 加利福尼亚 / 美国用户：与分处理者签订的、与 CCPA / CPRA 服务提供商要求一致的直接合同条款。

因本架构涉及中国大陆 AI 服务商处理对话内容，我们在第 4 条公开标示，并在注册时取得明示同意。

9. 安全

我们重视安全。措施包括：

• 传输加密 — 所有客户端-服务器及服务器-分处理者流量使用 TLS 1.2+。
• 静态加密 — 敏感凭证使用 AES-256-GCM 加密存储。
• 基础设施加固 — 锁定的 PM2 进程管理、Redis ACL、PostgreSQL 角色分离、受限 SSH 访问、防火墙入站收紧。
• 密钥管理 — 平台 LLM API 密钥仅在服务器端存储，从不传输至客户端。我们从不存储、请求或接受用户提供的 LLM API 密钥。
• 访问控制 — 生产访问限于授权运维人员。对消息内容的访问进一步门控并记录。
• 备份 — 加密、保留受限（见第 5 条）。
• 事件响应 — 我们将依适用的数据泄露通知法向受影响用户及所需监管机构发出通知。

没有系统是绝对安全的。您有责任对账户凭证保密，并在怀疑账户被泄露时立即通过 [联系邮箱] 报告。

10. 自动化决策

我们审核管线的 L2 层包含可能对账户采取自动化行动的 AI 模型 — 例如标记或删除内容、软静音、隐形禁言 — 在决定作出的当下可能没有人类参与。

您有权请求对任何对您产生重大影响的此类自动化决定进行人工复核。按《服务条款》第 6.4 条提交申诉。未参与原决定的人工审核员将审阅您的案件并回复。

11. 关于 Sentry 与 AI 服务商的特别说明

Sentry（崩溃报告）。 我们配置 Sentry SDK 在上传前对消息内容与其他明显敏感字段进行脱敏。然而堆栈追踪可能偶发捕获内容片段（例如触发解析器错误的用户提供字符串）。我们将任何此类偶发捕获的数据视为受本政策约束的个人数据，并适用相同保留规则。

AI 服务商（GLM、Kimi、MiniMax、DeepSeek、Anthropic）。 当我们向 LLM 服务商发送您的内容以生成或评估 AI 公民输出时，我们只发送该推理所需的内容 — 通常是对话上下文以及相关 prompt 与系统指令。我们不发送您的邮箱、法律姓名或精确设备标识符，除非这些对该特定操作为必需。服务商受合同约束仅为我们请求的推理使用内容，不得用于其自身模型训练；若特定服务商条款存在冲突，我们会在第 4.1 条或其更新中列明。

12. Cookies 与追踪

Alter 是原生 iOS 应用。我们在移动体验中不设置 web cookies。我们不集成跨应用追踪的第三方广告或归因 SDK。如我们后续推出营销网站，该网站可能使用 cookies；此类使用将由网站上独立的 cookie 声明覆盖。

我们在适用范围内尊重”Do Not Track”信号；因我们不投放广告、不跨站追踪，大部分 DNT 含义对我们并不适用。

13. 本政策的变更

我们可能不时变更本政策。对于重大变更，我们将通过应用、邮件或两者兼用的方式，提前至少 30 日通知您。顶部的”最后更新”日期会反映本政策最后修订时间。如您不接受变更，应在变更生效前删除您的账户。

14. 联系方式

隐私问题、行使权利或报告顾虑：

• 邮箱： [联系邮箱]（主题：“Privacy Request”）
• 通信地址： [通信地址]
• 应用内： 设置 → 帮助 → 隐私