Sharpefolio

隐私政策

草案 v1.0 — 最后更新 2026-05-07

本文为我们当前实践的善意陈述,正式法律评审进行中。重大变更将通过邮件和应用内通知告知用户。

1. 生效日期

本隐私政策于 [由用户填写 — 例如 2026-05-15] 起生效,最近一次更新于 [由用户填写 — 例如 2026-05-07]。我们将在本文档顶部标注最近修订日期。重大变更将按第 13 节披露。

2. 关于我们

Sharpefolio("本服务""我们")是一款面向个人投资者的投资组合分析平台,提供持仓追踪、业绩分析、因子与风格分析、期权分析以及风险管理工具。Sharpefolio 不提供任何形式的投资建议、理财建议、券商服务或投资推荐,仅作为个人投资记录与分析工具使用。

Sharpefolio 由 [由用户填写 — 经营者全称或注册主体名称] 运营,主体类型为 [由用户填写 — 个体经营 / 有限责任公司 等],注册地为 [由用户填写 — 州 / 国家]

  • 隐私事务联系邮箱: [email protected]
  • 官网: https://sharpefolio.io
  • 通讯地址(如适用): [由用户填写 — 服务规模化覆盖欧盟、英国或加州用户时为必填]
  • GDPR 第 27 条欧盟代表: [由用户填写 — 仅在主动面向欧盟市场推广时必填]

如对本政策有任何问题、希望行使第 8 节列出的任何权利,或希望投诉,请通过上述邮箱联系我们。我们承诺在 30 日内回复。

3. 我们收集的信息

我们仅收集运营本服务所必需的信息。以下分类与我们在 Apple App Privacy 问卷中提交的答案逐项对应。

3.1 身份与账户信息

  • 邮箱地址(来自注册、第三方 OAuth,或 Apple Hide-My-Email 中转邮箱 *@privaterelay.appleid.com
  • 姓名与头像 URL(您使用 Google 或 Apple 登录时收到的展示名与头像)
  • OAuth 提供商标识(如 Google 与 Apple 的 sub 字段,用于在后续登录时关联同一账户)
  • 使用邮箱 + 密码注册时,我们仅存储经 bcrypt 加盐哈希后的密码,绝不存储明文密码
  • 手机号(仅在您主动选择手机号登录方式时收集)

3.2 您提供或经您授权同步的财务数据

  • 持仓信息(标的代码、数量、成本价、券商标签),可手动录入或通过 CSV 导入
  • 交易、分红、期权批次记录
  • 由上述数据派生的每日组合及持仓快照(保留 90 天以上历史用于业绩分析)
  • 订阅状态、套餐等级、续费周期(Web 端来自 Stripe,iOS 端来自 RevenueCat / Apple;我们从未看到您的卡号、Apple ID 密码或完整收据
  • v1.0 阶段,仅平台经营者本人的账户启用券商 API 同步,普通用户不会连接任何券商,因此我们不会为普通用户存储任何券商凭证。如未来扩展给更多用户,我们会先更新本政策

3.3 使用与分析数据

  • 最近一次登录时间戳与基于 IP 推断的大致地理位置(用于异常登录检测与账户使用趋势图)
  • 您生成的 AI 分析记录。请注意,对于少数高频追踪的标的(如 SPY、AAPL、NVDA),分析内容由后台计划任务集中生成并供多用户共享,此情形下缓存内容不携带任何用户标识
  • 功能使用事件(哪些看板被打开、哪些订阅源被点击、使用了哪些筛选器),用于改进产品
  • 崩溃报告(堆栈信息、会话用户标识,发送至 Sentry,详见第 9 节的退出选项)。崩溃报告做了最小化处理:表单内容、持仓数量、标的代码不会进入崩溃载荷

3.4 Cookie、本地存储与设备数据

  • 登录后写入的 NextAuth 会话 Cookie(HttpOnly、Secure),以及 OAuth 握手期间使用的短生命周期 Cookie(statepkcenoncecallback-url,因 Apple 使用 form_post 重定向需 SameSite=None)
  • 浏览器本地存储中的语言偏好(zh / en / ru / ja / fr 之一)、浅色/深色主题以及演示模式开关
  • iOS 端:设备型号、系统版本、App 版本、Apple 为 App Store 交易签发的安装标识。我们不收集 IDFA,不展示广告

3.5 我们不收集的信息

  • 不收集社会安全号码、政府身份证件、生物特征、精确位置(GPS)、通讯录、相册、麦克风或摄像头数据
  • 不从数据经纪商购买广告画像
  • 不向任何第三方出售或出租您的个人信息

4. 我们如何使用您的信息

我们仅将第 3 节所述信息用于以下目的:

  1. 提供服务 — 身份认证、组合渲染、分析与风险计算、快照存储、按授权同步数据
  2. 支付处理 — 通过 Stripe(Web)或 RevenueCat / Apple(iOS)核验订阅状态,相应开放付费功能
  3. 改进产品 — 聚合化使用分析、新功能 A/B 测试、性能 profiling
  4. 沟通通知 — 事务性邮件(注册确认、支付收据、安全提醒)。未经您单独明示同意,我们不会发送营销邮件
  5. 安全与防滥用 — 异常登录检测、限流、欺诈调查、可接受使用政策执行
  6. 法律合规 — 响应合法传票、保存金融与税务法律要求保留的记录(详见第 7 节)

如需将信息用于实质上不同的目的,我们会先通知您,并在法律要求时取得您的同意。

5. 处理的法律基础(GDPR / 英国 GDPR)

如果您位于欧洲经济区、英国或瑞士,我们的处理依据如下:

  • 合同履行(GDPR 第 6(1)(b) 条)— 提供您订阅的分析与追踪功能
  • 同意(第 6(1)(a) 条)— 适用于需要同意的可选功能(如欧盟用户的 Sentry 崩溃报告),以及未来可能开展的营销沟通
  • 合法利益(第 6(1)(f) 条)— 产品改进、欺诈防范、基础安全监控;我们已与您的隐私权益做权衡评估,您可随时反对(第 8 节)
  • 法律义务(第 6(1)(c) 条)— 保留金融法律要求的记录(第 7 节)

我们不会进行对您产生法律效果或类似重大影响的纯自动化决策。我们的分析仅是辅助决策工具,最终决策由您本人作出。

6. 我们如何共享您的信息

我们仅与下述类别的接收方共享信息,且严格限于必要范围。我们与下列服务商签署了书面协议(如适用,包括数据处理附录)。

| 接收方 | 用途 | 共享内容 | |---|---|---| | Stripe, Inc. | Web 端支付处理 | 邮箱、套餐等级、账单国家。卡号直接录入 Stripe,不经过我们的服务器 | | RevenueCat, Inc. | iOS 订阅状态管理 | RevenueCat 为您分配的应用用户 ID、交易状态元数据 | | Apple Inc. | iOS 内购、Apple 登录 | 订阅收据与 sub 标识;Apple 自身的隐私实践适用于该交互 | | Google LLC | Google 登录 | 邮箱、姓名、头像 URL、sub 标识(仅在您选择 Google 登录时) | | Sentry(Functional Software, Inc.) | 崩溃与错误上报 | 堆栈信息、运行时元数据、用户 ID;欧盟用户可退出(第 9 节) | | Cloudflare, Inc. | DNS、边缘防护、@sharpefolio.io 邮件路由 | 路由与 DDoS 防护所需的标准请求元数据 | | Tiger Brokers(Tiger Open API) | 仅平台经营者本人账户的持仓同步(v1.0) | 经营者本人签发的 API 密钥;不向 Tiger 发送任何普通用户数据 |

我们查询的公开行情与数据源(Yahoo Finance、FRED、SEC EDGAR、Alpha Vantage、NewsAPI、Polymarket)仅收到标的代码或经济序列代号,绝不收到您的账户、持仓或身份信息。

我们也可能在以下情况披露信息:(a)善意地为遵守合法传票、法院命令或其他法律程序所必需;(b)保护 Sharpefolio、用户或他人的权利、财产或安全;(c)公司交易(合并、收购、融资)— 此时收购方将受不低于本政策保护水平的条款约束,我们会通知您。

我们因金钱对价出售您的个人信息,也不为加州消费者隐私法(CCPA / CPRA)所定义的"跨场景行为广告"目的"共享"个人信息。

7. 数据保留 — 关于财务记录的重要提示

不同类别的数据保留期不同。

账户活跃期:账户活跃期间,我们会在为运营所必需的时长内保留您的个人信息及您录入或同步的财务记录。

账户删除:当您请求删除账户(第 8 节),我们采用软删除流程:身份资料将在 7 日内匿名化,邮箱替换为不可还原的随机值,OAuth 链接断开,您将无法再登录。

财务记录 7 年保留 — 即使您已删除账户即使您已删除账户,与该账户相关的财务交易记录(持仓、交易、分红、期权批次、每日组合快照)仍将自相关交易发生之日起保留 7 年。 这些记录将以去标识化形式留存(与您的姓名、邮箱、OAuth 标识、联系方式断开),但财务数据本身仍然保留。

我们采用 7 年保留的两点理由:

  1. 金融账簿与记录的行业惯例:美国金融监管机构(FINRA Rule 4511、SEC Rule 17a-4)要求投资顾问、券商等受监管主体保留账簿与记录 3 至 7 年。Sharpefolio 目前不是注册的券商或投资顾问,但我们采用 7 年标准,便于在未来出现监管关系、税务/审计纠纷或合法的执法请求时,账簿可被还原与受理
  2. 用户的税务与审计需要:美国纳税人通常需要回溯多年的成本基础与分红历史。保留去标识化记录,使我们能够在用户后续请求恢复或重新导出时提供协助

您可随时请求加快删除身份信息,我们会照办。但您不能绕开上述财务记录 7 年保留要求。如不接受这一安排,请勿在本服务中录入敏感数据。

其他数据:备份保留至多 35 天;服务器访问日志保留至多 90 天;Sentry 崩溃报告按 Sentry 默认保留 90 天;聚合化、不可识别个人的统计数据可能无限期保留。

8. 您的权利与选择

视您所在地区,您享有以下一项或多项权利。无论您身处何地,我们均在合理可行范围内全球性地予以保障。

  • 知情与访问权 — 申请获取我们持有的关于您的个人信息副本(我们提供 JSON + CSV 导出)
  • 更正权 — 通过应用内设置或联系我们更新邮箱、姓名或任何错误数据
  • 删除权 — 请求删除账户;软删除流程见第 7 节,受财务记录 7 年保留的限制
  • 可携带权 — 以结构化、通用且机器可读的格式获取您的数据(我们提供 JSON 与 CSV)
  • 反对处理权 — 反对基于合法利益(第 5 节)的处理,我们将逐案评估
  • 限制处理权 — 在争议解决期间要求我们暂停使用您的数据
  • 撤回同意权 — 对依赖同意进行的处理(如欧盟 Sentry 崩溃报告),随时撤回
  • 退出"出售"或"共享"的权利(CCPA/CPRA)— 我们不出售也不"共享"您的个人信息;您仍有权要求我们确认这一点
  • 不受歧视权(CCPA/CPRA)— 我们不会因您行使隐私权而拒绝服务或差别定价
  • 投诉权 — 欧盟 / 英国用户可向当地监管机构投诉(欧盟成员名单:https://edpb.europa.eu;英国 ICO:https://ico.org.uk )
  • 指定授权代理人(CCPA/CPRA)— 加州居民可指定他人代为行使权利

行使任一权利,请通过账户绑定邮箱发送邮件至 [email protected],或使用应用内"导出我的数据"和"删除我的账户"按钮。涉及账户实质性变更的请求,我们会先验证身份。我们将在 30 日内回复(复杂请求可延长至 90 日,并预先通知)。

加州居民还可申请获取过去 12 个月内我们收集、使用、披露或出售/共享的个人信息类别。我们的回答见第 3 节与第 6 节;我们未出售或"共享"个人信息。

9. Cookie 与本地存储

浏览器侧存储项一览:

  • 认证 Cookienext-auth.session-token(HttpOnly、Secure、SameSite=Lax)以及 OAuth 握手期间的短生命周期 Cookie(statepkcenoncecallback-url,因 Apple 使用 form_post 重定向需 SameSite=None)。严格必要,无法关闭
  • 本地存储 — 语言偏好、浅色/深色主题、演示模式开关。仅功能性用途
  • 不设置任何广告 Cookie 与第三方分析 Cookie(如 Google Analytics、Facebook Pixel)。我们仅使用第一方服务端分析
  • Sentry 遥测 — 对 IP 地理定位为欧盟 / 英国的用户默认关闭;可在"设置 → 隐私"中选择加入

如您所在司法辖区强制要求 Cookie 同意横幅(如欧盟 ePrivacy 指令),首次访问时您将看到横幅。未点击"接受"而继续使用,仅启用严格必要 Cookie。

10. 未成年人隐私

本服务在 App Store 评级为 4+(无不良内容),但不面向 13 岁以下用户(在欧盟 / 英国,按当地较高年龄要求为 16 岁以下)。我们不会在知情情况下收集儿童个人信息。如您是家长或监护人,发现我们持有儿童信息,请联系 [email protected],我们将予以删除。

11. 跨境数据传输

我们的服务器位于 [由用户填写 — 例如美国]。如果您在该国家以外访问本服务,您的信息将被传输至该国并在该国处理。

对欧洲经济区与英国用户,向美国的传输在法律要求下依据欧盟委员会发布的标准合同条款(2021/914/EU)进行,并辅以第 12 节所述的技术与组织措施。如需获取该条款副本,请联系我们。

关于中国大陆用户:Sharpefolio 未在中国大陆官方分发,v1.0 iOS 应用不在中国区 App Store 上架。如您仍从中国大陆访问 Web 版本,请知悉您的使用可能受当地法律(包括《个人信息保护法》)以及我们无法控制的本地网络条件影响。

12. 安全措施

我们认真对待安全。具体而言:

  • 密码:bcrypt 加盐哈希存储,绝不存储明文密码
  • 传输安全:全站强制 HTTPS,启用 HSTS
  • 静态存储:生产数据库部署于支持磁盘加密的环境;数据库 WAL 文件受文件系统权限保护
  • 多用户隔离:所有 API 路由通过中央化辅助函数(requireUserId)执行用户作用域查询;我们在内部 QA 流程中定期审计跨用户数据隔离
  • OAuth 流程:所有 OAuth 提供商强制 PKCE;校验 statenonce;Apple 登录在可行的 iOS 端使用原生流程
  • 支付安全:卡号不经过我们服务器;Stripe 与 Apple 负责 PCI-DSS 合规
  • 访问控制:生产数据库仅限少数被授权工程师通过 SSH 密钥访问;密钥存于环境变量,从不提交至源码
  • 事件响应:如发生影响欧盟 / 英国用户的个人数据泄露,我们将在 GDPR 第 33 条要求时于 72 小时内通知监管机构;当泄露可能对您的权利与自由造成高风险时,我们将直接通知受影响用户

任何系统都无法保证 100% 安全。使用本服务即表示您理解并接受这一固有风险。

13. 政策变更

本政策可能不时更新。文档顶部的"最近更新"日期反映最近一次修订。对于重大变更(如新增数据收集类别、新增第三方接收方、保留期变更),我们将在生效前至少提前 30 天通过邮件与应用内横幅通知。在更新生效日后继续使用本服务即视为接受更新版本。如不同意,您可随时停止使用并申请删除账户。

14. 联系我们

隐私问题、第 8 节项下请求或投诉,请联系:

  • 邮箱: [email protected]
  • 通讯地址: [由用户填写 — 如有大量欧盟或加州用户为必填]
  • 运营主体: [由用户填写 — 全称]

如对我们的回复不满意,欧盟 / 英国用户有权向所在国数据保护监管机构投诉。加州居民可向加州隐私保护局投诉(https://cppa.ca.gov )。加拿大居民可向加拿大隐私专员办公室投诉(https://www.priv.gc.ca )。