Familiar 的隐私与信任，用大白话讲清

Familiar 围绕一个承诺设计：关于您家的任何事，都不会离开家圈。 不投广告、不卖数据、不用您亲人的声音去训练别人的模型。下面这些做法是怎么把承诺落地成具体的工程动作，而不是营销话术。

• 声音、照片、通话记录、日记：静态 AES-256 加密。每位接听者的语音模型（一个 `.mv2` 文件）存于 Google Cloud Storage；声音克隆与完整对话记录存于 Supabase Postgres，同样静态加密。
• 我们发给长辈手机的多媒体（每日通话摘要里随附的照片）：通过 Cloudflare R2 暂存，使用一次性签名 URL，送达后即失效，复制链接也无法再访问。
• 所有传输：您的手机、我们的服务器、Twilio、运营商之间一律使用 TLS 1.3。
• 不接入读取内容的第三方分析：只统计聚合的访问数据。无会话回放、无消息内容日志。

只有您邀请进入家圈的人。 每位接听者最多 10 位家人或指定照护者。每个家圈以接听者为单位；如果您为父母双方都开了通话，姐姐可以看到一方的家圈而看不到另一方。

Familiar 员工默认无法读取通话记录或收听音频。 当某次客服问题确实需要查看时（例如代理人输出有误需要排查 prompt），我们会就具体事件向您书面征询，逐次签字，而非一次性签于注册时。

我们绝不出售、出借或租用您的数据。不卖给广告商、营销伙伴、保险公司、数据中介，也不卖给其他产品团队。

声音克隆是 Familiar 做的最隐私敏感的事，我们的规则简单且无例外。

每道亲熟之声都来自本人在注册流程里自录的那段语音。本人在「我同意」屏上能看到：这段声音将用于什么（向某位指定接听者打每日通话）、谁能听到（您命名的那个家圈）、如何删除。

未经逐段授权，我们不会从旧录音克隆。语音留言、家庭录像、有声书：一概不行。如果声音捐赠者已经离世，他的声音不会在 Familiar 里被创建。

亲熟之声不是真正的克隆。 它用您的声音、讲您的故事，但也能说出您从未说过的句子；这正是它能用于亲人之声的每日通话的原因。我们在录音页和首次通话前都明确披露这一点，您不会被自己的克隆突然吓到。

设置 → 删除账户。您的声音克隆、旁白、日记、照片、通话记录、家圈成员身份将在 30 天内全部清除。操作立即生效且不可撤销。

您设置的接听者（以及他们上传的照片）仍可被该家圈的其他成员访问，因为那些记忆属于那个家，不只属于您一个人。您自己的数据随您一起离开。

Familiar 不做诊断、不治疗、不替代专业医疗。仪表盘上呈现的认知指标（词汇多样性、重复率、姓名回忆、时间定向、情绪）是供医生参考的早期信号：是 15 分钟年度看诊无法产生的信号，但并不代替医生。

V1 阶段我们不是 HIPAA 受规实体（我们不向保险报销、不直接嵌入医疗机构内部），但整个系统按 HIPAA 思路设计：静态与传输加密、最小权限内部访问、员工访问需逐次书面同意、上述删除机制全部到位。

• 卖或分享您的数据给广告商、营销伙伴、保险公司、数据中介。
• 用您或您家人的声音去训练给别的家庭用的模型。
• 未经您逐次书面同意，让内部员工读您的通话记录。
• 用您的数据来核保、评分、定价或推荐任何其他产品或服务。
• 用一次悄悄改 ToS 的方式更改隐私实践；如果规则要变，我们会以正式通知告诉您。