隐私政策

Brightfield Software 尊重用户隐私，并致力于通过周到的设计和负责任的数据处理实践来保护用户隐私。本《隐私政策》说明了您在使用 SpendFox 时，相关信息将如何被处理。

Brightfield Software 作为与 SpendFox 相关个人数据处理的数据控制者，但当第三方服务提供商（如 Enable Banking AS）根据其自身的法律义务作为独立的数据控制者或处理者时除外。

1. 概述

SpendFox 的开发始终高度重视隐私保护和设备端处理。在可行的情况下，各项功能的设计均旨在不收集或传输个人数据。

SpendFox 不设用户账户。无需注册，无需电子邮箱、用户名或密码。这是经过深思熟虑的设计选择——这意味着在银行数据同步过程中通过我们服务器传输的数据，无法被我们与特定个人关联，因为我们从一开始就不知道您的身份。

若应用运行需要数据支持，我们将以审慎且透明的方式处理这些数据。

2. 我们收集的信息

最小化数据收集

SpendFox 旨在以最少的数据收集量运行。大部分功能完全在您的设备上运行，无需我们在服务器上收集或存储个人数据。

某些可选功能——例如连接银行账户以进行自动交易同步——需要根据您的明确要求，通过第三方服务对财务数据进行临时处理。

银行账户连接

当您选择连接银行账户时，我们会通过第三方金融连接服务提供商 Enable Banking AS 安全地验证您的银行信息，并获取账户余额及交易记录。该提供商作为 SpendFox 与您银行之间的中介，在无需向我们分享您的银行凭证的情况下，确保安全访问您的财务数据。

Enable Banking AS 作为受监管的金融服务提供商，将根据适用的金融法规及其隐私政策处理您的数据：

• Enable Banking 隐私政策：enablebanking.com/privacy-policy

此流程仅在您明确同意后才会启动。Brightfield Software 不会在其服务器上存储您的银行凭证、交易金额、账户余额或交易记录。通过该服务商获取的财务数据将安全传输至您的设备。

应用中交易的显示方式

在银行数据同步过程中，系统会进行两项处理以提升交易记录的可读性：

整理交易名称。银行通常提供杂乱的交易描述，例如“BCK*ETOS VATHORST 1234”。为了将这些转换为“Etos”等可读名称，我们使用了 Mistral AI 提供的服务。 仅发送商户名称——绝不包含您的姓名、账号、消费金额或消费时间。每次请求都是一份匿名的商户名称列表，无法追溯到您本人。我们与 Mistral AI 签订了“零数据保留”协议，这意味着他们不会存储或使用我们发送的任何数据——数据在他们端处理后会立即被销毁。

显示商家徽标。为了在每笔交易旁显示徽标，我们会将商店名称与我们托管在欧盟境内 Brightfield Software 基础设施上的商家目录进行比对。仅发送商店名称——绝不会发送任何关于您或您交易的信息。查询结果在所有 SpendFox 用户之间共享，因此如果两个人在同一家商店购物，只需进行一次查询。该目录是通用型的，与任何个人用户均无关联。

您的数据处理地点

Brightfield Software 的自有基础设施完全托管于欧盟境内。这是我们的刻意选择——这意味着无论您身处何地，任何通过我们基础设施传输的数据均在欧盟数据保护法的框架下进行处理和存储。

当您连接银行账户时，您的财务数据将由挪威公司 Enable Banking AS 进行处理。挪威受欧洲经济区（EEA）数据保护框架约束，且此类数据传输不会离开欧洲经济区。

交易名称整理（Mistral AI）是在欧盟境内根据“零数据保留”协议进行的——Mistral不会存储或保留我们发送的任何数据。

3. 设备端处理

SpendFox 的许多功能均设计为完全在您的设备上运行。这意味着：

• 您的数据将尽可能保留在您的设备上。
• 处理在本地进行，而非在外部服务器上。
• 仅在功能所需时才会使用网络连接。

应用验证

由于 SpendFox 不设用户账户（参见第 1 节），我们需要另一种方式来保护服务器免受滥用——同时无需您提供身份信息。为此，我们采用了 Apple 的 App Attest 框架。它使我们能够确认请求来自正版且未被篡改的 SpendFox 副本，而无需知晓使用者的身份。

为此，我们会将您设备的验证密钥存储在我们的服务器上。该密钥仅用于回答一个问题：“这是否是 SpendFox 的真实副本？”它不会透露您的身份、您在应用中的操作，也不会涉及任何交易信息。它与您的姓名、电子邮件或任何个人资料均无关联——因为我们不会收集这些信息。

该密钥最长保留一年，并可应要求删除（参见第 11 节）。

4. 第三方服务与数据披露

Brightfield Software 仅在为您提供明确启用的功能所必需的情况下使用第三方服务。下表总结了各项服务及其接收与不接收的信息。

服务	功能	接收内容	绝不会接收的信息
启用 Banking AS （挪威/欧洲经济区）	连接欧洲银行账户	您银行的身份验证流程	您的银行凭证绝不会与我们共享
Mistral AI （欧盟，零数据保留）	整理交易名称（第 2 节）	仅存储交易名称，去除个人详细信息。Mistral不会存储任何数据。	金额、日期、您的身份信息、账号
Apple App Attest	验证应用完整性（第 3 节）	来自您设备的验证检查	您的身份或交易数据

我们不会出于广告、营销或用户画像的目的出售、出租或共享个人数据。第三方服务仅用于执行上述所述的有限功能。

Apple 与 App Store

SpendFox 通过 Apple App Store 分发。Apple 可能会根据其《隐私政策》，独立收集与您使用 App Store 及设备相关的某些数据，包括诊断和性能信息。此类数据由 Apple 作为独立的数据控制者收集，Brightfield Software 无法访问或控制这些数据。

5. 儿童隐私

SpendFox 不面向 13 岁以下儿童，且并非有意设计用于收集儿童的个人数据。如果您认为有儿童通过本应用提供了个人数据，请通过 hello@spendfoxapp.com 联系我们，我们将采取措施删除此类信息。

6. 数据保留与安全

SpendFox的设计旨在最大限度地减少数据保留。

我们不会在服务器上存储您的交易记录、购物地点名称、消费金额、消费时间、账户余额或银行凭证。

为确保应用正常运行，我们会存储少量运营数据：

• 应用验证密钥 - 用于确认您的应用为正版（参见第 3 节）。最长存储一年。可应要求删除。
• 银行连接引用 - 记录活跃的银行连接状态，用于自动清理已弃用的会话。由于不设用户账户，这些引用不与特定个人关联 - 我们仅知晓连接存在，但无法识别其所属者。不包含任何交易数据。当连接断开或过期时即被删除。
• 商户目录 - 存储用于在应用中展示交易的商户名称、徽标和分类信息。这是一个共享目录，不与任何特定用户相关联。
• 状态计数器 - 诸如“今日处理了 193 笔交易”之类的简单计数，有助于我们确认服务是否正常运行。这些数据不包含任何交易内容和用户信息。将在 24 小时至 7 天内自动删除。

我们采取适当的技术和组织措施来保护与该应用相关的任何数据，包括加密和安全认证机制。

我们不会将财务数据用于行为追踪、广告投放或用户画像分析。

7. 报告问题

若遇到问题，您可在应用内提交故障报告。报告分为两个级别，由您选择使用哪一种：

基础报告

请用您自己的语言描述问题。我们将收到您的描述以及基本设备信息（应用版本、手机型号、操作系统）。其中不包含任何交易数据。

详细支持会话

若我们需要更多信息来排查特定问题，您可以选择开启支持会话。这将使我们的团队能够更详细地查看您下次银行同步时的具体情况。

此操作完全可选，具体流程如下：

• 您选择开启支持会话并描述问题。
• 下次您的银行数据同步时，该次同步的详细信息将暂时记录在我们的服务器上。
• 在任何数据发送给我们之前，您将看到包含内容的完整预览。未经您的确认，任何数据都不会被传输。
• 您可在任何时候取消会话——若取消，系统将不会保留任何数据。

无论我们的团队是否有时间进行审查，记录的数据都将在 72 小时内自动且永久删除。此期限无法延长。每次支持会话均为一次性操作——仅涵盖您报告的特定问题，且仅涉及会话期间发生的同步。

由于 SpendFox 不设用户账户，支持会话中收集的信息仅会被标记为一个随机参考编号。我们的工程团队可以查看同步过程中出现的问题，但无法知晓具体涉及哪位用户。

8. 崩溃报告

若 SpendFox 发生崩溃，下次启动时系统可能会询问您是否愿意发送崩溃报告。

若您选择发送，我们将收到一份技术快照，记录了故障详情——这与 Apple 为所有应用自动收集的信息类型相同。其中包含应用版本、您的手机型号及操作系统版本，但不包含任何交易数据、账户信息或个人详细信息。

崩溃报告将在 30 天后自动删除，且仅用于查找和修复错误。

在发送报告前，系统会始终征得您的同意。如果您选择不发送，任何数据都不会离开您的设备。

9. 安全事件与数据泄露通知

若发生可能危及您权利与自由的个人数据泄露事件，我们将根据《通用数据保护条例》（GDPR）第33条的要求，在知悉后72小时内通知相关监管机构。若泄露事件可能对您的权利与自由造成高风险，我们还将根据GDPR第34条的规定，在不造成不合理延误的情况下通知受影响的用户。

10. 您的选择、同意与控制

绑定银行账户为可选操作，需获得您的明确同意。您可以选择不启用此功能，并继续通过手动输入数据使用 SpendFox。

若您已连接银行账户，可随时在应用内撤销访问权限。一旦断开连接，将不再获取新的财务数据。

由于财务数据在您的设备上本地处理和存储，删除应用将导致无法访问任何先前获取的账户信息。

处理财务数据的法律依据是您根据《通用数据保护条例》（GDPR）第6条第1款(a)项给予的明确同意。您可随时通过在应用内断开银行账户连接来撤回同意。

11. 您的数据保护权利

根据《通用数据保护条例》（GDPR），您有权：

• 请求访问您的个人数据
• 要求更正不准确的数据
• 要求删除您的数据
• 要求限制处理
• 反对处理
• 请求数据可携权

查看我们持有的数据

SpendFox 内置了一项功能，可向您准确展示我们为您设备保存的数据。您可以在应用内的“设置”中找到该功能。由于我们存储的数据极少，因此显示内容简短——它会显示您的应用验证密钥、任何有效的银行连接信息、任何未关闭的客服会话，以及一份我们刻意不存储的数据清单。

您亦可通过联系 hello@spendfoxapp.com 行使您的权利。

请求删除

您可以要求我们删除我们为您设备持有的所有数据，包括您的应用验证密钥和任何有效的银行连接引用。如需操作，请使用应用内的功能或联系 hello@spendfoxapp.com。我们将在此后的 30 天内处理删除请求。

健康计数器（详见第 6 节）是匿名总计数据，未与任何个人相关联，因此无法按用户逐一删除——但这些数据也无法用于识别您的身份。

您亦有权向当地数据保护监管机构提出投诉。欧盟居民可访问 edpb.europa.eu 查阅监管机构列表。

对于美国居民，数据保护权利和救济措施因州而异。在适用州隐私法律的情况下，您可以通过发送邮件至 hello@spendfoxapp.com 联系我们以行使您的权利。

12. 本政策的变更

若应用程序功能或数据处理方式发生变更，本隐私政策可能会进行更新。任何重大变更都将反映在本页面上，且“最后更新”日期将相应修订。

13. 联系方式

如果您对本隐私政策或我们的数据处理方式有任何疑问，请联系：

hello@spendfoxapp.com
Brightfield Software