Privacy-first is a product principle, not a label.

Many apps say they care about privacy. A privacy-first photo app should prove it in the workflow: what happens locally, what gets uploaded, what stays optional, and what the user can control.

This matters even more for travel. A single trip can include home departure time, airport routes, hotel locations, children's photos, receipts, passports, private notes, and photos of people who never agreed to broad sharing.

1. Organize locally whenever possible.

Basic photo organization should not require sending an entire library to a server. Dates, local asset identifiers, and location metadata can often be used on device to build an initial trip structure.

Local-first design reduces unnecessary exposure and gives users a more intuitive boundary: the app can help organize memories without owning the originals.

2. Make cloud boundaries explicit.

Some features genuinely need cloud infrastructure: account sync, collaboration, shared trips, purchase state, and cross-device recovery. The important part is clarity. Users should understand when content leaves the device and why.

• Core organization can be local.
• Shared trips should explain what selected content uploads.
• Account sync should use only the metadata needed for the feature.

3. Use minimal metadata.

Metadata can be useful, but it should be scoped. A travel app may need city, date range, photo count, trip title, or companion list. It does not always need exact coordinates, full original files, or unrelated library information.

The smaller the synced data surface, the easier it is for users to trust the product.

4. Put sharing under user control.

Sharing should be an intentional action, not a side effect of using the app. A privacy-first design should make it clear who can see a shared trip, which photos are included, and how to stop sharing later.

Good sharing controls also support social comfort. People want to contribute to a shared memory, but they do not want to accidentally expose everything around it.

5. Design for deletion and correction.

People make mistakes. They add the wrong photo, invite the wrong person, or change their mind. Privacy-first products should make deletion, removal, and correction easy to find.

Wimemo's privacy stance.

Wimemo is built around local organization and selected sharing. Your library is organized on device by default. Shared trips upload only the content you choose, and sync is designed around necessary trip metadata rather than full-library scanning.

For a travel memory product, privacy is not a separate feature. It is the condition that lets people trust the product with real memories.

隐私优先不是一句口号，而是产品原则。

很多应用都会说自己重视隐私。真正隐私优先的照片应用，应该在使用流程里证明这一点：哪些发生在本地，哪些会上传，哪些是可选的，用户能控制什么。

旅行照片尤其敏感。一趟旅行里可能包含出发时间、机场路线、酒店位置、孩子照片、票据、证件、私人笔记，以及没有同意被广泛共享的同行者。

1. 能本地整理，就尽量本地整理。

基础照片整理不应该必须把整本相册发送到服务器。拍摄日期、本地资源标识符和位置信息，很多时候都可以在设备本地帮助生成初步旅程结构。

本地优先能减少不必要暴露，也给用户一个更直观的边界：应用可以帮你整理回忆，但不必拥有原始照片。

2. 清楚说明云端边界。

有些功能确实需要云端能力，比如账号同步、共创旅程、购买状态和跨设备恢复。关键是要清楚：什么时候内容会离开设备，为什么需要离开。

• 基础整理可以尽量本地完成。
• 共创旅记应该说明哪些被选中的内容会上传。
• 账号同步只应使用功能必要的元数据。

3. 元数据越少越好。

元数据很有用，但范围应该克制。旅行应用可能需要城市、日期范围、照片数量、旅程标题和同行成员，但不一定需要精确坐标、完整原图或无关的相册信息。

同步的数据面越小，用户越容易信任产品。

4. 分享必须由用户主动控制。

共享应该是一个明确动作，而不是使用应用时顺手发生的副作用。隐私优先的设计，应该让用户清楚谁能看到共享旅程、包含哪些照片，以及之后如何停止共享。

好的共享控制也能让社交场景更舒服。大家愿意补全同一段回忆，但不希望把旁边所有私人内容都暴露出去。

5. 删除和修正要容易。

人都会犯错：加错照片、邀请错人，或者之后改变主意。隐私优先产品应该让删除、移除和修正变得容易找到。

Wimemo 的隐私立场。

Wimemo 围绕本地整理和选择后分享来设计。你的照片库默认在设备本地整理。共创旅记只上传你选择的内容，同步也尽量围绕必要旅行元数据，而不是整本相册扫描。

对旅行回忆产品来说，隐私不是额外功能，而是用户愿意把真实回忆交给产品的前提。

プライバシー優先はラベルではなく、設計原則です。

多くのアプリはプライバシーを大切にすると言います。本当にプライバシー優先なら、何が端末上で行われ、何がアップロードされ、何をユーザーが制御できるのかがワークフローの中で明確です。

旅行写真には、自宅を出た時間、空港ルート、ホテル、子どもの写真、領収書、パスポート、私的なメモが含まれることがあります。

1. 可能な限りローカルで整理する。

基本的な写真整理のために、ライブラリ全体をサーバーへ送る必要はありません。日付、場所、端末内の写真情報だけでも旅の構造を作れる場合があります。

2. クラウドの境界を明確にする。

アカウント同期、共同の旅、購入状態、復元にはクラウドが必要なこともあります。大切なのは、いつ、なぜ、どの内容が端末を離れるのかを説明することです。

• 基本整理はローカルで行う。
• 共同の旅では、選んだ内容だけがアップロードされることを明示する。
• 同期には必要なメタデータだけを使う。

3. メタデータは最小限にする。

都市、日付範囲、写真数、旅のタイトル、同行者は便利です。一方で、正確な座標や無関係なライブラリ情報が常に必要とは限りません。

4. 共有はユーザーの操作にする。

共有は明確な行動であるべきです。誰が見られるのか、どの写真が含まれるのか、後からどう止められるのかがわかる必要があります。

5. 削除と修正を簡単にする。

間違った写真を追加したり、招待相手を間違えたり、気が変わったりすることはあります。削除、取り消し、修正が見つけやすいことは信頼につながります。

Wimemoのプライバシー姿勢。

Wimemoはローカル整理と選択共有を中心に設計されています。写真ライブラリは初期設定で端末上で整理され、共同の旅では選んだ内容だけを共有します。

개인정보 우선은 문구가 아니라 제품 원칙입니다.

많은 앱이 개인정보를 중요하게 생각한다고 말합니다. 진짜 개인정보 우선 앱이라면 무엇이 기기에서 처리되고, 무엇이 업로드되며, 사용자가 무엇을 제어할 수 있는지가 흐름 안에서 분명해야 합니다.

여행 사진에는 집을 나선 시간, 공항 경로, 호텔 위치, 아이 사진, 영수증, 여권, 개인 메모가 포함될 수 있습니다.

1. 가능하면 로컬에서 정리하세요.

기본 사진 정리를 위해 전체 보관함을 서버로 보낼 필요는 없습니다. 날짜, 위치, 기기 안의 사진 정보만으로도 여행 구조를 만들 수 있는 경우가 많습니다.

2. 클라우드 경계를 명확히 하세요.

계정 동기화, 함께한 여행, 구매 상태, 복원에는 클라우드가 필요할 수 있습니다. 중요한 것은 언제, 왜, 어떤 내용이 기기를 떠나는지 설명하는 것입니다.

• 기본 정리는 로컬에서 처리할 수 있습니다.
• 공유 여행은 선택한 콘텐츠만 업로드된다는 점을 알려야 합니다.
• 동기화에는 필요한 메타데이터만 사용해야 합니다.

3. 메타데이터는 최소화하세요.

도시, 날짜 범위, 사진 수, 여행 제목, 동행자 목록은 유용합니다. 하지만 정확한 좌표나 관련 없는 보관함 정보가 항상 필요한 것은 아닙니다.

4. 공유는 사용자가 직접 선택해야 합니다.

공유는 앱 사용의 부작용이 아니라 명확한 행동이어야 합니다. 누가 볼 수 있고, 어떤 사진이 포함되며, 나중에 어떻게 멈출 수 있는지 보여야 합니다.

5. 삭제와 수정이 쉬워야 합니다.

잘못된 사진을 추가하거나, 잘못 초대하거나, 마음이 바뀔 수 있습니다. 삭제, 제거, 수정이 쉽게 보여야 신뢰가 생깁니다.

Wimemo의 개인정보 원칙.

Wimemo는 로컬 정리와 선택 공유를 중심으로 설계되었습니다. 사진 보관함은 기본적으로 기기에서 정리되고, 공유 여행에는 선택한 콘텐츠만 추가됩니다.