时光相册 TimeCap 隐私协议
版本日期:2026年5月7日
时光相册(TimeCap)是一款专为家人和熟人之间设计的私密相册及健康记录应用。我们深知个人信息对您的重要性,本政策依据《个人信息保护法》《网络安全法》《数据安全法》及 GB/T 44588-2024 标准制定,详细说明我们收集哪些信息、如何使用、如何保护以及您享有哪些权利。
请您仔细阅读本协议,如有疑问请通过文末联系方式联系我们,我们承诺在 7 个工作日内回复。
一、我们收集的个人信息类型
依据 GB/T 44588-2024 第4.1条要求,以下明确列出所有收集的信息类型及对应权限。
1.1 您主动提供的信息
| 信息类型 | 具体内容 | 是否必要 | 用途 |
|---|---|---|---|
| 电子邮箱 | 真实有效的邮箱地址 | 必要 | 账号注册、登录验证、找回账号 |
| 手机号码 | 中国大陆手机号 | 必要 | 账号标识与归属声明(本版本不进行短信验证) |
| 昵称 | 用户自定义显示名称 | 可选 | 组内成员识别 |
| 头像 | 用户自主上传的图片 | 可选 | 个人形象展示 |
| 上传内容 | 照片、Live Photo、视频 | 必要(核心功能) | 组内私密存储 |
| 健康数据 | 血糖数值(mmol/L)、体重数值(kg) | 可选 | 打卡功能,组内共享 |
1.2 自动收集的信息
| 信息类型 | 具体内容 | 是否必要 | 用途 |
|---|---|---|---|
| 设备信息 | 设备型号、操作系统版本(iOS/Android)、App 版本号 | 必要 | 兼容性适配、问题排查 |
| 网络信息 | IP 地址、网络类型(WiFi/移动数据) | 必要 | 安全防护、异常访问检测 |
| 使用日志 | 功能操作记录(不含内容本身)、崩溃日志 | 必要 | 产品改善、错误修复 |
1.3 我们明确不收集以下信息
- 通讯录:我们不读取、不收集您设备中的通讯录。
- 后台静默扫描相册:仅在您主动点击“上传”时,通过系统访问您选定的照片,不后台扫描。
- 面部识别数据或生物特征信息。
1.4 申请的系统权限
| 权限名称 | Android 权限 | iOS 权限 | 申请时机 | 用途说明 |
|---|---|---|---|---|
| 相册访问 | READ_MEDIA_IMAGES/READ_MEDIA_VIDEO(Android 13+)或 READ_EXTERNAL_STORAGE(Android 12及以下) | NSPhotoLibraryUsageDescription | 用户点击“上传”时动态申请 | 通过系统选择器(Android SAF / iOS PhotoKit)逐张授权,不申请读取全部相册权限 |
| 摄像头 | CAMERA | NSCameraUsageDescription | 用户点击拍照时申请 | 拍摄新照片上传 |
| 网络访问 | INTERNET/ACCESS_NETWORK_STATE | 系统默认 | App 启动时 | 内容上传下载、账号通信 |
| 位置权限 | ACCESS_COARSE_LOCATION / ACCESS_FINE_LOCATION | NSLocationWhenInUseUsageDescription | 用户进行照片上传或归属地标记时 | 用于解析照片拍摄地并在分享/浏览时展示地理标识 |
| 存储写入 | WRITE_EXTERNAL_STORAGE(Android 9及以下) | PHPhotoLibraryAddUsageDescription | 用户点击下载时申请 | 将照片保存至本地相册 |
二、收集目的与方式
2.1 账号注册信息
(通过验证码验证)及手机号码(仅作为实名归属标识收集,暂不要求验证身份)。
- 收集目的:通过验证邮箱唯一标识用户身份并实现安全登录;收集手机号用于满足基础网络实名制声明或后续账号找回依据证码。本版本暂不需要验证手机号码。
- 收集目的:唯一标识用户身份,实现安全登录及找回账号;在创建组时可预填受邀成员邮箱,用于新用户登录后自动匹配加入。
2.2 上传内容(照片/视频)
- 收集方式:用户主动点击“上传”后,通过 Android SAF 或 iOS PhotoKit 系统选择器,由用户逐张/逐段选择授权,应用不主动扫描相册。
- 收集目的:将所选内容上传至阿里云 OSS 私有存储,仅供所属组内成员访问。
相册类特别声明:本应用不申请“读取全部相册”权限,不在后台静默扫描相册,不对相册内容进行分析、分类或识别。
2.3 健康数据
- 收集方式:用户在打卡功能中手动输入,非自动采集。
- 收集目的:仅用于在用户参与的打卡挑战组内共享,帮助家人互相了解健康状况。
三、敏感个人信息专项说明
依据《个人信息保护法》第28条,以下信息属于敏感个人信息,我们给予特别保护。
3.1 健康数据(血糖、体重)
- 根据《个人信息保护法》的要求,我们在首次收集您的医疗健康数据前,会通过应用内独立弹窗等方式,向您申请针对此项处理的“单独同意”。您拒绝提供仅会导致您无法使用打卡功能,不影响应用基础相册功能的使用。
- 属于《个人信息保护法》规定的敏感个人信息中的“医疗健康”类别。
- 仅在用户主动选择参与打卡挑战后才开始收集,非强制。
- 仅在用户所属的打卡组内可见,组外成员无法访问。
- 不与任何医疗机构、保险公司、商业机构共享。
- 不用于广告定向、数据画像或任何商业分析。
- 用户可随时在应用内删除自己的健康记录。
3.2 相册内容中可能包含的敏感信息
用户上传的照片或视频中,可能包含身份证件、病历、财务信息等敏感内容。对此我们声明:
- 我们不对上传内容进行任何形式的内容分析、识别或处理。
- 内容以加密方式存储于阿里云 OSS 私有存储桶,仅组内成员通过带签名的临时链接访问。
- 我们工作人员无法查看用户的私密内容,除非收到合法有效的司法协助请求。
四、第三方 SDK 及服务清单
依据 GB/T 44588-2024 第4.4条要求,以下列出本应用在正式环境集成的所有第三方服务组件。
| SDK/服务名称 | 提供方 | 收集的数据字段 | 用途 | 隐私政策链接 |
|---|---|---|---|---|
| 阿里云对象存储 (OSS) 接口 | 阿里云计算有限公司 | 文件内容(照片/视频)、请求 IP、时间戳 | 媒体文件存储与CDN分发 | 阿里云隐私权政策 |
| MemFire Cloud 服务端及库 | 北京万应科技有限公司 | 账号信息、数据库记录、请求 IP | 核心云数据库、用户系统Auth认证、云函数调度 | MemFire 隐私协议 |
| Expo Location 组件 | Expo / Meta | 粗略/精确位置信息(仅经授权后上传时采集) | 结合系统 Exif 为您提供照片打卡、归属地功能 | Expo Privacy |
| Expo 应用运行框架及基础能力库 | Expo / Meta | 应用运行过程中处理的设备基础信息(如操作系统版本、系统语言) | 跨平台运行时框架及系统能力调用(如相册、分享) | Expo Privacy |
| react-native-view-shot | 开源社区(MIT) | 不进行任何网络数据收集 | 生成分享截图(本地离线运行) | 纯本地运行的开源库,无隐私政策 |
| react-native-compressor | 开源社区(MIT) | 不进行任何网络数据收集 | 上传前图片与视频的本地压缩降级 | 纯本地运行的开源库,无隐私政策 |
注:在正式环境版本中,目前本应用尚未接入如极光、友盟、Bugly、第三方广告追踪等常规统计或广告类 SDK。我们将随着产品迭代更新此清单。
五、信息存储与保存期限
5.1 存储位置
- 账号信息、打卡数据、组信息及媒体文件:均统一保存在位于中国大陆境内的云服务器(如 MemFire Cloud、阿里云)中。未经您的单独明示同意,我们不会将您的个人信息传输至境外。
- 所有数据传输均采用 HTTPS/TLS 1.2 及以上加密。
5.2 保存期限
| 数据类型 | 保存期限 | 到期处理方式 |
|---|---|---|
| 账号信息(手机号、邮箱、昵称) | 账号存续期间;注销后 30 天内删除 | 永久删除,不可恢复 |
| 上传的照片/视频 | 账号存续期间;注销后 30 天内删除 | 从 OSS 存储桶永久删除 |
| 健康打卡数据 | 账号存续期间;注销后 30 天内删除 | 永久删除 |
| 系统运行日志 | 最长 90 天 | 自动滚动删除 |
| 崩溃报告 | 最长 90 天 | 自动删除 |
| 验证码记录 | 验证完成后立即失效/删除 | 不长期留存 |
六、个人信息的共享、转让与公开
我们不向任何第三方出售或出租您的个人信息。以下情形除外:
- 服务提供商:仅限上述第四章列出的 SDK 及服务,仅在提供服务所必要的范围内处理数据。
- 法律要求:依据法律法规或有权机关(如公安、司法机关)的合法、有效请求。
- 紧急情况:为保护用户或公众的重大利益,且无法事先获得同意时。
- 经您明确授权同意的情形。
如发生业务重组、合并、收购,您的个人信息可能随之转移,届时将提前通知并重新获取同意。
七、您的权利及实现方式
依据 GB/T 44588-2024 第4.6条,以下提供各项权利的具体操作路径。
| 权利 | 操作路径 | 说明 |
|---|---|---|
| 查阅及更正权 | 首页左上角设置 → 个人资料 | 查看及修改绑定的手机号、邮箱、昵称、真实姓名、头像等信息 |
| 删除权(内容) | 组内长按相册/动态列表对应内容 → 删除 | 删除自己上传的照片/视频/打卡记录 |
| 注销账号 | 首页左上角头像 → 个人设置 → 注销账号 | 注销后 30 天内彻底删除所有数据 |
| 撤回同意(通知权限) | 设备系统设置 → 时间相册(TimeCap) → 通知 → 关闭 | 关闭后不再接收提醒消息 |
| 撤回同意(相册权限) | 设备系统设置 → 时间相册(TimeCap) → 照片 → 修改权限 | 修改后上传功能将受限 |
| 投诉与咨询 | 发送邮件至 mobisoft25@outlook.com | 我们承诺在 7 个工作日内回复 |
八、未成年人个人信息保护
本产品主要面向成年用户设计,仅限年满 18 周岁的用户注册和使用。我们不会主动收集未成年人的个人信息。如果我们发现无意间收集了未满 18 周岁未成年人的个人信息,我们将设法在查实后尽快删除相关数据。如您发现此类情况,请联系我们。
九、个人信息安全保护措施
- 数据传输:全程采用 HTTPS/TLS 1.2+ 加密,防止传输过程中的信息泄露。
- 存储安全:媒体文件存储于私有权限 OSS 存储桶,访问须通过带签名的临时 URL(有效期有限制),未经授权无法访问。
- 访问控制:数据库采用行级安全策略(RLS),每位用户只能访问自己有权限的数据,完全隔离不同用户、不同组的数据。
- 最小权限原则:仅在用户主动操作时申请所需权限,不申请超出功能需要的权限。
- 安全审计:定期对数据库策略、存储权限进行安全审查。
尽管我们采取了合理的安全措施,但互联网环境下没有绝对安全的保障。如发生数据安全事件,我们将在知悉后 72 小时内依法向监管机构报告,并在合理时间内通知受影响用户。
十、隐私政策的更新
我们可能因业务发展、法律法规变化等原因更新本隐私政策。
- 一般性更新:通过应用内弹窗或消息通知提前告知,继续使用视为同意。
- 重大变更(涉及敏感信息收集新增、用途变更、共享方变化等):将单独弹窗通知,须您重新点击确认后方可继续使用。
- 历史版本:所有历史版本将保存于应用内「关于我们 → 隐私政策历史版本」页面(功能上线后生效)。
十一、联系我们与投诉渠道
| 联系方式 | 详情 |
|---|---|
| 电子邮箱 | mobisoft25@outlook.com |
| 应用内入口 | 首页左上角设置→ 个人设置 → 意见反馈 |
| 响应承诺 | 收到有效请求后,7 个工作日内回复 |
| 受理范围 | 隐私权利行使、数据删除申请、安全漏洞举报、投诉与建议 |
| 监管机构投诉 | 您也可向当地网信部门投诉举报(www.12377.cn) |