文件代碼:PP-MAIN-002
版本:v2.0(2026-03-22 多 Vertical 通用化版本)
生效日期:2026-04-15
最後更新:2026-03-22
狀態:✅ 草稿完成 — 等律師審閱(4/10 deadline)
基礎文件:PP v1.5(
docs/legal/privacy-policy-v1.5-deploy-20260317.md)
適用法規:台灣個人資料保護法(2023 修正)+ 新加坡 PDPA 2012
變更摘要(v2.0,2026-03-22 Patch):
①Patch 1:適用範圍 & 標題多 Vertical 化
②Patch 2:定義章節(新增 Vertical、終端消費者、特種個資定義)
③Patch 3:§三 資料類型通用化(診所→機構用戶、患者→終端消費者)
④Patch 4:新增 §3.X 特種個資處理(PDPA §6 — 健康/透析 Vertical)
⑤Patch 5:§四 資料使用目的通用化
⑥Patch 6:§九 個資主體權利通用化
⑦Patch 7:全文 Vertical-neutral(牙科鎖定語言→通用語言)
⚠️ Clawd 部署說明
部署路徑:/privacy
生效日期:2026-04-15(可 4/14 預先部署)
現行版本:保存為 /privacy/history/v1.5
待填入項目(公司設立後補入):
[公司地址]— Simpany 完成後[統一編號]— 取得統編後[DPO 聯絡人]— 可先填 Forrest
與 v1.5 差異重點(供 Clawd QA 確認):
- 標題品牌:新增「及其他 Vertical 服務」
- 全文「診所」→「機構用戶」;「患者」→「終端消費者」
- §一 新增定義:Vertical、特種個資
- §3.X 新增:特種個資(健康/透析)處理規範
- §四 新增:多 Vertical 資料使用情境
- §九 新增:特種個資撤回同意機制
隱私權政策 / Privacy Policy
瑞聚連通有限公司 / CircleLinx AI(含 DentalLinx 牙聯通及其他 Vertical 服務)
版本:v2.0 | 生效日期:2026-04-15 | 最後更新:2026-03-22
一、總則與定義
🆕 v2.0 Patch 1 & 2:適用範圍通用化,新增 Vertical 及特種個資定義
瑞聚連通 Circlelinx Pte. Ltd.(過渡期)/ 瑞聚連通有限公司(TW,成立後)(以下簡稱「本公司」、「我們」),非常重視您的隱私權。本隱私權政策說明我們如何蒐集、使用、揭露、傳輸及儲存您的個人資料。
適用範圍:CircleLinx AI 網站(circlelinx.com)、各 Vertical 後台管理系統(app.circlelinx.com 及相關子域)及所有相關服務,包括但不限於 DentalLinx 牙聯通(牙科)、健康管理中心服務(健檢)、透析中心服務(洗腎)及未來新增之醫療或服務業 Vertical。
適用法規:
- 中華民國個人資料保護法(2023 修正版)
- 新加坡個人資料保護法 2012(PDPA)
- LINE Messaging API 服務條款
語言版本:本政策以繁體中文為主要版本。
定義
- Vertical:本服務所適用的特定產業場景(如牙科、健康檢查、透析、皮膚科等)。各 Vertical 可能有對應的補充資料處理協議(Addendum DPA),補充條款與本政策有衝突時,關於該 Vertical 資料處理事項,以補充條款為準。
- 機構用戶:指註冊並使用本服務的企業或機構(包含但不限於診所、健康管理中心、透析中心及其他醫療或服務業機構)。
- 終端消費者:指透過 LINE 官方帳號與機構用戶互動的自然人(包含患者、客戶、受檢者、腎友等)。
- 特種個資:依台灣個資法 §6 定義,包含醫療、基因、健康、性生活、犯罪前科、財務(信用)等高敏感度個人資料。特種個資須經當事人書面同意方可蒐集處理。
- 資料控管者(Controller):決定個人資料蒐集目的與方式的機構。本公司對機構用戶帳號資料為控管者;對終端消費者資料,機構用戶為控管者,本公司為受託處理者。
- 資料處理者(Processor):依控管者指示處理個人資料的機構。
二、資料控管者資訊
| 項目 | 說明 |
|---|---|
| 公司名稱 | 瑞聚連通有限公司(TW,設立中)/ CircleLinx Pte. Ltd.(SG,過渡期) |
| 品牌名稱 | CircleLinx AI(瑞連智能)/ DentalLinx 牙聯通(牙科 Vertical) |
| 統一編號 | [待補 — 公司設立後] |
| 公司地址 | [待補 — 公司設立後] |
| 資料保護聯絡人 | privacy@circlelinx.ai |
| 客服信箱 | support@circlelinx.ai |
三、我們蒐集的個人資料
🆕 v2.0 Patch 3:B2B 及終端消費者資料通用化;Patch 4:新增特種個資章節
3.1 機構用戶資料(B2B)
當您(機構管理者/院長/負責人)註冊使用本服務時,我們蒐集:
| 資料類型 | 用途 | 不提供之影響 |
|---|---|---|
| Email 地址 | 登入、通知 | 無法使用服務 |
| 密碼(加密儲存) | 帳號安全 | 無法使用服務 |
| 姓名 / 機構名稱 | 帳單、客服 | 無法開立發票 |
| 統一編號 | 電子發票 | 無法取得統編發票 |
| LINE 官方帳號 Token | AI 回覆功能 | 無法使用 AI 功能 |
| 知識庫內容(FAQ、服務說明等) | AI 回覆指導 | AI 效果受限 |
| 管理員操作日誌 | 稽核合規 | — |
| IP 位址(管理員) | 安全稽核 | — |
| Vertical 類型 | 功能配置與 E4 護欄調整 | — |
3.2 終端消費者資料(LINE 對話資料)
當您的終端消費者(患者/受檢者/腎友/客戶等)透過 LINE 與機構互動時,本服務處理:
| 資料類型 | 用途 | 保留期限 |
|---|---|---|
| LINE User ID | 識別用戶 | 帳號存續期間 |
| 顯示名稱(Display Name) | 個性化回覆 | 帳號存續期間 |
| LINE 頭像連結(Profile Picture URL) | 後台介面顯示 | 帳號存續期間 |
| 對話內容(訊息文字) | AI 回覆生成 | 90 天自動清除 |
| 訊息時間戳記 | 服務分析 | 90 天自動清除 |
重要說明:本公司為「資料處理者」,機構用戶為「資料控管者」。終端消費者個人資料由機構用戶控制,本公司依機構用戶指示處理。終端消費者如需行使個資權利,請優先聯繫您所互動的機構;如機構未回應,可聯繫 privacy@circlelinx.ai 協助轉達。
3.3 KB 網站爬取資料
當您啟用「KB 智慧啟動」功能並提供機構網站 URL 時:
- 爬取範圍:您提供 URL 之公開頁面(深度最多 2 層)
- 不蒐集:需登入的頁面、終端消費者個資、病歷、診療紀錄
- 原始資料保留:整理完成後 7 天自動刪除
- 爬取服務商:Cloudflare Browser Rendering(美國)
3.4 產業情報功能資料
情報中心蒐集之公開社群資料(PTT/Dcard 等):
- 僅蒐集:文章標題、摘要(前 200 字)、發文時間、原文連結
- 不蒐集:發文者個人識別資訊、私訊、非公開內容
- 停用後:30 天內刪除已蒐集資料
- 情報中心另適用《情報中心服務條款補充附件 v1.0》(詳見
/legal/intelligence-addendum)
3.5 系統自動生成資料
| 資料類型 | 保留期限 |
|---|---|
| AI 執行日誌(ai_execution_traces) | 365 天自動清除 |
| 系統稽核日誌 | 180 天 |
| 付款紀錄 | 7 年(稅法) |
三之一、特種個資處理(§3.X)
🆕 v2.0 Patch 4:新增章節,對應 PDPA §6 及健檢/透析 Vertical 合規要求
3.X.1 特種個資的定義與適用情境
依台灣個資法 §6,以下類型個人資料屬「特種個資」,須以書面同意為蒐集處理基礎:
| 特種個資類型 | 可能產生之 Vertical | 說明 |
|---|---|---|
| 醫療紀錄 / 診療資訊 | 所有醫療 Vertical | 含診斷、處方、病史 |
| 健康資訊 | 健康管理中心(健檢) | 健檢數值、BMI、慢性病史 |
| 基因資訊 | 不適用(本服務不處理) | — |
| 透析相關個資 | 透析中心(洗腎) | 腎功能指標、透析頻率、殘餘腎功能等 |
3.X.2 特種個資處理原則
Layer 1 — 技術防護(E4 護欄):
| Vertical | 護欄範圍 | 處理方式 |
|---|---|---|
| 所有 Vertical | AI 對話內容清洗(sanitizeForAI) | 送至 LLM 前去識別化 |
| 牙科(DentalLinx) | 牙科特定診斷詞彙偵測 | 觸發時 AI 拒答並轉介醫師 |
| 健康管理中心 | 健檢數值詢問偵測(血壓、血糖等) | 觸發時 AI 僅提供一般健康資訊,不解讀數值 |
| 透析中心 | 腎功能詞彙護欄(E4 洗腎關鍵字清單) | 觸發時 AI 強制轉介醫護人員;另見《透析中心 Pilot DPA v1.0》 |
如機構用戶所在 Vertical 需蒐集終端消費者特種個資(如健檢 Vertical 需記錄客戶健康偏好),機構用戶須自行確保:
- 取得終端消費者書面明確同意(個資法 §6 第一項第一款)
- 告知蒐集目的、利用範圍及資料保存期限
- 以「本服務條款第 §7.2 PDPA 合規聲明」為基礎,另行簽訂《資料處理協議(DPA)》
Layer 3 — 資料保留最小化:
| 場景 | 原則 |
|---|---|
| AI 對話中出現健康數值 | 清洗後 90 天自動清除(與一般對話紀錄相同) |
| 透析中心 Pilot 特種個資 | 依《透析中心 Pilot DPA v1.0》執行,須另行書面同意 |
| 健檢 Vertical 健康偏好記錄 | 由機構用戶控制;本公司依機構指示處理 |
3.X.3 各 Vertical 特種個資合規要求
| Vertical | 合規等級 | 適用 DPA | 備註 |
|---|---|---|---|
| 牙科(DentalLinx) | 🟢 低風險 | 診所服務協議 v2.0(含 DPA 附件) | 牙科不涉及 §6 特種個資主流程 |
| 健康管理中心(健檢) | 🟢 低風險 | 健康管理中心服務協議(待制)+ 本政策 §3.X | 依健檢合規 Checklist v1.0 執行 |
| 透析中心(洗腎) | 🔴 高風險 | 《透析中心 Pilot DPA v1.0》(必須另行簽署) | 腎功能=特種個資,Phase 2 啟動前須律師確認 |
| 其他 Vertical | 視情況 | 多產業 DPA 統一模板 v1.0 | 啟動前須完成合規評估 |
⚠️ 律師確認項目:透析中心 Vertical 的 PDPA §6 書面同意取得流程是否可透過 LINE 官方帳號的數位同意完成?(對應律師 Brief Q-ADD-001)
四、我們如何使用個人資料
🆕 v2.0 Patch 5:資料使用目的新增多 Vertical 情境
特定目的(依個資法公告分類):
- 040 行銷:服務推廣(限您同意後)
- 069 契約業務:SaaS 服務履約
- 181 其他業務:AI 客服服務
- 🆕 063 非公務機關依法定義務所進行個人資料之蒐集處理及利用:各 Vertical 法規遵循
法律基礎(個資法 §19):
- §19(1) 法律明文授權:合規義務
- §19(2) 公共利益:服務品質分析(去識別化)
- §19(5) 當事人同意:行銷、分析 Cookie
🆕 特種個資法律基礎(個資法 §6):
- §6(1)(1) 書面同意:適用於透析中心 Vertical 特種個資處理
我們使用資料的方式:
- 提供 AI 自動回覆服務(依各 Vertical E4 護欄配置)
- 建立和管理知識庫(依機構用戶 Vertical 情境)
- 發送服務通知與帳單
- 改善服務品質(去識別化分析)
- 法律合規與安全防護
- 🆕 多 Vertical 效能分析(匿名化,不含個人識別資訊)
我們不做的事:
- ❌ 不將個人資料出售給第三方
- ❌ 不用終端消費者對話訓練 AI 模型(AWS Bedrock 零留存確認)
- ❌ 不進行廣告投放
- ❌ 不跨 Vertical 共享終端消費者個資(各 Vertical 資料嚴格隔離)
五、資料分享與次處理者
本公司委託以下次處理者處理個人資料,均已簽訂具約束力之 DPA:
| 次處理者 | 用途 | 資料類型 | 儲存地 | 安全認證 |
|---|---|---|---|---|
| Supabase | 主資料庫(多租戶 RLS 隔離) | 對話/機構資料 | 日本東京 | SOC 2 Type II, ISO 27001 |
| AWS Bedrock | AI 推理(零留存) | 對話文字(已去識別化) | 日本 | SOC 2, ISO 27001/27018 |
| Vercel | 應用程式部署 | 匿名化日誌 | 亞太優先 | SOC 2 Type II |
| Google Analytics 4 | 匿名統計 | 匿名 Cookie | 美國 | ISO 27001, GDPR SCC |
六、資料保留期限
| 資料類型 | 保留期限 | 刪除機制 |
|---|---|---|
| 終端消費者對話記錄 | 90 天 | pg_cron 每日自動清除 |
| 試用帳號資料 | 試用後 30 天 | CRON-001 自動刪除 |
| 付費帳號資料 | 帳號終止後 30 天 | CRON-002 自動刪除 |
| AI 執行日誌 | 365 天 | pg_cron 自動清除 |
| LINE 頭像連結 | 帳號存續期間 | 帳號刪除時清除 |
| KB 爬取原始資料 | 整理後 7 天 | 自動清除 |
| 付款紀錄 | 7 年 | 依稅法保留 |
| 系統稽核日誌 | 180 天 | 滾動清除 |
| 🆕 透析中心特種個資 | 依 DPA v1.0 另訂 | 另見《透析中心 Pilot DPA v1.0》 |
七、資料安全措施
| 措施 | 說明 |
|---|---|
| 傳輸加密 | TLS 1.3(全站 HTTPS) |
| 靜態加密 | AES-256-GCM(每機構獨立金鑰) |
| 存取控制 | RLS(Row Level Security)多租戶隔離 — 26/26 Pass(3/21 重測) |
| 最小權限 | RBAC 角色存取控制 |
| AI 前置清洗 | sanitizeForAI 去識別化(送至 LLM 前) |
| 稽核日誌 | 所有存取操作留存記錄 |
| 🆕 Vertical 隔離 | 各 Vertical 資料嚴格隔離,跨 Vertical 不共享終端消費者個資 |
八、跨境個人資料傳輸(台灣個資法 §21)
| 傳輸目的地 | 資料類型 | 保護機制 | 合規依據 |
|---|---|---|---|
| 日本東京(Supabase) | 對話/機構業務資料 | 台灣充足性認定國家 | §21 充足性保護 |
| 美國(Cloudflare) | KB 爬取技術日誌(非個資) | 標準契約條款(SCC) | SCC 保護 |
| 美國(AWS Bedrock) | 匿名化 AI 推論(零留存) | 去識別化 + AWS DPA | 匿名化處理 |
| 美國(GA4) | 匿名化使用統計 | IP 匿名化 + Google DPA | 匿名化處理 |
您使用本服務即表示了解並同意前述跨境傳輸安排(click-wrap 同意,詳見服務條款 §7.2.1)。
九、您的個資法權利
🆕 v2.0 Patch 6:新增特種個資撤回同意機制
9.1 機構用戶的權利(台灣個資法 §10-13)
| 權利 | 行使方式 | 回應時效 |
|---|---|---|
| 查詢/閱覽 | 後台「帳號設定」或 Email | 7 工作天 |
| 複製/匯出 | 後台「匯出資料」(CSV/JSON) | 24 小時內準備 |
| 補充/更正 | 後台直接編輯 | 即時 |
| 刪除 | 後台「刪除帳號」或 Email | 30 天內完成 |
| 停止蒐集 | 取消訂閱即停止 | 即時 |
9.2 終端消費者的權利
如您是透過 LINE 與機構互動的終端消費者(患者/受檢者/腎友/客戶):
- 您的資料由機構用戶控制,請直接聯繫該機構行使權利
- 若機構未回應,可聯繫 privacy@circlelinx.ai,我們協助轉達
- 如需轉介至人工回覆,請在對話中輸入「轉真人」
9.3 🆕 特種個資撤回同意(透析 Vertical)
若您屬於適用特種個資處理的 Vertical(如透析中心),您的終端消費者(腎友)享有:
| 權利 | 說明 |
|---|---|
| 撤回書面同意 | 隨時撤回,不影響撤回前已合法進行的處理 |
| 完整刪除 | 撤回同意後,本公司協助機構用戶在 30 天內刪除特種個資 |
| 不歧視保護 | 撤回同意不影響終端消費者享有機構服務的基本權利 |
十、Cookie 政策
| Cookie 類型 | 用途 | 預設狀態 |
|---|---|---|
| 必要 Cookie | 登入驗證、安全防護 | 無法停用 |
| 功能性 Cookie | 語言偏好、介面設定 | 預設關閉,需同意 |
| 分析 Cookie(GA4) | 匿名頁面瀏覽統計 | 預設關閉,需同意 |
| 行銷 Cookie | 目前未使用 | — |
十一、兒童隱私
本服務對象為 18 歲以上之企業用戶,不針對兒童服務。如發現 13 歲以下兒童資料,立即刪除。家長疑慮請聯繫 privacy@circlelinx.ai。
十二、政策更新
重大變更:提前 30 天網站公告 + Email 通知,繼續使用視為同意。
次要變更:網站公告,繼續使用視為同意。
歷史版本:可於 /privacy/history 查閱。
十三、聯繫我們
| 用途 | 聯繫方式 |
|---|---|
| 個資權利行使 | privacy@circlelinx.ai |
| 一般客服 | support@circlelinx.ai |
| 法律事務 | legal@circlelinx.ai |
| 郵寄 | [公司地址待補] 法務部門 |
- 台灣:國家發展委員會 (02) 2316-5300
- 新加坡:PDPC — pdpc.gov.sg
附錄A:資料處理摘要
| 項目 | 說明 |
|---|---|
| 資料控管者 | 瑞聚連通有限公司(TW)/ CircleLinx Pte. Ltd.(SG,過渡期) |
| 統一編號 | [待補] |
| 法律依據 | 個資法 §19(1)(2)(5);特種個資依 §6(1)(1) 書面同意 |
| 主要目的 | LINE OA AI 自動回覆服務(多 Vertical) |
| 保留期限 | 對話 90 天 / 帳號終止後 30 天 / 付款 7 年 |
| 跨境傳輸 | 日本(主要)/ 美國(匿名化技術服務) |
| PDPA 合規評分 | 87/100(Q4-CONF-20260315) |
| Vertical 隔離 | ✅ RLS 多租戶隔離,跨 Vertical 不共享終端消費者個資 |
附錄B:v2.0 vs v1.5 變更對照
| 章節 | v1.5(dental-only) | v2.0(multi-vertical) | 說明 |
|---|---|---|---|
| 標題/適用範圍 | 牙聯通(DentalLinx) | 含牙聯通及其他 Vertical | Patch 1 |
| §一 定義 | 無 | 新增:Vertical/終端消費者/特種個資 | Patch 2 |
| §3.1 B2B 用戶 | 「診所用戶」 | 「機構用戶」 | Patch 3 |
| §3.2 終端消費者 | 「患者 LINE 資料」 | 「終端消費者」(含受檢者/腎友) | Patch 3 |
| §3.X 特種個資 | 無 | 新增全章節(健檢/透析合規) | Patch 4 |
| §四 資料使用 | 牙科服務 | 多 Vertical 服務 + 跨 Vertical 隔離 | Patch 5 |
| §九 個資權利 | 診所管理者/患者 | 機構用戶/終端消費者 + 特種個資撤回 | Patch 6 |
| 全文用語 | 診所/患者 | 機構用戶/終端消費者 | Patch 7 |
附錄C:律師審閱重點清單(4/10 送審)
| 項目 | 問題 | 優先 |
|---|---|---|
| C-1 | §3.X.3 透析 Vertical:PDPA §6 書面同意是否可透過 LINE 數位方式完成? | 🔴 |
| C-2 | §8 跨境傳輸:日本充足性認定是否需附相關文件? | 🟡 |
| C-3 | §3.X.2 Layer 2:機構用戶自行取得特種個資書面同意的法律責任分配是否合理? | 🟡 |
| C-4 | §9.3 特種個資撤回同意:30 天刪除期限是否符合個資法要求? | 🟡 |
| C-5 | 整體:PP v2.0 與各 Vertical DPA 的上下位關係是否清晰?衝突解決原則是否充分? | 🟡 |
驗收清單
⚠️ 待補事項(須在 Launch 前完成):
- 公司地址(TW 公司設立後補入)
- 統一編號(取得後補入)
- 律師正式審核(4/10 deadline,與 ToS v2.1 rev.1 同批送審)
版本:v2.0 | 起草:Atlas CSO | 更新:2026-03-22 | 狀態:草稿完成,等律師審閱
基礎文件:PP v1.5(docs/legal/privacy-policy-v1.5-deploy-20260317.md)
對應 ToS:v2.1 rev.1(drafts/tos-v2.1-rev1-20260322.md)