Polityka prywatności
Wydawcą MailTwin jest Smilodon AS, norweska spółka. Niniejsza polityka wyjaśnia, jakimi danymi MailTwin operuje, dokąd one trafiają i jakie masz wybory. Produkt jest zaprojektowany tak, by wrażliwe części Twojego życia mailowego nigdy nie opuszczały Twojego Maca.
Streszczenie w jednym akapicie
MailTwin działa na Twoim Macu. Twoje klucze API żyją w macOS Keychain;
MailTwin nigdy ich nie przesyła. Kiedy uruchamiasz akcję AI, treść
wybranej wiadomości plus mały fragment kontekstu stylu z Twojej
własnej wysłanej poczty trafiają bezpośrednio z Twojego Maca do
wybranego przez Ciebie dostawcy AI (Anthropic, OpenAI, Google, xAI,
Groq, DeepSeek lub Twojego lokalnego Ollama). MailTwin nie prowadzi
backendu dla ruchu AI — w tej ścieżce nie ma żadnego serwera
MailTwin. Hostujemy kanał auto-aktualizacji
(updates.mailtwin.ai) i opt-in punkt telemetrii
(telemetry.mailtwin.ai) oraz endpointy licencji
LemonSqueezy — i tyle.
Dane, które zostają na Twoim Macu
- Klucze API — macOS Keychain, usługa
ai.mailtwin.keys. Nigdy nie przesyłane przez MailTwin. - Klucz licencji i identyfikator instancji LemonSqueezy — Keychain, ta sama usługa. Używane do walidacji aktywacji wobec LemonSqueezy.
- Zindeksowane profile stylu — przykładowe wiadomości z Twojej skrzynki Wysłane, treść skompresowana LZFSE, przechowywane w
~/Library/Application Support/MailTwin/. - Log żądań — zredagowane podglądy ostatnich 200 żądań AI, do wglądu w Ustawienia → Prywatność.
- Tracker kosztów — dzienne sumy tokenów, by działały miękkie limity.
- Tożsamość (imię + e-mail zebrane przy onboardingu) — UserDefaults. Używane w szablonach powitań. Nigdy nie przesyłane przez telemetrię.
Dane, które trafiają do wybranego przez Ciebie dostawcy AI
Kiedy uruchamiasz akcję AI (odpowiedź, podsumowanie, ulepszenie wersji roboczej itp.), wysyłamy do dostawcy:
- Treść wiadomości, na której działasz (lub Twoją wersję roboczą).
- Krótki prompt opisujący akcję.
- Fragment kontekstu stylu zbudowany z maksymalnie 5 Twoich poprzednich wysłanych wiadomości, ograniczony do tego samego odbiorcy / tematu / konta, gdy to możliwe.
Polityka prywatności dostawcy stosuje się do tego ruchu. Twój klucz API u tego dostawcy jest tym, co uwierzytelnia wywołanie; z perspektywy dostawcy żądanie wygląda identycznie jak każde inne żądanie z Twojego konta.
MailTwin nigdy nie wysyła do dostawcy: tematów, adresów odbiorców wykraczających poza to, co jest w treści, zawartości innych Twoich kont, Twojego Keychain, Twojego klucza licencji ani Twojego imienia i e-maila.
Auto-aktualizacja (updates.mailtwin.ai)
MailTwin używa Sparkle 2 do sprawdzania aktualizacji mniej więcej co
24 godziny. Sprawdzenie pobiera XML-owy appcast z
https://updates.mailtwin.ai/appcast.xml. Pobieranie
niesie nagłówek User-Agent w postaci MailTwin/<build>.
Cloudflare (które serwuje plik) zapisuje IP żądania i User-Agent w
standardowych logach CDN. Nie kojarzymy pobrań aktualizacji z żadnym
innym identyfikatorem.
Aktualizacje są podpisane prywatnym kluczem EdDSA należącym do Smilodon AS. Sparkle weryfikuje podpis wobec klucza publicznego wbudowanego w MailTwin przed instalacją — nawet gdyby nasz host aktualizacji został przejęty, atakujący nie mógłby Ci dostarczyć złośliwej aktualizacji.
Konfiguracja zdalna (updates.mailtwin.ai)
MailTwin pobiera mały dokument JSON pod
https://updates.mailtwin.ai/config.json mniej więcej co
cztery godziny. Jego celem jest przełączenie kill-switcha na
konkretnej kombinacji dostawcy/modelu, jeśli zewnętrzne API wprowadzi
zmianę łamiącą kompatybilność. Pobieranie niesie ten sam User-Agent co
appcast powyżej i żadnych innych informacji o kliencie.
Telemetria opt-in (telemetry.mailtwin.ai)
Wyłącznie opt-in — domyślnie wyłączona. Jeśli włączysz
ją w Ustawienia → Prywatność, MailTwin wysyła anonimowe zdarzenia użycia
do https://telemetry.mailtwin.ai/events. Każde zdarzenie
zawiera:
- Nazwę zdarzenia, np.
action.invokedlubaction.failed. - Właściwości takie jak użyty dostawca AI, rodzaj akcji (odpowiedź/podsumowanie/…), klasa błędu, czas trwania w milisekundach.
- Anonimowy identyfikator instalacji (losowy UUID generowany przy pierwszym opt-in; rotowany, gdy się wypiszesz).
- Numer Twojego buildu MailTwin i ciąg wersji macOS.
- Dwuliterowy kod kraju ISO (np.
US,NO,DE) wyznaczony przez Cloudflare na podstawie Twojego IP na brzegu sieci. Samo IP nigdy nie jest zapisywane w naszej bazie — przechowywany jest wyłącznie kod kraju. Używamy go w jednym celu: prostego licznika instalacji na kraj na naszym wewnętrznym dashboardzie.
Telemetria nigdy nie zawiera treści wiadomości,
adresów, tematów, swobodnych promptów, które wpisałeś, odpowiedzi
AI, Twojego imienia ani Twojego e-maila. Pełna źródłowa lista zdarzeń
to TelemetryEvent w naszym kodzie; zdarzenia, które
MailTwin faktycznie zakolejkował w tej sesji, są widoczne w
Ustawienia → Prywatność → „Pokaż, co zostało wysłane".
Zdarzenia telemetryczne są odbierane przez Cloudflare Worker i przechowywane w Cloudflare D1 (bazie SQLite). Są używane przez Smilodon AS do zrozumienia, które funkcje są używane, którzy dostawcy AI źle się zachowują i które wersje aplikacji/macOS wymagają uwagi. Nie są sprzedawane, wynajmowane ani udostępniane osobom trzecim.
Telemetrię możesz wyłączyć w dowolnym momencie. Wyłączenie czyści lokalną kolejkę, rotuje anonimowy identyfikator instalacji i zatrzymuje dalsze wysyłanie.
Raporty awarii
MailTwin zapisuje zrzuty awarii do
~/Library/Logs/MailTwin/. Pozostają one na Twoim Macu,
chyba że skonfigurujesz endpoint uploadu w Ustawienia → Prywatność.
Nie dostarczamy domyślnego endpointu; pole jest puste, dopóki go nie
wypełnisz.
Płatności i licencjonowanie (LemonSqueezy)
Zakupy obsługuje LemonSqueezy jako sprzedawca rejestrowany. Gdy kupujesz licencję, LemonSqueezy zbiera dane potrzebne do przetwarzania płatności i zgodności podatkowej (Twoje imię, e-mail, kraj i dane płatnicze). Stosuje się ich polityka prywatności. Smilodon AS otrzymuje od LemonSqueezy przez webhook Twoje imię, e-mail, kraj i szczegóły zamówienia.
Aktywacja licencji wywołuje
https://api.lemonsqueezy.com/v1/licenses/* z Twojego
Maca z Twoim kluczem licencji i zhashowanym odciskiem maszyny
(wyprowadzonym z IOPlatformUUID plus bundle id).
Odcisk jest używany do egzekwowania limitu stanowisk. Smilodon AS
nie prowadzi własnego serwera licencji.
Czego nigdy nie zbieramy
- Treści e-maili jakiegokolwiek rodzaju, poza żądaniem, które wykonujesz do wybranego przez Ciebie dostawcy AI.
- Adresów e-mail (Twoich ani cudzych).
- Tematów.
- Swobodnych promptów, które wpisałeś.
- Odpowiedzi dostawcy AI.
- Twojego adresu IP. (Cloudflare widzi go w tranzycie, jak każdy serwer WWW, ale na brzegu rozwiązujemy go do kodu kraju i odrzucamy IP — nigdy nie jest zapisywany w naszej bazie ani logach.)
Twoje prawa (GDPR, CCPA)
Możesz wyeksportować swoje lokalne ustawienia do pliku JSON (Ustawienia → Prywatność → Eksportuj ustawienia) i jednym kliknięciem usunąć wszystkie dane lokalne (Ustawienia → Prywatność → Wyczyść wszystko). W sprawie danych, które przechowuje Smilodon AS (Twojego rekordu zakupu w LemonSqueezy, wierszy telemetrii opt-in powiązanych z Twoim anonimowym identyfikatorem instalacji), napisz na [email protected], a odpowiemy w ciągu 30 dni, zgodnie z wymogami GDPR / CCPA.
Ponieważ wiersze telemetrii są powiązane wyłącznie z rotującym identyfikatorem instalacji, bez powiązania z Twoim e-mailem zakupu, wnioski o usunięcie telemetrii muszą zawierać identyfikator instalacji, który znajdziesz w Ustawienia → Prywatność → „Pokaż, co zostało wysłane".
Dzieci
MailTwin nie jest skierowany do dzieci poniżej 13. roku życia. Świadomie nie przetwarzamy danych nikogo poniżej 13. roku życia.
Zmiany w tej polityce
Istotne zmiany będą publikowane tutaj i odnotowywane w notatkach wydania aplikacji. Data „Ostatnia aktualizacja" na górze odzwierciedla najnowszą zmianę.
Kontakt
Smilodon AS
Norwegia
[email protected] w sprawach
prywatności, [email protected]
w sprawach produktu.