OnlyCrush 第三方 SDK 信息清单
生效日期:2026年5月30日
版本:v1.0
本清单完整列出 OnlyCrush 集成的所有第三方 SDK
与服务接口,包括其用途、收集的个人信息字段、传输方式与服务方隐私政策链接。如清单出现变更(新增 / 移除 / 字段变化),我们会同步更新本页与《隐私政策》。
一、账号与登录
1.1 微信开放平台登录 SDK
| 服务方 | 腾讯 / 微信开放平台 |
| 使用目的 | 提供"微信一键登录"功能(移动应用 OAuth) |
| 收集字段 | OpenID、UnionID、昵称(用户授权后)、头像 URL(用户授权后)、性别、所在国家 / 省 / 市 |
| 传输方式 | 客户端调用微信 App / 浏览器授权页 → 我们的后端通过 HTTPS 调用 api.weixin.qq.com 换取上述信息 |
| SDK 类型 | 微信 OpenSDK(iOS / Android) |
| 隐私政策 | privacy.qq.com |
1.2 微信小程序登录
| 服务方 | 腾讯 / 微信小程序平台 |
| 使用目的 | 小程序内通过 wx.login 静默换取账户标识 |
| 收集字段 | OpenID、UnionID(如已绑定同一开放平台账号) |
| 传输方式 | 小程序客户端 → 微信服务器 → 我们的后端通过 jscode2session 接口换取 |
| 处理方式 | 仅用于账户标识匹配;不获取昵称、头像、手机号 |
| 隐私政策 | privacy.qq.com |
1.3 通过 Apple 登录
| 服务方 | Apple Inc. |
| 使用目的 | iOS 系统级 OAuth 登录 |
| 收集字段 | Apple 匿名用户标识符;如你授权:昵称、邮箱(可选择 Apple 中继邮箱) |
| 传输方式 | 客户端调用系统 Sign in with Apple → 我们的后端调用 Apple 验签接口 |
| 隐私政策 | apple.com |
1.4 火山引擎短信服务
| 服务方 | 北京字节跳动科技有限公司 / 火山引擎 |
| 使用目的 | 向手机号发送注册 / 登录验证码 |
| 收集字段 | 手机号码 |
| 传输方式 | 我们的后端通过 HTTPS 调用火山引擎 SMS API(SigV4 签名) |
| 处理方式 | 仅用于本次验证码发送;不用于营销 |
| 隐私政策 | volcengine.com |
二、支付服务
2.1 微信支付 V3 SDK(Android)
| 服务方 | 财付通支付科技有限公司 / 微信支付 |
| 使用目的 | Android 平台钻石充值、订阅卡续费 |
| 收集字段 | 订单号、订单金额、订单状态、设备机型(微信支付要求)、IP;不收集银行卡号 |
| 传输方式 | 客户端唤起微信支付页 → 微信完成扣款 → 我们的后端验签回调 |
| 处理方式 | 仅用于完成本次交易、退款、对账 |
| 隐私政策 | pay.weixin.qq.com |
2.2 Apple In-App Purchase(iOS)
| 服务方 | Apple Inc. |
| 使用目的 | iOS 平台钻石充值、订阅卡续费 |
| 收集字段 | 订单凭证(Receipt)、Apple Transaction ID;不收集Apple ID 密码或银行卡号 |
| 传输方式 | 客户端调用 StoreKit → 我们的后端调用 Apple 验签接口 |
| 隐私政策 | apple.com |
三、推送通知
3.1 Apple Push Notification Service(iOS)
| 服务方 | Apple Inc. |
| 使用目的 | iOS 系统级远程推送(角色主动消息、签到提醒、活动通知) |
| 收集字段 | APNs Device Token |
| 传输方式 | 客户端注册 → 我们的后端通过 HTTP/2 调用 api.push.apple.com |
| 处理方式 | Token 仅用于消息投递;可在 iOS 设置或 App 内关闭通知 |
| 隐私政策 | apple.com |
3.2 Android 推送服务(待启用)
| 服务方 | 极光推送(JPush)/ 个推 / 华为 HMS / 小米 MIPush(视实际机型路由) |
| 使用目的 | Android 系统级远程推送 |
| 收集字段 | 设备唯一标识(OAID)、设备型号、操作系统版本、推送 Token |
| 处理方式 | 用于推送送达;可在 App 内关闭通知 |
| 状态 | 当前版本 Android 端尚未启用;启用时本清单会同步更新具体服务商与隐私政策链接 |
四、AI 与语音服务
4.1 火山引擎方舟 — 豆包大语言模型
| 服务方 | 北京字节跳动科技有限公司 / 火山引擎 |
| 使用目的 | 为 AI 角色生成对话回复 |
| 收集字段 | 你与 AI 角色的对话上下文(最近若干轮聊天文本)、角色人设描述;不向豆包传输你的姓名、手机号、设备 ID 等账户标识 |
| 传输方式 | 我们的后端通过 HTTPS 调用 ark.cn-beijing.volces.com |
| 处理方式 | 会话内容仅用于本次回复生成;火山方舟按商务条款不将客户输入用于模型再训练 |
| 隐私政策 | volcengine.com |
4.2 火山引擎实时音视频(RTC)
| 服务方 | 北京字节跳动科技有限公司 / 火山引擎 |
| 使用目的 | 提供你与 AI 角色的实时语音通话 |
| 收集字段 | 实时音频流(麦克风采集)、网络质量数据(用于音视频调度) |
| 传输方式 | 客户端通过火山 RTC SDK 与 RTC 媒体节点建立 WebRTC 连接 |
| 处理方式 | 通话音频流不在我们的服务端落盘,仅由 RTC 实时转发;通话结束后仅保留时长与时间戳 |
| 隐私政策 | volcengine.com |
4.3 火山引擎语音合成(TTS / bigtts)
| 服务方 | 北京字节跳动科技有限公司 / 火山引擎 |
| 使用目的 | 将 AI 回复的文本合成角色音色的语音 |
| 收集字段 | 待合成的文本内容;不向 TTS 传输你的账户标识 |
| 传输方式 | 我们的后端通过 HTTPS 调用 openspeech.bytedance.com |
| 处理方式 | 合成完成后的音频缓存至我们的 BOS 以减少重复合成 |
| 隐私政策 | volcengine.com |
4.4 MiniMax 语音合成(海螺 TTS)
| 服务方 | 稀宇科技 / MiniMax |
| 使用目的 | 角色 TTS 兜底服务(当火山 TTS 未配置或失败时启用) |
| 收集字段 | 待合成的文本内容;不向 MiniMax 传输你的账户标识 |
| 传输方式 | 我们的后端通过 HTTPS 调用 api.minimax.chat |
| 处理方式 | 合成完成后的音频缓存至我们的 BOS |
| 隐私政策 | minimaxi.com |
五、内容存储与缓存基础设施
5.1 百度智能云 BOS(对象存储)
| 服务方 | 北京百度网讯科技有限公司 / 百度智能云 |
| 使用目的 | 存储角色立绘、头像、合成音频、用户上传图片等静态资源 |
| 收集字段 | 你主动上传的文件内容(如自定义头像);访问日志含 IP、UA |
| 传输方式 | 客户端通过预签名 URL 直传 / 后端服务上传至 vision-image.bj.bcebos.com |
| 隐私政策 | cloud.baidu.com |
5.2 阿里云 Redis(缓存与会话)
| 服务方 | 阿里云计算有限公司 |
| 使用目的 | 缓存登录 token、短信验证码、限流计数、AI 上下文等临时数据 |
| 收集字段 | 登录 token、临时手机号验证码(短期保留) |
| 传输方式 | 后端服务在阿里云内网与 Redis 实例通信 |
| 处理方式 | 所有缓存数据均有 TTL 到期自动失效;不持久化用户内容 |
| 隐私政策 | aliyun.com |
5.3 火山引擎 RDS MySQL(数据库)
| 服务方 | 北京字节跳动科技有限公司 / 火山引擎 |
| 使用目的 | 持久化存储你的账户资料、聊天记录、订单、虚拟资产等业务数据 |
| 收集字段 | 涵盖你在本服务内产生的全部业务数据(见《隐私政策》第二条) |
| 传输方式 | 后端服务在火山引擎内网与 RDS 实例通信 |
| 处理方式 | 仅我们的后端服务可访问;账户注销 30 日内删除或匿名化 |
| 隐私政策 | volcengine.com |
六、数据合规说明
- 境内存储:以上所有数据存储服务均位于中国大陆境内,不向境外传输。
- 最小必要:每个 SDK 仅获取实现对应功能所需的最少信息字段。
- 合作方义务:我们与所有第三方服务商签订了数据处理协议(DPA),要求其遵守本政策并履行个人信息保护义务。
- 变更通知:清单如有新增 / 移除,我们会同步更新并通过 App 内公告告知。
七、不集成的 SDK 类型(特别声明)
截至本版本,OnlyCrush 未集成以下类别的 SDK:
- 用户行为分析 / 数据归因 SDK(如友盟、神策、GA4);
- 广告投放 / 归因 SDK(如穿山甲、AppsFlyer、Adjust、巨量引擎转化追踪);
- 社交分享 SDK(暂未提供分享功能);
- 跨应用追踪 / 设备指纹 SDK。
如未来集成上述类别 SDK,我们将更新本清单并重新征得你的同意。
八、联系我们