顺手 / In-Place 隐私政策#
更新日期:2026-06-17
本隐私政策适用于浏览器扩展「顺手 / In-Place」(以下简称「本扩展」)。本扩展目前仅用于指定 Google 账号范围内的内部测试,不面向公众开放使用。
0. Chrome Web Store Limited Use 声明#
本扩展对用户数据的使用遵守 Chrome Web Store 用户数据政策,包括 Limited Use 要求。具体而言,本扩展只会在提供或改进用户可见功能所必需的范围内使用用户数据,不会出售用户数据,不会将用户数据用于第三方广告投放,也不会将用户数据用于与本扩展核心功能无关的画像、营销或转让目的。
1. 本扩展的用途#
本扩展用于在用户阅读网页时,基于用户主动选中的文字提供:
- 就地解释;
- 背景补充;
- 自定义问 AI / 追问;
- 本地使用统计;
- 可选的内部遥测样本上传。
本扩展不会替用户自动发布内容,不会修改网页原始内容,也不会读取用户的 Google 账号、邮箱、通讯录、云盘或其他 Google 服务数据。
2. 内测账号范围#
当前阶段,本扩展仅向指定 Google 账号开放内测。Google 账号仅用于 Chrome Web Store 或浏览器扩展分发渠道判断该账号是否具备内测访问权限。
本扩展自身不会通过插件代码收集、保存或上传用户的 Google 账号、Google 邮箱地址、Google 个人资料或 Google 登录凭据。
本扩展主要通过 Chrome Web Store 分发,我们不主动面向中国大陆地区、欧盟或加州地区公众提供、推广或运营本产品。若用户在上述地区自行访问、安装或使用本扩展,相关数据处理将以实现用户主动请求的插件功能为限;涉及适用法律要求的告知、同意和用户权利保障事项,应在正式扩大分发范围前补齐并在产品 UI 中落地。
3. 本扩展会处理哪些数据#
3.1 用户主动配置的数据#
用户可以在设置页填写或修改以下内容:
- OpenAI API Key;
- OpenAI Compatible Base URL;
- 模型名称;
- Tavily API Key;
- 三个功能入口对应的系统提示词;
- 是否允许上传问答样本;
- 自动生成的去标识化内部用户 ID。
上述配置保存在用户本机浏览器的 chrome.storage.local 中。API Key 不会被上传到本扩展的遥测服务。
3.2 用户主动发起问答时处理的数据#
当用户在网页上划选文字并点击「解释」「补背景」或「问 AI」后,本扩展会处理以下数据,用于生成回答:
- 当前页面标题;
- 当前页面 URL;
- 当前页面 host;
- 用户选中的文字;
- 选中文字附近的页面上下文;
- 用户在「问 AI / 追问」中输入的问题;
- 本次会话中少量相关历史问答,用于帮助连续理解;
- 模型返回的回答;
- 如启用检索,Tavily 返回的搜索来源和摘要内容。
本扩展不会在用户仅浏览网页、未点击功能按钮时向模型服务发送页面内容。
3.3 本地统计数据#
本扩展会在本机记录使用统计和历史记录,用于展示设置页统计、导出 JSON/CSV,以及验证内测假设。记录内容可能包括:
- 操作类型(解释、补背景、问 AI / 追问);
- 时间戳;
- 页面标题、URL、host;
- 选中文字和上下文;
- 用户问题;
- 模型回答;
- 是否调用检索;
- 来源链接;
- 是否标记为「以前懒得查」;
- 点赞 / 点踩反馈及点踩原因;
- 请求成功或失败信息;
- 耗时相关信息。
这些记录默认仅保存在用户本机浏览器中,用户可以在设置页导出或清空。
4. 数据会发送给哪些第三方服务#
4.1 OpenAI 或用户配置的 OpenAI-compatible 服务#
为了生成解释、背景补充和问答结果,本扩展会把用户主动触发问答所需的数据发送给 OpenAI API,或用户在设置页配置的 OpenAI-compatible Base URL 对应服务。
发送内容通常包括页面标题、URL、选中文字、附近上下文、用户问题、系统提示词和少量会话历史。
具体第三方服务如何处理这些数据,取决于用户配置的模型服务提供方及其隐私政策、服务条款和数据使用政策。
如果用户使用默认 OpenAI API 或其他位于中国大陆以外的模型服务,用户主动提交或授权处理的信息可能会由境外服务提供方处理。若适用中国个人信息保护法等法律要求,应在产品 UI 中以单独同意方式告知并取得同意后再调用相关服务。
4.2 Tavily#
Tavily API Key 为选填。只有当用户配置了 Tavily API Key,并且「补背景」或「问 AI / 追问」过程中判断需要联网检索时,本扩展才会调用 Tavily。
发送给 Tavily 的内容主要是模型生成的搜索关键词。Tavily 返回的标题、URL、摘要和相关结果会用于生成回答、展示来源,并可能记录在本地统计中。
如果用户配置并使用 Tavily,相关搜索关键词和检索结果可能由境外服务提供方处理。若适用中国个人信息保护法等法律要求,应在产品 UI 中以单独同意方式告知并取得同意后再调用相关服务。
4.3 内部遥测服务#
遥测上传默认关闭。只有用户在设置页显式开启「允许上传问答样本」,并且当前窗口不是无痕窗口时,本扩展才会向固定遥测服务上传问答样本:
https://telemetry.rkbkosp.cn/events
上传样本可能包括:
- 页面标题、URL、host;
- 选中文字;
- 页面上下文;
- 用户问题;
- 模型输出;
- Tavily 搜索关键词与返回内容;
- 使用的模型名称;
- 工具调用审计信息;
- 点赞 / 点踩反馈;
- 「以前懒得查」标记;
- 耗时、错误和成功状态;
- 去标识化内部用户 ID。
遥测样本不包含 OpenAI API Key、Tavily API Key 或 Google 账号信息。
遥测样本是原始问答样本,可能包含用户选中的文字、页面上下文、URL、问题和模型输出,因此可能构成个人信息或敏感信息。开启遥测后,内测维护人员可能会为了调试、质量评估和产品假设验证读取这些原始样本。遥测上传必须在产品 UI 中通过显著披露和用户肯定性同意取得授权;仅在隐私政策中披露并不足以构成同意。
4.4 共享和委托处理摘要#
| 接收方 | 发送的数据 | 用途 | 保存与删除 |
|---|---|---|---|
| OpenAI 或用户配置的 OpenAI-compatible 服务 | 页面标题、URL、选中文字、上下文、用户问题、系统提示词、少量会话历史 | 生成解释、背景补充和问答结果 | 由对应服务提供方按其政策处理;用户可删除本地 API 配置并停止调用 |
| Tavily | 搜索关键词;返回的标题、URL、摘要和相关结果会回传给扩展 | 按需联网检索并提供来源 | 由 Tavily 按其政策处理;用户可删除 Tavily API Key 停止调用 |
内部遥测服务 https://telemetry.rkbkosp.cn/events |
问答原始样本、反馈、耗时、错误、去标识化内部用户 ID;上传前会尝试脱敏明显身份证号、银行卡号、访问令牌、密钥和 JWT | 内部分析、调试、质量评估和产品假设验证 | 内测期仅限授权维护人员访问;用户可关闭后续上传,并可通过内测联系渠道请求删除已上传样本 |
5. 我们如何使用数据#
本扩展处理数据仅用于以下目的:
- 提供划词解释、背景补充和问 AI 功能;
- 在用户本机展示使用统计和历史记录;
- 支持用户导出或清空本地记录;
- 在用户通过显著披露和肯定性同意明确开启遥测后,用于内部分析、调试、质量评估和产品假设验证;
- 定位错误、性能问题和上下文抓取质量问题。
我们不会出售用户数据,不会将用户数据用于第三方广告投放,也不会将遥测样本用于与本扩展无关的画像或营销目的。
6. 权限说明#
本扩展当前使用以下浏览器权限:
storage:保存 API 设置、模型配置、系统提示词、本地统计、去标识化内部用户 ID 和遥测开关。activeTab:在用户使用扩展时与当前标签页交互。<all_urls>content script:在网页中监听用户划词,并在用户点击功能入口后抓取选中文字及附近上下文。https://api.openai.com/*:调用 OpenAI API。https://api.tavily.com/*:在用户配置 Tavily 且需要检索时调用 Tavily API。https://*/*:支持用户配置 OpenAI-compatible HTTPS 服务,并在普通网页中运行划词浮层。http://localhost/*、http://127.0.0.1/*:支持本地开发或本地兼容服务测试。
虽然扩展需要在网页中运行 content script,但本扩展的设计目标是只在用户主动划词并点击功能入口后处理与该次请求相关的页面内容。
发布到 Chrome Web Store 的生产版本不应包含仅用于本地开发的 http://localhost/* 和 http://127.0.0.1/* 权限。所有宽权限都应在 Chrome Web Store Developer Dashboard 中按最小权限原则说明必要性。
7. 数据保存与删除#
本地配置和统计记录保存在用户浏览器本地存储中,直到用户手动清空、卸载扩展或浏览器清理扩展数据。
去标识化内部用户 ID 用于区分内测期间的同一浏览器配置文件,并不等同于匿名化数据。由于它可能与 URL、选中文字、上下文和反馈等内容共同用于关联样本,本扩展会将遥测样本整体按可能包含个人信息的数据处理。
用户可以通过以下方式控制数据:
- 在设置页修改或删除 API Key;
- 关闭遥测上传;
- 清空本地使用记录;
- 导出本地 JSON/CSV 后自行保存或删除;
- 卸载扩展以删除扩展本地数据。
对于已上传到内部遥测服务的样本,内测阶段将仅用于内部分析、调试、质量评估和产品假设验证。原始样本访问应仅限发布负责人明确授权的内测维护人员;正式公开发布前,应在产品文档或内部治理记录中列明具体访问人员、角色或团队。
内测用户可以通过扩展分发邀请、内测沟通渠道或团队内部约定联系人请求删除已上传样本;提出删除请求时,可能需要提供去标识化内部用户 ID、相关日期范围、页面 URL 或其他定位线索。维护人员定位样本后应删除并记录处理日期。
遥测样本最长保留期限建议不超过 90 天;正式公开发布前,应按实际运营安排写入明确期限,并配置服务端清理或人工复核流程。
8. 无痕窗口#
即使用户开启了遥测上传,本扩展也不会在无痕窗口上传遥测样本。
如果用户在无痕模式中允许并使用本扩展,模型服务调用仍可能根据用户主动发起的功能请求发生。是否允许扩展在无痕模式运行,由用户在浏览器扩展设置中控制。
9. 敏感信息提醒#
用户不应在包含高度敏感信息的页面上使用本扩展,或不应在这类场景开启遥测上传。敏感信息可能包括但不限于:
- 身份证件、银行卡、医疗、财务、法律等信息;
- 公司内部机密或未公开商业信息;
- 私人聊天、邮件、云文档或受保密义务约束的内容;
- 任何用户无权发送给第三方模型服务或内部遥测服务的内容。
当用户点击「解释」「补背景」或「问 AI」时,被选中的文字及附近上下文可能会发送给模型服务。
遥测样本可能包含敏感信息。用户开启遥测前应确认不会上传无权共享或不适合由内测维护人员读取的内容。
10. 儿童隐私#
本扩展目前仅用于指定 Google 账号的内部测试,不面向儿童或未成年人提供服务。我们不会有意收集儿童个人信息。
11. 安全措施#
本扩展采取以下措施降低数据风险:
- API Key 默认仅保存在本机浏览器扩展存储中;
- 遥测上传默认关闭;
- 遥测不上传 API Key;
- 遥测样本上传前会在本地尝试拦截或脱敏明显身份证号、银行卡号、访问令牌、密钥、JWT 等敏感内容;
- 无痕窗口不上传遥测;
- 使用 HTTPS 调用 OpenAI、Tavily 和内部遥测服务;
- 用户可随时关闭遥测并清空本地记录。
需要注意的是,浏览器本地存储不是专门的密码管理器。用户应妥善保护本机设备、浏览器配置文件和 API Key。
12. 产品内显著披露与同意#
本隐私政策用于说明数据处理方式,但不能替代产品 UI 内的显著披露和肯定性同意。对于以下处理活动,应在收集或发送数据前通过扩展 UI 明确展示并取得用户主动同意:
- 首次将页面标题、URL、选中文字、上下文和用户问题发送给 OpenAI 或用户配置的 OpenAI-compatible 服务;
- 首次将检索关键词发送给 Tavily;
- 首次开启遥测上传,尤其是允许内测维护人员读取原始问答样本;
- 若适用中国个人信息保护法,首次将用户主动提交或授权处理的信息传输至中国大陆以外服务提供方。
同意文案应明确说明会上传什么数据、发送给谁、用于什么目的、用户如何关闭和删除。用户拒绝遥测不应影响基础划词问答功能。
当前版本已在设置页提供上述数据发送、Tavily 检索、境外模型服务和遥测原始样本的同意控件;用户可以通过取消勾选撤回后续处理同意。
13. 政策变更#
如果本扩展后续新增功能、扩大测试范围、改变数据上传范围、接入新的第三方服务,或从内测转为公开发布,本隐私政策应及时更新。
重大变更发生时,应在扩展说明、设置页或分发渠道中提示内测用户。
14. 联系方式#
如对本隐私政策或数据处理方式有疑问,请联系:
- 负责人 / 团队:顺手内测维护人员
- 内测期联系渠道:扩展分发邀请、内测群或团队内部约定联系人
- 数据删除或遥测样本处理请求:通过上述内测联系渠道提交,并尽量提供去标识化内部用户 ID、相关日期或页面线索以便定位样本
- 正式公开发布前需替换为稳定、公开、可访问的隐私邮箱或表单