隐私政策

1. 我们收集哪些信息

账户信息：当你通过 Apple、Google 或邮箱魔法链接登录时，我们会保存你的邮箱地址、显示名称（如有）、第三方登录提供商的用户标识符。我们不会收集你的密码——所有登录均通过第三方提供商或一次性邮件链接完成。

测试作答：你在 MBTI 量表（约 50–120 题）和 SBTI 情境题（约 24–75 题）中的全部作答、计算得到的人格类型与维度分数，会保存在数据库中。匿名访客的作答会以 session 形式保存，并在 30 天后自动清理。已登录用户的作答会与账户关联，便于跨设备查看。

AI 教练输入：当你使用 AI 教练（Coach）功能时，你输入的情境文本（最多 500 字）、所选场景类别、你的 MBTI 与 SBTI 类型，会被发送至第三方 AI 服务（详见第 4 节）。AI 的回复内容不会在我们的服务器端长期存储。

对比分析查询：当你查看 MBTI × SBTI 双轨对比页时，你的类型组合 + 语言会用于生成 AI 张力分析；该分析结果按「类型组合 + 语言」为键缓存约 30 天，缓存内容为通用文本，不与具体用户绑定。

技术数据：当你访问网站时，我们的边缘服务器会自动收到你的 IP 地址。IP 用于以下两个目的——(a) 作为「每日提交次数」「每日 AI 教练调用次数」等反滥用计数的临时缓存键，写入缓存前会经 SHA-256 哈希后截取 16 字符，缓存条目在 24 小时内自动过期；(b) 推断粗粒度地区国别（仅 ISO 国家代码）。除上述用途外，我们不会将 IP（或其哈希）与你的账户、邮箱或测试结果在长期数据库中关联。我们同时记录用户代理（User-Agent）、浏览语言、Referrer。

反作弊数据：为防止刷量，我们记录每个 IP 的当日测试次数、答题速度、连续相同选项等行为指标。这些数据不与你的身份关联，仅用于阈值检测。

Cookie：我们使用一枚 HttpOnly、SameSite=Lax、Secure 的会话 Cookie 来维持登录状态。该 Cookie 包含一个签名 JWT，不用于跨站追踪。我们目前不使用第三方广告或追踪 Cookie。

2. 我们如何使用你的信息

• 提供核心服务：保存测试结果、跨设备读取、生成对比分析、调用 AI 教练。
• 个性化 AI 输出：将你的人格类型作为上下文传递给 AI 模型，使回复更贴合你的画像。
• 反滥用：以 IP 为单位限制每日测试次数（默认每日 5 次）、检测异常作答模式、防止机器人爬取。
• 改进服务：以聚合、匿名化的方式分析使用模式（例如不同测试的完成率），但不针对单个用户做画像分析。
• 法律合规：在法律要求或为保护我们及用户的合法权益时，配合提供必要信息。

3. 第三方服务

我们依赖以下第三方服务来运行双轨人格。这些服务对其各自处理的数据负有独立的隐私义务，请同时查阅它们各自的隐私政策。

• Cloudflare（基础设施）：网站托管、Workers 计算、D1 数据库、KV 缓存、R2 对象存储。Cloudflare 在全球边缘节点处理你的请求。
• Apple Sign In / Google OAuth（登录）：当你选择第三方登录时，我们会从这些服务接收你的邮箱与一个不可逆的用户标识符。
• Resend（邮件）：发送邮箱魔法链接登录邮件时，你的邮箱地址会经由 Resend 投递。
• DeepSeek（AI 模型）：AI 教练与对比张力分析当前由 DeepSeek 模型驱动，该服务托管在中国大陆。当你使用 AI 功能时，你输入的场景文本、人格类型与场景类别会通过 HTTPS 发送至 DeepSeek 的 API。请务必注意：如果你身处中国大陆以外的地区，使用 AI 功能意味着你的输入数据会跨境传输至中国大陆的 AI 服务商。如果你不希望该跨境传输发生，请勿使用 AI 教练功能。

4. 国际数据传输

双轨人格的基础设施部署在 Cloudflare 全球边缘网络上。这意味着你的请求可能被路由到你所在地区以外的节点处理。

如第 3 节所述，AI 教练功能涉及到 DeepSeek（位于中国大陆）的跨境数据传输。这一点对欧盟、英国、美国及其他司法辖区的用户尤其重要。如果你在使用 AI 功能时输入了敏感信息，请知悉该信息将传输至中国境内的服务商，并受当地法律管辖。

我们正在评估在 v1.1 接入 Gemini（海外）与 Claude（海外）作为非中国大陆用户的默认 AI 路由，以减少非必要的跨境传输。

5. 数据保留

• 账户信息：在你删除账户前一直保留。删除请求会立即将账户标记为已删除（你将无法登录），并进入 30 天宽限期；30 天后由每日定时任务（每日 04:00 UTC 运行）执行硬删除——物理移除你的用户行以及全部关联的测试结果、测试 session、登录会话、第三方账号绑定记录。
• 测试结果：已登录用户的结果会一直保留以便跨设备查看；匿名 session 30 天后清理。账户硬删除时关联的测试结果会同步级联删除。
• AI 教练输入：你的输入文本不在我们的服务器端长期持久化；仅在 API 调用过程中临时存在。
• AI 张力分析缓存：以「MBTI 类型 + SBTI 类型 + 语言」为键缓存 30 天，缓存内容为通用文本，不包含任何用户标识。
• 公开分享页缓存：你主动生成的公开分享页（/r/[shortId]）会以匿名形式被缓存约 1 天，加快他人查看的速度。
• 反作弊计数：以 IP 哈希为键的当日计数会在 24 小时后自动过期（KV TTL）。
• Webhook 记录：90 天后清理。

6. 你的权利

无论你身处何处，你都有权：

• 访问你的账户信息与历史测试结果；可在用户中心 /my 查看
• 更正你的显示名称等账户资料
• 删除你的账户与全部关联数据；可在用户中心发起请求
• 导出数据副本：登录后向 `POST /api/account/export` 发起请求，可立即下载一份 JSON 文件，包含你的账户记录、登录身份、全部 MBTI / SBTI 测试结果、测试 session 原始作答、AI 对话元数据。每用户每日限 1 次。如有特殊需要可邮件 contact@duopersonica.com 申请额外副本
• 撤回同意：你可随时停止使用 AI 教练功能即可不再发生新的跨境传输

如需行使任何权利，请发邮件至 contact@duopersonica.com。我们承诺在 30 日内响应（依 GDPR 第 12 条要求）。如请求复杂，我们可在书面通知你后延长最多 60 日。

如果你身处欧盟，你还享有 GDPR 赋予的额外权利（例如向监管机构投诉的权利）。如果你身处中国大陆，你享有《个人信息保护法》（PIPL）赋予的权利。

7. 数据主体访问请求（DSAR）

GDPR、CCPA、PIPL 与多数其他司法辖区都赋予用户向数据控制者直接索取自有数据的权利。双轨人格提供以下两条 DSAR 通道：

• 自助式（推荐）：登录账户后，向 `POST /api/account/export` 发起请求即可立即下载完整 JSON 副本。该接口经过身份认证，未登录请求一律返回 401。每用户每日限 1 次。
• 邮件式：发邮件至 contact@duopersonica.com，主题写「DSAR Request」或「Data Subject Access Request」，注明你希望执行的操作（访问 / 更正 / 删除 / 反对处理 / 数据可携）。我们会在 30 日内回复，必要时（请求复杂）依 GDPR 第 12(3) 条延长最多 60 日并书面告知你。

身份核实：邮件式请求需通过你账户绑定的邮箱地址发送，作为身份核验的最低门槛。我们可能进一步要求你登录账户后从应用内确认请求，以避免冒用。

免费：DSAR 不收费。如同一用户在合理时间内反复提交明显无理由或过度的请求，我们保留收取合理费用或拒绝处理的权利（GDPR 第 12(5) 条）。

投诉权：如果你认为我们对你 DSAR 的回应不充分，你有权向你所在司法辖区的数据保护监管机构投诉（例如欧盟成员国的 DPA、英国的 ICO、中国大陆的网信部门、加州的 CPPA）。

8. 儿童隐私

双轨人格不面向 13 岁以下的儿童（或你所在司法辖区适用的年龄下限，如欧盟为 16 岁）。如果我们发现已收集了未达年龄要求儿童的个人信息，我们会立即删除。如果你认为某未成年用户在未经监护人同意的情况下注册了账户，请联系我们处理。

9. Cookie 与本地存储

• 会话 Cookie：HttpOnly + SameSite=Lax + Secure，包含签名 JWT，仅用于维持登录状态。
• 语言偏好 Cookie：记录你选择的语言（中英），不含个人信息。
• 本地存储（localStorage）：你的当次测试草稿（防止刷新丢失）会保存在浏览器本地，不会上传，除非你完成测试并提交。
• 我们目前不使用 Google Analytics、Facebook Pixel 等第三方追踪 Cookie。

10. 安全

我们使用业界标准的安全实践：HTTPS 强制、HttpOnly Cookie、JWT 签名、API 速率限制、Webhook 签名校验。但请注意：互联网上没有任何系统是绝对安全的，我们无法对你的数据传输与存储提供绝对保证。

11. 政策变更

我们可能不时更新本政策。重大变更会通过站内公告或邮件通知已注册用户，并提前至少 30 天生效。继续使用服务即视为接受更新后的政策。

12. 联系我们

如有任何隐私相关问题，请联系：contact@duopersonica.com

（v1.0 阶段的临时联系邮箱，正式法律联系方式将在后续版本中更新。）