我们如何处理账户、账单和应用数据。
本政策说明 Multilo 收集哪些信息、我们为何使用这些信息,以及客户如何就其信息与我们联系。
你的论文留在你的设备上
Multilo 在你的电脑上运行。你的文档和项目文件保存在你自己的磁盘上——我们没有它们的副本,也绝不会把它们上传到我们的服务器。
我们不出售你的数据
我们不出售你的个人信息,也不会为跨上下文行为广告而共享它。我们不会对你投放广告网络。
你掌握控制权
遥测按套餐选择性开启,产品改进数据收集可随时退出,你可以随时访问、导出或删除你的数据。
本地优先:你的成果归你所有
Multilo 是一款桌面应用,而不是一个让你把成果粘贴进去的网站。你的文档、草稿、引用和项目文件都保存在你自己的电脑上——因此你未发表的研究和敏感写作对你保持私密。
- 我们没有任何“你的文档”数据库。你的论文绝不会被上传或存储到 Multilo 的服务器——我们这边根本没有它们的副本。
- 你的文档内容不会进行云同步。自动保存、草稿和版本历史都存放在你的设备上。
- 当你选择使用某项 AI 功能时,只有你正在处理的特定文本会被发送——经过加密,仅用于该单次请求——发送给 AI 模型提供商。我们绝不会发送你的整个项目,事后也不会保留该内容。
- 可选的产品改进数据收集默认关闭,且可随时退出。即使开启,它也只存储你聊天上下文中一小段、有时限的片段——绝不包含你的文档——并且不适用于教育和企业套餐。
这与基于网页的写作工具不同,那些工具要求你把整个文档上传到别人的云端才能使用。使用 Multilo,你的机密和未发表成果会留在它应在的地方——你这里。
我们是谁
Multilo(“Multilo”、“我们”)提供 Multilo 网站、桌面应用及相关学术写作服务,并且是负责本政策所述个人信息的控制者。如有隐私问题或要行使你的权利,请通过 support@multilo.com 联系我们。
本政策的适用范围
本政策涵盖当你访问网站、创建账户、下载或使用桌面应用、订阅付费套餐、连接 GitHub 等第三方服务或联系支持时我们处理的个人信息。它不涵盖拥有各自隐私政策的第三方网站或服务,也不涵盖你通过自行启用的集成选择与第三方分享的内容。
我们收集的信息
我们收集运营网站、桌面应用、订阅和支持工作流所需的信息。
你提供的信息
- 账户详情,例如姓名、电子邮件地址、头像、登录提供商、角色和账户状态。
- 你选择通过应用或已连接功能提交的消息、文件、提示或其他内容。
自动收集的信息
- 桌面应用信息,例如账户连接事件、应用版本、操作系统详情、项目详情、智能体使用情况、模型选择、时间戳,以及你选择启用时的诊断或崩溃报告。
- 在你登录或桌面应用连接时,根据你的 IP 地址推导出的大致国家/地区(例如“美国”)。我们仅存储由此得出的国家/地区代码,用于产品分析、安全和区域合规 — 我们不会将原始 IP 地址与你的账户一起保留。
来自第三方的信息
当你使用 Google 登录或连接 GitHub 时,我们会从该提供商处收到基本资料信息(例如你的姓名、电子邮件和头像)。当你订阅时,Stripe 会与我们共享账单状态和标识符。我们将这些与你的账户结合,以便服务正常运作。
- 订阅记录,例如套餐、状态、Stripe 客户 ID、Stripe 订阅 ID、价格 ID、续订周期和取消状态。
- 当你为创建项目而连接 GitHub 时的可选 GitHub 连接信息。
我们如何使用信息
- 对用户进行身份验证并连接桌面应用。
- 提供 AI 智能体、模型访问、用量和项目功能。
- 管理免费和付费订阅限额。
- 处理账单事件、取消和账户支持。
- 了解我们的用户位于哪些国家/地区,以便优先安排功能、语言和区域合规。
- 诊断错误、防止滥用并提高可靠性。
- 遵守法律、税务、安全和支付义务。
AI 处理与你的内容
Multilo 的若干功能——聊天、智能体和行内建议——的工作方式是把你选择处理的内容(你的提示词、所选文本、文档上下文以及你附加的任何图片)发送给生成回复的 AI 模型提供商。这只会在你触发该功能时发生。
- 内容会通过加密连接为该请求发送给模型提供商(目前为 Anthropic、OpenAI 和/或 Google,取决于你选择的模型)。
- 我们只发送该功能所需的最少上下文。我们不会向模型提供商发送你的文件名、项目路径或 IP 地址。
- 在我们可以使用该控制项时,我们会指示提供商不要保留内容用于训练(例如在受支持的端点上请求不存储处理)。提供商可能会根据其自身条款,为滥用监控短暂保留有限数据。
- AI 输出可能有误或不完整。在你依赖、提交或发表 AI 辅助的成果之前,你有责任对其进行审核。
- 将内容发送给模型提供商是这些功能运作所必需的。如果你不希望你的内容被 AI 提供商处理,请不要使用 AI 功能;应用的其余部分仍可正常使用。
随着我们增加或移除模型,我们使用的具体提供商可能会变化。模型提供商的当前列表会反映在应用的模型选择器中以及下方我们的服务提供商列表中。
法律依据与区域权利
根据你所在的地区,你可能有权访问、知悉、更正、删除、导出、限制或反对对个人信息的某些处理。在处理基于同意的情况下,你也可能有权撤回同意。
对于欧洲经济区、英国及类似隐私法地区的用户,我们的法律依据可能包括履行服务合同、同意、在安全和产品运营方面的合法利益,以及遵守法律义务。对于加利福尼亚州及类似州法地区的用户,我们不会出售个人信息,也不会为跨情境行为广告而共享个人信息。
我们与之共享数据的服务提供商
我们会与代表我们处理数据以运营服务的供应商共享有限的个人信息。每一方都受合同约束,只能将数据用于向我们提供其服务。我们不会向他们中的任何一方出售个人信息。
| 提供商 | 他们做什么 | 他们接收的数据 |
|---|---|---|
| Stripe | 支付与订阅账单 | 姓名、电子邮件、账单/银行卡信息(直接在 Stripe 中输入)、客户和订阅标识符 |
| Anthropic | AI 模型回复(Claude) | 当你使用 Claude 模型的 AI 功能时所提交的提示词和上下文 |
| OpenAI | AI 模型回复(GPT) | 当你使用 OpenAI 模型的 AI 功能时所提交的提示词和上下文 |
| 登录与 AI 模型回复(Gemini) | 用于登录的基本资料;使用 Gemini 模型时的提示词和上下文 | |
| GitHub | 可选的 GitHub 项目工作流 | GitHub 登录、访问令牌以及你发起的仓库操作 |
| Resend | 事务性和账户电子邮件的投递 | 电子邮件地址和消息内容(验证、账单、支持、通知) |
| Convex | 应用数据库和后端托管 | 账户、订阅、使用情况、支持及相关记录 |
| Vercel | 网站托管和边缘分发 | 请求元数据;在边缘推断的大致国家/地区 |
随着产品的发展,我们可能会增加或更换提供商。当我们的核心处理方发生变化时,我们会更新此列表。
付款
付款由 Stripe 处理。我们不会在服务器上存储完整的信用卡号或银行账户详情。Stripe 向我们提供账单状态、订阅标识符、客户标识符和相关付款详情,以便我们开通并支持付费套餐。
匿名桌面遥测
Multilo 桌面应用可以发送匿名使用数据,以便我们修复故障并推出实际被使用的功能。我们会在首次启动时请你在三个选项中选择:仅标准(推荐)、标准 + 崩溃诊断 或 不发送遥测。无论你选择哪一项,都可以随时在“设置 → 隐私”中更改。
- 标准层级发送:应用版本、操作系统标签(例如“Windows 11”)、CPU 架构、区域设置、主屏幕尺寸、来自封闭允许列表的命名事件的每日计数(例如
doc.opened、citation.inserted)、更新漏斗和 AI 补全的带标记事件及小型允许列表属性集(例如modelId、latencyMs),以及会话开始/结束标记。 - 崩溃诊断层级会在崩溃事件中添加简短的错误消息和原因字符串。这些有时会包含来自你机器的文件路径,因此该层级是单独的选择加入项,且默认关闭。
- 每个负载都与我们在首次选择加入时在本地生成的随机的每设备标识符绑定。它绝不会与你的电子邮件、账户或硬件关联。我们绝不会收到文档内容、AI 提示、文件名、项目路径或你的 IP 地址(服务器通过 TCP 看到 IP,但不会记录它)。
原始事件和计数会保留 90 天,然后由每日 cron 自动删除。每设备指纹(不含原始事件历史)会在设备的整个生命周期内保留。聚合的每日快照(DAU/MAU、版本分布)会无限期保留以用于趋势分析 — 这些绝不包含每设备数据。
你可以在“设置 → 隐私”中一键删除与你的设备 ID 关联的每一行。事件名称和属性键的完整目录位于 /privacy/telemetry。
产品改进(聊天和 AI 建议)
为了改进 Multilo 及其中的 AI 功能,我们可能会收集你的聊天消息内容以及为内联 AI 建议发送的文本上下文,并与你的账户关联。这与上述匿名遥测分开,且由你控制:
- 它是可选择退出的。 你可以随时在桌面应用的设置 → 数据控制下将其关闭。关闭后,不会为改进目的收集任何聊天或建议内容。
- 默认排除教育和企业套餐 — 除非另行约定,否则不会为改进目的收集这些账户的内容。
- 收集的内容会保留一段有限的时间(默认约 30 天),然后自动删除;如果你删除账户,它会被完全移除。
- 我们用它来了解用户的需求、修复故障并改进我们的模型和功能。我们不会出售它,也不会将其用于广告。
国际处理
我们可能会在你所居住国家/地区以外的国家/地区处理和存储信息。在法律要求时,我们会为跨境传输采用适当的保障措施,例如合同、供应商条款或其他受认可的传输机制。
我们保留数据的时长
我们会在提供服务、遵守义务、解决争议和维护安全所需的期限内保留账户、账单、用量、遥测和支持记录。你可以要求我们访问、更正、导出或删除个人信息,但须遵守法律和运营方面的保留要求。
| 数据 | 保留期 |
|---|---|
| 账户和资料 | 在你的账户处于活动状态期间;账户关闭时删除(法律保留除外) |
| 账单和发票 | 按税务和会计法律的要求(通常为数年) |
| 匿名遥测事件 | 90 天,之后自动删除 |
| 产品改进内容 | 默认约 30 天;账户删除时移除 |
| 支持工单 | 在支持历史需要期间保留,之后定期清除 |
| 验证/重置令牌 | 在到期后约 30 天内删除 |
桌面应用在完成账户连接之前会请求必需的法律和 AI 处理同意。诊断遥测和崩溃报告是可选的,可在桌面设置中更改。安装扩展需要单独的权限审查。
你的隐私权利
根据你所在地区和适用法律,你对你的个人信息享有以下权利。我们不会因你行使这些权利而区别对待你。
- 访问——请求获取我们持有的关于你的个人信息副本。
- 更正——要求我们修正不准确或不完整的信息。
- 删除——要求我们删除你的个人信息,但须遵守法定的保留期限。
- 可携带——以可携带、机器可读的格式获取某些信息。
- 限制与反对——要求我们限制或停止某些处理,包括基于合法利益的处理。
- 撤回同意——当处理基于同意时(例如产品改进数据收集或可选遥测),可随时撤回,而不影响此前的处理。
- 投诉——向你当地的数据保护机构提出投诉。
如何行使你的权利
发送电子邮件至 support@multilo.com,或使用你账户和桌面应用中的控件。在处理请求之前,我们可能需要核实你的身份。我们会在适用法律要求的时限内回复。在法律允许的情况下,你可以授权代理人代你提出请求。
加州隐私权利
如果你是加州居民,CCPA/CPRA 赋予你知情、访问、更正和删除你个人信息的权利,以及限制使用敏感个人信息的权利。我们不出售你的个人信息,也不为跨上下文行为广告而共享它,因此不存在需要你退出的“出售”或“共享”。我们不会为需要退出的目的使用或披露敏感个人信息。你可以使用下方的联系方式行使这些权利,我们不会因此而歧视你。
其他美国州隐私权利
拥有综合隐私法的州(如科罗拉多、康涅狄格、弗吉尼亚、犹他、得克萨斯、俄勒冈等)的居民有权访问、更正、删除其个人数据并获取可携带副本,并有权退出定向广告、出售或某些画像分析。我们不出售个人数据,也不将其用于定向广告。请联系我们以行使这些权利;在需要时,你可以通过回复我们的答复来对决定提出申诉。
删除你的账户和数据
你可以在账户设置中删除你的账户,或发送电子邮件至 support@multilo.com。当你删除账户时,我们会取消任何有效订阅,向你发送确认,并分批从我们的系统中移除你的个人记录。某些数据可能仅在法律、税务、安全或争议解决所需的期限内保留,之后即被删除。与设备标识符关联的匿名遥测可在“设置 → 隐私”中单独删除。
自动化决策
我们使用自动化检查来进行使用限额、欺诈和滥用防范以及速率限制。在没有人工参与的情况下,这些不会对你产生法律或类似的重大影响。AI 功能生成的是建议,而非关于你的决定——是否使用其输出由你掌控。
安全
我们对客户信息采用合理的管理、技术和组织保障措施。没有任何在线服务能够保证绝对安全,因此客户应使用强账户凭据并保护桌面连接凭据。
儿童与学生
Multilo 面向学生、研究人员和成年学术用户。它并非面向 13 岁以下儿童。除非你拥有适用法律所要求的权限和经核实的同意,否则请勿提交 13 岁以下儿童的个人信息。未成年人只应在获得适当的家长、监护人、学校或机构许可的情况下使用本服务。
本政策的变更
随着产品和法律的变化,我们可能会更新本政策。我们会在此发布更新后的版本并附上新的“最后更新”日期,对于重大变更,我们会在适当情况下提供额外通知。在更新后继续使用服务即表示你接受修订后的政策。
联系
如需隐私请求,请发送电子邮件至 support@multilo.com。你也可以查看我们的条款、退款政策和联系我们页面。