隐私政策

PulseNeko Limited2026/5/17大约 20 分钟

PulseNeko Bridge 隐私政策

版本信息

当前版本：v1.0
生效日期：2026-05-16
最近修订：2026-05-16

重要说明

PulseNeko 不在 Bridge 自身环节记录 prompt 正文，亦不记录模型响应正文。
PulseNeko 仅记录计费、风控及合规所必需的元数据。详见 §2。

本政策项下的隐私承诺，仅就 PulseNeko 自身处理环节作出。当用户的请求被路由至上游模型提供方（无论 A 类官方端点或 B 类聚合上游），该等上游方对用户数据的处理不在 PulseNeko 控制范围内，相关处理规则适用各上游方自身的隐私政策。具体边界详见 §4。

1. 我们收集什么

1.1 账户信息（由用户主动提供）

邮箱地址；
显示名 / 用户名 / 昵称；
密码哈希（采用 bcrypt 或 argon2 算法，PulseNeko 不存储明文密码）；
第三方登录标识符（如用户选择 OAuth 登录）：当前 Bridge 支持的 OAuth 提供方包括但不限于 Discord、GitHub、Linux.do、Telegram、WeChat 及通用 OIDC；具体启用情况以 Console 注册页实际可选项为准；
多因素认证凭据：如用户启用 Passkey（WebAuthn）或 TOTP 两步验证，PulseNeko 存储相应的公钥凭据、备用码哈希等必要字段，不存储任何可恢复明文的二次密钥；
推广分销字段（如用户参与 Bridge 邀请返佣体系）：用户自身的邀请码、累计获返额度、历史返佣记录，以及邀请人 ID。

1.2 支付信息（经支付通道处理）

PulseNeko 不存储完整卡号、CVV 或银行账号；
支付通道向 PulseNeko 回传以下字段：交易 ID、金额、状态、卡号后 4 位（用于对账与发票开具）；
如使用 Stripe 支付，PulseNeko 会将用户账户与 Stripe 客户 ID（customer ID）关联存储，用于订阅、退款及对账；
加密货币支付的钱包地址，用于退款路径核对。

1.3 请求元数据（自动生成，关键）

request_id —— 用于对账与故障定位
timestamp —— 请求时间戳
model —— 你调用的模型名（如 claude-opus-4-7）
input_tokens / output_tokens —— 上游官方返回的 token 数（用于计费）
group —— 你所在的计费分组
latency_ms —— 上游响应延迟
status —— 成功 / 失败 / 错误码
client_ip —— 来源 IP（仅取前 24 位掩码后用于风控）
user_agent —— 客户端标识（用于 debug）

1.4 使用统计
PulseNeko 收集成功率、平均延迟、错误分布、调用量等统计指标，用于服务监控与体验改进。
统计可能在个体账户颗粒度上进行，但不用于本政策 §3 列示之外的目的，
亦不向任何第三方出售或租赁。

1.5 设备信息（仅 Console 网页端）
浏览器类型、操作系统、屏幕分辨率（用于 UI 适配）。

1.6 Cookies 与本地存储

(1) PulseNeko 自有域名签发的 cookies

Cookie	设置时机	用途
`session`（HttpOnly）	用户登录后	维持登录状态

未登录访客访问 Bridge 不会被签发任何自有 cookies。

(2) PulseNeko 自有域名下的本地存储（localStorage）

Key	设置时机	用途
`i18nextLng`	任意访问	记录用户语言偏好
`system-config-storage`	任意访问	缓存站点配置以减少请求
`status`、`setup_status_checked`	任意访问	站点初始化状态标记
`uid`	用户登录后	用户数字 ID（用于前端路由判断）
`user`	用户登录后	当前用户的账户字段缓存（含 §1.1 所列账户信息字段），便于前端渲染

未登录访客的本地存储不含任何个人身份信息。登录后 user 项可能包含
用户邮箱、显示名、配额、推广字段等信息，用户登出或注销后该项被清除。

(3) 第三方域名加载的资源

PulseNeko 通过 Cloudflare 提供前端加速、人机验证与可用性分析。当用户访问 Bridge 时，
浏览器会向 Cloudflare 域名（如 cloudflareinsights.com、challenges.cloudflare.com、
cdn-cgi）发起请求。该等请求可能由 Cloudflare 设置其自有 cookies（依据 Cloudflare 自身的
隐私政策）。Cloudflare 的 Web Analytics 设计上不依赖 cookies 进行用户追踪。

(4) 未来可能集成的第三方服务

PulseNeko 可能在未来集成以下类别的第三方服务，相应服务可能在用户浏览器中设置其自有
第三方 cookies：

客户支持工具（例如 Crisp 等在线客服聊天组件）；
网站访问分析工具（例如 Google Analytics 或同类聚合分析工具）；
错误监控与性能分析工具。

PulseNeko 于实际集成上述服务前，将在本政策中更新对应处理者清单并于站内显著位置告知用户。

2. 我们不收集什么

本节承诺的适用范围

本节所列各项承诺，仅限于 PulseNeko 自身处理用户请求的环节。当用户的请求被转发至任何上游
模型提供方（无论 A 类官方端点或 B 类聚合上游）后，该等上游方对用户数据的收集、保留、使用
不受本节约束，亦不在 PulseNeko 控制范围内。该等上游方的数据处理规则适用各自的隐私政策。
具体边界与披露详见 §4。

2.1 不记录 prompt 正文

用户发送给 Bridge 的 HTTP 请求 body 中的 messages.content / prompt 字段；
上述字段仅在内存中临时存在以完成对上游的转发；
PulseNeko 不将上述字段写入任何持久化存储。

2.2 不记录响应正文

上游返回的文本及 SSE 流均以字节级方式直接转发给用户；
PulseNeko 不缓冲、不复制、不存储响应正文。

2.3 不存储完整支付凭证

完整卡号、CVV、银行账号、加密货币私钥从未触达 PulseNeko 服务器；
上述数据由 Stripe、支付宝、微信支付、Coinbase 等持牌支付机构处理。

2.4 不向第三方出售或共享用于跨上下文广告

PulseNeko 可能使用聚合统计工具（参见 §1.6(4) 与 §4）分析站点使用情况，
以便改进服务质量。但 PulseNeko 承诺：

不将用户个人信息出售或租赁给任何数据经纪商；
不为跨网站、跨平台的定向广告目的向第三方共享用户个人信息；
不向任何广告网络（advertising network）发送用户个人信息。

2.5 不读取用户浏览器其他活动

PulseNeko 仅访问 Bridge 自有域名下的 cookies 与本地存储；
PulseNeko 不访问用户的浏览历史、书签或其他 tab 信息。

2.6 例外：调试日志中可能出现 prompt 正文片段

当上游 API 返回 5xx 类错误而 PulseNeko 需要进行故障排查时，Bridge 的临时调试日志可能
包含导致错误的请求摘要（截取请求 body 前 200 字符）。该等调试日志的处理规则：

仅在错误率显著超出基线且 PulseNeko 实际需要介入排查时启用；
自生成之日起保留不超过 7 个自然日，超期硬删除；
仅 PulseNeko 运维或 SRE 团队成员可访问，访问行为留有审计日志；
不用于本政策 §3 列示之外的任何目的。

如用户对调试日志的存在有任何顾虑，可联系 privacy@pulseneko.com 申请就其账户禁用该机制，
PulseNeko 应于 7 个工作日内确认禁用并书面回复。

2.7 用户可在 Console 内自助行使的隐私控制

Bridge Console 当前提供以下用户可自助行使的隐私控制：

IP 地址记录开关：用户可在 Console 个人设置 → "Settings & Preferences" → "Record IP Address"
开关项中关闭对其账户调用日志与错误日志中 IP 地址字段的记录。关闭后，§1.3
所列请求元数据中的 client_ip 字段对该用户的后续请求不再记录；
用户可随时变更上述设置，变更仅对设置后产生的新日志生效。

PulseNeko 可能随产品迭代逐步引入更多自助隐私控制项，相应变更将记入 changelog。

3. 用途

PulseNeko 仅将所收集的数据用于以下目的，不作其他用途：

用途	涉及的数据	法律基础
身份认证	账户信息	合同履行
计费与对账	请求元数据、支付信息	合同履行
风控（防盗刷 / 滥用）	client_ip、UA、行为模式	正当利益
故障排查	元数据、debug 日志	合同履行
法律合规	视具体司法请求范围	法律义务
服务改进	聚合匿名指标	正当利益
重要通知	邮箱	合同履行

PulseNeko 不会将用户数据用于以下用途：

训练任何 AI 模型（包括 Bridge 自身或上游模型）；
营销推广（除非用户明确订阅相关通讯）；
向任何第三方出售、出租或交换。

4. 第三方共享

数据共享最小化原则

PulseNeko 仅与本节所列第三方共享数据；本节未列示的第三方，不在共享范围内。

4.1 上游模型方（数据必然流转的第三方）

当用户调用任一模型时，请求的 prompt 必然被转发至对应的上游 API。该等上游对用户数据的
处理不在 PulseNeko 控制范围内，相关规则适用各自的隐私政策。Bridge 与 ToS §7 一致，
按上游接入方式将上游分为两类，每一模型在 Model Square 公开标注其所属类别：

(1) A 类上游（直签官方端点）

PulseNeko 与下列模型提供方直接签约，请求直接发送至其官方 API 端点：

上游	隐私政策链接
Anthropic	https://www.anthropic.com/legal/privacy
OpenAI	https://openai.com/policies/privacy-policy
Google（Gemini）	https://policies.google.com/privacy

依据上述模型提供方各自的官方政策，通过其 API 渠道（即用户经由 Bridge 调用 A 类上游所属渠道）提交的输入与输出默认不用于其模型训练。具体条件、例外情形及更新以各上游官方政策为准。

(2) B 类上游（第三方聚合 / 转售）

针对 B 类计费分组下的模型，请求并非直接发送至原始模型提供方的官方端点，而是经由第三方
聚合服务、转售方或其他非直签上游转发至最终模型。该等第三方上游对用户数据的处理规则
（包括但不限于：日志保留、缓存策略、再分发、用于自身训练或质量改进、跨境流转等）由该等
第三方上游自行决定，PulseNeko 不掌握亦不替其担保。

由于 B 类上游的隐私实践由各第三方独立制定且可能动态变化，PulseNeko 无法在本政策内
逐一披露所有第三方上游的具体隐私链接。用户对数据隐私敏感度较高的场景，建议仅使用 A 类
通道。

(3) 元数据共享

无论 A 类还是 B 类，PulseNeko 转发至上游的内容仅限于完成该次请求所必需的字段（model、
messages、参数等）。PulseNeko 不向任何上游共享 §1 列示的 PulseNeko 自有元数据（如
用户邮箱、显示名、计费分组、Bridge 内部 request_id 等），亦不共享 §1.6 所列 Bridge cookies。

4.2 支付通道

Stripe Inc.（卡支付）
支付宝 / 微信支付（特定区域）
Coinbase Commerce（加密货币）

4.3 基础设施服务提供者

PulseNeko 委托若干第三方服务提供者承担基础设施职能。该等服务提供者作为 PulseNeko 的处理者
（processor），按 PulseNeko 的指令处理用户数据，受其与 PulseNeko 之间的数据处理协议约束。
当前主要类别与代表性服务提供者如下：

类别	当前主要服务提供者	涉及的用户数据
CDN、DDoS 防护、人机验证、可用性分析	Cloudflare, Inc.	IP 地址、User-Agent、请求元数据
计算与存储	主流云服务提供者	全部由 PulseNeko 持久化的数据
交易类邮件发送（账户验证、变更通知等）	主流邮件服务提供者	邮箱地址、邮件内容

PulseNeko 可能在不影响用户权利的前提下变更具体服务提供者。重大变更（如更换主要 CDN 或
存储服务提供者）将通过本政策的变更通知机制告知用户。

4.4 法律强制披露

PulseNeko 仅在收到合法、有效、可执行的司法或行政命令时披露最小必需范围的数据，并承诺：

在适用法律允许的范围内，通过本政策声明的联系渠道事先告知用户；
仅披露请求所必需的最小字段范围；
每年发布透明度报告，公开收到的请求数量与处置统计。

4.5 用户自定义通知端点

Bridge 允许用户在 Console 中配置自定义通知端点用于接收配额告警、订阅状态等系统通知，
当前支持的端点类型包括 Webhook URL、Bark、Gotify、邮箱 等。当用户配置自定义端点后：

PulseNeko 按用户的指示，将相应通知内容主动发送至用户指定的接收方；
接收方（如用户自有的 Webhook 服务器、第三方推送服务）对该等通知内容的处理由
用户自行负责，不在 PulseNeko 控制范围内；
用户可随时在 Console 中删除或修改已配置的通知端点。

4.6 业务变更

若 PulseNeko 发生并购、重组、资产出售或类似法律变更，可能将用户数据转移至受让方。
PulseNeko 应于变更生效前 30 天通知用户，用户可在通知期内主动注销账户并完整导出数据。

5. Cookies 与类似技术

详见 §1.6。

PulseNeko 不使用：

第三方追踪 cookies；
广告类 cookies；
跨站 fingerprinting；
localStorage 或 IndexedDB 存储任何 PII。

用户可选择：

在浏览器中禁用 cookies（将影响 Console 登录功能，但不影响 API 调用）；
仅通过 API key 直接调用 Bridge，无须登录 Console。

6. 用户权利

PulseNeko 综合采纳 GDPR、CCPA、PIPL、香港 PDPO 项下对用户最为有利的权利组合，
不论用户实际所在法域。

6.1 访问与可携带权（Right to Access / Portability）

用户可向 privacy@pulseneko.com 发送邮件，申请获取其在 Bridge 项下的个人数据副本。
PulseNeko 将于 §6.10 项下的响应时效内，以机器可读的常用格式（如 JSON）向用户提供包括但不限于：

账户信息（邮箱、显示名、OAuth 标识符）；
计费与扣费历史；
请求元数据（参见 §1.3）；
用户向 PulseNeko 发起的工单与通讯记录。

依据 §2.1，副本不包含 prompt 正文与模型响应正文，因 PulseNeko 不予记录。

6.2 更正权（Right to Rectification）
用户可在 Console 自助修改其邮箱、显示名等基本账户信息。如需修改其他字段，可联系
privacy@pulseneko.com。

6.3 删除权 / 注销权（Right to Erasure）

用户可在 Console 项下的账户设置中提交注销申请；
PulseNeko 收到注销申请后，应于合理期限内完成账户数据的硬删除（计划目标为 30 个自然日内，
视技术实现与备份滚动周期可能延长，但不超过 90 个自然日）；
完成硬删除后，PulseNeko 仅保留适用法律强制要求的最小记录（如发票，按当地税法保留 5 至 7 年）；
注销前由用户主动发起且尚未结算的债务（如负余额）不因注销而免除。

6.4 拒绝营销权（Right to Object）
PulseNeko 默认不向用户发送任何营销邮件。如未来开通订阅服务，用户可通过邮件内一键退订机制随时退订。

6.5 撤回同意权（Right to Withdraw Consent）
撤回同意视同提交注销请求，按 §6.3 处理。

6.6 不被自动化决策权（GDPR Art. 22）
PulseNeko 不对用户作出完全自动化且具有重大影响的决策。
因风控机制触发的限速或账户暂停，用户可向 support@pulseneko.com 申诉，由 PulseNeko 进行人工复核。

6.7 加州居民补充权利（CCPA）

知情权：本政策已就个人信息收集类别作出完整披露；
删除权：参见 §6.3；
拒绝出售 / 共享权：PulseNeko 不向任何第三方出售用户个人信息，亦不为跨上下文广告目的共享用户个人信息；
不被报复：用户行使任何 CCPA 项下权利的，不影响其在 Bridge 项下所享服务。

6.8 欧盟居民补充权利（GDPR）

数据控制者：PulseNeko Limited (HK)，注册地址 Flat 2304, 23/F, Ho King Commercial Centre, 2-16 Fa Yuen Street, Mong Kok, Hong Kong；
欧盟设立情况：PulseNeko 在欧盟、欧洲经济区或英国境内未设立任何分支机构、子公司或常设代表机构；
欧盟代表（Art. 27）：鉴于 PulseNeko 在欧盟境内的处理活动属于偶发性（occasional）、不涉及大规模处理 GDPR 第 9 条特殊类别个人数据或第 10 条刑事定罪数据、且对自然人权利与自由不构成高风险，PulseNeko 依据 GDPR 第 27(2) 条未指定欧盟代表。PulseNeko 持续监测其欧盟业务规模与处理性质，若上述豁免条件不再满足，将依法指定欧盟代表并在本政策中更新；
联系渠道：欧盟居民可直接通过 privacy@pulseneko.com 行使其 GDPR 项下权利。PulseNeko 承诺以与本地代表机构同等的响应标准处理欧盟居民请求；
投诉权：用户有权向其所在成员国数据保护监管机构（DPA）提起投诉。

6.9 中国大陆居民补充权利（PIPL）

个人信息处理者：PulseNeko Limited (HK)；
境内设立情况：PulseNeko 在中国大陆境内未设立任何分支机构、子公司或常设代表机构；
境内代表（PIPL 第 53 条）：依据《个人信息保护法》第 53 条，处理中国境内自然人个人信息且达到国家网信部门规定情形的境外个人信息处理者，应在境内设立专门机构或指定代表。PulseNeko 当前业务规模尚未达到该等强制阈值，因此暂未指定境内代表。PulseNeko 持续监测其中国大陆用户业务规模，若达到强制阈值或相关监管要求作出明确指引，将依法设立境内机构或指定境内代表并在本政策中更新；
联系渠道：中国大陆居民可直接通过 privacy@pulseneko.com 行使其 PIPL 项下权利；
跨境提供安排：参见 §8。

6.10 DSR 响应时效
PulseNeko 承诺于 30 个自然日内响应所有数据主体请求（DSR）；
情形复杂的，PulseNeko 有权将响应期限延长不超过 30 日，并在原期限届满前书面告知用户延长事由。
DSR 提交渠道：privacy@pulseneko.com。

7. 保留期限

数据类别	保留期	删除方式
账户基本信息（邮箱、用户名）	账户存续期 + 90 天注销缓冲	注销后 90 天硬删除
密码哈希	同上	同上
计费日志（不含正文）	60 个月	账务追溯需要；超期匿名化
风控日志（IP、UA）	90 天	滚动覆盖
Debug 日志（见 §2.6）	7 天	自动硬删除
支付凭证（最后 4 位 + 交易 ID）	同会计法规要求	视当地税法 5-7 年
通讯记录（support ticket）	自结案起 24 个月	之后匿名化

特殊情形：

法律调查、争议未决：相关数据冻结保留至程序终结
反欺诈名单：经核实的恶意账户标识符可永久保留以防止重新注册

8. 跨境传输与司法管辖

中转服务的固有跨境属性

用户调用由境外模型提供方运营的 AI 模型时，请求数据必然跨境传输至该等提供方所在的服务器。
此属于中转服务的固有特性，PulseNeko 在此范围内无法规避。

8.1 服务器位置

主集群：日本；
CDN 边缘节点：Cloudflare 全球网络。

8.2 用户数据流转路径

用户客户端
   ↓
Cloudflare 边缘节点（TLS 终止、DDoS 防护、人机验证）
   ↓
Bridge 主集群（位于日本，负责认证、计费、路由）
   ↓
上游模型方 API（A 类直签端点或 B 类聚合上游，依各模型方部署地）
   ↓
响应沿原路径返回用户

8.3 跨境合规机制

用户法域	合规机制
中国大陆	依据《个人信息保护法》第 39 条单独取得用户对跨境提供的同意；按主集群（日本）及上游模型方实际所在地评估 PIPL 第 38 条所需条件（包括但不限于安全评估、标准合同或个人信息保护认证）
欧盟 / 英国	依据 GDPR 第 46 条采用标准合同条款（SCCs）；同时依赖上游模型方自身的合规设施（如 SCC、EU-US DPF 自我认证等）
美国	数据由美国境外的 PulseNeko 主集群（日本）处理；通过 Cloudflare 全球网络进入主集群
香港	通过本政策履行《个人资料（私隐）条例》（PDPO）DPP1 项下的透明性义务
其他法域	适用所在地数据保护法律的最严要求

8.4 司法管辖请求

PulseNeko 不主动响应来自其签约实体所在法域以外的司法请求：

PulseNeko HK 收到的请求按香港法处理；
PulseNeko US 收到的请求按美国法处理；
跨境数据调阅请求应通过相应的正式司法协助机制（MLAT 等）提出。

9. 未成年人 / 变更 / 联系

9.1 未成年人
Bridge 系 18+ 服务：

PulseNeko 不接受 18 周岁以下用户注册；
若 PulseNeko 意外收到 18 周岁以下个人的个人信息，应于发现后立即删除；
监护人如发现其未成年子女已注册 Bridge，可联系 privacy@pulseneko.com，PulseNeko 应于 7 个自然日内予以删除。

9.2 政策变更

重大变更（影响数据类别、保留期限、第三方共享或用户权利的修改）：PulseNeko 应于变更生效前 30 个自然日通过电子邮件及站内公告通知用户；用户可在通知期内主动注销账户并按 ToS §5 取回未使用余额；
非重大变更：记入 changelog，本页页头版本号同步递增；
修订后的政策仅适用于变更生效后产生的新数据。

9.3 联系方式

事项	渠道
隐私问题 / DSR 提交	privacy@pulseneko.com
数据泄露举报 / 安全披露	security@pulseneko.com
法律事务	legal@pulseneko.com
客户支持	support@pulseneko.com

9.4 数据保护负责人（DPO）
PulseNeko 已指定专人负责数据保护事务。如需直接联系 DPO，请发送邮件至 dpo@pulseneko.com。

9.5 实体地址

实体	注册地址
PulseNeko Limited (HK)	Flat 2304, 23/F, Ho King Commercial Centre, 2-16 Fa Yuen Street, Mong Kok, Hong Kong
PulseNeko Limited (US)	34 Brier Ave, Unit #600, Wilmington, DE 19805, United States

联系方式

隐私事务 / DSR 提交：privacy@pulseneko.com
数据保护负责人（DPO）：dpo@pulseneko.com
安全披露：security@pulseneko.com
法律事务：legal@pulseneko.com

配套文档

用户协议 —— 服务条款全文
About —— Bridge 服务承诺说明

文档版本

v1.0 · 生效日期 2026-05-16 · 上次修订 2026-05-16