隐私政策

1. 我们收集的信息

账户信息

• 电子邮件地址和显示名称(创建账户所必需)
• 如果你使用电子邮件注册,则为哈希后的密码 — 我们从不存储或查看你的明文密码
• 如果你使用社交登录,则为 Apple 或 Google 的稳定标识符(我们不接收你的 Apple/Google 密码)

健康和个人资料信息

• 你在注册过程中选择的健康关注事项(最多 3 种医疗状况,以及任何身材目标和健康焦点)
• 饮食偏好(素食、纯素、清真、犹太洁食、无麸质等)
• 身体数据:出生日期、生理性别、身高、体重、活动水平
• 可选:GLP-1 药物使用状况、肾透析状况

餐点数据

• 你记录的餐点照片(安全存储在我们的云存储中)
• 餐点条目 — 识别的食物、份量、营养估算、时间戳、餐点类型(早餐、午餐、晚餐、零食)
• 你对餐点所做的任何编辑或备注

运动、断食和饮水数据

• 手动记录的运动条目、间歇性断食时段和饮水量

设备和技术数据

• 推送通知令牌(如果你选择接收通知)
• 设备型号、操作系统版本、应用版本、时区和语言环境 — 用于正确安排提醒和诊断
• 崩溃报告和错误日志 — 仅用于修复 bug

订阅事件

• 你的订阅状态(免费或已订阅)、方案(月度或年度)、是否使用过免费试用,以及下一次续订日期
• 我们不接收、存储或处理支付卡详细信息。账单完全由 Apple 和 Google 处理;Trace 只从 RevenueCat(我们的订阅管理提供商)接收已签名的事件通知,以确认购买、续订或取消。.

使用分析

• 关于功能使用方式的聚合事件(例如"用户完成入门"、"用户打开洞察标签页")。这有助于我们了解哪些功能重要并加以改进。

2. 我们如何使用你的信息

• 运营服务 — 验证身份、跨设备同步数据、展示你的历史记录
• 分析你的餐点 — 当你拍摄一餐时,我们将照片发送给 AI 视觉提供商(参见第 3 节),以识别食物并估算份量和营养素
• 计算你的个性化目标 — 我们使用你的资料(年龄、性别、体重、活动、状况、目标),根据已发布的科学指南(Mifflin-St Jeor、WHO、USDA)以及针对具体状况的调整,计算每日卡路里和营养素目标
• 生成洞察 — 我们分析你一周内记录的餐点,从中发现规律(例如"本周镁摄入偏低"),并建议简便的替代食物
• 向你发送通知 — 提醒、每周报告和订阅通知,仅在你选择接收时发送
• 防止滥用并保持服务安全 — 速率限制、防止欺诈、调试
• 与你沟通 — 账户事项(密码重置、账单、政策更新)

3. 我们与谁共享数据

Trace 使用少数可信赖的服务提供商来运营应用。每家只获得其特定功能所需的数据,并受保密和数据保护义务的合同约束。

• Neon(PostgreSQL)和 Upstash(Redis) — 存储你的账户、个人资料和餐点历史的主要数据库
• Amazon S3 / Cloudflare R2 — 你的餐点照片的对象存储
• Anthropic(Claude)或 Google(Gemini) — 分析你的餐点照片的 AI 视觉提供商。照片通过加密连接发送,在其基础设施上分析,然后返回给 Trace。根据我们的处理协议,两家提供商都不会使用你的内容来训练其模型。
• RevenueCat — 接收来自 Apple 和 Google 的订阅事件,并转发给 Trace,使你的 Pro 权益保持准确
• Apple App Store 和 Google Play — 处理所有订阅付款。Trace 在任何时候都不会收到你的支付卡详细信息。
• Resend — 发送事务性电子邮件(密码重置、账户通知)
• PostHog — 记录匿名化的使用事件,以帮助我们改进产品
• Sentry — 捕获崩溃和错误以便我们修复 bug
• USDA FoodData Central 和 Edamam — 我们查询营养数据的食物参考数据库。这些请求仅包含你搜索的食物名称 — 绝不包含你的身份或资料。

我们不与广告商共享你的数据。只有在法律强制要求时,我们才会向执法机构披露你的数据;法律允许时,我们会同时通知你。

4. 餐点照片保留

餐点照片在记录后最多保存 30 天,随后会从我们的云存储中自动删除。你也可以随时在历史记录中删除该餐,以手动删除对应的照片。

5. 数据保留

只要你的账户处于活动状态,我们就保留你的账户和健康数据。当你删除账户时,我们会在 30 天内永久删除你的个人资料、餐点历史和照片。出于法律和会计目的所需的有限记录(例如订阅收据)可能根据税法保留最多七年。

6. 你的权利

你对我们持有的关于你的数据拥有权利。根据你所在地区,这些权利包括:

• 访问 — 请求我们持有的关于你的数据副本
• 可携带性 — 以机器可读格式导出你的数据
• 更正 — 更新任何不准确的数据
• 删除 — 删除你的账户及所有相关数据
• 反对和限制 — 反对或限制某些处理
• 撤回同意 — 如果处理依赖于同意(例如推送通知),可随时撤回

上述大部分权利,你都可以直接在应用的个人资料界面行使,包括导出数据和删除账户。也可以发送电子邮件至 [email protected],我们会在合理时间内回复。

7. 安全

我们使用 TLS 加密设备与服务器之间的传输数据,并对静态存储的数据进行加密。密码使用 bcrypt 进行哈希处理。生产系统的访问仅限于经授权的工程师,并接受审计。没有任何系统能做到绝对安全,但我们采取符合行业标准的合理措施,保护你的数据。

8. 儿童

Trace 不面向 16 岁以下儿童。我们不会有意收集 16 岁以下儿童的个人数据。如果你发现有儿童创建了账户,请联系 [email protected],我们会删除该账户。

9. 国际数据传输

Trace 在全球多个云区域运行,第 3 节所列服务提供商可能会在你所在国家以外的地区处理数据 — 包括美国、欧盟、新加坡和英国。涉及跨境传输时,我们会采取适当的法律保障措施,例如标准合同条款或同等机制。

10. 本政策的变更

我们可能会不时更新本隐私政策。如果我们做出重大变更,我们会在其生效前通过应用或电子邮件通知你。本页顶部的"生效日期"始终反映当前版本。

11. 联系方式

有关隐私问题、数据访问请求或投诉,请发送电子邮件至 [email protected]。如果你在欧盟或英国,并且对我们的回复不满意,你有权向当地数据保护机构提出投诉。