隐私政策

本隐私政策（下称“本政策”）适用于由恒林日本株式会社（Eaglewood Japan Co., Ltd.，下称“我们”“本公司”）运营的网站 guoxue.app 及其子域名（下称“本服务”）。本政策不适用于我们独立发行的 iOS 应用（奇门、八字、紫微、六爻、梅花），该五款 iOS 应用各有其独立的隐私政策。

使用本服务即表示您已阅读、理解并同意本政策所述的各项做法。如您不同意，请停止使用本服务。

1. 基本信息

• 运营主体：恒林日本株式会社（Eaglewood Japan Co., Ltd.）
• 本社所在地：〒226-0025 神奈川県横浜市緑区十日市場町 872-19
• 设立日期：2022 年 5 月 12 日
• 资本金：5,000,000 日元
• 代表者：佐々木浩
• 服务范围：guoxue.app 网站及其 API 子域（api.guoxue.app）
• 法人一般联系邮箱：contact@eaglewoodjp.com
• 本服务（guoxue.app）联系邮箱：contact@guoxue.app
• 隐私事务联系邮箱：privacy@guoxue.app

2. 我们收集的信息

2.1 您主动提供的信息

• 账户信息：电子邮件地址（首次注册通过魔法链接验证邮箱，必须收集）。若您在 /账 主动启用「密码登录」，我们另保存一份 PBKDF2-SHA256 哈希值（含随机盐，100,000 轮迭代），用于后续以邮箱+密码登录。我们永不保存您的明文密码，亦无法反推。停用密码登录后该哈希会立即从数据库中清除。
• 用户输入：生辰（公历或农历年月日时）、出生地、姓名（可选）、性别。上述信息为生成命盘所必需，由您自行填写。
• 订阅与付款元数据：Stripe 客户 ID（`cus_xxx`）、订阅计划与状态、发票编号。我们不接触、不存储您的银行卡号或 CVV，该等信息由 Stripe, Inc. 直接处理。
• AI 交互历史：您查询的命盘、您向 AI 发起的问题，以及 AI 返回的解读文本。用于结果展示、缓存去重、成本核算与服务改进。

2.2 自动收集的信息

• 会话 Cookie：`gx_session`（HttpOnly、Secure、SameSite=Lax、30 天滑动过期），用于维持登录态。非第三方追踪。
• 访问日志：IP 地址、User Agent、请求时间戳、请求路径、响应状态码。通过 Cloudflare 收集，默认保留 30 天，用于安全防护与反滥用。
• 页面访问记录（仅限已登录用户）：用户 ID、会话 ID、页面路径（已去除查询参数与锚点）、访问时间戳、页面停留毫秒数。用于改进产品体验与漏斗优化。不存储 IP 地址、User-Agent、设备指纹或任何跨站标识符。如需删除，请联系 privacy@guoxue.app。
• 每日老黄历邮件订阅（须本人主动登记邮箱）：邮箱、语言偏好、订阅频率、订阅时间、最近发送时间、退订时间、退订一键凭证。仅用于向您发送每日老黄历邮件。每封邮件均含一键退订链接，且符合 RFC 8058 的 List-Unsubscribe 头。不与第三方共享邮箱。

3. 我们如何使用这些信息

• 账户认证：将一次性登录链接发送至您的邮箱。
• 提供核心服务：在服务器侧完成部分排盘运算；保存您主动保存的命盘。
• AI 解读：将命盘数据与您的问题发送至 Anthropic API（Claude AI）以生成解读。未经用户明确同意，本公司不会将可识别用户身份的命盘数据用于 AI 模型训练、向第三方提供或超范围使用。
• 支付与订阅管理：通过 Stripe 处理付款、管理订阅状态、开具发票。
• 交易邮件：通过 Resend 发送登录链接、订阅变更确认、购买凭证等必要邮件。非订阅用户不会收到营销邮件。
• 安全与反滥用：通过 Cloudflare 的 WAF、速率限制与 Bot Fight Mode 防御攻击。
• 法定义务履行：按日本会社法、法人税法、消费税法等法规保存交易记录。
• 用户画像与自动化决策：我们不会对您的个人信息进行用户画像分析（profiling）。具体而言：我们不会基于您的命盘数据、AI 交互历史、使用行为等，对您进行个人特征分析、行为预测、分类评分、群体划分或任何形式的自动化评估。我们不会将您的数据用于任何形式的自动化决策（automatic decision-making），包括但不限于对您产生法律效力或类似重大影响的决定（如信贷、就业、保险、医疗等）。所有 AI 解读均仅针对您当次输入的命盘信息生成，不跨会话、不跨用户进行关联分析，亦不用于训练商业模型。若未来我们的服务模式发生变化，需要引入用户画像或自动化决策，我们将提前通过电子邮件通知您并另行取得您的明确同意。

4. 第三方子处理方（Subprocessors）

我们委托以下受信任的第三方处理部分数据。每一方均受其自身隐私政策与合同约束：

5. 数据保留期限

• 账户数据：直至您请求删除或账户注销。
• 订阅与支付记录：依据日本会社法、法人税法、消费税法等法规保留 7 年。
• 已保存的命盘：保留至您主动删除。
• 访问日志：30 天（Cloudflare 默认）。
• AI 解读缓存：90 天滚动保存（通过哈希匹配节省重复调用成本）。缓存过期后自动清除。

6. 您的权利

依据日本《个人信息保护法》（Act on the Protection of Personal Information，简称 “APPI”）等适用法律，您享有下列权利：

• 访问权——通过账户设置查看我们持有的关于您的全部数据。
• 更正权——在账户设置中自行编辑邮箱以外的资料。
• 删除权——“永久删除账户”功能将不可逆地清除您的命盘、AI 交互历史、会话等数据。依法需保留的订阅与发票记录除外。
• 数据可携权——通过账户设置将您的数据导出为 JSON。
• 撤回同意——随时退订；付费会员可随时通过 Stripe Customer Portal 取消订阅。
• 申诉权——可向日本个人情报保护委员会（PPC）或您所在地的数据保护监管机构申诉。

如需行使上述权利，请登录账户自助操作，或来信 privacy@guoxue.app。我们将在合理期限（一般不超过 30 日）内响应。

7. Cookie 使用

• 必要 Cookie：`gx_session`——会话凭证。无此 Cookie 无法登录。
• 我们不设置广告 Cookie、分析 Cookie、任何第三方追踪 Cookie。
• 您可在浏览器设置中禁用 Cookie，但将无法登录账户。

8. 国际数据传输

• 服务器主要位于 Cloudflare 的 APAC 区域。
• Anthropic API 与 Stripe 位于美国。
• Resend 的邮件发送基础设施位于美国。
• 使用本服务即表示您同意为提供服务所需的跨境传输，以及接收方所在地区（可能不提供与您所在地区等同水平的数据保护）。

9. 儿童保护

本服务面向 18 岁以上成人，因命理内容涉及婚姻、财运等成人话题。我们不会有意收集未成年人的个人信息。如我们知悉注册用户不满 18 岁，将立即删除其账户。

10. 安全措施

• 传输加密：全站 TLS 1.3。
• 存储加密：Cloudflare D1、KV 底层均启用加密。
• 密码：登录方式以一次性魔法链接为主；若您主动启用「密码登录」，我们仅存储 PBKDF2-SHA256 哈希（含随机盐，100,000 轮迭代），永不保存明文密码，亦无法反推。密码错误连续 5 次会触发 30 分钟账户锁定。
• 会话：HttpOnly + Secure + SameSite=Lax + 30 天滑动过期。重置或修改密码时，所有其它设备上的旧登录会被强制下线。
• 速率限制：魔法链接每 IP 每分钟 5 次、每邮箱每小时 3 次；密码登录每 IP 每分钟 10 次、每邮箱每小时 20 次；AI 调用每用户每分钟 2 次。
• 成本硬顶：每用户每月硬成本上限 8 美元（MTD hard cap），以防恶意调用导致账单激增。

尽管我们采用业界常见的安全措施，互联网传输不存在绝对安全。发生影响您权益的数据泄露时，我们将依法律要求向您及主管机关通知。

11. 政策变更

重大变更将通过电子邮件通知已注册用户，并在您下次登录时显示提示。轻微变更仅更新本页并修改“最后更新日期”。

12. 联系与申诉

• 隐私事务：privacy@guoxue.app
• 一般查询：contact@guoxue.app
• 法人事务：contact@eaglewoodjp.com
• 监管申诉：日本个人情报保护委员会（https://www.ppc.go.jp/）

13. 语言优先级

本政策同时以简体中文、繁体中文、英文、日文公布。各语言版本在含义上应保持一致，如有歧义，以简体中文版为准。