BabyLog 宝记隐私政策

一、我们收集的数据类型

我们会根据你使用的功能收集以下信息。不同用户实际提供的信息可能不同。

• 账号信息：手机号、邮箱、登录状态、用户 ID、认证 token 的本地登录态、账号安全和注销请求状态。
• 宝宝档案：宝宝姓名或昵称、出生日期、性别、早产或校正月龄相关信息、当前选中宝宝、家庭称谓等。
• 育儿记录：喂养、睡眠、大小便、补剂/用药、症状、疫苗、身高体重等测量、成长里程碑、自定义记录、记录时间、记录来源、必要备注和修改历史。
• 家庭协作成员信息：成员关系、角色权限、邀请码状态、成员称谓、成员管理记录，以及导出、批量删除、宝宝档案删除等高影响操作记录。
• 订阅与权益信息：BabyLog Plus 商品 ID、订阅状态、购买/恢复/续费/过期/退款/撤销状态、App Store transaction/original transaction 标识和服务端权益同步状态。BabyLog 不收集或保存银行卡号等支付卡信息。
• 设备、本地缓存和诊断信息：App 版本、iOS 主版本、设备类型、匿名诊断 ID、功能名、操作结果、耗时、错误码、崩溃或同步失败信息，以及用于离线体验、提醒、Widget 和启动展示的本地缓存。
• AI 功能所需的最小摘要：在你主动使用语音解析、儿保报告、睡眠节律分析、喂养节律分析等 AI 功能时，我们会发送完成本次功能所需的最小文本或结构化摘要，例如必要的语音转写文本、统计摘要、覆盖率、关键时间窗口、证据摘要、数据限制和受控的预设分析重点。

二、我们如何使用这些数据

• 创建和登录账号，维护账号安全和登录状态。
• 保存、同步、展示和编辑宝宝档案及育儿记录。
• 支持家庭成员共同记录、查看和管理同一个宝宝的数据。
• 生成今日汇总、时间轴、统计、趋势、成长曲线、疫苗计划、补剂记录、里程碑和确定性提示。
• 在你主动触发时生成 AI 解析、AI 总结、儿保报告、睡眠/喂养节律分析等内容。
• 处理 BabyLog Plus 订阅购买、恢复、权益校验和服务端订阅状态同步。
• 导出数据、处理删除或账号注销请求。
• 排查登录、同步、导出、提醒、Widget、AI 生成、崩溃和性能问题。

BabyLog 宝记不用于广告追踪，不出售个人信息，不将宝宝数据用于训练通用模型。

三、第三方处理和外部服务

为了提供账号、同步、AI 和基础设施能力，我们可能使用以下服务或系统能力。我们会要求相关服务在其处理范围内提供合理的数据保护措施。

• Supabase / 阿里云基础设施：用于账号登录、宝宝档案、育儿记录、家庭协作、权限控制、活动记录、导出审计和账号删除请求等云端能力。账号删除 worker 使用服务端受控密钥处理删除/匿名化和 Supabase Auth 用户删除，该密钥不会放入 iOS App。
• Apple 登录：如你使用“通过 Apple 继续”，App 会使用 iOS 原生 AuthenticationServices 和 Supabase Auth 换取登录 session。App 不保存 Apple token 或 nonce；仅在本机 Keychain 中保存 Apple credential user id 用于授权状态检查，并在退出登录或账号注销流程中清理。登录成功后，App 会把一次性的 Apple authorization code 发送到 BabyLog 鉴权后端，由服务端换取可撤销 token 并只保存在服务端受限表；账号注销时后端会先撤销该 Apple token。
• BabyLog AI Proxy：用于代理 AI 请求、验证登录态、限流、请求大小控制、schema 校验和安全日志。iOS App 只调用 BabyLog AI Proxy，不直连第三方 AI 服务。
• 第三方 AI 服务：由 BabyLog AI Proxy 服务端按功能需要调用，用于语音解析、报告整理和节律分析。第三方 AI 服务密钥不会放在客户端，也不会暴露给用户设备。
• Apple StoreKit / App Store Server API：用于 BabyLog Plus 商品读取、购买、恢复、订阅通知、权益同步和每日 reconciliation。App Store Connect private key、issuer id、key id、完整 signed JWS/payload 和服务端 service role key 不会放入 App；后端只长期保存必要的规范化订阅状态和 signed payload / transaction JWS hash。
• Apple 系统能力：Apple Speech Framework、Keychain、本地通知、WidgetKit、系统分享、文件导出和系统诊断等，用于实现 App 内对应功能。
• Sentry 诊断服务：Release 生产环境配置 Sentry 时，只用于崩溃、非致命错误、release health、性能采样和关键失败定位，并会关闭默认个人身份信息、截图、视图层级、会话回放、自动 UI/网络 breadcrumbs 等非必要采集。

AI 请求只发送完成当前功能所需的最小数据。BabyLog AI Proxy 不会把 Supabase access token、内部用户 ID、宝宝 ID、事件 ID、同步版本号或第三方 AI 服务密钥发送给第三方 AI 服务，也不会在日志中记录 Authorization header、Bearer token、AI prompt、AI response body 或宝宝家庭敏感明细。

第三方 AI 服务对其接收数据的处理可能受其自身服务条款和隐私政策约束。我们会尽量通过最小化、结构化摘要、访问控制和安全校验降低不必要的数据暴露。

四、宝宝和儿童数据保护

BabyLog 宝记处理的宝宝姓名、出生日期、健康相关记录、症状、用药、疫苗、成长测量和未满 14 周岁儿童个人信息，可能属于敏感个人信息。我们只在实现记录同步、家庭协作、统计洞察、报告生成、故障排查、导出和删除所必需的范围内处理这些数据。

宝宝档案和数据应由父母、监护人或经监护人授权的照护人创建和管理。监护人可以在 App 内查看、导出、删除当前宝宝数据，或发起账号注销请求。更多说明见 儿童/宝宝数据保护说明。

五、数据安全措施

• 通过登录态、数据库权限和家庭角色控制访问范围。
• 对家庭协作中的成员管理、邀请、导出和高影响删除等操作保留必要审计记录。
• 对本地缓存按用户和宝宝范围隔离，并在退出登录、被移出家庭、删除宝宝记录或账号注销流程中尽量清理相关本地数据。
• 对 AI 功能使用最小化摘要、prompt injection 防护、输出安全校验和医疗/睡眠安全边界。
• 诊断日志采用 allowlist 方式，不记录宝宝姓名、出生日期、原始备注、语音文本、AI prompt、AI response、食材/症状/药品/疫苗明细、邮箱、手机号、邀请码、原始 userId、babyId、eventId、token 或 API key。

六、数据保存、删除和账号注销

我们会在实现本政策所述目的所必需的期限内保存数据。若法律法规要求更长保存期限，或为处理争议、安全、审计、故障排查所必需，我们可能在必要范围内继续保存相关记录。

• 删除当前宝宝记录：你可以在 App 内删除当前宝宝相关记录。删除可能不立即清除备份或审计记录，但我们会在合理期限内完成后台处理。
• 导出数据：你可以在 App 内导出当前宝宝的数据，用于家庭留存或就诊沟通。
• 账号注销：你可以在 App 内发起账号注销请求。请求提交成功后，App 会立即退出登录并清理本机 selected baby、用户/宝宝范围缓存、本地提醒、Widget snapshot 和本地 AI/报告历史；这表示请求已提交，不表示后端删除已完成。
• 注销 SLA：账号注销通常 24 小时内完成，最多 7 天。后台 worker 会删除或匿名化业务数据并删除 Supabase Auth 用户；如果 Auth 用户删除失败，请求会保持失败状态并重试，不会假标完成。
• 多宝宝/多照护人边界：你拥有的宝宝资料和记录会被删除，其他成员将无法继续访问；你参与但不拥有的家庭会保留宝宝数据，并移除你的成员身份、匿名化你的记录者/操作者标识，后续显示为“已删除成员”。
• 完成通知：注销完成后，我们会尽可能通过账号邮箱通知你；若没有邮箱、仅手机号且未配置短信服务，或通知服务不可用，会记录跳过或失败原因。
• 本地数据：退出登录、删除宝宝记录、被移出家庭或账号注销流程会尽量清理对应本地缓存、提醒和 Widget snapshot。

七、你的选择和权利

在适用法律允许的范围内，你可以请求访问、更正、复制、导出、删除你的个人信息，撤回同意，注销账号，或对个人信息处理规则进行咨询和投诉。

• 你可以在系统设置中关闭麦克风、语音识别、通知等权限；关闭后相关功能可能不可用或降级。
• 你可以在 App 内管理家庭成员、协作权限、导出数据、删除当前宝宝记录或发起账号注销。
• 你可以通过本政策列明的联系方式提出个人信息权利请求。为了保护账号和宝宝数据安全，我们可能需要验证你的身份和监护关系。

八、健康和医疗免责声明

BabyLog 宝记不是医疗器械，也不提供诊断、治疗、处方或紧急医疗服务。统计、趋势、智能提示和 AI 内容仅基于你记录的数据进行整理和观察，可能受记录完整性、输入准确性和模型能力限制。

如宝宝出现发热、精神状态异常、吃奶差、尿布明显减少、呼吸异常、持续呕吐、便血、抽搐、明显黄疸加重或其他紧急情况，请及时咨询医生或前往医疗机构。

九、政策更新

我们可能根据产品功能、法律法规或审核要求更新本政策。重大变更会通过 App、网站或其他合理方式提示你。若更新涉及处理目的、处理方式或敏感个人信息处理规则的重大变化，我们会在法律要求的范围内重新征得同意。

十、联系我们

如你对本政策或个人信息处理有任何问题，请通过以下方式联系：

支持邮箱：support@babylogcare.com

运营方：BabyLog 宝记运营方

App 备案号：沪ICP备2026019575号-1A

网站备案号：沪ICP备2026019575号-2