我们收集什么、为什么、怎么删除

隐私政策

最近更新 2026 年 5 月 14 日 English version

本政策说明 Pond 收集了哪些数据、为什么、存放在哪里，以及你可以做什么。我们尽量写得简短、直白、诚实。Pond 是一款小巧的社交应用，让你和自己挑选的朋友分享短视频和照片「水滴」。我们只收集让 App 正常运转所必需的最少数据。

1. 我们收集哪些数据

账号数据

• 邮箱与密码，或使用 Apple 账号登录。用于登录。我们不存储你的密码 —— 由 Firebase Authentication（谷歌）使用加盐哈希托管。如果你选择「使用 Apple 账号登录」，Apple 可能会返回一个匿名转发邮箱（private relay），我们会把它当作普通邮箱保存，不会尝试还原成你的真实邮箱。
• 昵称、用户名、可选的个人简介、可选的位置标签、可选的头像。对与你共享圈子的 Pond 用户可见。
• 用户 ID（UID）。由 Firebase Authentication 颁发的不透明标识符，用于把你的数据关联起来。

你创建的内容

• 水滴（Drops）。你用应用内相机录制的短视频（含音频）和照片，或者通过系统图库选择器从设备相册选取的图片。录制视频会同时使用相机和麦克风权限，二者都通过系统首次使用时的弹窗授权，并可在系统设置中随时关闭。每个水滴可附带可选的文字说明，以及一个「静音」标记（播放时隐藏音轨）。文件存放在 Firebase Storage 的 clips/<你的 UID>/ 目录下。
• 头像。你上传的头像图片，存放在 Firebase Storage 的你的 UID 路径下。
• 圈子（pool）成员关系与元数据。圈子名称、成员、邀请码，以及共享到圈子里的水滴。
• 消息与表情回应。文字回复、引用的水滴上下文，以及对水滴和消息的表情回应。
• Vlog 视频。当你从「我的水塘」导出某一天的内容时，服务端会把那天的水滴拼接成一段 mp4，保存到 Firebase Storage 的 vlog-exports/<你的 UID>/ 路径下，方便你下载或分享。该路径下的内容只有你自己可以读取。
• 举报与屏蔽记录。当你对水滴、消息或圈子成员点击「举报」时，我们会保存你提交的举报记录（被举报的对象、所在圈子、原因）。当你「屏蔽」某位用户时，我们会把对方的 UID 保存在 users/<你的 UID>/blockedUsers/ 下，以便 App 把对方的内容从你眼前隐藏。你可以随时在「我的 → 已屏蔽的用户」中查看与解除屏蔽。

设备与通知数据

• 推送 Token。当你授权通知后，Pond 会保存当前设备的 Expo / FCM / APNs 推送 Token，用于发送「新水滴提醒」。Token 仅与你的 UID 和该设备绑定，不会与你的姓名或邮箱直接关联。你可以随时在「我的」页面关闭通知，我们会把 Token 标记为停用并不再发送；连续失败的 Token 会被自动移除。
• App 版本与平台（iOS / Android）。随部分请求一起上报，便于我们支持旧版本和发布修复。
• 本地缓存的媒体。你看过的水滴会在本地缓存（最多 200 MB，LRU 淘汰），避免重复下载。这部分缓存只在你的设备上，可以随时在「我的」→「存储」里清除。
• 保存到系统相册。如果你选择保存水滴或 vlog 导出文件，Pond 会把一份副本写入你设备的系统相册。这份副本只存在你本地设备上；Pond 不会反向读取你的相册内容。

崩溃与诊断数据（Sentry）

我们使用 Sentry 收集报错与崩溃信息以便修复 Bug。Sentry SDK 在 App 内初始化，可能会上报：

• 错误对象与堆栈信息。
• 非个人化的上下文标签，例如 flow、reason、errorCode、 mediaKind、captionLength、 destinationLogCount、platform、App 版本号等。
• 崩溃前的「面包屑」（breadcrumbs），即报错前应用内的近期事件（例如「相机就绪」、「重试拍摄」）。
• Sentry SDK 自带的粗粒度设备信息（操作系统版本、设备机型类型、语言）。

我们刻意不把可识别个人的标识符（邮箱、用户名、UID、个人资料字段、与个人绑定的 ID、Token）随事件一同上报至 Sentry。与个人绑定的 ID 仅在 __DEV__ 模式下打印到本机开发者控制台，不会离开你的设备。Sentry 事件保存在 Sentry 平台上的我们的项目下，按 Sentry 默认策略保留（通常约 90 天）。

分析（Analytics）

Pond 目前未集成任何产品分析（Analytics）SDK，也不会记录你的行为分析事件。如果未来引入产品分析，我们会先更新本政策并在 App 内告知，再启用。

我们不收集

• 你的通讯录、日历或定位（个人资料里的「位置标签」只是你自己输入的一段文本）。
• 广告标识符（IDFA / GAID）。Pond 不展示广告，也不集成任何第三方广告 SDK。
• 跨 App 或跨网站的追踪。

2. 数据存放在哪里

Pond 主要运行在 Firebase（谷歌）以及少量第三方服务上：

• Firebase Authentication —— 邮箱/密码登录。
• Cloud Firestore —— 个人资料、圈子、消息、表情回应、推送 Token 记录、限频计数、Remote Config，以及你的屏蔽用户列表；通过 Firestore 安全规则限定只有相应用户可读写。
• Firebase Storage —— 水滴的视频和照片、头像，以及服务端合成的「我的水塘」vlog 导出文件。通过 Storage 安全规则控制访问；下载链接使用 Firebase Storage 的下载令牌，App 在客户端缓存最多 7 天，令牌更换时会自动重新申请。
• Firebase Cloud Messaging（FCM）与 Apple Push Notification service（APNs），通过 Expo Push 渠道发送推送通知。
• Firebase Cloud Functions —— 服务端校验（每日水滴配额、内容定稿、反馈接收、举报接收等）。
• Sentry —— 崩溃与错误上报，详见上文。
• GitHub —— 你通过 App 内 和我们聊聊 提交的反馈，会进入一个私有 GitHub 仓库，仅 Pond 团队可读。我们会在 Issue 正文末尾附上你的 Firebase 用户 ID（UID，一个不透明的标识符，不是邮箱或用户名），方便我们回复到对的账号；我们不会把你的邮箱或用户名带到 Issue 上。通过 App 内对水滴、消息或圈子成员的「举报」提交的内容也会写入同一个私有仓库，并额外包含举报人 UID、被举报用户 UID、所在圈子 ID，以及你选择的举报原因。

Firebase 数据可能在任意 Google Cloud 区域处理；Sentry 事件在 Sentry 平台上处理；推送 Token 经由 Expo、FCM 与 APNs 中转。

3. 为什么收集这些数据

• 让 App 正常运转。登录、发水滴、加圈子、发消息、看时间线 —— 都需要上述数据。
• 给你发送你授权的通知。
• 排查崩溃和修复 Bug（Sentry）。
• 执行安全、限频与内容审核 —— 例如反馈次数限制、每日水滴配额、文本过滤、举报处理等，以保证服务对所有人可用。
• 回复你 的反馈与问题。

我们不会出售你的数据；不会将你的数据用于广告投放，也不会用来训练任何第三方 AI 模型。

4. 谁能看到什么

• 你的个人资料字段（昵称、用户名、个人简介、位置标签、头像）对与你共享圈子的 Pond 用户可见。
• 你的水滴、说明与聊天消息对你发布到的圈子的成员可见。
• 你的「我的水塘」时间线（个人记录的所有水滴的索引）只有你自己能看到。
• 你的屏蔽用户列表只有你自己能看到。
• 邮箱与推送 Token 不会展示给其他用户。

5. 数据保留多久

• 个人资料、圈子、水滴、消息、表情等数据 —— 在你的账号有效期内保留。
• 推送 Token —— 在 Token 注册期间保留；停用或失效的 Token 会被移除。
• Sentry 事件 —— 按 Sentry 项目默认策略保留（通常约 90 天）。
• 服务端日志 —— 短期保留（通常 30 天），仅用于运营与对抗滥用。
• 本地缓存媒体 —— 设备本地最多 200 MB，按 LRU 自动淘汰。
• 举报记录 —— 保留至我们完成审核与（如有必要的）处置；处置完成后，相关 Issue 可能仍留在我们的私有 Issue 库内以备审计与模式分析。

6. 删除账号与数据

你可以随时删除自己的账号：

1. 打开 App，进入「我的」页面。
2. 点击页面底部的「注销账号」。
3. 确认后，App 会发起删除流程。

当你删除账号后，我们会：

• 从 Firebase Authentication 中删除你的 UID 记录，让任何人都无法再以你的身份登录。
• 删除你的个人资料文档、「我的水塘」索引、所有已注册的推送 Token、你的屏蔽用户列表，以及你加入的圈子里的成员关系。
• 删除你创建的所有圈子 —— 包括其他成员发到这些圈子里的水滴和消息。这些圈子的成员会同时失去访问权限，所以如果某个圈子对他们很重要，最好在注销前先告知或转交。
• 删除 Firebase Storage 中你的 UID 下的水滴、头像，以及服务端合成的 vlog 导出文件。
• 清理与你的 UID 相关的限频计数文档（反馈、互动通知、vlog 导出、注销请求）。

在 App 内确认注销后，上述步骤会立即执行，没有等待期。后文提到的「30 天」窗口仅适用于无法通过 App 内流程注销时的兜底邮件路径，以及备份磁带的轮转周期。

有些内容由于与他人的体验交织在一起，无法自动消除：你发到圈子里的消息与表情回应仍可能对该圈子可见，但你的名字会被替换为「已离开」；其他成员设备上对你水滴的本地缓存会保留到他们的本地缓存按 LRU 自然淘汰为止（上限 200 MB）。运维日志与 Sentry 事件按上文的时限自然过期。

备份系统中可能还会保留最多 30 天的副本，之后会被覆盖。

如果你已经无法进入 App 内的注销流程（例如设备丢失），可以在另一台设备上通过 App 内的 和我们聊聊 功能申请删除。我们会通过你的注册邮箱核实身份，并在 30 天内完成删除。

7. 关于儿童

Pond 不面向 13 周岁以下儿童。我们不会有意收集 13 周岁以下儿童的个人信息。如果你认为有不满 13 岁的儿童创建了账号，请联系我们，我们会删除该账号。

某些地区设有更高的「数字同意年龄」—— 例如欧盟部分成员国要求 16 周岁以下需获父母同意。在这些地区，你必须达到当地的最低年龄，或在父母/法定监护人同意下，才能使用 Pond。

8. 安全

所有网络流量均使用 HTTPS。Firestore 与 Storage 安全规则限制读写权限到对应用户，并在大多数集合上区分 get 与 list。密码由 Firebase Authentication 管理，存为加盐哈希。我们仅在 SDK 边界做日志记录，可识别个人的标识符（邮箱、用户名、UID）不会带入远程崩溃报告。没有系统是完美安全的，如发生影响你的安全事件，我们会按适用法律的要求通知你。

9. 你的权利

视你所在地区的法律（例如欧盟/英国 GDPR、美国加州 CCPA 等），你可能享有访问、更正、携带、删除个人数据，以及反对/限制特定处理的权利。如需行使，请通过 App 内反馈功能联系我们；我们会通过你的注册邮箱核实身份后再处理请求。

加州居民：Pond 不会按 CCPA/CPRA 定义对你的个人信息进行「出售」或「共享」，在过去 12 个月内也未做过此类处理。你享有知悉、删除、更正与限制使用的权利；上一段说明了如何行使。

10. 跨境传输

如果你在 Firebase、Sentry、Expo、FCM、APNs 服务覆盖的区域之外使用 Pond，你的数据会跨境传输到这些区域。我们依赖相关服务商的标准合同条款（SCC）或同等措施作为合规保障。

11. 政策变更

我们可能不定期更新本政策，最新版本以页面顶部的「最近更新」日期为准。涉及实质性变更时，会先在 App 内或通过邮件告知。

12. 联系我们

如有隐私相关问题、数据请求或注销诉求，请打开「我的」页面并点击 和我们聊聊，或发送邮件至 pond-eng@googlegroups.com。