隐私政策

简明概述

本隐私政策仅适用于 iOS、iPadOS、watchOS 及 macOS 应用程序 PD·HD。chapter.networks 网站的隐私政策请参见单独的网站隐私政策。

PD·HD 以隐私保护作为架构设计的核心原则。简而言之：

• 您无需创建账户。PD·HD 从不要求您的姓名、电子邮箱、电话号码或任何标识符。
• 您输入的所有透析记录、化验结果、耗材配送记录及医护团队联系方式均存储在您自己的设备上，受 Apple 完全文件保护（FileProtectionType.complete）保护。
• 如果您已登录 iCloud，这些数据可以额外同步到您自己的私有 iCloud 数据库，使 PD·HD 在您的 iPhone、iPad、Apple Watch 和 Mac 上显示相同数据。Chapter Networks 无权访问该数据库。未启用 iCloud 时，PD·HD 完全在本地运行，不发起任何网络请求。
• PD·HD 仅与 Apple 健康（HealthKit）集成以下四种测量类型：体重、血糖、收缩压和舒张压。权限由您授予，随时可在 iOS 设置中撤销。
• HealthKit 数据绝不通过 iCloud 同步，也绝不离开 Apple 在您设备上的 HealthKit 存储。PD·HD 也不会保留其永久副本。
• 没有分析工具、没有崩溃报告、没有广告、没有任何第三方 SDK。本应用不向 Chapter Networks 或我们控制的任何服务器发起直接网络请求。
• Face ID 在启动时保护应用，设有 5 分钟不活动超时和暴力破解锁定机制。

以下各节详细描述上述每一项内容，包括适用的合法性基础。

§ 1 适用范围与个人信息处理者

本隐私政策适用于 PD·HD 应用程序（"本应用"），支持 iPhone、iPad、Apple Watch 和 Mac，由 Chapter Networks 开发并发布。根据《个人信息保护法》第九条，个人信息处理者为：

Chapter Networks
[地址]
电子邮箱：hello@chapter.networks

PD·HD 并非专门面向中国大陆用户。Chapter Networks 目前尚未根据《个人信息保护法》第五十三条指定中国境内代表。如果您是中国大陆居民，请在使用本应用前咨询当地数据保护律师。

本政策不适用于 chapter.networks 网站（受其自身隐私政策管辖），不适用于 Apple 的 iCloud 和 HealthKit 服务（受 Apple 的隐私政策管辖，详见 apple.com/legal/privacy），也不适用于您自行选择导出数据的任何服务。

§ 2 个人信息保护负责人

Chapter Networks 尚未任命个人信息保护负责人（PIPO），因为国家互联网信息办公室（CAC）尚未公布触发该义务的具体处理量阈值。如有数据保护方面的问题，请直接联系 hello@chapter.networks。

§ 3 范围与定义

本隐私政策涵盖 PD·HD — 一款面向腹膜透析（PD）或血液透析（HD）患者的个人健康日记应用。PD·HD 提供 iPhone、iPad、Apple Watch 和 Mac 原生版本；所有版本均受本政策管辖。

根据《个人信息保护法》第四条，"个人信息"是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。根据《个人信息保护法》第二十八条，"敏感个人信息"明确包含医疗健康信息。PD·HD 处理的透析记录、化验结果、生命体征和 HealthKit 读数完全属于该定义范围内的敏感个人信息，依法获得最高级别的保护。

处理敏感个人信息（医疗健康信息）应当取得个人的单独同意（《个人信息保护法》第二十九条）。本应用通过以下机制分别取得单独同意：iOS HealthKit 权限对话框（针对 § 6 所述的四种健康数据类型）以及用户主动启用 iCloud 同步（针对 § 7 所述的健康日记数据）。

§ 4 PD·HD 不收集的信息

PD·HD 不收集、处理或传输以下任何信息：

• 您的姓名、电子邮箱、电话号码、邮寄地址或任何账户凭证 — 就 Chapter Networks 而言，PD·HD 不知道您是谁。
• 设备标识符（identifierForVendor、广告标识符 / IDFA、设备指纹或类似标识）。
• 位置数据、通讯录、照片、麦克风或相机输入。
• 分析数据、遥测数据、使用统计、性能指标或 A/B 测试数据。
• 传输至 Chapter Networks 或任何第三方的崩溃报告或诊断日志。
• 与广告网络、数据经纪人或社交平台共享的任何信息。

Chapter Networks 不运行任何从本应用接收个人信息的服务器。即使我们想要获取您的应用数据也做不到。这不是我们仅以文字维持的承诺 — 这是应用架构设计的结构性属性。

§ 5 存储在您设备上的数据

本应用仅存储您输入的数据或从 Apple 健康导入的数据。存储使用 Apple 的 SwiftData，并采用最高保护级别 FileProtectionType.complete — 底层数据库文件由 iOS 加密，只有在设备解锁后才能解密。以下类别存储在设备上：

• 腹膜透析记录 — 透析日期、开始和结束时间、透析液类型、袋容量、灌注和引流量、透析前后体重、收缩压和舒张压、超滤量及自由备注。
• 透析耗材供应与配送记录 — 订购日期、预计和实际送达日期、供应商、配送状态、明细项目及备注。
• 化验值 — 手动输入的肌酐、钾、磷、钙、尿素和血红蛋白读数，每项附有日期。
• 医护团队联系方式 — 您的肾内科医生、透析液供应商或诊所等联系人的姓名、电话号码、电子邮箱和邮寄地址。这些信息完全由您提供，仅在您主动输入时创建。
• 临床目标值 — 您的个性化体重、血糖、血压、超滤量、葡萄糖浓度、电解质、尿素和化验结果阈值。这些存储在您设备上本应用的 iOS UserDefaults 中。

合法性基础。对于非健康字段（如配送日期、联系方式）：《个人信息保护法》第十三条第（二）项 — 为订立、履行个人作为一方当事人的合同所必需：您安装 PD·HD 以追踪此类数据，本地存储即是您请求的核心功能。对于健康相关字段（透析记录中的生命体征、所有化验结果）：另外依据《个人信息保护法》第二十八条和第二十九条 — 处理敏感个人信息（医疗健康信息）的单独同意。您通过将数据主动输入本应用提供该同意；您可随时通过删除记录或卸载本应用撤回同意。

§ 6 Apple HealthKit

PD·HD 与 Apple HealthKit 集成，以便您的体重、血糖和血压读数可显示在应用图表中，并可选择写回 Apple 健康。当您首次使用基于 HealthKit 的功能时，iOS 会呈现其标准权限对话框。本应用向 iOS 提供的权限描述字符串原文如下：

• 读取权限（NSHealthShareUsageDescription）："此应用读取您的体重、血糖和血压数据以在交互式图表中显示。"
• 写入权限（NSHealthUpdateUsageDescription）："此应用允许您将体重、血糖和血压数据添加到 Apple 健康。"

PD·HD 仅请求以下四种 HealthKit 数量类型的读写权限，不涉及其他任何类型：

• 体重（HKQuantityTypeIdentifier.bodyMass）— 读取和写入
• 血糖（HKQuantityTypeIdentifier.bloodGlucose）— 读取和写入
• 收缩压（HKQuantityTypeIdentifier.bloodPressureSystolic）— 读取和写入
• 舒张压（HKQuantityTypeIdentifier.bloodPressureDiastolic）— 读取和写入

PD·HD 不请求访问任何其他 HealthKit 类别 — 不涉及临床记录、体能训练、睡眠、正念、药物、月经或生殖数据、心率或心电图数据、行动能力或跌倒检测数据。PD·HD 不使用 HealthKit 后台传递（enableBackgroundDelivery），也不在自己的存储中保留 HealthKit 样本的永久副本。样本按需从 Apple 的 HealthKit 存储中查询，屏幕不再需要时即被丢弃。

HealthKit 数据绝不进入 PD·HD 自己的 SwiftData 存储，也绝不通过 iCloud 同步（另见 § 7）。

合法性基础与单独同意。《个人信息保护法》第二十八条和第二十九条 — 处理敏感个人信息（医疗健康信息）需取得个人的单独同意。iOS 系统级 HealthKit 权限对话框构成该单独同意：该对话框独立于应用的一般使用同意，明确列出所请求的四种健康数据类型，并由用户逐项授权。此同意与应用的一般使用完全分离，满足《个人信息保护法》第二十九条关于"单独同意"的要求。您可随时通过 iOS 设置 → 隐私与安全 → 健康 → 数据访问与设备 → PD·HD 完全撤销此同意。撤销立即生效。

§ 7 可选 iCloud 同步（Apple CloudKit）

本节特别重要，请仔细阅读。

如果您已在设备上登录 iCloud 并启用了 iCloud 云盘，PD·HD 可将 § 5 所列的应用数据 — 透析记录、化验结果、配送记录和联系方式 — 存储在您自己的私有 iCloud 数据库中。技术实现使用 Apple 的 CloudKit 框架（NSPersistentCloudKitContainer），iCloud 容器标识符为 iCloud.de.chapter.pdhd。这使您在所有安装了 PD·HD 的 Apple 设备（iPhone、iPad、Apple Watch 和 Mac）上看到相同数据，无需 Chapter Networks 运行任何服务器。

以下要点至关重要：

• 该数据库是私有 CloudKit 数据库：其内容仅限于您的个人 iCloud 账户，对其他用户、Chapter Networks 或 Apple 员工不可见。Chapter Networks 无技术能力读取、导出或删除您 iCloud 数据库的内容。
• 如果您未登录 iCloud，或已为 PD·HD 禁用 iCloud，本应用将自动回退至设备上的纯本地存储。在该模式下，PD·HD 不执行任何网络活动 — 连一个连接都没有。
• HealthKit 数据绝不通过 CloudKit 同步。HealthKit 数据仅保留在您设备上的 Apple HealthKit 存储中；其自身的 iCloud 同步（如有）由您在 iOS 设置 → 健康中控制，与 PD·HD 无关。PD·HD 在运行时读取 HealthKit 样本、显示后丢弃；它们绝不会被复制到 SwiftData 数据库中，而 SwiftData 数据库是唯一通过 CloudKit 同步的数据源。
• 存储在 UserDefaults 中的临床目标值（见 § 5）同样不会被 PD·HD 同步，仅保留在每台设备本地。

与 Apple 指南 5.1.3 的关系。Apple 的 App Store 审核指南 5.1.3 规定应用"不得将个人健康信息存储在 iCloud 中"。该规则旨在防止从 HealthKit 读取数据的应用将其导出到第三方云存储。PD·HD 严格遵守：HealthKit 数据仅在设备上处理，绝不写入 CloudKit。通过 CloudKit 同步的是您在 PD·HD 日记功能中输入的内容（透析记录、化验值等），且仅同步到只有您本人能访问的个人私有 iCloud 数据库。这种对 Apple 标准 NSPersistentCloudKitContainer 机制的使用（用于用户输入的健康日记内容）遵循了 Apple 自有及第三方健康应用的既有惯例。

合法性基础与单独同意。当数据因您的主动选择传输至 Apple 时：《个人信息保护法》第十三条第（一）项 — 取得个人的同意，通过在 iOS 设置中为 PD·HD 启用 iCloud 来表达。对于该通道中的健康相关字段（透析记录中的生命体征、化验结果）：另外依据《个人信息保护法》第二十八条和第二十九条。用户主动启用 iCloud 同步的行为构成对健康日记数据处理的单独同意 — 该行为独立于应用的一般使用同意，且用户在启用前已知晓所同步的数据类型，满足第二十九条关于"单独同意"的要求。

Apple 的数据处理。启用 iCloud 同步后，Apple Inc. 作为受托处理者处理您的个人信息。Apple 的合同义务受 Apple 开发者计划许可协议及其相关数据处理附录约束；请参见 § 12 关于跨境传输的内容。

撤回与删除。您可随时停止 iCloud 同步：iOS 设置 → [您的姓名] → iCloud → 使用 iCloud 的 App → PD·HD → 关闭。此外，PD·HD 的应用设置提供批量删除功能，可一次性删除所有应用数据。禁用或执行批量删除后，iCloud 副本将根据 Apple 的 iCloud 删除政策从您的 iCloud 账户中移除。

§ 8 小组件与 Apple Watch（App Group）

PD·HD 包含主屏幕和锁屏小组件以及 Apple Watch 配套应用。为使最近的透析和配送数据无需重新查询 iCloud 即可供这些扩展使用，PD·HD 将紧凑的摘要快照写入您设备上的共享 App Group（标识符 group.de.chapter.pdhd）。App Group 中的数据绝不离开您的设备；仅用于渲染小组件和 Watch 界面。

Apple Watch 应用通过 Apple 的 WatchConnectivity 框架与 iPhone 交换透析和配送更新 — 这是 iPhone 与 Watch 之间的直接设备级加密通道。Watch 与 iPhone 之间同步的数据不会到达 Chapter Networks 或任何第三方服务器。

合法性基础。《个人信息保护法》第十三条第（二）项（履行合同所必需 — 小组件和 Watch 显示是您安装的应用的核心功能），对于健康相关字段另外依据《个人信息保护法》第二十八条和第二十九条。

§ 9 设备端安全

PD·HD 采取以下具体措施保护您设备上的医疗健康信息：

• 启动时 Face ID 验证。每次冷启动以及 5 分钟不活动超时后，PD·HD 在显示任何健康数据之前要求 Face ID 认证。标准路径中禁用了密码回退，明确要求生物识别认证。
• 暴力破解锁定。连续三次 Face ID 验证失败后，PD·HD 将实施递增锁定（30 秒、60 秒、120 秒）才允许再次尝试。
• 从后台返回时重新认证。当您将 PD·HD 送入后台时，认证状态立即失效；返回时需要重新进行 Face ID 验证，无论应用在后台的时间多短。
• 从内存清除敏感数据。当 PD·HD 进入后台时，内存中的 HealthKit 数据被清除，以确保 iOS 为应用切换器保存的快照不包含可读的健康数值。
• 隐私遮罩。当 PD·HD 变为非活动状态时（如应用切换器动画或来电横幅期间），不透明遮罩覆盖应用内容，使旁观者无法看到或在应用切换器预览中被捕获。
• 文件保护。SwiftData 存储（无论是 iCloud 支持还是纯本地模式）均标记为 FileProtectionType.complete；底层文件由 iOS 加密，只有在设备解锁时才能解密。
• 无钥匙串凭据。PD·HD 不在钥匙串中存储任何凭据、令牌或密钥，因为它不需要。

这些机制补充但不替代您 iOS 设备和 Apple ID 的整体安全性。请确保您的设备密码和 Apple ID 密码足够强壮且唯一。

§ 10 您选择分享的数据（导出）

PD·HD 可将您的记录导出为 PDF 或 CSV，以便您与肾内科医生、医护团队或个人档案共享。导出在设备上完成。触发导出时，iOS 呈现其标准共享菜单，目标 — 邮件、信息、文件、AirDrop 或任何其他应用 — 完全由您控制。Chapter Networks 不以任何方式查看、接收或处理导出的文件。

导出文件离开 PD·HD 后，其后续处理受目标服务自身隐私政策管辖，不在本文档范围之内。我们建议在与医疗服务提供者共享医疗数据时使用加密通道。

§ 11 无广告、无追踪、无第三方 SDK

PD·HD 不包含任何广告、追踪技术、用户画像或任何种类的第三方软件开发工具包（SDK）。具体而言，以下服务均未集成：Firebase（Analytics、Crashlytics、Cloud Messaging、Remote Config）、Google Analytics、Amplitude、Mixpanel、Segment、PostHog、TelemetryDeck、Sentry、Bugsnag、Instabug、AppCenter、Facebook SDK、Branch、Adjust、AppsFlyer、Singular、Kochava、Braze、OneSignal 或任何广告 SDK。唯一的外部框架依赖是 Apple 自有的系统框架和一个由 Chapter Networks 与 PD·HD 一同开发维护的内部 Swift 包（PDHDShared）。

作为结构性结果，PD·HD 不会、也在结构上不可能因任何目的向任何第三方出售、出租或共享您的数据。

Apple 指南 5.1.2（明确保证）。从 HealthKit 读取的健康数据仅用于核心透析追踪功能，绝不用于营销、广告、用户画像或基于使用情况的数据挖掘 — Chapter Networks 不会如此，任何第三方也不会，因为没有第三方能够访问。

§ 12 个人信息跨境传输（《个人信息保护法》第三十八条至第四十条）

PD·HD 本身不向任何境外传输个人信息。应用数据可能离开中华人民共和国的唯一途径是通过 § 7 所述的 iCloud 同步 — 且仅在您主动启用的情况下。

启用 iCloud 同步后，Apple Inc.（One Apple Park Way, Cupertino, California 95014, USA）作为受托方处理您的个人信息。Apple 在全球多个区域运营数据中心；您 iCloud 数据的物理位置由 Apple 根据您的 Apple ID 区域和 Apple 自身的基础设施政策决定。PD·HD 和 Chapter Networks 对该选择没有影响。

根据《个人信息保护法》第三十八条，向中华人民共和国境外提供个人信息应当具备以下条件之一：

• 通过国家网信部门组织的安全评估；
• 经专业机构进行个人信息保护认证；
• 按照国家网信部门制定的标准合同与境外接收方订立合同；
• 法律、行政法规或者国家网信部门规定的其他条件。

免责声明。iCloud 同步可能构成《个人信息保护法》定义下的个人信息跨境传输。Apple 可能根据其自身政策将数据存储在中国境外。Chapter Networks 无法控制 Apple 基础设施的数据路由。如果您希望避免任何潜在的跨境传输，可以不启用 iCloud 同步，以纯本地模式使用 PD·HD — 在该模式下您的数据绝不离开设备。建议中国大陆用户在启用 iCloud 同步前咨询当地法律顾问，了解当前适用的跨境传输机制。

§ 13 数据保留

Chapter Networks 不在自有服务器上收集任何数据，因此没有服务器端保留期限。您的数据保留在您的设备上，以及（如果启用了 iCloud 同步）您自己的 iCloud 中，保留时长由您自行决定。

您可随时、无需任何理由通过以下任一机制删除数据：

• 在应用中删除单条记录（透析记录、化验值、配送记录、联系人）。
• 使用 PD·HD 设置中的批量删除功能 — 一次性删除所有应用数据。
• 在 iOS 设置中为 PD·HD 禁用 iCloud — 根据 Apple 的 iCloud 删除政策移除 iCloud 副本。
• 从所有设备卸载 PD·HD。

由于 PD·HD 无法访问您的数据，向 Chapter Networks 提出的任何删除请求能实现的效果不会超过上述自助机制。

§ 14 您在《个人信息保护法》下的权利（第四十四条至第五十条）

作为个人信息主体，您依法享有以下权利：

• 知情权和决定权 — 第四十四条
• 查阅和复制权 — 第四十五条
• 更正和补充权 — 第四十六条
• 删除权 — 第四十七条
• 要求解释说明权 — 第四十八条
• 撤回同意权 — 第十五条 — 撤回同意不影响撤回前基于同意已进行的个人信息处理活动的效力
• 可携带权 — 第四十五条第三款

鉴于 PD·HD 的架构 — Chapter Networks 无法访问您的数据 — 您可直接在设备上行使这些权利：

• 查阅和可携带：使用 PDF/CSV 导出功能获取数据的完整、人机可读副本。
• 更正：直接在应用中编辑相关记录。
• 删除：删除单条记录、使用设置中的批量删除、为 PD·HD 禁用 iCloud 或卸载应用。
• 撤回 HealthKit 同意：通过 iOS 设置 → 隐私与安全 → 健康 → 数据访问与设备 → PD·HD。
• 联系：如有一般数据保护问题，请联系 hello@chapter.networks。请注意我们无法访问您设备或私有 iCloud 数据库的内容。

§ 15 无自动化决策（《个人信息保护法》第二十四条）

PD·HD 不使用《个人信息保护法》第二十四条意义上的自动化决策。应用中显示的所有数值和图表仅供您个人参考；所有医疗相关决策均由您和您的医疗服务提供者做出。个人有权要求个人信息处理者对自动化决策作出说明，并有权拒绝仅通过自动化决策方式作出对个人权益有重大影响的决定。

§ 16 投诉权

如果您认为您的个人信息权益受到侵害，您有权向主管监管机构投诉。在中华人民共和国，负责个人信息保护的主管部门为：

国家互联网信息办公室（CAC）
Cyberspace Administration of China
网址：www.cac.gov.cn

您也可以向当地省级网信办或相关履行个人信息保护职责的部门投诉。

§ 17 非医疗器械

PD·HD 是面向透析患者的个人健康日记，不是医疗器械。PD·HD 不诊断、治疗、监测或预防任何疾病，不发出医疗建议，也不使用设备传感器进行测量。本应用仅接受您输入的数值或从 Apple 健康读取的数值，将其存储并以图形方式呈现。

任何医疗决策请务必咨询您的医疗团队。PD·HD 不是医疗建议、诊断或治疗的替代品。

§ 18 未成年人

PD·HD 旨在供管理自身透析治疗的成年人或代表患者行事的照护者使用。本应用不面向 14 周岁以下的未成年人。根据《个人信息保护法》第三十一条，处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。Chapter Networks 不故意收集未成年人的数据。由于本应用不向 Chapter Networks 传输任何个人信息，本节为完整性而设，而非针对任何实际数据流的缓解措施。

§ 19 本隐私政策的变更

我们可能会更新本隐私政策，以反映法律要求或 PD·HD 功能的变化。对于实质性变更 — 例如，如果 PD·HD 的未来版本添加新的 HealthKit 类别、引入服务器端功能或集成任何第三方服务 — 我们将更新本页面并在变更生效前在应用内发出通知。本政策顶部的日期始终反映当前发布的版本。

§ 20 联系方式

如对本隐私政策或 PD·HD 的数据处理有任何疑问，请联系 hello@chapter.networks。请具体描述您的问题，以便我们尽快回复。

§ 21 告知义务（《个人信息保护法》第十七条）

根据《个人信息保护法》第十七条，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知以下事项：

• 处理者名称和联系方式：Chapter Networks，hello@chapter.networks（见 § 1）。
• 处理目的和方式：为您提供透析日记追踪功能，数据仅存储在您的设备和（如启用）您的私有 iCloud 数据库中（见 § 5、§ 7）。
• 处理的个人信息种类：透析记录、化验值、配送记录、联系方式、HealthKit 健康数据（见 § 5、§ 6）。
• 保存期限：由您自行控制，无服务器端保留期限（见 § 13）。
• 行使权利的方式和程序：直接在设备上操作（见 § 14）。

本隐私政策构成上述告知义务的履行。

§ 22 适用法律

本隐私政策根据《中华人民共和国个人信息保护法》（2021 年 11 月 1 日施行）起草。如您位于欧盟/欧洲经济区，您同时受欧盟《通用数据保护条例》（GDPR）保护 — 请参阅本政策的英文版或德文版，其中包含完整的 GDPR 法律依据。

与 Apple 隐私清单的对齐

按照 Apple 应用隐私报告的术语（App Store 上的"隐私详情"），PD·HD 收集零数据，因为没有任何数据被传输至 Chapter Networks 或我们控制的任何服务器。上述数据仅在您自己的设备上处理，以及（如启用）在 Chapter Networks 无法访问的您自己的私有 iCloud 数据库中处理。本应用的 PrivacyInfo.xcprivacy 声明以空的 NSPrivacyCollectedDataTypes 条目和 NSPrivacyTracking = false 反映了这一点。本隐私政策超越 Apple 较窄的定义，描述了您数据的完整处理情况，以确保您在各方面均获得充分告知。