隐私政策

账户身份：Google 邮箱、显示名、头像 URL、稳定的 Google subject ID。仅用于登录与界面称呼。

个人配置：你选择的印记、默认塔阵、语言。占星与本命牌功能在服务端基于你输入的数据即时计算后，仅保存派生结果（日月升星座代码 + 灵魂牌 / 性格牌 ID）。你的生日、出生时间、地点与经纬度原值绝不写入数据库——这是可审计的隐私承诺，不是可选开关。

解读与札记：仅当你将解读封入法典时——抽到的牌、塔阵类型、你提的问题、AI 解读、你的笔记、标签、心情，以及你主动生成的公开分享 token（用于 /share/[token] 链接）。若你对已保存解读触发角度或风格重抽，新版解读将与原版并列保存。

互动记录：每日塔罗（每位用户每个 UTC 日存一张牌）、21 天挑战进度、成就解锁与测验得分。这些数据用于渲染你的 /profile、/journey、/wrapped 页面，以及条款中所述的成就授予。

推送订阅：仅当你在 /profile 中开启时——浏览器提供的 endpoint URL，以及该设备的 p256dh 与 auth 公钥材料（由浏览器签发，本身不构成个人信息）。关闭开关后即删除。

推荐：当你生成或兑换邀请码时——邀请码字符串与每次成功兑换的一行记录，用于授予条款中所述的额外月份。

账单：付费会员的档位、续费日期、宽限期截止时间（如有），以及 Creem 客户 / 订阅 ID。我们看不到你的卡号、有效期或安全码。

分析数据：以哈希用户 ID 为键的匿名事件记录。不含问题文本、牌面内容或解读正文。

履行合同（GDPR 第 6(1)(b) 条）：账户、配置、解读、账单。没有这些我们无法提供你所要求的服务。

正当利益（第 6(1)(f) 条）：用于服务健康度与防止滥用的最小化分析；通过哈希标识符与登出即清空来与你的隐私平衡。

同意（第 6(1)(a) 条）：占星增强解读、网页推送、营销邮件，以及已订阅的每日塔罗邮件。均默认关闭，由你自己开启。

法律义务（第 6(1)(c) 条）：账单记录依据收款方所在地的税法保留。

所有与用户关联的数据行（账户、配置、解读、札记、收藏卡牌、每日塔罗、挑战进度、成就、测验得分、推送订阅、推荐记录、月度用量计数）：直到你主动删除账户——届时它们将在单一事务中级联删除。

数据库备份：滚动保留 30 天。

服务器与访问日志：30 天。

分析事件：滚动 12 个月。

账单记录：账户删除后由 Creem 依税务与审计义务最长保留 7 年。

Cloudflare（美国 / 全球边缘节点）：Workers 计算、D1 数据库、R2 资产存储。所有热数据存储于此。

Google（美国）：仅用于 OAuth 登录。我们仅接收邮箱、显示名、头像与 subject ID。

DeepSeek（新加坡 / 中国）：AI 解读 provider。我们仅发送抽到的牌、塔阵类型、问题、语言与（若启用）占星上下文。绝不发送邮箱、姓名或历史记录。

Resend（美国）：交易性与计划性邮件。我们传递邮箱地址与渲染后的模板正文。

Web Push 转发服务（Apple Push Notification service / Firebase Cloud Messaging / Mozilla Push Service）：仅在你订阅推送后启用。我们将通知载荷发送至浏览器签发的 endpoint URL，由这些转发服务下发到你的设备。

PostHog（美国，可选 EU 区）：产品分析。我们发送哈希用户 ID 与事件名；不发送问题文本或解读正文。

Creem（运营主体 Armitage Labs OÜ，爱沙尼亚塔林，EU）：付费订阅的法定收款方（merchant of record），处理刷卡与税务合规；我们仅获得其抽象的客户 / 订阅 ID。跨 EEA 数据传输（如适用）依欧盟标准合同条款（SCC）执行。

authjs.session-token（开发环境）/ __Secure-authjs.session-token（生产环境）：Auth.js v5 会话 cookie，httpOnly，sameSite=lax，登录所必需。

NEXT_LOCALE：你选择的语言。

lunarcana-ref：邀请码载体，使用后失效。

PostHog distinct_id：第一方分析标识符，仅当 NEXT_PUBLIC_POSTHOG_KEY 配置时设置。

我们不使用任何第三方广告 cookie，也不参与任何跨站行为追踪。

本地存储（localStorage）：仅在设备本地存放、绝不上传服务器的少量非敏感偏好——背景音轨与音量、静音状态、安装提示已关闭标记、每日冥想计数器。清理网站数据即可移除。

Lunarcana 部署在 Cloudflare 全球网络上，你的数据可能在你居住地以外的地区被处理（含美国）。来自欧盟、英国、瑞士的传输在适用时依据标准合同条款（SCC）进行。

中国版（上线后）运行于中国大陆境内的阿里云上，不向境外镜像数据。中国版收集数据的跨境传输适用单独的同意流程。

访问、更正、删除、可携带：通过 support@lunarcana.app 联系，或在「个人页 → 销毁法典」中立即级联删除所有用户关联表：user / account / session / reading / readingInterpretation / savedCard / userPreference / subscription / dailyDraw / userChallenge / userAchievement / userQuizScore / pushSubscription / referralCode / referralRedemption / usageMonthly。删除为单一事务，不可恢复。

撤回同意：随时在个人页关闭占星、推送、营销邮件、每日塔罗邮件与语音合成。

反对或限制处理：来邮告知。

投诉：可向你所在地的数据保护机构投诉（欧盟：当地监管机构；英国：ICO；加州：总检察长；中国：网信办）。

加州（CCPA / CPRA）：我们不出售或为跨上下文行为广告共享个人信息，因此无需「Do Not Sell or Share」链接，但你仍可行使上述权利。

中国（PIPL）：你有权索取数据副本与处理说明，并可随时撤回同意。

Lunarcana 不面向 13 岁以下（欧盟为 16 岁以下）用户。一旦我们发现误收集了此类用户的数据，将立即删除。

实质变更将在生效前至少 14 天在站内公示。本页顶部的「最近更新」时间为权威依据。

传输中：你的浏览器、Cloudflare 边缘节点与我们调用的每个子处理方之间使用 TLS 1.3。鉴权 cookie 为 httpOnly + sameSite=lax；会话 token 为 Auth.js v5 签发的随机不透明值，仅以引用形式存于数据库。

静态存储：Cloudflare D1 数据库使用 Cloudflare 托管的磁盘加密。我们不存储你的卡号、有效期、CVV 或任何支付凭证——仅保留 Creem 抽象客户 / 订阅 ID。

访问控制：生产数据库的管理访问仅限于维护者使用硬件密钥认证的 Cloudflare 账号。我们没有运行可对用户数据无差别读取的内部客服工具。

数据泄露通报：若发生可能导致你权利受损风险的个人数据泄露，我们将在知悉后 72 小时内通报相关监管机构，并通过留存邮箱不无故拖延地通知受影响用户，符合 GDPR 第 33-34 条与同等法规要求。

AI 解读由你抽到的牌与你提的问题即时驱动，由第三方语言模型生成。其用途为反思、写作与内省练习。账户、资格、定价或服务档位的任何决定均不由 AI 作出。

我们不进行对你产生法律或类似重大影响的自动化个人决策（含画像），即不构成 GDPR 第 22 条意义上的自动化决策。