1. 簡介
Strata Veritate LLC(以下稱「本公司」、「我們」或「我們的」)營運 Spendlens 行動應用程式(以下稱「本 App」)。本隱私權政策說明我們在您使用本 App 時,如何收集、使用、揭露及保護您的資訊。
我們致力於保護您的隱私與財務資料。本政策旨在遵循適用的資料保護法律,包括《加州消費者隱私法》(CCPA)、《一般資料保護規則》(GDPR)(於適用範圍內),以及 Apple App Store 審查指南。
請仔細閱讀本隱私權政策。使用本 App 即表示您同意本文所述之做法。若您不同意本隱私權政策,請勿使用本 App。
2. 我們收集的資訊
2.1 您直接提供的資訊
| 資料類別 | 範例 | 目的 |
|---|---|---|
| 帳戶資訊 | 姓名、電子郵件地址、個人檔案照片網址 | 帳戶建立、身分識別、通訊聯繫 |
| 財務資料 | 交易紀錄、金額、商家、類別、備註、預算、儲蓄目標、投資持倉、成本基礎 | App 核心功能:預算編列、追蹤、分析 |
| 帳戶設定 | 偏好幣別、語言、通知偏好、主題設定、無障礙設定 | 個人化與使用者體驗 |
2.2 透過第三方服務收集的資訊
2.2.1 Plaid(銀行同步 — 僅限 Pro+Connect 方案)
若您選擇啟用銀行同步功能,Plaid, Inc. 將收集並提供以下資訊予我們:
- 帳戶名稱、類型及餘額
- 交易記錄(金額、日期、商家、類別)
- 帳號及匯款路由號碼片段(遮蔽處理,僅供識別用途)
- 金融機構名稱及標誌
我們不會接收或儲存您的銀行登入憑證。Plaid 存取權杖僅儲存於我們的伺服器基礎架構(Firebase Cloud Functions 搭配 Google Secret Manager),絕不會傳輸至您的裝置或儲存於其上。
如需瞭解 Plaid 的資料處理方式,請參閱:Plaid 隱私權政策
2.2.2 Firebase 服務(Google)
| 服務 | 處理的資料 | 目的 |
|---|---|---|
| Firebase Authentication | 電子郵件、驗證提供者識別碼、驗證權杖 | 安全的使用者身分管理 |
| Cloud Firestore | Plaid 同步中繼資料、訂閱狀態、Aperture 連線中繼資料、促銷代碼紀錄、分析健康指標 | 伺服器端資料協調 |
| Firebase Cloud Functions | Plaid API 代理呼叫、訂閱驗證、Aperture 連線管理、市場資料代理、推播通知派送 | 安全的伺服器端商業邏輯 |
| Firebase Analytics | 匿名化的產品使用事件(功能互動、頁面瀏覽、工作階段資料) | 產品改善與效能監控 |
| Firebase Crashlytics | 當機報告、裝置型號、作業系統版本、App 版本、堆疊追蹤 | App 穩定性監控與錯誤修正 |
| Firebase Cloud Messaging (FCM) | 裝置推播權杖 | 推播通知派送 |
| Firebase App Check | 裝置證明權杖 | 防止濫用及未經授權的 API 存取 |
Firebase Analytics 及 Crashlytics 資料依據 Google 的資料處理條款進行處理。我們不會將 Firebase Analytics 用於廣告或廣告投放目標定位。
2.2.3 Apple 服務
| 服務 | 處理的資料 | 目的 |
|---|---|---|
| iCloud (CloudKit) | 同步至您個人私有 CloudKit 資料庫的加密財務資料 | 跨裝置同步(您的資料保留在您的 iCloud 帳戶中) |
| StoreKit | 訂閱狀態、交易收據、Apple ID 帳戶權杖 | App 內購買管理 |
| Sign in with Apple | Apple 使用者識別碼、選填的姓名及轉寄電子郵件 | 身分驗證 |
| Apple Push Notification Service (APNs) | 裝置權杖、通知內容 | 本地及遠端通知派送 |
2.3 自動收集的資訊
| 資料類別 | 詳細內容 | 目的 |
|---|---|---|
| 裝置資訊 | 裝置型號、作業系統版本、App 版本(透過 Crashlytics) | App 相容性與當機診斷 |
| 使用分析 | 功能使用模式、工作階段時間長度、頁面瀏覽(透過 Firebase Analytics 匿名化處理) | 產品改善 |
| 效能資料 | App 啟動時間、錯誤率、當機頻率 | 效能最佳化 |
2.4 我們不收集的資訊
- 廣告識別碼 (IDFA):我們不使用廣告識別碼。
- 位置資料:我們不存取或收集 GPS、Wi-Fi 或行動網路位置資料。
- 聯絡人清單:我們不存取您的聯絡人、通話記錄或訊息。
- 生物辨識資料:生物辨識驗證(Face ID / Touch ID)完全由 Apple 的 LocalAuthentication 框架在您的裝置上處理。我們絕不會接收、傳輸或儲存生物辨識範本或資料。
- 瀏覽記錄:我們不追蹤您的網頁瀏覽活動。
- 麥克風或相機資料:相機僅在您主動啟動收據掃描時才會被存取。影像透過 Apple 的 Vision 框架在記憶體中進行裝置端 OCR 處理,絕不會儲存、上傳或傳輸。
3. 我們如何使用您的資訊
3.1 核心服務提供
- 提供個人財務追蹤、預算編列及分析功能;
- 透過您的個人 iCloud 帳戶在裝置間同步您的資料;
- 處理及分類交易紀錄;
- 產生財務預測、現金流分析及淨資產計算;
- 管理您的訂閱與帳戶。
3.2 服務改善
- 分析匿名化使用模式以改善功能與使用者體驗;
- 監控 App 穩定性並修正當機及錯誤;
- 衡量功能採用率以排定產品開發優先順序。
3.3 通訊
- 派送您已啟用的推播通知(預算警示、帳單提醒、目標里程碑等);
- 發送服務相關通訊(訂閱狀態、安全警示)。
3.4 安全性
- 驗證您的身分;
- 透過 Firebase App Check 防止詐欺及未經授權的存取;
- 監控可疑活動。
4. 裝置端處理與機器學習
Spendlens 的核心架構原則是透過裝置端處理實現資料最小化。
4.1 裝置端機器學習
所有機器學習功能完全在您的裝置上運作:
- 交易分類 — CoreML BERT 模型在本地端對交易進行分類
- 智慧週期性偵測 — 模式辨識在裝置端執行
- 商家識別 — 啟發式及基於 ML 的商家比對在本地端進行
- 收據 OCR — Apple Vision 框架在記憶體中處理收據影像;影像絕不會被永久儲存或傳輸
我們不會將任何財務資料傳送至任何外部機器學習服務(包括我們自己的伺服器)進行推論或模型訓練。
4.2 裝置端資料儲存
您的主要財務資料(交易紀錄、預算、帳戶、目標、持倉)使用 Apple 的 SwiftData 框架儲存於裝置上,並可選擇透過 iCloud 同步至您的個人私有 CloudKit 資料庫。這些資料存放於您的 iCloud 帳戶中,受 Apple 的隱私及安全措施保護——我們無法從伺服器端存取您的 CloudKit 資料。
5. 加密與安全性
5.1 靜態加密
- 裝置端:所有本地資料均受益於 iOS 硬體層級加密(資料保護等級)。敏感項目以
kSecAttrAccessibleWhenUnlockedThisDeviceOnly保護等級儲存於 iOS 鑰匙圈中。 - 階層式金鑰架構:本 App 採用由 Secure Enclave 支援的根金鑰 → 金鑰加密金鑰 (KEK) → 每筆記錄的內容加密金鑰 (CEK) 階層架構,使用 AES-256-GCM 對敏感的裝置端資料進行加密。
- iCloud:透過 CloudKit 同步的資料由 Apple 依照其 iCloud 加密標準進行靜態加密。
- 伺服器端:Firestore 資料由 Google Cloud 的預設加密機制進行靜態加密保護。Plaid 存取權杖儲存於 Google Secret Manager 中,並有額外的伺服器端存取控制。
5.2 傳輸加密
所有網路通訊均使用 TLS 1.2 或更高版本。App Transport Security (ATS) 已啟用,確保不會有明文 HTTP 連線。
5.3 Aperture 端對端加密
透過 Aperture 功能分享的資料受到端對端加密保護:
- 金鑰協商:P256 橢圓曲線 Diffie-Hellman (ECDH)
- 對稱加密:AES-256-GCM 認證加密
- 金鑰儲存:私鑰以僅限裝置存取的方式儲存於 iOS 鑰匙圈中(
kSecAttrAccessibleWhenUnlockedThisDeviceOnly) - 零知識伺服器:我們的伺服器僅傳輸密文。我們無法推導共享密鑰或解密 Aperture 資料。
5.4 Plaid 安全性
- 您的銀行憑證由您直接提供給 Plaid,我們絕不會傳輸或儲存這些憑證。
- Plaid 存取權杖儲存於我們伺服器基礎架構上的 Google Secret Manager 中。
- 所有 Plaid API 呼叫均透過 Firebase Cloud Functions 代理;您的裝置不會與 Plaid API 直接通訊。
- 當您移除銀行連線或刪除帳戶時,我們會以程式方式撤銷相關的 Plaid 存取權杖。
6. 資料分享與揭露
6.1 我們不會出售您的資料
我們不會向任何第三方出售、出租或交易您的個人資訊或財務資料。我們不會與廣告商分享您的資料。我們不從事資料仲介業務。
6.2 第三方服務提供商
我們僅在營運本 App 所必要的範圍內,與以下類別的服務提供商分享資料:
| 提供商 | 分享的資料 | 目的 |
|---|---|---|
| Plaid, Inc. | 銀行連線權杖(僅限伺服器端) | 銀行帳戶同步 |
| Google (Firebase/GCP) | 驗證資料、匿名化分析事件、當機報告、Firestore 文件、推播權杖 | 基礎架構、分析、穩定性 |
| Apple | 購買收據、訂閱狀態、iCloud 同步資料 | App Store 計費、iCloud 同步 |
| Yahoo Finance(透過伺服器代理) | 股票代號(不含個人資料) | 市場資料取得 |
6.3 Aperture — 由使用者主導的分享
當您使用 Aperture 功能時,您授權我們將加密的財務資料提供給您指定的信任聯絡人。此分享完全由您發起並控制。我們僅傳輸加密的密文,無法存取明文內容。
6.4 法律義務
若法律要求,或我們基於善意認為有必要採取下列行動時,我們可能會揭露您的資訊:
- 遵守法律義務、傳票或法院命令;
- 保護和捍衛 Strata Veritate LLC 的權利或財產;
- 防止或調查與本 App 相關的可能不當行為;
- 保護使用者或公眾的人身安全。
6.5 業務轉讓
在合併、收購、重組、破產或出售全部或部分資產的情況下,您的資訊可能作為該交易的一部分被轉讓。在您的資訊適用不同的隱私權政策之前,我們將透過 App 內通知或電子郵件通知您。
7. 資料保留
7.1 活躍帳戶
只要您的帳戶處於活躍狀態,且為提供本 App 服務所需,我們將保留您的資料。
| 資料類型 | 保留期間 |
|---|---|
| 裝置端財務資料(SwiftData) | 直至您刪除該資料或刪除帳戶為止 |
| iCloud 同步資料(CloudKit) | 依您的 iCloud 儲存空間而定;刪除帳戶時一併刪除 |
| Firestore 伺服器端資料 | 直至帳戶刪除為止 |
| Firebase Analytics 資料 | 依據 Google 標準分析資料保留政策(最長 14 個月) |
| Crashlytics 報告 | 依據 Google 標準 Crashlytics 保留政策(90 天) |
| Plaid 存取權杖 | 直至您中斷銀行連線或刪除帳戶為止 |
| 訂閱紀錄 | 訂閱期間加上適用的法定保留期間 |
| 推播通知權杖 | 直至登出或帳戶刪除為止 |
7.2 已刪除的帳戶
當您刪除帳戶時,我們將執行全面的資料移除流程:
- Firebase Authentication 帳戶 — 永久刪除
- Plaid 連線 — 所有存取權杖均以程式方式撤銷並刪除
- Firestore 資料 — 所有使用者文件永久刪除
- 本地裝置端資料 — 所有 SwiftData 記錄均予以清除
- 加密金鑰 — 所有儲存於鑰匙圈中的金鑰(根金鑰、KEK、Aperture 私鑰)均予以銷毀
- 工作階段狀態 — 所有快取狀態及工作階段權杖均予以清除
某些無法用於識別您身分的彙總性、去識別化資料可能會為分析目的而予以保留。
7.3 暫時性資料
為 OCR 掃描而擷取的收據影像僅在處理期間存在於裝置記憶體中,絕不會永久儲存至磁碟、上傳或傳輸。
8. 您的權利與選擇
8.1 存取與可攜性
您可以隨時在 App 內查看您所有的財務資料。Pro 訂閱者可透過 CSV 匯出功能匯出交易資料,以實現資料可攜性。
8.2 更正
您可以隨時在 App 內直接編輯您的交易紀錄、帳戶、預算、目標及個人檔案資訊。
8.3 刪除
您可以:
- 在 App 內刪除個別交易紀錄、帳戶、預算或目標;
- 透過「設定」中的帳戶刪除功能,刪除您的整個帳戶及所有相關資料;
- 透過以下聯絡方式向我們申請刪除。
8.4 通知偏好設定
您可以精細地控制通知。您可以啟用或停用個別通知類別(預算警示、帳單提醒、目標里程碑、儲蓄提示等),並設定勿擾時段以在指定期間暫停通知。
8.5 銀行連線管理
您可以隨時中斷個別銀行連線,此操作將撤銷相關的 Plaid 存取權杖。您也可以透過刪除帳戶同時移除所有銀行連線。
8.6 資料分享 (Aperture) 控制
您可以隨時撤銷與任何信任聯絡人的 Aperture 資料分享,立即終止其對您加密資料的存取。
8.7 分析退出
Firebase Analytics 收集匿名化的使用資料。您可以透過裝置的隱私設定(「設定」>「隱私權與安全性」>「分析與改進項目」)限制分析資料的收集。
8.8 GDPR 下的權利(歐洲經濟區/英國使用者)
若您位於歐洲經濟區或英國,您有權:
- 存取我們所持有的關於您的個人資料;
- 更正不正確的個人資料;
- 刪除(「被遺忘權」)您的個人資料;
- 限制處理您的個人資料;
- 資料可攜性 — 以結構化、機器可讀的格式接收您的資料;
- 反對基於合法利益的處理;
- 撤回同意,在處理係基於同意的情況下可隨時撤回;
- 向您當地的資料保護主管機關提出申訴。
如欲行使上述任何權利,請透過以下聯絡方式與我們聯繫。
8.9 CCPA 下的權利(加州居民)
若您為加州居民,您有權:
- 知悉我們收集、使用及揭露哪些個人資訊;
- 刪除您的個人資訊;
- 退出個人資訊的出售(我們不出售個人資訊);
- 行使隱私權時不受歧視。
如欲行使上述權利,請透過以下聯絡方式與我們聯繫。
9. 兒童隱私
本 App 不適用於未滿十六 (16) 歲或未達適用法域數位同意最低年齡(以較高者為準)之兒童。我們不會故意收集低於上述年齡門檻之兒童的個人資料。
若您為家長或監護人,且認為您的孩子已向我們提供個人資料,請立即與我們聯繫。若我們發現已收集低於適用最低年齡之兒童的個人資料,我們將立即採取措施從系統中刪除該等資料。
11. 國際資料傳輸
您的資料可能在美國及我們服務提供商設有設施的其他國家進行處理(包括用於 Firebase 服務的 Google Cloud 區域)。當資料進行國際傳輸時,我們依據標準合約條款、充分性認定或其他合法傳輸機制,確保適當的保障措施到位。
12. 第三方連結與服務
本 App 可能包含通往第三方網站或服務的連結(例如您的銀行網站、Apple 的訂閱管理功能)。我們不對這些第三方服務的隱私做法或內容負責。我們建議您查閱您所存取之任何第三方服務的隱私權政策。
13. 本隱私權政策之變更
我們可能會不時更新本隱私權政策。我們將透過以下方式通知您重大變更:
- 更新本政策頂部的「最後更新」日期;
- 在可行的情況下提供 App 內通知;
- 針對顯著影響我們處理您資料方式的重大變更,發送電子郵件通知。
在本隱私權政策修改後繼續使用本 App,即表示您接受更新後的政策。
14. 資料保護長
如有隱私權查詢、資料主體存取請求,或欲行使您的任何權利,請聯繫我們的資料保護團隊:
Strata Veritate LLC — Data Protection
電子郵件:security@spendlensapp.com
網站:https://spendlensapp.com/support
我們將在三十 (30) 日內或適用法律所要求的期限內回覆所有合法請求。
15. 聯絡資訊
如對本隱私權政策有一般性問題,請透過以下方式與我們聯繫:
Strata Veritate LLC
電子郵件:support@spendlensapp.com
網站:https://spendlensapp.com/support