轻书笔记 Pro 隐私政策
生效日期:2026 年 5 月 27 日 · 最近更新:2026 年 6 月 11 日
本 App 已完成移动应用程序备案,备案号:浙ICP备2025189356号-4A。
一、概述
「轻书笔记 Pro」(以下简称"本应用"或"我们的服务")由 宁波汤小圆科技有限公司(以下简称"我们")开发和运营。我们非常重视您的个人信息和隐私保护。本政策详细说明我们在您使用本应用过程中如何收集、使用、存储、共享和保护您的个人信息,以及您依法享有的权利。
请您在使用本应用前完整阅读本政策。您需要在首次启动时通过应用内强制同意流程明确同意本政策方可继续使用本应用的核心功能。如您不同意本政策任何条款,请勿同意并停止使用;您可在不留下任何账户数据的情况下关闭并卸载本应用。
本应用涉及以下境外数据传输,您接受本政策即视为对这些传输的整体同意(您可在"设置 → 数据与隐私"撤回行为埋点同意;图片生成与应用内购买涉及的境外传输是相应功能运行所必需,使用对应功能即视为同意):
- 行为埋点数据:本应用使用 logtrace 行为埋点服务,其上报端域名(
logtrace.deeptrans.pro)解析到 Cloudflare 全球节点,您的事件数据可能经由境外边缘节点入库。该项可在设置 → 数据与隐私 → 帮助改进轻书随时关闭,关闭后客户端立即清空待发缓冲、停止后续上报。
- 图片生成:依赖境外接收方(Cloudflare 提供的图像生成模型)。
- 应用内购买:由 Apple 处理。
上述境外传输的合法性基础为《个人信息保护法》第 13 条第 1 项"为订立、履行个人作为一方当事人的合同所必需"以及您接受本政策时的明示同意。崩溃日志按本政策第九节"数据安全措施"采集,理由是保障服务稳定属于提供产品所必需,与上述行为埋点开关独立。
二、我们收集的信息
为向您提供本应用的各项功能,我们会在最小必要范围内收集以下个人信息:
1. 账户与身份信息
- 电子邮箱:用于注册、登录、找回密码、接收重要通知。
- 邮箱验证码:用于验证邮箱归属。
- 密码:仅以 bcrypt 单向哈希形式存储,我们无法获取明文密码。
- 账户基础信息:注册时间、最近活跃时间、登录设备型号。
2. 个人资料
- 头像:您主动上传的头像图片,存储于阿里云 OSS 您账户的专属目录下。
- 昵称与用户设置:您主动填写的展示名、应用偏好(语言、主题等)。
3. 用户内容
- 对话消息:您与 AI 助手的全部对话内容(文本、附件引用等)。
- 笔记:您创建的全部笔记本与笔记正文。
- 上传文件:您主动上传至"我的文件"的全部文件,存储于阿里云 OSS。
- 生成内容:AI 在对话中为您生成的图像、视频、代码、文档等。
- AI 记忆库:在您授权下,从对话中自动提取的个人偏好与事实(如"喜欢喝拿铁"),用于丰富后续对话上下文。
4. 订阅与交易信息
- Apple StoreKit 颁发的交易凭证(JWS)与订阅状态(如 active / grace / expired)。
- App Account Token:iOS 端在购买时透传的 UUID,用于把订阅精确归属到您的账户。
- 续费窗口与到期时间:用于显示 Pro 权益的剩余时长。
我们不会收集您的 Apple ID 密码、信用卡号或其他支付明细。所有支付环节均在 Apple App Store 内完成。
5. 使用与日志信息
- 用量统计:对话 token 用量、图像生成次数、文件存储容量、工具调用次数;用于配额计算与计费。
- 错误日志:服务调用错误、客户端崩溃日志,用于排查问题与改进稳定性。
- 行为埋点(统计分析):您在使用本应用过程中的操作事件,例如启动应用、发起对话、查看付费页、点击订阅、配额触发、流式中断等;同时记录事件发生时的应用版本、设备型号、操作系统版本、设备级随机标识(首次启动生成的 UUID,与 IDFA / IDFV 无关)以串联同一设备的行为路径。这些数据用于产品改进、转化漏斗分析与异常排查。
- 登录后,上述行为会与您的账户关联;未登录时仅以设备级 UUID 记录。
- 您可在设置 → 数据与隐私 → 帮助改进轻书随时关闭此项收集(关闭后仅崩溃日志仍会采集,理由见下文第九节)。
- 访问 IP 与时间戳:用于安全审计、风控与异常登录检测。
三、我们如何使用您的信息
我们仅在以下目的范围内使用您的个人信息:
- 提供本应用的核心功能(账户、对话、笔记、文件、订阅);
- 将您的对话内容、附件转发给第三方 AI 模型以生成响应;
- 在您授权后,提取并使用 AI 记忆以个性化对话;
- 计算并扣减您的配额,结算订阅费用;
- 向您发送服务相关通知(如订阅状态变更、安全警示、政策更新);
- 进行安全防护、风控与合规审计;
- 进行应用使用情况统计、转化漏斗分析与稳定性诊断,以持续改进产品;
- 履行法律法规规定的义务。
关于 AI 模型训练用途的特别说明
这是用户最关心的问题之一,我们诚实告知:
- 我们自身不训练 AI 模型。我们不会将您的对话内容、笔记正文、上传文件用于训练任何由我们自有运营的 AI 模型。
- 第三方 AI 模型供应商可能会用于训练。当您的对话内容被转发给 DeepSeek、阿里通义千问、OpenRouter 聚合的境外模型、Cloudflare AI Gateway 等第三方供应商生成响应时,这些数据是否被该供应商用于改进或训练其模型,取决于该供应商各自的服务条款。我们对接的是这些供应商的标准 API,未与其签订"不用于训练"的特别商业协议。各供应商的具体处理政策请参见其官方公布的服务协议。
- 如果您不希望对话内容被用于训练,建议您:① 不发送涉及个人隐私、商业秘密的内容;② 关注各模型供应商的隐私政策变化;③ 您也可联系我们反馈,我们将评估后续是否引入"承诺不训练"的付费模型选项;④ 如需更严格的本地化方案,您可联系我们咨询是否提供企业版定制服务。
禁止用途承诺
未经您额外、明确的同意,我们不会:
- 将您的个人信息用于自动化决策(如个性化推荐、用户画像营销);
- 将您的个人信息用于广告投放或共享给广告联盟;
- 将您的对话内容、笔记、文件出售给任何第三方。
四、第三方共享清单
为提供本应用的功能,我们会将必要的最少数据共享给以下第三方服务提供商。我们已与各方签订数据处理协议,要求其按照本政策规定的目的处理您的信息。
| 类别 |
服务方 |
共享内容 |
用途 |
境外传输 |
| 大语言模型 |
杭州深度求索人工智能基础技术研究有限公司(DeepSeek) |
您的对话内容、系统指令、附件正文摘要 |
生成 AI 对话响应;对话数据可能被该供应商按其标准 API 服务条款用于模型训练或改进 |
否(中国大陆) |
| 阿里云通义千问(Qwen) |
同上 |
生成 AI 对话响应;对话数据可能被该供应商按其标准 API 服务条款用于模型训练或改进 |
否(中国大陆) |
| 图像生成 |
Cloudflare(Gemini Image / Nano Banana) |
提示词、参考图字节 |
生成或编辑图像 |
是(境外节点) |
| OpenRouter 图像模型 |
提示词 |
生成图像 |
是(美国) |
| 网络搜索 |
秘塔搜索 Metaso |
您的搜索关键词 |
返回搜索结果 |
否(中国大陆) |
| Tavily |
您的搜索关键词 |
返回搜索结果 |
是(美国) |
| 对象存储 |
阿里云对象存储 OSS |
您的文件、图片、头像 |
持久化存储 |
否(中国大陆) |
第三方备份目的地 (仅在您主动绑定并开启自动备份 / 手动触发时才会发生) |
GitHub, Inc. |
您的笔记正文、附件(图片 / 文件)、笔记本结构;OAuth access token(以 AES-GCM 加密形式存于服务端) |
按您的指令将您的笔记数据备份到您本人 GitHub 账号下的私有仓库 |
是(美国) |
| 百度网盘开放平台(北京百度网讯科技有限公司) |
您的笔记正文、附件(图片 / 文件);OAuth access token 与 refresh token(均以 AES-GCM 加密形式存于服务端);百度用户名(仅展示) |
按您的指令将您的笔记数据备份到您本人百度网盘账号授权目录 /apps/轻书笔记/ 下 |
否(中国大陆) |
| 移动支付 |
Apple Inc. / App Store |
App Account Token、交易标识 |
处理订阅购买、续费、退款 |
是(美国) |
| 邮件投递 |
SMTP 邮件服务方 |
您的邮箱地址、验证码内容 |
发送注册验证码、找回密码邮件 |
取决于所选服务方 |
| 行为埋点(自有服务) |
宁波汤小圆科技有限公司(logtrace 服务,部署于 Cloudflare 全球节点,接收方:Cloudflare, Inc.) |
事件名、事件时间、设备级随机 UUID、会话 ID、登录后的用户 ID、应用版本、设备型号、操作系统版本 |
应用使用情况统计、转化漏斗与稳定性诊断;不涉及对话内容、笔记正文等用户内容 |
是(Cloudflare 边缘节点;接收方:Cloudflare, Inc.;需您单独同意,可在首次启动同意页面或事后在设置中关闭) |
| 崩溃与异常采集 |
腾讯 Bugly(深圳市腾讯计算机系统有限公司) |
崩溃堆栈、设备型号、操作系统版本、应用版本、登录后的用户 ID、运行环境快照 |
崩溃监控、卡顿监控与稳定性诊断(不收集对话或笔记内容) |
否(中国大陆) |
关于个人信息出境的特别告知(《个人信息保护法》第 39 条)
本应用的部分功能涉及将您的个人信息传输至中华人民共和国境外的接收方处理。依据《个人信息保护法》第 39 条,我们向您单独告知以下事项:
- 境外接收方:
- 处理目的:图片生成(Cloudflare 提供 Gemini Image / Nano Banana 等图像模型);本应用行为埋点边缘节点入库(Cloudflare);处理应用内订阅购买(Apple);按您指令将笔记数据备份至您本人 GitHub 账号下的私有仓库(GitHub)。
- 处理方式:通过 HTTPS / TLS 加密通道传输;境外接收方按其自身隐私政策与服务条款处理。
- 个人信息种类:
- 使用图片生成时:您输入的提示词、上传的参考图字节;
- 使用 Apple 内购时:App Account Token(UUID 形式)、交易标识;
- 行为埋点上报时:事件名、设备级随机 UUID、会话 ID、登录后的用户 ID、应用版本、设备型号、操作系统版本(不包含对话或笔记内容);
- 使用 GitHub 备份时:您的笔记正文、附件(图片 / 文件)、笔记本结构,以及在授权流程中生成的 OAuth access token(服务端 AES-GCM 加密落库)。
- 您行使权利的方式:您可通过本政策第十一节联系方式向我们提出查阅、复制、删除、撤回境外传输同意等请求;针对境外接收方的权利请求,您也可通过上述各接收方公布的联系方式直接行使。
- 同意机制:您接受本政策即视为对上述境外传输的整体同意。其中行为埋点是可选功能,您可随时在设置 → 数据与隐私 → 帮助改进轻书撤回;GitHub 备份是可选功能,仅在您主动进入"设置 → 同步与备份"完成 OAuth 授权后才会触发跨境传输,可随时在该页面解除绑定撤回同意;图片生成与 Apple 内购涉及的跨境传输是相应功能运行所必需,依据《个人信息保护法》第 13 条第 1 项"为订立、履行个人作为一方当事人的合同所必需"作为合法性基础,使用对应功能即视为对该次必要传输的同意。
- 撤回的后果:撤回行为埋点同意时,客户端立即清空待发缓冲并停止后续上报;解除 GitHub 备份绑定时,服务端立即删除该目的地的 OAuth 凭证、停止后续备份,并尽力调用 GitHub revoke grant API 注销已发放的授权(已上传至您 GitHub 账号下的备份仓库内容不会被自动删除,您可在 GitHub 端自行管理);其他功能(含图片生成、订阅购买)不受影响。
我们已采取传输加密(TLS)等技术与管理措施保障数据安全;与上述境外接收方均通过其公开发布的服务条款 / 数据处理协议建立处理关系。
五、数据存储位置与期限
- 主要数据托管位置:账户信息、用户内容、文件均存储于阿里云中国大陆区域。
- 保存期限:
- 账户存续期间:持续保存以提供服务;
- 注销账户后:通过数据库级联删除(
DELETE FROM users ... CASCADE)立即清除您账户下的全部数据库记录,同时通过 OSS 前缀批量删除(app/{userID}/)立即清除您的全部 OSS 对象;
- 必要的日志(用于安全审计、合规留存)将依法保留不少于 6 个月。
六、您的权利
依据《个人信息保护法》《网络安全法》等法律法规,您对自己的个人信息享有以下权利:
- 访问权:通过应用内"我的"中查看您的账户信息、对话历史、文件列表等。
- 获取副本权(《个人信息保护法》第 45 条):您可通过本政策第十一节联系方式申请获取您账户下个人信息的可读副本(JSON 格式,含账户资料、对话历史、笔记内容、文件清单)。我们将在收到请求后 15 个工作日内提供。
- 更正权:在应用内修改头像、昵称、设置等信息。
- 删除权:
- 删除单条会话、单条消息、单个文件——在应用内对应位置即时删除;
- 注销账户——在"我的 → 注销账号"自助操作,清除全部数据。
- 撤回同意:
- 关闭行为埋点(含跨境传输):在设置 → 数据与隐私 → 帮助改进轻书关闭。关闭后客户端立即清空待发缓冲、停止后续上报与境外传输。崩溃日志仍会按本政策第九节"数据安全措施"采集,理由是保障服务稳定属于提供产品所必需。
- 关闭"AI 记忆"等可选功能:在应用设置中关闭,撤回相应授权。
- 训练数据 opt-out:如您不希望特定对话被第三方 AI 供应商可能用于训练(详见第三节"AI 模型训练用途特别说明"),您可避免在对话中输入个人隐私、商业秘密等敏感内容;或联系我们反馈,我们将评估后续是否引入"承诺不训练"的付费模型选项。
- 算法解释权(《个人信息保护法》第 48 条):您可通过本政策第十一节联系方式向我们询问本应用对您个人信息的处理规则;我们将以通俗易懂的方式作出说明。
- 投诉与举报:通过下方联系方式联系我们,我们将在 15 个工作日内回复。如您对处理结果不满,可向网信、工信、市场监管等部门投诉举报。
七、Cookie 与本地存储
本应用不投放任何第三方追踪 Cookie。客户端本地存储仅包含:
- JWT 令牌(用于免重复登录);
- 用户偏好设置(语言、主题、行为埋点开关状态等);
- 聊天草稿与缓存(仅本机,未上报);
- 设备级随机 UUID:首次启动时生成,存于 UserDefaults,仅用于行为埋点串联同一设备路径,与 IDFA / IDFV 无关;卸载重装后会生成新值;
- 埋点事件本地缓冲队列:仅在本机暂存,离线或上报失败时持有待发事件,恢复后批量补传,单设备上限 5MB 并按 FIFO 丢弃最早事件。
八、未成年人保护
本应用不面向 14 周岁以下儿童。如您是未满 14 周岁的儿童,请勿提交任何个人信息。如监护人发现儿童未经同意使用本应用,请立即联系我们删除相关数据。
对于 14 周岁以上、18 周岁以下的未成年用户,请在监护人指导下使用本应用,并谨慎对待 AI 生成内容。
九、数据安全措施
- 所有客户端 ↔ 服务端通信均采用 HTTPS / TLS 加密;
- 密码以 bcrypt 哈希形式存储,加盐后无法被还原;
- OSS 对象采用私有读写访问控制,仅通过临时签名 URL 暴露给授权用户;
- 对内部敏感操作启用最小权限原则、日志审计;
- 定期进行安全漏洞扫描与依赖更新。
十、政策更新
我们可能根据业务调整或法律法规变化更新本政策。我们对政策内容维护一个版本号(YYYY-MM-DD 形式,见本页顶部"最近更新"),重大变更(新增数据类型、新增第三方接收方、改变境外传输范围、改变撤回机制等)会递增该版本号。
对于重大变更:
- 您下次启动 App 时将看到强制同意提示,明确告知本次主要变更项,您需重新阅读并同意,未同意前无法使用本应用核心功能;
- 对于涉及"行为埋点"范围变化(如新增接收方、新增数据字段、变更跨境节点)的,您下次启动 App 时会看到强制同意提示,您此前的同意将失效需要重新接受;
- 对于一般性文字调整或扩展说明,仅更新页面顶部日期,不强制重新同意。
如您不同意更新后的政策,可拒绝同意并停止使用本应用,或在"我的 → 注销账号"清除全部数据。
十一、联系我们
- 联系邮箱:support@nbtxy.top
- 如就个人信息保护事项联系我们(行使查阅、复制、删除、撤回同意等权利),请在邮件标题注明「隐私问题」,我们会优先处理,并在 15 个工作日内回复。
- 运营主体:宁波汤小圆科技有限公司
如您认为我们对您个人信息的处理违反了法律法规、或您与我们就此协商未能解决,您也可以向网信、工信、市场监管等监管部门投诉或举报。