LensSeek Legal Draft

法律草案

隐私政策:说明本地处理、本地存储、模型下载、本地删除方式,以及当前版本尚未自动清理的留存风险。

以下页面为 2026年3月24日 草案,正式商用前需法律复核。

返回官网 全部文档

镜寻 / LensSeek 隐私政策(草案)

草案日期:2026年3月24日

文档状态:本文档为产品与开发草案,供内部整理、官网预留与后续法律打磨使用。正式商用、正式上线或正式对外签约前,必须由合格律师结合经营主体、销售模式、适用法域和实际运营流程完成复核。本文不构成法律意见。

1. 适用范围

本政策适用于 镜寻 / LensSeek 当前仓库对应的 Windows 本地图片智能检索产品、桌面启动器、本地 Web 界面以及与本地索引、语义检索、人脸检索有关的处理流程。

当前仓库尚未确定最终经营主体、联系邮箱、注册地址、适用法律与争议解决地。正式对外发布前,上述信息必须补充完整。

2. 当前版本的关键事实

  • 根据当前代码实现,镜寻默认在用户自己的 Windows 设备上完成图片扫描、元数据提取、语义向量生成、人脸向量生成与检索。
  • 根据当前代码实现,镜寻默认通过本机 127.0.0.1 启动本地服务,并在浏览器中打开本地界面。
  • 当前仓库中,没有发现把用户图片、语义向量或人脸向量默认上传到镜寻开发者服务器的流程。
  • 首次启用语义检索或人脸检索时,程序可能联网下载第三方模型、依赖或缓存文件。
  • 当前仓库会在本地数据目录中保存数据库、设置、模型缓存、日志,以及用户上传的参考人脸图片。

3. 我们处理哪些信息

在本草案中,“我们”指镜寻未来正式确定的产品提供方。当前仓库阶段,以下信息主要在用户本地设备内处理和保存:

  • 图片基础信息:文件路径、文件名、扩展名、文件大小、创建时间、修改时间。
  • 图片元数据:宽高、EXIF 拍摄时间、设备品牌与型号、GPS 位置信息(如果原始图片中存在)。
  • 索引数据:图片语义向量、人脸向量、人脸框坐标、索引状态、已登记目录、最近索引结果。
  • 用户输入的数据:文字检索词、路径关键词、时间筛选条件、参考人脸图片路径,或者用户上传到本地服务的参考人脸图片。
  • 本地配置与日志:默认目录、上次运行状态、数据库路径、运行日志、模型缓存文件。

4. 这些信息如何被使用

我们处理上述信息的目的,仅限于当前产品能力所需的本地功能:

  • 建立图片索引并在本地数据库中保存索引结果。
  • 按文字、时间、路径、人脸条件执行本地检索。
  • 生成缩略图并在本地浏览器界面展示结果。
  • 记录已索引目录、最近状态和运行日志,便于继续使用与排错。
  • 在首次启用语义或人脸能力时下载所需模型与依赖缓存。

5. 本地存储位置与当前留存特点

根据当前代码实现:

  • 开发环境默认数据目录为仓库内的 data/
  • 打包后的 Windows 运行默认数据目录为 %LOCALAPPDATA%\\LensSeek
  • 数据库文件默认为 picsearch.db
  • 参考人脸上传文件会保存在本地 uploads 目录。
  • 模型缓存默认保存在本地 hf-cache 目录。
  • 启动器设置会保存在 settings.json
  • 启动器日志可能写入本地 server.log

需要特别说明的是,当前仓库没有看到针对以下情形的自动清理机制:

  • 用户上传作为参考图的人脸图片不会自动清空。
  • 已被删除或移走的源图片,其历史元数据、语义向量、人脸向量可能仍然保留在本地数据库中,直到用户手动清理数据库或重建数据目录。
  • 当前版本没有内置的“按个人”“按目录”“按时间周期”自动删除索引数据的功能。

6. 联网下载与第三方服务

根据当前代码实现推断,镜寻在首次使用语义模型或人脸模型时,可能通过第三方模型或依赖源下载文件,例如 Hugging Face 相关模型源。

这意味着:

  • 用户设备的 IP 地址、网络请求时间、下载请求头、设备网络环境等信息,可能被相关第三方服务在其侧记录。
  • 第三方服务的隐私政策、可用性、地域合规要求与我们不同,用户应当结合自身组织要求进行评估。
  • 如果用户处于离线、内网、涉密或严格合规场景,应在部署前确认模型缓存策略、镜像源策略和第三方下载合规性。

除上述模型与依赖下载场景外,当前仓库未发现把图片内容、语义向量或人脸向量默认回传给镜寻开发者服务器的逻辑。

7. 人脸信息与敏感信息提示

参考人脸图片、人脸向量、带有人脸的图片,以及原图中可能包含的 GPS 位置信息,在许多法域中都可能构成敏感个人信息、生物识别信息或受特别保护的信息。

因此:

  • 只有在用户对相关图片和其中所涉人员拥有合法权利、授权或其他充分法律依据时,才应使用镜寻的人脸检索功能。
  • 如果图片中涉及员工、客户、访客、未成年人或公共场所拍摄对象,用户应自行评估是否需要单独告知、单独同意、内部审批或额外的合规文件。
  • 镜寻当前仓库没有内置的人脸同意管理、敏感信息审批、分级授权或审计留痕流程。

8. 信息共享与对外提供

按照当前仓库可验证的实现:

  • 我们不会默认把用户图片上传到镜寻开发者服务器。
  • 我们不会默认把本地生成的语义向量或人脸向量上传到镜寻开发者服务器。
  • 用户如果自行把数据库、日志、上传目录、模型缓存或截图同步到网盘、企业盘、备份系统或其他第三方工具,该行为由用户自行控制并承担相应责任。
  • 如果用户通过命令行手动把本地服务绑定到非 127.0.0.1 地址,或主动暴露本地端口给局域网、远程桌面或代理服务,所产生的数据暴露风险由用户自行承担。

9. 用户如何管理和删除本地数据

当前版本主要依赖用户本地文件管理能力来实现删除与控制。用户可以通过以下方式降低留存风险:

  • 手动删除本地数据目录中的 picsearch.dbuploadshf-cachesettings.jsonserver.log 等文件。
  • 在共享设备上使用前,先确认操作系统账号、目录权限和磁盘加密状态。
  • 不需要 GPS 信息时,在导入前先对原图进行脱敏或移除 EXIF/GPS。
  • 不再需要某批参考人脸图片时,及时清理 uploads 目录。
  • 对高度敏感的目录,优先在隔离设备、专用账号或内网环境中运行。

当前仓库尚未提供单独的导出页面、删除页面、按主体删除页面或自动保留期限设置。

10. 变更与更新

如果未来版本增加以下任一能力,本政策必须同步重写并重新复核:

  • 云端账户、在线激活、在线遥测、错误上报、自动更新、远程授权校验。
  • 图片、向量或日志上传到镜寻服务器。
  • 团队协作、多用户权限、集中式后台。
  • 面向未成年人、教育、医疗、金融、公共管理等高敏感行业的专门版本。

11. 需法律复核项

  • 正式经营主体名称、联系邮箱、办公地址、客服电话和投诉路径。
  • 适用法域、争议解决条款和面向境内外用户的版本拆分。
  • 第三方模型与依赖下载涉及的第三方隐私告知与跨境说明。
  • 人脸向量、参考人脸图、GPS 信息是否应被单独列为敏感个人信息或生物识别信息。
  • 是否需要单独的人脸同意书、员工告知书、客户授权模板或组织内部审批模板。
  • 是否需要在正式版中加入内置删除能力、保留期限、索引清理与上传目录自动清空机制。