小龟时光 (Tortoise Time) — 隐私政策

适用版本: Tortoise Time V1.0.0 及以上 生效日期: 2026-06-01 最近更新: 2026-06-01

1. 我们是谁

“小龟时光” (英文名 Tortoise Time) 是一款帮助 6 至 14 岁儿童管理屏幕使用时间的 Android 应用. 由独立开发者 wuyang 开发与维护.

联系方式:

开发者邮箱: wu956826374@gmail.com
项目官网: https://www.serpilo.com/
应用商店包名: com.serpilo.tortoise

2. 我们的隐私承诺

我们设计小龟时光时坚持以下原则:

本地优先: 你和孩子使用小龟时光的几乎所有数据 (使用时长、限额配置、亲子 PIN、探险币、图鉴解锁等) 完全存储在你的设备上, 不上传到任何服务器
不出售数据: 我们永不出售、出租或与广告联盟分享你或孩子的任何信息
不做精准画像: 我们不构建关于孩子的精准用户画像、不做行为定向广告
最小必要: 仅采集运行 App 必需的信息, 不采集与功能无关的数据
儿童特别保护: 针对 13 岁以下儿童, 我们遵守美国 COPPA、欧盟 GDPR-K、中国 PIPL 第 31 条特别保护规定

3. 我们收集和处理的信息

3.1 完全本地, 不上传的信息

以下数据 100% 存储在你的设备上, 我们与第三方都看不到:

每日屏幕时间限额配置 (例如 60 分钟/天)
你选择监控的应用包名列表 (例如选了抖音、Bilibili)
每日各应用实际使用时长记录
亲子 PIN 验证码 (SHA-256 + 加盐哈希, 我们也无法反解原文)
小龟时光内置游戏化系统的进度数据 (探险币、章节解锁、图鉴收集等)
小龟时光所在设备的语言偏好

重要: 即使你卸载小龟时光, 这些数据也会被 Android 系统一并删除. 我们没有云端备份, 没有账号, 也没有跨设备同步.

3.2 上传给 Firebase 的信息 (经假名化处理)

我们使用 Google Firebase 平台的以下服务. 这些服务由 Google 运营, Google 的隐私政策同时适用 (https://firebase.google.com/support/privacy):

服务	收集什么	用途	是否含 PII
Firebase Crashlytics	应用崩溃时的 Stack Trace、设备型号、Android 版本、崩溃前最后几步操作日志	帮助我们定位崩溃 bug, 改进应用稳定性	❌ 不含 PII. 崩溃日志只含程序执行轨迹, 不含你或孩子输入的内容 / PIN / 应用列表
Firebase Remote Config	仅下发配置, 不收集任何信息	远程关闭新功能 (例如灰度发布异常时的 Kill Switch)	❌ 单向下发, 无上传
Firebase Analytics ⚠	(见下方”儿童隐私特别条款”, 我们对儿童启用 Child-Directed Treatment 模式)	见 §7	⚠ 见 §7

3.3 我们不收集的信息

明确列出, 让你安心:

❌ 不收集你或孩子的姓名、年龄、性别、生日
❌ 不收集邮箱、电话号码、社交账号 (小龟时光没有账号系统)
❌ 不收集 GPS 位置、IP 地址 (Firebase 自动收集的 IP 仅用于发送响应, 我们不存储)
❌ 不收集通讯录、相册、麦克风、摄像头 (我们没有这些权限)
❌ 不收集你或孩子在被监控应用 (例如抖音) 内的具体内容、浏览历史、视频名称
❌ 不收集硬件唯一标识 (IMEI、MAC、广告 ID)
❌ 不跟踪你跨应用的行为
❌ 不与广告联盟、数据经纪商分享数据

4. 我们使用的设备权限及说明

为了实现”管理屏幕使用时间”的核心功能, 小龟时光请求以下 Android 权限:

权限	用途	是否上传数据
使用情况访问 (PACKAGE_USAGE_STATS)	检测你选择监控的应用何时被打开、使用了多久. 不读取应用内的内容	❌ 仅本地
悬浮窗 (SYSTEM_ALERT_WINDOW)	在使用时长达到 100% 限额时显示全屏提示, 引导孩子结束使用	❌ 仅本地
通知 (POST_NOTIFICATIONS)	在 60% / 75% / 90% / 100% 阶段提醒孩子 (温柔渐进)	❌ 仅本地
设备管理员 (Device Admin)	防止孩子未经家长同意卸载小龟时光; 唯一最小权限是 USES_POLICY_WATCH_LOGIN, 我们不调用任何擦除 / 锁屏 / 修改密码 API	❌ 仅本地
前台服务 (FOREGROUND_SERVICE)	保持监控服务后台运行, 持续追踪使用时长	❌ 仅本地
启动完成 (RECEIVE_BOOT_COMPLETED)	手机重启后自动恢复监控服务	❌ 仅本地
请求安装应用 (REQUEST_INSTALL_PACKAGES)	国内渠道用户从 App 内升级到新版本时, 安装新 APK (仅经过签名和 SHA256 校验的官方版本)	❌ 仅本地

我们不请求以下权限: 通讯录、短信、电话、位置、相册、摄像头、麦克风、传感器、蓝牙.

5. 数据存储与安全

本地数据存储位置: Android 系统沙箱内, 仅小龟时光可访问 (/data/data/com.serpilo.tortoise/)
PIN 哈希算法: SHA-256 + 16 字节 SecureRandom 加盐 + 恒定时间验证 (constant-time verify), 即使设备 root 也无法暴力破解 4 位 PIN
数据加密: 数据库未额外加密, 但被 Android 系统沙箱隔离保护
崩溃日志上传: Firebase Crashlytics 使用 HTTPS (TLS 1.2+) 加密传输到 Google 服务器
配置下发: Firebase Remote Config 使用 HTTPS 加密
网络请求: 仅升级检查时连接 tortoise-web 服务器, 使用 HTTPS
书面信息安全程序: 我们维护一套与数据敏感度相称的书面信息安全程序 — 数据最小化 (不采集 PII)、本地优先存储、加盐哈希凭证保护、仅 HTTPS 传输、分析管线的 lint 强制 PII 守门

6. 第三方服务清单 (Google Play SDK Disclosure 合规)

小龟时光集成以下 Google / 开源 SDK:

SDK	用途	数据收集	隐私政策链接
Google Firebase (Crashlytics)	崩溃报告	Stack trace, 设备型号, Android 版本	Google Firebase 隐私政策
Google Firebase (Remote Config)	配置下发	无上传	同上
Google Firebase (Analytics)	用户行为 (启用 Child-Directed Treatment, 见 §7)	见 §7	同上
Google Play Core (App Update)	App 内升级 (Play Store 渠道)	仅升级元数据	Google Play 隐私政策
OkHttp	HTTPS 请求库 (升级检查)	无收集	OkHttp 开源协议
Jetpack WorkManager	后台任务调度	无上传	Android 开发者条款

完整开源许可清单请在小龟时光 App 内: 设置 → 关于小龟时光 → 开源许可 查看.

小龟时光的目标用户是 6 至 14 岁儿童, 因此我们对 13 岁以下儿童 (符合美国 COPPA 范围) 与 14 岁以下儿童 (符合中国 PIPL 与欧盟 GDPR-K 范围) 采取以下特别保护:

7.1 Firebase Analytics 启用 Child-Directed Treatment 模式

自 V1.0.0 起, 小龟时光对所有用户启用 Google 官方 “Child-Directed Treatment” 合规模式. 这是 Google 为儿童 App 设计的合规模式, 同时满足 COPPA / GDPR-K / 中国 PIPL 第 31 条要求.

这意味着:

❌ 关闭: 广告 cookie、广告画像、跨应用追踪、个性化广告 — 我们永不向孩子投放广告
✅ 保留: 4 个聚合事件 (Onboarding 完成 / Lock 触发 / Service 复活 / 章节解锁) — 用于度量产品质量, 帮助我们改进
✅ 守底: 这 4 个事件的字段清单严格 — 仅假名化随机 UUID (不连接你或孩子的真实身份, GDPR 下我们仍按个人数据对待它) + 应用版本 + 业务枚举. 永不收集 用户 ID / 设备 ID / IMEI / MAC / IP / 广告 ID

家长可以在 设置 → 关于小龟时光 → 隐私选项 中查看此状态. 这是永久行为, 我们不提供”打开” 选项 — 这是我们对儿童隐私的承诺.

为什么不完全关闭 Firebase Analytics: V1 上架后我们需要度量产品是否真的在帮助家庭 (北极星指标 G1: “7 日内监护稳定 ≥5 天家庭比例”). 完全关闭意味着我们盲做产品, 反而无法发现真问题修复. Child-Directed Treatment 是 Google 官方对儿童 App 的合规中间方案, 既保留产品质量度量能力, 又禁用所有广告相关数据收集.

7.2 不收集儿童个人信息

我们不要求儿童 (或家长代孩子) 提供姓名、生日、邮箱、电话、地理位置等任何个人身份信息. 小龟时光没有账号系统.

7.3 不做行为定向

我们不基于孩子的使用数据构建画像, 不向孩子展示个性化推荐, 不向第三方分享数据用于定向广告.

7.4 家长访问与控制

访问: 小龟时光所有数据可以在 设置 → 今日数据 中由家长 (经 PIN 验证) 查看
修改: 家长可以修改每日限额、监控的应用列表 (在 PIN 验证后)
删除: 家长可以在 设置 → 关于小龟时光 → 清空所有数据 完全清除所有本地数据 (含游戏化进度)
卸载即删除: 卸载小龟时光将由 Android 系统自动删除所有本地数据

7.5 不主动向儿童索取信息

小龟时光的 UI 上不存在任何”输入你的姓名 / 邮箱 / 电话”的字段. 仅设置 4 位 PIN 是必要的 (这是家长设置的, 非孩子的个人信息).

7.6 美国 COPPA 合规声明

如适用美国法律 (用户位于美国境内或美国领土), 我们的做法符合 Children’s Online Privacy Protection Act (COPPA, 15 U.S.C. §§ 6501–6506):

我们不知晓地从 13 岁以下儿童收集个人信息 (因为我们不收集任何 PII)
如家长发现我们意外收集了孩子的个人信息, 请联系 wu956826374@gmail.com, 我们将立即删除
我们不要求孩子提供任何 PII 即可使用全部功能

如适用欧盟法律 (用户位于欧盟成员国), 我们的做法符合 GDPR Article 8 (Children’s Personal Data):

小龟时光不基于”同意” 法律基础处理 16 岁以下儿童数据 (因为我们不处理可识别个人数据)
即使处理, 16 岁以下需家长同意; 各成员国可降至 13 岁

7.8 中国 PIPL 合规声明

如适用中国法律 (用户位于中国大陆), 我们的做法符合 个人信息保护法 (PIPL) 第 31 条:

处理 14 岁以下儿童个人信息须经父母或其他监护人同意
我们不主动处理 14 岁以下儿童个人信息
已制定专门的儿童信息处理规则 (即本第 7 节)

8. 你的权利

无论你在哪个国家或地区, 我们都尊重以下用户权利:

权利	实现方式
访问权	设置 → 今日数据 (经 PIN 验证)
更正权	设置 → 调整每日限额 / 调整监控应用 (经 PIN 验证)
删除权	设置 → 关于小龟时光 → 清空所有数据 (30 秒长按确认) 或卸载 App
撤回同意	卸载 App 即视为撤回所有同意
数据可携带	由于数据完全本地, 你的设备本身就是你的数据载体
拒绝自动化决策	小龟时光的限额是固定规则, 非 AI 自动化决策
投诉	联系 wu956826374@gmail.com; 中国用户可向地方网信办举报; 欧盟用户可向所在国 Data Protection Authority 投诉

9. 数据保留期 (数据留存政策)

本地数据: 保留直至你卸载小龟时光或在设置中清空
Firebase Crashlytics 崩溃日志: 由 Google 保留 90 天后自动删除 (见 Google Firebase 政策)

10. 政策变更

如我们修改本政策, 我们将:

在本页面顶部更新”最近更新” 日期
在 App 内通过”启动公告” 或”通知” 方式告知你
重大变更 (例如开始收集新类型数据) 须在生效前至少 30 天通知

11. 联系我们

如对本政策有任何疑问、需要行使你的权利、或希望投诉:

邮箱: wu956826374@gmail.com
GitHub Issues: https://github.com/wuyxp/tortoise-web/issues (公开渠道, 请勿提交 PII)
响应时限: 我们承诺在 30 天内回复你的请求

12. 法律管辖

本政策受中华人民共和国法律 (开发者实际居住地法律) 管辖. 如发生争议, 双方应首先友好协商.

针对位于欧盟、美国、英国等海外用户, 如适用当地强制性法律 (GDPR / COPPA / UK GDPR) 与本政策冲突, 优先适用当地法律.

English version: https://www.serpilo.com/en/privacy