MiYu Note 隐私政策(最近更新日期:2026年6月8日)
重要说明:关于端到端加密
MiYu Note(以下简称"我们"或"本服务")深知隐私对您的重要性。我们采用端到端加密(E2EE)与零知识(Zero-Knowledge)架构。本政策中提及"我们处理""我们存储"的任何数据,均严格区分经您本地加密的密文与未加密的元数据。除非本政策另有明确说明,我们在技术上无法读取您笔记的正文或附件内容,任何司法/行政机关亦无法从我们处获得上述内容的明文。
一、定义与适用范围
1.1 定义
- “个人信息”:指以电子或其他方式记录的、与已识别或可识别自然人有关的各种信息(参照 GDPR 第 4 条)。
- “处理”:指收集、存储、使用、传输、披露、删除等任何对个人信息进行的操作。
- “数据控制者”:决定个人信息处理目的与方式的主体。本服务的运营实体是您个人信息的数据控制者。
- “E2EE 密文”:指您笔记正文与附件在本地经空间密钥加密后上传至服务端的数据。
- “空间密钥”:指您本地生成的、用于加密您笔记正文的密码学密钥。
- “空间密钥密码”:指您本人设置、用于在本地解密云端空间密钥副本的口令。
1.2 数据控制者与欧盟代表
- 运营主体:北京自然符号信息技术有限公司
- 注册地址:北京市昌平区东小口镇天通中苑二区21号楼1层103-2617
- 统一社会信用代码:91110114MAKFN7JW4Q
- 数据保护官 / 隐私保护负责人:李超阳,privacy@miyunote.cn
- 欧盟代表(GDPR 第 27 条):[待补充:EU Representative 名称、地址、邮箱]
1.3 适用范围与地域
- 本政策适用于您通过 MiYu Note 官方网站、移动应用、桌面客户端或其他官方渠道使用本服务时所涉及的个人信息处理活动。
- 本服务主要面向欧盟用户开放。我们的运营主体、数据中心、合规承诺均位于欧盟。如果您从欧盟以外的地区访问,您仍受本政策一般条款约束,且您所在辖区的强制性法律仍优先适用。
1.4 语言版本
- 本政策以英语版本为正本(Authoritative Version)。
- 我们当前提供以下语言版本:中文(简体)、英语、德语、法语。
- 各语言版本之间如有不一致,以英语版本为准。
二、我们收集哪些信息、为什么收集、合法基础
我们遵循数据最小化与目的限制原则,仅在为您提供服务所必需的范围内处理信息。
| 数据类别 | 具体内容 | 用途 | GDPR 合法基础(Art 6) | 保留期限 |
|---|---|---|---|---|
| 账户识别信息 | 电子邮箱 | 身份验证、登录、找回账号、安全通知、订单与发票 | 合同履行 (b) | 账户存续期间 + 注销后 30 天 |
| 非加密业务元数据 | 空间名称、空间背景图片、笔记标题、笔记图标、笔记题头图、用户昵称 | 跨端同步列表展示、客户端功能渲染 | 合同履行 (b) | 账户存续期间;删除/注销后 30 天 |
| E2EE 密文 | 笔记正文、附件的密文数据块 | 多端加密同步 | 合同履行 (b) | 账户存续期间;用户主动删除后立即从生产环境擦除 |
| 加密密钥副本 | 您的空间密钥以您密码派生的密文形态存储 | 实现您本人多设备登录 | 合同履行 (b) | 与账户存续期间一致 |
| 设备与崩溃日志 | 设备型号、操作系统版本、应用版本、崩溃堆栈 | 稳定性排查、错误修复 | 合法利益 (f) | 去标识化后保留不超过 12 个月 |
| 瞬时网络元数据 | 您发起请求时由服务器接收的 IP 地址 | 国家/地区合规判断(出口管制、未成年人保护、市场准入) | 合法利益 (f) | 仅在内存中瞬时处理;不写入永久存储 |
| 订阅与支付信息 | 订阅类型、订单号、金额、币种、支付渠道标识 | 计费、发票、退款、税务 | 法律义务 © + 合同履行 (b) | 交易完成后 7 年(会计与税务合规) |
| 客服通讯记录 | 您主动发起的咨询、申诉内容 | 售后支持、争议处理 | 合同履行 (b) + 合法利益 (f) | 处理完毕后 24 个月 |
2.1 合法利益平衡测试
针对基于"合法利益 (f)"的处理活动,我们已进行必要性测试:
- 设备与崩溃日志:用户对稳定服务的合理预期 > 收集极少量设备信息的隐私影响,且数据已去标识化。
- IP 瞬时处理:合规准入的必要性 > IP 短暂处理的隐私影响,且数据不在永久存储中保留。
- 客服通讯保留 24 个月:争议可追溯的合理期间 > 短期保留的影响。
您可随时通过本政策第十三节的联系方式,就我们的合法利益评估提出异议。
三、端到端加密与零知识架构(核心说明)
3.1 加密机制
您的笔记正文与附件在离开您本地设备之前,已使用您的空间密钥完成加密。我们无法获取您的空间密钥明文,也无法在服务端解密您上传的 E2EE 密文。
3.2 空间密钥的存储与解密
为实现您的多设备同步体验,您的空间密钥会以由您本人密码派生的密文形态上传至云端。该密文仅能通过您本人设置的空间密钥密码在本地解密。我们既不收集、也不在服务端存储您的空间密钥密码明文,无法绕过该密码在云端访问您的空间密钥。
3.3 零知识边界
- 可读:空间名称、空间背景图片、笔记标题、笔记图标、笔记题头图、用户昵称、邮箱账号。
- 不可读:笔记正文、附件内容。
- 包括我们自身在内的任何第三方,在不具备您的空间密钥密码的前提下,均无法还原您的空间密钥,亦无法读取您的笔记正文与附件明文。
3.4 密钥丢失风险自担
鉴于零知识架构,若您遗忘空间密钥密码且未在本地备份空间密钥,我们在技术上绝无可能为您恢复、重置或找回数据。由此产生的永久性数据丢失由您自行承担。
3.5 司法机关的请求
当司法机关或政府部门依法向我们提出披露请求时:
- 我们能够披露您主动登记的账户元数据(邮箱、注册时间、订阅状态、登录 IP 段等)。
- 对于您的笔记正文与附件,由于我们不掌握您的空间密钥密码,我们无法、亦不可能向任何机关提供任何明文形式,亦无法协助解密。
四、 关于 Cookie 与追踪技术说明
4.1 我们的数据本地存储原则
我们的服务秉承“隐私至上”的设计理念。
- 不使用 Cookie 技术:本站点/应用全站不主动在您的浏览器中植入任何传统的 Cookie 文件。
- 不使用持久化本地追踪:我们不利用 LocalStorage、SessionStorage 或浏览器指纹等技术在您的终端设备上持久化存储任何用于行为分析、跨站追踪或用户画像的个人数据。
4.2 核心功能的无 Cookie 实现方案
为了在完全不依赖本地存储的前提下保障您的使用体验,我们对相关核心功能进行了技术优化:
- 语言与区域偏好:本站点完全依赖 URL 路径(例如
/en_US)或您的浏览器底层发送的Accept-Language请求头来实时呈现对应语言,我们不会在您的本地写入任何偏好记忆文件。
4.3 我们的隐私承诺
- 我们不使用任何形式的广告追踪或营销类组件;
- 我们不与任何第三方广告平台、数据聚合商共享您的任何浏览或设备数据;
- 我们不对您的任何笔记、文档或编辑内容进行读取、分析、画像或广告推荐。
五、数据的共享与披露
5.1 基本原则
- 我们不会出售您的个人信息;
- 我们不会将您的个人信息用于跨语境行为广告;
- 我们不会因您行使隐私权利而对您进行歧视性对待。
5.2 我们可能共享的对象
仅在以下情况共享,且严格按最小必要原则:
-
取得您的明确同意后。
-
服务所必需的第三方:
类型 用途 是否接触 E2EE 密文 云基础设施提供商 提供算力、存储、CDN 是(密文不可读) 支付与金融基础设施 处理订阅与退款 否 电子邮件发送服务 发送订单确认、退款通知、安全警报 否 客服与工单系统 处理您的咨询 否 -
法律法规要求或公共利益:包括响应司法机关的合法、有效、具有法律约束力的命令或请求。
六、国际数据传输
6.1 当前数据中心区域
本服务仅在以下数据中心区域部署与运营:
| 区域标识 | 物理位置 | 云服务提供商 |
|---|---|---|
| 欧盟(法兰克福) | 德国法兰克福 | 腾讯云法兰克福节点 |
服务商说明:腾讯云法兰克福节点位于德国境内,由腾讯云欧洲有限公司(Tencent Cloud Europe B.V. 或其当地关联实体)运营;该节点为我们计算、存储与 CDN 的唯一基础设施提供方。
6.2 传输机制
由于本服务仅在欧盟部署,欧盟内传输不构成第三国传输。仅在我们未来开展以下活动时才会触发跨境传输,届时我们将:
- 提前 30 个自然日 通过应用内公告 + 邮件通知所有用户;
- 取得您的单独同意;
- 采用欧盟标准合同条款(SCCs, 2021/914)+ 补充措施;
- 必要时进行接收国法律环境评估并采取加密、假名化等技术补充措施。
6.3 您的选择与权利
- 您的数据默认存储于欧盟,不构成第三国传输;
- 您所在司法辖区的法律仍适用于您的部分权利(撤回权、消费者保护等),与数据中心位置无关;
- 您可随时通过本政策第十三节的联系方式,行使 GDPR 第三章规定的权利。
七、数据保留与销毁
| 数据类型 | 保留期限 | 销毁方式 |
|---|---|---|
| 账户元数据 | 账户存续期间 + 注销后 30 天 | 生产环境逻辑删除 + 30 天后从备份中覆盖清除 |
| E2EE 密文 | 账户存续期间 | 用户主动删除或注销时立即从生产环境擦除 |
| 加密密钥副本 | 随账户注销同步删除 | 与上同 |
| 设备与崩溃日志 | 去标识化后 12 个月 | 自动过期删除 |
| 交易与发票记录 | 7 年(会计与税务) | 期满后销毁 |
| 客服通讯 | 24 个月 | 期满后销毁 |
7.1 备份保留
我们从生产环境删除您的数据后,备份中的副本将在不超过 90 天内随备份轮换被覆盖,且备份中数据不可用于日常访问或被恢复以供使用。
八、数据安全
我们采取业界通行的技术与组织措施保护您的个人信息,包括但不限于:
- 传输层加密(TLS 1.2+)
- 端到端加密(笔记内容)
- 访问控制与最小权限原则
- 安全审计与渗透测试
- 员工保密义务与权限管理
- 事件响应机制与定期演练
8.1 数据安全事件通知
没有任何系统是 100% 安全的。我们承诺:
- 在发生可能影响您权益的数据安全事件时,将依据 GDPR 第 34 条在 72 小时内通知监管机构;
- 当事件高风险影响您时,将在 72 小时内通过应用内通知或邮件告知您;
- 通知内容包括:事件性质、可能影响、已采取的措施、您的建议行动。
九、您的权利
9.1 GDPR 第三章规定的权利
| 权利 | 法律依据 | 说明 |
|---|---|---|
| 知情权 | GDPR Art 13-14 | 通过本政策实现 |
| 访问权 | GDPR Art 15 | 获取我们持有的您的个人信息副本 |
| 更正权 | GDPR Art 16 | 更正不准确或不完整的信息 |
| 删除权(被遗忘权) | GDPR Art 17 | 在符合法定条件下删除您的信息 |
| 限制处理权 | GDPR Art 18 | 在特定情形下限制我们处理您的信息 |
| 数据可携权 | GDPR Art 20 | 以结构化、通用、机器可读格式(如 JSON / Markdown)获取您主动提供的数据 |
| 拒绝权 | GDPR Art 21 | 拒绝基于"合法利益"的某些处理 |
| 不受自动化决策约束权 | GDPR Art 22 | 我们不对您进行任何产生法律效果或类似重大影响的自动化决策 |
| 撤回同意权 | GDPR Art 7(3) | 撤回您此前给予的任何同意(不影响撤回前基于同意的处理) |
| 向监管机构投诉的权利 | GDPR Art 77 | 向您所在地的数据保护机构(DPA)投诉 |
9.2 关于 E2EE 数据的特殊说明
当您行使访问、删除、数据可携权时:
- 可访问的元数据:邮箱、昵称、空间列表、笔记标题等——可通过应用内导出。
- E2EE 密文本身:因我们无明文内容,无法提供"可读"副本;您可在客户端自行导出明文。如您要求我们删除,我们会在生产环境擦除密文,使数据事实上不可被还原。
- 数据可携:我们提供 JSON / Markdown / 加密包格式导出。
9.3 行使权利的方式
- 邮件:privacy@miyunote.cn
- 邮件正文需包含:注册邮箱、申请的具体权利、必要的身份验证信息
我们可能需要您提供额外信息以验证身份,防止冒用。我们将在收到您的请求后 1 个月内(必要时可延长 2 个月,并提前通知您)回复。
9.4 向 DPA 投诉
如您认为我们对您个人信息的处理不符合 GDPR,您有权向您所在地的数据保护机构(DPA)投诉。欧盟主要 DPA 列表:
- 法国 CNIL:https://www.cnil.fr
- 德国 各州 DPO(如柏林 BLI、BayLDA):https://www.datenschutz-berlin.de
- 西班牙 AEPD:https://www.aepd.es
- 意大利 Garante:https://www.garanteprivacy.it
- 奥地利 DSB:https://www.dsb.gv.at
- 欧盟各国 DPA 完整列表:https://edpb.europa.eu/about-edpb/about-edpb/members_en
十、自动化决策
我们不对您进行任何:
- 自动决定是否给予服务(除基于地理位置的合规准入判断外);
- 自动分析您的笔记内容;
- 自动画像与个性化推荐;
- 任何产生法律效果或类似重大影响的自动化处理。
我们可能基于设备、地区、订阅状态进行粗粒度的服务可用性判断(如在某些地区因法律原因暂停服务),但不针对您个人做出产生法律效果或重大影响的决策。
十一、未成年人保护
11.1 最低年龄
- 默认情况下,本服务面向 16 周岁及以上用户开放。
- 在将最低年龄设定为 13 周岁或 14 周岁的欧盟成员国(如德国、法国、意大利、西班牙),13/14-15 周岁用户在监护人明示同意下方可使用。
11.2 监护人同意
- 未满最低年龄的用户申请使用本服务,需由其监护人通过 [机制] 提供可验证的同意。
- 我们将在知情后主动删除未经监护人同意收集的未成年人信息。
十二、政策更新
| 变更类型 | 通知方式 | 生效方式 |
|---|---|---|
| 重大变更(影响您核心权利) | 应用内公告 + 邮件 + 重新征求同意 | 自您显式确认之日起生效;您可拒绝并按原政策终止服务 |
| 一般变更(措辞调整、联系方式更新) | 应用内公告 | 公告载明生效日起生效 |
| 法律变更驱动 | 应用内公告 + 邮件 | 公告载明生效日起生效;如变更对您不利,您可在生效日前终止服务 |
历史版本保留于 https://miyunote.cn/privacy。
十三、联系我们
如您对本政策有任何疑问、意见或权利请求,请通过以下方式联系我们:
- 应用内反馈:帮助中心 → 反馈问题或建议
- 隐私专用邮箱:privacy@miyunote.cn
- 欧盟代表邮箱:见 1.2 节
- 客服邮箱:contact-us@miyunote.cn
- 安全邮箱:security@miyunote.cn
我们承诺在收到您请求后的 30 个自然日内予以回复。
附录 A:联系方式
| 用途 | 邮箱 / 渠道 |
|---|---|
| 客服邮箱 | contact-us@miyunote.cn |
| 隐私专用邮箱 | privacy@miyunote.cn |
| 安全邮箱 | security@miyunote.cn |
| 应用内反馈 | 帮助中心 → 反馈问题或建议 |
A.1 回复时效
- 客服咨询:15 个工作日内
- 隐私权利请求:1 个月内(GDPR Art 12(3) 法定;复杂情况可延长至 3 个月)
- 安全漏洞报告:24 小时内首次响应
A.2 关于电话联系方式
- 我们目前不提供电话客服。客服、隐私、安全相关所有事项请通过上述邮箱或应用内反馈渠道联系。
- 如监管机构或司法机关要求电话联系,可通过 security@miyunote.cn 约定其他通讯方式。
附录 B:经营者信息
- 运营主体名称:北京自然符号信息技术有限公司
- 注册地址:北京市昌平区东小口镇天通中苑二区21号楼1层103-2617
- 统一社会信用代码:91110114MAKFN7JW4Q
- 法定代表人:李超阳
- 公司性质:有限责任公司(自然人独资)
- 数据保护官 / 隐私保护负责人:李超阳,privacy@miyunote.cn
- 欧盟代表(GDPR 第 27 条):[待补充:EU Representative 名称、地址、邮箱]