HALO 如何保护孩子的安全
HALO 承载着孩子。这一个事实,驱动着我们做出的每一项产品决策。本页描述的是各项防护机制 — 不是营销文案,而是你的社区可以据以问责我们的清单。
仅限社区内部的拼车 — 而非陌生人
HALO 的司机是你社区内部的人:家长、邻居,以及你的学校、俱乐部、信仰团体或营地里经过审核的志愿者。没有公开的司机注册 — 在 HALO 上开车的唯一途径,是通过你早已归属的社区。你与早已认识其姓名的人同行。
司机由你的社区管理员审核
每位司机在申请时都会上传有效的驾照和保险证明。你的社区管理员(社区内部的人 — 而非 HALO 员工)审核这些文件和车辆信息,并决定是否批准。验证徽章仅在批准后出现,且管理员可随时撤销。
面向儿童的可核验家长同意
没有真实的同意记录,孩子就无法使用 HALO。这是一次电子邮件双重确认 — 而非点击勾选的复选框。家长提交孩子的信息,HALO 发送一封含一次性确认链接的邮件,只有当家长点击该链接时,孩子的个人资料才会激活。该记录(政策版本、时间戳、方式,以及同意时年龄类别的快照)会被保留且可导出。家长可随时撤销。完整的数据流程请阅读隐私政策。
每段进行中的行程都有 SOS 按钮
家长、司机和管理员都可以在行程进行中触发 SOS。警报会连同实时行程背景 — 乘客、路线、位置 — 一并发送给社区管理员和孩子关联的家长账户。事件沿着清晰的状态机推进(已确认 → 响应中 → 已解决),且每一次状态变更都需要一条书面备注,因此每起事件都有其如何结束的记录。
容量与加入都经过服务器
行程容量、加入和爽约记录都通过 Cloud Functions 处理,而非客户端应用。这消除了一类攻击 — 精心构造的客户端本可超额预订行程,或在容量耗尽后仍然加入。司机位置在行程进行中共享,并在行程结束的那一刻清除 — 不留历史追踪轨迹。
通知授权
通知的深度链接在服务器端受到把关:接收者必须是该链接所指文档所属社区的活跃成员。泄露的推送通知无法被用来进入用户不归属的社区。
真正删除的删除
账户删除是一次服务器端的级联操作:行程请求、孩子的个人资料、邀请码、用户写下的评价、成员文档、存储中的个人资料和司机文档,以及认证用户,都会在一次操作中全部移除,并以一条最终的审计日志记录该操作。司机和家长在已完成行程上的足迹会被匿名化而非删除,以便其他乘客的行程历史保持完整。