隐私政策 (Privacy Policy)

生效日期： 2026年1月16日

引言

欢迎您使用“安心在家学”（以下简称“我们”或“本应用”）！我们深知个人信息对您的重要性，也感谢您对我们的信任。

本《隐私政策》旨在帮助您了解我们会收集哪些个人信息、为什么收集这些个人信息，会利用这些个人信息做些什么及如何保护这些个人信息。我们会遵循隐私政策收集和使用您的个人信息，但不会仅因您授权同意本隐私政策而采用强制捆绑的方式收集您全部的个人信息。我们会严格按照法律法规要求，在特定情况下征求您的单独同意。

除非法律、行政法规另有规定外，针对我们如何处理您的个人信息，您享有知情权和决定权，有权限制或者拒绝我们或其他方对您的个人信息进行处理。请您在使用本应用前仔细阅读并理解本隐私政策，以便做出适当的选择。

本隐私政策将帮助您了解以下内容：

1. 我们收集和处理的信息
2. 系统权限调用说明
3. 第三方服务与数据共享声明
4. 儿童隐私特别保护
5. 数据存储与安全
6. 账号注销与删除
7. 政策更新
8. 用户的权利 (User Rights)
9. 联系我们
10. 法律管辖与争议解决

1. 我们收集和处理的信息

为了实现跨设备同步、会员服务及内容播放功能，我们将处理以下信息：

1.1 账户与身份信息（云端同步）

• 收集内容： 当您注册账户时，我们需要收集您的电子邮箱或第三方授权标识（如 Apple ID 的匿名标识符）。我们使用 Appwrite 作为后端服务提供商来安全地存储您的账户信息。

• 处理目的： 用于创建您的唯一用户 ID，以实现家长配置（如应用锁密码）、学习进度在您的不同设备间自动同步。我们基于履行合同的必要性来处理此类数据。

• 特别说明： 我们不会要求提供您的真实姓名、身份证号或电话号码。

1.2 订阅与交易记录（云端验证）

• 收集内容： 当您购买会员服务时，我们会处理您的设备标识符、交易收据 (Receipt) 及订阅状态。我们使用 RevenueCat 来验证订阅票据。

• 处理目的： 用于验证您的会员资格有效期、处理退款申请以及在重装应用后恢复您的购买。

• 数据安全： 所有的支付环节均直接由支付服务商（App Store、Google Play、支付宝、微信支付、Stripe 等）处理，我们不收集亦不存储您的银行卡号、支付密码或敏感支付信息。

• 间接获取说明： 我们可能会从第三方服务商（如 RevenueCat）间接接收您的订阅状态信息。我们在获取前已确认该第三方已获得您的授权，且其数据来源合法。

1.3 剪贴板数据（仅本地读取）

• 处理说明： 为了方便您快速导入视频链接，仅当您在“家长模式”下主动点击“添加视频”或进入特定页面时，应用会短时间读取系统剪贴板。
• 合规承诺： 我们仅在设备本地匹配剪贴板内容是否包含有效的视频链接（如 Bilibili/YouTube URL）。匹配完成后，数据会立即释放，我们不会上传或分享您的剪贴板内容。

1.4 本地媒体数据（仅本地处理）

• 处理内容： 当您使用“为视频添加封面”或“添加本地视频”功能时，我们会处理您从设备相册或存储空间中主动选择的图片或视频文件。
• 隐私承诺： 我们仅在设备本地读取并处理这些文件，以实现封面设置和本地视频管理功能。我们不会上传、存储或分享您的任何本地图片或视频数据至我们的服务器或任何第三方。

1.5 Cookie 和同类技术的使用

为保证应用正常运转（如保持您的登录状态），我们会使用 Cookie 或 OAuth Token 等同类技术。

• 用途： 我们仅使用这些技术来验证您的身份身份，确保您的账户安全。我们不会使用这些技术进行广告追踪或向第三方分享您的行为数据。

1.6 征得授权同意的例外 (Exceptions to Consent)

根据相关法律法规，在以下情形中，我们处理您的个人信息无需征得您的授权同意：

1. 与国家安全、国防安全直接相关的；
2. 与公共安全、公共卫生、重大公共利益直接相关的；
3. 与刑事侦查、起诉、审判和判决执行等直接相关的；
4. 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到您本人同意的；
5. 所收集的个人信息是您自行向社会公众公开的；
6. 从合法公开披露的信息中收集个人信息的，如合法的新闻报告、政府信息公开等渠道；
7. 根据您的要求签订和履行合同所必需的；
8. 法律法规规定的其他情形。

2. 系统权限调用说明

我们在应用内仅会在特定场景下申请系统权限，并由您主动授权：

• 相册权限 (Photo Library / Media Images)：
  • 用途： 仅用于为本地视频“添加/更换封面”、“扫描二维码”导入课程包，或将学习报告保存至您的相册。
  • 隐私承诺： 我们仅在本地读取您主动选择的图片文件。所有图像处理过程完全在本地完成，我们不会上传或分享您的任何本地图片数据至云端服务器。
• 本地视频权限 (Local Video)：
  • 用途： 用于“添加收藏本地视频”，以便您在应用内管理和播放您设备上的视频文件。
  • 隐私承诺： 我们仅读取您主动授权导入的视频文件。对应的视频数据仅保存在您的当前设备上，我们不会上传或发送您的任何本地视频内容至设备之外。
• 相机权限 (Camera)：
  • 用途： 仅用于“扫描二维码”导入课程包。
• 网络权限 (Internet)：
  • 用途： 用于同步账号数据、验证会员状态以及加载视频流媒体。
• 本地网络 (Local Network)：
  • 用途： 如果您使用投屏功能（如 AirPlay / DLNA），应用可能会申请此权限以发现局域网内的电视设备。

3. 第三方服务与数据共享声明

为了提供专业、稳定的服务，我们会与受信任的第三方技术合作伙伴协作。我们承诺仅在“最小必要”原则下共享数据，且不直接披露具体的服务商名称以保护架构安全：

3.1 基础设施与后端服务

我们采用行业标准的安全后端架构来存储和同步您的数据。我们主要基于 Appwrite —— 这是一个广受信任的开源后端技术体系，支持灵活的部署方式。

• 灵活部署声明 (Right to Deployment Flexibility)： 为确保服务的稳定性、合规性与数据安全，我们需要保留基础设施选型的灵活性。我们可能会根据实际业务场景，选择使用 Appwrite 官方提供的云端服务 (SaaS)，或者在通过 ISO/SOC 等安全认证的主流云服务商（如腾讯云、AWS）服务器上进行私有化独立部署 (Self-Hosted)。 请您理解并同意，我们有权在上述两种合规的模式之间进行切换或混合使用，无需另行专门通知，但我们承诺这种切换绝不会降低您数据的安全防护等级。

• 服务商与数据安全： 无论采用何种具体部署模式（SaaS 或 自托管），您的数据底层物理存储均位于符合国际顶级安全标准（如 ISO 27001, SOC 2）的数据中心。

• 数据存储区域： 我们会根据您的注册地及相关法律法规要求，合理选择数据存储区域。

  • 中国用户： 我们原则上优先在中国境内设施中存储您的核心隐私数据。
  • 全球同步： 为实现跨国界的账户漫游（如适用），必要的加密数据副本可能会存储于全球主要互联网枢纽节点。

• 收集信息： 为了保障服务安全与防御网络攻击，底层基础设施可能会自动记录必要的IP 地址和设备连接日志。

• 隐私政策参考：

  • Appwrite Privacy Policy (适用于 SaaS 模式)
  • 若采用私有化部署，您的数据将直接受控于本应用运营主体及底层基础云服务商（如 AWS/Tencent Cloud），并严格遵循本隐私政策的保护承诺。

3.2 支付处理与订阅管理 (IAP & Subscriptions)

为了保障您的交易安全并准确提供会员权益，我们构建了多层防护的支付验证体系：

1. 支付渠道与资金安全 (Apple / Google / Stripe)

   • 服务提供方： 交易渠道取决于您的设备平台：iOS 用户通过 Apple App Store，Android 用户通过 Google Play Store，网页或特定支付场景使用 Stripe。
   • 支付安全： 这些平台作为“记录商户 (Merchant of Record)”，直接处理您的支付请求。我们及任何第三方合作伙伴均无法接触、收集或存储您的银行卡号、CVV 码或支付密码。所有敏感支付信息均在上述平台的加密环境下封闭处理。

2. 订阅验证与营收合规 (RevenueCat) 我们集成行业标准的 RevenueCat 服务来处理全球范围内的订阅状态同步及财税合规逻辑。

   • 服务商角色： 受托处理者 (Data Processor)。
   • 数据最小化原则：
     • 匿名唯一标识： 我们仅发送一个随机生成的、与您的个人身份完全无关的唯一标识符（如 UUID）来标记订阅状态。默认情况下，我们绝不向其发送您的真实姓名、手机号或邮箱。
     • 交易凭证： 包含加密的交易收据 (Store Receipt)、购买时间、产品 ID 及设备标识符 (如 IDFV)。
   • 全球税务与合规： RevenueCat 协助我们依据不同国家/地区的财税法规（如 VAT 增值税、销售税等）进行预估和营收分析，确保我们的商业行为符合当地法律要求。

3. 业务逻辑交互 (Backend Interaction)

   • 三方校验机制： 当您发起订阅时，RevenueCat 会作为中枢，代表我们与 Apple 或 Google 的服务器进行加密通讯（Server-to-Server），以验证交易凭证的真实性。
   • 数据跨境说明： 为完成实时验证，必要的匿名凭证数据将发送至 RevenueCat 的全球验证服务器。
   • 隐私政策： RevenueCat Privacy Policy

3.3 内容播放与授权

本应用包含播放外部内容的功能，这涉及与相关内容平台的直接交互：

• 网盘服务 (Baidu Netdisk)： 当您使用网盘播放功能时，您需要授权我们获取您的文件列表和播放链接。
  • 授权凭证： 您的授权凭证 (OAuth Token) 及基础账号信息将加密存储于您的设备本地。
  • 云端备份说明： 为了提供多设备同步体验，我们可能会将上述加密凭证备份至云端服务器。我们承诺仅在加密状态下传输和存储，且仅用于您的账号同步，不会用于其他用途。
  • 验证码与登录： 当您进行网盘登录或授权时，相关页面由百度直接提供。您可能需要接收短信验证码以完成身份验证。此过程完全由百度处理，我们无法获取您的手机号码或验证码内容。
  • 合法访问权承诺： 您确认并承诺，您绑定的网盘账号归您本人所有或已获得合法授权。您对该账号内的文件内容及其传播行为负有全部法律责任。
  • 隐私政策： Baidu Privacy Policy (百度隐私政策)

我们采取的技术保护措施：

• 不提供任何预置网盘资源或内容推荐
• 不缓存或二次分发网盘文件
• 仅提供播放器技术支持，播放行为完全由百度网盘 API 控制
• 收到权利人有效通知后，将配合删除违规账号的授权凭证
• 所有网盘文件访问均需通过百度的权限验证，我们无法绕过其安全机制

• 在线视频链接管理 (Online Video Link Management)：

  支持平台： 包括但不限于 Bilibili, YouTube, 其他视频平台，或直接视频链接（Direct Video Links） 等。

  重要提示： 当您播放来自 Bilibili、YouTube 等第三方平台的内容时，您将直接受到这些平台服务条款的约束。这些平台可能会：

  • 收集您的观看行为数据用于推荐算法
  • 投放定向广告（如适用）
  • 记录您的账号登录状态（如您已登录）
  • 收集您的 IP 地址、设备信息、Cookies 或播放互动数据

  我们无法控制上述平台的数据处理行为。 建议您在使用前查阅：

  • Bilibili 隐私政策
  • YouTube 隐私政策
  • 数据交互： 当您播放此类视频时，应用会通过嵌入式浏览器 (WebView) 或直接连接加载内容。内容提供方可能会根据其隐私政策收集您的 IP 地址、设备信息、Cookies 或播放互动数据。
  • 隐私政策： 我们建议您在使用特定视频源前审阅其官方隐私政策。
  • 内容中立性声明（工具属性）： 本应用仅作为链接管理与播放辅助工具，自身不提供任何预置视频内容。我们不对您导入的链接来源做任何形式的推定或标记：
    • 用户自担责任： 所有播放链接均由您（用户）自行从网络中搜索、复制并粘贴导入。您对您导入的链接内容的合法性负全责。
    • 无审核义务： 我们无法也不会对您导入的视频内容进行版权或合规性审核。如您导入的链接侵犯了第三方权益，与本应用无关。

3.5 用户授权的间接获取（User-Delegated Access）

本应用不会私自通过后台与第三方（如百度网盘、Bilibili）建立数据交换。所有的第三方数据访问均基于您的直接授权：

• 授权机制： 只有当您主动发起连接（如登录网盘、导入链接）并提供凭证（如 OAuth Token）时，我们才会代表您访问第三方服务。
• 您的控制权： 您是授权的掌控者。我们仅在您允许的范围内（例如读取文件列表以供播放）充当您的"技术代理人"。一旦您在第三方平台取消授权，我们将立即失去相应的访问能力。

4. 儿童隐私特别保护

4.1 角色区分与监护人责任 本应用严格遵循《儿童在线隐私保护法》(COPPA) 及相关法律法规。 我们清晰区分了本应用中的两种角色，并据此界定法律责任：

• 管理者（家长/监护人）： 账号注册、订阅购买、内容配置等敏感操作设有家长挑战 (Parental Gate) 保护，仅限监护人操作。我们推定此类操作的执行者为具有完全民事行为能力的成年人。
• 使用者（儿童或监护人）： 您或被监护的儿童仅能在家长配置好的安全环境中浏览内容。当您将设备交给儿童使用时，即视为您作为监护人，已全权同意并授权我们收集和处理该期间产生的必要数据（仅限观看进度、观看历史、使用时长等非敏感信息）。

4.2 保护措施

1. 家长控制 (Parental Gate)： 所有涉及账号注册、会员购买、外部链接导入、网盘授权的操作，均设有家长验证机制（如汉字转数字挑战），防止儿童误操作。
2. 信息隔离： 我们不会在面向儿童的界面中请求任何个人信息。账号体系主要供家长管理配置使用。

5. 数据存储与安全

• 双重保护： 我们结合了本地沙盒机制 (Sandboxing) 与 云端加密传输 (HTTPS/TLS) 技术，确保数据在存储和传输过程中的安全。所有敏感数据在数据库中均进行加密存储（Encryption at Rest）。
• 存储地点： 您的账号及云端数据将存储于业界领先的云服务商的安全服务器中。根据我们的混合部署策略，数据可能位于中国境内（针对中国用户优化）或海外节点（针对全球服务）。我们承诺始终根据适用法律（包括 PIPL）的要求来决定数据的物理存储位置。
• 数据保留： 我们仅在为您提供服务期间保留您的个人信息。
  • 账户数据： 保留至您主动注销账户为止。
  • 日志数据： 可能会在短时间内保留以用于安全审计和故障排除，随后将被定期删除。

6. 账号注销与删除

您有权随时删除您的账号并销毁相关个人数据。为了符合 App Store 及 Google Play 的隐私合规要求，我们提供以下两种删除途径：

1. 应用内实时删除： 您可以进入【家长中心】-【关于】-【删除账号】，按照界面提示输入您的电子邮箱以确认身份，即可立即申请注销并删除账号。
2. 邮件支持申请： 如果您无法在应用内操作，或有其他特殊需求，可以通过您的注册邮箱发送邮件至 support@aiwen.app 申请删除账号。我们将在收到您的邮件并在验证身份后的 7 个工作日内完成处理。

后果说明： 一旦账号被删除，您在该账号下的所有数据（包括但不限于学习进度、配置、会员权益、积分等）在云端将被永久删除且无法恢复。

7. 政策更新

为了给您提供更好的服务，我们可能会不时修订本政策：

• 同步性： 我们会在官方网站发布本政策的最新版本。由于 App 版本更新可能存在滞后，您应以通过 App 内部链接访问到的网页版隐私政策为准。
• 重大变更： 若涉及处理目的变化、增加敏感信息收集等重大变更，我们将在 App 启动时通过弹窗、红点提醒或公告等显著方式通知您。
• 一般变更： 对于不影响您实质权利的文字修正或格式优化，我们将直接更新网站版本。您继续使用本应用的行为，将被视为您已同意接受修订后的政策约束。

8. 用户的权利 (User Rights)

根据《中华人民共和国个人信息保护法》(PIPL)、欧盟《通用数据保护条例》(GDPR)、加州《消费者隐私法》(CCPA) 及其他适用法律，您拥有以下权利：

1. 访问权 (Right to Access)： 您有权要求获得我们持有的关于您的个人数据副本。
2. 更正权 (Right to Rectification)： 如果您的信息不准确或不完整，您有权要求我们进行更正。
3. 删除权 (Right to Erasure)： 即“被遗忘权”。您可以随时通过应用内的注销功能请求彻底删除您的所有账户数据。
4. 限制处理权 (Right to Restrict Processing)： 在特定情况下，您有权要求我们限制对您数据的处理。
5. 撤回同意权 (Right to Withdraw Consent)： 对于基于您同意而处理的数据，您可以随时撤回同意（不影响撤回前处理的合法性）。

若您希望行使上述权利，请通过文末的联系方式随时与我们联系。

9. 联系我们

如您对本隐私政策或数据安全有任何疑问，请通过以下方式联系我们：

• 电子邮箱： support@aiwen.app

10. 法律管辖与争议解决

• 管辖法律： 本隐私政策的执行、解释及争议的解决均适用中华人民共和国法律（不包括香港、澳门、台湾地区的法律），并排除冲突法的适用。
• 争议解决： 如双方就本政策内容或其执行发生任何争议，应尽量友好协商解决；协商不成时，任何一方均可向中国上海市有管辖权的人民法院提起诉讼。