隐私政策

本隐私政策说明当您使用 Getwellin iOS 应用以及位于 getwellin.com 的 Getwellin 网站（合称"本服务"）时，Getwellin 如何收集、使用、共享并保护您的信息。Getwellin 会将您的面孔转化为 AI 生成的肖像：您完成一次引导式的多角度面部扫描，并选择上传照片，应用据此构建一个代表您容貌的个人模型，再生成看起来像您本人、置身于您所选场景与装束中的图像。由于本服务的核心依赖于您的面孔，本政策将特别说明我们如何处理您的面部数据。

请仔细阅读本政策。通过创建账户，并在必要时给予"您的面部扫描与生物特征数据"一节所述的单独同意，即表示您确认理解我们如何处理您的信息。如您不同意，请勿使用本服务。本政策与我们的 服务条款一并适用。

1. 我们是谁

对您信息负责的数据控制者为 [TO BE COMPLETED: Company legal entity, registered address] （"Getwellin"、"我们"或"本公司"）。就本政策的任何事宜，您可通过 [email protected] 与我们联系，一般帮助则可联系 [email protected]。

本服务受 [TO BE COMPLETED: Governing law / jurisdiction]管辖，本政策亦据此解释，但不影响您依据自身所在国家或州法律所享有的任何强制性数据保护权利。

2. 简要概览

• 我们只收集运营本服务所必需的信息：您的姓名与电子邮箱、您的面部扫描与上传的照片、您创作的图像、您的购买记录，以及基本的使用与诊断数据。
• 您的面部扫描属于敏感的生物特征类数据。我们仅将其用于构建您的个人模型，以及核验每一张生成图像是否像您本人。我们绝不出售它，绝不与广告商共享，也绝不从中牟利。
• 为生成图像，我们会将您的参考图像发送至 Google 的 Gemini AI 服务，在该环节中其作为我们的处理者。
• 我们不会跨其他公司的应用或网站追踪您，也不会展示第三方广告。
• 您可以在应用内删除您的创作、撤回同意，并删除包括面部模型在内的整个账户。

3. 我们收集的信息及其原因

以下各类别直接对应应用实际处理的内容。所有这些都与您的账户身份相关联，且都不会被用于跨其他公司的产品追踪您。

• 姓名与电子邮箱。当您使用 Apple、Google 或电子邮件登录时收集。用于创建并保护您的账户、在不同会话间识别您，以及就您的账户与重要的服务通知与您联系。
• 面部扫描与生物特征类面部数据（敏感）。 指多角度扫描及由其衍生的面部数据。仅用于构建您的个人模型，并将每一张生成成片与您的采集比对评分，使输出看起来像您。这属于特殊类别／敏感数据，第 4 节将详述。
• 您上传的照片与视频。您选择添加的参考照片。用作构建您模型及生成肖像的输入。
• 其他用户内容。应用为您生成的图像，以及您选择公开发布到发现墙上的任何创作。用于提供您的图库，并支撑您自愿参与的公开发现与混搭功能。
• 用户 ID 与设备 ID。将您的活动与账户和设备相关联的标识符。用于运行本服务、保护您的账户、将您的内容送达正确的设备，并防止滥用。
• 购买记录。金币购买的确认及订阅状态。用于发放金币、管理您的方案并提供支持。我们绝不接收或存储您的支付卡信息。
• 产品互动。应用内的活动，例如您保存、查看与混搭的造型。用于个性化您的发现信息流。
• 崩溃数据与性能数据。关于错误与应用性能的诊断信息。用于保持应用稳定并修复问题。

我们还会使用设备的标准本地存储（UserDefaults）将应用设置与状态保存在您的设备上，这是该系统一种常规、有正当事由的用途，并不用于追踪您。

我们已对应用进行配置，使上述数据均不会被用于 Apple 的"应用追踪透明度"框架所定义的追踪。我们不会将其与其他公司的数据关联用于广告或衡量，也不会与数据经纪商共享。

4. 您的面部扫描与生物特征数据

本节是整份政策的核心。它同时充当我们依据适用的生物特征隐私法律所要求的、公开可查的书面政策，载明生物特征数据的保留期限与销毁准则。您的面部扫描及由其衍生的面部数据（包括用于识别并重现您容貌的面部几何特征与模型）属于敏感个人信息，并在法律使用相关术语之处，构成 生物特征标识符与生物特征信息以及 特殊类别数据。我们对其施以高于其他任何持有数据的谨慎标准。

收集前的书面告知。在我们采集或存储您的面部数据之前，我们会在一个单独的同意页面上以书面形式告知您：(a) 正在收集并存储生物特征数据；(b) 收集、存储与使用它的具体目的，如下所述；以及 (c) 其将被收集、存储与使用的期限，载于下方的保留与销毁安排中。

您的明确书面同意。该同意页面是一个独立、单独的页面，不与一般账户条款捆绑。当您在该页面上作出肯定同意（根据适用法律，这构成书面授权及您的明确同意）时，即授权我们为此处所述的具体目的与期限，收集、存储并处理您的面部扫描及由其衍生的面部数据。我们会保留您同意的记录。如您不给予此项同意，本服务基于面部的功能将无法运行，我们也不会收集您的面部数据。

具体目的。我们收集并处理您的面部数据仅有一个目的：构建代表您容貌的个人模型、生成您所请求的肖像，并运行面部相似度"身份门控"，将每一张生成图像与您的采集比对评分，使成片看起来像您。我们不会将您的面部数据用于任何其他目的，未经先行取得您的新同意，也不会将其挪作新用途。

身份门控是一项质量检查，而非对您的判定。 身份门控将每一张生成图像与您的采集相比对，可能导致图像被重新生成，使其更像您。它不会评判您，不会授予或拒绝您对任何事物的访问，也不会产生任何法律上或类似的重大效果，因此它并非那种会在数据保护法下引发额外权利的、纯属自动化的决策。

我们绝不出售或从您的生物特征数据牟利。我们不会出售、出租、交易您的面部扫描、面部数据或由其衍生的任何生物特征标识符或生物特征信息，也不会以其他方式从中牟利。我们或任何第三方都不会将其用于营销、广告或基于使用的数据挖掘。

有限的披露。除以下情形外，我们不会披露或再披露您的面部数据：(a) 披露给提供本服务所严格必需的处理者，即用于图像生成的 Google Gemini AI 服务，以及用于身份门控的我们自托管的面部评分服务，两者均受约束，只能按我们的指示使用并加以保护；(b) 经您指示或同意；(c) 为完成您所请求的交易；或 (d) 法律、传票或有效令状所要求。对每一个接触面部数据的处理者，我们都使其承担至少与本政策同等保护程度的保密与安全义务。

保留与销毁安排。我们仅在上述目的所需的期限内保留您的面部数据，绝不为最大化收集而延长保留。当收集目的已达成、当您撤回同意或删除账户，或在您与本服务最后一次互动后三（3）年内（以最先发生者为准），我们将永久销毁您的面部扫描及由其衍生的面部模型。当面部数据被销毁时，底层的扫描帧与个人模型将从我们的存储中移除。

生物特征数据的安全。我们以本行业合理的谨慎标准存储、传输并保护您的面部数据，其方式与我们存储和保护所持有的其他机密及敏感信息的方式相同，或更具保护性。

如何删除它或撤回同意。您可随时通过在应用中删除账户来撤回同意并删除您的面部数据。删除账户会销毁您的面部模型与扫描帧，并按上述安排移除您的个人数据；撤回生物特征同意同样会触发对您面部数据的销毁。如第 11 节所述，您所做的某些创作以及一小段不可识别身份的预览数据块可能在删除后仍然存留；这些并非您的面部模型，也不用于识别您。撤回同意与给予同意一样简便，且不影响在您撤回之前所进行处理的合法性。完整的保留细节见第 11 节，行使权利的方式见第 14 节。

5. 处理的法律依据（欧盟／英国）

如您身处欧洲经济区、英国或瑞士，我们仅在依据《通用数据保护条例》（GDPR）及英国 GDPR 拥有法律依据时，才处理您的个人数据：

• 明确同意（第 9(2)(a) 条）。对于属于特殊类别数据的面部扫描与生物特征数据，我们依据您在第 4 节所述的独立同意页面上给出的、单独、明确、自愿、具体、知情且无歧义的同意。
• 同意（第 6(1)(a) 条）。第 6 条下与上述生物特征处理相配套的合法依据，以及用于可选功能，例如发布到公开发现墙。
• 合同的履行（第 6(1)(b) 条）。用于创建并维护您的账户、生成您所请求的肖像、送达您的内容并处理您的购买。
• 合法利益（第 6(1)(f) 条）。用于保障本服务安全、防止滥用与欺诈、审核内容，以及提升稳定性与性能，并与您的权利相平衡。
• 法律义务（第 6(1)(c) 条）。在我们必须保留或披露数据以遵守法律之处。

您可随时撤回同意，且与您给予同意时一样简便，不影响已进行的处理。撤回对生物特征处理的同意意味着基于面部的功能将停止运行。

6. AI 图像生成如何运作

为创作您的肖像，应用会将输入与参考图像（包括您的面部扫描输入和上传的照片）发送至 Google 的 Gemini AI 服务 （模型 gemini-3-pro-image），这是一项代表我们生成输出图像的第三方 AI 处理者。Google 处理这些图像以产出结果，并在该环节作为我们的处理者，受其适用条款与数据处理承诺约束。我们仅发送执行生成所需的最少图像，且不授权将您的图像用于训练与本服务无关的第三方模型。

生成之后，我们自托管的面部评分服务会将结果与您的采集相比对（身份门控）。您创作的图像由 AI 生成；当您公开发布它们时，它们清晰地属于一项 AI 肖像服务的一部分，我们可能依据适用的透明度要求，将共享内容标记或视为 AI 生成。

7. 子处理者与第三方

我们在自托管的基础设施上运行后端（以 Dokploy 管理），其中包括我们的应用服务器、一个 PostgreSQL 数据库、一个 Redis 缓存、用于存放您的扫描帧、生成成片与头像的 MinIO 兼容 S3 对象存储，以及我们的面部评分服务。我们使用少量第三方来提供特定功能，每一个都作为我们的处理者，并受约束保护您的数据：

• Apple。通过 Apple 登录，以及应用内购买的账单与退款。
• Google。Google 登录，以及执行图像生成的 Gemini AI 服务（接收您的参考图像）。
• RevenueCat。订阅与购买状态的管理。RevenueCat 不会接收您的支付卡信息。
• Resend。在启用邮件投递时，发送事务性与账户邮件。
• 我们自托管的基础设施。上文所述的服务器、数据库、缓存、对象存储与面部评分服务，由我们自行运营。

这些子处理者是我们向其披露个人数据的唯一类别的第三方，且我们披露的目的仅在于让他们代表我们执行这些业务目的的职能。我们不会为获取金钱或其他有价对价而向任何第三方披露您的个人数据。

8. 您的内容与公开发现墙

您上传的照片与您生成的图像存储在我们的服务器上，以便应用能在不同会话间向您展示。您的创作默认是私密的。如您选择将一件创作设为公开，它将出现在应用内类似 Pinterest 的发现墙上，其他用户可在那里查看它，并将该造型"混搭"到自己的头像上。您可以掌控哪些创作公开，并可随时将一件创作设为私密或将其删除。

我们提供工具来保障发现墙的安全，包括应用内举报、用户拉黑，以及将自动安全检查（含 Google 的 Gemini 安全审查）与人工审核相结合的内容审核。我们可能会移除违反我们 服务条款的内容，并可能暂停或封禁相关账户。被暂停的账户会看到一则说明其状态的通知。

9. 购买

金币与自动续期订阅（例如 Getwellin Plus 与 Studio）通过 Apple 的应用内购买系统销售。Apple 负责账单、付款与退款，并作为记录商户。订阅与购买状态通过 RevenueCat 管理。我们会收到您购买的确认及订阅状态，以便发放金币并管理您的方案。我们绝不会看到或存储您的支付卡信息。如需取消订阅，请在您的 Apple ID 设置中使用"管理订阅"；退款请求由 Apple 处理。

10. 数据的跨境传输

我们及我们的处理者可能在您所在国家以外的国家处理您的数据，包括由 Google 的 Gemini 服务进行的处理以及在我们自托管基础设施上的存储。当我们将个人数据传输至欧洲经济区、英国或瑞士以外、且没有充分性决定的国家时，我们依靠适当的保障措施，包括欧盟委员会的标准合同条款、英国国际数据传输附录，以及在接收方已获认证之处的欧盟－美国数据隐私框架。您可通过发送邮件至 [email protected] 索取相关保障措施的副本。

11. 我们保留您数据的时长

• 面部扫描与面部模型。在目的达成时、在撤回同意或删除账户时，或在您最后一次互动后三（3）年内销毁，以最先发生者为准（见第 4 节）。
• 账户信息（姓名、邮箱、标识符）。在您的账户处于活跃状态期间保留，并在账户删除后删除，但须遵守任何我们依法必须保留的内容。
• 上传的照片与生成的图像。在您的账户处于活跃状态期间保留；您可随时删除单件创作。
• 账户删除的具体说明。删除您的账户会销毁您的面部模型并移除您的个人数据，并在您通过 Apple 登录之处撤销"通过 Apple 登录"令牌。出于技术原因，由于应用存储内容与预览的方式，您所生成的某些创作以及与某件创作相关的一小段不可识别身份的预览数据块可能在账户删除后仍然存留；这些内容不含您的面部模型，也不用于识别您。您可随时自行删除单件创作。
• 购买记录与诊断数据。为会计、欺诈防范与稳定性所需而保留，并保留任何法律所要求的期限。

12. 安全与泄露通知

我们采用旨在保护您数据的技术与组织措施，包括访问控制、传输中加密、敏感数据隔离，以及对面部数据的受限访问。我们以本行业合理的谨慎标准保护您的面部数据，且至少与保护我们其他机密信息同等地加以保护。没有系统是绝对安全的，但我们致力于保障您的数据安全，并对任何事件及时响应。当发生个人数据泄露时，我们将在适用法律（包括 GDPR 及适用的美国各州泄露通知法律）所要求的范围与时限内，通知受影响的用户及相关监管机构。

13. 您的权利

如您身处欧洲经济区、英国或瑞士（GDPR／英国 GDPR）， 您有权：访问您的数据；更正它；删除它（被遗忘权）；限制其处理；以可移植的、机器可读的格式获取它；反对某些处理；随时撤回同意，包括对生物特征处理的同意；并向您本地的数据保护监管机构提出投诉。

如您是加利福尼亚州居民（CCPA／CPRA），您有权：知悉我们收集哪些个人信息以及我们如何使用与共享它；访问并获取其副本；删除它；更正它；选择退出个人信息的"出售"或"共享"；限制敏感个人信息的使用与披露；并且不因行使您的权利而受到歧视。在我们的网站上，我们尊重受认可的退出偏好信号，例如全球隐私控制（GPC），将其视为退出任何出售或共享的有效请求。

我们不出售或共享您的个人信息，也不出售您的生物特征数据或从中牟利。由于我们将敏感个人信息（包括您的面部数据）的使用限于提供本服务所必需的范围内，因此我们不会将其用于任何您需要单独加以限制的目的。为每一张生成图像评分的身份门控仅是一项质量检查；它不会作出对您产生法律上或类似重大效果的自动化决策，我们也不会让您受制于那类自动化决策。

美国生物特征隐私。如您身处伊利诺伊州（BIPA）、得克萨斯州（CUBI）、华盛顿州，或另一个设有生物特征隐私法律的州，第 4 节中的保护适用于您，包括我们公开的保留与销毁安排、我们在收集前的书面同意要求、我们不出售与不牟利的承诺、我们对披露的限制，以及我们对生物特征数据的安全标准。

14. 如何行使您的权利

您可以直接在应用中删除单件创作、将创作设为私密、撤回生物特征同意，并删除您的整个账户（这会销毁您的面部模型并移除您的个人数据）。如需提出任何其他请求或咨询问题，请发送邮件至 [email protected]。在对某项请求采取行动之前，我们可能需要核验您的身份，并将在适用法律所要求的时限内回复。您不会因行使权利而受到差别对待。

15. 儿童

Getwellin 评级为 16+，并非面向儿童。我们不会在知情的情况下收集 16 岁以下、或低于其所在地区所要求最低年龄者的个人数据，也不会在知情的情况下收集其面部数据。如您认为某名儿童向我们提供了个人数据，请联系 [email protected]，我们将予以删除。

16. 本政策的变更

随着本服务的演进或法律的变化，我们可能更新本政策。我们会在此以新的"最后更新"日期反映重大变更，并在需要时再次征求您的同意。如某项变更影响我们处理您面部数据的方式，我们将在对您适用之前取得法律所要求的任何进一步同意。

17. 联系我们

隐私问题与请求： [email protected]。一般支持：[email protected]。我们的通讯地址为 [TO BE COMPLETED: Company legal entity, registered address]。

欧盟与英国代表。如向位于欧盟与英国境外、却向当地居民提供服务的控制者所要求的那样，您可通过 [TO BE COMPLETED: EU Article 27 representative] 联系我们的欧盟代表，并通过 [TO BE COMPLETED: UK Article 27 representative]联系我们的英国代表。您也有权向您本地的数据保护监管机构提出投诉。