最后更新 2026-06-03 · v1.2

隐私政策

我们清楚说明收集了你的什么数据、为什么收、怎么保护、怎么删除。不卖你的数据,不用作模型训练。

📌 摘要(30 秒读完)

  • 我们收集:邮箱、手机号(用于登录与账单);你输入的 prompt 和上传的参考图;生成的作品;支付订单;常规日志(IP、设备)
  • 我们不做:不卖你的数据;不用你的内容做模型训练;不分析你的私人内容用于精准广告
  • 你可以:随时导出全部数据;删除作品;注销账号;选择对个别作品启用"零留存"模式
  • 第三方:上游模型厂商(按各自隐私政策);支付通道;CDN;客服系统。完整清单见第 3 节

1. 我们收集什么

1.1 你主动提供给我们的

  • 账号信息:邮箱、手机号、微信 / GitHub / Google OAuth ID(任选其一)
  • 身份信息(仅企业档 + 开发票):公司名称、统一社会信用代码 / 税号
  • 个人偏好:默认模型、画幅、通知开关等
  • 支付信息:充值订单的金额、时间、支付方式(信用卡号 / 微信 OpenID 等敏感字段由支付通道直接处理,我们不接触不存储

1.2 你使用服务时产生的

  • Prompt 与参考图:你输入的文字描述、上传的图片
  • 生成结果:调用模型生成的图片、视频、音频
  • 调用元数据:选用的模型、画幅、数量、消耗积分、生成时间

1.3 系统自动收集的

  • 访问日志:IP 地址(用于风控)、User-Agent、访问时间、页面路径
  • 设备信息:浏览器版本、操作系统、屏幕分辨率
  • 性能数据:API 响应时间、错误率(用于改善服务)

2. 如何使用

我们使用收集的信息仅用于以下目的

  1. 提供服务:你点"生成" → 我们转发到上游模型 → 把结果返回给你 → 扣对应积分
  2. 账户管理:登录、密码重置、订单查询、发票开具
  3. 风控安全:识别异常登录、防止恶意刷量、调查投诉
  4. 服务通知:发送账单、安全告警、重要功能更新邮件(可在个人中心 → 通知关闭非必要项)
  5. 统计分析:分析聚合数据(如"本月最受欢迎的模型")改善产品;不分析单个用户的私人内容
  6. 合规义务:在适用法律强制要求时配合监管 / 司法机关

我们承诺不做的事

  • ❌ 不出售你的任何数据给任何第三方
  • ❌ 不用你的 prompt / 图片做模型训练
  • ❌ 不用于精准广告投放
  • ❌ 不在你不知情时把你的作品公开展示

3. 第三方共享

为提供服务,不可避免地需要把数据传给某些第三方,包括:

3.1 上游模型厂商

你选择一个模型时,我们把 prompt 和参考图转发给对应的厂商 API。每个厂商有自己的隐私政策:

  • OpenAI(GPT 系列、GPT-Image、Sora)隐私政策 ↗
  • Anthropic(Claude)隐私政策 ↗
  • Google(Gemini、Imagen、Nano Banana、Veo)隐私政策 ↗
  • 字节跳动(豆包、Seedream)
  • 阿里云(通义、万相)
  • 腾讯(混元)
  • 快手(可灵、可图)
  • Black Forest Labs(Flux)

我们已经审过所有上游模型的政策,它们都明确不将 API 调用的内容用作模型训练。但你应在使用前简要了解一下。

3.2 支付通道

  • 微信支付(腾讯财付通)
  • 支付宝(蚂蚁集团)
  • Stripe(卡组织收单)
  • NowPayments(USDT 链上)

3.3 基础设施

  • Cloudflare(CDN + WAF 防刷)
  • Hetzner / Vultr(云服务器)
  • Amazon S3 / Cloudflare R2(图片存储)
  • SendGrid / 阿里云邮件(事务性邮件)
  • 阿里云 / 数美(内容安全审核)

4. 存储与保留

  • 账号信息:账户存续期间永久保存;注销后 30 天彻底删除
  • 作品:永久保存在云端作品库;可主动删除(删除立即生效,无法恢复)
  • Prompt 与上传参考图:作为作品的元数据保存;删除作品时同步删除
  • 支付订单:根据税务和会计法律要求保留 5 年(即便你注销账号也保留匿名化的财务记录)
  • 访问日志:90 天滚动保留
  • 存储位置:海外节点(欧盟 / 美国西部 / 东亚)—— 取决于你的访问地区

5. 安全措施

  • 所有传输使用 TLS 1.3+ 加密
  • 数据库存储使用 AES-256 加密
  • 密码使用 bcrypt 单向哈希
  • 支付通道遵守 PCI-DSS Level 1 标准(由 Stripe 等专业方完成)
  • Cloudflare WAF 防 DDoS + 注入攻击
  • 关键操作(密码修改、退款、注销)需要 2FA 二次验证
  • 员工访问用户数据需特定审批,访问会被审计
  • 定期渗透测试(年度第三方审计)

6. 你的权利

根据 GDPR、CCPA、中国《个人信息保护法》等适用法律,你享有:

  • 知情权:随时查看本政策了解我们如何处理你的数据
  • 访问权:在 个人中心 → 危险操作 → 导出所有数据 一键导出 ZIP
  • 更正权:随时在个人中心修改昵称、邮箱、手机号等
  • 删除权:可单独删除任意作品,或注销账号删除全部数据
  • 限制处理权:可关闭非必要的通知和分析
  • 反对权:可联系我们要求我们停止特定数据处理活动
  • 可携带权:导出的数据为机器可读 JSON + 标准图片格式
  • 申诉权:如认为我们违反规定,可向所在地数据保护机构投诉

7. Cookies

我们使用 Cookies / Local Storage 来:

  • 记住你的登录状态(必要)
  • 记住你的偏好(语言、主题、默认模型)
  • 分析访问情况(聚合统计,不识别个人)

我们不使用第三方广告 Cookies。详见 Cookie 政策

8. 未成年人

NovaAPI 服务对象为 16 岁以上用户。我们不主动收集 16 岁以下儿童的个人信息。如发现,会立即删除。

9. 政策变更

如本政策有重大变更(如新增数据收集、变更第三方共享),我们会:

  • 提前 30 天在网站显著位置公告
  • 同时通过邮件通知所有注册用户
  • 变更生效后,继续使用服务即视为接受新政策

10. 联系我们

对本政策有任何疑问、希望行使你的权利、或发现数据安全问题,请联系:

本政策的中文版与英文版具有同等法律效力。如有翻译差异,以英文版为准。