打开应用

隐私政策

最后更新:2026年4月27日

测试版声明:Link123目前处于公开测试阶段。功能、数据处理方式和本政策可能会随着服务的发展而更新。变更将在本页面发布并更新日期。继续使用本服务即表示接受任何变更。

1. 简介

Link123(以下称"我们")运营Link123移动应用程序和link123.ie网站(统称"服务")。 本隐私政策说明了我们在您使用服务时如何收集、使用、披露和保护您的信息。

我们致力于保护您的隐私。我们的架构建立在零知识原则和端到端加密的基础上, 这意味着对于加密内容,即使是我们也无法访问您的数据。

Link123在爱尔兰运营。我们致力于按照《通用数据保护条例》(GDPR)的原则保护您的数据。虽然我们在持续完善数据保护实践以符合GDPR标准,但如果您有任何数据相关的请求,我们将按照GDPR框架进行处理。

使用本服务即表示您同意按照本政策收集和使用信息。如果您不同意本隐私政策的条款,请勿访问本服务。

2. 我们收集的信息

2.1 您提供的信息

  • 账户信息:注册时,我们收集您的电子邮箱或手机号码、用户名和密码(以PBKDF2加密散列存储,600,000次迭代;我们从不存储明文密码)。
  • 个人资料:您可以选择提供显示名称、头像和个人简介。
  • 内容:您可以创建和存储 13 种内容类型:文本备忘录、语音备忘录、内容组(媒体集合)、位置、人物、组织、标签、网页书签、结构化数据、生活事件、附件、配音字幕和文章。您指定为加密的内容会在传输前在您的设备上进行端到端加密。
  • 通信:您通过消息功能发送的消息。加密对话中的消息经过端到端加密,我们无法阅读。
  • AI交互:您自愿提交给AI功能的内容(如用于摘要的文本、用于分析的图片或用于内容生成的提示词)。详见第5节。

2.2 自动收集的信息

  • 设备信息:设备类型、操作系统版本和唯一设备标识符,用于推送通知。
  • 使用数据:匿名的、汇总的使用统计数据,用于改善服务。不包括您的数据内容。
  • 日志数据:记录IP地址(以脱敏/匿名形式存储)、请求时间戳和错误信息的服务器日志。这些日志会保留有限期限,用于运营和安全目的。
  • 登录活动:登录时间、大致位置(从IP推断的城市/国家级别)和会话信息,用于安全目的。
  • 搜索查询:您输入的搜索关键词(例如 MySpace 统一搜索、主题 Feed 搜索)会被实时处理。一小部分可能会以汇总/去标识化形式保留,用于改进搜索排序和主题推荐。我们不会将您的原始搜索历史与您的身份关联,超出服务改进目的存储。

2.3 默认不收集的信息

  • 我们不会阅读或访问您的端到端加密内容。
  • 我们的网站不使用Cookie进行跟踪或广告。
  • 我们默认不会访问您的通讯录、照片、日历事件、麦克风或位置。每项仅在您主动触发应用内对应功能时才访问:
    • 通讯录 — 当您点击"发现好友"以查找通讯录中已使用 Link123 的用户时。
    • 照片 / 视频 — 当您上传媒体到内容组、语音备忘录封面或消息附件时。
    • 麦克风 — 当您录制语音备忘录或音频消息时。
    • 位置 — 当您创建位置条目或在消息中分享实时位置时。
    • 日历 — 当您启用 iOS 日历同步以获取智能事件推荐时(详见第 5.5 节)。

3. 端到端加密

Link123使用零知识架构实现端到端加密(E2EE)。这对您意味着:

  • 设备端加密:当您为内容启用加密时,数据在发送到我们服务器之前,会在您的设备上使用从您的凭据派生的密钥进行加密。
  • 零知识存储:我们的服务器仅存储E2EE内容的加密密文。我们没有解密密钥,无法读取、分析或共享您的加密数据。
  • 密钥管理:加密密钥在您的设备上派生。您的数据加密密钥(DEK)受您的账户凭据保护,永远不会以明文形式传输。
  • 加密消息:私密对话使用每次会话的加密密钥。消息在离开您的设备前即被加密,只有预期的接收者才能解密。
  • 双字段架构:每个内容字段要么以明文存在,要么以加密密文存在,永远不会同时存在两者。这确保了清晰的数据隔离。

重要提示:由于我们无法访问您的加密密钥,如果您丢失了账户凭据和恢复机制的访问权限, 我们将无法恢复您的加密数据。我们建议您安全保存恢复信息的备份。

4. 我们如何使用您的信息

我们使用收集的信息来:

  • 提供、维护和改善服务。
  • 处理您的账户注册和管理您的账户。
  • 在用户之间传递消息(加密消息以密文形式传输)。
  • 仅使用非加密元数据(如内容类型、创建日期和您公开的标签)提供基于图谱的内容发现和推荐功能。
  • 发送服务通知(如安全警报、账户更新)。
  • 检测、预防和解决技术问题、欺诈和安全威胁。
  • 通过隐私保护的错误追踪监控错误和服务健康状况(见第6节)。
  • 遵守法律义务。

我们不会将您的加密内容用于广告、用户画像或除了向您和您指定的接收者传递内容之外的任何目的。

5. AI功能和第三方AI提供商

服务包含用于内容创建、分析和辅助的AI功能。当您使用AI功能时, 您提交的某些内容可能会由第三方AI服务提供商处理。具体说明如下:

5.1 AI服务提供商

我们使用以下第三方AI提供商:

  • OpenAI(美国)— 文本生成、内容摘要、实体提取、图像分析、语音转录(Whisper)和文本转语音。
  • Google Cloud AI(美国/欧盟)— 文本生成(Gemini)、图像生成(Imagen)、文本转语音(Chirp)和翻译服务。
  • Fish Audio — 用于旁白和字幕音频生成的文本转语音。
  • HeyGen(美国)— AI数字人视频生成。

我们可能会随时添加或更换AI提供商。重大变更将反映在本政策的更新中。

5.2 发送给AI提供商的数据

  • 只有您明确提交给AI功能的内容才会发送给提供商(例如您要求AI摘要的文本、您要求分析的图片)。
  • E2EE内容不会自动发送给AI提供商。如果您选择对加密内容使用AI功能,内容会在您的设备上本地解密,然后通过您的明确操作提交给AI功能。
  • 我们不会将您的私密消息、密码、加密密钥或账户凭据发送给AI提供商。
  • API使用元数据(Token计数、响应时间)会记录用于计费和服务监控,但不包含您的内容。

5.3 AI提供商的数据处理

我们与AI提供商的协议要求他们仅为提供所请求的AI服务而处理您的数据。 您的内容不会被用于训练或改进AI模型。提交给AI功能的数据在响应交付后不会被AI提供商保留(具体取决于各提供商的数据处理政策)。 请参阅各提供商的隐私政策了解其具体的数据处理方式:

5.4 MCP 服务器和 AI 客户端访问(2026-04-25 上线)

Link123 运营一个 MCP(Model Context Protocol)服务器,地址为 mcp.link123.ie,允许外部 AI 客户端(如 Claude Desktop、Claude Web Pro/Enterprise 以及其他兼容 MCP 的 AI 助手)代表您访问 MySpace 内容。此访问完全为可选项,由您完全控制

  • 必须显式授权:除非您完成 OAuth 2.0 授权流程(PKCE S256 + 动态客户端注册),否则任何 AI 客户端都无法访问您的数据。授予访问权限前,您会看到所请求的权限范围(例如"读取备忘录"、"创建语音备忘录")。
  • 权限范围最小化:权限遵循最小权限原则。我们提供三种预设权限组合 —— reader(仅读)、creator(读 + 创建)、full(含删除)。强烈建议仅授予所需的最小权限。
  • AI 客户端无法解密 E2EE 内容:端到端加密的 MySpace 实体(例如 E2EE 文本备忘录、E2EE 消息)只会以加密密文的形式返回给 AI 客户端。AI 客户端无法读取您的 E2EE 内容,因为解密密钥从未离开过您的设备。
  • 高风险操作二次确认:内容删除、公开发布、AI 反推任务等操作会触发推送通知到您的 Link123 手机 app。您必须在 app 中预览 diff 并同意后才会真正执行。
  • OAuth 即时撤销:您可以随时在 Link123 app(设置 → 已授权应用)撤销任何 AI 客户端的访问。该客户端的所有 access token 和 refresh token 立即失效,AI 客户端立即失去访问权限。
  • GDPR 第 30 条审计日志:每次 tool 调用(读、写、删)都会记录到内部审计日志(MCPAuditLog),包括调用方(AI 客户端)、请求的权限范围、参数和结果。您可以通过第 8 节(您的数据权利)申请审计日志副本。
  • 30 天 token 有效期 + 滚动刷新:access token 默认 30 天后过期。refresh token 每次使用滚动更换;如发现 refresh token 被重复使用(提示可能被盗),整个 token 族会被撤销。
  • Tool 调用经过 Link123 服务器:AI 客户端通过 HTTPS 与 mcp.link123.ie 通信,MCP 服务器再查询您的 MySpace 数据并返回结果。AI 客户端不会直接连接到您的数据库或存储。

MCP 服务器与服务的其他部分运行在同一欧盟基础设施上(Google Cloud europe-west1)。审计日志和 OAuth token 与其他账户数据一起存储,并遵循第 9 节的保留规则。 配置步骤和详细 OAuth 流程问题,请通过 link123.ie/contact 联系我们。

5.5 日历同步(iOS / macOS)

如果您选择启用 iOS / macOS 日历同步,Link123 会通过 EventKit framework 读取您 Apple 日历中的事件,并将其转换为 Link123 MySpace 中的生活事件。此集成完全为可选项:

  • 需要权限:首次同步会触发系统权限对话框(iOS 17+ 使用 NSCalendarsFullAccessUsageDescription,iOS 14-16 使用 NSCalendarsUsageDescription)。您可以随时在 iOS 设置 → 隐私 → 日历 → Link123 撤销访问(macOS 在系统设置 → 隐私与安全性 → 日历)。
  • 双向同步与防回环:您接受智能推荐后(例如向事件添加参与者),变更会写回 Apple 日历事件的备注。我们记录 last_pulled_atlast_pushed_at 时间戳防止无限同步循环。
  • E2EE 日历事件被排除:如果您在 Link123 中将生活事件标记为加密,日历同步会跳过该事件以保护加密内容。
  • 不向外部传输日历数据:日历事件内容仅在您的设备、Link123 账户数据库以及您主动请求 AI 推荐时的 AI 提供商(Gemini Flash)之间流转。我们不会与任何其他第三方共享日历数据。
  • 仅备注追加:当您接受添加人物的推荐时,我们会在事件备注末尾追加"参与者: ..."一行。Apple 的 EKEvent.attendees 字段在 iOS 上是只读的,我们绝不调用私有 API 绕过此限制。

5.6 AI 智能推荐

Link123 包含 AI 驱动的智能推荐(例如为生活事件推荐合适的人、地点和组织;主题 Feed 排序;实体摘要)。具体说明如下:

  • 数据来源:推荐仅来自您自己的私人 MySpace 图谱(您创建的实体、您建立的关系、创建实体时自动生成的 AI 记忆)。我们不会使用其他用户的数据为您推荐内容。
  • AI 重排:候选实体由 AI 模型重排。默认使用 Gemini 2.5 Flash Lite(Google Cloud,欧盟/美国)。您可以在设置中切换模型;可选项包括 Gemini 2.5 Flash、Gemini 2.0 Flash 和 GPT-4o-mini。
  • 缓存:生成的推荐会在我们的 PostgreSQL 数据库中缓存最长 24 小时,相关实体变更时自动失效。缓存存储推荐理由文本(通过 EnglishTranslationField 模式自动翻译为您的偏好语言),但绝不存储原始 E2EE 内容。
  • 用户控制:您可以忽略任何推荐、强制刷新生成新查询,或对每个实体单独关闭 AI 记忆生成(每个 MySpace 实体都有 is_memory_enabled 开关)。
  • E2EE 边界:对 E2EE 加密的生活事件进行 AI 重排会在 API 层被阻止(返回 E2EE_NO_DEK)—— 加密内容无法发送给 AI 提供商,因为我们不持有解密密钥。

6. 第三方服务和基础设施

除AI提供商外,我们使用以下第三方服务来运营本服务:

  • Google Cloud Platform(托管、数据库、文件存储)— 您的数据存储在欧盟(europe-west1,比利时)的Google Cloud服务器上。媒体文件存储在具有服务器端加密的Google Cloud Storage中。
  • CloudFlare(CDN、DNS、DDoS防护)— 处理link123.ie的网络流量路由和安全。
  • Sentry(错误监控)— 收集匿名错误报告以帮助我们修复Bug。个人身份信息(PII)在传输到Sentry之前会自动过滤。错误报告中不包含用户内容。
  • Neo4j Aura(图数据库)— 存储知识图谱功能的非加密元数据(内容关系、标签、连接)。图数据库中不存储加密内容。
  • Upstash(Redis缓存)— 用于临时会话数据和后台任务队列。数据在传输中加密。

7. 数据共享和披露

我们不会出售您的个人数据。我们仅在以下情况下共享信息:

  • 经您同意:当您明确选择与其他用户共享内容或通过受众控制使其公开可见时。
  • 服务提供商:与第5和第6节中列出的第三方服务,仅用于运营本服务。这些提供商受合同约束保护您的数据。
  • 法律要求:法律、法规、法律程序或政府要求时,我们可能会披露信息。对于加密内容,我们只能提供加密密文,因为我们没有解密密钥。
  • 安全:如果我们认为披露对于保护用户或公众安全是必要的。
  • 业务转让:在合并、收购或资产出售的情况下,您的信息可能会被转让。我们会尽合理努力通知受影响的用户,且任何继任实体将被期望遵守本隐私政策或提供其自身的政策。

8. 您的数据权利

我们致力于尊重您的数据权利。无论您身在何处,我们将按照GDPR原则处理以下请求:

  • 访问权:您可以要求获取我们持有的关于您的个人数据副本。对于加密数据,我们只能提供加密密文,因为我们不持有解密密钥。
  • 更正权:您可以随时通过应用程序更新或更正您的账户和个人资料信息。
  • 删除权(被遗忘权):您可以请求删除您的账户和相关数据。我们将尽合理努力在不迟延的情况下从活跃系统中移除您的数据(通常在30天内),并在标准备份轮转周期内从备份中清除(通常在90天内)。
  • 数据可携带权:您可以以标准机器可读格式导出您的数据。
  • 限制处理权:在某些条件下,您可以要求限制我们对您个人数据的处理。
  • 反对权:您可以反对出于某些目的处理您的个人数据。
  • 撤回同意权:在基于同意进行处理的情况下,您可以随时撤回同意。
  • 撤销系统权限:通讯录、日历、照片、麦克风、位置等权限可以随时在设备设置中撤销(iOS / macOS 设置 → 隐私 → [对应权限] → Link123)。撤销权限不会删除已导入的数据;如需完全清除已导入数据,请结合上方的"删除权"一并行使。

如需行使上述任何权利,请联系 info@link123.ie。 我们会按照GDPR指导原则,力争在30天内回复您的请求。

9. 数据保留

  • 活跃账户:只要您的账户处于活跃状态且为提供服务所需,我们就会保留您的数据。
  • 已删除内容:当您删除内容时,它会立即从应用中移除,但在备份中保留有限时间(通常不超过30天)以支持撤销功能,之后永久移除。
  • 账户删除:账户删除后,我们将尽合理努力在不迟延的情况下从活跃系统清除个人数据,并在标准备份轮转周期内从备份中清除。
  • 服务器日志:操作日志最多保留90天,用于安全和调试目的。
  • AI交互日志:AI功能使用的元数据(Token计数、时间戳)为计费目的保留。处理后我们不会存储您的AI交互内容。
  • AI 记忆索引:存储在您的私人知识图谱(Graphiti)中,生命周期与来源实体绑定。删除来源实体时自动级联删除(通过 post_delete signal)。
  • 生活事件推荐缓存:缓存最长 24 小时,相关实体变更时失效。已采纳或已忽略的推荐作为历史记录保留用于产品改进(不再计入活跃缓存)。
  • 法律保留:当适用法律或法律程序要求时,我们可能会将数据保留更长时间。

10. 数据安全

我们实施强健的安全措施来保护您的数据:

  • 敏感内容和私密消息的端到端加密(ChaCha20-Poly1305)。
  • 所有传输中数据的TLS 1.3加密。
  • 所有存储数据的服务器端静态加密。
  • PBKDF2密码散列(600,000次迭代,OWASP 2023标准)。
  • 服务器上API凭据的Fernet对称加密。
  • 服务器基础设施的严格访问控制和身份验证。
  • 错误监控和日志系统中的PII过滤(Sentry)。
  • 速率限制和威胁检测以防止滥用。

11. 国际数据传输

我们的主服务器位于欧盟(Google Cloud,europe-west1,比利时)。 但当您使用AI功能时,您提交的内容可能由美国或其他司法管辖区的AI提供商处理。 我们努力为此类传输建立适当的保障措施,如在适用情况下采用标准合同条款。 对于加密内容,数据在任何传输过程中保持加密状态。

12. 儿童隐私

本服务不面向欧盟/欧洲经济区16岁以下的儿童(或您所在司法管辖区的适用最低年龄)。 我们不会故意收集儿童的个人信息。如果我们发现未经父母同意收集了儿童的个人数据, 我们将及时采取措施删除该信息。 如果您认为您的孩子向我们提供了个人数据,请联系 info@link123.ie

13. 本隐私政策的变更

我们可能会不时更新本隐私政策,特别是在测试期间随着服务的发展。 变更将在本页面发布并更新"最后更新"日期。 在此类变更后继续使用服务即表示您接受更新后的政策。 我们建议您定期查阅本页面。

14. 联系我们

如果您对本隐私政策或我们的数据处理方式有任何疑问,请联系我们: