隐私政策
我们如何收集、使用和保护你的数据。
隐私政策草案
适用产品:StepMarker Chrome 扩展及其配套服务端。
版本日期:2026-05-23
这是上架和法务审阅前的产品隐私政策草案。公网发布版可通过
npm run site:build结合RELEASE_*环境变量生成,正式提交前需要补充运营主体、联系邮箱、数据处理地区、生产数据库/对象存储供应商、支付服务商和 AI 服务商名称。
我们提供的功能
StepMarker 用于帮助用户把浏览器中的操作流程生成可演示、可编辑、可导出的说明材料。用户可以录制网页操作、截取关键步骤截图、生成步骤标注、编辑说明文案,并导出 ZIP 截图包、HTML 指南、PDF 或 GIF。
我们收集的数据
账号数据
- Clerk 账号标识符。
- Clerk 账号邮箱、显示名称和头像。
- Clerk session token。
- 套餐、额度、用量和账单状态。
录制数据
用户主动开始录制后,扩展会在当前浏览器页面采集与操作指南生成相关的数据:
- 操作事件类型,例如点击、右键、输入、滚动、聚焦、悬停和页面跳转。
- 事件发生时间。
- 被操作元素的标签名、选择器、可见文本、部分属性、位置和尺寸。
- 鼠标位置、视口尺寸和滚动信息。
- 与事件关联的截图。
- 用户在编辑页中填写或修改的步骤标题、意图说明、备注、标注位置和模板选择。
服务端处理数据
当用户登录并连接服务端后,扩展会把生成标注所需的数据发送到服务端:
- 已脱敏的操作事件。
- 与步骤标注相关的截图。
- 用户选择的语言、模板和自定义规则。
- 录制项目元数据。
- 标注、录制和导出的用量计数。
- AI 供应商调用的成本日志,例如状态码、重试次数、字符数和 token 用量。
- 如果启用语音生成功能:旁白文本、语音生成任务元数据和生成的音频资产。
支付数据
生产环境会使用 Waffo hosted checkout、customer session 订阅取消接口和服务端 webhook 处理付费状态。扩展不直接处理银行卡号或支付凭据。服务端仅保存完成订阅和额度管理所需的支付状态、套餐、周期结束时间、支付事件 ID 和支付服务商标识。
我们不收集的数据
- 扩展端不保存模型供应商 API Key。
- 扩展端不保存服务端 AI prompt。
- 扩展不主动读取浏览历史列表。
- 扩展不在未开始录制时采集页面操作事件。
- 扩展不用于广告画像或跨站跟踪。
敏感数据处理
服务端在调用 AI 标注前会对事件内容做脱敏处理:
- 邮箱会替换为
[email]。 - 电话、银行卡号等长数字会替换为
[number]。 - 常见 token 或密钥形态会替换为
[token]。 - password、token、api-key、authorization、cookie 等敏感属性会替换为
[filtered]。 - 密码、邮箱、电话、信用卡等输入框的 value 会替换为
[filtered]。 - 单段文本会限制长度,避免上传过长页面内容。
由于截图可能包含页面中可见的信息,用户应避免在包含高度敏感信息的页面录制,或在导出/分享前删除相关步骤。
使用目的
我们使用上述数据用于:
- 录制用户主动选择的浏览器操作流程。
- 生成截图、GIF、PDF 和 HTML 指南。
- 生成和编辑步骤说明、文字标注和高亮。
- 在用户请求时生成 AI 语音旁白;产品界面和帮助材料应明确披露该语音为 AI 生成,并非真人录音。
- 识别账号身份、同步套餐和额度。
- 防止额度绕过、滥用和异常高成本调用。
- 处理订阅、退款、取消订阅和续费失败状态。
- 响应用户的数据删除请求。
- 诊断服务端错误和 AI 供应商调用失败。
本地存储
扩展会在用户设备上保存:
chrome.storage.local:录制状态、事件元数据、服务端地址、Clerk session 配置、模板选择、标注配置和临时导出状态。- IndexedDB:事件截图,数据库名为
op-recorder,对象存储为screenshots。 - 下载目录:用户主动导出的 ZIP、HTML、PDF 或 GIF 文件。
用户可以停止录制、开始新录制或删除账号数据来清理当前本地录制状态。导出到下载目录后的文件由用户自行管理。
服务端存储
当前本地开发服务端使用 DATA_FILE 指定的 JSON 文件保存账号、用量、录制、billing 和成本日志。生产环境应替换为正式数据库和对象存储,并在发布前补充:
- 数据库供应商。
- 对象存储供应商。
- 数据所在地区。
- 关键截图对象存储供应商,用于保存用户主动录制产生的截图引用。
- 生产备份、日志删除和访问审计策略见
docs/PRODUCTION_OPERATIONS.md。
数据保留与删除
当前已实现:
- 用户可以在扩展内调用“删除账户数据”。
DELETE /api/me会删除当前用户在服务端的录制、用量、billing 状态、billing event、成本日志、告警事件和 TTS 任务/资产。- 删除成功后,服务端会保存当前 session token 的不可逆哈希撤销标记,直到该 token 过期,用于阻止旧会话继续访问 API。
- 扩展端会清空当前本地录制状态和 Clerk session 配置。
生产发布前建议补齐:
- 服务端录制和导出产物默认保留周期,例如免费用户 30 天、付费用户 180 天。
- 成本日志和安全审计日志保留周期,例如 90 天。
- 备份数据的最大删除延迟。
- 用户通过邮件请求删除数据的处理时限。
数据共享
我们只在实现产品功能所需范围内共享数据:
- Clerk:用于用户登录和身份验证。
- AI 服务商:服务端在生成标注时发送已脱敏事件和必要截图;启用语音生成时发送旁白文本以生成 AI 语音。
- Waffo Pancake:用于 hosted checkout、订阅取消、订阅状态和 webhook 事件。
- 云基础设施供应商:用于托管服务端、数据库、日志和对象存储。
我们不会出售用户数据,不会把录制内容用于广告定向。
Clerk 和 Limited Use
本产品对来自 Clerk 的账号信息仅用于登录、展示当前用户、管理套餐额度和处理账户删除,不用于广告定向、出售数据或与产品功能无关的跨站跟踪。所有社媒登录以及邮箱验证码、验证链接和密码校验均由 Clerk 作为身份服务统一处理;本产品不保存密码或自建邮箱验证凭据。
安全措施
- AI prompt、模型配置和供应商 API Key 只在服务端读取。
- 扩展端只保存 Clerk session 配置,不保存模型供应商密钥。
- Clerk 生产路径由服务端校验 session token。
- billing webhook 支持 HMAC-SHA256 签名校验和事件幂等。
- 标注接口有基础按用户限流。
- 服务端会记录供应商调用状态和重试次数,用于成本与异常排查。
生产发布前建议补齐:
- 全站 HTTPS。
- 数据库加密和对象存储私有访问。
- 生产日志脱敏。
- 管理后台最小权限和访问审计。
- 异常成本告警和滥用封禁策略。
儿童隐私
本产品面向需要制作网页操作演示的个人或组织用户,不面向儿童。若发现儿童账号或未获授权的数据被提交,应通过正式支持渠道删除。
联系方式
- 运营主体:正式发布前补充
- 隐私联系邮箱:privacy@stepmarker.com
- 支持邮箱:support@stepmarker.com
- 公司地址:正式发布前补充