01前言
Elven Studio(精靈工作室,以下簡稱「我們」)非常重視您的個人資料保護。本隱私權政策依《個人資料保護法》及相關法令之規定,說明我們如何蒐集、處理、利用您於使用 HypeLogic (下稱「本服務」)時所提供之個人資料。
請於使用本服務前詳閱本政策。當您完成註冊或開始使用,即視為已詳閱、瞭解並同意本政策內容。
本政策適用對象為本服務之使用者。若您透過本服務發送 EDM 或社群貼文給他人, 相關收件人之個資由您依適用法令自行處理,您應自行承擔當資料控制者之義務。
02資料控制者資訊
| 資料控制者 | Elven Studio(精靈工作室) |
|---|
| 統一編號 | [統編待補] |
|---|
| 登記地址 | [公司地址待補],台灣 |
|---|
| 聯絡信箱 | [email protected]
(個資保護事項與一般客服皆透過此信箱) |
|---|
03蒐集的個資類別
我們蒐集的資料分為下列六大類,分別敘述蒐集來源與用途:
3.1 帳號識別資料
- 電子郵件(必要)
- 姓名 / 顯示名稱
- 密碼(以單向雜湊 bcrypt 儲存,我們無法還原)
- 大頭貼 URL(若以 Google 帳號登入)
3.2 付費與帳務資料
- 方案、訂閱狀態、訂閱起訖日
- 付款紀錄、發票資訊
- 信用卡資訊由綠界科技 ECPay 處理與儲存,我們不保留完整卡號,僅保留末四碼供識別
3.3 服務使用資料
- 您下達的指令文字(Prompt)
- AI 為您產出之內容(文案、圖片、報告)
- 批准 / 拒絕的操作紀錄
- Token / Credits 用量、模型費用
- 偏好設定、品牌記憶、自訂 Cron 排程
- 素材庫上傳之圖片、文件
3.4 第三方連結資料
當您主動連結外部服務時:
- Meta(FB / IG / Threads):Page ID、Access Token、權限範圍
- Google(Gmail / Calendar / Drive):OAuth Token 與授權範圍
- 所有 Token 以 AES-256 加密儲存
3.5 技術資料(自動蒐集)
- IP 位址、瀏覽器類型、作業系統
- 登入時間、上次活動時間
- 會話 Cookie(必要功能)
- 錯誤日誌(包含技術除錯資訊,不包含您的指令內文)
3.6 通訊紀錄
- 您寄送之客服信件內容
- 系統自動寄發之通知 Email 紀錄
04蒐集目的與法律依據
依個資法施行細則第 9 條所定之特定目的代號,我們蒐集個資之目的包括:
| 特定目的 | 對應代號 | 用於本服務 |
|---|
| 消費者、客戶管理與服務 | 090 | 提供 AI 行銷服務、客服回應 |
| 廣告或商業行為管理 | 040 | 產品改善通知、行銷活動(您可隨時退訂) |
| 資(通)訊與資料庫管理 | 136 | 系統運作、效能監控 |
| 網路購物及其他電子商務服務 | 148 | 訂閱、付費、自動續訂 |
| 個人資料之合法交易業務 | 063 | 金流、發票開立 |
蒐集個資之法律依據為個資法第 19 條第 1 項第 2 款(與當事人有契約關係)及第 5 款(經當事人同意)。
05個資利用方式
5.1 利用期間
於蒐集目的存續期間內利用,含您帳號存續期間 + 取消後 6 個月(資料保留期)。
5.2 利用地區
資料主要儲存於 台灣(PostgreSQL 主資料庫)與 美國(DigitalOcean 雲端機房,紐約)。LLM 處理會傳送至美國(詳見第 7 條)。
5.3 利用對象
- 本服務員工(限業務必要範圍)
- 第 6 條所列第三方處理者
- 法律強制要求時之政府機關(如法院、檢調、稅務機關)
5.4 利用方式
- 自動化處理(執行您的指令、產出內容、計算用量)
- 資料分析(彙整匿名統計用於改善服務,不含個別識別)
- 客服處理(限於回應您的詢問範圍)
06第三方處理與分享
我們絕不販售您的個人資料,亦不會用於訓練 AI 模型。 僅在下列必要情況下將特定資料傳輸給第三方:
| 第三方 | 用途 | 資料範圍 | 所在地 |
|---|
| Google LLC(Gemini API) | LLM 推理(執行您的指令) | 指令文字、會議過程訊息 | 美國 |
| Anthropic PBC(Claude API) | LLM 推理(部分模型) | 同上 | 美國 |
| DigitalOcean Inc. | 雲端主機、資料庫託管 | 所有服務資料 | 美國(紐約) |
| 綠界科技 ECPay | 金流、信用卡處理、發票 | 付款資訊、姓名、Email | 台灣 |
| fforum.club | 圖片 CDN(AI 產出之圖片) | 圖片檔案 | 台灣 |
| Meta Platforms Inc. | 連結 FB / IG 後之發文與數據 | Page ID、貼文內容 | 美國(亦會同步至全球) |
我們已與上述第三方簽訂或檢視其資料處理協議(DPA),確保符合 GDPR、CCPA 或同等規範。 相關業者亦受其當地法律約束。
07跨境傳輸聲明
由於本服務之 AI 推理仰賴美國業者(Google、Anthropic)提供之 API,且雲端主機位於美國紐約, 您的指令文字、會議訊息、帳號識別資料等將跨境傳輸至美國處理。
依個資法第 21 條,當您使用本服務時,即明示同意此跨境傳輸。 若您不同意,請勿使用本服務。
上述美國業者均已對其客戶資料採取適當保護措施(如標準合約條款、加密傳輸), 但其法律保護程度可能與台灣不同。如您對此有疑慮,請聯繫我們。
08保留期限
| 資料類別 | 保留期限 |
|---|
| 帳號基本資料 | 帳號存續期間 + 取消後 6 個月 |
| 付款紀錄、發票 | 依稅捐稽徵法保留 5 年 |
| 指令、產出、會議記錄 | 帳號存續期間 + 取消後 6 個月 |
| 第三方 OAuth Token | 連結期間;中斷連結後立即刪除 |
| 系統錯誤日誌 | 30 天(自動覆寫) |
| 客服通訊紀錄 | 結案後 1 年 |
逾保留期限之資料將以安全方式刪除或匿名化處理。
09安全維護措施
我們採取下列技術與管理措施保護您的個人資料:
9.1 技術措施
- 傳輸加密:所有連線採 HTTPS(TLS 1.2+)
- 密碼儲存:bcrypt 單向雜湊,無法逆推還原
- API Key 加密:第三方 OAuth Token 以 AES-256 加密儲存於資料庫
- 資料庫存取控管:僅授權人員可連線,採最小權限原則
- 每日自動備份:保留 30 天,異地儲存
- 多租戶隔離:所有查詢以 userId 強制隔離,防止跨用戶資料外洩
- 稽核日誌:管理操作留存可追溯紀錄
9.2 管理措施
- 員工簽訂保密協議
- 定期安全檢查與漏洞掃描
- 事故通報程序:發生個資外洩,將於 72 小時內通知受影響使用者及主管機關
10您的權利(個資法第 3 條)
依個資法,您對自己的個人資料享有下列權利:
- 查詢或請求閱覽:得知我們蒐集您哪些資料
- 請求製給複本:取得自己資料之複本(匯出 JSON/CSV)
- 請求補充或更正:修正錯誤或不完整之資料
- 請求停止蒐集、處理或利用
- 請求刪除:要求永久刪除您的個資
10.1 行使方式
請寄信至 [email protected], 並於信中註明:
- 您的姓名、註冊 Email
- 欲行使之權利項目
- 具體要求內容(查詢哪部分資料、要更正什麼、要刪除什麼)
我們會於收到請求後 30 日內回覆處理結果。如需收取必要成本費用(如複本工本費), 將事先告知。
10.2 拒絕提供之影響
下列資料若您拒絕提供,我們將無法為您提供完整服務:
- Email — 無法註冊與接收通知
- 付款資訊 — 無法訂閱付費方案
- 第三方 OAuth Token — 對應之外部整合(發文、廣告操作)將無法運作
11Cookie 與追蹤技術
11.1 我們使用的 Cookie
- 必要 Cookie(無法關閉):登入 Session(NextAuth.js)— 用於識別您已登入
- 偏好 Cookie:介面語言、Wizard 展開狀態、最近用過的類別(localStorage)
11.2 我們不使用的
本服務不使用第三方廣告 Cookie(如 Google Ads、Facebook Pixel), 也不追蹤您於其他網站之行為。
11.3 如何拒絕 Cookie
您可於瀏覽器設定中拒絕 Cookie。但拒絕必要 Cookie 將導致無法登入,本服務將無法為您運作。
12未成年使用者
本服務不主動向未滿 18 歲之未成年人提供服務。若您未滿 18 歲,請取得法定代理人同意後始可使用。
若我們發現未成年人之個人資料未經法定代理人同意而被蒐集,將立即刪除相關資料。 法定代理人若發現此情形,請聯繫我們處理。
13政策修訂
本政策得隨業務或法令變化修訂。修訂後我們將:
- 更新本頁面之「最後更新日期」
- 對重大變更(如新增資料蒐集類別、新增第三方分享)以 Email 通知您
- 於本服務站內公告 30 日
若您不同意修訂後內容,請停止使用本服務並可請求刪除您的資料。