隐私政策
最后更新:June 2, 2026
数据控制者
MyHandler.ai 由 Tery Emilson(“we”, “us”, “our”)运营,位于加拿大安大略省。如需了解您的数据处理方式,请通过以下方式联系我们: privacy@myhandler.ai
我们的承诺
MyHandler.ai 是一个 AI 看门人——它会读取你的消息,这样你就不必亲自阅读。也就是说,我们的 AI 会处理你的电子邮件内容,但 没有任何人类会看到你的消息。
我们相信隐私是通过架构而非承诺来构建的。每一个设计决策——从列级加密到零数据保留 AI——都是为了在提供您所需智能的同时保护您的信息。
我们收集的内容及原因
当消息通过您连接的渠道到达时,我们的 AI 会处理:
- Message content — 已加密存储(AES-256-GCM),用于转发到您的设备并在您请求时生成草稿。重要性分类在您的设备上运行,而非在我们的服务器上。没有任何人类会访问您的消息。
- 消息元数据 — 发件人、主题行、时间戳、来源渠道。
- <strong>日历数据</strong> — 事件标题、时间、参与者和地点(当您连接 Microsoft 或 Google Calendar 时)。
- 联系信息 — 发件人标识符、沟通模式以及从消息历史中得出的关系上下文.
- <strong>账户信息</strong> — 您的姓名、电子邮件地址、时区和身份验证凭据。
- <strong>付款信息</strong> — 由 Stripe 处理。我们不存储您的信用卡号 — 仅存储您的 Stripe 客户 ID 和订阅状态。
- 会议记录 — meeting transcripts are captured and stored encrypted for AI analysis.
处理的合法依据
我们根据以下法律依据处理您的数据:
| 处理活动 | 法律依据 |
|---|---|
| 设备端分类和按需草稿生成 | 合同履行(提供您已签约的服务) |
| 正在存储加密的消息内容 | 合同履行 |
| 为语义搜索生成向量嵌入 | 合同履行 |
| 构建联系人档案和关系上下文 | 合同履行 |
| 计费和订阅管理 | 合同履行 |
| 安全监控与滥用防护 | 合法利益(保护 Service 和用户) |
| 审计日志 | 合法利益 (安全与合规) |
| 推送通知 | 同意(您可以随时禁用通知) |
我们存储的内容
- Message content — AES-256-GCM 加密存储。仅在足够时间内将其转发到您的设备并在您请求时生成草稿,随后在桌面应用同步后即从我们的服务器中删除。
- AI-generated summaries — 对消息内容的简短描述,绝不显示原始消息本身。
- <strong>情景记忆</strong> — AI提取的关于您的联系人和沟通模式的洞察。已加密。活跃至账户删除。
- Contact dossiers — 由 AI 编制的关系档案。所有个人数据字段均已加密。
- <strong>校准事件</strong> — 您对 AI 分类的反馈记录,用于提升准确性。有效期至账户删除。
- Vector embeddings — 用于语义搜索的消息摘要的数学表示。不可逆转回原始内容。
MyHandler 桌面版 — 本地屏幕与文件智能
MyHandler 桌面应用(Windows 版)在本地、您的设备上构建环境记忆。以下是它捕获的内容以及这些数据所在的位置:
- 屏幕文字 — 为了呈现您可能会忘记的内容,桌面应用使用 Windows 可访问性 API 读取您活动窗口中可见的文字。我们从不捕获屏幕截图或图像 — 仅提取文字。
- <strong>已索引文件</strong> — 当您选择加入并指定特定文件夹时,桌面应用会索引受支持文档的文本,以便您搜索和检索它们。索引功能保持关闭,直到您自行打开并选择文件夹。
- 仅存储在您的设备上 — 屏幕文本和文件索引保存在您电脑上的加密本地数据库(SQLite/SQLCipher,AES-256)中,密钥存放在 Windows Credential Manager 中。此内容绝不会上传至我们的服务器。
- <strong>您同步数据的本地副本</strong> — 桌面应用程序也会在同一设备数据库中保留同步的邮件、日历、联系人和会议记录的加密本地副本,因此即使 Cloud AI 关闭,它仍能正常工作。
- <strong>Redacted at the source</strong> — 密码、卡号、API 密钥以及类似的机密信息在存储前会被剥离。应用会自动跳过密码字段、私人或隐身窗口,以及您排除的任何应用或网站。
- 您掌控全局 — 您可以随时暂停捕获,并将应用或域名添加到排除列表。
- <strong>Cloud AI 是可选择的</strong> — 如果您在桌面设置中开启 Cloud AI,短的、已被编辑的文本片段可能会发送到我们的 AI 提供商(Groq,零数据保留)以回答您的请求。关闭 Cloud AI 时,屏幕和文件处理将完全在您的设备上进行。
我们不在服务器上存储的内容
我们构建 MyHandler 的目的是在可能的情况下将敏感数据保留在我们的服务器之外。通常情况下,我们不会存储:
- 信用卡号或完整的付款凭证(Stripe 处理这些)
- 明文密码
- 原始屏幕截图或屏幕图像
- 文件的文本内容或您屏幕上的活动——这些都保存在您设备上的加密保险库中(见上文)
How AI Processes Your Data
MyHandler 将 AI 工作分配在我们的服务器和您设备上的 MyHandler Desktop 应用之间。
在我们的服务器(云)
Incoming messages from your connected channels are stored encrypted (AES-256-GCM) and relayed to your desktop app. <strong>服务器不会对您的消息进行分类、摘要或嵌入。</strong> When you ask MyHandler to draft a reply to a specific message, that message and the
在您的设备上(MyHandler Desktop)
Your desktop app decides what is important and builds its memory locally, using on-device models by default. When you ask a question in Chat, or a scheduled task or watch runs, the app gathers relevant snippets from your local data (messages, screen text, documents, calendar, contacts) to answer. If you enable Cloud AI, those snippets are first scrubbed of detected secrets — passwords, card numbers, API keys, and similar — and sent to our AI provider (Groq under Zero Data Retention). With Cloud AI off, everything runs on your device and nothing is sent.
没有人工审查您的消息。 所有处理都是自动化的。
AI 提供商
Groq — 分类 & 草稿生成 (默认)
我们通过在每个 API 调用中添加自定义标头,强制执行与 Groq 的全局 Zero Data Retention(ZDR)。您的消息内容以瞬时方式处理,绝不存储在 Groq 的服务器上——甚至不会用于滥用监控。您的数据从未用于训练或改进 AI 模型。
Anthropic Claude — 分类 & 草稿生成 (可选)
激活时,Anthropic 会接收与 Groq 相同的数据(消息内容和组装的上下文),用于分类和草稿生成。Anthropic 不会使用 API 数据来训练模型。Anthropic 可能会保留 API 输入最长 30 天,以用于信任和安全目的。
加密
We use <strong>AES-256-GCM</strong> column-level encryption for all sensitive data at rest. This includes, but is not limited to:
- 消息内容、主题和正文预览
- 联系信息和关系数据
- 行为模式和偏好
- OAuth 令牌和身份验证凭证
- 电话通话记录和来电者信息
- 会议记录、与会者和行动项
- 语音配置文件样本和写作风格数据
- 草稿更正历史
- 日历事件标题、与会者和地点
- 财务事件详情
发送者标识符使用单向 SHA-256 哈希进行数据库查找,确保我们能够匹配联系人而不以明文存储其地址。
<strong>注意:</strong> 您
数据保留
| 数据类型 | 保留 |
|---|---|
| 消息内容(已加密) | 已在桌面应用确认消息已同步后不久从我们的服务器删除(通常在约 15 分钟内)。随后,只有您的设备保留唯一的持久副本。 |
| 消息元数据 | 已从我们的服务器中删除(桌面同步后),同时删除了消息内容。 |
| 情景记忆(已加密) | 活跃至账户删除 |
| 校准事件 | 活跃至账户删除 |
| 联系人档案(已加密) | 活跃至账户删除 |
| 向量嵌入 | 90 天(通过每日清理作业自动过期) |
| 设备令牌(推送) | 60 天不活跃 (auto-cleanup) |
| 审计日志 | 为合规保留(无 PII — 已匿名化) |
<strong>账户删除</strong> triggers a complete
第三方服务
我们使用以下第三方服务来提供 MyHandler 的功能:
| 服务 | 目的 | 已接收数据 |
|---|---|---|
| Groq | AI 分类 & 草稿生成 | 消息内容 + 上下文。强制零数据保留 — 不存储,不用于训练。 |
| Anthropic | AI 分类 & 草稿生成(可选) | 当激活时的消息内容 + 上下文。 不用于训练。 最长 30 天的信任与安全保留。 |
| OpenAI | 仅 Vector embeddings | AI 生成的消息摘要(非完整内容)。不用于训练。最长 30 天的滥用监控。 |
| Twilio | SMS & 电话号码 | SMS 消息文本、呼叫者/接收者电话号码、通话元数据。来电将以静态消息应答——不记录或处理通话音频。 |
| Stripe | 付款处理 | 您的姓名、电子邮件和付款详情。Stripe 已通过 PCI-DSS 认证。我们不存储卡号。 |
| Firebase (FCM) | 推送通知 (Android) | 设备令牌、通知标题和摘要(最多 200 个字符),项目 ID。推送负载中不包含消息内容。 |
| Recall.ai | 会议机器人用于转录捕获 | 会议 URL 和 bot 显示名称。转录文件会下载并加密存储在我们的服务器上。 |
| Postmark | 事务性电子邮件投递 | 收件人电子邮件地址和系统通知及验证邮件的邮件内容。 |
| Microsoft / Google | OAuth 用于电子邮件 & 日历 | 作用域访问令牌。Microsoft 作用域:Mail.Read、Mail.Send、Calendars.ReadWrite、User.Read。Google 作用域:calendar.events、openid、email。 |
| Microsoft Azure | 云托管(美国地区) | 所有数据托管在美国的 Azure 基础设施上。数据在静止和传输过程中均已加密。 |
国际数据传输
MyHandler.ai 由加拿大安大略省运营。您的数据托管在美国的 Microsoft Azure 上,并由位于美国的 AI 提供商(Groq、OpenAI、Anthropic)处理。
MyHandler Desktop 应用捕获并存储的数据——屏幕文字、已索引文件以及本地记忆——保留在您的设备上,不会包含在这些传输中。如果您选择使用 Cloud AI,仅会将已清洗的文本片段发送给我们位于美国的 AI 提供商(Groq),并遵循零数据保留政策。
对于位于欧洲经济区(EEA)、英国或其他对数据传输有限制的司法管辖区的用户:
- 加拿大已获得欧盟委员会针对 GDPR 下转移的充分性决定。
- 向美国的转移受我们子处理器参与欧盟-美国数据隐私框架(DPF)和/或标准合同条款(SCCs)的约束(如适用)。
- 我们确保所有子处理器在跨境数据传输方面保持适当的保障措施。
Cookies & 本地存储
MyHandler 使用最少的 cookie 和浏览器存储:
- 身份验证令牌 — JWT 存储在内存中,刷新令牌存储在安全存储中。对登录至关重要。
- 无广告或广告追踪 — 无广告 cookies、无 Facebook Pixel,也无跨站广告定位工具。
- <strong>基于同意的分析</strong> — 我们使用 Google Analytics 4 来衡量站点使用情况。它在同意模式下运行,默认拒绝,只有在您选择加入时才激活,并且在检测到 Global Privacy Control 时会被禁用。
您可以随时通过页脚中的“管理 Cookie”链接查看或更改您的选择。了解我们的 Cookie 政策 完整列表
您的权利
根据您所在的司法管辖区,您有权:
- 访问 — 请求我们持有的关于您的所有数据副本。
- 更正 — 更新或更正您的个人信息。
- 删除 — 永久删除您的账户及所有相关数据。这是即时且不可逆的。
- 导出 / 可移植性 — 以可移植的格式接收您的数据。
- 限制 — 限制我们处理您的数据的方式,同时保持您的账户活跃。
- <strong>反对</strong> — 基于合法利益对处理提出异议。除非我们证明有充分的合法依据,否则我们将停止处理。
- <strong>撤回同意</strong> — 在基于同意进行处理的情况下(例如推送通知),您可以随时撤回同意,且不会影响之前的处理。
- <strong>提出投诉</strong> — 如果您认为自己的权利受到侵犯,您有权向当地数据保护机构提出投诉。
如需行使任何这些权利,请通过以下方式联系我们: privacy@myhandler.ai. 我们将在30天内回复(如法律要求则更早)。
数据泄露通知
如果发生影响您个人数据的数据泄露,我们将:
- 在获悉泄露后应立即通知受影响的用户,且不得迟于 72 小时(法律要求的情况下)。
- 在 GDPR 或适用法律要求的情况下,请在 72 小时内通知相关监督机构。
- 提供违规的详细信息、受影响的数据以及我们正在采取的缓解措施。
加利福尼亚居民(CCPA/CPRA)
如果您是加利福尼亚州居民,您在《加利福尼亚州消费者隐私法案》和《加利福尼亚州隐私权法案》下拥有额外权利:
- <strong>知情权</strong> — 您可以请求我们收集的关于您的个人信息的类别和具体内容。
- <strong>删除权利</strong> — 您可以请求删除您的个人信息。账户删除会如上所述移除您所有的数据。
- <strong>选择退出出售/共享的权利</strong> — <strong>我们不出售或共享您的个人信息</strong> 如CCPA/CPRA所定义。我们从未出售用户数据。
- <strong>非歧视权</strong> — 我们不会因您行使 CCPA/CPRA 权利而对您进行歧视。
我们收集的个人信息类别:
- 标识符(姓名、电子邮件地址、电话号码)
- 商业信息(订阅层级,账单历史)
- 互联网或电子网络活动(消息元数据,渠道连接)
- 通讯内容(消息正文,已加密存储)
- 推断(AI 分类、关系评估、行为模式)
儿童隐私
MyHandler 不适用于 18 岁以下的任何人。我们不会有意收集儿童的个人信息。如果我们发现我们收集了 18 岁以下人士的数据,我们将立即删除。
本政策的更改
我们可能会不时更新本隐私政策。当我们进行重大更改时,我们会通过电子邮件和/或应用内通知通知您。本政策顶部的“最后更新”日期显示最近一次更改生效的时间。自生效日期起继续使用 MyHandler 即表示您接受更新后的政策。
联系我们
如果您对本隐私政策或我们处理您数据的方式有任何疑问,请通过以下方式联系我们:
Tery Emilson,运营 MyHandler.ai
安大略省, 加拿大
privacy@myhandler.ai