Data Processing Agreement (DPA) · Version 2.1.1 · 生效日期:2026 年 3 月 31 日
1.1 「資料控制者(Data Controller)」:指採用 brioCAST 平台之商業帳戶(場域主)。
1.2 「資料處理者(Data Processor)」:指酷石有限公司(TiKOUS, Inc.),僅依資料控制者之指示處理個人資料。
1.3 「假名化(Pseudonymization)」:指以技術手段使資料在不使用額外資訊的情況下無法歸因於特定當事人之處理程序。假名化資料仍屬個人資料,受個人資料保護法全面保護。
1.4 「零知識排隊序號(Zero-Knowledge Queue Number)」:指經邊緣映射架構產生之當日匿名整數序號,其與任何自然人身分識別資訊之對應關係僅存於場域本地端加密暫存區,brioCAST 雲端伺服器不持有任何映射紀錄。
| 措施 | 說明 |
|---|---|
| 傳輸加密 | 所有 API 通訊採 TLS 1.2+ 加密傳輸 |
| 邊緣加密(非醫療場域) | 身分資料於設備端即時 SHA-256 假名化處理,雲端不持有原始值 |
| 邊緣映射加密(醫療場域) | 本地映射表採 AES-256-GCM 加密儲存,金鑰由作業系統層級之硬體安全機制保護(如 Windows DPAPI、macOS Keychain 或 Linux Kernel Keyring),以確保跨平台相容性;跨日自動安全清除 |
| 存取控制 | RBAC,僅授權人員得存取生產環境 |
| 資料隔離 | PostgreSQL tenant_id 邏輯隔離 |
| 備份 | 每日自動備份,保留 30 日 |
| 金流隔離 | ECPay 信託專戶處理,brioCAST 不經手 |
4.1 資料處理者應於知悉後 24 小時內通知資料控制者,並於 72 小時內提供初步事件分析報告。
4.2 非醫療場域之假名化資料(SHA-256 雜湊值)外洩時,資料處理者應評估依現有技術手段反向識別之可行性,並於通報中說明風險等級。資料處理者不得以「單向加密」為由逕行主張無識別風險,每次事件應重新評估。
4.3 醫療場域採零知識架構,雲端資料庫不持有任何病患身分資料。如發生外洩,資料控制者(診所)僅需就本地端設備之加密暫存區進行安全稽核。
5.1 合約終止後 30 日內刪除所有相關個人資料(法律要求保留者除外)。
5.2 資料控制者得要求匯出可機器讀取副本(JSON)。
經本平台處理後之「假名化(Pseudonymized)」數據,資料控制者同意授權本公司進行統計聚合與分析。僅當該數據已達「依現有合理技術手段難以反向識別自然人」之高度聚合狀態(門檻:單一場域單日流量不低於 50 筆之統計匯總),始得作為本公司優化 AI 演算法之非識別性訓練資料集。
本條不得解釋為豁免資料控制者依個人資料保護法第 11 條提出之刪除請求。企業客戶得隨時以書面形式向 privacy@briolabs.io 要求退出(Opt-out)AI 訓練資料授權,本公司應於 14 個工作日內確認執行並提供書面回覆。
| 次處理者 | 服務內容 | 資料處理地區 |
|---|---|---|
| 綠界科技 (ECPay) | 金流代收代付、KYC 審核 | 台灣 |
| AWS / GCP REVISED | 雲端基礎設施 | 台灣 (ap-east-1) 或 日本 (ap-northeast-1)。資料處理地區限定於上述兩地,不得路由至其他境外節點。如因技術維運必要須暫時使用其他節點,應事前以書面通知資料控制者。 |
| LINE Platform | LIFF 微會員、推播 | 日本 / 台灣 |
新增次處理者前 14 日通知資料控制者,資料控制者得於 10 個工作日內以書面提出異議。
7.1 資料控制者得於合理預告(至少 14 個工作日)後進行稽核,每年不超過一次,但發生重大資安事件時不受次數限制。
7.2 稽核費用由資料控制者負擔。本公司得以提供第三方稽核報告(如 SOC 2 Type II 或同等級)替代現場稽核。
7.3 醫療場域專項稽核:採用醫療排隊模組之場域主得要求本公司提供「零知識架構技術驗證報告」,確認雲端資料庫不持有任何病患身分映射紀錄。本公司應於 30 個工作日內提供。