个人信息收集清单

适用版本：Filmer for Android

更新日期：2026年4月7日

根据《个人信息保护法》及相关要求，本清单列出 Filmer Android 版收集的个人信息类型、方式、目的及存储位置，与当前应用实现保持一致并随版本更新。

一、账号与身份信息

本节适用于您使用 Filmer 账户登录、订阅 PRO、云同步等场景。官方冲扫可在未登录下完成，订单收货联系方式见第五节。

信息类型	具体内容	收集方式	使用目的	上传服务器	存储方式
手机号码	用户登录/注册时填写的手机号	用户主动输入	账号注册、登录验证、账号找回	是	服务器加密存储
短信验证码	登录/绑定时收到的 6 位验证码	短信接收后用户输入	身份验证，验证成功后立即失效	是（仅验证时传输）	不持久化存储

信息类型	具体内容	收集方式	使用目的	上传服务器	存储方式
设备唯一标识	由 Android ID 派生的应用级 UUID（不可直接还原为 Android ID）	首次启动自动生成	多设备订阅管理（限制设备数）、账号安全	是	设备 AES-256-GCM 加密存储 + 服务器
设备型号	手机品牌与型号（如 Xiaomi 14）	系统 API 自动读取（Build.MODEL）	兼容性优化、崩溃诊断	是	服务器
操作系统版本	Android 版本号（如 Android 14）	系统 API 自动读取（Build.VERSION.RELEASE）	兼容性优化、崩溃诊断	是	服务器
应用版本号	Filmer 当前版本（如 1.2.0）	系统 API 自动读取（PackageInfo.versionName）	版本管理、功能差异处理	是	服务器

说明：以上设备信息仅在登录后同步（UserAuthManager.syncAndroidUserProfileWithServer），用于账号与设备绑定管理，不用于广告追踪。

信息类型	具体内容	收集方式	使用目的	上传服务器	存储方式
精确位置坐标	GPS / 网络定位经纬度	用户授权后由百度定位 SDK 采集	写入照片 EXIF 拍摄地点字段	否	照片 EXIF / 本地数据库
地址信息	省市区、详细地址、POI 名称	百度定位 SDK 逆地理编码	胶卷足迹展示、地点筛选	是（开启云同步时随胶卷数据同步）	本地数据库；云同步时上传服务器

说明：位置信息仅在用户授权后采集，可在系统设置中随时撤回。

信息类型	具体内容	收集方式	使用目的	上传服务器	存储方式
照片文件	用户从相册选择的原始照片	用户主动选择	读取并修改 EXIF 参数（胶卷型号、拍摄时间、位置等）	否（原图仅在本地处理）	设备本地
照片元数据（EXIF）	拍摄时间、相机信息、地点、光圈快门等	读取照片 EXIF	显示和编辑拍摄参数	是（仅参数记录随云同步上传，原图不上传）	本地数据库；云同步时上传服务器

信息类型	具体内容	收集方式	使用目的	上传服务器	存储方式
收件人姓名	冲扫订单收货人姓名	用户主动填写	冲扫订单配送	是	服务器
收件手机号	冲扫订单收货人手机号	用户主动填写	冲扫订单配送通知	是	服务器
收货地址	省市区 + 详细地址	用户主动填写	冲扫订单配送	是	服务器
支付结果状态	支付成功/失败状态码（不含银行卡号、支付密码）	支付宝 SDK 回调	解锁 PRO 权益 / 确认冲扫订单支付	是（由支付宝服务端异步通知 Filmer 服务器）	服务器

说明：Filmer 不存储银行卡号、支付宝账号密码等核心支付凭据，支付由支付宝完成。

信息类型	具体内容	收集方式	使用目的	上传服务器	存储方式
网络连接状态	是否联网、Wi-Fi / 蜂窝网络类型	系统 API 自动读取	网络请求前置判断、百度定位辅助	否	不持久化
百度网盘 OAuth Token	Access Token / Refresh Token	百度 OAuth 授权回调	访问用户授权范围内的网盘照片文件	否（仅存设备，不经 Filmer 服务器）	设备 AES-256-GCM 加密存储

信息类型	具体内容	收集方式	使用目的	上传服务器	存储方式
崩溃日志	应用崩溃时的异常堆栈	自动捕获，写入本地文件	辅助用户反馈问题时定向修复	是（仅在用户主动点击「上传日志」时上传）	设备本地；上传后存服务器

Filmer 明确不收集以下信息：

如对本清单有疑问，请联系：filmerapp@163.com