🛡️ Privacy Policy (隐私政策)

1. 声明与适用范围 / General Declaration & Scope

本隐私政策阐述了由 爱丽丝研究院 (Alice Research Institute)（以下简称“运营方”或“我们”）运营的“Yui”多模态 AI 助理系统（以下简称“本服务”）的数据处理规则。本服务核心服务器部署于美国，运营团队及部分算力节点位于中华人民共和国。本政策致力于合理遵循 中国《个人信息保护法》(PIPL) 及 加利福尼亚州消费者隐私法案 (CCPA/CPRA) 的核心要求。

特别声明： 本服务为非商业性质的闭门技术实验，不对社会公众开放。“爱丽丝研究院”为开发者个人的项目代称，非注册商业实体。

2. 终端存储与 Cookie 声明 / Cookies & Local Storage

本系统秉持无追踪原则，不包含任何第三方商业追踪、分析或广告 Cookie。为了履行网络安全与未成年人保护的法定义务，本系统仅使用法律认可的“绝对必要 (Strictly Necessary)”终端存储与缓存机制，该类机制依法免于强制预先获取同意：

• 浏览器本地存储 (Local Storage)： 仅当您的年龄鉴权未通过时，系统会在您的浏览器本地写入 age_locked 状态码。此机制纯粹用于物理锁死邀请网关，履行阻断未成年人访问的合规义务，不收集任何额外信息。
• 内存级访问频率限制 (Rate Limiting)： 本站后端会利用内存滑动窗口记录请求者 IP 地址的散列值（Hash），以防御 CC 攻击与密码爆破。该数据在 24 小时内自动滚动释放，绝不与您的 Discord 实体身份进行交叉比对或关联。

3. 数据收集原则与自愿披露 / Data Minimization & Voluntary Disclosure

本系统在架构设计上不包含全量日志持久化功能，数据处理严格划分为两级：

• 瞬时流动数据： 您在 Discord 发送的指令、多模态媒体及对话上下文，仅在系统内存中短暂停留以供大语言模型演算。系统不持久化存储原始聊天记录，历史通讯记录均由基础设施平台（Discord Inc.）依法作为数据控制者管理。
• 上下文状态档案 (Contextual Profile)： 为实现“主动触达”功能，我们在受控的数据库内保留必要的标识与状态数据：(1) 去标识化的用户 UID；(2) 情感状态数值；(3) 电子邮箱地址（仅限您主动执行绑定时收集）；(4) 推演的时区；(5) 由LLM模型提取的抽象记忆数据。
  【关于敏感信息与自愿披露】： 本系统绝不强制要求您提供真实姓名、物理地址或法定证件信息。若您在交互中 自愿提及 您的称呼、身份或经历，系统会将其作为“上下文记忆”进行抽象提取存储。您主动输入此类信息的行为，即视为明确同意我们对其进行合理的自动化处理。

4. 跨境数据流转与第三方 API / Cross-Border Transfers & Third-Party Integrations

【明示同意】 使用本服务即表示您明确知情并同意，您的交互数据与网络元数据将在全球范围内进行加密流转，并委托以下具备行业标准安全水平的第三方处理：

• 边缘计算与内容分发网络 (如 Gcore / Cloudflare 等): 提供 Web 应用防火墙 (WAF) 与抗 DDoS 保护。您的源 IP 地址及 HTTP 请求元数据将被其边缘节点短暂停留与解析，纯粹用于恶意流量清洗与网络路由。
• Discord Inc. (美国): 提供底层通信隧道与身份验证。
• Zeabur (全球节点): 承担本系统的核心实例与内存托管。
• SiliconFlow 硅基流动 (中国大陆): 提供核心大语言模型与多模态解析算力。（合规阻断警示：根据中国相关法规，境内算力提供商在其服务器端独立部署了强制性内容安全审查机制。若您的输入触发其风控红线，其依法执行的日志记录与违法上报行为，属于其独立的法定合规义务，运营方对此免责。）
• Microsoft及Microsoft Azure (全球): 提供语音合成与跨平台邮件流转服务。
• DuckDuckGo(美国): 承担本系统中对LLM提取的关键词的可能的联网检索服务。

5. 密码学数据保护 / Cryptographic Security

您的持久化档案受到高强度密码学保护：数据落盘前，经由高级加密标准 AES-256 算法加密，并嵌套符合中国国家密码管理局标准的 SM4 对称加密算法 进行二次封装。独立密钥在环境变量中物理隔离，以最大程度保障数据在静态存储时的安全性。

6. 您的法定数据权利 / Your Statutory Rights

• 数据携带与鉴真权： 发送 yui.export_data，系统将下发您的个人档案压缩包，内部嵌入 基于国密 SM2/SM3 算法的非对称防伪签名，可前往本站鉴真中心查验。为防算力滥用，限 24 小时/次。
• 退订与拒绝权： 发送 yui.unbind_email，系统将抹除您的通讯邮箱，停止主动邮件联络。
• 彻底遗忘权： 发送 yui.forget_me，将触发底层数据覆写，清除您的偏好与记忆档案。您的标识符将被单向哈希化并存入防打扰列表，进行长期静默隔离。

7. 未成年人保护 / Minors Protection

本系统原则上 拒绝 18 周岁以下的未成年人使用。若在后端年龄鉴权网关中被证实有未成年用户绕过限制，我们将立即切断其网络连接并清除对应档案。