1. 关于我们

TonesFly 由 Thang Pham（"TonesFly"、"我们"或"我方"）运营。本隐私政策说明了您使用 TonesFly 移动应用（"本应用"）时，我们如何收集、使用和保护您的信息。

就 GDPR 而言，Thang Pham 是数据控制者。联系方式：[email protected]

2. 我们收集的信息

我们收集以下类型的信息：

账户信息——当您通过 Apple Sign-In、Google Sign-In 或电子邮件创建或关联账户时的电子邮件地址、显示名称、认证提供方和账户/用户 ID
音频文件——您导入到本应用中用于听力练习的音频文件（仅在设备上处理和存储）
转录稿和课程元数据——对于完整模式处理，我们会将文本转录稿发送到我们的服务器进行实时处理。转录稿不会存储在我们的服务器上
学习和 Light Up 数据——练习进度、准确率分数、练习完成情况、连续天数、Light Up 总数、您点击的单词、关联的课程 ID 和时间戳
设备关联标识符——存储在钥匙串中的持久 device_id，发送到我们的后端以防止在同一设备上通过创建多个账户来重置免费层 Light Up 限制
偏好设置——您的母语，以便我们能以您的语言生成 Light Up 解释并将请求路由到相应的语言特定模型
设备信息——设备型号、操作系统版本和应用版本，用于诊断
使用分析——用于改进本应用的产品交互数据；仅在您同意的情况下收集可选分析数据
活动归因——当您从营销链接打开应用时，我们可能会收集匿名的 UTM 参数（来源、媒介、活动名称）以衡量营销效果。这些参数不包含个人身份信息，并通过 PostHog 根据您的分析同意进行处理

3. 处理的法律依据 (GDPR)

我们基于以下法律依据处理您的个人数据：

合同履行 (Art. 6(1)(b))——账户数据、音频处理和学习数据是提供您所请求的服务所必需的
合法利益 (Art. 6(1)(f))——设备信息和匿名分析帮助我们维护和改进本应用、防止欺诈并确保安全
同意 (Art. 6(1)(a))——非必要分析（PostHog）仅在您同意的情况下处理，您可以随时通过隐私设置撤回同意

您可以随时撤回对分析的同意，且不影响撤回前处理的合法性。

4. 我们如何使用您的信息

我们使用收集的信息来：

提供、维护和改进 TonesFly
在设备上处理导入的音频，并使用转录稿生成完整模式听力练习
以您的母语生成 Light Up 解释并个性化您的学习分析
跟踪您的学习进度、连续天数和 Light Up 使用情况
公平执行免费层级限制，包括完整模式和 Light Up 限制，并防止在同一设备上通过多个账户进行滥用
处理订阅和应用内购买
发送重要的服务更新和课程就绪通知
回复支持请求
使用来自 UTM 参数的匿名活动归因数据衡量营销效果

5. 音频文件处理

音频完全在您的设备上处理，绝不会离开设备。

当您导入音频文件时：

语音识别使用设备端模型在您的设备上运行
只有文本转录稿会被发送用于增强处理。没有音频数据离开您的设备。
音频文件仅存储在设备上和 iCloud（如已启用）中
转录稿经实时处理后立即返回您的设备。我们的服务器上不存储任何课程内容。
处理后的练习数据存储在您的设备和 iCloud 账户中以供离线练习
我们不会将您的数据用于训练 AI 模型或与第三方共享

自动化处理：语音识别和练习生成是完全自动化的。没有人工审查您的音频或转录稿。您有权要求对任何对您产生重大影响的自动化处理决定进行人工审查。

5a. 人工智能与机器学习

TonesFly 使用人工智能和机器学习来个性化您的学习体验。我们致力于对这些技术的工作原理保持透明。

AI 生成内容：Light Up 词汇解释（翻译、发音指南、难度分析和听力技巧）由 Groq（主要）和 Cloudflare Workers AI（备用）提供的大型语言模型生成。这些解释在应用中被明确标注为 AI 生成。仅向这些提供方发送文本转录稿和您的母语偏好——绝不发送音频、您的姓名或电子邮件。

设备端机器学习：语音识别（OpenAI Whisper）和说话人识别（FluidAudio/pyannote）完全在您的设备上运行。没有任何音频数据传输至任何服务器。

自适应学习：TonesFly 使用设备端机器学习来个性化句子间的停顿时长，并预测哪些词汇可能对您较为困难。这些模型根据您的交互（重播、暂停、跳过）进行适应，并在 10-20 次会话中不断改进。

学习者画像：我们建立词汇画像，追踪您每个词汇的准确率，以将您分配到学习群组（初级、中级、高级），并提供个性化的难度预测模型。此画像分析以用户同意为前提，不适用于低于适用年龄门槛的用户。

您可以在设置 > 隐私 > AI 解释中控制 AI 功能。如需完整的 AI 功能列表，请参阅 TonesFly 中的设置 > AI。

5b. 自动化决策与画像分析（GDPR 第22条）

TonesFly 使用自动化画像分析来个性化您的学习体验。这包括：

词汇画像——追踪您认识的词汇和您感到困难的词汇
群组分配——根据您在多次会话中的准确率自动将您分类为初级、中级或高级
难度预测——在播放前预测困难词汇
自适应节奏——根据认知负荷信号调整停顿时长

这些自动化过程有助于个性化您的学习，但不会产生法律效力。根据 GDPR 第22条，您有权：

要求对您的学习画像进行人工审查
就自动化决策表达您的观点
对显著影响您的自动化决策提出异议
要求删除画像数据

如需行使这些权利，请联系 [email protected]。我们将在 30 天内回复。

对于低于适用年龄门槛（视地区不同为13-18岁）的用户，自动化画像分析和 ML 训练数据收集将完全禁用。

6. 第三方服务

我们使用以下第三方服务来运营和改进本应用：

RevenueCat——订阅和购买管理
PostHog——产品分析（基于同意）
Firebase——认证和崩溃报告
Cloudflare——云托管、实时转录稿处理、Light Up 计数器/历史记录和边缘网络服务（Workers、D1、KV）
Groq——用于转录稿增强和 Light Up 生成的 LLM 提供方（仅限文本转录稿和语言元数据，绝不包含音频）
FluidAudio——设备端说话人分离（Apache 2.0，基于 pyannote.audio）
Resend——事务性电子邮件投递

这些提供方根据具有适当保障措施的数据处理协议处理数据。https://tonesfly.com/dpa

Apple 直接处理所有订阅计费。

7. 数据共享

我们不会出售、出租或交易您的个人数据给第三方。这适用于所有用户，包括加利福尼亚州居民。

我们可能与以下方共享数据：

云托管和基础设施提供方（用于实时转录稿处理和 Light Up 数据存储）
LLM 和增强处理提供方（仅限文本转录稿和母语元数据；不包含音频）
分析服务（产品交互数据，在需要时须经您同意）
支付处理方（Apple 处理所有订阅计费）
法律要求时或为保护我们的合法权利而需向法律机关提供

对于加利福尼亚州居民 (CCPA/CPRA)：我们不出售个人信息。我们不为跨场景行为广告目的共享个人信息。您有权了解我们收集哪些个人信息、请求删除并选择退出任何未来的出售。请联系 [email protected] 行使这些权利。

8. 数据安全

我们采用行业标准的安全措施来保护您的数据，包括传输加密 (TLS/HTTPS)。我们的基础设施托管在 Cloudflare 的全球网络上（Workers、D1、KV）。课程内容经实时处理后不存储在我们的服务器上——所有课程数据保留在您的设备和 iCloud 账户中。音频完全在您的设备上处理，绝不会传输到任何服务器。

如果发生对您的权利和自由构成风险的数据泄露事件，我们将根据 GDPR 第33-34条的要求，在72小时内通知相关监管机构，并在不当延迟的情况下通知受影响的用户。

然而，互联网上的任何传输方式都无法做到100%安全。

9. 数据保留

在您的账户处于活跃状态或需要提供服务期间，我们会保留您的数据。

音频：仅存储在设备上和 iCloud 中。没有音频文件上传到我们的服务器。
文本转录稿：在增强处理过程中经实时处理，不存储在我们的服务器上。所有课程内容保留在您的设备和 iCloud 账户中。
Light Up 点击历史：保留最多12个月，之后自动清除。
Light Up 使用计数器、device_id 关联、母语和账户数据：保留至账户删除。
存储在设备本地的练习数据：在您删除应用、删除单个课程或选择删除本地数据时删除。
分析数据：保留最多12个月，取决于您的同意设置。

您可以随时在"设置">"删除账户"中请求删除账户。请求删除后，您的账户将进入7天宽限期，在此期间您可以通过登录取消。宽限期过后，您的所有数据将从我们的服务器上永久删除。我们会在删除计划确定时发送确认邮件，在删除前24小时发送提醒，并在删除后发送确认。

TonesFly 无法删除存储在您 iCloud 账户中的数据。要管理 iCloud 数据，请访问设备的"设置">"[您的姓名]">"iCloud"。

10. 国际数据传输

我们的基础设施托管在 Cloudflare 的全球边缘网络上，数据通过 Cloudflare D1 和 KV 进行处理。音频完全在您的设备上处理，绝不会离开设备。文本转录稿经实时处理后不存储在服务器上。Light Up 数据和账户偏好设置存储在我们的服务器上以供个性化。包括 Firebase、RevenueCat、PostHog 和 Groq 在内的第三方服务在美国处理数据。

您的信息也可能从越南（数据控制者所在地）出于管理和开发目的被访问。

对于欧盟/欧洲经济区以外的传输，我们依赖：

欧盟委员会批准的标准合同条款 (SCC)
与所有第三方服务提供方的数据处理协议
在适用时，欧盟委员会的充分性决定

您可以通过联系 [email protected] 索取现行保障措施的副本。

日本居民（APPI）：您的个人数据将传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者），用于本政策中所述的目的。我们通过与所有服务提供方的合同义务确保适当的数据保护。

中国大陆居民（PIPL）：您的个人信息，包括文本转录稿、Light Up 数据、母语设置和账户数据，可能会从中华人民共和国境内传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。使用 TonesFly 即表示您同意为第4节所述目的进行此跨境传输。您可以随时通过联系 [email protected] 撤回同意，但这可能影响我们提供服务的能力。我们按照 PIPL 要求对跨境传输进行个人信息保护影响评估。

韩国居民（K-PIPA）：您的个人数据将传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。我们提供关于接收方、目的和传输的个人信息项目的通知。这些传输受到与所有服务提供方的数据处理协议的保护。

巴西居民（LGPD）：您的个人数据将国际传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者），用于本政策中所述的目的。这些传输受到确保 LGPD 要求的适当数据保护水平的合同条款的保护。

越南居民（PDPD）：由于数据控制者位于越南，您的个人数据受个人数据保护第13/2023/NĐ-CP号法令约束。文本转录稿和相关课程元数据可能会传输到美国，由第三方服务（Firebase、RevenueCat、PostHog、Groq）进行处理。我们按照越南法律要求对跨境传输进行数据处理影响评估。

英国居民（UK GDPR）：您的个人数据将传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。对于从英国的传输，我们依赖英国信息专员办公室（ICO）批准的国际数据传输协议（IDTA）或欧盟标准合同条款的英国附录。

印度居民（DPDP 法案 2023）：您的个人数据，包括文本转录稿、Light Up 数据和账户信息，可能会从印度传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。我们通过与所有服务提供方的合同义务确保适当的数据保护。注意：根据 DPDP 法案，儿童定义为18岁以下的个人，在处理其数据之前需要可验证的家长同意。

印度尼西亚居民（PDP 法 27/2022）：您的个人数据可能从印度尼西亚传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者），用于本政策中所述的目的。这些传输受到确保同等数据保护水平的数据处理协议的保护。

泰国居民（PDPA 2019）：您的个人数据可能从泰国传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。我们确保按照《个人数据保护法》的要求采取适当的保障措施，包括与所有服务提供方的合同义务。

土耳其居民（KVKK）：您的个人数据可能从土耳其传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。我们依据《个人数据保护法》（第6698号法律），以您的明确同意或合同必要性作为这些跨境传输的法律依据。

菲律宾居民（数据隐私法 2012）：您的个人数据可能从菲律宾传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。这些传输受到确保符合2012年《数据隐私法》和国家隐私委员会（NPC）法规的合同保障措施的保护。

沙特阿拉伯居民（PDPL 2023）：您的个人数据可能从沙特阿拉伯王国传输到美国（Firebase、RevenueCat、PostHog、Groq）和越南（数据控制者）。我们确保按照《个人数据保护法》的要求为跨境传输提供适当的数据保护水平。

11. 儿童隐私

TonesFly 使用年龄验证流程来帮助遵守儿童隐私法律，包括 COPPA（美国）和 GDPR（欧盟/欧洲经济区）。如果您尚未完成该流程，应用会在启用可选数据收集之前询问您的生日。您的确切生日在设备上本地处理以确定正确的年龄阈值；我们仅在设备上本地存储年龄范围（13岁以下、13-15岁、16-17岁或18岁以上），不存储在我们的服务器上。

如果您表明自己低于适用的年龄阈值（美国和大多数国家为13岁，欧盟/欧洲经济区根据国家为13-16岁，中国和韩国为14岁，印度为18岁），可选数据收集——包括分析、崩溃报告和诊断——将自动禁用，且无法在设置中重新启用。

如果您认为儿童的数据被错误收集，请联系 [email protected]，我们会及时删除。

12. 您的权利

根据您所在的司法管辖区，您享有以下权利：

所有用户：

访问我们持有的您的个人数据
请求更正不准确的数据
请求删除您的数据
以可移植格式导出您的数据
选择退出分析数据收集

欧盟/欧洲经济区居民 (GDPR)：

限制数据处理的权利
基于合法利益反对处理的权利
随时撤回同意的权利
不受仅基于自动化决策约束的权利
向当地数据保护机构（监管机构）提出投诉的权利

加利福尼亚州居民 (CCPA/CPRA)：

了解收集了哪些个人信息的权利
删除个人信息的权利
选择退出个人信息出售的权利（我们不出售您的数据）
行使权利不受歧视的权利

日本居民（APPI）：

请求披露保留的个人数据的权利
请求更正、补充或删除的权利
请求停止使用或删除的权利
请求停止向第三方提供的权利

中国大陆居民 (PIPL)：

了解和决定个人信息处理的权利
访问和复制个人信息的权利
更正或补充不准确或不完整信息的权利
请求删除个人信息的权利
随时撤回同意的权利
请求解释处理规则的权利
数据可移植性权利

韩国居民 (K-PIPA)：

访问个人信息的权利
请求更正或删除的权利
请求暂停处理的权利
随时撤回同意的权利

巴西居民 (LGPD)：

确认数据处理的权利
访问个人数据的权利
更正不完整、不准确或过期数据的权利
匿名化、封锁或删除不必要数据的权利
数据可移植性权利
了解数据共享实体信息的权利
随时撤回同意的权利

越南居民 (PDPD)：

了解个人数据处理活动的权利
同意和撤回同意的权利
访问个人数据的权利
请求更正个人数据的权利
请求删除个人数据的权利
限制数据处理的权利
数据可移植性权利

英国居民 (UK GDPR)：

访问个人数据的权利
更正不准确数据的权利
删除数据的权利
限制处理的权利
数据可移植性权利
反对处理的权利
随时撤回同意的权利
不受仅基于自动化决策约束的权利
向信息专员办公室 (ICO) 提出投诉的权利

印度居民（DPDP 法案 2023）：

访问个人数据相关信息的权利
更正和删除个人数据的权利
申诉救济的权利
指定代理人代为行使权利的权利

印度尼西亚居民（PDP 法 27/2022）：

获知数据处理信息的权利
访问个人数据的权利
更正不准确数据的权利
请求删除个人数据的权利
随时撤回同意的权利
数据可移植性权利

泰国居民（PDPA 2019）：

访问个人数据的权利
更正不准确数据的权利
请求删除或匿名化的权利
限制处理的权利
数据可移植性权利
反对处理的权利
随时撤回同意的权利
向个人数据保护委员会 (PDPC) 提出投诉的权利

土耳其居民（KVKK）：

了解个人数据是否被处理的权利
请求有关处理的信息的权利
了解处理目的的权利
更正不完整或不准确数据的权利
请求删除或销毁个人数据的权利
反对处理的权利
数据可移植性权利
向个人数据保护机构（KVKK 委员会）提出投诉的权利

菲律宾居民（数据隐私法 2012）：

获知数据处理信息的权利
访问个人数据的权利
更正不准确数据的权利
请求删除或封锁数据的权利
反对处理的权利
数据可移植性权利
向国家隐私委员会 (NPC) 提出投诉的权利

沙特阿拉伯居民（PDPL 2023）：

获知数据处理信息的权利
访问个人数据的权利
更正不准确数据的权利
请求删除个人数据的权利
限制处理的权利
数据可移植性权利

如需行使上述任何权利，请联系 [email protected]，使用应用中的隐私设置，或直接在"设置">"删除账户"中删除您的账户。我们将在以下期限内回复：GDPR 请求30天内，CCPA 请求45天内，APPI 请求两周内，PIPL 请求15个工作日内，K-PIPA 请求10天内，LGPD 和 PDPD 请求15天内，UK GDPR 请求30天内，DPDP 请求30天内，印度尼西亚 PDP 请求14天内，PDPA 请求30天内，KVKK 请求30天内，菲律宾 DPA 请求15天内，PDPL 请求30天内（如法律要求，可能更短）。

13. 政策变更

我们可能会不时更新本隐私政策。我们将通过本应用或电子邮件通知您重大变更。变更后继续使用本应用即表示接受更新后的政策。

14. 联系我们

如果您对本隐私政策有疑问或希望行使您的数据权利，请联系我们：

Thang Pham (TonesFly)
电子邮件：[email protected]

对于欧盟/欧洲经济区用户：如果您对我们的回复不满意，您有权向当地数据保护监管机构提出投诉。