隐私政策

最后更新日期：2026 年 5 月 12 日

留子厨房（以下简称"我们"）非常重视您的隐私。本隐私政策说明了我们如何收集、使用、存储和保护您在使用留子厨房应用（以下简称"本应用"）时的个人信息。

1. 信息收集

我们秉持最小化数据收集原则，仅收集为提供和改进本应用核心功能所必需的信息。

1.1 账户信息（Sign in with Apple）

• Apple 用户标识符：由 Apple 颁发的、与您 Apple ID 关联的匿名 ID（user identifier），用于唯一识别您的账户。
• 邮箱地址（可选）：如果您选择共享真实邮箱，我们将存储该邮箱以便联系您；如果您选择"隐藏我的邮箱"，我们仅保存 Apple 生成的中转邮箱地址。
• 显示名称（可选）：您可在首次登录时选择是否共享姓名。

1.2 您在使用过程中产生的内容

• 食材库存：您手动录入或通过拍照识别得到的食材清单
• 食谱：您收藏、导入或由智能服务自动生成的食谱内容
• 餐计划与购物清单：您创建的每周餐计划和购物项目
• 偏好设置：用餐人数、口味偏好、忌口、烹饪时间预算等
• 反馈与评分：您对食谱的喜好反馈（用于提升推荐质量）

1.3 智能功能相关输入

当您使用智能功能时，以下输入将被传输至我们的后端及第三方大语言模型服务（Anthropic）进行处理：

• 拍照入库 / 小票扫描：您主动拍摄并上传的食材照片或购物小票照片
• 食谱生成 / 自动排餐：您的库存清单、偏好设置、自定义提示词
• 食谱导入：您粘贴的食谱链接或文本内容

处理完成后，返回的结果（识别出的食材、生成的食谱等）将存储在您的账户中。原始输入图片或链接不会在我们服务器上长期保留。

1.4 订阅与计费信息

• 订阅状态：我们从 Apple 接收并存储您的订阅产品标识、有效期与续费状态。
• 使用计量：我们记录您智能功能调用的使用量，用于核算免费额度与公平使用上限。
• 付款信息：我们不直接处理或存储您的信用卡 / 支付信息 —— 所有付款由 Apple 通过 App Store 完成。

1.5 自动收集的信息

• 设备信息：设备型号、操作系统版本、应用版本号、语言与地区设置
• 使用数据：应用功能使用频率、性能指标（用于改进应用质量）
• 崩溃日志：通过 Firebase Crashlytics 收集的匿名崩溃报告

1.6 我们不收集的信息

• 我们不收集您的位置信息
• 我们不访问您的通讯录、相册（除非您主动选择上传特定照片）
• 我们不收集您的健康、生物识别或财务账户信息
• 我们不将您的内容用于训练任何机器学习模型

2. 数据存储与位置

您的数据采用"本地优先 + 云端同步"的存储模式：

• 本地存储：食谱、库存、餐计划在您的设备上以 iOS 系统级加密方式保存，应用离线也可使用。
• 云端同步：同样的数据会通过 Supabase 同步到我们的云端后端（托管于美国数据中心）。这使您能够在多台设备上使用同一账户。
• 传输加密：所有设备 ↔ 后端之间的传输均使用 HTTPS/TLS 加密。
• 访问控制：后端通过行级安全策略（Row-Level Security）确保每位用户只能访问自己的数据。

3. 信息使用

我们收集的信息仅用于以下目的：

• 提供和维护本应用的核心功能（包括账户登录、数据同步、智能功能调用）
• 计量和管理您的使用额度
• 校验您的订阅状态以解锁 Pro 功能
• 改善应用性能和用户体验
• 修复 bug 和解决技术问题
• 分析应用使用趋势（仅聚合匿名数据）
• 在必要时通过邮件联系您（如重要的服务变更或安全通知）

4. 信息共享

我们不会出售、出租或交易您的个人信息。我们仅在以下情况向第三方共享必要的数据：

• 云基础设施（Supabase）：作为我们的数据处理者存储和处理您的账户与内容数据。
• 大语言模型服务提供商（Anthropic）：当您使用智能功能时，相关输入将通过我们的后端转发至 Anthropic 处理。Anthropic 已书面承诺不将通过 API 接收的数据用于训练其模型。
• Apple：身份验证、订阅与付款由 Apple 通过 Sign in with Apple 与 App Store 处理，受 Apple 隐私政策管辖。
• 崩溃分析（Firebase Crashlytics）：用于接收匿名崩溃报告，不包含您的账户或内容数据。
• 法律要求：当法律法规要求或政府部门依法要求披露时，我们将在法律允许范围内尽可能告知您。

5. 第三方服务

本应用集成以下第三方服务，其各自的隐私政策对您同样适用：

• Apple App Store / Sign in with Apple：身份验证、订阅与付款处理。
• Supabase：身份认证、数据库、Edge Functions 后端基础设施。
• Anthropic（Claude）：驱动本应用所有智能功能的大语言模型服务。
• Firebase Crashlytics：匿名崩溃报告收集。

我们建议您查阅这些服务各自的隐私政策。

6. 数据安全

我们采用行业标准的安全措施保护您的信息，包括传输层加密、严格的访问控制以及对敏感凭证的服务器端隔离。但请注意，没有任何互联网传输或电子存储方法是 100% 安全的。如发生数据泄露事件，我们将依据适用法律及时通知受影响用户。

7. 儿童隐私

本应用不面向 13 岁以下儿童。我们不会故意收集 13 岁以下儿童的个人信息。如果我们发现无意中收集了此类信息，将立即删除。

8. 您的权利

根据您所在的司法管辖区，您可能享有以下权利：

• 访问权：您可以随时在应用内查看您的全部数据。
• 更正权：您可以随时修改您的食谱、库存、餐计划与偏好设置。
• 删除权：您可以在应用内"我的 → 账户 → 删除账户"中永久删除您的账户及所有关联的服务器端数据。删除操作不可恢复。
• 数据可携性：您有权以结构化、通用且机器可读的格式接收您的数据。请通过本政策底部的联系方式发起请求。
• 限制处理权：在某些情况下，您有权要求限制对您数据的处理。
• 退出权：您可以随时停止使用本应用并删除账户。

如需行使上述任何权利，请通过本政策底部的联系方式与我们联系。我们将在合理时间内（最迟 30 天内）回复您的请求。

9. 数据保留

• 账户与内容数据：在您账户有效期内持续保留。删除账户后，关联数据将在合理期限内从我们的生产系统永久清除。
• 智能功能输入（照片、链接、文本）：处理完成后即从我们的服务器清除，不长期保留。
• 使用计量与分析数据：仅在反滥用、账单核对与产品改进所必需的期限内保留。
• 法律义务要求保留的数据：按适用法律要求的最短期限保留。

10. 国际数据传输

本应用面向全球用户。我们的后端服务器与第三方大语言模型服务均位于美国。当您使用本应用时，您的数据可能会传输到并存储在与您居住国不同的国家。我们将采取适当措施确保您的数据根据本隐私政策和适用法律得到保护。对于欧盟 / 英国用户，任何数据传输将依据适用的数据保护法律进行，包括使用标准合同条款（SCC）等适当保障措施。

11. 加利福尼亚州居民的权利

如果您是加利福尼亚州居民，根据《加利福尼亚消费者隐私法》（CCPA）及《加州隐私权法》（CPRA），您享有以下额外权利：

• 了解我们收集、使用和共享的个人信息类别的权利
• 请求删除您个人信息的权利
• 更正不准确个人信息的权利
• 选择退出个人信息出售或共享的权利（我们不出售或为跨上下文行为广告共享您的个人信息）
• 限制对敏感个人信息使用的权利
• 行使上述权利时不受歧视的权利

12. 政策变更

我们可能会不时更新本隐私政策。更新后的政策将在本页面发布，并更新"最后更新日期"。重大变更将通过应用内通知或邮件告知您。我们建议您定期查看本政策。

13. 联系我们

如果您对本隐私政策有任何疑问、关切或希望行使您的数据权利，请通过以下方式联系我们：

📧 邮箱：samuelgao.dev@gmail.com