Orua 私隱政策
最後更新:2026-04-23 · 適用版本:1.0 以上
一、核心原則
Orua 是一款個人記帳應用程式。設計原則是使用者的財務資料完全留在裝置本機,Orua 後端只提供匿名的即時報價查詢服務,不儲存、不分析、不傳輸使用者的持倉或淨值資料。
- ✅ 本機儲存:持倉、批次、歷史淨值、分類、設定、匯出備份
- ❌ 不上傳後端:財務資料 / 姓名 / 電話 / 聯絡人 / 位置 / 照片
- 🔒 匿名認證:後端僅透過隨機裝置識別碼識別 API 請求來源
二、我們收集哪些資料
2.1 後端會收集(最小必要)
| 資料 | 用途 | 保留期 |
|---|---|---|
device_id(裝置內生成的 UUID) | 匿名 API 認證;同一裝置永遠對應同一組匿名 user_id | 帳號存在期間 |
user_id(後端分配的匿名 UUID) | 發行匿名短期 session token,供後續報價 / 匯率 API 的來源驗證,防止端點被當成開放 API 濫打 Token payload 僅含匿名 user_id,不含 email、姓名或任何 PII | 帳號存在期間 orphan 後 365 天自動清除 |
| 存取記錄 (IP / User-Agent / 時間戳 / 路徑) | 除錯、rate limiting、濫用偵測 不連結使用者 identity,不做分析用途 | 最長 30 天 |
| 報價查詢參數 (symbol / market / base currency) | 即時代為轉發到第三方行情服務 | 不落地;僅 cache 10 分鐘 |
2.2 本機儲存(僅留在 iPhone 內)
- 持倉(Holdings / Lots)、歷史淨值、分類設定、匯率快照
- 存放位置:iOS App Documents 資料夾內的 JSON(
orua_ledger.json、orua_history.json) - 認證 token 與裝置識別碼存於 iOS Keychain(系統級加密)
- 使用者主動匯出備份時可存到 iCloud Drive(由 iOS 檔案 App 處理)。此資料流完全由 Apple iCloud 隱私政策 規範,Orua 不介入也不讀取該備份檔;是否啟用 iCloud 同步由使用者在 iOS 系統設定內自行控制。
2.3 我們不收集
- 姓名、電子郵件、電話、地址等個人識別資訊(PII)
- 定位、通訊錄、相機、相簿、麥克風
- 廣告識別碼(IDFA)、跨 App 追蹤資料
- 第三方分析工具 SDK(無 GA / Firebase / Facebook SDK 等)
Orua 不使用 App Tracking Transparency(ATT)框架,因此 App 不會向你彈出「是否允許追蹤」的權限對話。Orua 不做任何跨 App、跨網站的使用者行為追蹤,也不會把任何資料分享給廣告商或資料掮客。
2.4 App 系統權限
Orua 不會向你請求以下任何 iOS 系統權限:
- 定位服務(Location Services)
- 相機 / 相簿
- 麥克風 / 語音識別
- 通訊錄 / 行事曆 / 提醒事項
- HealthKit / Motion & Fitness
- 推送通知(Push Notifications)
- 藍牙 / 本機網路 / Nearby Interaction
- App Tracking Transparency(ATT)
App 僅透過 HTTPS 連線至 Orua 後端查詢公開行情 API,不需要上述任何系統權限。若未來因功能擴充需要新增任何權限,會在更新說明中明示並更新本政策。
三、第三方服務
Orua 後端為了提供即時報價,會代為查詢以下公開服務,僅傳送股票代號、市場、基準幣別等查詢參數,不傳送任何使用者識別資訊:
| 服務 | 用途 |
|---|---|
| TWSE(臺灣證交所) | 台股即時報價 |
| Yahoo Finance | 美股 / 日股 / 備援報價 |
| Stooq | 美股 / 日股備援 |
| CoinGecko / Binance | 加密貨幣報價 |
| Open Exchange Rate API | 匯率 |
App 不嵌入任何廣告、分析、推送通知或崩潰回報的第三方 SDK。
四、資料安全
- 所有與後端的通訊皆走 HTTPS(TLS 1.2+)
- JWT token 與 device_id 存於 iOS Keychain,受 Secure Enclave 保護
- 後端密碼 / 密鑰使用環境變數管理,未 commit 到 repo
- 後端主機僅開放必要 port,資料庫僅限內網存取
五、你的權利
5.1 刪除本機資料
刪除 Orua App 即可完整清除所有本機資料。iCloud Drive 的備份檔需另由 iOS 檔案 App 刪除。
5.2 刪除後端匿名帳號
由於是匿名帳號(沒有 email / 密碼),刪除 App 後後端記錄會成為「無主資料」,但仍會依保留政策在 365 天後自動清除。若需立即刪除,請來信並提供 App「關於 → Device ID」可複製的值(這是唯一識別方式)。
5.3 匯出 / 攜帶資料
在設定 → 資料備份可匯出 JSON 或 CSV 格式的完整持倉歷史。
六、兒童
Orua 不針對 13 歲以下使用者設計,也不會刻意收集此年齡層的個人資訊。若發現相關情事將立即刪除。
七、政策變更
本政策如有重大變更將於本頁公告並更新「最後更新日期」。持續使用 Orua 視為同意更新後的條款。
八、聯絡方式
開發者:Kepler Jhih
聯絡信箱:[email protected]
回報問題或刪除請求請來信,一般 7 個工作天內回覆。