Legal · Privacy

隐私政策

这页用尽量直白的方式说明:哪些数据默认只留在你的设备里、哪些数据只会在你主动开启功能时传输,以及你能如何控制、导出和删除这些数据。

最后更新日期:2026年3月31日

默认策略本地优先
敏感凭证Keychain
可选同步iCloud
支持区域CCPA / GDPR
核心原则
聊天、知识库、记忆与设置默认留在设备本地。
API Key
采用 BYOK 模式,密钥默认加密保存在设备 Keychain(iOS & macOS 均适用)。
何时上传
只有在你主动发起 AI 请求、开启 iCloud、提交反馈等功能时才会传输必要数据。
你的控制权
你可以随时删除本地数据、关闭同步,或通过支持邮箱行使 CCPA/GDPR 权利。

核心承诺:Zeno 采用 BYOK(Bring Your Own Key)模式,您的 API Key 默认加密存储在设备本地(iOS Keychain / macOS Keychain),对话数据默认存储在设备本地。根据您选择的路由模式,请求可直接发送到您配置的 AI 服务商,或经 Zeno 云中转进行路由。仅在您主动使用相关功能时会传输必要数据(如 AI 请求、iCloud 同步、反馈提交)。

📊 数据流向图

📱💻
你的设备
Keychain · 本地存储(iOS & macOS)
🤖
AI 服务商
OpenAI · Claude · Gemini
☁️
Zeno 服务器
可选(云中转)
数据类型 存储位置 加密方式 我们能访问吗
API Key 设备 Keychain(iOS / macOS) AES-256 ❌ 不能
对话记录 App 沙盒 设备加密 ❌ 不能
知识库 App 沙盒 设备加密 ❌ 不能
长期记忆 App 沙盒 设备加密 ❌ 不能

1. 概述

Zeno(以下简称"本应用")是面向 Apple 生态的 AI 工作台,覆盖 iOS 和 macOS 平台。本隐私政策旨在向您说明我们如何处理您的个人信息,适用于 Zeno 的所有平台版本(iOS App、macOS App)。请在使用本应用前仔细阅读本政策。

2. 数据收集

2.1 默认不收集的数据

  • 您的 API Key
  • 您的对话内容
  • 您的个人身份信息
  • 您的设备信息
  • 任何使用分析数据

2.2 本地存储的数据

以下数据默认仅存储在您的设备本地。若您开启云中转、iCloud 同步或主动提交反馈,仅会传输实现该功能所必需的数据:

  • API Key:安全存储在设备 Keychain 中(iOS Keychain / macOS Keychain),采用系统级加密保护
  • 对话记录:存储在应用沙盒内的本地数据库
  • 应用设置:您的偏好设置和配置
  • 知识库内容:您上传的文档和笔记,向量嵌入在本地生成和存储
  • 长期记忆:您设置的个性化记忆内容(偏好、事实、指令等)
  • 本地模型:您主动下载到设备中的兼容模型文件(GGUF 格式)
  • Token统计:您的API使用量和费用统计数据

2.3 iCloud 同步(可选,iOS 已支持)

在 iOS 版本中,如果您主动开启 iCloud 同步,服务商配置、API Key(AES-256-GCM 加密)、应用设置和 Agent 配置会通过 Apple iCloud 在您的 iOS 设备之间同步,以便换机或多设备使用时恢复配置。macOS 版本的 iCloud 同步将在后续版本加入。请注意:

  • 同步目标为 Apple iCloud(非我们的服务器)
  • 包含 API Key(加密后同步)
  • 不包含对话内容

3. 数据传输

3.1 与第三方 AI 服务的通信

当您使用本应用与 AI 进行对话时,请求会按您设置的路由模式发送至您选择的第三方 AI 服务商。请注意:

  • 根据路由模式,数据会直接从您的设备发送到服务商,或先经 Zeno 云中转再到服务商
  • 在云中转模式下,请求内容会经过中转服务后再返回结果
  • 数据传输使用 HTTPS 加密
  • 各服务商对您数据的处理受其各自隐私政策约束

支持的 AI 服务商包括:

  • OpenAI (GPT-4, GPT-4o, o1, o3, etc.)
  • Anthropic (Claude 3.5, Claude 3 series)
  • Google (Gemini Pro, Gemini Ultra)
  • 智谱AI(GLM-4、GLM-4V)
  • DeepSeek (DeepSeek-V3, DeepSeek-R1)
  • 通义千问、Moonshot、零一万物、Groq、OpenRouter 等
  • 任何兼容 OpenAI API 的自定义服务

重要提示:请务必阅读并了解您所使用的 AI 服务商的隐私政策,以了解他们如何处理您的对话数据。

3.2 联网搜索服务

当您开启联网搜索功能时,搜索查询会发送至 Tavily 搜索服务。您需要自行配置 Tavily API Key,搜索请求直接从您的设备发送至 Tavily 服务器。

3.3 文生图服务

文生图功能支持多种图片生成模型(如 FLUX、DALL-E、Kolors 等)。您需要配置支持图片生成的服务商(如硅基流动 SiliconFlow、OpenAI 等)并提供相应的 API Key。图片提示词会按路由模式发送至您选择的服务商(直连或经云中转)进行生成。

3.4 本地模型下载

本地模型文件从 HuggingFace 或其镜像站下载。下载过程中,您的设备会连接到 HuggingFace 服务器获取兼容模型文件。下载完成后,可在支持的硬件上由内置推理引擎进行端侧处理。

3.5 本地模型推理

当您使用已下载的本地模型时,相关推理会在您的设备上进行。是否可用以及运行效果取决于设备性能、存储空间和所选模型。

3.6 反馈提交

当您主动提交反馈时,反馈内容以及您自愿填写的联系方式会通过 Formspree(第三方表单服务)发送给我们。默认情况下不会自动收集设备信息;当前仅发送反馈内容、反馈分类、App 版本、时间戳,以及您主动填写的联系方式(如有)。

3.7 网页内容解析服务

当您将网页链接保存到知识库时,应用会调用 Jina Reader 服务(r.jina.ai)抓取并提取网页正文内容。您提供的 URL 会发送到 Jina Reader 服务器进行处理,然后返回可读文本给应用。该流程仅传输实现网页解析所必需的数据。

4. 系统扩展

4.1 AI 键盘扩展

本应用提供 AI 键盘扩展,让您可以在任何应用中使用 AI 功能(翻译、润色、续写、纠错、解释等)。

关于“完全访问”权限:AI 键盘需要“完全访问”权限才能连接到 AI 服务。此权限仅用于执行您触发的 AI 请求。键盘不会记录击键内容或行为轨迹,也不会用于广告追踪;仅在您使用 AI 功能时按路由模式进行必要传输(发送至您配置的服务商或云中转)。

4.2 分享扩展

分享扩展允许您从其他应用分享内容到 Zeno 进行 AI 处理(对话、阅读、总结、翻译)。分享内容默认在本地处理,或按路由模式发送到您选择的 AI 服务商(直连或经云中转)。

4.3 灵动岛与实时活动

本应用使用 ActivityKit 在灵动岛(Dynamic Island)和锁屏实时活动中显示 AI 生成进度(如 Token 计数、完成百分比)。此功能完全在设备本地运行,所有展示的数据来自主应用沙盒,不涉及额外的网络传输或数据收集。

4.4 桌面小组件(iOS)

本应用提供 iOS 桌面小组件(WidgetKit),支持小、中、大三种尺寸,用于显示最近对话和快捷操作入口。小组件通过 App Groups 共享存储空间读取主应用数据,所有数据均存储在设备本地,不涉及网络传输。小组件不收集任何额外的用户数据。

4.5 macOS 菜单栏(macOS 专属)

macOS 版本提供常驻菜单栏入口,让您可以随时呼出 AI 对话悬浮窗口。菜单栏组件仅读取主应用共享的本地对话数据,不额外收集系统信息或用户行为数据,不涉及任何网络传输。

4.6 Finder 快捷操作扩展(macOS,计划中)

当前 macOS 版本暂未内置 Finder 扩展;该功能计划在后续版本推出。推出后,扩展将允许您在 Finder 中右键选择文件,将其内容直接发送给 AI 进行处理(如文档摘要、代码审查等)。扩展仅在您主动触发时读取所选文件内容,文件数据按路由模式发送至您配置的 AI 服务商(直连或经云中转)。扩展不会在后台持续扫描或读取文件系统。

4.7 全局快捷键(macOS 专属)

macOS 版本支持系统级全局快捷键,用于快速呼出主窗口或菜单栏悬浮窗。全局快捷键功能通过 macOS Accessibility 框架实现,仅注册快捷键响应,不记录或监控您的其他键盘输入,不收集任何额外数据。

4.8 macOS 通知中心(macOS 专属)

macOS 版本在 AI 任务完成时通过系统通知中心推送提醒(如生成完成、任务执行结果等)。通知内容来自本地应用沙盒,不涉及额外数据收集或网络传输。您可以随时在「系统设置 → 通知」中关闭相关通知权限。

5. 系统权限

本应用可能请求以下系统权限,所有权限均仅用于实现相应功能,不用于数据收集:

  • 麦克风:用于语音对话和全双工语音交互功能
  • 相机:用于 OCR 拍照识别
  • 相册:用于选择图片进行识别或发送给 AI
  • 语音识别:用于将语音转换为文字(支持中文、英文、日文)
  • 日历/提醒事项:用于 AI 助手创建日程和提醒
  • 位置:用于 AI 助手提供基于位置的服务(可选)
  • 系统身份验证:遵循 iOS 系统安全机制(当前版本不单独请求生物识别权限)
  • 后台音频:用于语音播报在后台继续播放(可选)
  • 广告跟踪(ATT):本应用不进行跨 App/跨网站跟踪,不依赖 IDFA 进行广告投放,因此通常不会请求 ATT 授权

5.2 macOS 专属权限

macOS 版本可能在您启用对应功能时请求以下权限:

  • 辅助功能(Accessibility):用于实现全局快捷键呼出,不监控或记录您的其他键盘/鼠标行为
  • 文件访问(Files & Folders):当您通过拖放操作选择文件时,仅读取您显式选择的文件内容;不后台扫描整个文件系统。Finder 扩展(计划中)推出后同样遵循此原则。
  • 麦克风(macOS):用于 macOS 上的语音输入功能(可选),功能与 iOS 相同
  • 网络访问:用于连接您配置的 AI 服务商(直连模式)或 Zeno 云中转服务;所有连接均使用 HTTPS 加密
  • 通知:用于 AI 任务完成提醒,您可以随时在「系统设置 → 通知」中关闭

6. 数据安全

  • API Key 使用设备 Keychain 安全存储(iOS Keychain / macOS Keychain),采用硬件级加密
  • 遵循 iOS / macOS Keychain 与应用沙盒安全机制
  • 所有网络通信使用 HTTPS 加密
  • 本地数据存储在应用沙盒中,受 iOS / macOS 系统安全机制保护
  • macOS 版本遵循 App Sandbox 沙盒限制,仅可访问用户明确授权的文件和系统资源

7. 数据删除

您可以随时通过以下方式删除您的数据:

  • 在应用设置中选择"清空所有数据"
  • 删除单个对话或知识库条目
  • 如需更完整地清理数据,建议在卸载前先使用「清空所有数据」

8. 无障碍功能

本应用全面支持 iOS 与 macOS 无障碍功能,致力于为所有用户提供平等的使用体验。

8.1 支持的无障碍功能

  • VoiceOver 屏幕朗读:所有交互元素均配有无障碍标签,支持完整的屏幕朗读体验
  • 动态字体:支持系统字体大小设置,满足不同视力需求
  • 减少动态效果:尊重系统动画偏好设置,减少视觉干扰
  • 高对比度:支持系统对比度设置,提升可读性

隐私承诺:我们不会将无障碍相关信息用于画像或广告追踪,也不会自动收集与无障碍使用相关的分析数据。数据默认本地存储;仅在您主动使用相关功能时才会发生必要传输。

9. 儿童隐私

本应用不面向 13 岁以下儿童。我们不会故意收集 13 岁以下儿童的个人信息。

10. 隐私政策更新

我们可能会不时更新本隐私政策。更新后的政策将在本页面发布,并同步更新“最后更新日期”。建议您定期查看本政策。

11. 联系我们

如果您对本隐私政策有任何疑问或建议,请通过以下方式联系我们:

  • 邮箱:support@zeno.app

12. 您的权利(CCPA/GDPR)

12.1 加州消费者权利(CCPA)

如果您是加州居民,您有权:

  • 知道我们收集了哪些个人信息
  • 请求删除您的个人信息
  • 选择退出个人信息的出售
  • 不因行使这些权利而受到歧视

Important: 我们不会出售您的个人信息。您的数据默认存储在本地设备;仅在您主动使用相关功能时进行必要传输(例如:第三方 AI 调用、云中转、iCloud 同步、反馈提交)。

12.2 欧盟用户权利(GDPR)

如果您位于欧洲经济区(EEA),您有权:

  • 访问您的个人数据
  • 更正不准确的数据
  • 请求删除您的数据
  • 限制或反对数据处理
  • 数据可移植性

在默认本地存储模式下,您的数据主要由您自行控制。若您启用云中转或 iCloud 同步,仍可通过应用内管理能力执行查看、导出与删除等操作。对于已提交的反馈内容,如需进一步处理,请通过支持邮箱联系我们。

13. 适用法律

本隐私政策的解释和执行受中华人民共和国法律管辖。对于美国用户,适用加利福尼亚州法律。对于欧盟用户,适用 GDPR 及当地法律。