隐私声明
最后更新:2026年6月5日
本隐私声明说明当您使用 macOS 版 Tarlo 应用和网站 tarlo.me 时,Tarlo 如何处理信息。Tarlo 采用 local-first(本地优先)设计:您的对话、记忆、文件以及您连接的 API 密钥都保留在您的 Mac 上,绝不会发送到我们的服务器。
要点摘要
- 您的内容保留在您的设备上。 聊天、记忆、文件以及您的 AI 提供商 API 密钥均本地存储在您的 Mac 上(存储在本地 SQLite 数据库和 macOS 钥匙串中)。您的消息、文件和密钥的内容绝不会传输到我们的服务器。
- 我们仅收集最少量的匿名遥测数据。 一个随机安装标识符、会话时长以及结构化的(不含内容、不含个人身份信息的)工具结果事件,帮助我们了解稳定性和使用情况。我们设置
sendDefaultPii=false。 - 自带密钥(BYOK)。 当您连接 Anthropic、OpenAI、Google 或 OpenRouter 时,请求会直接从您的 Mac 发送到该提供商。您的密钥绝不会到达我们这里。
- 账户为可选项。 如果您选择登录,我们会为账户存储您的电子邮件和姓名。匿名安装两者均不发送。
- 我们不出售您的个人数据,也不使用广告网络、再营销或营销像素。
目录
1. 我们收集哪些信息?
Tarlo 旨在尽量减少离开您 Mac 的信息。到达我们服务器的唯一信息是匿名遥测数据,以及在您选择创建账户时的基本账户信息。
匿名遥测
为了解稳定性以及功能的使用方式,应用可能会向我们自己的后端(带有 D1 数据库的 Cloudflare Workers)发送以下非识别性数据:
- 在您的设备上生成的随机安装 UUID(不与您的身份关联);
- 会话时长;
- 描述某项操作成功还是失败的结构化工具结果事件,不包含任何相关内容。
此遥测数据不包含任何个人数据,也不包含任何消息、文件或密钥内容。我们以 sendDefaultPii=false 运行。
账户信息(可选)
如果您选择登录(见第 6 节),我们会存储您的电子邮件地址和姓名以运营账户。匿名安装不会发送电子邮件或姓名。
2. 保留在您设备上的数据
以下内容本地存储在您的 Mac 上,绝不会发送到我们的服务器:
- 您的聊天记录和对话历史;
- Tarlo 关于您的项目、偏好和上下文的记忆;
- 您提供给 Tarlo 的文件,以及它在本地读取或写入的任何内容;
- 您为 AI 提供商连接的 API 密钥,存储在 macOS 钥匙串中。
这些数据存放在您计算机上的本地 SQLite 数据库中。由于它们保留在您的设备上,您可以掌控它们:删除应用及其本地数据即可将其移除。
3. 我们如何使用您的信息?
- 提供和维护应用。 本地数据直接在您的设备上驱动 Tarlo 的功能。
- 提高稳定性和可靠性。 匿名遥测和崩溃报告帮助我们发现并修复问题。
- 运营可选账户。 如果您登录,您的电子邮件和姓名将用于识别和管理您的账户。
4. AI 提供商(自带密钥)
Tarlo 采用自带密钥(Bring Your Own Key)模式。您为一个或多个提供商连接自己的 API 密钥:
- Anthropic (Claude)
- OpenAI
- Google (Gemini)
- OpenRouter
当您将 Tarlo 与已连接的提供商一起使用时,请求会直接从您的 Mac 发送到该提供商。您的密钥存储在 macOS 钥匙串中,绝不会传输给我们。您发送给提供商的数据由该提供商根据其自身的隐私政策和条款进行处理。我们建议您查看所连接的任何提供商的政策。
5. 集成与连接器
Tarlo 可以连接到您使用的其他工具:
- 通过 Composio 的云连接器。 某些集成使用 Composio,它在服务器端通过 OAuth 连接到第三方服务。授权连接器由您选择,所连接的服务根据其自身政策处理数据。
- 本地连接器。 与 Things 3、Apple Calendar、Reminders、Notes、Mail、Obsidian 以及您的浏览器的集成,使用您通过 macOS 授予的本地访问权限,在您的设备上运行。
6. 账户与登录
账户为可选项。如果您选择创建账户,可以使用 Google Sign-In 或电子邮件地址登录。我们存储您的电子邮件和姓名以运营账户。我们不提供也不存储其他社交网络的凭据。
7. 付款
Tarlo 目前不收集付款信息。当付费方案推出时,付款将由作为记录商户(merchant of record)的第三方支付提供商处理 — Stripe 或 Paddle。当您进行购买时,您的付款详情将由该提供商根据其自身的隐私政策处理;我们不会在系统中存储完整的支付卡信息。
8. 错误与崩溃报告
为诊断问题,Tarlo 使用 Sentry 进行错误和崩溃报告。个人身份信息在传输前会被清除,我们以 sendDefaultPii=false 运行。崩溃报告仅用于提高应用的可靠性。
9. 我们何时以及与谁共享您的信息?
我们仅与运营 Tarlo 所需的服务提供商共享信息:
- Cloudflare — 托管我们的后端(Workers、KV、D1)和网站(Pages);
- Sentry — 错误和崩溃报告(已清除个人信息);
- Google — 仅在您选择 Google Sign-In 时;
- Composio — 仅用于您授权的云连接器;
- Stripe 或 Paddle — 仅在付费方案推出且您进行购买时;
- 您连接的 AI 提供商,针对您发起的请求(见第 4 节)。
我们不出售您的个人数据。 我们不使用广告网络、再营销、联盟跟踪或营销像素。
10. 托管与处理方
我们的后端和网站托管在 Cloudflare 上(后端使用 Workers、KV 和 D1;网站使用 Pages)。第 1 节所述的遥测数据存储在我们的 Cloudflare D1 数据库中。
11. 我们保留信息多长时间?
我们仅在了解稳定性和使用趋势所需的时间内保留匿名遥测数据。账户信息在您的账户存在期间予以保留;如果您删除账户,我们会删除相关的电子邮件和姓名。本地存储在您 Mac 上的数据将保留在您的设备上,直到您将其移除。
12. 我们如何确保您的信息安全?
我们采取合理的技术和组织措施来保护信息。您的 API 密钥存储在 macOS 钥匙串中,您的内容保留在您的设备上。没有任何传输或存储方式是绝对安全的,但我们的 local-first 设计意味着最敏感的数据从一开始就不会离开您的 Mac。
13. 来自未成年人的信息
Tarlo 不面向 18 岁以下的个人。我们不会有意收集任何 18 岁以下人士的个人信息。如果您认为某位未成年人向我们提供了个人信息,请联系我们,以便我们将其删除。
14. 您的隐私权利
根据您居住的地区,您对自己的个人信息享有权利。如果您位于欧洲经济区或英国,GDPR(以及英国 GDPR)就我们持有的关于您的个人数据赋予您以下权利:
- 访问权。 您可以要求我们提供我们持有的关于您的个人数据的副本。
- 更正权。 您可以要求我们更正不准确或不完整的数据。
- 删除权(「被遗忘权」)。 您可以要求我们删除您的个人数据,例如通过删除您的可选账户。
- 数据可携权(导出)。 您可以要求我们以结构化、通用且机器可读的格式提供您的账户数据。
- 限制或反对权。 您可以要求我们限制或反对对您数据的某些处理。
- 撤回同意权。 在处理基于同意的情况下,您可以随时撤回同意。
- 投诉权。 您可以向您当地的数据保护机构投诉。
由于 Tarlo 是 local-first 的,您的大部分数据保留在您的设备上,您可以直接在应用中,或通过删除应用及其本地数据,来访问、导出或删除其中大部分内容。对于我们持有的有限账户信息(您的电子邮件和姓名),或要行使上述任何权利 — 包括访问、删除或导出 — 请使用第 16 节中的联系方式与我们联系,我们将依照适用法律予以回应。
15. 本声明的更新
我们可能会不时更新本隐私声明。届时,我们将修改本页面顶部的「最后更新」日期。重大变更将在此处反映。
16. 您如何联系我们?
Tarlo 由 Doroshenko Dmytro 运营,地址位于 97 Beverley Drive, Prestatyn, LL19 7RD, United Kingdom。
如果您对本声明或您的数据有任何疑问,可以通过以下方式联系我们:hello@tarlo.me。