CookCanvas 隐私政策

CookCanvas（以下简称”我们”）的设计原则是数据最小化：能不收集的就不收集，能留在你设备本地的就留在本地。本政策说明我们实际处理哪些信息、为什么处理，以及你拥有的权利。

1. 我们收集什么

• Apple 登录标识 — 你通过 Sign in with Apple 登录时产生的标识，仅用于登录与账号找回。我们不要求你提供真实姓名或邮箱（除非你主动通过 Apple 选择共享）。
• 你创建的内容 — 你设置的菜系偏好、目标与过敏原，你生成的菜单与计划，以及你认可的营养记录。这些内容仅用于向你提供服务。
• 我们不收集 — 健康、减肥或医疗数据；广告标识符；位置信息。应用内没有任何第三方广告或追踪 SDK。

2. 本机优先存储

你的一周计划、购物清单、营养记录与冰箱库存优先保存在你设备本地的数据库中，离线可用。账号关联数据存储于启用了行级安全隔离（RLS）的云端数据库，仅你本人可访问。我们不会出售你的任何信息，也不会将其用于广告。

3. 照片与 AI 处理

• 冰箱照片不被留存：你拍摄的冰箱照片仅为完成本次食材识别而实时传输处理，识别完成后即被丢弃，不会保存在我们的服务器上。识别出的食材清单保存在你的设备本地。
• AI 请求经我们自托管网关路由给第三方 AI 服务商 OpenAI（GPT 系列模型）处理，仅用于实时生成你请求的结果（饮食计划、食材识别、购物清单分类）。我们不会向 AI 服务商发送你的姓名、Apple 登录标识或位置信息；通过 API 提交的内容不会被用于模型训练。
• AI 输出有防火墙：涉及医疗、减重等越界内容会被客户端与服务端双层过滤拦截。

4. 营养数据来源

营养数值引用美国农业部 USDA FoodData Central 公开数据库；查询该公开数据库不涉及你的个人信息。

5. 数据删除

你可以随时在 App 内（设置 → 删除账号）删除账号。确认后你的计划、库存、营养记录等全部关联数据会被级联删除，并在 7 天内从我们的服务器永久清除，不可恢复。

6. 第三方服务

我们仅使用以下为提供服务所必需的第三方服务：

• Apple App Store / StoreKit — 处理订阅与付款
• Sign in with Apple + Supabase — 登录认证与账号数据存储（RLS 隔离）
• RevenueCat — 聚合订阅状态（不接触你的付款卡信息）
• OpenAI（经自托管网关 newapi.zweiteng.tk 路由） — 根据你的输入实时生成饮食计划与食材识别结果；不用于模型训练，不留存你的照片
• USDA FoodData Central — 公开营养数据库查询

7. 儿童隐私

CookCanvas 不面向 13 岁以下儿童，我们不会故意收集 13 岁以下儿童的个人信息。

8. 政策变更

重大变更会在 App 内通知，并要求你重新阅读确认。继续使用本应用即表示你同意更新后的隐私政策。

9. 联系我们

如有隐私相关问题，请联系：privacy@sanva.tk