最小必要：只收集和处理提供梦境记录、分析、记忆检索、订阅管理所需的数据。

用户所有：梦境内容不是广告资产，也不是可转售数据。用户应该能够导出、删除和停止使用。

上下文尊重：梦境是含混、私密、象征性的材料。系统输出应保持探索性，而不是把解释包装成定论。

EmberSub 不做诊断，不声称判断疾病、人格或现实真相。分析应以“可能”“可以理解为”“值得观察”这样的语言呈现。

遇到自伤、他伤、危机或严重心理痛苦时，产品应鼓励用户寻求当地紧急服务或合资格专业帮助。

RAG 回答必须基于用户自己的梦境档案，不应编造不存在的梦、经历或证据。

每个用户只能访问自己的梦境、分析、embedding 和 RAG 事件。数据库层应通过 Row Level Security 或等效机制隔离。

服务端管理密钥只应在服务器环境使用，不进入浏览器。生产环境应定期检查环境变量和访问权限。

Billing 和 Webhook 路径需要签名验证、幂等更新和失败日志，避免错误升级或降级用户权限。

已完成：Stripe Checkout、webhook、Pro 权限、Lite 限制、RAG preview/full 边界测试。

待持续检查：移动端布局、错误页、加载状态、删除/导出入口、正式法律审阅、监控和备份策略。

任何影响隐私、订阅或 AI 输出边界的改动，都应有回归测试和人工审查。

安全、隐私、删除、导出或敏感内容处理问题，可以发送到 privacy@embersub.ai。

如果用户反馈某个分析让人不适、过度确定或像诊断，应优先修正文案和提示词。