隐私与 GDPR
Timi 的探测器在哪里运行,哪些数据离开/不离开您的设备,以及您的权利。
黄金法则
Coach Timi(卡片)流程中没有任何数据离开您的设备。 7 个 advisor 与 8 个信号探测器在本地运行,orchestrator 是纯客户端。
[!note] 这是有意为之的决定。这避免了为获取主动建议而依赖外部 LLM,也保证您的任务日历或税务期限不会泄露到第三方服务器。
那么 LLM(OpenAI、Anthropic)呢?
Timint 仅在两个明确的场景使用 LLM:
- AssistantSheet — Home 横滑进入的反应式聊天。它不是 Timi,而是另一项功能。在部分请求中,AssistantSheet 会向后端发送匿名化快照(无姓名、无 ID),后端可向 LLM 发起调用。首次使用需明示同意。
- Tool advisor — 工具计算后的上下文 AI 推荐(
useToolAdvisor)。把匿名化的输入与结果发送到 Cloud Function 端点。
两种情况下,目前都没有任何 Coach 卡片由 LLM 生成。阶段 8 计划接入此能力,但前提是:
- 首次使用时显示阻断式同意弹窗(即将推出);
- 自动附加所有税务、银行、投资 disclaimer;
- 在 LLM 之后应用 forbidden phrases 列表(不出现「请买 X」、「请认购 Y」等)。
您的 GDPR 权利
- 可携带权 — 通过
requestDataExport(设置 > 账户)完整导出您的全部数据。 - 更正权 — 通过
requestDataRectification提交更正请求。 - 删除权 — 通过
requestAccountDeletion删除账户(立即 soft delete + 第 30 天 hard delete)。 - 细粒度同意 —
recordUserConsent:每个处理类别都可撤回。
各类处理的法律依据
| 处理 | 依据 | DPIA 参考 | |---|---|---| | 信号检测 + 主动卡片 | Art. 6.1.b GDPR(履行合同) | §2.2 | | 确定性的个性化建议 | Art. 6.1.b GDPR | §2.2 | | 向第三方 LLM 传输(未来) | Art. 6.1.a + Art. 49.1.a(明示同意 + Standard Contractual Clauses) | §2.5 | | 匿名化分析 | Art. 6.1.f + opt-in | §2.2 |
跨境(欧盟外传输)
若 LLM 在美国被调用(Anthropic/OpenAI 路线图场景),将适用 Standard Contractual Clauses(SCC)并附带文档化 DPIA。一旦实现对等能力,将迁移至 AWS Bedrock UE 或 Anthropic UE。
常驻 disclaimer
/coach 收件箱底部始终显示:Timi 提供具有信息价值的个性化分析。Il ne se substitue pas à un conseiller en investissement, un avocat fiscaliste ou un expert-comptable.
AI Act — 第 50 条透明度
- 任何
aiGenerated=true的卡片都会显示 AI generated — verify with a pro 徽章。目前没有卡片携带此徽章(全部为确定性)。 - 收件箱常驻底部 disclaimer。
- 首次使用阻断式同意弹窗(阶段 8 推出)。
[!info] 进一步了解:请查看 数据隐私 章节 — 详细的 GDPR 权利、导出与更正流程。