MuseScope 隐私政策

生效日期: 2026年7月13日 · 最近更新: 2026年7月13日 · 版本: 1.0

MuseScope 由 Igor Fomin 运营("MuseScope""我们")。

本政策说明 MuseScope 网站(musescope.app)和 MuseScope iOS 应用处理哪些信息、出于什么目的,以及您有哪些选择。MuseScope 不出售个人信息,也不发送营销邮件。

隐私与支持联系方式: support@musescope.app

本文件分为三部分: A — 网站B — iOS 应用C — 通用条款

A 部分 — 网站(musescope.app)

A.1 网站简介

网站是一个只读的艺术目录。它没有用户账户、注册、联系表单或邮件订阅,也不展示广告。您无需创建账户或主动提交个人信息即可浏览网站。

A.2 网站处理的信息

当您访问网站时,我们的基础设施和分析工具可能处理:

  • 您的 IP 地址及由此推断的大致国家或地区;
  • 浏览器类型、设备类型和操作系统;
  • 您浏览的页面、访问日期和时长,以及来源网站(如链接中包含,还包括广告活动归因参数);
  • 服务器请求日志和安全日志;
  • 您的 Cookie 同意选择。

服务器访问日志和安全日志最长保留 90 天。

A.3 分析(Google Analytics 4)

我们使用 Google Analytics 4 了解页面浏览量、流量来源、访客的大致地域、浏览器和设备统计以及网站性能。

我们使用 Google Consent Mode(同意模式)。在欧洲经济区、英国和瑞士,必须先征得同意: 在您于同意横幅中选择"同意"之前,Google Analytics 不会存储 Analytics Cookie,也不会存储客户端标识符。"拒绝"始终与"同意"同样易于选择,拒绝后网站仍可完整使用。在上述地区之外,分析可能默认运行;无论身处哪个地区,您都可以随时通过网站页脚的常设 Cookie 设置 控件选择退出或更改先前的选择。

广告存储、广告个性化和再营销在所有地区均已停用。我们不使用 Google Ads 再营销、Meta Pixel、TikTok Pixel、会话录制、热力图或 A/B 测试工具。Google Analytics 的数据保留期限为 14 个月。

A.4 Cookie 与本地存储

名称提供方用途类别有效期归属
ms-consent(localStorage)MuseScope记住您的 Cookie 同意选择必要直至您清除第一方
_gaGoogle Analytics区分访客分析(在欧洲经济区/英国/瑞士须经同意)2 年由 Google 脚本设置在我们的域名下
_ga_HCSHFBNW05Google Analytics保持会话状态分析(在欧洲经济区/英国/瑞士须经同意)2 年由 Google 脚本设置在我们的域名下

网站语言是页面地址的一部分(例如 /zh-Hans/…),不会存储在 Cookie 中。

B 部分 — iOS 应用

B.1 账户与登录

应用的大部分功能无需账户即可使用。如果您登录,MuseScope 会创建账户并可能存储:

  • 您的电子邮件地址;
  • 如使用 Google 登录: 您的 Google 账户标识符、Google 提供的姓名以及您的 Google 个人资料照片;
  • 如使用"通过 Apple 登录": 您的 Apple 标识符,以及依您的选择提供的姓名和电子邮件地址(可能是 Apple 的私密转发地址);
  • 您选择的显示名称和您上传的个人资料图片或头像;
  • MuseScope 内部账户标识符、账户创建日期,以及身份验证时间戳和安全日志。

电子邮件用于登录(一次性验证码)、恢复访问、安全通知和必要的账户通信 — 绝不用于营销。

账户和个人资料信息在账户有效期间保留,您删除账户时即被移除(见 B.8)。

B.2 偏好与活动

MuseScope 可能在您的账户下存储: 收藏的作品、艺术家和博物馆;点赞;识别历史(见 B.3);界面语言、讲解语言和语音选择;搜索记录和浏览内容;以及订阅或权益状态。

我们用这些信息在设备间同步您的体验、恢复偏好、改进搜索、推荐相关作品、艺术家、博物馆和故事,并了解功能的总体使用情况。您的个人资料、收藏和活动对其他用户不可见。搜索和浏览活动以及识别元数据最长保留 12 个月,除非您提前删除账户。

B.3 相机、照片与作品识别

当您扫描作品或博物馆标签时,应用会使用您的相机或您选择的照片。标签文字识别(OCR)通常在您的设备上完成,但在需要服务器端识别时,可能在 MuseScope 基础设施上处理。作品识别时,图像会上传至 MuseScope 基础设施(Microsoft Azure,美国区域),由 MuseScope 识别服务连同 Microsoft Azure AI Vision、Google 和 OpenAI 的商用 API 一起处理。

识别历史。 如果您已登录,您的账户可能记录识别结果: 被识别的作品、指向相应作品条目的链接、日期和时间,以及相关识别元数据 — 例如,您在某一天识别了达·芬奇的某幅画作。识别历史绝不包含您提交的照片本身。

上传的照片。 原始照片会上传到临时存储,并与账户历史分开处理。照片可能用于: 识别、提取标签文字、裁剪作品、生成嵌入向量等临时技术表示、检测识别失败、自动衡量并改进识别流程的质量,以及调查安全或技术事件。当处理流程将照片与您的请求分离后,照片即不再与您的账户关联;它不会进入您的历史记录,不会作为个人资料的一部分保留,并将按照本政策的保留计划自动删除 — 无论如何都在 30 天内。由您的照片派生的临时裁剪和嵌入向量在不再需要时同样会被删除。

外部识别服务商不会收到您的 MuseScope 账户标识符、电子邮件地址、个人资料信息或任何其他持久性身份信息;仅使用不透明的技术请求标识符。

上传的照片不会用于训练 MuseScope 的模型或第三方 AI 模型,也不会加入永久性训练数据集;不会用于广告或营销画像、人脸识别或识别博物馆访客。照片中偶然出现的人会被视为无关的视觉噪声,不会被识别或分析。对用户照片的例行人工审查不属于本服务。

B.4 AI 艺术向导与聊天

应用内置 AI 艺术向导,您可以就作品、艺术家、博物馆、建筑、历史及相关文化和教育主题提问。超出这些主题的问题可能被拒绝或引导至其他方向。

为了回答问题,MuseScope 会向商用 AI 服务商(视配置为 OpenAI、Anthropic 或 Google)发送: 您的问题、近期对话上下文、您明确选择或提及的作品、艺术家、博物馆或地点的名称、相关的 MuseScope 编辑资料、必要时的标签文字或识别结果,以及一个不透明的临时对话标识符。我们不会发送您的电子邮件地址、账户或 Google/Apple 标识符、个人资料或订阅交易标识符,也不会发送您的设备位置或应用收集的位置数据。

我们依据默认不将客户内容用于训练其通用模型的商用 API 条款使用这些服务商,并且不启用任何可选的数据共享设置。服务商可能依据其自身服务条款保留有限的技术记录或滥用防范记录。

聊天上下文仅为维持对话而保留,并在您最后一次交互后 24 小时内自动删除;聊天不会成为账户的永久历史,您也无需手动删除任何内容。我们不会将聊天内容用于模型训练、营销、广告画像或例行人工审查。

B.5 位置信息

在您使用作品识别时,MuseScope 可能请求您的大致位置。它用于推测您正在参观哪家博物馆、缩小候选作品范围并提高识别准确度。

授予位置权限是可选的,不授予也能完整使用应用。位置不会存入识别历史,不会与账户永久关联,不会用于广告或长期访问跟踪,也不会发送给对话式 AI 服务商。相应识别请求完成后,位置即被丢弃。应用不会请求精确位置。

B.6 应用分析与诊断

我们依靠 Apple App Analytics 和 Apple 提供的崩溃与诊断报告(由您的 iOS"与开发者共享"设置控制),以及 MuseScope 自身的服务器端运营和安全日志。应用不包含第三方分析、崩溃报告或广告 SDK,不收集广告标识符(IDFA),也不会跨其他公司的应用或网站追踪您 — 因此它从不显示"应用跟踪透明度"(ATT)提示。

服务器端日志可能包含 IP 地址、请求标识符、应用和系统版本、设备型号、响应状态、错误信息以及身份验证/安全事件。普通后端日志最长保留 90 天;身份验证和安全日志最长保留 12 个月。

B.7 订阅与购买

订阅和应用内购买由 Apple 通过 App Store 和 StoreKit 处理。MuseScope 绝不会收到您的支付卡号、银行信息或 Apple 账户密码。

为了提供高级版权益并在您的其他设备上恢复,MuseScope 可能从 Apple 收到并在您的账户下存储: 所购产品和订阅类型、交易标识符和原始交易标识符、开始和到期日期,以及试用、续订、取消、退款和当前权益状态。

出于防欺诈、会计、争议处理、退款或法律合规所需的交易记录,在删除账户后仍可能保留;在合理可行的范围内,这些记录会被去标识化并与已删除的账户脱钩。删除 MuseScope 账户本身不会取消 Apple 订阅 — 请在您的 Apple 账户设置中管理或取消订阅。

B.8 删除账户

应用内置删除账户功能。删除会立即停用账户,并移除您的电子邮件地址、Google 和 Apple 标识符、姓名、显示名称、个人资料图片、收藏、点赞、识别历史记录及其与作品条目的关联、搜索和浏览历史、当前的 AI 聊天上下文,以及所有其他与账户关联的个人数据。

与账户关联的识别历史会被立即删除。已与账户分离的原始照片和临时技术表示不再与账户存在个别关联,将按照本政策所述的保留计划自动删除。

残留副本可能在加密备份中保留最多 7 天,随后被覆盖。无法合理关联到您个人的汇总统计数据无法单独删除。必须保留的交易记录(见 B.7)在合理可行的范围内以去标识化形式保存。

C 部分 — 通用条款

C.1 处理的法律依据

在法律要求法律依据的情形下,我们依据:

  • 履行合同 — 创建和运营您的账户、身份验证、订阅、保存的偏好、设备间同步,以及您请求的应用功能;
  • 同意 — 网站上可选的 Google Analytics Cookie;
  • 正当利益 — 安全、防欺诈、技术日志、诊断、服务可靠性和产品改进;
  • 法律义务 — 交易、会计、税务与合规记录。

C.2 服务提供商

在生产环境中处理用户信息的提供商:

  • Microsoft Azure — 托管、存储、数据库、日志、登录验证码的邮件发送以及识别基础设施;
  • Microsoft Azure AI Vision — 图像识别;
  • Google — Google 登录、Google Analytics(网站),以及用于识别和 AI 向导的 Google AI 服务;
  • Apple — 通过 Apple 登录、App Store 购买、App Analytics 和崩溃诊断;
  • OpenAI — 用于识别校验和 AI 向导的商用 API;
  • Anthropic — 用于 AI 向导的商用 API。

我们依据默认不允许将我们的内容用于训练其通用模型的商业条款使用这些服务,并且不启用任何可选的数据共享设置。提供商可能依据其自身条款保留有限的技术记录或滥用防范记录。预先生成的编辑内容(例如语音讲解)完全不使用用户数据,因此其制作工具不在此列出。

C.3 跨境处理

MuseScope 面向全球提供。主要基础设施托管在美国的 Microsoft Azure 区域,服务提供商可能在美国及其运营的其他国家处理信息;各国的隐私保护水平可能不同。我们在适用时采取合理的合同、组织和技术保障措施。

C.4 保留计划

数据类别保留期限
账户与个人资料直至删除账户
收藏与点赞直至移除或删除账户
搜索与浏览活动最长 12 个月
识别元数据最长 12 个月
识别用原始照片尽可能短,最长 30 天
临时裁剪与嵌入向量直至自动校验完成,最长 30 天
AI 聊天上下文最后一次交互后最长 24 小时
后端与访问日志最长 90 天
身份验证与安全日志最长 12 个月
Google Analytics 数据最长 14 个月
支持通信问题解决后最长 24 个月
加密备份中的已删除数据最长 7 天
交易与会计记录依法律、会计、防欺诈或争议目的所需
汇总的去标识化统计以合理必要为限

C.5 您的权利

您可以联系我们确认是否处理您的数据,并请求获取副本、更正、删除、限制处理、提出异议、撤回可选同意,或在适用时行使数据可携权。请写信至 support@musescope.app;我们会在三个工作日内确认收到隐私请求,并在适用法律要求的期限内完成处理。删除账户也可直接在应用内完成。

您还可能有权向您居住或工作所在国家的数据保护监管机构投诉。

C.6 儿童

MuseScope 不面向 13 岁以下儿童,也不会有意收集他们的个人数据。未达到适用数字同意年龄的用户,须获得法律要求的父母或监护人授权。

C.7 支持通信

如果您写信至 support@musescope.app,我们会处理您的电子邮件地址、姓名、消息内容、附件以及您自愿提供的技术细节,并在问题解决后最长保留 24 个月,用于支持的连续性、争议处理、防欺诈、安全和法律记录。电子邮件服务提供商代表我们处理这些通信。

C.8 安全

我们通过加密的网络通信、受限的基于角色的管理访问、安全的身份验证、加密且受保护的备份、日志记录与监控、将用户身份与临时识别和 AI 请求分离、供应商安全管控以及定期维护和审查来保护信息。任何在线服务都无法承诺绝对安全。

C.9 政策变更

随着 MuseScope 的发展,我们可能更新本政策。上方的生效日期、最近更新日期和版本始终反映当前修订版;对于重大变更,我们会在合理适当或法律要求时发出通知。

《使用条款》为单独文件。