Surfaced - 隐私政策

生效日期:2026 年 5 月 10 日

Surfaced(以下简称"本应用")由 Forethought Studio 开发。本政策说明我们会收集哪些数据、为何收集以及如何保护这些数据。

1. 我们收集哪些数据

• 安装标识符:存储在您设备上的一个随机生成的唯一 ID。该 ID 不与您的姓名、电子邮件地址或任何个人账户相关联。我们会在每次冷启动时将该 ID 发送到我们的服务器,以记录该安装仍处于活跃状态(即"最后一次活跃"时间戳),并会随下文所列的使用事件一同上报。
• 匿名使用分析:我们会记录少量与您的安装标识符关联的匿名化使用事件,用于将活跃用户与只打开过一次本应用的用户加以区分。每种事件类型在每个安装上最多记录一次。目前我们记录以下事件:
  • install heartbeat(安装心跳):记录您的安装标识符、设备哈希和平台,并在每次冷启动时更新"最后一次活跃"时间戳。
  • first_card_added(首次添加卡片):在您首次保存会员卡时触发。
  • 购买流程事件:当您开始、完成、失败或恢复订阅时,我们会记录事件类型、平台、应用版本以及(失败时的)错误代码,以便监控购买可靠性。我们不会记录任何支付信息。
  这些事件不会与您的姓名、电子邮件地址或任何广告标识符相关联。
• 设备哈希:用于管理您的试用期并锚定您的同意记录的单向哈希。我们无法通过该哈希识别您的设备。
• 订阅状态和收据:如果您订阅服务,我们会将您的购买收据令牌发送至我们的服务器,服务器会将其转发给 Apple 或 Google 进行验证,我们会将验证结果(订阅是否有效、到期日期、原始交易 ID)与您的安装标识符相关联进行存储。我们看不到您的支付信息。
• 会员卡数据:您的卡片名称、条形码和颜色仅存储在您本地的设备上。我们绝不会将您的会员卡数据上传到我们的服务器。
• 位置数据:如果您启用定位服务,您的设备会获取您的大致位置,并以两种方式使用:
  • 本地排序:本应用会在设备上根据您与已知商家位置的距离对卡片进行排序。
  • 附近商家查询:当本应用需要为您推送附近商家的卡片时,您的纬度和经度会通过一次请求(/api/locations/nearby)发送到我们的服务器,以便我们返回半径约 10 公里内的匹配商家位置。这些坐标仅用于响应该请求,不会与您的安装标识符一同存储。
  • 社区商家数据库(可选):如果您保存了一张我们数据库中尚不存在的商家卡片,且您启用了社区贡献(默认开启,可在"设置"中切换),我们会将该商家名称和一对截断至约 11 米精度的坐标发送到我们的社区商家位置数据库,以便其他用户也能从中受益。该贡献不会与您的安装标识符相关联。
  我们绝不会收集或存储精确的位置轨迹、GPS 历史记录或后台位置。
• 反馈:如果您选择通过本应用发送反馈,我们会存储您撰写的消息、您的安装标识符、应用版本、构建号、构建创建时间戳、平台,以及本应用的一段调试日志摘录(近期屏幕名称和非敏感事件追踪,用于复现错误)。反馈表单中还包含一个可选的回复电子邮件字段;如果您填写,我们仅会将其与您的反馈一同存储,以便我们能够回复您。该字段留空也完全支持,我们不会尝试识别您的身份。
• 崩溃报告:如果本应用发生崩溃,我们会收集匿名错误数据(错误消息、堆栈跟踪、应用版本、平台)。这些数据会同时发送至我们自己的服务器(在那里以您的安装标识符为索引进行存储,以便我们关联同一安装的重复崩溃)以及第三方错误监控服务 Sentry。崩溃报告绝不会包含您的会员卡数据、位置或反馈内容。
• IP 地址:当您使用与我们服务器通信的功能(如商家搜索、附近商家查询、安装注册或发送反馈)时,您的 IP 地址作为网络连接的一部分会被我们的服务器看到。出于法律合规需要,我们会将您的 IP 地址与您的同意记录一同存储。我们不会将 IP 地址用于追踪或广告。
• 商家建议:如果您为我们数据库中尚不存在的商家添加卡片,我们可能会匿名地将该商家名称、品牌颜色和分类提交至我们的社区数据库。这些数据不会与您的身份或设备相关联。
• 同意记录:当您同意本隐私政策和我们的服务条款时,我们会存储您的设备哈希、同意日期、您所同意的政策和条款版本以及您的 IP 地址。这是为了符合 GDPR 的要求。

2. 我们不会收集的内容

• 您的姓名、电话号码或任何账户凭据
• 您的电子邮件地址(除非您在反馈表单中自愿提供)
• 您的会员卡数据(始终留在您的设备上)
• 后台位置、GPS 历史记录或精确位置轨迹
• 任何广告标识符
• 您设备上其他应用的数据

3. 我们为何收集这些数据

• 安装 ID 和设备哈希:用于管理您的免费试用、防范滥用,并锚定同意和订阅记录(合法利益:履行合同与防范欺诈)。
• 匿名使用分析:用于衡量激活情况(例如有多少安装添加了首张卡片)以及监控购买可靠性(合法利益:改进与运营本应用)。
• 订阅收据:用于向 Apple 或 Google 验证您的订阅是否有效(合法利益:履行合同)。
• 崩溃报告:用于发现并修复错误(合法利益:维护本应用的正常运行)。
• 反馈(及可选的电子邮件):用于根据您的建议改进本应用,以及在您提供了电子邮件时与您回复联系(合法利益:由您主动发起联系)。
• 位置(附近商家查询):用于响应您查询附近会员商家的请求(合法利益:提供您在启用定位时所选择的功能)。
• IP 地址:出于法律合规需要随同意记录一并保存(法律义务:证明已获得有效的 GDPR 同意)。在所有服务器请求中作为网络通信的常规组成部分都会被看到。
• 商家建议与社区商家位置:为了构建一个让所有用户受益的共享商家数据库(合法利益:为所有用户改进产品)。

4. 第三方服务

• Apple App Store / Google Play:负责处理订阅的支付,并在我们的服务器转发订阅收据时代为完成校验。其隐私政策适用于支付数据。
• Sentry(sentry.io):接收匿名崩溃报告。Sentry 隐私政策

5. 数据保留

崩溃日志和反馈最长保留 2 年,之后会被自动删除。订阅记录会在您的订阅有效期内保留,并在订阅取消后再保留 1 年。使用事件(install heartbeat、first_card_added、购买流程事件)最长保留 2 年。同意记录(包括 IP 地址)会在服务存续期间一直保留,以便按 GDPR 要求证明合法同意的有效性。

6. 您的权利(GDPR)

如果您位于欧盟/欧洲经济区,您有权:

• 请求访问您的数据
• 请求删除您的数据
• 反对数据处理
• 进行数据可携

6a. 自助删除(GDPR 第 17 条)

删除数据最快的方式是直接在应用内操作:

1. 打开 Surfaced 并进入设置。
2. 向下滚动至靠近底部的隐私部分。
3. 点按删除我的数据,并确认两次提示。

当您点按"删除我的数据"后,设备上的卡片和偏好设置会被立即移除。您的云备份及账户记录会在我们的服务器上保留 30 天,目的仅在于让您在改变主意时能够恢复账户。30 天之后,所有服务器端记录都会被永久删除(包括您的安装行、订阅历史、购买事件日志、反馈消息、崩溃报告、使用事件、同意记录和试用状态),您的云备份文件会被移除,任何与您安装相关的错误报告也会从我们的错误追踪服务商处清除。

如需在 30 天窗口期内恢复,请重新打开应用,重新登录 iCloud(iOS)或 Google 云端硬盘(Android),并在提示时点按是,取消删除。您的卡片、订阅和试用状态都会恢复到此前的同一账户。如果设备上仍然装有本应用,您也可以在窗口期内的任何时候,从"设置 → 隐私"中点按取消计划中的删除。

30 天的保留期是您点按"删除"后我们唯一保留的内容;我们不会将其用于任何其他目的,在该窗口期内也不会再收集您的任何数据。30 天之后,删除即不可撤销。无需提交客服工单或发送电子邮件。

6b. 当您不再持有该设备时,可通过电子邮件兜底

如果您丢失、出售或重置了运行 Surfaced 的设备,您将无法再使用应用内按钮(安装 ID 存储在设备上,我们也没有任何其他能与您挂钩的标识符)。在这种情况下,请使用您之前在应用内反馈表单中使用的电子邮件地址,向 [email protected] 发送邮件。我们将会:

• 将您的电子邮件与反馈表 email 列进行匹配,以定位关联的安装 ID。
• 对每一条匹配到的安装执行与应用内按钮相同的级联删除。
• 在删除完成后回复您(通常会在 30 天的 GDPR 法定时限内完成)。

如果您从未通过反馈表单提交过电子邮件,我们便没有任何连接您与某个安装行的纽带,因此无法识别并删除您的数据。在这种情况下,若没有原设备的安装 ID,则无法完成删除。您可以通过重新安装并在新安装上使用应用内按钮来获取该 ID(但这只会清除该新安装)。

如需行使其他权利(访问、可携、反对),请发送电子邮件至 [email protected],并附上您的安装 ID(可在"设置 → 关于"中找到)。

7. 儿童

Surfaced 不面向 13 岁以下儿童。我们不会有意收集儿童的数据。

8. 变更

我们可能会更新本政策。重大变更会伴随本应用的版本升级;在下次启动时,本应用会在向我们的服务器发送任何后续数据之前,重新征得您的同意。

9. 联系方式

Forethought Studio
电子邮件:[email protected]