我们在系统设计阶段就把隐私放在第一位。我们不会将你的个人核心敏感数据或身份标识用于训练任何 AI 大模型。
1. 谁在收集这些数据
本隐私政策由以下主体发布并执行:
- 服务提供方:Linsen Wang(澳大利亚个体经营者 / sole trader)
- 商业品牌:Ant and Giant(中文:蚂蚁与巨人)
- 应用名称:Anto(iOS App)
- ABN:97 551 780 857
- 注册地:Australia · New South Wales (NSW)
- 域名:antandgiant.com
联系方式:
2. 我们收集哪些数据
我们只收集运行服务所必需的数据,分为以下类别:
2.1 账户信息
- 邮箱地址(注册 / 登录使用)
- 显示名(可选 · 来自 Apple / Google Sign In 或自填)
- Firebase UID(系统内部账户标识)
- 登录方式(邮箱 OTP / Apple / Google)
- 账户创建时间 / 最后登录时间
2.2 学习与使用数据
- 翻译历史(你输入的内容 + AI 生成的翻译)
- 词库 / 收藏夹 / 笔记
- 口音偏好、TTS 语音设置等个性化配置
- 反馈消息(你通过应用内“联系开发者”发送的内容)
2.3 移动端音频(短暂处理)
- 仅当你主动按住“语音”按钮时启动麦克风,松手即停
- 音频通过 HTTPS 加密上传至我们的服务器
- 由 AI 模型识别为文字 + 翻译
- 原始音频不写入数据库,不留存于第三方模型提供商
- 仅保留你手动“保存”的文字翻译结果
2.4 设备与诊断数据
- iOS 系统版本、设备型号、应用版本(用于兼容性诊断)
- 崩溃堆栈(脱敏 · 不含翻译文本或音频)
- 性能指标(API 延迟、错误率等聚合数据)
- iOS 系统 API 使用情况(已在 PrivacyInfo.xcprivacy 中声明:UserDefaults / FileTimestamp / DiskSpace / SystemBootTime)
2.5 网络支付数据(仅 Web 端 Stripe)
- 仅当你在 antandgiant.com 网页端订阅付费功能时
- 我们不接触你的完整信用卡号 · 全部走 Stripe 令牌化流程(PCI-DSS 合规)
- iOS App 内不收取任何付费,不触发 App Store 内购
2.6 我们不收集的数据
- 通讯录、相册、定位、日历、健康数据
- 麦克风以外的设备传感器
- 跨应用跟踪标识符(IDFA · 我们不调用 App Tracking Transparency prompt)
- 第三方广告标识符
3. 为什么收集 · 法律基础
每一类数据对应明确目的与 GDPR 第 6 条法律基础:
| 数据 | 目的 | 法律基础 |
|---|
| 账户信息 | 提供登录、跨设备同步 | 合同履行 |
| 学习数据 | 提供翻译 / 词库 / 个性化服务 | 合同履行 |
| 音频(短暂) | 语音转文字 + 翻译 | 用户同意(每次按住按钮) |
| AI 数据共享(文本 + 音频 → 第三方 AI 服务商) | 提供翻译 / 语音识别 / 词条详解 / TTS 发音 | 用户同意(首次启动 Onboarding 强制屏 + 可在 Settings 撤回) |
| 诊断数据 | 修复崩溃、保障稳定性 | 合法利益 |
| 支付数据 | 处理订阅付费 | 合同履行 |
| 反馈消息 | 客户支持 + 改进产品 | 合法利益 |
我们不会把以上任何数据用于:(a) AI 大模型训练;(b) 跨应用广告投放;(c) 出售给第三方。
4. 第三方服务(数据处理方)
为提供服务我们使用以下第三方处理方(sub-processors)。所有第三方均通过加密通道传输 · 受其各自隐私政策约束 · 我们与每家均签署或依赖企业级数据处理协议(DPA),明确禁止其将我们传输的数据用于 AI 模型训练或转售:
| 服务方 | 用途 | 数据中心 |
|---|
| Anthropic (Claude) | AI 推理(翻译详解 / 例句生成 / 拼写练习反馈) | 美国 |
| Google (Gemini API) | 翻译 / 语音识别 / 字典查询 | 美国 / 全球 |
| Google Cloud TTS | 文字转语音(多口音发音) | 全球 |
| Firebase Authentication (Google) | 用户认证 / 会话管理 | 美国 |
| Resend | 发送 OTP 验证码邮件 | 东京(ap-northeast-1) |
| Sentry | 崩溃 / 性能监控(脱敏) | 美国 |
| Vercel | 网站托管 + Serverless 运行时 | 悉尼(syd1) |
| Neon | PostgreSQL 数据库(账户 / 学习数据) | 美国 |
| Stripe(仅 Web 端) | 订阅支付处理 | 全球 |
| Apple Inc. | Sign in with Apple OAuth | 全球 |
| Google LLC | Sign in with Google OAuth | 全球 |
关于 AI 模型训练: 我们对 Anthropic Claude 与 Google Gemini 的 API 调用,依据各供应商默认数据处理政策:
- Anthropic Claude API:标准 API 调用默认不用于模型训练(详见 Anthropic Trust Center)
- Google Gemini API:使用 Google Cloud paid-tier API key 调用, paid-tier 数据不会用于改进 Google 服务(含模型训练 · 详见 Google Gemini API 条款)
- 如某供应商政策变更涉及训练 · 我们将在生效前 30 天通过应用内通知 + 邮件告知
4.1 iOS App 内的 AI 数据流明细
当你在 Anto iOS App 内使用以下功能时,相应数据会经由我们的后端服务器中转,发送给第三方 AI 服务商处理(不直接从手机调用第三方 API):
| App 内动作 | 发送内容 | 发往 | 后端 endpoint |
|---|
| 文本翻译 | 输入文本 | Google Gemini | /api/vocabulary/quick-translate/stream |
| 语音翻译 | 录音音频(识别完即删 · ≤5 秒) | Google Gemini | /api/vocabulary/voice-translate/stream |
| 词条详解 | 当前词条文本 | Anthropic Claude + Google Gemini | /api/vocabulary/preview/stream |
| 发音播放 | 朗读文本 + 口音偏好 | Google Cloud TTS | /api/tts/* |
所有调用都通过 HTTPS / TLS 1.2+ 加密。后端服务器位于 Vercel 悉尼(syd1)数据中心,AI 服务商的处理依据各自 DPA 政策(详见上方 §4 主表)。
首次启动 Anto iOS App 时,我们会在 Onboarding 第二屏明确披露上述数据流并请求你的同意。同意后,App 才能调用 AI 功能。你可以在「我的 → 隐私 → AI 数据」中查看当前同意状态并随时撤回;撤回后所有翻译 / 语音 / 详解 / 发音功能立即停用,已保存的本地词库不受影响。
5. 数据保留期
- 账户数据:账户存在期间持续保留;你主动删除账户后,数据立刻进入软删状态(应用无法访问),30 天后由定时任务永久清除(GDPR / CCPA / Apple App Store 5.1.1(v) 合规)
- OTP 验证码:10 分钟有效期;验证后 24 小时内清理
- 音频文件:识别完成即删除(≤5 秒),不写入持久化存储
- 崩溃日志:Sentry 默认保留 90 天
- 邮件发送记录:Resend 默认保留 30 天
- 数据库备份:可能延后至硬删后 90 天才完全清除(出于灾难恢复目的)
6. 国际数据传输
由于服务方位于澳大利亚而部分第三方在美国 / EU / 日本 / 全球,你的数据将跨境传输。我们采取以下措施保护跨境传输:
- 所有传输均通过 HTTPS / TLS 1.2+ 加密
- 与所有美国 / EU 处理方依赖 GDPR 标准合同条款(SCCs · Standard Contractual Clauses)
- 核心数据库(Neon)、AI 推理(Anthropic / Google)数据均落于供应商企业级合规区域
- 不向不具备 GDPR / 等同保护标准的第三国传输个人数据
7. 数据安全
- 所有传输 HTTPS 加密(TLS 1.2 以上)
- 数据库静态加密 (encryption at rest · Neon AES-256)
- 密码采用 bcrypt 哈希存储(即便数据库被攻击者获取也无法还原原文)
- OTP 验证码采用 bcrypt 哈希 + 5 次失败锁定 + 15 分钟封锁
- 访问限制:仅服务方核心人员可接触生产数据库 · 所有访问留有审计日志
- Firebase Authentication 提供多因子认证(你可在账户设置中启用)
8. 你的权利
依据 GDPR、CCPA / CPRA、澳大利亚《Privacy Act 1988》以及中国《个人信息保护法》(PIPL),你享有以下权利:
8.1 通用权利
- 访问权:要求我们提供你的数据副本
- 更正权:要求更正不准确的数据
- 删除权 / 被遗忘权:要求永久删除账户与全部关联数据
- 限制处理权:要求暂停某类数据的处理
- 数据可携权:以机器可读格式(JSON)导出你的全部数据
- 反对权:反对基于合法利益的数据处理
- 撤回同意权:随时撤回先前的明确同意。 特别说明:iOS App 内的 AI 数据共享同意可在「我的 → 隐私 → AI 数据」中随时撤回,撤回后所有翻译 / 语音 / 详解 / 发音功能立即停用,已保存的本地词库与设置不受影响
- 投诉权:向监管机构投诉(澳大利亚 OAIC / EU 各成员国数据保护机构)
8.2 行使方式
- 应用内自助:iOS App → 我的 → 永久删除账号(即时软删 · 30 天硬删)
- 邮件请求:发送至 privacy@antandgiant.com · 我们将在 30 天内响应
- 免费:所有数据请求均免费 · 我们不会因你行使权利而对你造成不利对待
9. 儿童条款
本服务面向 13 岁及以上用户。我们不主动针对、收集或营销 13 岁以下儿童的个人信息。
如果你是 13 至 16 岁之间的未成年人,且所在司法辖区要求父母 / 监护人同意(如 GDPR 16 岁以下),请在父母或监护人陪同下使用本服务。
如果我们发现误收集了 13 岁以下儿童的个人信息,将立即删除。如你认为某未成年用户的数据被误收集,请联系 privacy@antandgiant.com。
10. Cookie 与跟踪
网站(antandgiant.com)
- 必要 Cookies:用于会话保持、CSRF 防护(无法关闭)
- 性能 / 错误监控 Cookies:Sentry session(脱敏)
- 不使用:第三方广告 cookies、跨站跟踪、社交媒体追踪像素
iOS App (Anto)
- 不调用 App Tracking Transparency (ATT) 提示:因为我们不进行跨 App 跟踪
- 不收集 IDFA 或类似广告标识符
- 本地存储仅用于会话 / 学习偏好(UserDefaults · 已在 PrivacyInfo.xcprivacy 中声明)
11. 数据违约通知
万一发生影响你个人数据的安全事件(data breach):
- 我们将在发现后 72 小时内通知相关监管机构(GDPR Art. 33 标准)
- 如违约可能给你带来高风险,我们将立即直接通知你(通过应用内通知 + 邮件)
- 通知内容包括:违约性质、可能后果、已采取的应对措施、你可采取的自我保护措施
12. 政策更新
我们可能不时更新本隐私政策。任何变更:
- 轻微变更(措辞、排版):仅更新页顶“最后更新”日期
- 重大变更(如新增数据处理类别、改变第三方处理方等):我们将通过应用内通知 + 注册邮箱通知,至少在生效前 30 天告知
- 你继续使用服务即视为同意更新后的政策;如不同意,请停止使用并按 §8 行使删除权
联系我们
对本隐私政策的任何疑问、请求、投诉:
本政策以中文版本为准。English version:English