隐私政策
Kensora 围绕你的隐私而构建。本页用平实的语言说明哪些内容留在你的设备上,哪些内容仅在你选择时才会离开设备,以及我们绝不会做的事情。
生效日期:2026 年 6 月 8 日 · 最后更新:2026-06-28
Kensora 围绕你的隐私而构建。本政策用平实的语言说明哪些内容留在你的设备上,哪些内容仅在你选择时才会离开设备,以及我们绝不会做的事情。本政策涵盖 Kensora iOS 应用和本网站(kensora.io),二者均由 Kensora LLC(“Kensora”“我们”)运营。有疑问请联系:privacy@kensora.io。
消费者健康数据。Kensora 处理的部分内容,比如你的情绪、睡眠和记录,根据华盛顿州《我的健康我的数据法案》(My Health My Data Act)等法律,可能属于“消费者健康数据”。我们另行制定了一份消费者健康数据隐私政策,专门规范这类数据。请将其与本政策一并阅读。
Kensora 的提供地区。Kensora 目前在美国、加拿大、澳大利亚和新西兰提供。随着我们拓展到新的国家,我们会更新本政策,加入这些地区所要求的额外披露。Kensora 并非面向欧盟、英国或其他我们尚未服务的地区的用户,也无意供其使用。
简要版本
- 你的日记、健康读数、照片、联系人、日历、位置历史以及任何关联的财务数据,默认都留在你的设备上。
- 我们不会出售你的数据、不投放广告,也不会用你的个人数据向你投放定向内容。
- 我们在设备之外保存的唯一个人数据,是你主动发送的内容:你的“通过 Apple 登录”标识符、你提供的电子邮件(如果有),以及,仅当你开启可选的云端聊天时,你发送的消息加上你的设备为回答这些消息所选取的少量上下文片段(绝不包括你的整本日记、健康历史或日历)。
- 云端聊天默认关闭,可以随时关闭。
- 查找你认识的人是可选的,且默认关闭;如果你开启,Kensora 只会上传你联系人邮箱的单向哈希值来查找匹配,绝不会上传邮箱本身,并且只会显示选择了允许被找到的人。
- Kensora 面向18 岁及以上的成年人。
哪些内容留在你的设备上
按照设计,Kensora 处理的最敏感内容,除非你明确选择发送,否则绝不会离开你的手机:你的日记条目、你的 Apple Health 读数、你的照片库(Kensora 在你的设备上标注照片中的内容)、你的联系人、你的日历,以及你去过的地点地图(仅在设备上构建和存储)。Kensora 在本地读取这些内容以提供帮助;打开应用并不会上传它们。
我们收集哪些内容,以及为什么
账户身份
你通过 Apple 登录。Apple 会向 Kensora 提供一个稳定的标识符(如果你允许,还有姓名和中转电子邮件)。我们仅用它来建立你的个人资料,并通过你自己的私有存储同步你的数据。没有单独的 Kensora 密码会被泄露。
健康与健身数据(Apple Health)
如果你连接 Apple Health,Kensora 会读取睡眠、活动和心率趋势等信号,让当天的引导更贴合你的情况。这些数据在你的设备上处理。它绝不会被出售,绝不会用于广告,也绝不会为第三方自身目的而共享给他们。请参阅消费者健康数据隐私政策。
位置与天气上下文
为了在“看见 / 为什么”区域显示天气和附近地点的上下文,Kensora 会向 Apple 的天气和地理编码服务发送一个大致的、城市级别的位置。仅发送一个粗略坐标,它只用于该次查询,并且 Kensora 不存储它,也不将它与你的账户关联。这与你去过的地点地图是分开的,后者仅在你的设备上构建和保存,绝不会上传。此上下文默认开启,你可以在“设置”中关闭。
电子邮件与联系
如果你加入抢先体验名单或给我们发邮件,我们会保留你提供的电子邮件地址,以便联系你。
查找你认识的人(可选的联系人发现)
Kensora 可以帮你找到你的联系人中哪些人已经在用 Kensora,让你能在应用中邀请他们。此功能默认关闭,它以两种方式工作,二者都会保护实际的地址。查找他人时,Kensora 会在你的设备上为每个联系人的邮箱创建一个单向哈希值(一个打乱的指纹),并只发送这些哈希值来查找匹配;你联系人的真实电子邮件地址绝不会离开你的设备,而且你只会看到那些自己选择了允许被找到的人。让你自己可被找到时,你可以提供一个邮箱,我们会发送一次性验证码确认它属于你,并只存储一个与你账户关联的哈希版本;你可以随时关闭此功能或移除你的邮箱,这会删除该条记录。这个目录只保存这些哈希值和一个“可被找到”标记,绝不包含你的消息、健康数据或你写下的任何内容。它仅按邮箱匹配。
支付
如果你购买云端额度,我们的支付处理方(Apple 和 Stripe)会处理这笔交易。我们会收到购买已发生的确认信息和用于你余额的记录;我们不会收到或存储你的完整卡号。
财务数据(可选,通过 Plaid)
Kensora 可以选择性地连接你的银行或信用卡账户,以支持其预算功能:在应用内查看你的消费、余额、即将到期的账单和定期订阅。如果你选择关联账户,连接将通过 Plaid Inc. 建立。你直接在 Plaid 输入你的银行凭据,因此 Kensora 绝不会看到或存储你的银行用户名或密码。通过 Plaid,我们会收到只读数据:交易记录、余额,以及到期日等信用卡详情。Kensora 无法转移资金、发起支付,或更改你账户中的任何内容。
你的财务数据像你的健康数据一样,加密存储在你的设备上。我们的服务器只是将其从 Plaid 转发到你的设备,并不保留这些财务数据的副本;为了保持连接正常运行,我们的服务器会持有一个加密的 Plaid 访问令牌,当你解除账户关联时该令牌即被吊销。它绝不会被出售,绝不会用于广告,绝不会用于训练 AI 模型,也绝不会为任何人自身的目的而共享。你可以随时在“设置”中解除账户关联,这会停止所有访问;删除你的数据或账户会一并移除财务数据。你也可以直接在 my.plaid.com 管理或撤销 Plaid 的连接。Plaid 自身对你数据的处理方式在 Plaid 最终用户隐私政策中说明。
网站分析
本网站使用 Plausible Analytics,这是一项尊重隐私、不使用 cookie 的服务。它只收集聚合的、匿名的使用数据(页面浏览量、来源、大致国家/地区、设备类型),不会存储你的 IP 地址、不使用 cookie,也不会跨网站追踪你。
诊断信息
Kensora 会把基本的崩溃和性能诊断信息保存在你的设备上,帮助我们修复问题。它们只有在你选择发送时才会离开你的设备,方法是在“设置”中点按“报告问题”,这会把设备上的日志附加到你发给我们的电子邮件中。Kensora 不会自动收集崩溃或使用数据。
可选的云端 AI(以及它会发送什么)
Kensora 可以使用云端 AI(Anthropic 的 Claude)来协助 Kensora 聊天。它默认关闭。当你开启并使用它时,以下内容会离开你的设备:
- 你在 Kensora 聊天中写下的消息文本。
- 一段简短的、由应用生成的“当日摘要”(例如睡眠时间偏短,日程繁忙),让回复更贴合情况。
- 应用在你的设备上选取的少量相关上下文片段,比如一条简短的健康信号、一段简短的日记摘录,或一个日历事项,仅在它有助于回答你提出的问题时才会发送。Kensora 不会上传你的整本日记、完整健康历史或整个日历。
- 对于你生活中的人,仅发送名字或一个角色(“你的兄弟”“一位同事”),绝不会发送电话号码、电子邮件或你的通讯录。
- 照片默认在你的设备上进行描述。更丰富的云端照片描述是单独的选择性开启项,除非你选择开启,否则保持关闭。
- 网络搜索(可选,默认关闭)。如果你为设备端模型开启网络搜索,你的搜索查询会经由 Kensora 发送给搜索提供方(Brave Search)以获取结果。只发送查询内容,不发送你的健康数据、日记或身份信息。
- 财务(可选,默认关闭)。如果你开启,你关联账户中的相关片段(余额、近期消费、可安全支出金额)仅在有助于回答你提出的问题时才会发送,绝不会发送你的完整财务历史。
- 评估分数(可选,默认关闭)。如果你开启,你记录的签到分数(比如 PHQ-9 或 GAD-7)可以被发送,让聊天能够参考你自己的数值。它们绝不会被当作诊断对待。
你可以在“设置”中收窄或关闭每一类内容。
还有谁参与其中(服务提供方)
我们只与运行 Kensora 所必需的提供方共享数据,并且仅为此目的:
- Apple:通过 Apple 登录、你的私有数据同步,以及应用内购买。
- Anthropic:接收云端聊天文本以生成回复。根据 Anthropic 的商业 API 条款,这些数据不会被用于训练他们的模型,并会在 30 天内自动删除。在 Anthropic 提供零数据保留(Zero Data Retention)且 Kensora 符合条件的地方,我们会启用它,让这些数据更快被删除。
- Netlify:托管本网站和聊天代理。该代理转发你的请求,只保留用于计费限额的使用计数,不保留你的消息内容。
- Stripe:处理在网页端进行的额度购买。
- Plaid:如果你关联银行或信用卡账户,Plaid 会连接到你的金融机构,并将只读账户数据传送到你的设备。请参阅 Plaid 的最终用户隐私政策。
- Brave Search,仅当你为设备端模型开启网络搜索时:接收一个搜索查询(经由 Kensora 发送,而 Kensora 不存储它)以返回结果。Brave 对该查询的处理受 Brave 的隐私政策约束。
- Neon,仅当你使用联系人发现时:一个托管数据库,用于存储小型的“查找你认识的人”目录(映射到账户的哈希邮箱和电话号码,加上一个“可被找到”标记),绝不包含你的消息、健康数据,或真实的电子邮件地址或电话号码。
- Resend,仅当你选择允许通过电子邮件被找到时:发送用于确认你拥有该邮箱的一次性验证码。Resend 是一家美国提供方,参与欧盟-美国数据隐私框架(EU-US Data Privacy Framework),并依据与我们签订的数据处理协议运营;它不会收到你的健康数据或消息。
- Twilio,仅当你选择允许通过电话被找到时:发送并核验用于确认你拥有该电话号码的一次性验证码。Twilio 是一家美国提供方,依据与我们签订的数据处理协议运营;它只接收你的电话号码以便给你发送验证码短信,不会收到你的健康数据或消息。
我们绝不会做的事
- 我们绝不会出售你的个人数据。
- 我们绝不会用你的个人数据投放定向广告。我们没有广告业务。
- 我们绝不会用你的个人数据训练我们自己的模型,也绝不会把它出售作为训练数据使用。
- 我们绝不会代表你给任何人发消息。
- 我们绝不会在 Kensora 应用中嵌入第三方广告、分析或追踪软件。
我们不会通过自动化处理对你做出法律决定或类似的重大决定;Kensora 呈现的任何模式都是供你自己反思的,而非诊断。
安全
在任何内容被发送到云端之前,Kensora 会运行一项确定性的、设备端的安全检查。如果一条消息包含与危机相关的语言,应用会显示支持资源(包括你当地的危机热线),或者,仅当你设置过的情况下,提醒你联系你的信任联系人。该文本完全在你的设备上处理,绝不会发送到云端。Kensora 不是危机服务,也不会检测或预防紧急情况。请参阅安全与危机资源。
你的隐私权利
根据你所在地区的不同,你可能有权访问我们持有的个人数据,更正或删除它,获取一份副本,以及拒绝对个人数据的任何“出售”或“共享”。Kensora 不会出售或共享你的个人数据,并且我们绝不会因你行使隐私权利而歧视你。你的大部分数据存在于你的设备上,由你直接在“设置”中导出或删除:
- 在应用内“设置”中访问与导出你的数据。
- 在应用内“设置”中删除你的聊天历史,或你的账户及其所有数据。
- 随时关闭云端聊天;新消息会立即停止发送。
- 断开Apple Health 或任何已连接的设备。
- 随时在“设置”中关闭联系人发现并移除你的可被找到邮箱,这会删除让你可被找到的那条哈希记录。
对于任何在设备之外保存的内容,请发送电子邮件至 privacy@kensora.io,我们会在 45 天内回复(在法律允许的情况下,经通知后可延期一次),健康数据请求也会在 45 天内回复。
请勿出售或共享 / 全球隐私控制(Global Privacy Control)。我们不会出售或共享你的个人信息,因此没有可拒绝的内容。如果你的浏览器在我们网站上发送全球隐私控制(GPC)信号,我们会尊重它;由于我们不出售或共享,无论如何都不会有任何个人信息被出售或共享。
限制敏感数据的使用。我们仅为提供你已开启的功能而使用你的敏感健康与身心健康数据,绝不用于广告、画像或出售。你可以随时进一步限制或停止这一使用,方法是关闭某项功能、断开某个来源,或在“设置”中删除数据。
加利福尼亚州居民,个人信息类别。
在过去 12 个月里,我们收集了:标识符(你的“通过 Apple 登录”标识符;你提供的电子邮件,如果有);商业信息(购买记录);互联网或使用信息(聚合的、不使用 cookie 的网站分析);财务信息(仅当你通过 Plaid 关联账户时,加密存储在你的设备上);以及敏感个人信息(你输入或连接的健康与身心健康数据,在你的设备上处理)。来源:直接来自你、你的设备,以及你连接的服务(Apple、Plaid)。我们仅向上述服务提供方披露个人信息,且仅为运行应用而披露。我们不会出售或共享个人信息,也不会在你所请求的服务之外使用或披露敏感个人信息。
国际数据传输。
Kensora 由美国运营。当你使用某项会离开你设备的功能(比如可选的云端聊天、联系人发现或网页购买)时,所涉及的个人数据会由我们和上述服务提供方在美国处理和存储。如果你身处加拿大、澳大利亚、新西兰或其他地区,开启这些可选功能即表示你同意将你的信息传输到美国并在美国处理,而当地的数据保护法律可能与你所在地区不同。我们会采取合理措施保护它,包括与我们的提供方签订数据处理协议,并对其处理方式承担责任。
加拿大、澳大利亚与新西兰。
如果你身处这些国家之一,本政策与你当地的隐私法律(加拿大的 PIPEDA、澳大利亚隐私原则,以及新西兰 2020 年《隐私法》)一并适用于你:
- 访问与更正。在“设置”中访问、导出、更正或删除你的数据,或就任何在设备之外保存的内容发送电子邮件至 privacy@kensora.io。
- 投诉。如果你对我们处理你数据的方式不满意,请先联系我们,让我们尝试纠正。你也可以向你的隐私监管机构投诉:在加拿大,向加拿大隐私专员公署;在澳大利亚,向澳大利亚信息专员公署;在新西兰,向隐私专员公署。
- 泄露通知。如果某次泄露很可能造成严重伤害的真实风险,我们会在其法律所要求的时限内通知你和相关监管机构(加拿大的 OPC、澳大利亚《可通报数据泄露》机制下的 OAIC,或新西兰的 OPC)。
数据保留
设备上的数据会一直保留,直到你删除它或移除应用。发送给 Anthropic 的云端聊天内容会根据 Anthropic 的商业 API 条款在 30 天内自动删除;在 Anthropic 提供零数据保留且 Kensora 符合条件的地方,我们会启用它,让这些内容更快被删除。来自关联账户的财务数据仅存在于你的设备上,会在你解除账户关联、删除你的数据或移除应用时被移除。购买记录会在会计和法律义务所需的期限内保留。
服务器函数日志(仅元数据,绝不包含消息内容)大约保留 24 小时。使用量和额度余额计数器会在你的账户处于活跃状态时保留,并在你删除账户时删除,但我们出于税务和会计法律必须保留的最少购买记录除外(通常最长 7 年)。
儿童
Kensora 面向18 岁及以上的成年人,并非面向儿童。我们不会在知情的情况下收集任何 18 岁以下人士的个人数据。如果你认为有未成年人向我们提供了数据,请联系 privacy@kensora.io,我们会删除它。
安全保障
我们将 Kensora 设计为把你最私人的信息保留在你的设备上,并尽量减少离开设备的内容,同时我们维护与所处理数据相称的管理、技术和物理保障措施。没有任何传输或存储方法是绝对安全的,但安全是一项首要目标,而非事后补救。
要报告安全问题,请发送电子邮件至 privacy@kensora.io。
如果发生数据泄露。
如果我们发现一起影响你可识别健康数据的泄露事件,我们会在法律所要求的时限内、不无故拖延地通知你和相应的监管机构(包括依据《健康泄露通知规则》通知联邦贸易委员会),并告诉你发生了什么、涉及哪些数据,以及你应采取哪些步骤。
本政策的变更
如果我们做出重大变更,会更新本页面和“最后更新”日期,并在适当情况下在应用内说明重要变更。
联系
对隐私有疑问?请发送电子邮件至 privacy@kensora.io 或 hello@kensora.io。
你也可以通过邮寄方式联系我们:Kensora LLC, 701 South St., Ste 100, Mountain Home, AR 72653。