重要提示:FamilyMedVault 用于协助整理家庭健康信息与就诊准备类场景,不提供医疗诊断、治疗决策或急诊指导。本政策旨在满足透明度义务并保护用户知情权;不构成正式法律意见。重大合规事项请咨询持证律师。运营者为独立个人开发者;服务按「现状」提供。涉及第三方基础设施的部分受其可用性、安全事件与条款约束;我们在合理范围内选择服务商并描述其角色,且不就第三方独立于我们的行为承担超出个人开发者合理可控范围的责任(适用法律强制性规定除外)。
当前试用阶段提示(v2026-05-10 新增):本应用中的云端 AI 助手等智能功能当前处于试用 / 公开测试阶段,可能因第三方生成式 AI 提供方变更、配额限流、网络波动、配置切换或防滥用措施而不稳定或暂时不可用。其余非 AI 功能(家庭成员管理、本地病历整理、用药提醒、症状记录、设备本地 OCR 等本地优先功能)通常可独立、正常使用,不依赖云端 AI 是否可用。详见第 17 条。
FamilyMedVault 由独立开发者运营(「我们」「运营者」)。与本隐私政策及您的个人信息相关的请求,请联系:hello@familymedvault.com。为保护账户安全,我们可能要求您在合理范围内验证身份后再响应;对于明显重复、无依据或过度频繁的请求,在法律允许范围内我们可能收取合理费用或拒绝。
下列摘要用于帮助您快速对照 Apple 常见的透明度维度;详细说明见后文条款。
| 主题 | 我们的实践(概要) |
|---|---|
| 用于跟踪您在其他公司 App/网站上的活动(常见「跟踪」语境) | 否 — 我们不将本产品收集的数据用于跨 App/跨网站定向广告跟踪;不出售数据用于此类目的。 |
| 与您关联的数据 — 第三方广告 | 我们不出售您的个人信息以换取金钱对价;不向数据经纪出售用于其独立营销画像名单。 |
| 分析 | 网站可能使用托管商提供的聚合级访问统计;应用当前版本未集成主流第三方广告或社交 SDK 用于行为广告(若未来变更,我们将更新本政策并在适用法律要求时征求必要同意)。 |
| 健康相关信息 | 主要由您在设备上主动录入;仅在您启用依赖网络的功能时,才可能按本政策所述有限上传。 |
| 云端 AI 服务可用性 | 云端 AI 当前为试用 / 公测,可能不稳定或暂时不可用;非 AI 本地优先功能不受影响(见第 17 条)。 |
可能处理的信息:页面浏览、大致地区层级来源(通常为国家/地区层级)、设备与浏览器类型、请求时间与路径等聚合或日志级信息。用途:维持可用性、安全审计、排错与改进产品。服务提供商:网站托管与访问统计可能由 Vercel 及其组件处理;请以 Vercel 现行隐私政策为准。
为实现「同一浏览器对同一帖子仅点赞一次」及加载评论等互动,我们可能使用 localStorage 存储随机生成的浏览器本地 ID。该 ID 不用于跨站广告画像;默认不与您的姓名或邮箱主动关联,除非您在表单中自愿填写。
您在首页快速反馈或社区相关表单中填写的称呼、邮箱等。用途:必要时就反馈与您沟通。
内容:帖子标题与正文、评论、点赞记录等。存储:由 Supabase(PostgreSQL)托管;涉及服务端密钥的管理功能仅在运营者部署的后端环境中使用。若站点未配置 Supabase 环境变量,社区功能可能不可用 — 以实际部署为准。
我们可能在对来访 IP 进行加盐单向哈希后,于有限时间窗口内计数,以降低刷屏与滥用。我们不将原始 IP 用于长期画像;哈希摘要通常不足以单独识别自然人。
在社区相关提交等场景,我们可能启用 Cloudflare Turnstile。处理者:Cloudflare;我们可能收到验证是否通过的摘要,不将其用于广告画像。
应用以本地优先方式设计。您在设备上录入或导入的家庭成员信息、病历与记录摘要、用药与提醒、预约与转诊、症状记录、紧急卡片文本及您附加的内容等,默认保存在您的设备(含系统提供的安全存储适用部分)。用途:向您提供记录整理、提醒、导出等功能。关键边界:除非您主动启用下文网络功能,运营者不应远程读取您设备上的本地数据库内容。
我们可能请求通知、相册/相机、日历、本地文件访问等权限;仅在您使用相关功能时处理随之产生的数据。系统权限文案以 iOS Info.plist 与实际请求为准。OCR、PDF 导出等功能可能在设备本地处理图像或文本;若您随后启用云端 AI,才可能按第 5.5 节传输摘要式上下文。
若您使用「通过 Apple 登录」,Apple 可能向我们提供验证令牌及与账户关联的标识符(例如 Apple 用户标识语境下的 subject)。用途:创建并维持会话、同步您在应用中声明的订阅档位(用于服务端配额与功能)、以及提供云端备份/云端 AI 等可选能力。会话令牌可能以加密形式保存在您的设备上(以实现后续请求)。Apple 作为独立控制者的处理受其条款约束。
订阅购买、恢复购买与权益状态通过 Apple StoreKit 在设备侧解析;支付由 Apple 处理。为使「AI Credits」额度周期与订阅周期对齐,应用可能向我们后端报告当前订阅区间的开始/结束时间戳(毫秒)以及是否为年订阅 SKU(由产品标识推断)。这些数据用于计费与公平使用;我们不以此为目的收集与订阅无关的额外财务明细。
试用阶段下未消耗 Credits 的处理:由于第 17 条所述的 AI 功能试用属性,在云端 AI 暂时不可用期间您未消耗的 Credits不视为损失,运营者将在合理范围内设法保留或顺延(具体规则以应用内当时说明为准)。本声明不影响您依 Apple 规则及强制性消费者法享有的退款权利;订阅退款与账单争议请通过 Apple「设置 → Apple 账户 → 订阅」与 Apple 支持渠道办理。
若您在设置中启用云端 AI、已满足应用内隐私/个性化相关同意要求并已登录,您的问题文本以及应用基于本地资料生成的摘要式上下文可能经 TLS 加密传输至运营者提供的后端服务(HTTPS)。后端按当前版本实现,优先通过 Amazon Web Services(AWS)Amazon Bedrock 调用生成式模型(计费与可用性受 AWS 账户与模型开通策略约束);若该路径不可用或未配置,则可能按服务端配置调用 Google 的生成式接口(例如 Gemini / Google AI 相关接口)作为后备路径。服务端当前实现不再使用 OpenAI 接口。具体路由顺序、模型与提供方可能随时调整,以部署环境与版本为准。云端 AI 可用性详见第 17 条。
Credits / 防滥用:服务端可能处理会话标识、您选择的 AI 功能类型(不同功能消耗不同额度)、重复请求指纹、速率限制所需摘要,以及与服务端额度账本相关的最小必要记录。
可选 BYOK(Bring Your Own Key,通常为开发或直连后备):若您在应用中自行配置第三方 API 密钥(当前典型为 Google Gemini),请求路径可能由您的设备按配置直接发送至该第三方;请您阅读并遵守对应提供商条款与配额政策;若您向他人泄露密钥或因配置错误产生费用,运营者在适用法律允许范围内不承担责任。
重要:输出仅供教育、整理与就诊准备参考,不构成诊断、处方或急诊医疗建议。
若您启用云备份,请在应用设置中填写备份所用的 HTTPS 端点(例如您控制的存储或预签名 PUT/GET URL);应用可能上传加密备份快照。若您的备份接口需要授权请求头,当前产品设计通常通过「通过 Apple 登录」取得的会话令牌由应用在设备侧用于备份请求(加密存储),无需您在界面单独输入令牌。运营者未必长期托管您的远端副本;请您妥善保管 URL、预签名链接有效期与加密材料。若后端提供对象存储相关的短期签名 URL 生成能力,仅在您启用并按产品设计使用时处理必要的技术参数。
视司法辖区而定,合法性可能基于:履行合同/提供服务、正当利益(安全、防滥用、改进)、法律义务,或您对可选功能(例如提交邮箱、启用云端能力)的同意。我们不会藉「同意」捆绑与您的请求无关的处理。
我们不将自动化决策用于对您产生重大法律或类似重大影响的合同拒绝(本应用亦不提供信贷或雇佣类自动化决策)。云端 AI 输出为辅助性文本生成,最终行动由您自行判断。
我们仅在实现目的所需期限内保留数据;社区内容在运营需要期间保存,除非您行使删除权且不与法律保留义务冲突。设备端数据主要由您控制卸载与清除;服务端会话与额度账本按最小必要原则保存。我们依托 TLS、访问控制与服务商安全措施;没有任何系统能保证绝对安全。请您妥善保管设备、系统密码与会话。
您的信息可能被托管于您居住地以外的服务器(取决于云服务提供商的数据中心与路由,包括 AWS、Google 及网站托管方)。我们会尽可能在可行范围内采取合同性与技术性保护措施;具体以相关服务商条款为准。
下列清单反映当前产品基线中可能出现的服务商;具体是否启用以您的部署与设备设置为准。路由顺序、模型版本与启用范围可能随产品更新而调整。
我们不出售个人信息换取金钱对价。我们不会将您的个人信息共享给第三方用于跨语境行为广告(在加利福尼亚州等法律对该术语的定义范围内),除非适用法律另有定义且我们的实践发生变化 — 若发生变化,我们将更新本政策并提供适用法律要求的退出机制(如适用)。
在适用法律允许范围内,您可请求访问、更正、删除、限制或反对某些处理,并可索取结构化副本(可携带性)。欧盟用户可向监管机构投诉;部分美国州居民享有额外权利(包括 opt-out 与销售相关权利,视条款而定)。请求请联系:hello@familymedvault.com。我们可能需要在法律允许范围内验证您的身份。
本服务并非以未满十三周岁(或您所在司法辖区规定的更高年龄门槛)儿童为主要受众进行定向服务。若您认为我们在未获可验证家长同意的情况下收集了儿童个人信息,请联系我们,我们将在核实后尽快删除可删除的信息。
请勿在网站社区帖子中上传高度敏感的诊疗原件或可单独识别您或他人健康状况的信息。应用内的健康相关数据处理以实现您选择的功能为目的;本政策不构成 HIPAA 等特定监管场景下的合规认证;若您受行业规则约束,请自行评估是否适用本应用。
AI 输出由算法生成,可能存在不完整、错误或过时信息;遇到紧急健康状况请拨打当地紧急电话或立即就医。我们不保证 AI 输出的准确性、完整性或适用于您的具体情况。
在适用法律允许的最大范围内,对于因第三方基础设施中断、不可抗力、您自身设备或网络问题、第三方密钥(BYOK)配置错误、您违反法律法规或本政策、或不可归责于运营者的其他事由而导致的损害,运营者不承担超出独立个人开发者合理可控范围的赔偿责任。这不影响适用法律下不得排除的消费者强制性权利。
我们可能更新本政策并在页顶更新生效日期。若变更实质影响您的权利,我们将采取合理方式提示;在法律要求时需取得同意的,我们将依法处理。变更生效后,您继续使用本网站或应用即表示接受更新版本;如不接受,请停止使用并视情况撤回同意、行使删除/反对等权利。
在不损害您所在地不可剥夺的强制性消费者保护与个人信息 / 隐私法律(含但不限于 GDPR、CCPA/CPRA、英国 DPA、中国《个人信息保护法》《消费者权益保护法》及您所在地同类规则)、不与 Apple App Store 强制性政策冲突的前提下,运营者(独立个人开发者)就本政策条款保留合理的最终解释说明权,以便消除歧义、填补条款空白与统一执行口径。
该解释权明确不得用于以下情形:
若您对运营者的解释存在异议,可先通过下方联系邮箱提出书面异议;运营者应在合理期间内回复。任何最终解释均不得违反本条所列禁止事项;与之相抵触的解释无效,相关条款应回归对您更有利的、依法可执行的解读。本条不限制您向监管机构投诉或寻求司法救济的权利。
Version: v2026-05-10 | Effective date: May 10, 2026. This version supersedes the v2026-05-07 version.
Beta / Trial notice: The cloud AI assistant features in this app are currently in a trial / public beta phase and may be unstable or temporarily unavailable due to third-party generative-AI provider changes (e.g. AWS Amazon Bedrock, Google Gemini), quotas, network conditions, configuration switches or anti-abuse controls. All other (non-AI) local-first features — family member profiles, local medical records, on-device OCR, medication reminders, symptom tracking and trends, emergency cards — continue to operate independently and do not depend on cloud AI availability. See Section 17.
FamilyMedVault is operated by an individual developer. This Privacy Policy describes processing for familymedvault.com (hosting/analytics via Vercel; optional community features via Supabase when configured; optional Cloudflare Turnstile; browser-local IDs; salted IP hashes for abuse prevention) and the FamilyMedVault iOS app (local-first health information you choose to store; Sign in with Apple; StoreKit subscriptions including renewal-window metadata used for AI Credits periods).
Optional cloud AI: When you enable it and meet in-app consent requirements, limited prompts and summary-style context may be sent over TLS to the operator's backend. The server typically calls AWS Amazon Bedrock first; if unavailable or not configured, it may fall back to Google generative AI (e.g., Gemini) as configured on the server. OpenAI is not used on the server in the current implementation. Routing order, models and providers may change at any time.
Optional BYOK (development / limited device-side fallback): If you configure your own API keys in the app (typically Gemini), requests may be sent directly from your device per your settings; you are responsible for provider terms, quotas, and key safety.
Credits / anti-abuse records may be processed on the server as described above. Unspent Credits that could not be consumed because cloud AI was temporarily unavailable are not deemed a loss; the operator will use commercially reasonable efforts to retain or carry over such Credits, without prejudice to your statutory consumer-law refund rights and Apple-managed refund pathways.
Optional encrypted backups: You enter HTTPS endpoints in app Settings (e.g. presigned PUT/GET). If your endpoint requires authorization headers, the app typically uses the session from Sign in with Apple for backup requests (stored securely on-device)—there is no separate user-facing token field. We do not use data collected here for cross-app / cross-site tracking for third-party behavioral advertising as commonly understood, and we do not sell personal information for money. Contact hello@familymedvault.com for privacy requests. AI outputs are informational only and not medical advice. Third-party services (Apple, AWS, Google, hosting providers, etc.) have their own policies.
No availability SLA on AI: The operator makes no guarantee regarding AI availability, latency, throughput, or output consistency. Inconvenience caused by AI outages, degradation, throttling, Credit-deduction failures, or output variance does not, to the maximum extent permitted by law, give rise to refund or compensation claims under this Policy — without prejudice to your statutory consumer rights and Apple-managed refund pathways.
Final interpretation (within lawful limits): The individual developer reserves a reasonable right of final interpretation of this Privacy Policy only to resolve ambiguity or fill gaps, and not to (a) unilaterally expand processing scope, purposes or retention, or reduce your non-waivable data-protection rights (access, rectification, erasure, restriction, portability, withdrawal of consent, objection to automated decision-making, etc.); (b) exclude liability for personal injury, fraud, gross negligence or anything else not lawfully excludable; (c) circumvent Apple Media Services / App Privacy nutrition-label disclosure / Standard EULA / App Store rules; (d) impair your refund / dispute pathways with Apple; or (e) waive statutory notification duties (e.g. data-breach notification, cross-border transfer disclosure, separate consent for sensitive information). Any interpretation conflicting with these limits is void; the related clause shall be read in the manner most favorable to you that remains lawfully enforceable. Nothing here limits your right to complain to a supervisory authority or seek judicial remedies.