隐私政策

WeKintsugi · wekintsugi.com

生效日期:2026 年 5 月 19 日 最后更新:2026 年 5 月 19 日 版本:1.1


1. 数据控制者

本服务由 YI STUDIO 运营,位于丹麦哥本哈根(欧盟)。

如有任何隐私相关问题,请通过以下方式联系我们: privacy@wekintsugi.com


2. 核心隐私承诺

WeKintsugi 是一款双盲平行书写应用。两个人各自私密地书写同一段共同经历,在双方都完成书写之前,任何一方都看不到对方写了什么——直到双方都准备好,才能同时翻转查看彼此的文字。

隐私不是本产品的一项功能——它就是产品本身。整个机制的前提是:在翻转之前,每个人的文字对另一方、以及对我们,都是不可见的。

为实现这一承诺:

  • 您封存后的书写内容使用 AES-256-GCM 加密存储,每张卡片使用独立生成的加密密钥。平台的设计确保在双方共同翻转之前,您的书写内容不会被以可读形式访问。
  • 我们不投放广告,不会为营销或画像目的向任何第三方出售、出租或交换您的个人数据。
  • 我们不使用追踪 Cookie 或跨站追踪器。
  • 我们仅收集运营服务所必需的数据,并在本政策中如实告知具体内容。

3. 我们收集和处理的数据

3.1 账户数据

当您创建账户时,我们收集并存储:

  • 邮箱地址 — 您在平台上的主要身份标识,用于认证和事务性通知。
  • 显示名称(可选)— 您选择向对方展示的名称,代替邮箱地址。
  • 语言偏好 — 您偏好的界面和邮件语言(英文、简体中文、繁体中文或日文)。
  • 成人确认时间戳 — 您确认年满 18 周岁的记录。
  • 认证方式 — 您是通过魔法链接、Google 还是 Apple 登录。我们不存储第三方提供商的 OAuth 令牌;认证由我们的数据库和认证服务提供商 Supabase 处理。

3.2 卡片元数据(未加密)

当您创建一张卡片(邀请另一个人共同书写一段共同记忆)时,以下元数据以未加密形式存储:

  • 时间标记 — 您提供的人文尺度时间描述(如"那年夏天"、"2024年春天")。这是一个简短的短语,不是精确日期。
  • 场景描述 — 一个简短的短语,标识所指的共同时刻(如"打碎青花瓷碗的那个下午")。此字段由用户自行填写,可能包含姓名、地点等个人信息。
  • 情绪色调词 — 从预设列表中选择;仅对卡片创建者可见,不会展示给对方。
  • 受邀方邮箱地址 — 您邀请的人的邮箱。
  • 卡片状态及生命周期时间戳 — 记录卡片创建、接受、封存、翻转、归档等时间节点。
  • 卡片语言 — 创建卡片时所使用的语言。

这些字段以未加密形式存储,因为它们用于通知提醒及界面显示。我们希望对此保持透明:尽管您的书写内容受到强加密保护,时间标记和场景描述并未加密。

3.3 用户书写内容(加密存储)

您的书写——本产品的情感核心——受到我们所能提供的最强保护:

  • 在您封存(最终确认)书写后,内容以 AES-256-GCM 加密后存储在服务器上。每张卡片使用独立的加密密钥。
  • 平台的设计确保在双方共同翻转之前,您的书写内容不会被以可读形式访问。 解密仅在双方均封存书写且其中一方发起翻转时才会发生。
  • 我们分别存储加密载荷、初始向量和认证标签。
  • 字数以未加密形式记录,作为简单的度量指标。实际文本内容无法从字数中推导。

3.4 草稿内容(仅存于设备)

在书写过程中,未封存的草稿内容会暂时存储在您设备的浏览器本地存储(localStorage)中,以防止意外丢失。

  • 草稿始终不会上传至服务器。 它仅存在于您的设备和浏览器中。
  • 封存完成后,本地草稿将自动删除。
  • 如果您清除浏览器数据、更换设备或使用其他浏览器,未保存的草稿将无法恢复。我们无法访问也无法为您恢复。

3.5 Cookie 与本地存储

我们仅使用严格必要的 Cookie 和本地存储。由于我们不使用任何分析、广告或偏好类 Cookie,因此不需要 Cookie 同意横幅。

项目 用途 有效期 类型
sb-[projectid]-auth-token 登录会话管理 会话期 / 自动刷新 严格必要
sb-[projectid]-auth-code-verifier(localStorage) PKCE 登录安全验证 登录完成后立即清除 严格必要
kintsugi_invite_preview 允许未登录用户预览受邀卡片 最长 24 小时或邀请到期(取早者) 严格必要
localStorage 草稿 书写过程中临时存储草稿 直到封存或浏览器数据被清除 严格必要

3.6 分析工具

我们使用 Vercel Analytics,该工具无需 Cookie、无跨站追踪。它通过网络边缘节点的每日刷新匿名哈希收集匿名聚合页面访问统计。通过此机制,没有任何个人数据被收集、存储或传输给我们。

3.7 服务器访问日志

我们的托管服务商(Vercel)自动收集标准服务器访问日志,可能包含 IP 地址、用户代理字符串和响应码。日志保留期限取决于我们当前使用的 Vercel 计划,可能发生变化;详情请参阅 Vercel 隐私政策。我们不从访问日志中提取或存储个人数据。

3.8 安全与审核数据

如果您提交安全报告(例如举报滥用行为或内容),我们会收集您提供的结构化信息,可能包括对问题的描述及相关证据的加密哈希。安全报告可能在账户删除后继续保留,以满足法律合规要求或保护其他用户。


4. 我们如何使用您的数据

我们基于以下目的处理您的个人数据:

目的 使用的数据 法律依据(GDPR 第 6 条)
提供核心服务(卡片创建、书写、翻转) 账户数据、卡片元数据、加密书写内容 履行合同 — 第 6(1)(b) 条
发送事务性通知 邮箱地址、卡片元数据(场景/时间片段) 履行合同 — 第 6(1)(b) 条
认证和会话管理 邮箱地址、会话 Cookie 履行合同 — 第 6(1)(b) 条
向您邀请的人传递邀请 受邀方邮箱地址、卡片元数据 正当利益 — 第 6(1)(f) 条(见第 5 节)
防止滥用并保障安全 账户数据、安全报告、关系屏蔽记录 正当利益 — 第 6(1)(f) 条
匿名聚合分析 无(收集时即匿名化) 正当利益 — 第 6(1)(f) 条
遵守法律义务(如回应合法请求、法定报告义务) 法律要求的任何数据 法律义务 — 第 6(1)(c) 条

5. 当您邀请他人时:第三方邮箱的处理

当您创建卡片并输入另一个人的邮箱地址时,您正在向我们提供他人的个人数据。我们处理该邮箱地址以投递邀请,并在对方接受时验证其身份。

我们处理该数据的法律依据是正当利益(第 6(1)(f) 条):实现产品的核心功能——由一方发起、另一方接受或拒绝的双向自愿书写交换。

被邀请的人:

  • 会收到一封邀请邮件。邀请即将到期时,到期提醒将发送给卡片双方(邀请人及受邀人)。
  • 不会被添加到任何邮件列表、营销数据库或公开目录中。
  • 可以拒绝邀请或让其自然过期。拒绝不会创建账户。
  • 一旦接受邀请,即获得作为用户的完整权利,包括本政策第 9 节所述的所有权利。

如果您收到一封意外的邀请,可以选择忽略。如果您认为您的邮箱被他人在未经您知情或同意的情况下使用,请联系 privacy@wekintsugi.com


6. 第三方服务

我们使用以下第三方服务商来运营 WeKintsugi。每个服务商仅在其特定功能所需的范围内处理数据。

服务商 功能 共享的数据 隐私政策
Supabase(基于 AWS) 数据库托管、用户认证 邮箱地址、所有数据库存储内容(含加密书写内容)、认证数据 supabase.com/privacy
Vercel 应用托管、Serverless 函数 服务器访问日志(IP 地址、用户代理) vercel.com/legal/privacy-policy
Resend 事务性邮件投递 收件人邮箱地址、邮件内容(含卡片元数据片段:时间标记、场景描述) resend.com/legal/privacy-policy
Google(OAuth) 可选认证方式 OAuth 交换数据;我们不存储 Google 令牌 policies.google.com/privacy
Apple(Apple 登录) 可选认证方式 OAuth 交换数据;我们不存储 Apple 令牌 apple.com/legal/privacy

我们不与任何其他第三方共享您的数据。我们不出售您的数据。我们不将您的数据用于广告。


7. 数据保留

数据类别 保留期限 原因
账户数据 直到您请求删除 持续服务所需
活跃卡片数据(元数据 + 加密书写内容) 直到您请求删除账户 核心产品功能
已归档卡片数据 按您的归档选择保留;选择"释放"的卡片将从您的个人视图中移除,但底层数据保留至账户删除 用户控制的归档命运
草稿内容(localStorage) 直到封存或浏览器数据被清除 仅存于设备;我们无法控制其保留
安全报告 可能在账户删除后继续保留 法律合规和用户保护
服务器访问日志 按 Vercel 当前计划的保留策略 由平台管理;不在我们直接控制范围内
邮件投递日志 按 Resend 的保留政策 由 Resend 管理,用于投递质量监控

当您删除账户时,您的个人数据(账户信息、卡片元数据和书写内容)将在 30 天内被永久删除。如果卡片涉及两方,您的书写内容将被永久删除且不可恢复,并在对方的归档视图中标记为不可用;对方自身的书写内容不受影响。


8. 本地存储免责声明

未保存的草稿内容仅存在于您浏览器的本地存储中。请注意:

  • 清除浏览器数据将永久删除所有未保存的草稿。
  • Safari 的智能跟踪防护(ITP)可能会自动清除超过 7 天未访问的网站的本地存储数据。
  • 更换设备或浏览器意味着您的草稿不会跟随您。
  • 设备丢失或故障可能导致草稿永久丢失。

我们无法恢复丢失的草稿。 在适用法律允许的最大范围内,YI STUDIO 不对因浏览器行为、操作系统策略、设备故障或任何超出我们合理控制范围的情况导致的本地存储草稿数据丢失承担责任。


9. 您的权利

9.1 GDPR 项下的权利(欧洲经济区)

如果您位于欧洲经济区,您对个人数据享有以下权利:

  • 访问权 — 请求获取我们持有的关于您的个人数据副本。
  • 更正权 — 请求更正不准确的个人数据。
  • 删除权("被遗忘权") — 请求删除您的个人数据。关于共享卡片中删除操作的具体方式,请参阅第 7 节。
  • 限制处理权 — 请求限制我们使用您数据的方式。
  • 数据可携带权 — 以结构化、机器可读的格式接收您的数据。
  • 反对权 — 反对基于正当利益进行的数据处理。
  • 撤回同意权 — 在处理基于同意的情况下,可随时撤回同意。

如需行使上述任何权利,请联系 privacy@wekintsugi.com。我们将在 30 天内回复。

如果您认为我们对您个人数据的处理违反了 GDPR,您有权向丹麦数据保护局(Datatilsynet)——我们的首席监管机构——提出投诉。您也可以联系您所在国家或地区的数据保护监管机构。

9.2 CCPA / CPRA 项下的权利(美国加利福尼亚州)

如果您是加利福尼亚州居民,您有权了解我们收集了哪些个人信息、请求删除该信息,以及选择不出售个人信息。我们不出售个人信息。 如需行使您的权利,请联系 privacy@wekintsugi.com


10. 数据安全

我们实施以下安全措施:

  • 书写内容服务端强加密 — 使用 AES-256-GCM,每张卡片使用独立密钥、随机初始向量和认证标签。
  • 行级安全策略(RLS) — 由数据库强制执行的访问控制,确保用户只能访问其有权查看的数据。
  • 签名邀请令牌(JWT) — 邀请链接使用经签名、限时的令牌,并通过服务端版本计数器验证,防止撤销后被重复使用。
  • 封存前服务器不存储明文书写内容 — 草稿内容在您选择封存之前,仅保留在您的设备上。
  • 全站 HTTPS — 所有传输中的数据均通过 TLS 加密。
  • 邮件投递监控 — 自动抑制退信或产生投诉的邮箱地址,防止不必要的邮件投递。

没有任何系统能做到绝对安全。尽管我们采取了合理措施保护您的数据,但我们无法保证能抵御所有威胁。


11. 儿童隐私

WeKintsugi 面向成人用户设计。使用本服务须年满 18 周岁。我们在注册时要求年龄确认,且不会故意收集未满 18 周岁人士的数据。

如果我们发现收集了未成年人的个人数据,将采取措施及时删除。如果您认为有未成年人使用了本服务,请联系 privacy@wekintsugi.com


12. 国际数据传输

我们的基础设施提供商(Supabase、Vercel、Resend)总部位于美国。如果您位于美国以外的地区,您的个人数据将被传输至美国并在美国处理。

上述服务商在其标准服务条款中提供数据处理协议及传输机制,包括标准合同条款(SCCs)以及适用的欧盟-美国数据隐私框架。我们致力于确保与每家服务商签署适当的数据处理协议。您可以通过联系我们了解这些保障措施的更多细节。


13. 计划中的未来功能

以下条款描述的是已规划但尚未实施的功能。本节所述的任何数据流目前均未处于活跃状态。这些条款仅在相应功能发布且由您启用后才会适用。

13.1 加密草稿云同步

我们可能引入跨设备同步书写草稿的功能。如实施,草稿内容将在您的设备上加密后再传输至服务器存储,加密机制将与现有加密架构一致。您需要主动选择启用此功能。

13.2 实体卡片印刷

我们可能提供将已完成的卡片制作为实体印刷品的选项。如实施,此功能将需要您提供邮寄地址,该地址将仅为制作和交付印刷卡片之目的,与第三方印刷及物流合作方共享。届时我们将披露合作方身份。

13.3 公开故事展示

我们可能引入一项可选功能,允许经过匿名化或精简处理的双方共同珍藏的卡片叙事出现在平台的策划展示区域。此功能将要求卡片双方均提供明确、积极的同意。 参与完全自愿,您将在同意前看到清晰的展示内容预览,且可随时撤回同意,相关内容将从展示中移除。在此功能推出时,将提供单独的详细同意流程。

13.4 永久见证凭证(区块链)

我们可能探索创建加密证明令牌(有时称为"灵魂绑定令牌")以纪念双方共同珍藏的卡片。如实施,某些元数据——但绝不包含您书写的文字——可能会记录在公开的永久区块链上。区块链记录的特性是公开的、永久的且无法删除或修改。 此功能将要求明确的知情同意,且在任何数据被写入区块链之前,我们将提供单独的详细政策说明其隐私影响。目前该功能尚未启用。


14. 本政策的变更

我们可能会更新本隐私政策以反映实践变化、法律要求或新功能。当我们进行实质性变更时:

  • 我们将更新本页面顶部的"最后更新"日期。
  • 我们将通过应用内通知在变更生效前至少 14 天提供通知。
  • 在生效日期后继续使用本服务即视为接受更新后的政策。

对于非实质性变更(如措辞澄清或格式调整),我们将更新页面但不另行通知。


15. 联系方式

如对本隐私政策或您的个人数据有任何疑问、意见或请求:

YI STUDIO 丹麦哥本哈根(欧盟) 邮箱:privacy@wekintsugi.com

我们将在 30 天内回复所有咨询。


本隐私政策目前提供英文 (English) 和简体中文两个版本。未来可能提供其他语言版本。

若本政策各语言版本之间存在不一致,以英文版本为准。