Octuo 隐私政策
Tutuo, Inc.("Tutuo"、"我们"、"我方")在 https://octuo.tutuo.ai 运营 Octuo 服务("Octuo"、"本服务")。本隐私政策说明我们收集哪些个人信息、如何使用、与谁共享、保留多久,以及您享有哪些权利。我们使用直白的语言,因为我们希望本文件可读,而不仅仅是合规。
如有任何疑问或希望行使权利,请发邮件至 privacy@tutuo.ai。
在 Octuo 公测期间,本政策由公测须知进行补充;针对所有 AI 相关处理,由 AI 披露进行补充。
1. 我们是谁(控制者身份,GDPR 第 13(1)(a) 条)
| 字段 | 内容 |
|---|---|
| 法律实体 | Tutuo, Inc. |
| 运营服务 | Octuo |
| 服务司法辖区 | 美国 |
| 隐私联络 | privacy@tutuo.ai |
| 一般联络 | support@tutuo.ai |
| 邮寄地址 | 应要求向 privacy@tutuo.ai 索取 |
我们目前没有依 GDPR 第 27 条指定的欧盟代表。欧盟用户可直接联系我们的隐私邮箱;我们将在法定时限内予以回复。
2. 我们收集哪些数据
我们只收集运营本服务所必需的数据。
2.1 您主动提供
- 账户数据:邮箱地址、密码(已哈希)、显示名、偏好(语言、主题、模型默认设置)。
- 支付数据:由 Stripe 处理;我们仅接收客户 ID 与订阅 / 收费事件,绝不会看到您的卡号。
- 密钥库内容:您选择存储的凭据。我们以每用户独立的数据加密密钥(DEK)对其加密,再由 AWS KMS 客户主密钥(CMK)封装该密钥。我们无法读取您密钥库的明文内容。
- 聊天 / 智能体输入:您发送给 Octuo 的消息、上传的文件、注册的设备。
2.2 我们自动采集
- 服务遥测:HTTP 请求路径与响应码、功能使用情况、错误堆栈跟踪、性能指标。
- 设备事件:心跳、能力注册、派发尝试(当您连接 Mac 或 iOS 客户端时)。
- 认证事件:登录成功 / 失败、密码重置发起、可疑活动标记。
- 审计日志:对您账户的安全相关操作(登录、密钥库下发、账户设置变更)的仅追加记录。
2.3 我们不收集
- 您的卡号(仅由 Stripe 处理)。
- 密钥库明文(我们仅看到密文 + 信封元数据)。
- 跨站点跟踪像素(无 Facebook Pixel、Google Analytics 等)。
- 用于营销目的的位置数据。
3. 我们为何处理您的数据(目的 + 合法依据,GDPR 第 13(1)(c) 条)
| 目的 | 合法依据 | 示例 |
|---|---|---|
| 向您提供 Octuo | 合同履行(GDPR 第 6(1)(b) 条) | 存储您的账户、运行聊天、派发智能体操作 |
| 向您计费 | 合同履行 | Stripe 收费、发票、退款 |
| 保障 Octuo 安全 | 合法利益(第 6(1)(f) 条);法律义务(第 6(1)(c) 条) | 审计日志、滥用检测、账户接管防御 |
| 改进 Octuo | 合法利益 | 公测期间的聚合使用分析(上文第 2.2 节遥测) |
| 就 Octuo 向您发送邮件 | 同意(第 6(1)(a) 条);服务类邮件基于合法利益 | 服务公告、公测更新、密码重置 |
| 遵守法律 | 法律义务 | 传票、有效的执法请求 |
我们对履行合同所必需的处理不依赖同意(您不能在保留有效账户的同时撤回对聊天历史处理的同意);对于营销邮件我们确实依赖同意,您可随时在"账户设置"中退订。
4. 我们与谁共享数据(接收方,GDPR 第 13(1)(e) 条)
我们只共享每个接收方履行其职能所必需的数据。
| 接收方 | 共享内容 | 目的 | 所在地 |
|---|---|---|---|
| Stripe, Inc. | 邮箱、客户 ID、订阅 / 收费事件 | 处理支付 | 美国 |
| OpenAI, L.L.C. | 您的提示词、系统上下文 | 生成 AI 响应 | 美国 |
| Anthropic, PBC | 您的提示词、系统上下文 | 生成 AI 响应 | 美国 |
| Google LLC | 您的提示词、系统上下文 | 生成 AI 响应 | 美国 |
| Amazon Web Services, Inc. | 全部服务数据(静态加密) | 托管、KMS、S3、RDS | 美国(us-west-1) |
| Sentry / 错误跟踪 | 堆栈跟踪、仅用户 ID | 调试崩溃 | 美国 |
| 执法机关 / 监管者 | 法律所要求的内容 | 遵守有效命令 | 视情况而定 |
我们不出售您的数据,不将其用于广告受众匹配的交换,也不与数据经纪商共享。
LLM 提供商完整列表及流向各方的数据见 AI 披露。
5. 国际数据传输(第 13(1)(f) 条)
Octuo 在美国的 AWS 上运行。如您位于欧盟、英国或其他对向美国传输数据有限制的司法辖区,您的数据将被传输至美国并在美国处理。
我们依赖以下传输机制:
- 欧盟用户:与每一个美国子处理者(Stripe、OpenAI、Anthropic、Google、AWS)签订标准合同条款(SCC,欧盟委员会 2021 年模块 1 SCC)。
- 英国用户:欧盟 SCC 的英国国际数据传输附录。
- 加州用户(CCPA):见下文第 11 节。
- 中国用户(PIPL):见下文第 10 节。
您可发邮件至 privacy@tutuo.ai 索取 SCC 副本。
6. 我们保留数据多久(保留期限,第 13(2)(a) 条)
| 数据 | 保留期 | 原因 |
|---|---|---|
| 账户记录(活跃) | 您账户活跃期间 | 提供服务所必需 |
| 聊天历史 | 您账户活跃期间,或直至您删除某次对话 | 您通过删除控制保留 |
| 密钥库密文 | 您账户活跃期间 | 您通过删除控制保留 |
| 审计日志 | 7 年 | 安全取证 + 合规 |
| 遥测(非个人聚合) | 13 个月 | 趋势分析 |
| 遥测(可识别个人) | 90 天 | 调试近期问题 |
| Stripe 计费记录 | 7 年 | 财务记录 + 税务 |
| 备份 | 滚动 7 天 | 灾难恢复 |
| 账户记录(已删除) | 30 天宽限期,之后硬删除 | 允许账户恢复;与被遗忘权之间取得平衡 |
您可随时在"账户设置"中导出您的数据(下文第 9 节)。
7. 您的权利(GDPR 第 15-22 条;CCPA 同等权利)
您有权:
- 访问我们持有的关于您的个人信息。
- 更正不准确的数据。
- 删除您的数据("被遗忘权")——账户 → 删除。
- 可携性——下载机器可读的导出文件。
- 限制处理——在我们处理投诉期间暂停处理。
- 反对基于我们合法利益的处理。
- 撤回同意营销邮件,可随时进行,且不影响您对本服务的访问。
- 不受仅基于自动化决策的约束——即对您产生法律后果或重大影响的决策。(Octuo 目前不作出任何此类决策;AI 建议在此意义上不构成自动化决策。)
- 向监管机构投诉。欧盟用户可向其成员国的数据保护机构投诉;英国用户可向 ICO 投诉;加州居民可向加州总检察长投诉。
如要行使任何权利,请发邮件至 privacy@tutuo.ai。我们将在 30 天内回复(对于复杂请求,我们可在通知后再延长 60 天)。
8. 安全
- 传输加密:所有传输使用 TLS 1.2 及以上;HSTS 预加载。
- 静态加密:AWS RDS 存储已加密;密钥库条目以信封加密方式由每用户的 DEK 加密,再由 AWS KMS CMK 封装。
- 认证:bcrypt 密码哈希;签名密钥轮换的 JWT;HttpOnly 安全 Cookie;对认证端点设置速率限制。
- 审计日志:仅追加,对安全相关事件采用防篡改的哈希链。
- 隔离:生产环境与开发环境隔离;
octuo_admin数据库角色与octuo_app_writer分离;KMS 密钥访问受限于 Pod IRSA 角色。
我们在内部遵循最小权限原则,并按季度审查访问。
9. 自助式数据导出与删除
在"账户设置"中:
- 下载我的数据:生成一份包含聊天历史、记忆条目、知识条目、密钥库元数据(不含明文凭据)、设备列表与计费历史的 JSON + Markdown 包。我们会通过邮件发送下载链接;链接 7 天内有效。
- 删除我的账户:以 30 天宽限期(用于撤销)安排删除。密钥库密钥按计划立即销毁(密钥库内容随即变得连我们也无法读取)。宽限期结束后,所有账户数据将从主存储中硬删除;备份会在滚动 7 天窗口中老化清退。
10. 中国地区特别说明
如果您身处中国大陆:
- Octuo 是一项美国本土服务。我们没有中国法律实体、ICP 备案,也没有中国境内的本地数据中心。您的数据存储与处理均在美国进行。
- 我们依赖美国法律的合法依据框架以及上文 GDPR 风格的保护;我们没有向中国国家互联网信息办公室单独备案标准合同。
- LLM 提供商(OpenAI、Anthropic、Google)同样在美国运营;其内容审核受美国法律以及它们各自的可接受使用政策约束,而非中国监管。
- 您有责任在使用 Octuo 时遵守中国法律;我们不就本服务对您在中国的用途是否合法作出陈述。
- 如 GFW 过滤导致访问受阻,Octuo 并未被设计为绕过它。
如不接受上述条件,请勿使用 Octuo。
11. 加州居民(CCPA)
您享有上文第 7 节所述的同等访问 / 删除 / 可携性权利。此外:
- 所收集个人信息的类别:标识符(邮箱、客户 ID)、商业信息(订阅、购买)、互联网活动(服务遥测)、推断(基于使用得出的偏好)。
- 为跨上下文行为广告而出售或共享的类别:无。我们不出售您的信息。
- 知情权:发邮件至 privacy@tutuo.ai;每 12 个月内首次请求免费。
- 拒绝出售权:不适用(我们不出售)。
- 不受歧视:我们不会因您行使权利而拒绝提供服务或收取不同价格。
- 授权代理人:您可使用授权代理人;我们将直接与您核实。
加州总检察长投诉:oag.ca.gov/contact/consumer-complaint。
12. 儿童
Octuo 不面向 13 岁以下儿童(或您所在司法辖区规定的同等最低年龄;GDPR 下部分欧盟成员国为 16 岁)。我们不会主动收集儿童的数据。如您认为有儿童使用了 Octuo,请发邮件至 privacy@tutuo.ai,我们将移除其账户。
13. Cookie 及类似技术
我们使用的少量 Cookie 见 Cookie 政策。我们不使用第三方跟踪 Cookie。
14. 本政策的变更
我们可能更新本隐私政策。如变更属于实质性(扩展处理目的、新增子处理者类别、削弱用户权利或上调保留期限),我们将:
- 提升 frontmatter 中的 version 主版本号与
effective_date。 - 至少提前 30 天通过邮件通知您新版本生效。
- 在您下次登录时显示应用内横幅。
如您在新版本生效后继续使用 Octuo,即视为接受变更。如不接受,您可在通知期内删除账户;如果您仅因本次变更而取消订阅,我们将按比例退还未使用的订阅天数。
非实质性的澄清(修正笔误、调整格式、更清晰地复述既有保护)会提升 version 次版本号并更新 last_updated 日期,但不需要通知或同意。
15. 联系方式
| 主题 | 邮箱 |
|---|---|
| 隐私问题、行使权利、提出关切 | privacy@tutuo.ai |
| 一般服务咨询 | support@tutuo.ai |
| 安全披露 | security@tutuo.ai |
| 媒体 / 法律 | legal@tutuo.ai |
本隐私政策是 Octuo 法律文件集的一部分。另见:服务条款、公测须知、可接受使用政策、AI 披露、退款政策、Cookie 政策。