Data Processing Agreement (DPA) · Version 2.7.1 · 生效日期:2026 年 5 月 5 日
1.1 「資料控制者(Data Controller)」:指採用 brioCAST 平台之商業帳戶(場域主)。
1.2 「資料處理者(Data Processor)」:指酷石有限公司(TiKOUS, Inc.),僅依資料控制者之指示處理個人資料。
1.3 「假名化(Pseudonymization)」:指以技術手段使資料在不使用額外資訊的情況下無法歸因於特定當事人之處理程序。假名化資料仍屬個人資料,受個人資料保護法全面保護。
1.4 「零知識排隊序號(Zero-Knowledge Queue Number)」:指經邊緣映射架構產生之當日匿名整數序號,其與任何自然人身分識別資訊之對應關係僅存於場域本地端加密暫存區,brioCAST 雲端伺服器不持有任何映射紀錄。
1.5 「場域端資料」:指由場域主於其現場、POS、櫃檯、診所端終端設備、QR 表單或邊緣設備蒐集、輸入或產生之資料。除本協議明示由本公司處理之資料外,場域端資料之蒐集、告知、合法基礎與安全維護由資料控制者負責。
1.6 「共同或獨立控制情形」:就帳戶註冊、訂閱費用、付款、KYC、客服與法令遵循等本公司自主決定目的與方法之資料,本公司可能為獨立資料控制者;就場域主為其顧客、病患、訪客或員工所設定之排隊、看板、QR、受眾分析或場域流程資料,本公司原則上為資料處理者。
privacy.raw_video_retained 必須為 false、privacy.face_embedding_retained 必須為 false、privacy.anonymous_only 必須為 true),任何違反契約之請求將以 HTTP 422 (Unprocessable Entity) 拒絕並寫入稽核日誌。本模組設計目標為僅處理匿名聚合統計資料,不處理可直接識別個人之資料;惟是否構成個人資料,仍應依實際部署方式、場域規模、資料粒度、可與其他資料連結之可能性及主管機關見解綜合判斷,本公司就此不提供絕對化保證。詳細條款請參照 《受眾分析服務條款》(附約 F)。| 措施 | 說明 |
|---|---|
| 傳輸加密 | 所有 API 通訊採 TLS 1.2+ 加密傳輸 |
| 邊緣加密(非醫療場域) | 身分資料於設備端即時 SHA-256 假名化處理,雲端不持有原始值 |
| 邊緣映射加密(醫療場域) | 本地映射表採 AES-256-GCM 加密儲存,金鑰由作業系統層級之硬體安全機制保護(如 Windows DPAPI、macOS Keychain 或 Linux Kernel Keyring),以確保跨平台相容性;跨日自動安全清除 |
| 存取控制 | RBAC,僅授權人員得存取生產環境 |
| 資料隔離 | PostgreSQL tenant_id 邏輯隔離 |
| 備份 | 每日自動備份,保留 30 日 |
| 金流隔離 | ECPay 信託專戶處理,brioCAST 不經手完整卡號 |
| 邊緣設備管理 | 受控 Player 以 Kiosk / Launcher、Watchdog、裝置識別碼、遠端指令稽核、版本控管及必要之 MDM 政策維持可用性;高資安或醫療場域之遠端維運預設關閉或依客戶書面授權啟用 |
| 受眾分析部署控管 | 啟用前驗證 DPA、附約、場域告示與 consent_mechanism;不符合條件者,推理引擎不得啟動 |
6.1 資料處理者應於知悉後 24 小時內通知資料控制者,並於 72 小時內提供初步事件分析報告。
6.2 非醫療場域之假名化資料(SHA-256 雜湊值)外洩時,資料處理者應評估依現有技術手段反向識別之可行性,並於通報中說明風險等級。資料處理者不得以「單向加密」為由逕行主張無識別風險,每次事件應重新評估。
6.3 醫療場域採零知識架構時,雲端資料庫設計上不持有病患身分映射資料。如事件涉及診所本地端設備、讀卡程式、邊緣暫存區、場域網路或使用者自行整合之第三方系統,資料控制者仍應依其法定義務評估是否通知當事人或主管機關,並執行本地端安全稽核。
6.4 若事件涉及本公司雲端、Player App、Edge Agent、MDM、遠端維運通道或次處理者,本公司應提供事件時間線、受影響資料類型、受影響場域、已採取措施及後續修補計畫,以協助資料控制者履行通報與告知義務。
9.1 合約終止後 30 日內刪除所有相關個人資料(法律要求保留者除外)。
9.2 資料控制者得要求匯出可機器讀取副本(JSON)。
9.2A.1 精確保留期限:
audience_events):90 天。採 PostgreSQL Time-based Partitioning(每週分區),滿 90 天以 DROP PARTITION 清除(O(1) 操作,無 table bloat)。audience_daily_rollups):2 年,逾期自動刪除。9.2A.2 72 小時刪除請求權:資料控制者得隨時以書面(email 至 privacy@briolabs.io)要求刪除其場域之全部受眾分析數據。本公司應於收到請求後 72 小時內自正式服務資料庫刪除或進行不可逆去識別化;備份資料依備份週期覆寫清除,並開立《資料刪除證明(Certificate of Data Deletion)》。詳細條款請參照 《受眾分析服務條款》(附約 F)§5。
經本平台處理後之「假名化(Pseudonymized)」數據,資料控制者同意授權本公司進行統計聚合與分析。僅當該數據已達「依現有合理技術手段難以反向識別自然人」之高度聚合狀態(門檻:單一場域單日流量不低於 50 筆之統計匯總),始得作為本公司優化 AI 演算法之非識別性訓練資料集。
本條不得解釋為豁免資料控制者依個人資料保護法第 11 條提出之刪除請求。企業客戶得隨時以書面形式向 privacy@briolabs.io 要求退出(Opt-out)AI 訓練資料授權,本公司應於 14 個工作日內確認執行並提供書面回覆。
| 次處理者 | 服務內容 | 資料處理地區 |
|---|---|---|
| Hostinger International Ltd. v2.4 NEW | VPS 雲端主機、API 運算、PostgreSQL 資料庫、運算資源 | 新加坡 (Singapore) 或 馬來西亞 (Malaysia)。資料處理地區以本公司當期次處理者清冊公告為準;如因技術維運必要須暫時使用其他節點,應事前以書面通知資料控制者。 |
| Redis Ltd. | 記憶體快取(聚合統計暫存、Idempotency keys) | 新加坡 / 馬來西亞(隨主機部署),TTL 14 天 |
| 綠界科技 (ECPay) | 金流代收代付、KYC 審核 | 台灣 |
| Anthropic, Inc. v2.4 NEW | AI 內容生成(Claude API),僅用於 Phase 5 文案生成功能 | 美國。不傳輸任何受眾分析數據、個人資料或場域統計至 Anthropic。僅處理 AI 內容生成之提示詞(Prompt),且本公司於 ai-gateway 服務中實作字串過濾規則,於 API 呼叫前清除疑似識別碼欄位。 |
| LINE Platform | LIFF 微會員、推播 | 日本 / 台灣 |
| MinIO(自架部署) | 靜態資產儲存(廣告素材、OTA 更新檔) | 新加坡 / 馬來西亞(隨主機部署) |
| MDM / 遠端維運服務商(選配,例如 Esper、Tailscale 或同等服務)v2.4 NEW | Android / Edge Player 之設備管理、APK 更新、遠端診斷、維護窗口連線與操作紀錄 | 依實際啟用服務商所在地及資料處理條款;Secure / Medical 場域預設不啟用常駐遠端入口,須由資料控制者書面核准 |
ai-gateway 服務實作字串過濾,確保提示詞純淨。新增次處理者前 30 日通知資料控制者(透過 email + Partner Portal 通知雙重觸發),資料控制者得於收到通知後 14 日內以書面提出異議。完整次處理者清冊請參照 《次處理者清冊》。
9.1 資料控制者得於合理預告(至少 14 個工作日)後進行稽核,每年不超過一次,但發生重大資安事件時不受次數限制。
9.2 稽核費用由資料控制者負擔。本公司得以提供第三方稽核報告(如 SOC 2 Type II 或同等級)替代現場稽核。
9.3 醫療場域專項稽核:採用醫療排隊模組之場域主得要求本公司提供「零知識架構技術驗證報告」,確認雲端資料庫不持有任何病患身分映射紀錄。本公司應於 30 個工作日內提供。
10.1 協議位階:本協議為《brioCAST 商業帳戶服務條款》及各功能附約之資料處理補充文件。就個人資料處理、資料控制者 / 處理者分工、資料安全、次處理者、資料刪除與稽核事項,本協議優先於其他文件適用;個別訂單、採購文件或企業書面協議另有更高安全要求者,從其約定。
10.2 存續:本協議於商業帳戶或相關模組終止後,對於終止前已發生之資料處理、保密、刪除、稽核、資安事件調查、爭議處理及依法應保留之紀錄,於必要範圍內繼續有效。
10.3 準據法與管轄:本協議以中華民國法律為準據法。因本協議所生之爭議,以臺灣臺北地方法院為第一審管轄法院;企業客戶之個別書面協議另有管轄或爭議解決約定者,從其約定。
10.4 可分割性與不拋棄權利:本協議任一條款經認定無效、違法或不可執行者,不影響其他條款效力。任一方未即時行使本協議權利,不視為拋棄該權利或其他權利。
10.5 電子同意與版本證據:資料控制者透過 Partner Portal、API、訂單、書面或其他本公司核准方式同意本協議者,本公司得保存 document_id、document_version、document_hash、consented_at、ip_address、user_agent、consent_method 等紀錄作為版本與同意事實之證明。
10.6 語言:本協議以繁體中文為正式版本;如提供英文或其他語言譯本,僅供參考。中外文版本不一致時,以繁體中文版本為準。
| 場域 | 建議雲端資料最小化範圍 | 禁止或需另約之資料 |
|---|---|---|
| 餐飲 / 咖啡 / 外帶 | 候位、取餐、訂單、優惠券、支付狀態與必要聯絡資訊 | 完整信用卡號、身分證件影本、不必要之健康或敏感資料;食品功效或醫療效能宣稱資料不應作為 AI 訓練或廣告自動生成素材 |
| 診所 / 醫療院所 | 匿名排隊號碼、候診狀態、一般公告與衛教內容代碼 | 病患姓名與號碼映射、健保卡號、身分證字號、病歷、診斷、處方、檢驗報告、診療影像、醫療費用明細等醫療資料不得進入 brioCAST 雲端 |
| 醫美 / 美容保養 | 預約、叫號、服務分類、活動代碼、一般客服聯絡資訊 | 術前術後照片、療程紀錄、注射/手術紀錄、醫療器材參數、病歷或敏感健康資料,除非另行完成書面 DPA、同意與安全審查 |
3.1 攝影機部署限制:受眾分析模組不得部署於診間、治療室、諮詢室、更衣室、廁所、收銀櫃檯近距離、病歷/處方/付款資訊可見區域或其他合理期待隱私之空間。
3.2 本地端責任:若場域主自行將 brioCAST 邊緣設備與 POS、HIS、EMR、CRM、門禁、攝影機或其他第三方系統整合,場域主應自行確認合法基礎、最小化原則、告知義務與資訊安全措施;未經本公司書面確認之自改整合,不屬本協議承諾範圍。
6.1 Edge Agent、MDM、VPN、Tailscale、SSH 或同等遠端維運工具所產生之裝置資料,限於設備識別碼、連線狀態、App 版本、OS 版本、錯誤碼、CPU / RAM / 溫度 / 儲存空間、播放同步狀態、截圖證明或操作紀錄。
6.2 診所、醫美與高資安場域之遠端維運資料不得包含病患資料、醫療資料、術前術後照片、付款卡號或可識別自然人之影像。需要遠端登入者,應以書面核准、限時維護窗口、最小權限與可稽核紀錄為原則。
6.3 本公司不得將遠端維運工具作為未經授權之常駐後門;場域主得要求停用、撤銷、輪替金鑰或調整維護模式。