隐私政策 · App Store 版

最后更新：2026 年 5 月 11 日 · 适用于通过 Mac App Store 分发的 InkSoul v3.9.4 及以上版本

本《隐私政策》说明通过 Mac App Store 分发的 InkSoul（以下简称"本应用"）如何处理您的信息。本应用由 MetaDestined（以下简称"我们"）开发与维护。我们认为隐私是写作工具的根基，因此从架构层面将"内容不离开本机"作为第一原则。

1. 我们不收集什么

• 不收集您的写作内容。您在本应用中创作、润色、追问的所有文本，仅存储在您本机的应用沙盒目录中。我们不会将这些内容上传至我们的服务器，不会用于训练任何模型，不会分享给任何第三方。
• 不收集您的个人 API 密钥。若您启用 BYOK 模式，您填入设置的大模型 API Key 仅保存在您本机的 macOS Keychain，由系统安全机制加密保护，不上传。我们的应用不读取也不传输该密钥到我们任何服务。
• 不进行行为埋点 / 用户画像追踪。本应用不集成任何第三方分析 SDK（如 Google Analytics、Mixpanel 等），不向任何分析平台发送您的使用数据。
• 不记录您的位置、通讯录、相册、麦克风、摄像头。本应用不申请这些系统权限。

2. 我们处理哪些信息

2.1 您本地存储的内容（仅在您的设备上）

本应用通过 SwiftData 在您本机的应用沙盒目录中保存以下内容，这些数据从不离开您的设备：

• 您创作的文章、草稿与版本历史
• 润色对照、追问对话、自蒸馏人格档案
• 应用偏好设置（界面字号、默认文体、上次使用的人格等）

沙盒目录路径：~/Library/Containers/com.inkforge.app/Data/。您可通过应用内"设置 → 数据 → 查看本地存储路径"按钮直接打开此目录验证。

2.2 数据流向（AI 调用）

当您主动触发"润色 / 创作 / 追问 / 钻探"等需要大模型推理的功能时，数据传输路径为：

您的设备 ⟶ 您所选择的大模型服务商（DeepSeek / OpenAI / Anthropic 等）

此过程不经过墨心服务器。本应用提供两种调用模式：

• 尝鲜模式（每日 3 次免费 AI 调用）：使用墨心后端代为托管的共享 API Key 转发至大模型服务商。该路径下，您发送的待处理文本会经过墨心的轻量转发层（仅做鉴权与配额计数，不存储正文，不用于训练）。
• BYOK 模式（买断后可选）：您填入自己的大模型 API Key，由您的设备直接连接服务商，完全不经过墨心服务器。

无论哪种模式，本应用都不将您的写作内容写入任何长期存储；墨心也不读取、不分析、不留存您的提示词与生成结果。

请您在使用前阅读所选大模型服务商的隐私政策。

2.3 应用内购买

本应用的购买、收据校验、退款均通过 Apple App Store In-App Purchase（IAP） 完成。购买信息（含 Apple ID、付款方式、订单 ID 等）由 Apple 处理并按 Apple 隐私政策保护，本应用仅接收来自 StoreKit 的本地收据用于解锁功能，不接收您的支付凭据。

3. 我们的服务器接收的最小数据

仅在以下场景，墨心后端会接收必要的最小信息：

• 尝鲜模式 AI 调用：匿名设备标识 + 当日配额计数 + 转发提示词正文（即用即转发，不落盘）
• 买断状态校验：来自 StoreKit 的产品 ID 与匿名校验请求，用于确认买断状态
• 崩溃聚合（可选）：仅当您在系统设置中允许"与开发者共享分析"时，Apple 会向我们转发聚合后的崩溃堆栈，不含您的文本内容

4. 配额说明

• 尝鲜版（免费）：每个 Apple ID 每日 3 次 AI 调用，使用墨心后端托管 key，便于您先评估再付费
• 买断版（$49.99 一次性）：解除每日配额限制，可继续使用墨心托管 key，亦可在设置中切换为 BYOK 模式

5. Cookie

本应用为原生 macOS 应用，不使用 Cookie。本应用相关的静态信息页（如本页）由托管平台（Cloudflare Pages）提供，访问日志按其平台政策记录。

6. 应用沙盒与系统权限

本应用通过 Mac App Store 分发，启用 macOS App Sandbox 与 Hardened Runtime。我们仅申请以下最小权限：

• com.apple.security.network.client：用于 AI 推理时连接 API
• com.apple.security.files.user-selected.read-write：仅在您主动选择导入 / 导出文件时使用

本应用不申请相机、麦克风、通讯录、位置、剪贴板监控等任何敏感权限。

7. 儿童隐私

本应用不面向 13 周岁以下儿童。我们不会有意收集 13 周岁以下儿童的个人信息。

8. 您的权利

由于本应用不在我们服务器存储您的写作内容或个人身份信息，您对自己数据的控制是直接且即时的：

• 查看与导出：通过应用内"导出"功能或直接打开本地存储目录
• 修改：在应用内编辑
• 删除：在应用内删除文章，或卸载应用并删除沙盒目录

9. 数据安全

本应用采用 macOS Keychain 存储 API Key、App Sandbox 隔离数据访问、HTTPS 加密一切对外网络请求。

10. 政策变更

当本政策发生实质性变更时，我们会：(a) 在本页面更新顶部"最后更新"日期；(b) 在下一版本应用启动时弹出提示。

11. 开发者信息

• 开发者：MetaDestined
• Apple Developer Team ID：Z2ZCARA9P4

Privacy Policy · App Store Edition

Last updated: May 11, 2026 · Applies to InkSoul v3.9.4 and later, distributed via the Mac App Store

This Privacy Policy describes how the Mac App Store edition of InkSoul (the "App"), developed by MetaDestined ("we"), handles your information. We treat privacy as the foundation of any writing tool. From an architectural level, the principle is: your text stays on your device.

1. What We Do Not Collect

• We do not collect your writing. All text you create, polish, or interrogate in the App is stored only inside the App's sandbox directory on your Mac. We do not upload it to our servers, do not use it to train any model, and do not share it with any third party.
• We do not collect your personal API key. If you enable BYOK mode, the API key you enter is stored in the macOS Keychain on your local machine, protected by the operating system. Our app does not read or transmit it to any of our services.
• No behavioral analytics / no user profiling. The App does not embed any third-party analytics SDKs and does not send usage data to any analytics platform.
• No access to location, contacts, photos, microphone, or camera. The App does not request these permissions.

2. What Information We Process

2.1 Content stored locally on your device

The App uses SwiftData to save the following inside your local sandbox directory. This data never leaves your device:

• Articles, drafts, and version history
• Polishing comparisons, follow-up dialogues, distilled persona profiles
• App preferences (font size, default style, last used persona, etc.)

2.2 Data flow for AI calls

When you actively trigger features that require LLM inference (polish, compose, follow-up, deep-read), the data path is:

Your device ⟶ the LLM provider you choose (DeepSeek / OpenAI / Anthropic, etc.)

This path does not pass through InkSoul's own servers. The App offers two modes:

• Free Tier (3 AI calls per day): uses an InkSoul-hosted shared key forwarded to the provider. The forwarding layer performs authentication and quota counting only — it does not store your prompt content and does not use it for training.
• BYOK Mode (available after one-time purchase): you supply your own provider API key; your device connects directly to the provider, bypassing our servers entirely.

2.3 In-App Purchase

All purchases, receipt validation, and refunds are handled through Apple App Store In-App Purchase (IAP). Purchase information (Apple ID, payment method, transaction ID) is processed by Apple under Apple's Privacy Policy. The App only receives the local StoreKit receipt to unlock features — we do not receive your payment credentials.

3. Minimal Data Our Server Receives

• Free-tier AI calls: anonymous device identifier + daily quota counter + forwarded prompt (in-memory only, not persisted)
• Entitlement check: anonymized product ID validation against StoreKit
• Aggregated crash reports (optional): only if you opt into Apple's "Share with App Developers" — Apple forwards aggregated crash stacks that do not contain your text

4. Pricing & Quota

• Free Tier: 3 AI calls per Apple ID per day, using the InkSoul-hosted key, so you can evaluate before purchasing.
• One-time Purchase ($49.99): removes the daily quota and lets you continue with the hosted key, or optionally switch to BYOK in Settings.

5. Cookies

The App is a native macOS application and does not use cookies. This static policy page is hosted on Cloudflare Pages; access logs follow Cloudflare's platform policy.

6. App Sandbox & Permissions

The App is distributed via the Mac App Store with App Sandbox and Hardened Runtime enabled. We request only the minimum entitlements:

• com.apple.security.network.client — for LLM API calls
• com.apple.security.files.user-selected.read-write — only when you import or export files

7. Children

The App is not directed to children under 13. We do not knowingly collect personal information from children under 13.

8. Your Rights

Because we do not store your writing or personal identifying information on our servers, your control over your own data is direct and immediate: view, export, edit, or delete inside the App, or remove the sandbox directory entirely.

9. Data Security

API keys are stored in the macOS Keychain. Data access is isolated by App Sandbox. All outbound network requests use HTTPS.

10. Changes

If we make material changes to this policy, we will (a) update the "Last updated" date at the top of this page, and (b) display an in-app notice on the next launch.

11. Developer

• Developer: MetaDestined
• Apple Developer Team ID: Z2ZCARA9P4