隐私政策

生效日期：2026年5月10日 · 最后更新：2026年5月10日

TellDone（以下简称「我们」）是一款以语音为核心的规划应用，由一位位于罗马尼亚的独立开发者运营。本隐私政策说明当您使用我们的移动应用（iOS、iPadOS、watchOS、Android）及云服务（统称「服务」）时，我们如何收集、使用、存储和保护您的个人数据。

使用本服务即表示您已阅读并理解本隐私政策。如您不同意，请停止使用本服务。

1. 我们收集的数据

1.1 账户数据

电子邮件地址：用于账户创建、登录、密码找回及邮件报告。如果您使用 Sign in with Apple 并选择「隐藏我的电子邮件」，我们收到的是 Apple 提供的私密中继地址（@privaterelay.appleid.com）而非您的真实地址；我们将该中继地址视为您的账户邮件，绝不尝试推断、查找或关联您的真实邮件。
显示名称：可选，用于个性化。如果您通过 Apple 或 Google 登录并同意分享姓名，我们会存储该信息；您可随时在「设置」中编辑或删除。
密码：以 bcrypt 哈希值存储，我们从不存储或查看您的明文密码。若您仅使用 Apple 或 Google 登录，则不收集密码。
语言区域与时区：用于语言偏好、报告调度及日期解析。
Sign in with Apple 标识符：Apple 颁发的稳定、不透明用户 ID（「sub」声明），仅用于识别您的后续登录。
Sign in with Google 标识符：Google 账户「sub」声明、您的姓名（如已授权）及电子邮件，仅用于识别您的后续登录。我们请求最小化的 OpenID Connect 范围（openid、email、profile），登录时不申请任何额外的 Google 权限。

1.2 音频录音

您在应用内录制的语音笔记。音频会上传至我们的服务器进行转录和 AI 分析。
音频转换为 OGG/Opus 格式（压缩）并存储在加密对象存储中。
音频保留用于应用内回放，您可随时删除。

1.3 生成内容

笔记：由 AI 从您的语音中生成的转录文本、标题、摘要、标签、优先级。
任务：带截止日期、标签、优先级和状态的行动项。
日历事件：包含时间、地点、参与者和重复规则的日历事件。
报告：AI 生成的每日、每周、每月和每年生产力摘要。
标签：自动检测和用户创建的内容整理标签。

1.4 设备数据

设备标识符（UUID）：由应用生成，用于多设备同步和设备级身份验证。
平台和应用版本：用于兼容性和调试。
推送通知令牌（如已启用）：用于发送通知。

1.5 使用和诊断数据

API 使用日志：您使用的功能、请求次数、token 消耗量（用于配额管理）。
错误日志：用于调试的技术错误（不含任何个人内容）。
我们在应用内不使用第三方分析 SDK、广告追踪器或设备指纹技术。

1.6 集成数据

如果您连接了第三方生产力服务（Todoist、Notion、Things、Google Tasks、Google Calendar、Apple Calendar、Apple Reminders），我们会以加密方式存储以下数据：

该集成的 OAuth 访问令牌、刷新令牌（如已颁发）及令牌过期时间戳。
保持 TellDone 条目与对应外部条目同步所需的最少标识符：

Todoist：用户 ID、项目 ID、任务 ID。
Notion：工作区 ID、机器人 ID、您在 Notion OAuth 流程中明确授权访问的数据库/页面 ID。
Google Tasks / Google Calendar：任务列表 ID、任务 ID、日历 ID、事件 ID。
Apple Calendar / Apple Reminders：仅存储在设备本地的事件/提醒标识符。

我们向这些服务发送或从其接收的内容，严格限于您在 TellDone 中创建的字段（标题、笔记、截止日期、标签、完成状态）。我们不会从您的 Notion 工作区、Todoist 账户或 Google 账户拉取任何超出保持 TellDone 条目同步所需范围以外的内容。

您可随时在「设置 → 集成」中断开任何集成。断开时，我们会向第三方撤销相关 OAuth 令牌（如第三方提供撤销接口），从数据库中删除存储的令牌，并停止同步。此前从 TellDone 同步到第三方服务的条目不会被自动删除；如有需要，您可在该服务中手动删除。

2. 我们如何使用您的数据

以下法律依据适用于 GDPR/UK GDPR；在加利福尼亚州、瑞士及其他类似法规下同等适用。

目的	使用的数据	法律依据
提供服务	音频、账户、内容	合同履行，第 6(1)(b) 条
生成生产力报告	笔记、任务、事件	合同履行
发送邮件报告	邮件、笔记、任务	同意（可在设置中退出）
多设备同步	所有内容、设备 ID	合同履行
第三方集成	您同步的条目、	同意（用户针对每项
（Todoist、Notion、Google、	OAuth 令牌	集成主动发起连接）
Apple、Things）
Sign in with Apple / Google	Apple/Google sub 声明、姓名、邮件	合同履行（账户创建和身份验证）
配额执行和计费	使用计数	合同履行
安全与欺诈预防	登录尝试、设备数据	合法权益，第 6(1)(f) 条
服务改进与调试	匿名化错误日志	合法权益

我们不会：

将您的个人数据出售给第三方。
为跨场景行为广告「共享」您的个人数据（依据加利福尼亚州 CPRA 定义）。
将您的数据用于广告或营销目的。
使用您的音频、转录文本或内容训练 AI 模型。
将 Sign in with Apple 数据或 Google API 用户数据用于在 TellDone 中验证您的身份及提供您明确使用的功能以外的任何目的。
与数据经纪商共享您的数据。

3. 第三方数据处理商

我们使用以下第三方服务提供核心功能。您的数据依据与各提供商签订的数据处理协议（DPA）进行处理（提供商作为我们的处理商），或依据提供商自身条款进行处理（提供商作为独立身份提供商）：

服务	角色	目的	共享的数据	所在地
Soniox	处理商	语音转文字转录	音频录音	美国
OpenAI	处理商	AI 分析、笔记结构化、嵌入	转录文本、任务上下文	美国
Anthropic	处理商	AI 报告生成（Pro/Ultra 套餐）	报告上下文（笔记、任务摘要）	美国
Resend	处理商	事务性邮件投递	电子邮件地址、报告内容	美国
Apple Inc.	独立控制者	Sign in with Apple 身份提供商；私密邮件中继	Sign in with Apple 标识符、姓名（如已共享）、中继邮件（如选择隐藏邮件）	美国
Google LLC	独立控制者	Sign in with Google 身份提供商	Google sub 声明、姓名、邮件	美国
Google LLC	独立控制者	Google Tasks / Google Calendar 同步（连接后）	您在 TellDone 中创建的任务和事件内容	美国
Notion	独立	Notion 同步（通过	您同步条目的	美国
Labs, Inc.	控制者	OAuth 连接 Notion 后）	页面/数据库内容
Doist S.L.	独立	Todoist 同步（通过	您同步条目的	欧盟
（Todoist）	控制者	OAuth 连接 Todoist 后）	任务内容
Cultured	独立	Things 同步（连接	您同步条目的	德国
Code GmbH	控制者	Things 后）	任务内容
（Things）

所有第三方处理商均通过合同约束，仅按我们的指示处理您的数据，并维持适当的安全措施。这些提供商均不会使用您的数据训练其 AI 模型。上表中列为「独立控制者」的 Apple、Google、Notion、Doist 和 Cultured Code 服务，一旦数据进入其系统，将依据各自的隐私政策处理您的数据。建议您查阅：

Apple: https://www.apple.com/legal/privacy/data/en/sign-in-with-apple/
Google: https://policies.google.com/privacy
Notion: https://www.notion.com/trust/privacy-policy
Todoist（Doist）: https://doist.com/privacy
Cultured Code（Things）: https://culturedcode.com/privacy/

4. 数据跨境传输

我们的服务器位于欧洲（德国），处于欧洲经济区内。由于数据控制者在罗马尼亚（欧盟成员国）设立，EEA 内部传输无需单独的传输机制。第 3 条所列的部分第三方处理商和身份提供商位于美国。对于这些传输，我们依赖：

EU-U.S. 数据隐私框架（DPF）、英国扩展协议及 Swiss-U.S. DPF（适用于已获认证的接收方）。
欧盟委员会批准的标准合同条款（SCC），以及适用时的英国国际数据传输附录。
处理商自身的 GDPR 合规承诺及其公开的传输影响评估。

5. 数据保留

数据类型	保留期限
账户数据	至账户删除
音频录音	至您删除或账户删除
笔记、任务、事件	至您删除或账户删除
软删除条目（回收站）	免费版：7天 · 基础版：30天 · 专业版：90天 · 旗舰版：365天
报告	至账户删除
OAuth 集成令牌	至您断开集成
（Todoist、Notion、Google、	或删除账户；断开时在技术可行的
Apple、Things）	情况下向提供商撤销令牌
Sign in with Apple/Google	至账户删除；删除时
标识符	我们还会调用 Apple REST 撤销接口使刷新令牌失效
API 使用日志	12 个月后匿名化
错误日志	30 天
备份（加密）	30 天后删除
数据导出（GDPR / CCPA）	生成后 48 小时删除

确认删除后，请求将在 7 天宽限期后执行。您可在宽限期到期前随时取消待处理的删除请求。宽限期结束后，所有个人数据将被永久删除，包括：数据库记录（级联删除）、对象存储中的音频文件、OAuth 令牌（在可能的情况下向第三方撤销）、Apple 刷新令牌（通过 Apple REST API 撤销）、GDPR/CCPA 导出文件及 Redis 配额计数器。整个流程无需人工审核。

6. 数据安全

传输加密：所有连接使用 TLS 1.2/1.3（HTTPS）。
静态加密：音频文件存储在加密对象存储（MinIO）中。备份使用 AES-256-CBC 加密。OAuth 令牌在数据库列级别通过信封加密进行加密。
密码安全：密码使用 bcrypt 哈希（从不以明文存储）。
身份验证：基于 JWT，采用设备级刷新令牌。令牌可撤销。
基础设施：数据库、缓存和存储服务不对公共互联网开放。
访问控制：服务在专用系统用户下运行，拥有最小权限。
监控：通过 fail2ban 防止 SSH 暴力破解；应用层入侵检测。
人工访问您的内容：我们不允许员工读取您的音频、转录文本或第三方 API 派生数据，除非：(a) 您已明确同意（例如联系支持时授权我们查看特定条目），(b) 出于安全目的（例如调查滥用行为），(c) 依法必须，或 (d) 数据已汇总匿名化用于内部运营。

7. 您的权利

7.1 GDPR / UK GDPR 下的权利（欧洲用户）

如果您位于欧洲经济区、英国或瑞士，您享有以下权利：

访问权（第 15 条）：请求获取您所有个人数据的副本。可通过应用内数据导出功能实现。
更正权（第 16 条）：通过账户设置更正不准确的数据。
删除权（第 17 条）：删除您的账户及所有关联数据。可通过应用内账户删除功能实现。
数据可携带权（第 20 条）：以机器可读的 JSON 格式导出您的数据。可在应用内实现。
限制处理权（第 18 条）：请求我们限制对您数据的处理。
反对处理权（第 21 条）：对基于合法权益的处理提出异议。
撤回同意：当处理基于同意时（邮件报告、第三方集成），您可随时通过应用设置撤回同意，不影响撤回前处理行为的合法性。
向您当地的监管机构提出投诉。

7.2 CCPA / CPRA 下的权利（加利福尼亚州居民）

如果您是加利福尼亚州居民，您有权：

了解我们收集的个人信息、来源、目的及接收方类别。
删除您的个人信息（依法律允许的例外情况）。
更正不准确的个人信息。
退出个人信息「出售」：我们不出售您的个人信息，过去没有，将来也不会。
退出为跨场景行为广告而「共享」个人信息：我们不为此目的共享您的个人信息。
限制对敏感个人信息（音频录音）的使用：我们仅在提供您所请求的服务所合理必要的范围内使用敏感个人信息。
不受歧视：您行使上述权利不会受到任何形式的歧视。

依 CCPA/CPRA 收集的个人信息类别：标识符（邮件、Apple/Google sub 声明、设备 UUID）；音频和电子信息（语音录音）；网络活动（使用日志）；敏感个人信息（音频录音，其中可能包含用户选择录制的敏感内容）。

7.3 如何行使您的权利

应用内：数据导出和账户删除功能直接在应用设置中提供。
邮件：如需任何隐私相关请求，请联系 privacy@telldone.app。
我们将在适用法律规定的时限内回复经验证的请求（通常为 GDPR 下一个月，复杂请求可延长两个月；CCPA 下 45 天，必要时可延长 45 天）。

8. Cookie 与追踪

我们的网站（telldone.app）使用 Google Analytics 4 统计落地页的基本访问数据，仅在您接受 Cookie 通知后加载。我们在网站上不使用广告 Cookie、追踪像素或跨站追踪器。我们的移动应用不包含广告 SDK、第三方分析 SDK 或追踪 SDK（我们不会显示 App Tracking Transparency 提示，因为我们不在 ATT 意义上追踪用户）。

9. 儿童隐私

本服务不面向 16 岁以下儿童，我们不会故意收集 16 岁以下任何人的个人信息。在美国，本服务不在《儿童在线隐私保护法》（COPPA）意义上面向 13 岁以下儿童，我们不会故意收集 13 岁以下儿童的个人信息。如发现我们收集了未达适用最低年龄的儿童数据，我们将立即删除。如您认为儿童向我们提供了个人数据，请联系 privacy@telldone.app，我们将立即采取行动。

10. 本政策的变更

我们可能会不时更新本隐私政策。当我们作出重大变更（即实质性影响我们收集或使用数据方式的变更，包括对 Google API 用户数据或 Sign in with Apple 数据使用方式的任何变更），我们将：

更新本页面顶部的「最后更新」日期。
在变更生效前至少 30 天通过邮件和应用内通知告知您。
在法律要求的情况下（或涉及 Google 用户数据变更时按照 Google API 服务用户数据政策要求），在新的处理开始前提示您重新同意，并在您同意之前不将新的处理应用于我们已持有的数据。

如您不同意变更，可在生效日期前关闭账户，我们不会对您适用变更后的政策。

11. Google API 服务（限制用途）

TellDone 对从 Google API 接收的信息的使用和向其他应用的传输，将遵守 Google API 服务用户数据政策，包括限制用途要求。

https://developers.google.com/terms/api-services-user-data-policy

具体而言：

当您使用 Sign in with Google 时，我们请求最小化的 OpenID Connect 范围（openid、email、profile）。我们收到的数据仅用于创建和验证您的 TellDone 账户。
当您连接 Google Tasks 或 Google Calendar 时，我们仅请求读写您在 TellDone 中创建的条目所需的权限范围（通常为 https://www.googleapis.com/auth/tasks 和/或 https://www.googleapis.com/auth/calendar.events）。我们采用增量授权方式，仅在您启用该集成时才在相应场景请求这些权限。
我们仅将 Google 用户数据用于 TellDone 中可见且重要的面向用户功能（登录、任务/事件的双向同步）。
我们不会向第三方传输 Google 用户数据，除非：(a) 为提供上述面向用户的功能所必需，且仅在您同意的情况下（例如作为数据处理商的基础设施提供商），(b) 出于安全目的，(c) 依法必须，或 (d) 在明确获得您的事先同意后作为合并、收购或资产出售的一部分。
我们不允许员工读取 Google 用户数据，除非：(a) 您已明确同意查看特定条目，(b) 出于安全目的（例如调查滥用行为），(c) 依法必须，或 (d) 数据已汇总匿名化用于内部运营。
我们不使用 Google 用户数据开发、改进或训练通用或非个性化的 AI/ML 模型。我们不出售 Google 用户数据，不将其用于广告（包括再营销或基于兴趣的广告），也不将其用于信用评估或贷款目的。

您可随时在 https://myaccount.google.com/permissions 撤销我们对您 Google 账户的访问权限，也可在 TellDone「设置 → 集成」中断开连接。

12. Sign in with Apple

当您使用 Sign in with Apple 时，我们仅接收 Apple 提供的数据：

稳定、不透明的用户标识符（「sub」声明）。
您的姓名，仅当您在首次登录时选择共享。
您的电子邮件地址，或——若您选择「隐藏我的电子邮件」——@privaterelay.appleid.com 的私密中继地址。

我们仅将这些数据用于创建和验证您的 TellDone 账户，以及（对于电子邮件地址）向您发送报告摘要、密码重置、安全通知等事务性邮件。我们不尝试对中继地址进行去匿名化处理，不向中继地址发送营销邮件，并尊重您在 Apple ID 设置中关闭邮件转发的选择。

当您删除 TellDone 账户时，我们会调用 Apple Sign in with Apple REST 撤销接口使颁发给我们的刷新令牌失效，同时删除我们这侧的账户数据。您也可随时在 iOS「设置 → [您的姓名] → 使用 Apple 登录」中撤销 Apple 的授权，或访问 https://appleid.apple.com。

13. Notion 与 Todoist 集成

当您通过 OAuth 连接 Notion 时，系统会跳转至 Notion 的授权页面，由您选择 TellDone 可访问的工作区及具体页面或数据库。我们只能看到您授权的资源，无法读取工作区中的其他内容。我们仅通过此访问权限创建、读取、更新和删除与您的 TellDone 笔记、任务或事件对应的条目。我们绝不使用您的 Notion 内容训练任何 AI 模型，也不会将其共享给第 3 条所列数据处理商以外的任何方，且严格限于提供同步功能。

当您通过 OAuth 连接 Todoist 时，我们仅请求双向任务同步所需的权限范围（通常为 data:read_write，如果您启用双向删除则还包括 data:delete）。我们仅将此访问权限用于创建、读取、更新、完成及（如您选择加入）删除与您的 TellDone 任务对应的任务。我们不使用您的 Todoist 内容训练任何 AI 模型，也不会将其共享给第 3 条所列数据处理商以外的任何方。

您可随时在 TellDone「设置 → 集成」中断开任一集成；断开时我们会向提供商撤销 OAuth 令牌。您也可直接撤销集成：

Notion：在您的 Notion 工作区中进入「设置 → 我的连接」。
Todoist：在 Todoist 中进入「设置 → 集成 → 已连接的应用」。

14. 数据控制者与联系方式

本隐私政策下个人数据的数据控制者为 TellDone 的运营者，联系方式如下：

隐私邮件：privacy@telldone.app 通用邮件：support@telldone.app 网站：https://telldone.app

如果您认为您的数据保护权利受到侵犯，您有权向当地数据保护监管机构提出投诉。数据控制者的主管监管机构为罗马尼亚个人数据处理监督局（Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal，ANSPDCP），网址：https://www.dataprotection.ro。其他欧洲经济区成员国的用户也可向当地监管机构提出投诉。

本隐私政策适用于 TellDone 移动应用（iOS、iPadOS、watchOS、Android）及 api.telldone.app 云服务。本政策不适用于从我们应用链接的第三方服务（Notion、Todoist、Things、Google、Apple 等），这些服务有各自的隐私政策。