隐私政策
最后更新:April 9, 2026
数据控制者
MyHandler.ai 由 Tery Emilson(“we”, “us”, “our”)运营,位于加拿大安大略省。如需了解您的数据处理方式,请通过以下方式联系我们: privacy@myhandler.ai
我们的承诺
MyHandler.ai 是一个 AI 看门人——它会读取你的消息,这样你就不必亲自阅读。也就是说,我们的 AI 会处理你的电子邮件内容,但 没有任何人类会看到你的消息。
我们相信隐私是通过架构而非承诺来构建的。每一个设计决策——从列级加密到零数据保留 AI——都是为了在提供您所需智能的同时保护您的信息。
我们收集的内容及原因
当消息通过您连接的渠道到达时,我们的 AI 会处理:
- 消息内容 — 存储加密(AES-256-GCM)用于您的收件箱、AI 分类和草稿生成。没有任何人类会访问您的消息。
- 消息元数据 — 发件人、主题行、时间戳、来源渠道。
- 日历数据 — 事件标题、时间、参与者和地点(当您通过 OAuth 连接 Microsoft 或 Google Calendar 时)
- 联系信息 — 发件人标识符、沟通模式以及从消息历史中得出的关系上下文.
- <strong>账户信息</strong> — 您的姓名、电子邮件地址、时区和身份验证凭据。
- <strong>付款信息</strong> — 由 Stripe 处理。我们不存储您的信用卡号 — 仅存储您的 Stripe 客户 ID 和订阅状态。
- <strong>语音通话数据</strong> — 在使用 AI 语音接待员时,通话音频通过 Twilio 流式传输,并由 ElevenLabs 进行实时对话处理。通话记录以加密方式存储。
- <strong>会议记录</strong> — 在使用会议机器人(通过 Recall.ai)时,会议字幕会被捕获并加密存储,以供 AI 分析。
处理的合法依据
我们根据以下法律依据处理您的数据:
| 处理活动 | 法律依据 |
|---|---|
| AI 分类和草稿生成 | 合同履行(提供您已签约的服务) |
| 正在存储加密的消息内容 | 合同履行 |
| 为语义搜索生成向量嵌入 | 合同履行 |
| 构建联系人档案和关系上下文 | 合同履行 |
| 计费和订阅管理 | 合同履行 |
| 安全监控与滥用防护 | 合法利益(保护 Service 和用户) |
| 审计日志 | 合法利益 (安全与合规) |
| 推送通知 | 同意(您可以随时禁用通知) |
我们存储的内容
- Message content — AES-256-GCM 加密存储。用于收件箱显示、AI 分类和草稿生成。
- AI-generated summaries — 对消息内容的简短描述,绝不显示原始消息本身。
- <strong>情景记忆</strong> — AI提取的关于您的联系人和沟通模式的洞察。已加密。活跃至账户删除。
- Contact dossiers — 由 AI 编制的关系档案。所有个人数据字段均已加密。
- <strong>校准事件</strong> — 您对 AI 分类的反馈记录,用于提升准确性。有效期至账户删除。
- 草稿更正 — 当您对 AI 草稿进行大量编辑时,我们会存储 diff 以改进未来的草稿。已加密。
- Vector embeddings — 用于语义搜索的消息摘要的数学表示。不可逆转回原始内容。
我们永不存储的内容
- 信用卡号或完整的付款凭证(Stripe 处理这些)
- 明文密码
- 电子邮件附件或文件内容
- MyHandler 之外的浏览历史或活动
AI 如何使用您的数据
我们的 AI 通过三个阶段处理您的消息:
分类
消息内容和汇总的上下文(您的个人资料、联系历史、日历)会发送给我们的 AI 提供商,以确定重要性级别和类别。内容以加密形式(AES-256-GCM)存储在我们的数据库中,并由 AI 提供商临时处理。
草稿生成
消息内容和您的语音配置文件用于以您的写作风格生成回复草稿。内容以加密方式存储 (AES-256-GCM),并由 AI 提供商临时处理。
嵌入
AI 生成的摘要(而非原始消息)被转换为向量嵌入,用于语义记忆搜索。向量是数学的,无法反向恢复原始内容。
没有人工审查您的消息。 所有处理都是自动化的。
AI 提供商
Groq — 分类 & 草稿生成 (默认)
我们通过在每个 API 调用中添加自定义标头,强制执行与 Groq 的全局 Zero Data Retention(ZDR)。您的消息内容以瞬时方式处理,绝不存储在 Groq 的服务器上——甚至不会用于滥用监控。您的数据从未用于训练或改进 AI 模型。
Anthropic Claude — 分类 & 草稿生成 (可选)
激活时,Anthropic 会接收与 Groq 相同的数据(消息内容和组装的上下文),用于分类和草稿生成。Anthropic 不会使用 API 数据来训练模型。Anthropic 可能会保留 API 输入最长 30 天,以用于信任和安全目的。
OpenAI — 仅向量嵌入
OpenAI 只接收简短的 AI 生成的消息摘要——而不是完整的消息内容——用于向量嵌入生成。这些摘要通常包括主题、提取的主题以及简要的内容预览。OpenAI 不会使用 API 数据来训练或改进其模型。OpenAI 可能会保留 API 输入最长 30 天用于滥用监控,之后这些数据将被删除。
加密
我们对所有静止的敏感数据使用 AES-256-GCM 列级加密。包括以下内容:
- 消息内容、主题和正文预览
- 联系信息和关系数据
- 行为模式和偏好
- OAuth 令牌和身份验证凭证
- 电话通话记录和来电者信息
- 会议记录、与会者和行动项
- 语音配置文件样本和写作风格数据
- 草稿更正历史
- 日历事件标题、与会者和地点
- 财务事件详情
发送者标识符使用单向 SHA-256 哈希进行数据库查找,确保我们能够匹配联系人而不以明文存储其地址。
<strong>注意:</strong> 您
数据保留
| 数据类型 | 保留 |
|---|---|
| 消息内容(已加密) | 活跃至账户删除 |
| 消息元数据 | 活跃至账户删除 |
| 情景记忆(已加密) | 活跃至账户删除 |
| 校准事件 | 活跃至账户删除 |
| 联系人档案(已加密) | 活跃至账户删除 |
| 向量嵌入 | 90 天(通过每日清理作业自动过期) |
| 设备令牌(推送) | 60 天不活跃 (auto-cleanup) |
| 审计日志 | 为合规保留(无 PII — 已匿名化) |
<strong>账户删除</strong> triggers a complete
第三方服务
我们使用以下第三方服务来提供 MyHandler 的功能:
| 服务 | 目的 | 已接收数据 |
|---|---|---|
| Groq | AI 分类 & 草稿生成 | 消息内容 + 上下文。强制零数据保留 — 不存储,不用于训练。 |
| Anthropic | AI 分类 & 草稿生成(可选) | 当激活时的消息内容 + 上下文。 不用于训练。 最长 30 天的信任与安全保留。 |
| OpenAI | 仅 Vector embeddings | AI 生成的消息摘要(非完整内容)。不用于训练。最长 30 天的滥用监控。 |
| Twilio | 语音通话 & 短信 | 通话音频流(转发至 ElevenLabs),SMS 消息文本,呼叫者/接收者电话号码,通话元数据。 |
| ElevenLabs | AI 语音接待员 | 实时通话音频、处理程序名称、自定义问候语、处理程序知识上下文以及已知来电者的联系人上下文。 |
| Stripe | 付款处理 | 您的姓名、电子邮件和付款详情。Stripe 已通过 PCI-DSS 认证。我们不存储卡号。 |
| Firebase (FCM) | 推送通知 (Android) | 设备令牌、通知标题和摘要(最多 200 个字符),项目 ID。推送负载中不包含消息内容。 |
| Recall.ai | 会议机器人用于转录捕获 | 会议 URL 和 bot 显示名称。转录文件会下载并加密存储在我们的服务器上。 |
| Postmark | 事务性电子邮件投递 | 收件人电子邮件地址和系统通知及验证邮件的邮件内容。 |
| Microsoft / Google | OAuth 用于电子邮件 & 日历 | 作用域访问令牌。Microsoft 作用域:Mail.Read、Mail.Send、Calendars.ReadWrite、User.Read。Google 作用域:calendar.events、openid、email。 |
| Microsoft Azure | 云托管(美国地区) | 所有数据托管在美国的 Azure 基础设施上。数据在静止和传输过程中均已加密。 |
国际数据传输
MyHandler.ai 由加拿大安大略省运营。您的数据托管在美国的 Microsoft Azure 上,并由位于美国的 AI 提供商(Groq、OpenAI、Anthropic)处理。
对于位于欧洲经济区(EEA)、英国或其他对数据传输有限制的司法管辖区的用户:
- 加拿大已获得欧盟委员会针对 GDPR 下转移的充分性决定。
- 向美国的转移受我们子处理器参与欧盟-美国数据隐私框架(DPF)和/或标准合同条款(SCCs)的约束(如适用)。
- 我们确保所有子处理器在跨境数据传输方面保持适当的保障措施。
渠道数据隔离
MyHandler 支持多种通信渠道(email、WhatsApp、Slack、Discord 等)。我们在渠道之间实施严格的数据隔离:
- 来自一个渠道的数据在没有明确规则的情况下,绝不会混入另一个渠道的 AI 上下文中。
- AI 响应符合渠道惯例 — 在 WhatsApp 中不使用电子邮件签名,在正式邮件中不使用随意语气。
- 来自高敏感度频道的记忆永远不会在低敏感度频道的回复中出现。
- 跨渠道联系人数据仅在相同的已验证联系人身份之间共享。
Cookies & 本地存储
MyHandler 使用最少的 cookie 和浏览器存储:
- 身份验证令牌 — JWT 存储在内存中,刷新令牌存储在安全存储中。对登录至关重要。
- 无跟踪 cookie — 我们不使用任何第三方分析、广告或跟踪 cookie。
- 无第三方像素 — 无 Facebook Pixel、Google Analytics 或类似的跟踪工具。
您的权利
根据您所在的司法管辖区,您有权:
- 访问 — 请求我们持有的关于您的所有数据副本。
- 更正 — 更新或更正您的个人信息。
- 删除 — 永久删除您的账户及所有相关数据。这是即时且不可逆的。
- 导出 / 可移植性 — 以可移植的格式接收您的数据。
- 限制 — 限制我们处理您的数据的方式,同时保持您的账户活跃。
- <strong>反对</strong> — 基于合法利益对处理提出异议。除非我们证明有充分的合法依据,否则我们将停止处理。
- <strong>撤回同意</strong> — 在基于同意进行处理的情况下(例如推送通知),您可以随时撤回同意,且不会影响之前的处理。
- <strong>提出投诉</strong> — 如果您认为自己的权利受到侵犯,您有权向当地数据保护机构提出投诉。
如需行使任何这些权利,请通过以下方式联系我们: privacy@myhandler.ai. 我们将在30天内回复(如法律要求则更早)。
数据泄露通知
如果发生影响您个人数据的数据泄露,我们将:
- 在获悉泄露后应立即通知受影响的用户,且不得迟于 72 小时(法律要求的情况下)。
- 在 GDPR 或适用法律要求的情况下,请在 72 小时内通知相关监督机构。
- 提供违规的详细信息、受影响的数据以及我们正在采取的缓解措施。
加利福尼亚居民(CCPA/CPRA)
如果您是加利福尼亚州居民,您在《加利福尼亚州消费者隐私法案》和《加利福尼亚州隐私权法案》下拥有额外权利:
- <strong>知情权</strong> — 您可以请求我们收集的关于您的个人信息的类别和具体内容。
- <strong>删除权利</strong> — 您可以请求删除您的个人信息。账户删除会如上所述移除您所有的数据。
- <strong>选择退出出售/共享的权利</strong> — <strong>我们不出售或共享您的个人信息</strong> 如CCPA/CPRA所定义。我们从未出售用户数据。
- <strong>非歧视权</strong> — 我们不会因您行使 CCPA/CPRA 权利而对您进行歧视。
我们收集的个人信息类别:
- 标识符(姓名、电子邮件地址、电话号码)
- 商业信息(订阅层级,账单历史)
- 互联网或电子网络活动(消息元数据,渠道连接)
- 通讯内容(消息正文,已加密存储)
- 推断(AI 分类、关系评估、行为模式)
儿童隐私
MyHandler 不适用于 18 岁以下的任何人。我们不会有意收集儿童的个人信息。如果我们发现我们收集了 18 岁以下人士的数据,我们将立即删除。
本政策的更改
我们可能会不时更新本隐私政策。当我们进行重大更改时,我们将在生效前至少通过电子邮件和/或应用内通知提前 30 天 通知您。在生效日期之后继续使用 MyHandler 即视为接受更新后的政策。
联系我们
如果您对本隐私政策或我们处理您数据的方式有任何疑问,请通过以下方式联系我们:
Tery Emilson,运营 MyHandler.ai
安大略省, 加拿大
privacy@myhandler.ai