星豆文件管理器隐私政策
📅 最后更新日期:2026年6月4日
📄 版本:3.0
🔒 隐私保护 · 本地优先 · 端到端加密
星豆文件管理器所有智能处理(语音搜索、内容识别、同义词学习、文件内容索引)均在您的设备本地完成,不上传任何文件内容、音频或图片至云端服务器。跨设备文件传输使用鸿蒙分布式端到端加密通道,不经由第三方中转。您拥有对本地数据的完全控制权,可随时清除所有索引及个人信息。
1. 数据收集
我们仅在必要时收集实现功能所需的最小数据,主要包括:
- 设备基本信息(设备型号、系统版本)——用于兼容性适配及设备发现。
- 应用功能使用数据——用于优化用户体验(匿名统计)。
- 文件元数据(文件名、大小、类型)——用于文件名搜索和管理,存储于应用沙箱目录。
- 语音输入——用于语音搜索功能,仅在设备本地实时处理,处理后立即丢弃原始音频。
- 设备标识符与网络状态——用于设备发现和跨设备数据同步。
⚠️ 重要提示 - 以下功能默认仅本地处理,不上传服务器:
- 内容搜索索引数据:内容搜索功能可识别照片、截图中的文字,以及Word(.doc/.docx)、Excel(.xls/.xlsx)、PPT(.ppt/.pptx)文档和PDF(20页以内)中的文字内容,建立本地索引;识别结果索引默认仅保存在本地,不上传至服务器;仅在用户主动开启跨设备云同步时,索引才会加密传输至同账号下的其他设备。文件名搜索对所有格式文件均有效,不涉及内容提取。
- 同义词自动进化:根据您的搜索行为自动学习同义词关联(例如“协议”→“合同”),学习数据默认仅保存于本地;仅在用户主动开启跨设备云同步时,数据才会加密传输至同账号下的其他设备。
- 自然语言处理服务(NaturalLanguageKit):用于解析语音指令中的意图和提取关键信息(如文件名、设备名、操作动作),所有处理在设备本地完成,不上传至服务器。
- 华为语音助手(小艺)接入:用户通过小艺语音助手发出文件操作指令时,小艺将用户语音识别为文本后传递给星豆处理;星豆仅接收文本形式的指令,不接收、不存储原始语音音频;指令文本在本地解析执行后立即丢弃。
- 天工计划免费体验策略:天工计划期间会员权益免费开放,星豆在本地判断是否处于免费期,不收集、不上传任何天工计划相关个人数据;免费期结束后自动恢复正常配额,零云端依赖。
- 小艺Workflow智能体意图数据:通过insight_intent.json注册的文件操作意图,小艺将匹配的用户原始语音文本透传给星豆,星豆在本地解析为结构化指令后执行;意图数据不离开本机,不上传至任何服务器。
- 应用架构数据:暗色模式等应用设置通过AppStorage在设备内存中管理,不同页面共享同一状态实例;设置变更通过@ObservedV2响应式代理通知所有页面即时刷新,不涉及网络传输或持久化到服务器。
- 会员与支付数据:会员状态(免费版/体验版/标准版)存储于设备本地;支付由华为应用市场IAP服务安全处理,星豆不接触、不存储您的支付账户信息和支付凭证;仅记录购买结果(商品ID、购买时间)用于会员权益生效,不包含支付卡号等敏感信息。
- 华为云空间集成:用户授权后,星豆可通过华为云空间API上传/下载/备份文件至用户的华为云空间;星豆仅执行上传和下载操作,绝不删除、移动或管理用户云空间中的任何文件;云空间文件列表仅在本地建立文件名索引用于搜索,不上传至星豆服务器;OAuth授权Token通过AES-256-GCM加密存储于设备本地;用户可随时在设置中撤销云空间授权。
- 华为推送服务(Push Kit):用于跨设备文件传输和协同任务时唤醒目标设备;星豆将Push Token和设备ID上报至星豆API网关(api.xingdou.cc)用于推送寻址;Push Token与设备ID的关联关系存储于星豆服务器Redis,保留30天;用户可通过关闭跨设备传输功能避免推送。
- 星豆API网关通信:跨设备协同编排、配额查询、广域网云中转状态同步等指令通过HTTPS与星豆API网关(api.xingdou.cc)通信;通信携带设备ID和UnionID用于身份识别,不传输文件内容;网关地址固定为https://api.xingdou.cc,通信全程TLS加密。
2. 权限使用
本应用声明以下4项权限(与module.json5配置完全一致),所有权限均遵循最小必要性原则,您可随时在系统设置中管理。
🌐 ohos.permission.INTERNET
用途:HTTP文件下载、端侧语音识别模型下载、设备间网络通信、华为应用市场IAP支付服务通信。
申请时机:安装时自动授予,始终需要。
🎙️ ohos.permission.MICROPHONE
用途:语音搜索功能,将语音输入转换为文本指令。
申请时机:仅在用户主动点击语音悬浮球时申请。
数据处理:语音音频流实时处理,不存储原始语音。
📡 ohos.permission.DISTRIBUTED_DATASYNC
用途:发现同账号下的其他设备、跨设备文件传输、跨设备数据同步(内容搜索索引/同义词库/命令执行结果)。
申请时机:使用设备发现或跨设备传输功能时申请。
⏲️ ohos.permission.KEEP_BACKGROUND_RUNNING
用途:跨设备文件传输和语音播报在后台持续执行,确保传输不因切至后台而中断;跨设备指令执行(CommandExecutorAbility)需后台保活以接收和执行远端指令。
申请时机:仅在传输或指令执行进行时使用。
本应用不申请以下权限:读取媒体文件、写入媒体文件、获取位置、获取WiFi信息、获取网络信息、相机、通讯录等。您可以在系统设置中随时管理已授予的权限。
3. 数据安全
我们采用行业标准的安全措施保护您的数据:
- 文件名搜索和内容搜索均在设备本地完成,不上传任何图片或文档数据至云端服务器。
- 语音识别处理在设备本地进行,实时处理后立即丢弃原始音频,不上传音频数据。
- 文件操作均在应用沙箱内进行,不访问系统媒体库。
- 跨设备文件传输使用HarmonyOS分布式能力,数据端到端传输,不经过第三方服务器。
- 跨设备同步的数据(内容搜索索引/同义词库/命令结果)在同账号设备间加密传输。
- 敏感本地数据(如华为云OAuth Token)使用AES-256-GCM算法加密后存储于独立Preferences空间,密钥由@kit.CryptoArchitectureKit生成并持久化,加密失败时降级为明文存储并记录警告日志。
- 不会将您的个人信息分享给第三方,除非法律要求或经您明确同意。
- 支付处理由华为应用市场IAP服务完成,星豆不接触支付卡号、支付凭证等敏感信息;购买结果仅记录于设备本地用于权益生效。
4. 数据存储与保留
- 应用设置和偏好:存储在设备本地,可随时清除。
- 文件名索引:用于快速按文件名搜索,存储在设备本地。
- 匿名使用统计:存储期限30天,到期自动清理。
- 用户数据保留期限:您可以在应用设置中随时清除所有数据。
- 内容搜索索引数据(照片/截图文字识别结果、Word/Excel/PPT文档提取文本、PDF识别文本):默认仅保存于应用本地,仅在用户主动开启跨设备云同步时加密传输至同账号其他设备,可随时清除。
- 同义词学习数据:默认仅保存于应用本地,仅在用户主动开启跨设备云同步时加密传输至同账号其他设备,可随时清除。
5. 您的权利
您享有以下权利:
- 访问权:查看我们收集的您的个人信息。
- 更正权:更正不准确的个人信息。
- 删除权:要求删除您的个人信息(可在设置-清除个人数据中操作)。
- 撤回同意权:随时撤回对隐私政策的同意(设置-隐私与安全-撤销同意),撤回后应用将退出。
- 权限管理权:随时在系统设置中关闭已授予的权限。
- 数据可携带权:获取您的个人信息副本。
您可以在“隐私设置”页面管理您的隐私偏好。另外,您可通过华为账号中心管理授权(设置 → 华为账号 → 授权管理 → 星豆文件管理器 → 解除授权),解除后应用将无法访问账号标识,本地数据不受影响(需手动卸载清除)。
6. 儿童隐私
我们的服务不面向13岁以下儿童。如果我们发现收集了13岁以下儿童的个人信息,我们会立即删除。如果您是父母或监护人,请通过下方联系方式与我们沟通。
7. 政策更新
我们可能会不时更新本隐私政策。更新后,我们会在应用内通知您,并更新“最后更新日期”。继续使用我们的服务即表示您接受更新后的政策。重大变更(如权限使用目的改变、数据共享范围扩大)将通过应用内弹窗或官网公告通知您。
8. 联系我们
如果您对本隐私政策有任何疑问、意见或建议,请通过以下方式联系我们:
• 应用内反馈功能(设置 → 意见反馈)
• 隐私专用邮箱:privacy@xingdou.ai
• 公司名称:阿克苏星舟数科科技有限公司
• 地址:新疆阿克苏地区阿克苏市
我们将在15个工作日内回复您的隐私关切。
最后更新日期:2026年6月4日 | 星豆文件管理器隐私政策 版本 3.0
本声明自上述更新之日起生效,覆盖所有星豆文件管理器功能(包含跨设备传输、语音搜索、内容索引及同义词学习等)。