隐私政策

为了让你能登录、建展品、跟同好互动，我们存储以下信息（最小化原则，能不存就不存）：

• 账号 — 邮箱（用于 magic link 登录）、用户名、馆名、自我介绍、默认隐私层级、BGM 偏好、邮件通知开关
• 展品 / 展柜 / 海报 — 你主动填写或上传的内容：标题、描述、tag、可见性、图片
• 关系 — 关注 / 好友 / 加入的圈层
• 互动 — 你对别人展品点的「我也有 / 想要 / 求链接 / 可换吗」标记
• 引荐源 — 注册时来自哪张海报短链（用于馆主看自己海报的转化效果，不会被用作个性化广告）

我们 不收集：手机号、身份证号、地理位置、通讯录、设备指纹、第三方登录的额外资料、行为打点（无 Google Analytics / 无埋点 SDK）。

• 核心功能 — 显示你的展品 / 让你登录 / 让你按可见性设置控制谁能看到什么
• 通知邮件 — 当有人对你互动 / 申请加好友 / 关注你时给你邮件提醒。在设置里一键关
• RLS 数据库强制隐私 — 你设的「仅自己 / 好友 / 圈层 / 公开」由 PostgreSQL Row Level Security 在数据层强制，前端代码无法绕过。哪怕我们的代码写错也只会让你看不到内容，不会让别人多看到

我们 不会：用你的内容训练 AI 模型、把你的数据卖给第三方、做精准广告投放、按你的兴趣给你推「你可能喜欢的人」。

我们用了以下第三方服务，每一个都仅访问完成本职功能所需的最少信息：

• Vercel（美国）— 网页托管、CDN。会接触到所有页面访问的 IP、UA、URL（与所有网站相同）
• Supabase（新加坡）— 数据库、文件存储、认证。所有你看到的数据都存在这
• Resend（美国）— 发送 magic link 登录邮件 + 通知邮件。仅接触到收件邮箱地址 + 邮件正文
• 阿里云（中国）— 域名注册商。仅接触到 DNS 解析配置
• Suno（美国）— BGM 曲库系预先生成后上传到 Supabase；运行时不再调用 Suno API。Suno 不接触你的任何数据

你随时可以：

• 修改 / 删除任何展品、展柜、个人资料 — 立即生效（删除是真删，不是软删）
• 关闭通知邮件 — 「我的展馆 → 设置」一键
• 导出你的数据 — 暂未提供 self-service 按钮；发邮件给我们我们 7 天内打包发给你
• 注销账号 — 暂未提供 self-service 按钮；发邮件给我们我们 7 天内删除账号 + 所有关联数据。删除不可恢复

我们的目标用户是 16 岁及以上。如果你是 14-16 岁，建议在监护人知情和同意的前提下使用，并避免上传可识别个人身份的照片（如学生证、家庭住址等）。如发现未满 14 岁用户，我们会主动暂停账号并联系监护人处理。

我们尽力遵守中国《个人信息保护法》（PIPL）、欧盟 GDPR 的核心原则：

• 最小必要 — 不收集与功能无关的信息
• 用户主动控制 — 隐私层级、通知开关均可自助调节
• 数据最少跨境 — 主要存储在新加坡；中国大陆用户经我们域名代理回源，不直接接触境外 IP
• 去标识化 — 引荐源、view_count 等聚合指标不关联到具体用户操作历史

我们目前是独立小项目，没有 CDN 限速 / 大型审计 / 法务团队。如有合规建议或发现问题，请直接发邮件告诉我们。

本政策若有重大变更（增加数据收集类型 / 增加第三方服务 / 改变数据使用方式），我们会通过邮件通知所有现有用户，并在生效前给予 14 天异议窗口期。

最后更新：2026-05-04

有任何隐私相关问题、数据导出 / 注销请求，发邮件到：hi@museumlet.com