最后更新:2026年5月8日
Arpokrat GmbH
地址: c/o Wadsack AG, Bahnhofstrasse 7, CH-6302, Zug, Switzerland.
1. 我们的理念:匿名与主权
要访问我们的即时通讯应用程序,您无需提供电话号码,也无需创建用户帐户。我们致力于保证您的绝对隐私,并致力于维护您有效的数字主权。
- Arpokrat 的基本规则非常严格:我们不收集任何使用数据。
- 唯一的例外是购买许可证(ArpokratOS):在开具发票时,我们仅收集您的姓名、电子邮件地址和居住国。收集这些数据完全是为了遵守瑞士的税务义务。这些数据将被隔离保存10年,然后被永久删除。
- 您的个人消息和通话都是端到端加密的。任何人,包括Arpokrat在内,都无法读取或收听这些内容,也无法访问发送和/或接收的文件。
2. ArpokratOS(操作系统)的特性
如果您除了使用我们的即时通讯应用程序外,还使用我们的安全操作系统(ArpokratOS,针对谷歌Pixel设备优化),您的保护将在硬件和软件层面得到加强:
- 定位已禁用:操作系统会阻止对GPS跟踪模块的访问。您无法被地理定位,也无法分享您的位置,因为该功能已在根级别被禁用。
- NFC和蓝牙(BT)已禁用:近场通信(NFC)和蓝牙协议已在系统级别被禁用,以防止任何中继攻击、远程扫描、追踪或未经授权的配对尝试。
- 数据主权:ArpokratOS 通过在内核级别禁用物理和定位攻击向量,实现了默认隐私保护。这项技术措施确保了“设计阶段的数据保护”(GDPR第25条/LPD第7条)原则的遵守,从而在物理上防止任何未经授权的数据收集,并保护设备免受数据提取。
3. 您唯一提供的信息(开票)
您无需提供任何个人信息即可使用我们的即时通讯应用程序。您的身份仅通过设备上本地生成的加密密钥来识别。
购买许可证(ArpokratOS):如果您选择购买我们操作系统的许可证,我们只会要求您提供姓名、电子邮件地址和居住国。收集这些信息完全是为了严格遵守瑞士现行的税务法规并开具相应的发票。
- 存储与隔离:这些开票数据以加密方式存储在位于瑞士的管理服务器上,这些服务器与通信基础设施(该基础设施为“Zero-Log”)完全隔离和断开。
- 保留:根据瑞士债务法,这些会计数据将被保留10年,然后被安全销毁。这些数据绝不会与您的加密活动或通信进行交叉比对。
4. 用户内容处理(通信)
我们为所有服务提供非对称端到端加密(E2EE)。您的通话、消息、群组元数据以及多媒体文件(图像、音频、视频、文档)都在源头进行加密。
- 内存路由(RAM-Only):您的消息仅存储在您的设备上,而不在我们的服务器上。为确保从发件人到收件人的传输,我们的中继服务器仅在内存(RAM)中运行。任何通信数据都不会被写入物理硬盘。一旦消息成功送达目标设备,加密数据包将立即从我们服务器的内存中删除。
- 待处理消息:如果收件人离线,导致消息无法立即送达,我们会将加密数据包在我们的中转服务器上保留最多30天,以尝试重新投递。超过此期限后,如果消息仍未送达,它将被永久清除。由于消息是加密的,我们绝对无法读取这些待处理消息的内容。
- 多媒体文件:当用户发送大文件时,我们会将这些加密数据包临时存储最多30天,以优化其分发(例如,在群组中传输)。我们无法查看这些文件,也无法提取其元数据(EXIF)。
- 群组:您可以创建群组、为其命名并添加描述或照片。所有这些信息也是端到端加密的。我们不收集任何有关成员列表、群组大小或其创建/更新日期的信息。
5. 我们不收集的信息
为消除任何疑虑,以下是我们技术架构明确禁止收集、分析或存储的信息:
- 使用信息:我们不知道您使用我们服务的频率、时间或与谁通信。
- 性能与故障排除信息:我们不收集任何诊断信息、错误日志(crash log)或性能数据。
- RAM-Only基础设施与无日志(Zero-Log):我们的通信中继(AMP、TURN、xFTP)完全在内存(RAM)中运行。没有任何元数据或连接日志(logs)被持久地存储在我们的硬盘上。根据数据最小化原则(GDPR第5条),加密数据包在成功传输后立即被销毁。
- 设备与连接信息:我们不收集您的IP地址、设备型号、电池电量、信号强度或路由器标识符。
- 定位:我们不收集任何地理定位数据(GPS、蓝牙或Wi-Fi接入点)。
- Cookie、追踪器和分析工具:我们的展示网站(arpokrat.com)、应用程序和服务绝对不使用任何追踪器、cookie或间谍像素。我们拒绝使用第三方分析工具(如谷歌分析)。您在我们网站上的浏览行为对第三方完全不可见且无法验证。
6. 主权基础设施、反GAFAM与Tor网络
与传统即时通讯工具不同,我们不使用任何短信验证提供商,也不使用任何内容分析或自动审核服务。
- 专属网络:我们应用程序的加密数据仅通过位于我们严格挑选的、尊重隐私的司法管辖区内的服务器传输:瑞士、马来西亚、巴拿马、南非和冰岛。
- 绝对独立(反GAFAM):您的加密数据不会在其他任何地方传输。它们绝不会经过网络巨头(Big Tech)或任何受美国管辖的第三方公司的基础设施。
- Tor网络可访问性(.onion):为确保您从首次访问起就享有完全匿名性,我们的网站作为隐藏服务(.onion)可通过Tor网络本地访问。
- 硬件安全限制:我们操作系统的安装工具(Web Installer)有意未在Tor网络上提供。由于Tor网络难以处理非常大的文件下载(大型系统镜像),使用它会带来传输过程中数据包损坏的重大风险。损坏的数据可能在刷机时永久性地“变砖”您的手机,因此出于严格的硬件安全考虑,我们禁用了此选项。
- 支付:加密货币支付通过我们自托管的基础设施(BTCPay Server)进行管理,没有任何金融中介能够将交易与数字身份关联起来。
7. 法律依据与对新瑞士法律的合规性(nLPD / GDPR)
虽然我们不收集与您通信相关的任何个人数据,但欧洲法规(GDPR)和瑞士法律要求我们明确说明处理我们唯一拥有的数据的法律依据:即您在购买ArpokratOS时提供的姓名、电子邮件地址和居住国。
- 新数据保护法(nLPD 2023):我们的政策严格遵守于2023年9月1日在瑞士生效的新联邦数据保护法(nLPD)。根据其第6条(比例原则),该条规定数据的收集和处理必须限制在绝对必要和合理的范围内,我们的技术架构实行绝对的数据最小化。
- 合同履行与法律义务:我们处理上述管理信息,仅因为这是履行销售合同以及遵守瑞士强制性税务和会计义务所必需的。
- 不分析通信内容:关于元数据保留(通话时长、电话号码)的欧洲指令2002/58/EC(电子隐私)不适用于我们的基础设施,因为我们既不拥有也不生成任何此类元数据。
- 您的权利:根据nLPD和GDPR,关于您的开票数据(如果您曾购买过产品),您有权请求访问或更正这些数据。然而,这些会计数据的删除只能在瑞士债务法规定的法定保留期(10年)结束后进行。
- 自主行使删除权:用户通过“销毁码”对其数据拥有主权控制。激活此工具即构成对删除权(GDPR第17条)的即时技术行使,使数据在数学上无法恢复。此外,每4小时自动重启可确保定期从RAM中清除加密密钥。
8. 联系我们
由于我们没有用户帐户或任何将您与我们应用程序关联的分析系统,任何与隐私相关的请求都必须以书面形式发送至我们公司的总部,或通过我们网站上指定的官方加密通信渠道提出。
Arpokrat GmbH
c/o Wadsack AG, Bahnhofstrasse 7, CH-6302, Zug, Switzerland.
9. 管辖语言(优先性)
本隐私政策可能为方便用户而被翻译成多种语言。如果法语版本与本政策的任何其他翻译版本之间存在任何争议、分歧或解释冲突,法语版本将优先适用并具有法律效力。
