隐私政策

最后更新：2026-04-18｜版本 1.0｜符合《个人信息保护法》《数据安全法》《生成式人工智能服务管理暂行办法》等要求。

本政策介绍了我们在您使用"人际情商 · AI"时，会收集哪些个人信息、如何使用与共享、您享有哪些权利、以及如何行使这些权利。请您在使用前仔细阅读。

一、我们收集的信息

1.1 您主动提供的信息

• 注册信息：用户名、邮箱、密码（仅保存 bcrypt 哈希，不保存明文）。
• 问答内容：您向 AI 提交的问题、补充信息、反馈。
• 上传材料：您选择上传至知识库的 PDF/DOCX/TXT 等文件（默认只在账号下可见）。

1.2 服务运行过程中自动收集

• 技术信息：IP 地址、User-Agent、浏览器语言与时区、屏幕尺寸、引荐来源。
• 使用信息：访问页面、功能点击、停留时长、提问与回答耗时、错误日志、限流/审核事件。
• 设备指纹：基于 UA、时区、Canvas 特征等生成的不可逆哈希，用于识别批量恶意注册；我们不会借此识别具体自然人。

1.3 我们不会收集

• 政治观点、宗教信仰、生物识别、精准地理位置、身份证号、银行卡号等无明确业务必要的敏感信息。
• 通讯录、短信、麦克风、摄像头数据。

二、信息的使用方式

1. 提供问答服务：将您的问题与知识库内容提交至 AI 模型（见下文"第三方"条目），生成回答。
2. 安全与合规：检测恶意注册、暴力破解、爬虫、提示词注入、违规内容，并按照法律要求保留审计记录。
3. 服务改进：基于匿名化的统计数据（PV / 转化 / 错误率）优化检索质量、产品体验。
4. 变现与推广：向您展示广告或课程/图书推荐卡片，并统计点击与转化数据。此过程不会将您的个人身份信息分享给广告主。

三、Cookie 与设备指纹

我们使用必要 Cookie 来维持登录状态、防止 CSRF 与暴力破解。以下类别您可以在首次访问时通过 Cookie 横幅拒绝：

• 必要 Cookie（始终开启）：会话令牌、CSRF token、CAPTCHA 状态、语言偏好。
• 分析 Cookie（可拒绝）：页面浏览统计、转化漏斗埋点。
• 推广 Cookie（可拒绝）：商品推荐卡片的点击归因、CPS 短链追踪。

您可随时通过浏览器设置删除本域 Cookie，或在账号设置页重置 Cookie 偏好。

四、第三方与外部 SDK

我们使用以下第三方服务提供核心功能或推广：

• SiliconFlow（API 模式）：用于嵌入、重排、LLM 推理。您的问题文本会被传递给该 API，但不含账号信息。
• Cloudflare Turnstile / hCaptcha：人机验证，可能收集浏览器指纹、IP，用于判定是否为机器人。仅在注册/登录/忘记密码流程开启。
• 内容审核 API（可选，默认关闭）：阿里云 / 腾讯云审核 API，用于对灰名单命中文本做兜底判断。
• 流量分析（可选，可拒绝）：Google Analytics 4、百度统计等，用于匿名化的访问统计。
• 广告联盟（可选）：在您未拒绝推广 Cookie 时，侧栏广告位会加载联盟脚本（百度联盟 / Google AdSense 等），由其在 iframe sandbox 中渲染。

所有第三方 SDK 仅在其所需最小范围内访问您的数据。我们建议您同时查阅上述服务的隐私政策。

五、存储期限与地域

• 注册信息：账号存续期间 + 注销后 15 天缓冲（用于您反悔恢复）。
• 问答记录：默认不落盘明文；回答生成后仅保留匿名聚合指标。如启用服务端会话持久化（功能在 Phase 2 开启），则遵循您在账号设置中选择的保留期（7 / 30 / 90 天）。
• 审计日志（登录失败、限流、审核拦截等）：最长保留 180 天，用于安全事件排查与合规审查。
• 服务器部署在中华人民共和国境内；与 SiliconFlow 的 API 调用数据遵循其隐私政策。

六、对外共享、委托处理

除以下情形外，我们不会向任何第三方共享您的个人信息：

1. 获得您明示同意；
2. 法律、行政法规、司法或行政机关合法要求；
3. 为保护您或他人的人身、财产安全所必需；
4. 您自己通过本服务公开发布的内容（如评论，暂未开放）；
5. 与受托处理方（如云服务商、邮件发送方）签署严格保密协议后的必要共享。

七、安全措施

• 强制 HTTPS；生产环境启用 HSTS。
• bcrypt 存储密码，cost=12；JWT 支持紧急撤销与版本化失效。
• 多维限流（per-IP / per-user / per-route / per-day）+ 登录防暴力 + 可选 CAPTCHA + 自动封禁异常 IP。
• LLM token 配额限制单账号资源占用，防止被滥用。
• 所有日志不记录密码、重置码、完整 Token、完整 API Key。
• 前端 CSP + DOMPurify 双重防御 XSS；禁用 inline script。

八、您的权利

依据《个人信息保护法》第四章，您享有以下权利，行使方式见末尾"联系我们"或账号设置页：

1. 查询 / 复制：通过 GET /auth/me/export 下载本账号相关的个人数据副本（JSON 格式）。
2. 更正 / 补充：登录后在"账号设置"修改用户名、密码。
3. 删除：通过 DELETE /auth/me 注销账号；账号与关联审计数据将在 15 天内删除。
4. 撤回同意：拒绝分析/推广 Cookie 不影响您使用核心问答功能。
5. 投诉与举报：若您认为我们的处理侵犯了您的权益，可联系 support@example.com，或向当地网信办、公安机关投诉举报。

九、未成年人条款

我们的服务面向年满 14 周岁的用户。若您不满 14 周岁，请勿使用本服务。我们不会主动向未成年人推送广告；如您发现不当内容，请立即联系我们处理。

十、本政策的更新

我们可能会根据法规变化或产品调整更新本政策。重大变更将通过站内公告或邮件通知。继续使用服务即视为接受修订后的政策；若不同意，您可选择注销账号。

十一、联系我们

• 个人信息保护负责人邮箱：privacy@example.com（请替换为真实联系人）
• 投诉建议：support@example.com
• 备案号：见页脚 ICP 备案号