隐私政策

KENI 建立在一个简单的承诺上：我们读不到你的 1:1 私聊文字 —— 不是"承诺不看"，是技术上看不到。下面把边界（你发的媒体、群聊）说清楚，不玩文字游戏。

我们收集

• 账号：手机号（用于短信登录）、昵称、可选头像。可哈希处存储哈希值。
• 1:1 聊天文字：端到端加密，仅存密文。服务端看不到明文、不留可解密副本。密钥用 X25519 ECDH 按房间派生，私钥仅你的设备持有。（你发的媒体和引用预览暂未 E2E，见下方边界。）
• 朋友圈：仅密文 + 元数据（时间戳、好友可见性）。
• 合规归档（群聊）：群消息会另用 KENI 平台公钥加密一份，仅在法定保留期内存储。只用于响应执法机构合法令状 + PhotoDNA CSAM 检测；不做内容分析、广告、产品分析。1:1 私聊没有这份副本。详见下面"合规归档（请知悉）"一节。
• 遥测：App 版本、操作系统、Firebase Crashlytics 崩溃堆栈。无内容、无精确位置、无广告 ID。

合规归档（请知悉）

坦白胜过口号：你的 1:1 私聊文字是端到端加密的，我们不留任何可解密的副本——连我们也读不到。群消息不同：我们会留一份合规副本（用 KENI 平台公钥加密），用于响应合法送达的执法机构传票，以及让 PhotoDNA 对上传图片做 CSAM 哈希检测。你在 1:1 里发送的媒体（图片 / 文件 / 语音）和引用预览暂未端到端加密——我们正在补齐。

平台私钥放在 HSM 级密钥库，访问需要内部多人授权 + 事件日志记录。我们不会对归档做广告分析、内容摘要、产品分析。如果这个权衡不符合你的威胁模型，KENI 不是合适的工具 —— Signal 做了不同的选择，我们尊重。

AI 功能（哪些数据离开你的设备）

AI 功能（KENI 助手、意图路由、摘要、朋友圈生成等）跟 P2P 聊天不同：要回复必须让云端 LLM "看到"你的提问。默认走 KENI 的 ai-service：

• 自动 PII 脱敏：prompt 在出我们服务器之前，手机号 / 邮箱 / 信用卡 / 身份证号 / IP 被替换为占位符，LLM 回包后再还原。
• 首次询问：首次进入 AI 入口会弹同意对话框，可在「设置 → 隐私」随时撤回；撤回后 AI 功能全部禁用。
• 可选本地模式：可下载 Qwen2.5-0.5B（~280MB）在设备本地跑小模型；语音转录可切到 Whisper 完全离线。两条路径都不把音频或 prompt 发给任何服务器。
• 实时联网搜索：当你问时效性问题并开启联网搜索时，你的查询（经同样的 PII 脱敏后）会发送给我们的搜索供应商（Serper）以获取最新结果。它按次 opt-in，首次使用前会提示；我们不代你抓取结果网页。

人名、地址、私密事件等非模式化的 PII 规则识别不到，请自行注意你交给 AI 摘要 / 生成的内容。

第三方 AI 供应商（子处理者）

使用云端 AI 功能时，你的提问（经上述 PII 脱敏后）连同相关记忆片段，会发送给为你路由到的模型供应商。每家以「数据处理者」身份代我们处理，签署 GDPR Art.28 DPA + CCPA service-provider 条款；跨境传输适用标准合同条款（SCC）。共享仅基于你的同意、仅用于你使用的 AI 功能，绝不用于广告或用户画像。

• OpenAI, L.L.C.（美国）— 推理与嵌入。API 输入默认不用于训练其模型；可选 Zero-Data-Retention。
• Anthropic PBC（美国）— Claude 模型推理。API 输入默认不用于训练。
• Google LLC（Gemini）（美国）— 模型推理。
• DeepSeek（服务器在中国）— 模型推理。
• Serper（serper.dev，美国）— 为你主动开启的时效性问题提供实时联网搜索。

具体由哪家处理取决于你的设置与我们的路由。China 版 AI 仅路由到境内供应商，数据不出境。若你自带 API key（BYOK），数据流向你选定的供应商、适用其政策。完整子处理者清单（内容审核、短信、托管）见 app 内隐私政策。

我们不收集

• 消息明文
• 手机通讯录
• 精确 GPS（除非你主动开启实时位置共享）
• 广告 ID / 跨 App 追踪

内容审核

上传到公开界面（朋友圈）的图片会用 Microsoft PhotoDNA 哈希与已知 CSAM 数据集比对。比对期间图像明文短暂驻留服务端，比对完即删。详见 安全与内容审核。

数据保留

• 聊天密文：直至你或对方删除
• 账号信息：账号删除后 30 天备份保留期
• CSAM 证据：依 18 U.S.C. § 2258A — 至少 90 天，NCMEC 报告 ID 永久保留
• 遥测：30 天

身份密钥 & 云同步

解开 E2EE 消息的私钥在你的设备本地生成、仅本机保存。iOS 上存在 Keychain（kSecAttrAccessibleAfterFirstUnlock，且已关闭 iCloud sync 属性），Android 上用 EncryptedSharedPreferences 并排除 allowBackup。你的身份私钥绝不会同步到 iCloud 或 Google 云备份——未开启 Apple 高级数据保护（ADP）时，Apple（或 Google）本会持有该副本的解密能力，因此我们刻意不让它进云，这与 Signal 的选择一致。把密钥迁到新设备的唯一方式是下面的可选 passphrase 备份。

另外 KENI 提供可选的 passphrase 云端备份（设置 → 隐私 → 云端备份身份密钥）。私钥在本机用 passphrase 派生 KEK（PBKDF2-SHA256，10 万次迭代，AES-256-GCM）加密后上传服务器；passphrase 我们看不到，上传内容对我们不透明。passphrase 丢了 = 老消息再也解不开。

你的权利（GDPR / 个人信息保护法）

三项权利已直接在 App 里实现，不用发邮件等：

• 删除权（GDPR 第 17 条）：设置 → 隐私 → 我的数据 → 注销账号。即时、不可逆。法定保留记录（CSAM 上报、合规归档）按法规保留。
• 数据可携权（GDPR 第 20 条）：设置 → 隐私 → 我的数据 → 导出。返回包含资料、消息（密文 + 时间戳）、好友、提醒、AI 记忆的 JSON。
• 访问 / 更正权（GDPR 第 15、16 条）：在 App 内编辑你的资料；需要其他帮助邮件 hello@hikeni.com。

App 内工具处理不了的请求，我们在收到邮件 30 天内回复。

未成年人

KENI 不面向 13 岁（COPPA）/ 16 岁（GDPR 成员国）以下用户。一经发现存储此类用户数据即删除。举报未成年账号：safety@hikeni.com。