隐私政策

数据控制者

本服务个人数据处理的控制者为 Luca Henrik Stosch, Einzelunternehmen —— 经营名称 "Nekonbini"。

邮寄地址： Von-Bargen-Straße 39, 22041 Hamburg, Germany
邮箱： luca@sutoshu.com

未指定数据保护官（不适用 GDPR 第 37 条任何一项条件）。

我们处理的数据

• 账户与登录：你的邮箱地址（作为账户标识，并用于发送验证邮件）、你设置的显示名称，以及你所使用的认证方式（邮箱一次性验证码、Google 或 Apple）。Google 或 Apple 登录通过 Firebase Authentication 中转；我们仅从身份提供方收到你已验证的邮箱地址和（可选）显示名称。
• 学习状态：你保存的单词与 kanji 词库、间隔重复状态（复习历史、调度、所在卡盒等级）、你生成或导入的故事、句级阅读进度、XP 与连续记录、你的设置（界面语言、时区、目标 JLPT 水平、每日 XP 目标），以及记录你是否完成上手步骤的功能开关。这些个性化的学习状态让阅读辅助、复习和自适应界面能在你的多台设备上一致工作。
• 你提交的内容：你导入或粘贴的文本、为分词上传的文档、与 AI 导师对话中的提示词与回复、你写的 kanji 记忆故事，以及你在已共享的社区 kanji 条目上留下的任何反应。其中一部分内容会转发给 AI 提供方（见下方「处理方」）用于生成翻译、讲解和回复。
• 订阅、计费与 AI 使用元数据：你的账户当前所用的套餐（如有）、到期时间，以及代表你发出的 AI 请求的逐次日志 —— 输入/输出 token 数、所用提供方、触发调用的功能，以及预估成本。银行卡支付由 Stripe 处理（见下方「处理方」）；我们不会看到或保存完整卡号。
• 技术运行数据：运行和保护服务所需的服务端请求日志（时间戳、路由、状态码、IP 地址、user-agent）；由错误跟踪服务捕获的错误事件（见下方「遥测」）；以及 —— 仅在你同意时 —— 聚合分析的页面访问事件（见下方「遥测」）。你在 kanji 练习中绘制的笔画会实时在服务端打分，但不会被保存。

处理目的与法律依据

我们处理以上数据，是为了提供你注册时所选的个性化学习服务（同步你的词库、安排复习、生成故事、运行 AI 导师对话），依据为 GDPR 第 6 (1)(b) 条（履行与你的合同）；为了运行、保障与排查服务 —— 服务器日志、滥用检测、错误跟踪 —— 依据为 GDPR 第 6 (1)(f) 条（我们在保持服务可用且不被滥用方面的正当利益）；为了测量聚合的产品使用情况，依据为 GDPR 第 6 (1)(a) 条（你的同意，可随时撤回）；以及在适用的情况下为履行法定义务（尤其是付费套餐相关的德国税务和会计法律），依据为 GDPR 第 6 (1)(c) 条。

分析、错误跟踪，以及在你设备上的存储

Nekonbini 在遥测上使用两项第三方服务。由于二者用途不同，我们对它们的处理也不同。

分析 —— 需要同意

我们使用一项聚合分析服务来了解服务的使用情况。只有在你在同意横幅上接受后，分析才会被加载；IP 地址不会以可识别形式保存。你可以随时通过同意横幅或账户设置撤回或更改选择；这会在本次会话剩余时间以及之后的访问中停止进一步的分析事件。

错误跟踪 —— 正当利益

我们使用一项错误跟踪服务来捕获未处理的错误和崩溃，以便修复。错误事件包括页面 URL（去除查询字符串以避免泄露认证 token）、浏览器版本、调用栈，以及 —— 对于已登录用户 —— 内部用户 ID，以便我们把上报与遇到问题的用户对应起来。不收集 Cookie 和 IP 地址。错误跟踪基于我们运行可用服务的正当利益（GDPR 第 6(1)(f) 条）；你可以通过上面的联系方式对此处理提出反对。

在你设备上的存储

你的同意选择和登录状态会保存在浏览器的 localStorage 中。另有少量键用于保留界面偏好（上次所选语言、布局状态）。这些是你自己设备上的技术存储，不是第三方跟踪 Cookie；清除浏览器站点数据即可移除它们。

处理方与第三方服务

以下服务提供方代我们处理个人数据，或就其自身可控的部分作为独立控制者。该列表以下方「最近更新」日期为准；任何新处理方接入服务前，我们会先更新此列表。

• Amazon Web Services EMEA SARL（卢森堡）—— 在欧盟（德国）提供应用和数据库托管。AWS 作为子处理方，可能依据 EU-US Data Privacy Framework 和 EU Standard Contractual Clauses 借助其美国母公司（见下方「国际数据传输」）。
• Resend（Resend Inc.，美国，依据 EU-US Data Privacy Framework 和 EU Standard Contractual Clauses）—— 发送事务性邮件，例如邮箱登录所用的 6 位一次性验证码。
• Stripe Payments Europe Ltd.（爱尔兰，依据 EU-US Data Privacy Framework 和 EU Standard Contractual Clauses 向美国 Stripe Inc. 传输数据）—— 处理订阅付款。
• Firebase Authentication（Google Ireland Limited / Google LLC）—— 处理通过 Google 和 Apple 的联合登录。交换的数据是你已验证的邮箱地址和（如有提供）显示名称。Firebase 是美国服务；法律依据见下方「国际数据传输」。
• Sentry（欧盟实例）—— 捕获未处理的错误和崩溃。我们使用的实例托管在欧盟；事件数据保留在欧盟境内。每个事件发送的内容见上方「遥测」。
• Google Analytics 4（Google Ireland Limited / Google LLC）—— 仅在你已授予分析同意时加载。详情见上方「遥测」。Google 是美国总部的处理方；法律依据见下方「国际数据传输」。
• AI 子处理方包括 OpenAI（美国）、Google（欧盟 / 美国）、Mistral AI（法国），以及作为路由中介的 OpenRouter（美国）。当你使用 AI 驱动的功能时，我们会发送相关文本 —— 例如你正在读的句子、你的聊天提示词、或你导入的文档 —— 以及生成响应所需的最少上下文。我们会随模型质量和成本的调整而更换所启用的子处理方组合；新提供方上线前，我们会更新此列表。

国际数据传输

我们持有的关于你的大部分数据都存储在欧盟。上述部分处理方位于美国；当你使用依赖它们的功能时，你的数据会被传输到这些提供方。当接收方依据 EU-US Data Privacy Framework 完成认证时，我们依赖欧盟委员会的充分性决定；并以 EU Standard Contractual Clauses（Module Two，控制者到处理方）作为额外保障。

我们保留你的数据多久

只要你的账户存在，我们就保留账户数据、学习状态和你提交的内容；当你请求删除账户时，相关数据会在 30 天内移除。当适用 § 147 AO 和 § 257 HGB 规定的法定会计保存义务时（付费订阅），相关发票和计费数据会在账户其余部分被删除后，按法定期限（目前最长 10 年）继续保留。邮箱一次性验证码请求会在验证码被使用或过期后自动清除。服务器日志、错误事件和分析数据由各提供方按其默认保留策略自动轮换；我们不会延长其保留期。

你的权利

依据 GDPR，你对个人数据享有以下权利。如需行使其中任意一项，请通过上方「数据控制者」中所列邮箱联系我们，并使用与你账户相关联的邮箱地址发起。我们会在收到请求后 30 天内回复；如请求异常复杂，我们会告知你并说明延长情况。

• 访问权（第 15 条）—— 请求获取我们持有的关于你的个人数据副本。
• 更正权（第 16 条）—— 请求我们更正不准确或不完整的数据。
• 删除权（第 17 条）—— 请求我们删除你的账户及与之关联的数据。
• 数据可携权（第 20 条）—— 请求以可机读格式导出你提供的数据。
• 反对权（第 21 条）—— 反对基于正当利益的处理，包括服务器日志和错误跟踪。
• 撤回同意权（第 7(3) 条）—— 对于基于同意的处理（分析），可随时通过 Cookie 横幅撤回同意；撤回不影响撤回前处理的合法性。
• 申诉权 —— 向你所在国家的监管机构提出申诉。在汉堡，主管机构为 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit（汉堡数据保护与信息自由专员）。

未成年人

Nekonbini 面向 16 岁及以上用户。我们不会有意收集任何 16 岁以下个人的数据。如果你认为有未成年人已注册账户，请通过「数据控制者」中所列地址联系我们，我们将删除该账户。

安全

数据托管在欧盟的合约基础设施上。认证使用免密验证后签发的会话 token。我们不保存密码。生产环境访问权限仅限运营者本人。

本政策的变更

当我们的数据处理发生有意义的变化时 —— 尤其是新增处理方或子处理方，或者新增引入新数据类别的功能时 —— 我们会更新本页。下方「最近更新」日期会随每次实质性修改而变更；对于影响你权利或需要重新征得同意的变更，我们也会在 App 内通知已登录用户。