隐私政策
零日志是架构保证,不是口头承诺
最后更新:2026 年 4 月 19 日
ShieldFlow 的设计前提很简单:我们无法泄露从未收集过的数据。本政策说明我们实际处理哪些数据、为什么处理、以及保留多久。
1. 我们收集哪些数据
为了运行订阅服务,我们需要最低限度的账户信息:邮箱(用于登录和账单)、密码哈希、绑定到 Stripe 或 USDT 支付的账单记录,以及(若您被邀请)邀请码。我们不收集您的真实姓名、家庭住址或任何政府颁发的身份证件。
2. 我们不记录哪些数据
我们不记录您的浏览历史、连接时间、源 IP、目的地域名、DNS 查询,也不记录按目的地分段的带宽。中继节点在内存中转发数据包,转发后即丢弃,流量相关信息从未写入磁盘。
3. 运营指标
每个节点会向我们的控制面汇报自身健康指标(CPU、内存、并发连接数、出口流量聚合值),以便发现故障机器。这些指标是按服务器聚合的,不描述任何具体用户。确实存在的按用户指标(月总流量、设备数量)是执行套餐限额所必需的,账单周期结束时失效。
4. 设备绑定
您的订阅令牌是设备绑定的:前 N 个拉取订阅地址的客户端会被登记到您的账户,N 为套餐的设备数量上限。我们存储一个不透明的客户端指纹(User-Agent + 首次见到 IP 的加盐哈希),仅用于统计占用。您可以随时在「设备」页面重置列表。
5. Cookie 与 localStorage
控制台仅使用单个 HTTP-only 会话 Cookie 维持登录状态。我们不使用任何第三方分析、广告 Cookie 或跨站追踪器。客户端语言偏好保存在 localStorage 中。
6. 支付数据
银行卡支付由 Stripe 处理,我们永远看不到您的卡号或 CVV。USDT 支付通过链上校验,仅保留交易哈希与到账金额。
7. 执法协助请求
因为我们不记录流量元数据,也就没有日志可以上交。在合法程序要求下,我们只能提供第 1 节所述的账户数据(邮箱、账单历史),因为其他数据根本不存在。
8. 您的权利
您可以随时在「设置」页面导出或删除账户。账户删除将在 30 天内清除所有个人可识别记录;税法要求保留的账单记录将以匿名形式保留。
9. 联系方式
对本政策的疑问请发邮件至 [email protected]。