← 返回文件中心 · 全平台適用
🏢 次處理者清冊 v1.3.1

次處理者清冊

Subprocessor Registry · Version 1.3.1 · 最後更新:2026 年 5 月 5 日

📋 版本異動紀錄(v1.3 → v1.3.1)

📋 版本異動紀錄(v1.2 → v1.3)

📋 版本異動紀錄(v1.1 → v1.2)

📋 上一版異動(v1.0 → v1.1)

📡 通知與異議機制

依據《資料處理協議 (DPA) v2.4》第 6 條,本公司新增次處理者前 30 日以書面(email + Partner Portal 通知)通知資料控制者。資料控制者得於收到通知後 14 日內以書面提出異議。

1現行次處理者 Current Subprocessors

次處理者 處理內容 資料類型 處理地點 生效日
Hostinger International Ltd. NEW
VPS / 雲端基礎設施		 API 主機伺服器、PostgreSQL 資料庫、運算資源 排隊紀錄、廣告曝光紀錄、聚合統計、帳戶資料 🇸🇬 新加坡 / 🇲🇾 馬來西亞 2025-01-01
Redis Ltd.
記憶體快取		 匿名聚合統計、Session 暫存、Idempotency keys 聚合統計暫存值(TTL 14 天) 🇸🇬 新加坡 / 🇲🇾 馬來西亞
隨主機部署		 2025-01-01
綠界科技 ECPay
金流服務商		 金流代收代付、KYC 審核、信用卡處理 交易資料、KYC 身分資料 🇹🇼 台灣 2025-01-01
LINE Platform
通訊整合		 LIFF 微會員、LINE 推播 LINE User ID(匿名識別碼)、推播內容 / 🇹🇼 台灣 2025-06-01
Anthropic, Inc. NEW
AI 內容生成		 AI 文案生成(Claude API) 無受眾資料、無個人資料、無場域統計。僅處理內容生成提示詞(Prompt)。 🇺🇸 美國 2026-04-15
MinIO(自架部署)
物件儲存		 靜態資產儲存(廣告素材、OTA 更新檔) 媒體檔案(不含個人資料) 🇸🇬 新加坡 / 🇲🇾 馬來西亞
隨主機部署		 2025-01-01

1B 1B 選配遠端維運與 Edge 管理服務

類別用途啟用限制
MDM / Android Enterprise / Esper 或同等服務APK 更新、Kiosk 鎖定、遠端重啟、硬體狀態監控依場域版本啟用;Secure / Medical 場域須書面核准與稽核紀錄
Tailscale / VPN / SSH 或同等遠端通道維護窗口、故障診斷、log 擷取不得作為未授權常駐後門;高資安場域預設關閉,按次核准
Edge Agent 診斷資料播放同步、錯誤碼、溫度、儲存空間、截圖證明不得擷取病患資料、付款資料、未授權影像或敏感畫面

1A預備次處理者 Planned Subprocessors v1.3 NEW

📌 預先通知用途:本表所列供應商尚未生效,僅作為依《資料處理協議 (DPA) v2.4》第 6 條之 30 日預先通知。狀態變更為 Active 前,本公司不會將任何客戶資料傳送、儲存或交予該等供應商處理。資料控制者得於各供應商之「異議截止日」前以書面提出異議。
次處理者 用途 Purpose 資料類別 Data Categories 處理地點 預計生效日 狀態 Status 異議截止日
Starti AI Studio 2.0 PLANNED
AI 廣告素材生成		 AI 廣告素材生成、creative variation、campaign brief-to-video 僅 creative brief(品牌名、商品文字、非個人化素材、非個人化場域類型)。不含受眾分析資料、醫療排隊資料、LINE UID、交易資料、tenant_id、venue_id、user_id。 待供應商確認(TBD) 2026-06-03 或之後(通知日 2026-05-05 起算 ≥ 30 日) Planned, not active 2026-05-20(通知送達後 14 日 / 啟用日前 ≥ 14 日,二者取較早)
📅 通知期計算規則:本表所列「最早啟用日」不得早於通知送達日 + 30 日曆日;「異議截止日」不得晚於最早啟用日 − 14 日曆日。實際通知送達日以本公司寄送 email 與 Partner Portal banner 之時間戳記為準(取較晚者),而非 bundle 準備日 / 文件生效日。
🔒 啟用前置防線:本公司任何 AI vendor 啟用前,均須通過下列產品防線(同 §2.2 Anthropic 隔離原則):
  • 透過 ai-gateway 服務之 allowlist-first schema(不傳 tenant_id / venue_id / user_id / 醫療資料 / 受眾資料 / 交易明細)
  • regex redaction 遮蔽 venue 代碼、Email、電話、統編、身分證
  • prompt hash audit + redaction_count 紀錄
  • 違反政策之請求自動拒絕並寫入稽核日誌

2關鍵安全隔離原則 NEW

2.1 受眾分析模組之服務隔離 / 邏輯隔離

🛡️ 重要保證:針對「受眾分析模組(AUDIENCE_ANALYTICS)」之聚合統計數據,本公司採用服務隔離 / 邏輯隔離原則,獨立部署於 Hostinger 新加坡或馬來西亞節點之專屬 PostgreSQL 實例(與主系統 schema 邏輯隔離)。受眾分析數據永不傳輸至 Anthropic、ECPay 或 LINE 等第三方服務。

2.2 Anthropic 之資料隔離保證

Anthropic(Claude API)僅用於 Phase 5 之 AI 文案生成功能(如 Flash-Buy 促銷文案、節慶祝詞、菜單描述)。本公司採以下技術手段確保資料隔離:

2.3 跨境傳輸適法性基礎

傳輸目的地法律基礎保護措施
新加坡(Hostinger) 個資法第 21 條 + 新加坡 PDPA(Personal Data Protection Act 2012),保護水準與台灣相當 TLS 1.3 傳輸加密、AES-256 靜態加密、ISO 27001 認證之資料中心
馬來西亞(Hostinger) 個資法第 21 條 + 馬來西亞 PDPA 2010 TLS 1.3 傳輸加密、AES-256 靜態加密、ISO 27001 認證之資料中心
美國(Anthropic) 僅限 AI 文案生成提示詞,不含個資,無個資法跨境傳輸限制適用 TLS 1.3、無資料保留(透過 API 一次性處理)
日本(LINE) 個資法第 21 條 + 個資保護委員會認定具充分保護水準之國家(日本個人情報保護法) 僅傳輸匿名 LINE UID,不含身份識別資料
📜 醫療場域特別保證:採用「醫療排隊模組(MEDICAL_QUEUE)」之場域,依《資料處理協議 v2.7.1》第 2.1 條之零知識架構,雲端資料庫僅儲存匿名整數序號,無任何病患身分資料跨境傳輸。即使 Hostinger 主機位於新加坡,brioCAST 雲端之設計目標為不持有可識別病患之映射資料;實際合規仍取決於場域端設定、告知與資料輸入方式。

3變更紀錄 Change Log

日期變更類型次處理者說明
2026-05-05新增 Added (Planned)Starti AI Studio 2.0列入 §1A 預備次處理者表;status: Planned, not active;用於 AI 廣告素材生成
2026-05-05新增 AddedHostinger International Ltd.VPS 主機提供商(新加坡 / 馬來西亞節點)
2026-05-05新增 AddedRedis Ltd.記憶體快取(隨主機部署)
2026-04-15新增 AddedAnthropic, Inc.Phase 5 AI 內容生成功能上線

4異議程序 Objection Procedure

如您對新增之次處理者有異議,請依以下程序辦理:

  1. 於收到通知後 14 日內,以書面方式(email 至 privacy@briolabs.io)提出異議並說明理由。
  2. 本公司將於收到異議後 10 個工作日內以書面回覆,說明是否接受異議或提出替代方案。
  3. 若雙方無法達成共識,資料控制者得依主約第 10 條終止條款辦理。

© 2026 brio labs | TiKOUS, Inc. · Subprocessor Registry v1.3.1

文件中心 · 主約 · DPA · 隱私權政策 · 附約 F