隱私政策

賬戶身份：Google 郵箱、顯示名、頭像 URL、穩定的 Google subject ID。僅用於登入與介面稱呼。

個人配置：你選擇的印記、預設塔陣、語言。占星與本命牌功能在服務端基於你輸入的資料即時計算後，僅儲存派生結果（日月升星座程式碼 + 靈魂牌 / 性格牌 ID）。你的生日、出生時間、地點與經緯度原值絕不寫入資料庫——這是可審計的隱私承諾，不是可選開關。

解讀與札記：僅當你將解讀封入法典時——抽到的牌、塔陣型別、你提的問題、AI 解讀、你的筆記、標籤、心情，以及你主動生成的公開分享 token（用於 /share/[token] 連結）。若你對已儲存解讀觸發角度或風格重抽，新版解讀將與原版並列儲存。

互動記錄：每日塔羅（每位使用者每個 UTC 日存一張牌）、21 天挑戰進度、成就解鎖與測驗得分。這些資料用於渲染你的 /profile、/journey、/wrapped 頁面，以及條款中所述的成就授予。

推送訂閱：僅當你在 /profile 中開啟時——瀏覽器提供的 endpoint URL，以及該裝置的 p256dh 與 auth 公鑰材料（由瀏覽器簽發，本身不構成個人資訊）。關閉開關後即刪除。

推薦：當你生成或兌換邀請碼時——邀請碼字串與每次成功兌換的一行記錄，用於授予條款中所述的額外月份。

賬單：付費會員的檔位、續費日期、寬限期截止時間（如有），以及 Creem 客戶 / 訂閱 ID。我們看不到你的卡號、有效期或安全碼。

分析資料：以雜湊使用者 ID 為鍵的匿名事件記錄。不含問題文本、牌面內容或解讀正文。

履行合同（GDPR 第 6(1)(b) 條）：賬戶、配置、解讀、賬單。沒有這些我們無法提供你所要求的服務。

正當利益（第 6(1)(f) 條）：用於服務健康度與防止濫用的最小化分析；透過雜湊識別符號與登出即清空來與你的隱私平衡。

同意（第 6(1)(a) 條）：占星增強解讀、網頁推送、營銷郵件，以及已訂閱的每日塔羅郵件。均預設關閉，由你自己開啟。

法律義務（第 6(1)(c) 條）：賬單記錄依據收款方所在地的稅法保留。

所有與使用者關聯的資料行（賬戶、配置、解讀、札記、收藏卡牌、每日塔羅、挑戰進度、成就、測驗得分、推送訂閱、推薦記錄、月度用量計數）：直到你主動刪除賬戶——屆時它們將在單一事務中級聯刪除。

資料庫備份：滾動保留 30 天。

伺服器與訪問日誌：30 天。

分析事件：滾動 12 個月。

賬單記錄：賬戶刪除後由 Creem 依稅務與審計義務最長保留 7 年。

Cloudflare（美國 / 全球邊緣節點）：Workers 計算、D1 資料庫、R2 資產儲存。所有熱資料儲存於此。

Google（美國）：僅用於 OAuth 登入。我們僅接收郵箱、顯示名、頭像與 subject ID。

DeepSeek（新加坡 / 中國）：AI 解讀 provider。我們僅傳送抽到的牌、塔陣型別、問題、語言與（若啟用）占星上下文。絕不傳送郵箱、姓名或歷史記錄。

Resend（美國）：交易性與計劃性郵件。我們傳遞郵箱地址與渲染後的模板正文。

Web Push 轉發服務（Apple Push Notification service / Firebase Cloud Messaging / Mozilla Push Service）：僅在你訂閱推送後啟用。我們將通知載荷傳送至瀏覽器簽發的 endpoint URL，由這些轉發服務下發到你的裝置。

PostHog（美國，可選 EU 區）：產品分析。我們傳送雜湊使用者 ID 與事件名；不傳送問題文本或解讀正文。

Creem（營運主體 Armitage Labs OÜ，愛沙尼亞塔林，EU）：付費訂閱的法定收款方（merchant of record），處理刷卡與稅務合規；我們僅獲得其抽象的客戶 / 訂閱 ID。跨 EEA 資料傳輸（如適用）依歐盟標準合約條款（SCC）執行。

authjs.session-token（開發環境）/ __Secure-authjs.session-token（生產環境）：Auth.js v5 會話 cookie，httpOnly，sameSite=lax，登入所必需。

NEXT_LOCALE：你選擇的語言。

lunarcana-ref：邀請碼載體，使用後失效。

PostHog distinct_id：第一方分析識別符號，僅當 NEXT_PUBLIC_POSTHOG_KEY 配置時設定。

我們不使用任何第三方廣告 cookie，也不參與任何跨站行為追蹤。

本地儲存（localStorage）：僅在裝置本地存放、絕不上傳伺服器的少量非敏感偏好——背景音軌與音量、靜音狀態、安裝提示已關閉標記、每日冥想計數器。清理網站資料即可移除。

Lunarcana 部署在 Cloudflare 全球網路上，你的資料可能在你居住地以外的地區被處理（含美國）。來自歐盟、英國、瑞士的傳輸在適用時依據標準合同條款（SCC）進行。

中國版（上線後）執行於中國大陸境內的阿里雲上，不向境外映象資料。中國版收集資料的跨境傳輸適用單獨的同意流程。

訪問、更正、刪除、可攜帶：透過 support@lunarcana.app 聯絡，或在「個人頁 → 銷燬法典」中立即級聯刪除所有使用者關聯表：user / account / session / reading / readingInterpretation / savedCard / userPreference / subscription / dailyDraw / userChallenge / userAchievement / userQuizScore / pushSubscription / referralCode / referralRedemption / usageMonthly。刪除為單一事務，不可恢復。

撤回同意：隨時在個人頁關閉占星、推送、營銷郵件、每日塔羅郵件與語音合成。

反對或限制處理：來郵告知。

投訴：可向你所在地的資料保護機構投訴（歐盟：當地監管機構；英國：ICO；加州：總檢察長；中國：網信辦）。

加州（CCPA / CPRA）：我們不出售或為跨上下文行為廣告共享個人資訊，因此無需「Do Not Sell or Share」連結，但你仍可行使上述權利。

中國（PIPL）：你有權索取資料副本與處理說明，並可隨時撤回同意。

Lunarcana 不面向 13 歲以下（歐盟為 16 歲以下）使用者。一旦我們發現誤收集了此類使用者的資料，將立即刪除。

實質變更將在生效前至少 14 天在站內公示。本頁頂部的「最近更新」時間為權威依據。

傳輸中：你的瀏覽器、Cloudflare 邊緣節點與我們呼叫的每個子處理方之間使用 TLS 1.3。鑑權 cookie 為 httpOnly + sameSite=lax；會話 token 為 Auth.js v5 簽發的隨機不透明值，僅以引用形式存於資料庫。

靜態儲存：Cloudflare D1 資料庫使用 Cloudflare 託管的磁碟加密。我們不儲存你的卡號、有效期、CVV 或任何支付憑證——僅保留 Creem 抽象客戶 / 訂閱 ID。

訪問控制：生產資料庫的管理訪問僅限於維護者使用硬體金鑰認證的 Cloudflare 賬號。我們沒有執行可對使用者資料無差別讀取的內部客服工具。

資料洩露通報：若發生可能導致你權利受損風險的個人資料洩露，我們將在知悉後 72 小時內通報相關監管機構，並透過留存郵箱不無故拖延地通知受影響使用者，符合 GDPR 第 33-34 條與同等法規要求。

AI 解讀由你抽到的牌與你提的問題即時驅動，由第三方語言模型生成。其用途為反思、寫作與內省練習。賬戶、資格、定價或服務檔位的任何決定均不由 AI 作出。

我們不進行對你產生法律或類似重大影響的自動化個人決策（含畫像），即不構成 GDPR 第 22 條意義上的自動化決策。