隐私优先。仅在设备上存储。无需账户。

隐私 验证

您不需要相信我们。这里是我们的隐私声明,如何自己验证,以及应用请求的每项权限的完整分析。

我们的隐私声明

零追踪器

应用中无分析 SDK、无广告库、无跟踪像素。

零出站数据收集

应用默认不建立出站连接。完全离线工作。唯一的网络使用是可选的 Pro 云备份,它同步到您自己的 iCloud 或 Google Drive - 永远不会同步到我们的服务器。

默认情况下在设备上存储

所有文档、扫描和数据都保存在您的设备上。无 TDV 云、无 TDV 服务器、无 TDV 后端。Pro 用户可以选择将其加密保险库备份到他们自己的 iCloud 或 Google Drive 账户 - 只有他们持有恢复密钥。

AES-256-GCM 加密

每个文档在接触设备存储之前都会被加密。

自己验证

您不需要相信我们。您可以使用免费的公开工具来确认上述所有声明。

1. 网络流量测试

安装网络监控工具,如 mitmproxy(免费、开源)、Charles ProxyWireshark。打开 Travel Document Vault,扫描文档,浏览您的保险库,并设置提醒。在正常使用中,您将看到零出站请求。例外情况是:Sentry 崩溃报告(可选择,默认禁用,仅在应用崩溃时发送数据)和 Pro 云备份(如启用,将您的加密保险库同步到您自己的 iCloud 或 Google Drive - 流量流向 Apple 或 Google 基础设施,而不是我们)。

2. iOS 应用隐私报告

在 iPhone 上,转到 设置 > 隐私和安全 > 应用隐私报告。这个 Apple 内置功能显示哪些应用已联系网络域。Travel Document Vault 在正常使用中将不显示网络活动。如果您启用了 Pro 云备份,您将看到与 Apple 的 iCloud 域的连接 - 这是您的备份同步到您自己的 iCloud 账户。

3. App Store 和 Google Play 隐私标签

Apple 和 Google 要求开发者声明他们的应用收集什么数据。检查 App Store 或 Google Play 上的 Travel Document Vault 列表。我们的声明:不收集任何数据

每项权限解释

Android 应用在其清单中声明权限。有些由应用直接请求,有些从应用依赖的库继承。这是每项权限的透明分析,按目的分组。

应用直接使用的权限

摄像头

iOS + Android

我们请求的原因: 直接从应用中扫描您的护照、签证或旅行文件页面。

我们从不做的事: 照片保存在您的设备上。永远不会上传、传输或发送到任何地方。

照片库 / 照片 / 存储

iOS + Android

我们请求的原因: 以便您可以导入现有文档照片,并且应用可以在您请求时导出加密的备份文件 (.tdvault)。在较旧的 Android 版本中,需要 READ_EXTERNAL_STORAGE 和 WRITE_EXTERNAL_STORAGE。在 Android 13 以上,改用 READ_MEDIA_IMAGES。

我们从不做的事: 应用仅读取您选择的图像。永远不会扫描、索引或浏览您的照片库或文件系统。

Face ID / Touch ID / 生物识别解锁

iOS + Android

我们请求的原因: 锁定和解锁应用,以便只有您才能访问您的文档。在 Android 6-8 上,使用 USE_FINGERPRINT。在 Android 9 以上,改用 USE_BIOMETRIC。

我们从不做的事: 您的生物识别数据永远不会离开您的设备。操作系统处理身份验证并仅向应用返回通过/失败结果。

通知、振动、启动完成、Wake Lock

Android

我们请求的原因: 传递您自己设置的设备内到期提醒。RECEIVE_BOOT_COMPLETED 在设备重启后重新安排您的提醒。WAKE_LOCK 确保提醒即使在手机睡眠时也能可靠地发送。VIBRATE 伴随通知传递。

我们从不做的事: 不会发送任何营销、促销或第三方通知。提醒完全在您的设备上安排。

互联网、网络状态、Wi-Fi 状态

Android

这出现的原因: 三个功能需要:Sentry 崩溃报告(可选择,默认禁用)、Google Play 计费用于 Pro 升级购买,以及 Pro 云备份(可选)将您的加密保险库同步到您自己的 Google Drive。ACCESS_NETWORK_STATE 和 ACCESS_WIFI_STATE 让这些功能在尝试发送之前检查连接是否可用。

我们从不做的事: 应用在正常使用中进行零网络调用。完全离线工作。唯一的出站流量发生在崩溃报告启动时(如果您选择)、恢复 Pro 购买时,或 Pro 云备份同步到您自己的 Google Drive 或 iCloud 时 - 这种情况下的流量流向 Google 或 Apple 基础设施,而不是我们的。

从库继承的权限(应用不使用)

Android 应用包含用于应用内购买、崩溃报告和通知等功能的第三方库。这些库在自己的清单中声明权限,这些权限被合并到最终应用中。下面的权限由依赖项声明,而不是由我们的代码声明。应用从不调用它们背后的 API。

录制音频

继承的,未使用

这出现的原因: 此权限由构建中包含的第三方库(通常是相机或媒体插件)声明。它在 Android 清单中出现,但从不由我们的代码触发。应用在任何情况下都不会录制音频或视频。

您如何确认: 应用不会要求麦克风访问权限。如果您检查设备的权限管理器,您会看到未授予 Travel Document Vault 音频录制权限。

系统警报窗口

继承的

由 Flutter 框架为开发和调试覆盖层声明。此权限在应用的发布版本中不使用,不会影响您的隐私。

检测屏幕捕获

继承的

由框架依赖项声明。应用不检测、阻止或响应屏幕截图。此权限不会影响您的使用。

徽章计数权限

继承的

READ_APP_BADGE、UPDATE_BADGE、BADGE_COUNT_READ、BADGE_COUNT_WRITE、READ_SETTINGS、WRITE_SETTINGS、UPDATE_COUNT、CHANGE_BADGE、BROADCAST_BADGE 和 PROVIDER_INSERT_BADGE 由通知库声明,以在不同 Android 制造商(Samsung、Huawei、Xiaomi 等)的主屏幕图标上显示未读徽章计数。它们只影响应用图标上显示的数字。

计费、检查许可证、安装推荐

Google Play

由 Google Play 计费库(用于 Pro 升级购买)和 Play 安装推荐库声明。这些是标准的 Google Play 商店要求,不会访问任何个人数据。

无通知下载

继承的

由框架依赖项声明。应用不在后台下载文件。

我们不请求的权限

这些是许多应用请求的常见权限。我们不请求这些中的任何一个,它们不会在我们的清单中出现。

位置 - 无 GPS、无地理围栏、无跟踪
联系人 - 不访问您的通讯录
蓝牙 - 无本地网络或设备扫描
日历 - 提醒在设备上处理,不通过您的日历

还有疑问吗?阅读我们的完整 隐私政策 或查看 常见问题