PocketLedger 隐私权政策
最近更新日期: 2026 年 6 月 6 日 生效日期: 2026 年 6 月 6 日
本政策适用于 Android 应用 PocketLedger(以下简称「本应用」),应用包名
com.lppocketledger.app。
一、关于我们
| 项 | 内容 |
|---|---|
| 应用名称 | PocketLedger / 口袋记账 |
| 应用包名 | com.lppocketledger.app |
| 开发者 | [请填写:开发者姓名 / 公司名称] |
| 联系邮箱 | [请填写:可以收到反馈的邮箱地址] |
| 政策版本 | v1.0 |
本应用是一款个人记账工具,核心理念是「本地优先 · 数据自持」—— 你的所有记账数据默认只保存在你的设备上,我们没有任何服务器存储你的财务信息。
二、我们收集哪些信息,以及为什么收集
为了保持透明,我们把数据分成 三类,分别说明在你设备的什么位置、谁能读到、用来做什么。
2.1 你在应用内输入的记账数据(只存在你的设备)
| 数据类型 | 例子 | 存储位置 | 我们能否读到 |
|---|---|---|---|
| 交易记录 | 金额、分类、账户、日期、时间、备注、标签 | 设备本地 SQLite 数据库 (Room) | ❌ 不能 |
| 账户列表 | 账户名称、类型(现金/银行卡/信用卡 等)、初始余额、币种 | 设备本地 SQLite | ❌ 不能 |
| 分类设置 | 自定义分类名称、图标、是否启用 | 设备本地 SQLite | ❌ 不能 |
| 预算设置 | 月度总预算、分类预算 | 设备本地 SQLite | ❌ 不能 |
| 应用偏好 | 默认币种、隐私模式开关、是否完成初次引导 | 设备本地 SharedPreferences | ❌ 不能 |
这些数据全部存储在你设备的应用沙箱内,受 Android 系统应用隔离机制保护。除非你主动开启「Google Sheets 同步」或主动导出数据,否则这些数据不会离开你的设备,开发者也无法访问。
2.2 Google 账户信息(仅在你主动启用同步时收集)
如果你在「我的」→「Google Sheets 同步」中登录了 Google 账户,本应用会接收以下信息并存储在你的设备本地:
| 数据 | 用途 | 存储位置 |
|---|---|---|
| Google 邮箱地址 | 显示你已连接的账户 | 本地数据库 + EncryptedSharedPreferences |
| 显示名称 (display name) | 在「我的」页展示 | 本地数据库 |
| 头像 URL | 在「我的」页展示头像 | 本地数据库 |
| OAuth 2.0 访问令牌 (access token) | 代表你访问 Google Drive / Sheets API | EncryptedSharedPreferences(AES-256 加密) |
重要说明: - 我们不会收集你的 Google
密码,登录流程完全由 Google Identity Services 处理 -
访问令牌仅用于在你自己的 Google Drive 中创建和更新
Sheets 文档 - 同步使用的权限范围(scope)仅包括: -
https://www.googleapis.com/auth/spreadsheets — 读写 Sheets
- https://www.googleapis.com/auth/drive.file —
只能访问本应用创建的文件,无法读取你 Drive 里的其他文件
- openid、email、profile —
标识你已登录的账户 -
访问令牌到期或失效时,本应用会自动解绑账户并提示重新登录,绝不会持久使用过期凭证
- 你可以随时在「同步」页中「解绑 Google
账户」,本地存储的所有令牌将立即被清除
2.3 广告相关数据(由 Google AdMob 收集)
本应用通过 Google AdMob 在部分页面展示广告以维持运营。AdMob 在投放广告时会收集:
| 数据类型 | 用途 |
|---|---|
| 广告标识符 (Advertising ID) | 个性化广告与频次控制 |
| 设备型号、操作系统版本、应用版本 | 兼容性判断 |
| 大致位置(基于 IP) | 不是精确 GPS 定位,精度通常到城市级别 |
| 广告交互行为 | 例如广告是否成功展示、是否被点击 |
这些数据由 Google AdMob 直接收集和处理,开发者不接触原始数据。详情请参阅:
你可以在 Android 设置 → Google → 广告 → 重置广告 ID / 选择停用个性化广告 来管理你的广告标识符。
三、我们不收集什么
为避免误解,以下数据本应用明确不会收集或上传:
| 类别 | 我们的承诺 |
|---|---|
| 身份信息 | 不收集姓名、生日、身份证号、电话号码 |
| 位置信息 | 不收集精确地理位置(GPS) |
| 通讯数据 | 不收集通讯录、短信、通话记录 |
| 设备其他内容 | 不收集相册中未由你主动导入的任何图片 |
| 应用使用 | 不收集你设备上其他应用的使用情况 |
| 商业用途 | 不构建任何用于商业转售的数据画像 |
四、数据的流向
4.1 默认状态(未启用同步)
你设备本地的所有记账数据 ─── 永远不离开你的设备开发者方面完全不知道你存在、不知道你装了这个应用、不知道你记了多少笔账。
4.2 启用 Google Sheets 同步后
你的设备 ──(HTTPS, OAuth 2.0)──► Google Sheets API
│
▼
你自己 Google 账户名下的
Google Drive 文件- 同步走的是 Google 官方 Sheets API,全程 HTTPS 加密
- 数据写入的目标是你自己的 Google Drive,而非开发者的服务器
- 开发者没有任何服务器参与同步过程
- 关闭同步:在「同步」页解绑账户即可,你 Drive 里的 Sheets 文档将保留(以便重新登录时复用),如不再需要可以手动从 Drive 删除
4.3 广告流量
你的设备 ──► Google AdMob SDK ──► AdMob 广告服务器AdMob 流量遵循 Google 自身的隐私实践,详见 §2.3 列出的官方文档。
| 数据类别 | 存储位置 | 删除方式 | 是否需要联系开发者 |
|---|---|---|---|
| 本地记账数据 | 设备应用沙箱内 SQLite | 应用内删除单条 / 卸载应用清空全部 | 否(我们没有副本) |
| Google Drive 同步文件 | 你自己的 Google Drive | 打开 drive.google.com,搜「记账数据 - PocketLedger」手动删除 | 否(文件由你所有) |
| 加密本地凭证 (OAuth Token) | EncryptedSharedPreferences,AES-256-GCM | 应用内解绑账户 / 卸载应用,主密钥随机自动失效 | 否 |
关于加密凭证的额外说明:
- 加密所用主密钥存放在 Android Keystore,离开本机即失效(无法在其他设备恢复使用)
- 系统层备份/恢复(包括 Google Drive
自动备份)已配置为排除加密凭证,详见应用的
backup_rules.xml与data_extraction_rules.xml
六、与第三方共享
我们不会出售、不会出租、不会以任何形式向数据经纪商提供你的数据。
本应用涉及的第三方仅有:
| 第三方 | 用途 | 接触到的数据 |
|---|---|---|
| Google Identity Services | 用户登录 Google 账户 | 你的 Google 账户基本信息(已经在你与 Google 之间的关系内) |
| Google Sheets API & Drive API | 数据同步 | 你授权写入自己 Drive 的同步数据 |
| Google AdMob | 广告投放 | 广告标识符、设备基本信息、大致位置 |
| Google Play Services | Android 平台基础服务 | 平台运行所需的标准信息 |
所有第三方均为 Google 自家服务,本应用不集成任何其它分析、统计、推送、AB 测试、崩溃报告或追踪 SDK。
七、你的权利
无论你身处哪个司法辖区,你都对自己的数据拥有以下完全控制:
| 权利 | 如何行使 |
|---|---|
| 访问 数据 | 直接打开应用查看;所有数据都在应用内可见 |
| 修改 数据 | 直接在应用内编辑 |
| 删除 数据 | 应用内删除 / 卸载应用 / Drive 中删除同步文件 |
| 导出 数据 | (规划中)未来版本将提供 JSON / CSV 导出功能 |
| 撤回 Google 授权 | 在「同步」页「解绑 Google 账户」即可;同时可去 myaccount.google.com/permissions 撤销本应用的访问权限 |
| 拒绝 个性化广告 | Android 系统设置 → Google → 广告 → 「选择停用个性化广告」 |
针对 欧盟用户 (GDPR)、英国用户 (UK GDPR)、加州用户 (CCPA/CPRA) 等具备额外法律权利的地区: - 由于我们不持有你的财务数据的服务器副本,「访问」与「删除」请求实际由你本人在应用内/Drive 内自助完成 - 我们不会因为你行使隐私权利而拒绝服务、降低服务质量或以任何方式区别对待
八、儿童隐私
本应用不面向 13 岁以下的儿童,我们也不会有意收集儿童的个人信息。
如果你是 13 岁以下儿童的监护人,发现儿童在使用本应用,请联系我们(见 §一 的联系邮箱),我们会指导你帮助孩子卸载应用、清除数据。由于本应用没有服务器,所有数据卸载即清空。
九、数据安全措施
| 类型 | 措施 |
|---|---|
| 传输安全 | 所有与 Google API 的通信均通过 HTTPS / TLS 加密 |
| 存储加密 | OAuth 令牌使用 AES-256-GCM 加密(Android EncryptedSharedPreferences + Android Keystore) |
| 应用隔离 | 利用 Android 应用沙箱,其他应用无法访问本应用数据 |
| 最小权限 | 仅请求实际需要的权限(详见 §十) |
| 备份排除 | 系统级备份排除加密凭证,避免敏感令牌被同步到 Google Drive 自动备份 |
| 令牌过期检测 | 一旦检测到令牌失效,立即自动解绑账户,防止凭证被滥用 |
十、应用申请的 Android 权限说明
| 权限 | 用途 | 是否必要 |
|---|---|---|
INTERNET |
Google Sheets 同步、AdMob 广告加载 | 是 |
ACCESS_NETWORK_STATE |
判断网络可用性,决定是否触发同步 | 是 |
com.google.android.gms.permission.AD_ID |
AdMob 广告标识符访问(Android 13+ 必需声明) | 是,如不想被识别可在系统中重置 / 停用 |
本应用只声明实际使用到的权限。指纹解锁、通知、相册等敏感权限均未声明, 未来若新增对应能力,会在隐私政策更新时同步说明。
十一、跨境数据传输
由于本应用使用 Google 服务,在你启用同步或加载广告时,数据可能会通过 Google 在中国大陆境外的服务器进行处理。Google 是经过欧盟标准合同条款 (SCC)、英国 IDTA、瑞士-美国数据隐私框架等多个国际数据传输机制认证的服务提供商,详见 Google 数据传输框架。
如果你身处中国大陆并希望避免任何跨境数据传输,可以完全不启用 Google 同步,本应用所有核心记账功能均可在本地无网络环境下使用。
十二、政策的更新
我们可能会因应法律变化、产品功能更新或数据处理实践调整本政策。任何修订都会按以下方式告知:
| 变更类型 | 通知方式 |
|---|---|
| 任何文字修订 | 更新本文顶部的「最近更新日期」 |
| 重大变更(新增数据收集类别、新增第三方共享) | 通过应用内通知 / 下一次启动时弹窗告知 |
| 全部变更 | 在 Google Play 应用页面同步更新政策链接 |
你继续使用应用即表示接受更新后的政策。如不同意,请卸载应用。
十三、联系我们
如果你对本政策有任何疑问、想要行使任何权利、或想要举报安全漏洞,请联系:
| 渠道 | 联系方式 |
|---|---|
| 邮箱 | [请填写:你的联系邮箱] |
| Telegram 反馈群 | https://t.me/+yw3tmqXys7dkZTg1 |
| 应用主页 | [请填写:可选,例如 GitHub 仓库地址] |
我们承诺在 5 个工作日内 回复隐私相关的咨询。
附录:技术参考
希望深入了解本应用如何在技术层面保护你数据的用户,可以参考以下开源信息(若适用):
- Android EncryptedSharedPreferences: https://developer.android.com/topic/security/data
- Google OAuth 2.0 for Android: https://developers.google.com/identity/protocols/oauth2
- Google Sheets API 文档: https://developers.google.com/sheets/api
- Google Drive
drive.filescope 说明: https://developers.google.com/drive/api/guides/api-specific-auth
PocketLedger 团队 · 2026