Audience Analytics Service Terms — Annex F · Version 1.3.1 · 生效日期:2026 年 5 月 5 日
本條款(以下稱「本附約」)為《brioCAST 商業帳戶服務條款》之附約 F,適用於開通「受眾分析 (AUDIENCE_ANALYTICS)」模組之商業帳戶(以下稱「場域合作夥伴」或「甲方」)。
1.1「邊緣推理裝置 (Edge Inference Device)」指安裝於場域內,具備本地 AI 推理能力之硬體模組,用於即時處理攝影機畫面並產出匿名統計數據。
1.2「匿名聚合數據 (Anonymous Aggregate Data)」指經邊緣推理裝置處理後產出之純統計數值,包含人流計數、年齡區間分佈、性別區間分佈及停留時間百分位數。該等數據不包含任何可直接或間接識別特定自然人之資訊。
1.3「資料控制者 (Data Controller)」指甲方(場域經營者)。
1.4「資料處理者 (Data Processor)」指酷石有限公司(TiKOUS, Inc.),僅依資料控制者之指示處理資料。
| 資料類型 | 處理狀態 | 說明 |
|---|---|---|
| 原始影像 Raw Video | ❌ 不蒐集、不儲存、不傳輸 | 僅在裝置記憶體中即時推理後丟棄 |
| 人臉向量 Face Embedding | ❌ 不產生、不儲存、不傳輸 | 推理模型不輸出可識別個體之向量 |
| 身分比對 Identity Matching | ❌ 不執行 | 系統不具備跨時段追蹤同一人之能力 |
| 生物特徵 Biometric Data | ❌ 不蒐集 | 不採集指紋、虹膜或任何生物特徵 |
| 資料類型 | 分類 | 處理位置 | 傳輸至雲端 |
|---|---|---|---|
| 原始影像 | 可識別 Identifiable | 裝置記憶體(即時丟棄) | 絕不 Never |
| 人臉向量 | 生物特徵 Biometric | 不產生 | 絕不 Never |
| 人流計數 | 匿名統計 Anonymous | 裝置端彙總 | ✅ 統計數值 |
| 年齡/性別區間 | 匿名統計 Anonymous | 裝置端彙總 | ✅ 統計數值 |
| 停留時間 | 匿名統計 Anonymous | 裝置端彙總 | ✅ 百分位數 |
k ≥ 5)。任一聚合區間之樣本數低於門檻者,系統將標示為「樣本不足」(insufficient sample),不輸出年齡 / 性別分佈細節。4.1 brioCAST 雲端 API 對所有受眾分析資料實施強制隱私驗證。每筆上傳事件必須於 privacy 物件中聲明:raw_video_retained: false、face_embedding_retained: false、anonymous_only: true。
4.2 任何違反上述隱私契約之請求,API 伺服器將以 HTTP 422 (Unprocessable Entity) 拒絕並寫入稽核日誌。此機制確保即使邊緣設備遭竄改,雲端仍不接受非匿名資料。
邊緣推理裝置產生之每筆事件,均應附加下列識別欄位,雲端 API 以此確保「可重送但不重複生效」(Exactly-once Effect)之語意:
event_id(UUID v7,單調可排序)edge_device_id + edge_sequence(單調遞增序號)offline_batch_id(每次重連產生)idempotency_key = sha256(edge_device_id + event_id)payload_hash(事件內容雜湊)邊緣裝置於離線結束、網路恢復後,應以批次、限速及帶抖動之指數退避(Exponential Backoff with Jitter)回補資料;每裝置同時上傳數限制為 1,並尊重伺服端 Retry-After。雲端 API 以 Redis 暫存鍵(TTL 14 天)與資料庫唯一約束(UNIQUE(event_id) 或 UNIQUE(idempotency_key))防止重複寫入。重複事件回 HTTP 200 + duplicate=true,不重複計入聚合統計,並寫入 audit log(duplicate_received)。
4A.1 禁止部署區域:受眾分析攝影機不得部署於診間、治療室、手術/處置室、諮詢室、更衣室、廁所、哺乳室、收銀近距離、病歷/處方/檢驗報告/付款資訊可見區域,亦不得刻意拍攝兒童、病患、員工打卡或可識別自然人之敏感活動。
4A.2 小樣本抑制:系統應設定最小群體門檻;當單一時間區間或單一場域分群樣本過小,可能導致重新識別或過度推論時,系統應合併區間、延後輸出或拒絕輸出。
4A.3 高敏感場域:診所、醫美、校園、兒童活動區、高資安企業或主管機關認定高風險場域,預設不得啟用受眾分析;若需啟用,應完成書面風險評估、場域告示、DPA、設備設定與本公司核准。
| 資料類型 | 保留期限 | 刪除方式 |
|---|---|---|
| 原始影像、人臉向量 | 不持久化、不上傳、不寫入磁碟;僅於邊緣裝置記憶體中為即時推理之必要暫態處理,推理完成後立即丟棄 | 記憶體生命週期結束後即不可復原 |
| 5 分鐘聚合事件 (audience_events) | 90 天 | PostgreSQL Time-based Partitioning,每週分區,滿 90 天 DROP PARTITION |
| 日報彙總 (audience_daily_rollups) | 2 年 | 逾期自動刪除(每月排程) |
| 月報快照 | 合約存續期間 | 合約終止後 30 日內刪除 |
| Redis 快取(聚合統計暫存) | 14 天 (TTL) | Redis 自動過期(Key Expiration) |
privacy@briolabs.io)要求刪除其場域之全部受眾分析數據。本公司應於收到請求後 72 小時內自正式系統刪除或不可逆去識別化,並依甲方要求開立《資料刪除證明 (Certificate of Data Deletion)》。
5.2.1 刪除範圍:包含 PostgreSQL 資料庫紀錄(含分區資料)、Redis 快取、日報彙總表、及備份儲存體。備份儲存體將於下一輪備份輪替週期內清除(最長不超過 30 日)。
5.2.2 刪除證明內容:《資料刪除證明》包含證明編號、刪除日期、影響筆數、刪除範圍清單、執行人員及本公司代表簽章。
合約終止後,本公司應於 30 日內刪除甲方場域之所有受眾分析數據,並主動提供《資料刪除證明》予甲方留存。
6.1 每台邊緣推理裝置於出廠綁定時,取得專屬之 OAuth 2.0 Client Credentials(M2M 身分),包含長效 Refresh Token 及定期換取之短效 Access Token。
6.2 設備 JWT 內含 scoped_venue_ids 聲明。API 伺服器驗證設備是否真正隸屬於其宣稱之 venue_id,拒絕跨場域資料注入。
6.3 甲方不得擅自拆解、複製或移轉設備之 M2M 憑證。如設備遺失或遭竊,甲方應立即通知本公司以撤銷該設備之存取憑證。
7.1 邊緣推理模型之年齡/性別區間辨識結果為統計估算,本公司不保證其準確度。辨識結果僅供趨勢分析參考,不得作為針對特定個人之決策依據。
7.2 因攝影機安裝角度、光線條件、人群遮擋等環境因素導致之統計偏差,本公司不負損害賠償責任。
7.3 因甲方未盡第 8 條場域告知義務而遭主管機關裁罰或第三人求償者,由甲方自行負擔全部責任,並不受主約第 9.4 條責任上限之限制。
8.1 告示內容要求:場域隱私告示應包含以下資訊(不得修改核心聲明文字):
privacy@briolabs.io)8.2 技術強制執行:邊緣推理裝置啟動時,將透過 API 驗證場域之 consent_mechanism 設定。若場域於 Partner Portal 未完成告知義務設定,裝置將拒絕啟動推理引擎,僅保留基本數位看板播放功能。
8.3 違反告示義務之責任歸屬:若因甲方未履行本條告知義務,導致消費者爭議、媒體投訴、或主管機關依《個人資料保護法》或其他相關法規裁罰,概由甲方全權負責。本公司已盡技術提供者之輔導義務(提供標準告示、提供啟動驗證機制),不負連帶責任。
8.4 稽核權:本公司得於合理通知後(至少 7 日),進行場域告示張貼狀況之書面或現場稽核。若發現甲方未依約張貼,本公司得於書面通知後 14 日內未補正者,依第 9.2 條停用受眾分析模組。
9.1 本附約自甲方於 brioCAST 平台開通 AUDIENCE_ANALYTICS 模組之日起生效,隨主約存續。
9.2 甲方得隨時透過 Partner Portal 關閉受眾分析模組,關閉後邊緣推理裝置將停止推理引擎,不再產生任何統計數據。
9.3 本附約終止後,依第 5.3 條辦理資料刪除。
9.4 本附約須與《資料處理協議 (DPA) v2.2》同時簽署方為有效。本附約未盡事宜,依《brioCAST 商業帳戶服務條款》及 DPA 之相關規定辦理。如本附約與 DPA 牴觸時,以 DPA 之規定為準。