隐私
隐私政策
生效日期:2026-05-11
keni 建立在一个简单的承诺上:我们读不到你的消息。下面的架构让这个承诺成为技术事实,而不是营销话术。
我们收集
- 账号:手机号(用于短信登录)、昵称、可选头像。可哈希处存储哈希值。
- E2EE 聊天:仅存密文。服务端看不到明文。密钥用 X25519 ECDH 按房间派生,私钥仅你的设备持有。
- 朋友圈:仅密文 + 元数据(时间戳、好友可见性)。
- 合规归档:你发出的消息会另用 keni 平台公钥加密一份,仅在法定保留期内存储。只用于响应执法机构合法令状 + PhotoDNA CSAM 检测;不做内容分析、广告、产品分析。详见下面"合规归档(请知悉)"一节。
- 遥测:App 版本、操作系统、Firebase Crashlytics 崩溃堆栈。无内容、无精确位置、无广告 ID。
合规归档(请知悉)
坦白胜过口号:你发出的每条消息我们加密两次。一次用对方公钥(端到端那份,只有对方能解),一次用 keni 平台公钥(合规那份)。合规副本的存在是为了:响应合法送达的执法机构传票,以及让 PhotoDNA 能对上传图片做 CSAM 哈希检测。
平台私钥放在 HSM 级密钥库,访问需要内部多人授权 + 事件日志记录。我们不会对归档做广告分析、内容摘要、产品分析。如果这个权衡不符合你的威胁模型,keni 不是合适的工具 —— Signal 做了不同的选择,我们尊重。
AI 功能(哪些数据离开你的设备)
AI 功能(keni 助手、意图路由、摘要、朋友圈生成等)跟 P2P 聊天不同:要回复必须让云端 LLM "看到"你的提问。默认走 keni 的 ai-service:
- 自动 PII 脱敏:prompt 在出我们服务器之前,手机号 / 邮箱 / 信用卡 / 身份证号 / IP 被替换为占位符,LLM 回包后再还原。
- 首次询问:首次进入 AI 入口会弹同意对话框,可在「设置 → 隐私」随时撤回;撤回后 AI 功能全部禁用。
- 可选本地模式:可下载 Qwen2.5-0.5B(~280MB)在设备本地跑小模型;语音转录可切到 Whisper 完全离线。两条路径都不把音频或 prompt 发给任何服务器。
人名、地址、私密事件等非模式化的 PII 规则识别不到,请自行注意你交给 AI 摘要 / 生成的内容。
我们不收集
- 消息明文
- 手机通讯录
- 精确 GPS(除非你主动开启实时位置共享)
- 广告 ID / 跨 App 追踪
内容审核
上传到公开界面(朋友圈)的图片会用 Microsoft PhotoDNA 哈希与已知 CSAM 数据集比对。比对期间图像明文短暂驻留服务端,比对完即删。详见 安全与内容审核。
数据保留
- 聊天密文:直至你或对方删除
- 账号信息:账号删除后 30 天备份保留期
- CSAM 证据:依 18 U.S.C. § 2258A — 至少 90 天,NCMEC 报告 ID 永久保留
- 遥测:30 天
身份密钥 & 云同步
解开 E2EE 消息的私钥在你的设备本地生成。iOS 上存在 Keychain(默认 kSecAttrAccessibleAfterFirstUnlock + sync 属性),意味着同一 Apple ID 下的设备会通过 iCloud Keychain 自动同步私钥。Android 上用 EncryptedSharedPreferences,默认 allowBackup=false 不自动同步。
另外 keni 提供可选的 passphrase 云端备份(设置 → 隐私 → 云端备份身份密钥)。私钥在本机用 passphrase 派生 KEK(PBKDF2-SHA256,10 万次迭代,AES-256-GCM)加密后上传服务器;passphrase 我们看不到,上传内容对我们不透明。passphrase 丢了 = 老消息再也解不开。
你的权利(GDPR / 个人信息保护法)
三项权利已直接在 App 里实现,不用发邮件等:
- 删除权(GDPR 第 17 条):设置 → 隐私 → 我的数据 → 注销账号。即时、不可逆。法定保留记录(CSAM 上报、合规归档)按法规保留。
- 数据可携权(GDPR 第 20 条):设置 → 隐私 → 我的数据 → 导出。返回包含资料、消息(密文 + 时间戳)、好友、提醒、AI 记忆的 JSON。
- 访问 / 更正权(GDPR 第 15、16 条):在 App 内编辑你的资料;需要其他帮助邮件 hello@hikeni.com。
App 内工具处理不了的请求,我们在收到邮件 30 天内回复。
未成年人
keni 不面向 13 岁(COPPA)/ 16 岁(GDPR 成员国)以下用户。一经发现存储此类用户数据即删除。举报未成年账号:safety@hikeni.com。