隐私政策

根据你使用的功能，我们可能处理：

• 浏览器内的导出设置和导出结果数据
• Google 登录返回的账户字段（id、邮箱、姓名、头像）
• 用于 Pro 激活与校验的权益状态与支付交易字段（status、amount、currency、stripe_customer_id、stripe_checkout_session_id、stripe_payment_intent_id）
• 通过 queryLocalFonts 获取的本地字体元数据，以及用于 PDF 字形覆盖校验的临时字体字节（font blob）

• 不会上传对话正文做任何目的
• 不会上传本地字体文件本体；font blob 仅在本地用于 PDF 字形校验
• 不会出售个人数据

仅在你主动触发以下网络能力时，相关数据才会离开浏览器：

• Google OAuth 登录
• 权益状态刷新
• 支付校验与 Stripe Checkout
• GitHub 反馈草稿（点击 Send Feedback 后会立即打开 GitHub 草稿页，并预填扩展版本号；打开该页面时请求即发送到 GitHub）
• PDF 链接卡片的 Google favicon 查询（仅向 https://www.google.com/s2/favicons 发送目标链接域名，不包含聊天正文）

Google OAuth 相关数据遵循 Google API Services User Data Policy（含 Limited Use 要求），仅用于面向用户的认证/会话、权益校验与支付流程，不会出售，也不会用于广告用途。

• tabs：打开并检查相关 ChatGPT/支付页面
• storage：保存设置、本地会话和权益缓存
• identity：通过 Chrome identity API 执行 Google OAuth
• scripting：重注入内容脚本并在页面上下文运行本地字体桥接

• 导出流程所需的 OpenAI 网页资源与 API
• 用于登录的 Google OAuth
• 用于 API 承载与防滥用的 Cloudflare Workers / Turnstile
• 用于支付处理的 Stripe
• 用于可选反馈草稿与提交的 GitHub Issues
• 用于 PDF 链接卡片图标的 Google favicon 接口（https://www.google.com/s2/favicons）

• 浏览器存储：认证会话存于 chrome.storage.local；设置与权益缓存存于 chrome.storage.sync
• 后端存储：服务运行与合规所需的账户资料、权益状态、支付记录
• 保留基线：在完成有效删除申请或账户注销后，账户资料与权益记录将在 30 天内删除（如无法律保留义务）；支付与开票记录为满足财税合规保留 7 年；安全与防滥用日志最多保留 90 天

• 在扩展中执行登出可清除本地认证会话
• 可在 Google 账户设置中撤销 OAuth 授权
• 可通过 [email protected] 发起账户数据删除申请（GitHub Issues 为兜底渠道）

隐私/删除请求请优先使用支持邮箱；若邮箱不可用，可使用 GitHub Issues 作为兜底渠道。

生效日期： 2026-02-18