🔒 您的资料,您的钥匙
真正的隐私,不是藏起来,是您随时可以收回。
最后更新:2026 年 3 月 15 日|版本 2.0
馥灵之钥国际有限公司(统编:60303284)
说白了:我们不会把您的资料卖给任何人。搜集资料的目的只有一个,就是让服务做得更好、让您的体验更顺畅。以下用人话把法律该讲的事讲清楚。
一、我们搜集哪些资料
- 您主动提供的:姓名、电子信箱、出生日期、LINE 帐号(用于咨询预约和会员服务)
- 测算工具产生的:出生年月日、生命数字计算结果(仅在您的装置上运算,不会自动传回伺服器)
- 自动搜集的:浏览纪录、装置资讯、IP 位址(透过 Google Analytics 和 Facebook Pixel,用于改善网站体验)
- 付费服务相关:交易纪录、发票资讯(透过第三方金流处理,我们不储存信用卡号码)
二、搜集的目的
- 提供您要求的服务(咨询预约、线上测算、课程报名、电子报发送)
- 改善网站功能和使用体验
- 寄送您订阅的电子报或活动通知(您随时可以取消)
- 依法令规定保存交易纪录
法源依据:中华民国个人资料保护法第 19 条第 1 项第 5 款(经当事人同意)。
三、资料保存
- 会员帐号资料:帐号存续期间,删除后 30 天内完全清除
- 交易纪录:依税法规定保存 5 年
- 测算结果:预设储存在您的浏览器,清除浏览资料即消失;登入会员后,部分结果会存于云端供您跨装置查看
- 网站分析资料:Google Analytics 预设保留 14 个月
储存位置:会员资料存放于 Google Firebase(伺服器位于 asia-east1 台湾节点),受 Google 资安标准保护。
四、资料分享与跨境传输
我们不会出售、出租或交换您的个人资料。以下情况除外:
- 您明确同意的情况
- 配合司法机关依法调取
- 为完成交易所必要的第三方服务商(金流处理、电子报平台、AI 解读 API),且均要求其遵守同等隐私标准(详见 §八之二 第三方资料处理商完整清单)
📌 跨境传输法源(个资法 §21)|本平台主要伺服器位于 Firebase asia-east1(台湾节点),但部分必要服务(Vercel API · Anthropic Claude · xAI · OpenAI · MailerLite)于美国节点处理。依个资法第 21 条规定,国际传输基于以下法源之一:①当事人明示同意(您于本隐私政策浏览过后使用本服务即视为同意)、②为履行与您之契约所必要、③第三方服务商均承诺不参与训练(Anthropic / OpenAI Commercial Terms)并遵守 GDPR 标准合约条款(SCCs)。如您不同意跨境传输,请停止使用本平台之 AI 解读与线上付款功能。
五、Cookies 与追踪技术
本网站使用以下追踪技术,分为三类,您可分别决定是否接受:
必要型(无法关闭)
- Firebase Authentication|功能:会员登入状态维持、跨装置同步|未开启即无法登入会员与付费
统计分析型(可关闭)
广告成效型(可关闭)
- Facebook Pixel(ID: 1333106288588347)|功能:广告成效追踪、再行销|停用方式:Facebook 广告偏好设定 · 或浏览器设定阻挡第三方 Cookies
您可随时透过浏览器设定(Chrome / Safari / Firefox 隐私模式 · 阻挡第三方 Cookies)关闭统计与广告型追踪,必要型功能不受影响。
📌 Cookie 设定随时可改|本平台所有页面 footer 永久显示“Cookie 设定”连结(位于“支援法律”展开区)· 您可随时调整偏好。本平台依 EDPB 2026 推荐之“分层揭露”设计 · 不以全屏 cookie banner 打扰使用者。广告类 cookie(FB Pixel)预设关闭 · 符合 GDPR Art.7 + TCF v2.2 + CPRA 2026“specific consent”要求。
六、未成年人
本网站的测算工具和内容仅供参考,不限制年龄使用。但付费服务的购买须年满 18 岁,或由法定代理人(父母)共同同意。
依《儿童及少年福利与权益保障法》§2 规定,本平台不会刻意搜集未满 12 岁儿童(儿童)的个人资料;12 岁以上未满 18 岁(少年)使用付费服务或开启双人互动功能,需由法定代理人同意。
家长若发现未成年子女未经同意注册或付费,可来信 info@hourlightkey.com 申请帐号移除与退费,本公司会于 7 个工作日内处理。
七、您的权利
依据个人资料保护法第 3 条,您有权查询、阅览、请求复本、补充更正、停止搜集处理利用、请求删除您的个人资料。
行使方式:来信 info@hourlightkey.com,我们会在 15 个工作天内回复处理。
八、资讯安全
全站 HTTPS(TLS 1.2+)加密传输、Firebase 帐号系统采用业界标准安全机制(密码杂凑 + 双因素验证选项)、管理后台采白名单存取权限控管(仅 3 个帐号)、Firestore Security Rules 分级管控、定期检视资安措施。
金流加密金钥管理
- PAYUNi 金流加密采 AES-256-GCM(HashKey + HashIV 加 EncryptInfo + AuthTag · SHA-256 签章)
- 金钥储存于 Vercel 环境变数加密区(不入 git · 不写入伺服器 log · 仅 serverless function runtime 注入)
- 金钥轮换机制:发生资安事件或人员异动时即刻轮换 · 平时每年定期检视
- 付款资讯(卡号、CVV)完全不经本平台·由 PAYUNi 直接加密传递至发卡银行
- 本平台仅保留:商店订单号(MerTradeNo)、PAYUNi 交易序号、金额、付款时间(依商业会计法 §38 保存 5 年)
虽然我们尽力保护您的资料,但没有任何系统能保证 100% 安全。如发现重大资安事件,我们将于知悉后 72 小时内采取以下措施:
- 通知受影响使用者(含外泄范围、可能影响、补救建议、紧急协助管道)
- 依《个人资料保护法》§12 + 2025 修法精神 · 通报个人资料保护委员会(PDPC · 过渡期间并通报目的事业主管机关)
- 提供受影响使用者必要协助(如帐号保护、密码变更指引、信用监控建议)
- 于官网首页与 LINE 官方帐号公告事件处理进度
八之二、第三方资料处理商完整清单
馥灵之钥使用以下经审慎评估的第三方服务处理用户资料,依用途分类并标明资料流向:
金流处理
- PAYUNi 统一金流(商店代号 U031269167)|处理:信用卡、ATM 虚拟帐号、超商代码缴费、Apple Pay、Google Pay|加密:AES-256-GCM|合规:通过经济部第三方支付业者审核|信用卡资讯不经本平台,由 PAYUNi 直接加密传递至发卡银行
身份认证与资料储存
- Firebase(Google)|资料区域:asia-east1(台湾节点)|处理:Email/Google 登入、会员资料、解读纪录、订阅状态|安全:Firebase Security Rules 限制读写权限
AI 解读与图片生成
- Anthropic Claude API(美国)|处理:馥灵时光卡 / 命理工具 / 铂金智慧焕颜 Vision 肌肤分析的 AI 解读生成|资料保护:解读请求不含完整个人识别资讯(不传递 email、真实姓名、地址、电话)|不参与训练:依 Anthropic Commercial Terms · 您的资料不会被用于训练模型|跨境传输法源:当事人同意(个资法 §21)
- xAI Grok API(美国)|处理:能量桌布 prompt 合成|资料:仅传递您指定的主题(如“招财”“平静”)+ 命盘计算结果·不传 PII
- OpenAI gpt-image-1 API(美国)|处理:能量桌布图像生成|资料:仅传递合成后的 prompt 文字·不传 PII|不参与训练:依 OpenAI API Data Usage Policy · API 资料预设不用于训练
- Google Gemini API(美国 · Google LLC)|处理:og 图 prompt 设计、影像分析备援、桌布 prompt 合成的多模态 AI 任务|资料:仅传递功能必要 prompt 与图像 · 不传 PII(email、姓名、地址、电话)|不参与训练:依 Google AI for Developers Terms · API tier 预设资料不用于训练模型|跨境传输法源:当事人同意(个资法 §21)
电子邮件通知
- MailerLite(帐号 ID 2060689 · 美国)|处理:订阅会员月礼通知、解读报告寄送、活动通知|退订机制:每封信件底部均提供一键退订连结|跨境传输法源:当事人同意(个资法 §21)
即时通讯与客服
- LINE Messaging API(@hourlight 官方帐号)|处理:客服讯息收发 · LINE Flex Message 预约通知伙伴|对话保存:客人主动传讯内容 90 天后匿名化(保留统计用聚合资料)· 员工回复纪录保留至帐号删除|不转发第三方
- Discord Webhook(内部营运频道)|处理:客户意见回馈(主动提交)+ 课程观看异常警示(多 IP 登入)转发给内部营运窗口|不公开 · 不转发第三方|资料保留:90 天滚动周期
前后端托管
- Vercel(Hobby plan · 美国节点 · 受 GDPR 标准合约条款 SCCs 规范)|处理:10 支 serverless API(金流、AI 解读、寄信、对帐)|环境变数加密储存,不在伺服器持久化用户资料|跨境传输最小化原则:仅必要栏位
- GitHub Pages|处理:静态前端 1100+ 页网站托管|不收 cookie、不追踪行为
以上第三方服务均经过合规审查,要求其遵守同等隐私保护标准。如未来有变更,将于本页更新并通知会员。
四之二、海外客人跨境传输专章
馥灵之钥提供全球华人服务,海外客人约占流量大宗。针对日本、澳洲、加拿大等司法管辖区之客人,我们依当地法律对齐揭露:
🇯🇵 四之二之一、日本客人(APPI 第 24 条对齐)
- 接收国|台湾(馥灵之钥国际有限公司 · 统编 60303284 · 桃园市桃园区艺文一街 86-6 号 17 楼)
- 台湾资料保护机制|《个人资料保护法》2025 年 10 月三读通过修正案 + 个人资料保护委员会 PDPC 监督
- 第三方处理商揭露|Anthropic(美国)/ xAI(美国)/ OpenAI(美国)/ Vercel(美国)/ Google Firebase(asia-east1 区位 · 台湾节点优先)
- 用途|提供 馥灵时光卡解读 / 命理工具 / AI 解读 / 桌布生成 / 铂金智慧焕颜 Vision 肌肤分析
- 法源|APPI 第 24 条跨境传输 + 2022/4 修正后接收国资料保护机制揭露义务
- 同意基础|您注册馥灵会员 / 使用 AI 解读服务时 · 即视为同意上述跨境传输
🇦🇺 四之二之二、澳洲客人(APP 8 对齐)
- 跨境揭露事实|您的个资将揭露给馥灵之钥国际有限公司(台湾)+ 4 家美国 AI 服务商
- 可能海外揭露通知|依 APP 1.4(f)(g) + APP 5.2(i)(j) · 我们在搜集您个资时即通知您此跨境揭露事实
- APP 8 保护告知|您资料离开澳洲后 · APP 8 部分保护可能不适用 · 但馥灵承诺依台湾个资法 + GDPR Article 13/14 透明性原则维护您权益
- 合理步骤|我们已采取以下步骤确保接收方符合 APP:① Anthropic Commercial Terms(不参与训练)② Firebase 分级存取控管 ③ AES-256-GCM 金流加密 ④ 72 小时内外泄通报机制
- 2024 改革对齐|不仅依赖合约 · 亦对齐澳洲 2024 改革加强之责任认定原则
🇨🇦 四之二之三、加拿大客人(PIPEDA + Bill C-27 CPPA 对齐)
- 资料传出加拿大事实|您的个资将传输到台湾(接收方馥灵之钥国际有限公司)+ 美国(4 家 AI 服务商)
- 外国当局存取风险告知|台湾 / 美国司法机关依当地法律可能存取您个资 · 我们依台湾《通讯保障及监察法》仅在合法令状下协助 · 并依《个资法》第 12 条于可行范围内通知您
- 保护机制|① 合约保障(依 PIPEDA 第 4.1.3 原则)② 接收方持续责任原则(馥灵对美国第三方仍负持续责任)③ 与接收方资料处理协议(DPA)对齐
- Bill C-27 CPPA 升级对齐|本平台已对齐即将生效之消费者隐私保护法(CPPA)对跨境责任 / 合约保障 / 透明揭露之要求
- 联络 OPC|如对跨境处理有疑虑 · 您可向加拿大隐私专员办公室(OPC · priv.gc.ca)查询
四之二之四、共通保障承诺
无论您来自哪个司法管辖区 · 馥灵承诺以下共通保障:
- 最小化资料搜集(不搜集真实姓名 / 地址 / 电话 / 身分证号)
- Firebase 分级存取控管(asia-east1 区位 · 台湾节点优先)
- 第三方完整揭露(4 家美国 AI + Vercel + Firebase + MailerLite)
- 72 小时内重大外泄通报机制(依台湾个资法 §12 修法 + GDPR Article 33-34)
- 训练模型例外:Anthropic Commercial Terms 您资料不会被训练
- 透明度:每次重大处理变更会主动以电子邮件通知
- 多语客服:中文 / English · 客服 email info@hourlightkey.com
📌 跨境权益行使|如您行使在地法律赋予之资料当事人权利(如日本 APPI 开示请求 / 澳洲 APP 12 存取请求 / 加拿大 PIPEDA 第 8 条存取请求)· 请来信 info@hourlightkey.com · 我们承诺 30 天内回复。
八之三、Firebase 资料分级保护机制
馥灵之钥 Firestore 采用分级存取设计,限制资料的读取与写入权限:
- 用户层资料(users/{uid}、解读纪录、订阅状态)|读取:本人 + 管理员白名单(3 个帐号)|写入:本人或经验证的后端 API
- 订单层资料(pendingOrders、orders、reading_codes)|读取:管理员 only|写入:金流回呼后端 only
- 事件统计(events 集合)|读取:管理员 only|匿名统计用途
用户删除权实作:客人可在会员中心或来信申请帐号删除,48 小时内执行 Firestore 集合连动删除(含 users 主档与所有子集合资料)。法定保留期间之金流交易纪录,将于符合《商业会计法》5 年保存期限后自动销毁。
资料保留期限|订阅与金流资料:5 年(法定)|解读纪录:保留至客人申请删除为止|事件统计(events):90 天滚动周期
八之四、GDPR + 个资法双轨符合声明
馥灵之钥主要服务台湾与东南亚华人,但采 GDPR 级别的资料保护设计原则,确保跨国用户(包含欧盟可能来访者)权益受保护:
- 资料最小化(Data Minimization)|只搜集服务必要资料,不索取多余个资
- 目的限定(Purpose Limitation)|资料只用于声明用途(解读生成、订阅通知、匿名统计)
- 可携权(Right to Data Portability)|客人可申请汇出个人资料(JSON 格式),15 个工作天内处理
- 被遗忘权(Right to be Forgotten)|客人可申请删除帐号与全部资料,48 小时内执行
- 透明度(Transparency)|每次重大处理变更会主动以电子邮件通知会员
- 个资法(台湾)|依《个人资料保护法》第 8 条告知义务、第 19 条使用目的限定、第 27 条资料当事人权利规范执行
如您对资料处理有任何疑虑,可随时来信 info@hourlightkey.com 或洽询个人资料保护委员会(PDPC · 2025 年 11 月 11 日总统公布修正案 · 过渡期内仍由各目的事业主管机关监督,PDPC 正式运作生效日由行政院定之)。
📌 2025 个资法修法重点告知|2025 年 10 月立法院三读通过、11 月总统公布之《个人资料保护法》部分条文修正案,主要变革包含:①成立独立监督机关 PDPC、②强化资料外泄通报义务(重大事件须通报 PDPC + 受影响当事人)、③强化行政检查权与管理裁量权。本平台已依新法精神先行对齐:72 小时内外泄通报机制、最小化资料搜集、Firebase 分级存取控管、第三方处理商完整揭露。
九、服务性质声明
馥灵之钥提供的所有服务(芳香能量觉察、牌卡解读、生命数字分析、线上测算工具等)仅供个人压力管理、情绪纾解、自我探索参考。本服务不构成亦不取代医疗诊断、专业心理协助、法律或财务建议。如有身心健康疑虑,请咨询合格医疗专业人员。
十、政策更新与联络
本政策如有重大修订,会在网站首页公告,并寄送电子邮件通知已注册会员。持续使用本网站即视为同意最新版本。
馥灵之钥国际有限公司|统编:60303284
桃园市桃园区艺文一街86-6号17楼
info@hourlightkey.com|LINE 咨询
十一、Relationship OS 双人罗盘资料处理专章
十一之一、搜集范围
本服务搜集你以下资料以提供 Relationship OS 功能:
- 你自选的昵称(最多 8 字 · 非真名建议)
- 23 题关系特质测验的答案
- 邀请码产生 / 接收的时间戳记
- 双人罗盘的“共同观察”结果(含 A/B 双方的类型、节奏对照、卡住点分析)
- “我愿意继续聊聊”状态(双方各自的 boolean 状态)
- 你的会员 UID(识别你的帐号用 · 不对 A/B 对方公开)
- 大师会员 entitlement 状态(用于开启自主靠近流程权限)
十一之二、不搜集 / 不保存 / 不转交的资料(律宝必标)
馥灵平台绝不处理以下资料:
- 对方的 Threads 帐号
- 对方的 Instagram 帐号
- 对方的 LINE ID / LINE 帐号
- 对方的电话号码
- 对方的 Email(除非该对方已是本平台会员 · 此时仅平台内部 UID 配对 · 不对另一方公开)
- 双方私下交换的对话内容(如双方自行加 LINE 后的讯息)
- 双方私下见面 / 通话 / 互动的任何纪录
✓ 即使在“自主靠近流程”中 · 馥灵也不会在系统内显示对方的 Threads / IG / LINE / 电话 / Email · 仅显示“请自行决定是否交换”的提示。
十一之三、邀请码资料流说明
- A 完成关系卡 → 系统产生 24 小时有效的邀请码(随机字串 · 不含任何个资)
- A 自行(透过自己既有的 LINE / IG / 当面)把邀请码传给 B
- B 收到邀请码 → 进入双人罗盘页 → 看到“即将与 A(A 的昵称)建立连结”同意页
- B 同意 → 完成 23 题测验 → 系统产出双人罗盘
- 邀请码用后即失效 · A 可重新生成
馥灵平台不主动传送邀请给任何人 · 邀请码必须由 A 自行传递。
十一之四、自主靠近流程资料流(律宝必标)
- 双方都按“我愿意继续聊聊”(系统记录各自的 boolean 状态与时间戳)
- 双方都按下后 · 系统显示安全提醒 + 3 句中性开场句参考
- 系统不显示对方的 Threads / IG / LINE
- 系统不传送任何讯息给任何一方
- 是否交换联络方式由双方离开馥灵平台后自行为之(例如透过已有的 LINE 群、实体当面交换、其他社群平台)
十一之五、保存期限
- 双人罗盘结果:保存 12 个月(自最后一次任一方访问起算 · 大师会员可永久保存于记忆墙)
- “我愿意继续聊聊”状态:保存 90 天(过期后系统视为不再有效 · 双方需重新表达)
- 满 12 个月未访问:系统自动匿名化(保留统计用聚合资料 · 删除可识别栏位)
- 你可随时于会员中心“断开双人罗盘”一键清除你方资料
- 自动续订同意纪录(功能未启用时为空):5 年(民法 §125 一般时效)
- 扣款历史纪录:7 年(依商业会计法)
- 取消自动续订纪录:3 年(消保法请求权时效)
- 平台支持费纪录(自愿性平台服务支持):5 年(保存于 events 集合 · 含金额/时间戳/PAYUNi 交易序号)
十一之十、隐私合拍模式资料处理(v4 · 律宝 SPEC v4 · Ruby msg 1503638731 + 1503639104 定版)
📌 重要:本模式无任何公开资料库 · 无任何公开档案浏览 · 配对档案资料仅供系统背景配对运算·不对其他使用者公开。
隐私合拍模式(系统背景合拍运算 + 双方同意才配对成功)的资料处理范围:
- 搜集范围:配对档案 6 栏(昵称 / 年龄区 / 地区 / 想认识方向 / 简短自介 + 脆 ID)+ 合拍通知接收纪录 + 接受/拒绝/封锁/检举行为纪录 + 编辑历史(90 天)
- 对其他使用者公开的范围:配对成功时双方仅互看对方脆 ID·其他资料(昵称 / 年龄 / 地区 / 自介)一概不揭露
- 合盘分析揭露限制:不可揭露任何一方生日 / 命盘 / 测验答案 / 卡牌 / 配对原因细节 / 完整报告内容·只能提供互动节奏 / 相处提醒 / 沟通建议 / 界线提醒 / 下一步安全互动建议
- 不搜集(永久禁止):LINE / IG / FB / 电话 / Email(除注册 email 不公开)/ 真名 / 详细住址 / 公司名称 / 个资法 §6 敏感个资(健康 / 政治 / 宗教 / 性倾向)
- 保存期限:配对档案 1 个月不活动 → 自动退出合拍池;主动退出 30 天内可恢复;之后永久删除可识别栏位(保留聚合统计);合拍通知 12 个月;检举纪录 5 年;封锁名单永久(用户可解除)
- 你的权利:随时查询 / 更正 / 删除你的配对档案 · 随时退出合拍池 · 随时封锁任何已配对成功对象 · 申请完全删除帐号 30 天内处理
- 跨境传输:Firestore asia-east1(台湾)· 不传出欧盟 / 中国 · 限台湾境内使用者
十一之九、自动续订资料处理(功能规划中 · 等 PAYUNi 客服确认后上线)
未来自动续订功能正式启用时 · 将额外搜集处理以下资料:
- 自动续订同意纪录(同意时间、IP、User Agent、checkbox 文字版本)
- 信用卡 token(PAYUNi 加密储存 · 馥灵平台不直接接触卡号)
- 扣款历史纪录(金额、时间、PAYUNi 交易序号)
- 取消自动续订纪录(取消时间、取消原因可选)
目前自动续订功能尚未启用 · 所有会员方案为单次付款 · 不会自动扣款。
十一之六、你的权利
- 查询权:随时查询你的 Relationship OS 资料
- 更正权:发现资料错误可申请更正
- 删除权:可申请永久删除(依资料类别有不同处理时程 · 一般 30 日内处理完成)
- 停止处理权:可随时停止本平台处理你的相关资料
- 同意撤回权:随时撤回同意 · 不影响撤回前已合法处理之部分
- 客服 LINE @hourlight 申请
十一之七、国际传输
- Relationship OS 资料储存于 Firebase(Google Cloud asia-east1 · 台湾地区)
- 不传出欧盟 / 不传输至中国大陆境内伺服器
- 美国 OpenAI / Anthropic API 仅处理你的测验答案进行分析 · 不留存个资 · 不训练模型
十一之八、资料外泄通报
若发生 Relationship OS 相关的个资外泄 · 本公司于知悉后 72 小时内:
- 通报受影响的使用者(含外泄范围、可能影响、补救建议)
- 依个资法 §12 通报主管机关(国家发展委员会 / 数位发展部)
- 提供使用者免费的相关协助(如帐号保护、密码变更指引)
十二、同意机制设计(v3.0)
本平台采用“分层揭露 + 即时告知”(Layered + Just-in-Time)同意机制 · 避免使用者体验中断 · 同时符合法律要求。
十二之一、为什么采用此设计
传统弹窗式同意(cookie banner、checkbox 弹窗)在 2026 年的研究显示:76% 使用者会在看到全屏弹窗时立即离开网站。欧盟资料保护委员会(EDPB)2026 年联合执法框架明确推荐“分层揭露”作为符合 GDPR 透明度要求的最佳实践。
十二之二、三层架构
- 第 1 层 · 注册时摘要:3 行人话摘要涵盖 90% 必要告知 + 全文连结
- 第 2 层 · 完整条款:terms.html §29、本隐私政策永远可查
- 第 3 层 · 即时微文案:4 个法定例外于触发点就地告知(结帐按钮 / 特种个资栏位 / 为他人算 / 广告 cookie)
十二之三、与业界对标
本设计对齐 Apple Privacy Policy(无弹窗)、Stripe 结帐(按钮内嵌告知)、Notion 注册(一次性同意 + footer link)、Linear(无 cookie banner、广告 cookie 预设关闭)等高端品牌做法 · 符合 2026 业界 best practice。
十二之四、法源依据
- 台湾《个人资料保护法》§15、§19、§27
- 台湾《消费者保护法》§19 通讯交易解除权
- 欧盟 GDPR Article 6、7、13
- EDPB 2026 Coordinated Enforcement Framework
- ICO Layered Privacy Notice Guidance
- 美国 CPRA 2026 对称原则
- IAB Europe TCF v2.2
十二之五、撤回与管理
会员可于“会员中心 → 帐号设定 → 同意管理”随时撤回任何同意 · 亦可于本页 footer“Cookie 设定”连结调整 cookie 偏好。