隐私政策 · 土豆笔记

欢迎使用「土豆笔记」（以下简称「本应用」或「我们」）。我们重视您的隐私。本政策说明本应用如何处理与您相关的信息。

1. 概述

土豆笔记是一款 AI 辅助规划与 Markdown 笔记应用。本应用不要求您使用姓名、手机号或邮箱注册账号。您的笔记、计划与个人画像等主要数据保存在您自行选择的工作目录中（通常为 iCloud Drive 文件夹），由您完全控制。

为提供 AI 配额管理与会员订阅、Token 包等付费服务，本应用会使用由我们运营的「土豆笔记后端服务」。该服务通过设备生成的匿名标识区分用户，处理配额、钱包余额与购买记录；若您选择使用「土豆笔记后端 AI 服务」，您的对话内容会经由我们的服务器转发至第三方大语言模型处理（详见第 2.3、3.2 节）。向第三方 AI 或云端语音识别服务发送数据前，应用会在界面中明确列出将发送的数据类型与接收方，并征得您的同意。

2. 我们收集与处理的信息

2.1 您主动提供或生成的内容

数据类型	存储位置	用途
Markdown 笔记、计划、任务文件	您选择的工作目录（含 iCloud）	核心功能：编辑、浏览、搜索
个人画像（`profile.md`）	工作目录 `.planner/agent/`	供 AI 对话时读取，以提供个性化回复
近期记忆（`memory.md`）	工作目录 `.planner/agent/`	供 AI 对话时参考；App 可自动沉淀要点
对话归档（`archive/chat/`）	工作目录 `.planner/agent/`	约 10 天被淘汰的对话片段，供 App 整理记忆
使用日志（`log.md`）	工作目录 `.planner/agent/`	App 记录专注、文档与待办操作，供记忆沉淀参考
跨设备协同任务文件	工作目录	跨设备任务协同

2.2 设备本地存储的数据

数据类型	存储位置	用途
工作目录访问权限（Security-Scoped Bookmark）	本机 UserDefaults	重启后恢复对工作目录的访问
LLM API Key	本机 Keychain	调用您配置的 AI 模型服务
LLM 模型、服务商、Base URL 等配置	本机 UserDefaults	本地 AI 设置
火山 / 阿里云语音识别凭证（可选）	本机 Keychain	云端语音转文字
语音/聊天历史（最近若干轮）	本机 UserDefaults	恢复对话界面与 LLM 上下文
首页布局、专注模式会话等 UI 状态	本机 UserDefaults	改善使用体验
匿名设备标识与登录令牌（client_uuid、JWT access/refresh token）	本机 Keychain	匿名访问土豆笔记后端服务、同步配额与购买状态

2.3 土豆笔记后端服务处理的数据

当您使用 AI 配额、会员订阅或 Token 包等功能时，本应用会与「土豆笔记后端服务」交互。该服务可能收集与处理以下信息：

数据类型	用途
匿名标识（client_uuid）及据此颁发的账户与登录令牌	区分用户、维持登录会话；不含您的真实身份信息
Token 钱包余额与来源（会员月度赠送、内购、点券兑换）	计算并展示可用额度
Token 消费流水（扣减记录、用量元数据、时间）	计费、对账与额度展示
购买凭证（订阅与内购的 App Store 交易凭据 JWS、交易号、产品 ID）	校验购买、入账对应权益
会员免费会话用量、对话计数	配额统计与限额控制
使用「土豆笔记后端 AI 服务」时的对话内容	经我们的服务器转发至第三方大语言模型处理；我们仅记录用于计费的用量元数据（如 token 数量），不将对话内容用于服务以外的用途

我们不会将上述信息出售给第三方，也不会用于广告。匿名标识本身不包含可直接识别您身份的信息。

2.4 系统权限

本应用可能请求以下系统权限：

麦克风：用于录制您的语音并与 AI 助手对话。例如，您可以说出今日计划或笔记想法，应用将音频转为文字后发送给您配置的大模型服务。
语音识别：将语音转换为文字供 AI 助手使用。例如，您说「把买牛奶加入待办」，应用会转写该句以便助手更新笔记。未配置第三方语音识别服务时，使用 Apple 系统语音识别。
通知：在任务到点时发送本地提醒；时间与工作区内的 @remind 任务行同步。

本应用不请求定位、相机、相册、通讯录、日历、蓝牙、广告追踪等权限。

2.5 我们不会主动收集的信息

我们不收集您的姓名、手机号、邮箱等可直接识别身份的账号信息（账户以匿名标识区分）。
付款由 Apple App Store 处理，我们不接触也不存储您的银行卡号等支付信息。
我们不集成第三方分析、广告或崩溃上报 SDK。
我们不进行跨应用追踪（App Tracking）。

3. 与第三方共享的信息

当您主动配置相关服务后，以下数据可能离开您的设备，发送至对应第三方：

3.1 AI 大语言模型服务

您可在设置中选择 AI 服务商（如 DeepSeek、豆包、通义千问或自定义接口），并填入 API Key。首次向该服务商发送数据前，应用会在界面中明确列出将发送的数据类型与接收方，并征得您的同意。 同意后，以下信息可能发送至您选择的服务商：

您的对话文本与语音转写结果
AI 工具调用所需的工作区文件片段（经您确认后读取）
个人画像与记忆文件的摘要内容（用于 system prompt；含后台记忆整理与知识图谱语义增强）

API Key 仅保存在您的设备 Keychain 中，我们不会代为保管或上传。更换 AI 服务商、端点或模型后，应用将重新征求您的同意。第三方服务商对其收到的数据负有独立的隐私保护义务。

3.2 土豆笔记后端 AI 服务（可选）

若您未自行配置 API Key，可选择使用由我们运营的「土豆笔记后端 AI 服务」。此情形下：

您的对话文本、语音转写结果及经确认读取的工作区文件片段会先发送至我们的服务器，再由服务器转发至第三方大语言模型服务商（如 DeepSeek、豆包等）进行处理，并将结果返回给您
我们记录用于计费与额度展示的用量元数据（如 token 数量、时间、扣费来源），不将对话内容用于服务以外的用途
第三方大模型服务商对其收到的数据负有独立的隐私保护义务

3.3 Apple App Store（付费服务）

会员订阅与 Token 包的支付均通过 Apple App Store 完成。Apple 处理您的支付信息；我们仅从 Apple 获取并校验交易凭证（JWS）、交易号与产品 ID 以入账对应权益，不接触您的支付账户或银行卡信息。该过程受 Apple 隐私政策约束。

3.4 云端语音识别（可选）

您可在设置中选择语音识别后端（火山引擎、阿里云或 Apple 系统识别）。首次向云端 ASR 服务商发送音频前，应用同样会征得您的同意。

火山引擎：若您配置了火山语音识别 API Key，麦克风采集的 PCM 音频流将通过 WebSocket 发送至火山引擎进行实时转写。
阿里云：若您配置了 AppKey 与 AccessKey，应用将通过 WebSocket 将音频发送至阿里云智能语音服务进行实时转写（Token 由应用自动刷新）。

未配置云端 ASR 时，本应用使用 Apple 本地/系统语音识别。

3.5 Apple iCloud

若您选择 iCloud Drive 中的文件夹作为工作目录，笔记与计划文件将按 Apple iCloud 的同步机制在您的 Apple 设备间同步。该过程受 Apple 隐私政策约束。

3.6 其他

Apple 接力（Handoff）：通过 Apple NSUserActivity 在您的设备间传递当前打开的文档路径，不涉及第三方服务器。
Live Activity / 小组件：专注模式计时信息展示在系统界面，数据不离开您的设备。

4. 数据保留与删除

工作区文件：由您在文件 App 或 Finder 中自行管理、删除。
对话历史：可在「设置 → 对话历史 → 清除对话历史」中删除；清除后建议重启应用。
API Key 与本地配置：可在设置中修改或清除；卸载应用将删除本机上的相关数据（iCloud 工作区文件不受影响）。
LLM 上下文保留策略：对话侧保留最近 5 轮、24 小时内且同日的消息（详见应用内实现）。
土豆笔记后端账户数据：匿名标识、配额、钱包余额与消费/购买流水为提供服务及对账所必需，会在服务器保留必要期限。如需删除与您匿名标识关联的后端数据，可通过下方联系方式提出申请（购买与对账记录可能依法律或 Apple 要求需保留相应期限）。

5. AI 相关说明

AI 可能读取、写入或删除您工作区内的文件；涉及删除操作或更新个人画像（profile.md）前，应用会请求您的确认；其他写入操作（如创建或更新笔记、计划文件）将由 AI 直接执行。
AI 生成的计划、建议与文本仅供参考，不构成专业意见；您应自行核实重要决策。
请勿在对话或工作区中存放密码、密钥等高度敏感信息。

6. 未成年人

本应用不面向 13 周岁以下儿童主动收集个人信息。若您是未成年人的监护人并认为相关信息被不当处理，请通过下方联系方式与我们联系。

7. 政策更新

我们可能适时更新本隐私政策。更新后的版本将随应用更新一并发布，并在文档顶部标注生效日期。重大变更时，我们可能在应用内提示您查阅。

8. 联系我们

如对本隐私政策有疑问或需要行使相关权利，请发送邮件至 tudobiji@163.com，或访问技术支持页面。