第 01 節
簡介與適用範圍
本隱私權政策(以下簡稱「本政策」)由冠睿多媒體工作室(地址:414 臺中市烏日區湖日里新興路 648 之 1 號 2 樓;以下簡稱「本公司」、「我們」或「Xyroid」)依《個人資料保護法》(以下簡稱「個資法」)、《歐盟一般資料保護規則》(GDPR)及其他適用之國際隱私法規制定,適用於本公司提供之 Xyroid 品牌社群自動化後台服務(網址:https://xyroid.com,以下簡稱「本服務」)。
使用本服務即視為您已閱讀、瞭解並同意本政策之全部內容。若您不同意本政策任何部分,請立即停止使用本服務。
第 02 節
資料保護聯絡窗口
本公司未設置法定資料保護長(Data Protection Officer),但指派以下聯絡窗口處理一切隱私權相關事務:
第 03 節
名詞定義
- 個人資料
- 指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
- 蒐集
- 以任何方式取得個人資料。
- 處理
- 為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
- 利用
- 將蒐集之個人資料為處理以外之使用。
- 當事人
- 個人資料之本人,亦即您。
第 04 節
蒐集之個人資料項目與法律基礎
本公司於提供本服務之過程中,將蒐集下列個人資料:
(一)帳戶識別資料
(二)系統使用紀錄
(三)社群帳號授權資料
(四)內容創作資料
(五)社群通訊紀錄
(六)金流與計費資料
第 05 節
Meta 平台(Facebook、Instagram、Threads、Messenger)資料處理特別條款
本服務透過 Meta 官方 Graph API 與您授權之 FB 粉絲專頁、IG 商業帳號、Threads 帳號連結。針對 Meta 平台資料,本公司特別承諾:
- 授權範圍最小化:僅請求必要權限(pages_show_list、pages_read_engagement、pages_manage_posts、pages_manage_metadata、instagram_basic、instagram_content_publish、instagram_manage_comments、instagram_manage_messages、business_management、threads_basic、threads_content_publish、threads_manage_replies、threads_manage_insights)
- 禁止移轉:不會將透過 Meta API 取得之資料銷售、出租、出借或無償提供予任何第三方(不含您本人指定之收件對象)
- 禁止濫用:不會將 Meta 資料用於信用評分、保險、就業評估、廣告受眾建構(除您明確同意)
- 遵循 Meta 平台條款:本服務遵循 Meta Platform Terms 與 Developer Policies
- 資料刪除請求:您可至 /data-deletion 提交請求,本公司將於 30 日內完成 Meta 相關資料之刪除
- 解除授權:您隨時可至 Facebook 設定 → 應用程式與網站,移除「Xyroid」授權,授權解除後本公司將於 90 日內銷毀對應 Token 與相關資料
第 06 節
資料利用方式
本公司就所蒐集之個人資料,依下列目的予以利用:
- 提供、維持、改善本服務之核心功能
- 代您執行貼文排程、發佈、自動回覆、廣播訊息、報表生成等操作
- 透過 OpenAI、fal.ai 等 AI 服務提供商為您生成文案、圖片
- 寄送系統通知(Token 即將過期、排程提醒、付款通知、安全警示)
- 偵測異常使用模式、防止帳戶遭盜用或濫用
- 提供客戶服務支援
- 進行統計分析以改善服務品質(採匿名化或彙總方式)
- 依法令所定之保存與報告義務
本公司絕不將您的社群帳號 Token、客戶名單、對話紀錄出售或轉讓予第三方。
第 07 節
資料委外處理(資料處理者)
所有資料處理者均已與本公司簽訂資料處理協議(DPA)並遵循嚴格之資料保護義務:
Supabase, Inc.
資料庫、身分認證 · 美國
用戶帳戶資料、應用程式內容、權限管理
Vercel Inc.
網站代管、CDN · 美國
網頁伺服器、靜態資源
Cloudflare, Inc.
R2 物件儲存、DNS · 美國
上傳之圖片與影片檔案
OpenAI, L.L.C.
AI 文案生成 · 美國
您提供之文字提示與生成請求
fal.ai
AI 圖片生成 · 美國
圖片生成之文字提示與生成圖片
Resend
系統通知 Email · 美國
用戶 Email 與通知內容
Upstash, Inc.
Redis 快取與佇列 · 美國
Session 與排程任務
第 08 節
跨境資料傳輸
本服務之資料處理者多位於美國,您的個人資料於儲存與處理過程中將傳輸至美國。針對該等跨境傳輸:
- 對美國收件方:依據 GDPR 第 46 條第 2 項 (c) 款適用之歐盟標準合約條款(SCC)作為傳輸保障;對於 Vercel、Supabase 等已加入 EU-US Data Privacy Framework 者依 GDPR 第 45 條取得適足性決定保障
- 對台灣個資法:本公司遵循個資法第 21 條規定,事前審查接收國保護水準
- 您可隨時聯繫本公司取得有關跨境傳輸保障措施之詳細資料
第 09 節
資料保存期限
- 帳戶啟用期間:所有資料持續保留
- 帳戶停用後:保留 30 日供您重新啟用
- 逾 30 日:自動刪除個人識別資料;保留必要之匿名統計數據用於服務改善
- 稅務憑證、發票、合約:依稅捐稽徵法保存 7 年
- 稽核日誌與安全紀錄:保存 1 年以利安全事件追溯
- Meta 授權 Token:授權解除後 90 日內銷毀
第 10 節
資料安全措施
本公司採取下列技術與組織措施保障您的個人資料:
- 傳輸加密:全站強制 HTTPS(TLS 1.3)
- 儲存加密:密碼以 bcrypt 雜湊;OAuth Token 以 AES-256 加密儲存
- 存取控制:員工存取個人資料採最小權限原則,操作均留下稽核日誌
- 速率限制:API 端點均有 Rate Limit 防止暴力破解
- 登入保護:連續登入失敗 5 次自動鎖定帳戶 15 分鐘
- 備份機制:資料庫每日自動備份;備份保留 7 日
- 事故通報:發生個資外洩事件,將於知悉後 72 小時內依個資法與 GDPR 規定通知主管機關及您
第 11 節
您的權利
依個資法第 3 條與 GDPR 第 12 至 22 條,您就本公司持有之個人資料享有下列權利:
查詢權
請求查詢、閱覽您的個人資料
製給複本權
請求製給個人資料複本
更正權
請求補充或更正錯誤之個人資料
停止處理權
請求停止蒐集、處理或利用您的個人資料
刪除權
請求刪除您的個人資料(俗稱「被遺忘權」)
資料可攜權
請求以結構化、常用之機器可讀格式取得您的資料(GDPR)
反對權
對基於合法利益之資料處理活動表示反對(GDPR)
撤回同意權
對基於同意之資料處理活動撤回同意
申訴權
對本公司之資料處理活動向主管機關提出申訴
行使上述權利請來信privacy@xyroid.com,本公司將於 30 日內回覆。為驗證您的身分,本公司可能要求您提供進一步資訊。
第 13 節
兒童隱私
本服務僅供 18 歲以上、具有完全行為能力之個人使用。本公司不會有意識地蒐集或處理 13 歲以下兒童之個人資料。如本公司知悉誤蒐集 13 歲以下兒童資料,將立即刪除。家長若發現您未成年子女向本服務提供個人資料,請來信privacy@xyroid.com。
第 14 節
政策變更
本政策可能因法令變動、技術進步或服務調整而修訂。重大變更(例如新增資料蒐集類別、變更資料處理者、變更資料用途)將於生效 30 日前透過 Email 與後台公告通知您。一般性修訂將於本頁面標示「最後更新」日期。持續使用本服務視為同意更新後之政策。
第 15 節
適用法律與管轄
本政策之解釋、效力與爭議解決,悉以中華民國(台灣)法律為準據法,並以臺灣臺中地方法院為第一審管轄法院,但不影響您依消費者保護法或其他適用法律所享有之權利。
對於受 GDPR 保護之歐盟用戶,您有權向您所在會員國之資料保護機關(DPA)提出申訴。
第 16 節
聯絡我們
對本政策或本服務之資料處理活動有任何疑問、請求或申訴,請聯繫:
公司名稱
冠睿多媒體工作室
客服時段
週一至週五 10:00-18:00(GMT+8)
地址
414 臺中市烏日區湖日里新興路 648 之 1 號 2 樓