🔒 您的資料，您的鑰匙

真正的隱私，不是藏起來，是您隨時可以收回。

最後更新：2026 年 3 月 15 日｜版本 2.0
馥靈之鑰國際有限公司（統編：60303284）

說白了：我們不會把您的資料賣給任何人。蒐集資料的目的只有一個，就是讓服務做得更好、讓您的體驗更順暢。以下用人話把法律該講的事講清楚。

一、我們蒐集哪些資料

您主動提供的：姓名、電子信箱、出生日期、LINE 帳號（用於諮詢預約和會員服務）
測算工具產生的：出生年月日、生命數字計算結果（僅在您的裝置上運算，不會自動傳回伺服器）
自動蒐集的：瀏覽紀錄、裝置資訊、IP 位址（透過 Google Analytics 和 Facebook Pixel，用於改善網站體驗）
付費服務相關：交易紀錄、發票資訊（透過第三方金流處理，我們不儲存信用卡號碼）

二、蒐集的目的

提供您要求的服務（諮詢預約、線上測算、課程報名、電子報發送）
改善網站功能和使用體驗
寄送您訂閱的電子報或活動通知（您隨時可以取消）
依法令規定保存交易紀錄

法源依據：中華民國個人資料保護法第 19 條第 1 項第 5 款（經當事人同意）。

三、資料保存

會員帳號資料：帳號存續期間，刪除後 30 天內完全清除
交易紀錄：依稅法規定保存 5 年
測算結果：預設儲存在您的瀏覽器，清除瀏覽資料即消失；登入會員後，部分結果會存於雲端供您跨裝置查看
網站分析資料：Google Analytics 預設保留 14 個月

儲存位置：會員資料存放於 Google Firebase（伺服器位於 asia-east1 台灣節點），受 Google 資安標準保護。

四、資料分享與跨境傳輸

我們不會出售、出租或交換您的個人資料。以下情況除外：

您明確同意的情況
配合司法機關依法調取
為完成交易所必要的第三方服務商（金流處理、電子報平台、AI 解讀 API），且均要求其遵守同等隱私標準（詳見 §八之二第三方資料處理商完整清單）

📌 跨境傳輸法源（個資法 §21）｜本平台主要伺服器位於 Firebase asia-east1（台灣節點），但部分必要服務（Vercel API · Anthropic Claude · xAI · OpenAI · MailerLite）於美國節點處理。依個資法第 21 條規定，國際傳輸基於以下法源之一：①當事人明示同意（您於本隱私政策瀏覽過後使用本服務即視為同意）、②為履行與您之契約所必要、③第三方服務商均承諾不參與訓練（Anthropic / OpenAI Commercial Terms）並遵守 GDPR 標準合約條款（SCCs）。如您不同意跨境傳輸，請停止使用本平台之 AI 解讀與線上付款功能。

五、Cookies 與追蹤技術

本網站使用以下追蹤技術，分為三類，您可分別決定是否接受：

必要型（無法關閉）

Firebase Authentication｜功能：會員登入狀態維持、跨裝置同步｜未開啟即無法登入會員與付費

統計分析型（可關閉）

Google Analytics 4（GA4 · ID: G-BXP7K53QG6）｜功能：匿名流量分析、頁面停留時間、轉換漏斗｜停用方式：安裝 Google Analytics Opt-out 瀏覽器外掛或瀏覽器啟用 Do Not Track

廣告成效型（可關閉）

Facebook Pixel（ID: 1333106288588347）｜功能：廣告成效追蹤、再行銷｜停用方式：Facebook 廣告偏好設定 · 或瀏覽器設定阻擋第三方 Cookies

您可隨時透過瀏覽器設定（Chrome / Safari / Firefox 隱私模式 · 阻擋第三方 Cookies）關閉統計與廣告型追蹤，必要型功能不受影響。

📌 Cookie 設定隨時可改｜本平台所有頁面 footer 永久顯示「Cookie 設定」連結（位於「支援法律」展開區）· 您可隨時調整偏好。本平台依 EDPB 2026 推薦之「分層揭露」設計 · 不以全屏 cookie banner 打擾使用者。廣告類 cookie（FB Pixel）預設關閉 · 符合 GDPR Art.7 + TCF v2.2 + CPRA 2026「specific consent」要求。

六、未成年人

本網站的測算工具和內容僅供參考，不限制年齡使用。但付費服務的購買須年滿 18 歲，或由法定代理人（父母）共同同意。

依《兒童及少年福利與權益保障法》§2 規定，本平台不會刻意蒐集未滿 12 歲兒童（兒童）的個人資料；12 歲以上未滿 18 歲（少年）使用付費服務或開啟雙人互動功能，需由法定代理人同意。

家長若發現未成年子女未經同意註冊或付費，可來信 info@hourlightkey.com 申請帳號移除與退費，本公司會於 7 個工作日內處理。

七、您的權利

依據個人資料保護法第 3 條，您有權查詢、閱覽、請求複本、補充更正、停止蒐集處理利用、請求刪除您的個人資料。

行使方式：來信 info@hourlightkey.com，我們會在 15 個工作天內回覆處理。

八、資訊安全

全站 HTTPS（TLS 1.2+）加密傳輸、Firebase 帳號系統採用業界標準安全機制（密碼雜湊 + 雙因素驗證選項）、管理後台採白名單存取權限控管（僅 3 個帳號）、Firestore Security Rules 分級管控、定期檢視資安措施。

金流加密金鑰管理

PAYUNi 金流加密採 AES-256-GCM（HashKey + HashIV 加 EncryptInfo + AuthTag · SHA-256 簽章）
金鑰儲存於 Vercel 環境變數加密區（不入 git · 不寫入伺服器 log · 僅 serverless function runtime 注入）
金鑰輪換機制：發生資安事件或人員異動時即刻輪換 · 平時每年定期檢視
付款資訊（卡號、CVV）完全不經本平台·由 PAYUNi 直接加密傳遞至發卡銀行
本平台僅保留：商店訂單號（MerTradeNo）、PAYUNi 交易序號、金額、付款時間（依商業會計法 §38 保存 5 年）

雖然我們盡力保護您的資料，但沒有任何系統能保證 100% 安全。如發現重大資安事件，我們將於知悉後 72 小時內採取以下措施：

通知受影響使用者（含外洩範圍、可能影響、補救建議、緊急協助管道）
依《個人資料保護法》§12 + 2025 修法精神 · 通報個人資料保護委員會（PDPC · 過渡期間並通報目的事業主管機關）
提供受影響使用者必要協助（如帳號保護、密碼變更指引、信用監控建議）
於官網首頁與 LINE 官方帳號公告事件處理進度

八之二、第三方資料處理商完整清單

馥靈之鑰使用以下經審慎評估的第三方服務處理用戶資料，依用途分類並標明資料流向：

金流處理

PAYUNi 統一金流（商店代號 U031269167）｜處理：信用卡、ATM 虛擬帳號、超商代碼繳費、Apple Pay、Google Pay｜加密：AES-256-GCM｜合規：通過經濟部第三方支付業者審核｜信用卡資訊不經本平台，由 PAYUNi 直接加密傳遞至發卡銀行

身份認證與資料儲存

Firebase（Google）｜資料區域：asia-east1（台灣節點）｜處理：Email/Google 登入、會員資料、解讀紀錄、訂閱狀態｜安全：Firebase Security Rules 限制讀寫權限

AI 解讀與圖片生成

Anthropic Claude API（美國）｜處理：馥靈時光卡 / 命理工具 / 鉑金智慧煥顏 Vision 肌膚分析的 AI 解讀生成｜資料保護：解讀請求不含完整個人識別資訊（不傳遞 email、真實姓名、地址、電話）｜不參與訓練：依 Anthropic Commercial Terms · 您的資料不會被用於訓練模型｜跨境傳輸法源：當事人同意（個資法 §21）
xAI Grok API（美國）｜處理：能量桌布 prompt 合成｜資料：僅傳遞您指定的主題（如「招財」「平靜」）+ 命盤計算結果·不傳 PII
OpenAI gpt-image-1 API（美國）｜處理：能量桌布圖像生成｜資料：僅傳遞合成後的 prompt 文字·不傳 PII｜不參與訓練：依 OpenAI API Data Usage Policy · API 資料預設不用於訓練
Google Gemini API（美國 · Google LLC）｜處理：og 圖 prompt 設計、影像分析備援、桌布 prompt 合成的多模態 AI 任務｜資料：僅傳遞功能必要 prompt 與圖像 · 不傳 PII（email、姓名、地址、電話）｜不參與訓練：依 Google AI for Developers Terms · API tier 預設資料不用於訓練模型｜跨境傳輸法源：當事人同意（個資法 §21）

電子郵件通知

MailerLite（帳號 ID 2060689 · 美國）｜處理：訂閱會員月禮通知、解讀報告寄送、活動通知｜退訂機制：每封信件底部均提供一鍵退訂連結｜跨境傳輸法源：當事人同意（個資法 §21）

即時通訊與客服

LINE Messaging API（@hourlight 官方帳號）｜處理：客服訊息收發 · LINE Flex Message 預約通知夥伴｜對話保存：客人主動傳訊內容 90 天後匿名化（保留統計用聚合資料）· 員工回覆紀錄保留至帳號刪除｜不轉發第三方
Discord Webhook（內部營運頻道）｜處理：客戶意見回饋（主動提交）+ 課程觀看異常警示（多 IP 登入）轉發給內部營運窗口｜不公開 · 不轉發第三方｜資料保留：90 天滾動週期

前後端託管

Vercel（Hobby plan · 美國節點 · 受 GDPR 標準合約條款 SCCs 規範）｜處理：10 支 serverless API（金流、AI 解讀、寄信、對帳）｜環境變數加密儲存，不在伺服器持久化用戶資料｜跨境傳輸最小化原則：僅必要欄位
GitHub Pages｜處理：靜態前端 1100+ 頁網站託管｜不收 cookie、不追蹤行為

以上第三方服務均經過合規審查，要求其遵守同等隱私保護標準。如未來有變更，將於本頁更新並通知會員。

四之二、海外客人跨境傳輸專章

馥靈之鑰提供全球華人服務，海外客人約占流量大宗。針對日本、澳洲、加拿大等司法管轄區之客人，我們依當地法律對齊揭露：

🇯🇵 四之二之一、日本客人（APPI 第 24 條對齊）

接收國｜台灣（馥靈之鑰國際有限公司 · 統編 60303284 · 桃園市桃園區藝文一街 86-6 號 17 樓）
台灣資料保護機制｜《個人資料保護法》2025 年 10 月三讀通過修正案 + 個人資料保護委員會 PDPC 監督
第三方處理商揭露｜Anthropic（美國）/ xAI（美國）/ OpenAI（美國）/ Vercel（美國）/ Google Firebase（asia-east1 區位 · 台灣節點優先）
用途｜提供馥靈時光卡解讀 / 命理工具 / AI 解讀 / 桌布生成 / 鉑金智慧煥顏 Vision 肌膚分析
法源｜APPI 第 24 條跨境傳輸 + 2022/4 修正後接收國資料保護機制揭露義務
同意基礎｜您註冊馥靈會員 / 使用 AI 解讀服務時 · 即視為同意上述跨境傳輸

🇦🇺 四之二之二、澳洲客人（APP 8 對齊）

跨境揭露事實｜您的個資將揭露給馥靈之鑰國際有限公司（台灣）+ 4 家美國 AI 服務商
可能海外揭露通知｜依 APP 1.4(f)(g) + APP 5.2(i)(j) · 我們在蒐集您個資時即通知您此跨境揭露事實
APP 8 保護告知｜您資料離開澳洲後 · APP 8 部分保護可能不適用 · 但馥靈承諾依台灣個資法 + GDPR Article 13/14 透明性原則維護您權益
合理步驟｜我們已採取以下步驟確保接收方符合 APP：① Anthropic Commercial Terms（不參與訓練）② Firebase 分級存取控管 ③ AES-256-GCM 金流加密 ④ 72 小時內外洩通報機制
2024 改革對齊｜不僅依賴合約 · 亦對齊澳洲 2024 改革加強之責任認定原則

🇨🇦 四之二之三、加拿大客人（PIPEDA + Bill C-27 CPPA 對齊）

資料傳出加拿大事實｜您的個資將傳輸到台灣（接收方馥靈之鑰國際有限公司）+ 美國（4 家 AI 服務商）
外國當局存取風險告知｜台灣 / 美國司法機關依當地法律可能存取您個資·我們依台灣《通訊保障及監察法》僅在合法令狀下協助 · 並依《個資法》第 12 條於可行範圍內通知您
保護機制｜① 合約保障（依 PIPEDA 第 4.1.3 原則）② 接收方持續責任原則（馥靈對美國第三方仍負持續責任）③ 與接收方資料處理協議（DPA）對齊
Bill C-27 CPPA 升級對齊｜本平台已對齊即將生效之消費者隱私保護法（CPPA）對跨境責任 / 合約保障 / 透明揭露之要求
聯絡 OPC｜如對跨境處理有疑慮 · 您可向加拿大隱私專員辦公室（OPC · priv.gc.ca）查詢

四之二之四、共通保障承諾

無論您來自哪個司法管轄區 · 馥靈承諾以下共通保障：

最小化資料蒐集（不蒐集真實姓名 / 地址 / 電話 / 身分證號）
Firebase 分級存取控管（asia-east1 區位 · 台灣節點優先）
第三方完整揭露（4 家美國 AI + Vercel + Firebase + MailerLite）
72 小時內重大外洩通報機制（依台灣個資法 §12 修法 + GDPR Article 33-34）
訓練模型例外：Anthropic Commercial Terms 您資料不會被訓練
透明度：每次重大處理變更會主動以電子郵件通知
多語客服：中文 / English · 客服 email info@hourlightkey.com

📌 跨境權益行使｜如您行使在地法律賦予之資料當事人權利（如日本 APPI 開示請求 / 澳洲 APP 12 存取請求 / 加拿大 PIPEDA 第 8 條存取請求）· 請來信 info@hourlightkey.com · 我們承諾 30 天內回覆。

四之三、EU AI Act 對齊聲明（2026/8/2 完全生效對齊）

歐盟用戶權益告知：

本平台 AI 分類｜馥靈之鑰 AI 解讀（馥靈時光卡 / 37 套命理 / 鉑金煥顏 Vision）依 EU AI Act 風險分類為 limited risk + minimal risk · 不屬 Annex III 高風險 AI 系統（不涉教育評分 / proctoring / HR 決策 / 信用評分 / 執法 / 移民 / 司法）
不屬 Article 5 禁止實踐｜馥靈 AI 解讀不用於犯罪風險預測 / social scoring / 操縱性 AI
Article 50 透明性對齊｜① 所有 AI 解讀內容明確標示「AI 解讀」② 客戶知道與 AI 互動 ③ AI 生成圖片（桌布 / 鉑金煥顏報告）含 AI Disclosure footer
客戶自主決策權｜馥靈 AI 解讀僅供自我覺察參考 · 客戶最終決定權保留 · 對齊 GDPR Article 22 自動化決策拒絕權
客戶申訴｜歐盟客戶若對 AI 處理有疑慮 · 可向當地資料保護機關（DPA）申訴 · 或來信 info@hourlightkey.com

📌 2026/8/2 EU AI Act 完全生效日｜馥靈持續對齊歐盟最新指引 · 重大調整時透過 email + 站內公告通知會員。

八之三、Firebase 資料分級保護機制

馥靈之鑰 Firestore 採用分級存取設計，限制資料的讀取與寫入權限：

用戶層資料（users/{uid}、解讀紀錄、訂閱狀態）｜讀取：本人 + 管理員白名單（3 個帳號）｜寫入：本人或經驗證的後端 API
訂單層資料（pendingOrders、orders、reading_codes）｜讀取：管理員 only｜寫入：金流回呼後端 only
事件統計（events 集合）｜讀取：管理員 only｜匿名統計用途

用戶刪除權實作：客人可在會員中心或來信申請帳號刪除，48 小時內執行 Firestore 集合連動刪除（含 users 主檔與所有子集合資料）。法定保留期間之金流交易紀錄，將於符合《商業會計法》5 年保存期限後自動銷毀。

資料保留期限總覽｜訂閱與金流資料：5 年（法定）｜解讀紀錄：保留至客人申請刪除為止｜事件統計：90 天滾動週期。完整細項表格詳下節。

八之三之二、資料保留期限細項表格

依《個人資料保護法》第 5 條最小化原則 + GDPR Article 5(1)(e) 儲存限制原則 · 馥靈分類揭露各類資料保留期限：

資料類別	Firestore 集合	保留期限	法源 / 理由
▼ 用戶層
會員主檔	`users/{uid}`	至客人申請刪除為止	服務必要 / 被遺忘權 48hr 執行
AI 解讀計次	`users/{uid}/ai_daily/{YYYY-MM-DD}`	90 天滾動	日配額追蹤 / 過期自動清除
占卜工具計次	`users/{uid}/{toolId}_daily/...`	90 天滾動	同上
抽牌紀錄	`users/{uid}/draw_history/{auto}`	至客人申請刪除為止	個人覺察歷程 / 客人 control
電子書解鎖	`users/{uid}/ebook_unlocks/{bookId}`	至客人申請刪除為止	永久使用權 / 同上
覺察筆記	`users/{uid}/notes`	至客人申請刪除為止	個人創作 / 同上
城堡進度	`users/{uid}/castle_save/state`	至客人申請刪除為止	遊戲進度 / 同上
每日 / 年度任務	`users/{uid}/castle_daily / castle_yearly`	90 天 / 1 年滾動	時序型資料 / 自動清除
▼ 訂單金流層
訂單紀錄	`orders / pendingOrders`	5 年（法定）	《商業會計法》第 38 條
發票紀錄	`users/{uid}/invoices/{orderId}`	5 年（法定）	《統一發票使用辦法》+ 商業會計法
解鎖碼	`unlock_codes / reading_codes`	90 天 expiresAt 後過期	月禮券 90 天鐵則 / 自動清除
月禮折抵券	`coupons`	90 天 expiresAt 後過期	同上
▼ AI 解讀紀錄
AI 解讀內容	`readings/{auto}`	至客人申請刪除為止	個人解讀資產 / 客人 control
▼ 推薦碼 / 合作夥伴
推薦碼	`referrals/{code}`	至客人申請刪除為止	分潤追蹤 / 客人 control
合作夥伴	`partners / partner_referrals`	5 年（法定）	分潤紀錄 / 商業會計法
▼ 多租戶HLS 預約系統
店家客人資料	`businesses/{bizId}/customers`	5 年（法定）/ 或店家自決	商業會計法 + 店家獨立資料控制者
預約紀錄	`businesses/{bizId}/bookings`	5 年（法定）	同上
員工資料	`businesses/{bizId}/staff`	至離職後 1 年	《勞動基準法》第 30 條
▼ 系統管理層
管理員白名單	`system/admins`	至離職後 1 年	勞基法 §30
漏交付訂單	`system/orphan_orders`	5 年（法定）	商業會計法 / 客服追蹤
寄信失敗 / 紀錄	`email_failures / sent_emails`	90 天滾動	debug + 自動清除
同意紀錄	`consentTrack`	5 年 / 至撤回為止	GDPR Art 7 + 個資法 §8
事件統計	`events/{auto}`	90 天滾動	匿名統計 / 自動清除

📌 客人被遺忘權執行範圍｜您申請刪除帳號時 · 48 小時內執行以下動作：① 刪除 users/{uid} 主檔與所有子集合 ② 匿名化 readings 與 events（保留聚合統計但移除可識別欄位）③ 例外保留：法定保留期間之金流交易紀錄（orders + invoices 5 年）與評價（如已有他人引用）。客人可隨時來信 info@hourlightkey.com 詢問特定資料是否仍保留。

八之四、GDPR + 個資法雙軌符合聲明

馥靈之鑰主要服務台灣與東南亞華人，但採 GDPR 級別的資料保護設計原則，確保跨國用戶（包含歐盟可能來訪者）權益受保護：

資料最小化（Data Minimization）｜只蒐集服務必要資料，不索取多餘個資
目的限定（Purpose Limitation）｜資料只用於聲明用途（解讀生成、訂閱通知、匿名統計）
可攜權（Right to Data Portability）｜客人可申請匯出個人資料（JSON 格式），15 個工作天內處理
被遺忘權（Right to be Forgotten）｜客人可申請刪除帳號與全部資料，48 小時內執行
透明度（Transparency）｜每次重大處理變更會主動以電子郵件通知會員
個資法（台灣）｜依《個人資料保護法》第 8 條告知義務、第 19 條使用目的限定、第 27 條資料當事人權利規範執行

如您對資料處理有任何疑慮，可隨時來信 info@hourlightkey.com 或洽詢個人資料保護委員會（PDPC · 2025 年 11 月 11 日總統公布修正案 · 過渡期內仍由各目的事業主管機關監督，PDPC 正式運作生效日由行政院定之）。

📌 2025 個資法修法重點告知｜2025 年 10 月立法院三讀通過、11 月總統公布之《個人資料保護法》部分條文修正案，主要變革包含：①成立獨立監督機關 PDPC、②強化資料外洩通報義務（重大事件須通報 PDPC + 受影響當事人）、③強化行政檢查權與管理裁量權。本平台已依新法精神先行對齊：72 小時內外洩通報機制、最小化資料蒐集、Firebase 分級存取控管、第三方處理商完整揭露。

九、服務性質聲明

馥靈之鑰提供的所有服務（芳香能量覺察、牌卡解讀、生命數字分析、線上測算工具等）僅供個人自我覺察、自我探索與自我認識參考。本服務不構成亦不取代醫療診斷、專業心理協助、法律或財務建議。如有身心健康疑慮，請諮詢合格醫療專業人員。

十、政策更新與聯絡

本政策如有重大修訂，會在網站首頁公告，並寄送電子郵件通知已註冊會員。持續使用本網站即視為同意最新版本。

馥靈之鑰國際有限公司｜統編：60303284
桃園市桃園區藝文一街86-6號17樓
info@hourlightkey.com｜LINE 諮詢

十一、Relationship OS 雙人羅盤資料處理專章

十一之一、蒐集範圍

本服務蒐集你以下資料以提供 Relationship OS 功能：

你自選的暱稱（最多 8 字 · 非真名建議）
23 題關係特質測驗的答案
邀請碼產生 / 接收的時間戳記
雙人羅盤的「共同觀察」結果（含 A/B 雙方的類型、節奏對照、卡住點分析）
「我願意繼續聊聊」狀態（雙方各自的 boolean 狀態）
你的會員 UID（識別你的帳號用 · 不對 A/B 對方公開）
馥靈知音 entitlement 狀態（用於開啟自主靠近流程權限）

十一之二、不蒐集 / 不保存 / 不轉交的資料

馥靈平台絕不處理以下資料：

對方的 Threads 帳號
對方的 Instagram 帳號
對方的 LINE ID / LINE 帳號
對方的電話號碼
對方的 Email（除非該對方已是本平台會員 · 此時僅平台內部 UID 配對 · 不對另一方公開）
雙方私下交換的對話內容（如雙方自行加 LINE 後的訊息）
雙方私下見面 / 通話 / 互動的任何紀錄

✓ 即使在「自主靠近流程」中 · 馥靈也不會在系統內顯示對方的 Threads / IG / LINE / 電話 / Email · 僅顯示「請自行決定是否交換」的提示。

十一之三、邀請碼資料流說明

A 完成關係卡 → 系統產生 24 小時有效的邀請碼（隨機字串 · 不含任何個資）
A 自行（透過自己既有的 LINE / IG / 當面）把邀請碼傳給 B
B 收到邀請碼 → 進入雙人羅盤頁 → 看到「即將與 A（A 的暱稱）建立連結」同意頁
B 同意 → 完成 23 題測驗 → 系統產出雙人羅盤
邀請碼用後即失效 · A 可重新生成

馥靈平台不主動傳送邀請給任何人 · 邀請碼必須由 A 自行傳遞。

十一之四、自主靠近流程資料流

雙方都按「我願意繼續聊聊」（系統記錄各自的 boolean 狀態與時間戳）
雙方都按下後 · 系統顯示安全提醒 + 3 句中性開場句參考
系統不顯示對方的 Threads / IG / LINE
系統不傳送任何訊息給任何一方
是否交換聯絡方式由雙方離開馥靈平台後自行為之（例如透過已有的 LINE 群、實體當面交換、其他社群平台）

十一之五、保存期限

雙人羅盤結果：保存 12 個月（自最後一次任一方訪問起算 · 馥靈知音可永久保存於記憶牆）
「我願意繼續聊聊」狀態：保存 90 天（過期後系統視為不再有效 · 雙方需重新表達）
滿 12 個月未訪問：系統自動匿名化（保留統計用聚合資料 · 刪除可識別欄位）
你可隨時於會員中心「斷開雙人羅盤」一鍵清除你方資料
自動續訂同意紀錄（功能未啟用時為空）：5 年（民法 §125 一般時效）
扣款歷史紀錄：7 年（依商業會計法）
取消自動續訂紀錄：3 年（消保法請求權時效）
平台支持費紀錄（自願性平台服務支持）：5 年（保存於 events 集合 · 含金額/時間戳/PAYUNi 交易序號）

十一之十、隱私合拍模式資料處理（v4 定版）

📌 重要：本模式無任何公開資料庫 · 無任何公開檔案瀏覽 · 配對檔案資料僅供系統背景配對運算·不對其他使用者公開。

隱私合拍模式（系統背景合拍運算 + 雙方同意才配對成功）的資料處理範圍：

蒐集範圍：配對檔案 6 欄（暱稱 / 年齡區 / 地區 / 想認識方向 / 簡短自介 + 脆 ID）+ 合拍通知接收紀錄 + 接受/拒絕/封鎖/檢舉行為紀錄 + 編輯歷史（90 天）
對其他使用者公開的範圍：配對成功時雙方僅互看對方脆 ID·其他資料（暱稱 / 年齡 / 地區 / 自介）一概不揭露
合盤分析揭露限制：不可揭露任何一方生日 / 命盤 / 測驗答案 / 卡牌 / 配對原因細節 / 完整報告內容·只能提供互動節奏 / 相處提醒 / 溝通建議 / 界線提醒 / 下一步安全互動建議
不蒐集（永久禁止）：LINE / IG / FB / 電話 / Email（除註冊 email 不公開）/ 真名 / 詳細住址 / 公司名稱 / 個資法 §6 敏感個資（健康 / 政治 / 宗教 / 性傾向）
保存期限：配對檔案 1 個月不活動 → 自動退出合拍池；主動退出 30 天內可恢復；之後永久刪除可識別欄位（保留聚合統計）；合拍通知 12 個月；檢舉紀錄 5 年；封鎖名單永久（用戶可解除）
你的權利：隨時查詢 / 更正 / 刪除你的配對檔案 · 隨時退出合拍池 · 隨時封鎖任何已配對成功對象 · 申請完全刪除帳號 30 天內處理
跨境傳輸：Firestore asia-east1（台灣）· 不傳出歐盟 / 中國 · 限台灣境內使用者

十一之九、自動續訂資料處理（功能規劃中 · 等 PAYUNi 客服確認後上線）

未來自動續訂功能正式啟用時 · 將額外蒐集處理以下資料：

自動續訂同意紀錄（同意時間、IP、User Agent、checkbox 文字版本）
信用卡 token（PAYUNi 加密儲存 · 馥靈平台不直接接觸卡號）
扣款歷史紀錄（金額、時間、PAYUNi 交易序號）
取消自動續訂紀錄（取消時間、取消原因可選）

目前自動續訂功能尚未啟用 · 所有會員方案為單次付款 · 不會自動扣款。

十一之六、你的權利

查詢權：隨時查詢你的 Relationship OS 資料
更正權：發現資料錯誤可申請更正
刪除權：可申請永久刪除（依資料類別有不同處理時程 · 一般 30 日內處理完成）
停止處理權：可隨時停止本平台處理你的相關資料
同意撤回權：隨時撤回同意 · 不影響撤回前已合法處理之部分
客服 LINE @hourlight 申請

十一之七、國際傳輸

Relationship OS 資料儲存於 Firebase（Google Cloud asia-east1 · 台灣地區）
不傳出歐盟 / 不傳輸至中國大陸境內伺服器
美國 OpenAI / Anthropic API 僅處理你的測驗答案進行分析 · 不留存個資 · 不訓練模型

十一之八、資料外洩通報

若發生 Relationship OS 相關的個資外洩 · 本公司於知悉後 72 小時內：

通報受影響的使用者（含外洩範圍、可能影響、補救建議）
依個資法 §12 通報主管機關（國家發展委員會 / 數位發展部）
提供使用者免費的相關協助（如帳號保護、密碼變更指引）

十二、同意機制設計（v3.0）

本平台採用「分層揭露 + 即時告知」（Layered + Just-in-Time）同意機制 · 避免使用者體驗中斷 · 同時符合法律要求。

十二之一、為什麼採用此設計

傳統彈窗式同意（cookie banner、checkbox 彈窗）在 2026 年的研究顯示：76% 使用者會在看到全屏彈窗時立即離開網站。歐盟資料保護委員會（EDPB）2026 年聯合執法框架明確推薦「分層揭露」作為符合 GDPR 透明度要求的最佳實踐。

十二之二、三層架構

第 1 層 · 註冊時摘要：3 行人話摘要涵蓋 90% 必要告知 + 全文連結
第 2 層 · 完整條款：terms.html §29、本隱私政策永遠可查
第 3 層 · 即時微文案：4 個法定例外於觸發點就地告知（結帳按鈕 / 特種個資欄位 / 為他人算 / 廣告 cookie）

十二之三、與業界對標

本設計對齊 Apple Privacy Policy（無彈窗）、Stripe 結帳（按鈕內嵌告知）、Notion 註冊（一次性同意 + footer link）、Linear（無 cookie banner、廣告 cookie 預設關閉）等高端品牌做法 · 符合 2026 業界 best practice。

十二之四、法源依據

台灣《個人資料保護法》§15、§19、§27
台灣《消費者保護法》§19 通訊交易解除權
歐盟 GDPR Article 6、7、13
EDPB 2026 Coordinated Enforcement Framework
ICO Layered Privacy Notice Guidance
美國 CPRA 2026 對稱原則
IAB Europe TCF v2.2

十二之五、撤回與管理

會員可於「會員中心 → 帳號設定 → 同意管理」隨時撤回任何同意 · 亦可於本頁 footer「Cookie 設定」連結調整 cookie 偏好。