隐私政策
AutoLedger 以本地优先为核心设计,并为 AutoLedger Pro 提供可选的自动化能力。本页面说明我们会处理哪些信息、为什么处理,以及您可以如何管理这些信息。
一、我们是谁
AutoLedger 是一款面向个人用户的记账应用,功能包括截图识别、拍照识别、一句话记账、酒店水单导入、多账本、订阅管理、月报统计和 AutoLedger Pro 自动化能力。
本隐私政策适用于 AutoLedger App、相关 Apple 平台版本,以及 getautoledger.app 上与 AutoLedger 直接相关的服务页面。
二、我们处理哪些信息
AutoLedger 默认不要求您注册账号,也不会主动收集您的姓名、手机号、身份证号等个人身份信息。
在您主动使用相关功能时,您可能向本应用提供以下信息:
- 您主动导入的截图、照片、PDF、小票或酒店水单附件
- 文件中可能包含的金额、商户、酒店名称、入住日期、时间、支付渠道和币种等账单文本
- 您手动新增或编辑的账单、酒店消费、订阅、账本、分类、商户别名、备注和标签
- 您通过快捷指令、分享扩展、剪贴板、语音输入或 App Intents 提供的文本或图片
- 您选择启用同步、备份、Pro 订阅或云端水单收件箱时所需的最小状态信息
三、本地处理、iCloud 与设备同步
AutoLedger 采用本地优先设计。默认情况下,账单识别、解析、分类、展示和编辑会优先在您的设备上完成,账本数据也优先保存在本机。
- OCR、账单解析、分类、去重和月报统计默认在设备本地执行
- 邮箱授权码或应用专用密码仅保存在本机 Keychain,不上传到 AutoLedger 服务器
- 如果您启用 iCloud 同步或备份,相关数据会通过您的 Apple iCloud 账号同步,开发者无法直接读取您的 iCloud 内容
- 如果您关闭同步或删除本地数据,App 将按系统能力和用户操作停止新的同步或移除本机副本
四、AutoLedger Pro 与订阅校验
AutoLedger Pro 通过 App Store 提供订阅。购买、续订、退款、账单和付款方式由 Apple 处理,AutoLedger 不接触您的银行卡号或完整付款信息。
为了判断 Pro 是否有效,App 会读取 StoreKit 提供的本机订阅状态;在使用云端水单收件箱等服务端能力时,App 可能会把 Apple 签名的交易凭证发送给 AutoLedger Worker,由 Worker 通过 App Store Server API 校验商品 ID、Bundle ID、撤销状态和到期时间。
- 服务端只保存必要的订阅状态、到期时间和由原始交易号生成的哈希标识
- Pro 到期后不会锁住您已经保存的历史账单、酒店消费、PDF 或基础导出能力
- 当前版本不使用 App Store Server Notifications 主动接收订阅生命周期事件;后续版本接入时会继续遵循最小化和哈希化原则
五、本地邮箱扫描与云端水单收件箱
AutoLedger 提供两种酒店水单整理路径:本地邮箱扫描和 AutoLedger Pro 云端专属水单收件箱。
- 本地邮箱扫描在您的设备上连接您配置的邮箱,只查找可能相关的酒店水单邮件和附件;邮箱授权码或应用专用密码仅保存在本机 Keychain,不上传到服务器
- 云端专属水单收件箱只处理投递到 [email protected] 这类专属地址的邮件,不登录您的 QQ、Gmail、Outlook、iCloud Mail 或其它个人邮箱
- 云端 Worker 会提取 PDF 附件或必要的正文水单内容,保存候选 PDF 和经过精简的候选元数据,以便 App 下载后在设备上复核
- 云端候选不会自动写入正式账本;下载到 App 后仍需您确认,才会生成酒店消费和账单记录
- 云端通知使用 APNs 发送通用提醒和 deep link,不在推送内容中包含酒店名、金额、订单号、附件文件名或收件箱 token
六、权限和基础设施服务
根据您所使用的功能,AutoLedger 可能会请求照片、相机、麦克风/语音输入、通知、剪贴板和 iCloud 等系统权限。
某些您主动启用的能力需要依赖 Apple、Cloudflare 或您配置的外部服务。
- Apple:App Store 订阅、StoreKit 校验、iCloud 同步 / 备份、APNs 推送和系统权限
- Cloudflare:getautoledger.app 网站托管、Email Routing、Worker、D1、R2 和 Queue,用于云端水单收件箱候选处理
- 邮箱服务商:仅在您配置本地邮箱扫描时,由您的设备连接相应邮箱服务
- 可选外部识别或 AI 服务:仅在您主动配置或开启相关能力时使用,并以完成该功能所需的最小数据为限
七、数据存储、保留与删除
本地账本、酒店消费、订阅和设置由您在设备上管理。云端水单收件箱只为提供候选下载和复核而保存必要材料。
- 本地数据的保留时长由您决定;删除 App 或数据可能会移除本机副本
- iCloud 数据由您的 Apple 账号和系统设置管理
- 本地邮箱授权可在 App 中移除,移除后会停止新的邮箱扫描并删除本机保存的授权码
- 云端水单候选可在 App 中标记为已处理或删除;候选 PDF 和元数据会按用户操作、订阅状态或服务端清理策略删除或过期
- 收件箱 raw token 只返回给 App 一次,服务端保存的是 token 哈希;轮换地址后旧 token 会被标记为不可继续使用
八、数据安全
我们会采取合理措施保护您的信息安全,包括使用 iOS Keychain、系统权限控制、哈希化 token、最小化云端元数据、服务端订阅校验、访问 token 和传输加密等。
但任何网络传输或电子存储都无法保证绝对安全。如您处理高度敏感的财务信息,请谨慎选择导入或转发的内容,并定期检查 App 设置和系统权限。
九、未成年人保护
AutoLedger 主要面向具有独立财务管理需求的用户设计。我们不会故意面向未满 14 周岁的未成年人提供服务或收集其个人信息。
十、您的选择与权利
在适用法律允许的范围内,您可以:
- 查看、编辑、导出或删除您在本地保存的账单和酒店消费记录
- 关闭照片、相机、通知、麦克风、iCloud 等系统权限
- 移除本机邮箱授权、轮换云端专属收件箱地址或停止转发邮件
- 通过 App Store 管理、取消或恢复 Pro 订阅
- 停止使用相关功能或卸载 App
十一、隐私政策的更新
我们可能会根据产品功能、法律法规或服务配置变化更新本隐私政策。更新后的版本将在本页面发布,并自发布之日起生效。
如果更新涉及重大变更,我们将通过应用更新说明、应用内提示或其他合理方式提醒您。
十二、联系我们
如果您对本隐私政策有任何疑问、建议或投诉,可通过以下方式联系开发者:
如后续增加专门的支持邮箱或反馈渠道,我们会在本页面同步更新。