PRIVACY POLICY

Orua 私隱政策

最後更新:2026-04-23 · 適用版本:1.0 以上

一、核心原則

Orua 是一款個人記帳應用程式。設計原則是使用者的財務資料完全留在裝置本機,Orua 後端只提供匿名的即時報價查詢服務,不儲存、不分析、不傳輸使用者的持倉或淨值資料。

  • 本機儲存:持倉、批次、歷史淨值、分類、設定、匯出備份
  • 不上傳後端:財務資料 / 姓名 / 電話 / 聯絡人 / 位置 / 照片
  • 🔒 匿名認證:後端僅透過隨機裝置識別碼識別 API 請求來源

二、我們收集哪些資料

2.1 後端會收集(最小必要)

資料用途保留期
device_id
(裝置內生成的 UUID)
匿名 API 認證;同一裝置永遠對應同一組匿名 user_id帳號存在期間
user_id
(後端分配的匿名 UUID)
發行匿名短期 session token,供後續報價 / 匯率 API 的來源驗證,防止端點被當成開放 API 濫打
Token payload 僅含匿名 user_id,不含 email、姓名或任何 PII
帳號存在期間
orphan 後 365 天自動清除
存取記錄
(IP / User-Agent / 時間戳 / 路徑)
除錯、rate limiting、濫用偵測
不連結使用者 identity,不做分析用途
最長 30 天
報價查詢參數
(symbol / market / base currency)
即時代為轉發到第三方行情服務不落地;僅 cache 10 分鐘

2.2 本機儲存(僅留在 iPhone 內)

  • 持倉(Holdings / Lots)、歷史淨值、分類設定、匯率快照
  • 存放位置:iOS App Documents 資料夾內的 JSON(orua_ledger.jsonorua_history.json
  • 認證 token 與裝置識別碼存於 iOS Keychain(系統級加密)
  • 使用者主動匯出備份時可存到 iCloud Drive(由 iOS 檔案 App 處理)。此資料流完全由 Apple iCloud 隱私政策 規範,Orua 不介入也不讀取該備份檔;是否啟用 iCloud 同步由使用者在 iOS 系統設定內自行控制。

2.3 我們收集

  • 姓名、電子郵件、電話、地址等個人識別資訊(PII)
  • 定位、通訊錄、相機、相簿、麥克風
  • 廣告識別碼(IDFA)、跨 App 追蹤資料
  • 第三方分析工具 SDK(無 GA / Firebase / Facebook SDK 等)

Orua 不使用 App Tracking Transparency(ATT)框架,因此 App 不會向你彈出「是否允許追蹤」的權限對話。Orua 不做任何跨 App、跨網站的使用者行為追蹤,也不會把任何資料分享給廣告商或資料掮客。

2.4 App 系統權限

Orua 不會向你請求以下任何 iOS 系統權限

  • 定位服務(Location Services)
  • 相機 / 相簿
  • 麥克風 / 語音識別
  • 通訊錄 / 行事曆 / 提醒事項
  • HealthKit / Motion & Fitness
  • 推送通知(Push Notifications)
  • 藍牙 / 本機網路 / Nearby Interaction
  • App Tracking Transparency(ATT)

App 僅透過 HTTPS 連線至 Orua 後端查詢公開行情 API,不需要上述任何系統權限。若未來因功能擴充需要新增任何權限,會在更新說明中明示並更新本政策。

三、第三方服務

Orua 後端為了提供即時報價,會代為查詢以下公開服務,僅傳送股票代號、市場、基準幣別等查詢參數,不傳送任何使用者識別資訊

服務用途
TWSE(臺灣證交所)台股即時報價
Yahoo Finance美股 / 日股 / 備援報價
Stooq美股 / 日股備援
CoinGecko / Binance加密貨幣報價
Open Exchange Rate API匯率

App 不嵌入任何廣告、分析、推送通知或崩潰回報的第三方 SDK。

四、資料安全

  • 所有與後端的通訊皆走 HTTPS(TLS 1.2+)
  • JWT token 與 device_id 存於 iOS Keychain,受 Secure Enclave 保護
  • 後端密碼 / 密鑰使用環境變數管理,未 commit 到 repo
  • 後端主機僅開放必要 port,資料庫僅限內網存取

五、你的權利

5.1 刪除本機資料

刪除 Orua App 即可完整清除所有本機資料。iCloud Drive 的備份檔需另由 iOS 檔案 App 刪除。

5.2 刪除後端匿名帳號

由於是匿名帳號(沒有 email / 密碼),刪除 App 後後端記錄會成為「無主資料」,但仍會依保留政策在 365 天後自動清除。若需立即刪除,請來信並提供 App「關於 → Device ID」可複製的值(這是唯一識別方式)。

5.3 匯出 / 攜帶資料

在設定 → 資料備份可匯出 JSON 或 CSV 格式的完整持倉歷史。

六、兒童

Orua 不針對 13 歲以下使用者設計,也不會刻意收集此年齡層的個人資訊。若發現相關情事將立即刪除。

七、政策變更

本政策如有重大變更將於本頁公告並更新「最後更新日期」。持續使用 Orua 視為同意更新後的條款。

八、聯絡方式

開發者:Kepler Jhih
聯絡信箱:[email protected]
回報問題或刪除請求請來信,一般 7 個工作天內回覆。