資料處理協議
資料處理協議, 平實易讀。
v1.2.1 · 自發布日期起生效
撰寫到令你嘅資料保護主任(DPO)可以一次過審批通過。每項條款、子處理者同保障措施都完整記錄。簽署版 PDF 載有相同內容。
範圍與角色
邊個負責 乜嘢,處理邊個嘅資料。
根據本 DPA,客戶為資料控制者,而 Sageio 代表客戶以處理者身分行事。Sageio 僅為提供合約服務——即時會議翻譯、轉錄同總結——而處理個人資料,並僅按客戶有文件記錄嘅指示進行。本 DPA 構成 Sageio 與客戶之間訂閱協議嘅一部分;如有衝突,就個人資料處理事宜,以本 DPA 為準。本協議適用於就 Sageio 平台進行嘅所有處理活動。
處理嘅資料
我哋處理乜嘢,以及 點解可以處理。
| 資料類別 | 處理目的 | 法律依據(GDPR 第 6 條) | 保留期 |
|---|---|---|---|
| 會議聲音 | 會議期間嘅語音轉文字轉錄同翻譯。 | 第 6(1)(b) 條——履行合約。 | 串流以作即時轉錄,並只喺記憶體中處理;永不寫入儲存。唔用於模型訓練。 |
| 會議逐字稿與翻譯 | 供客戶工作區成員儲存同檢索。 | 第 6(1)(b) 條——履行合約。 | 保留至客戶刪除或者帳戶刪除為止。 |
| 總結與待辦事項 | 由逐字稿衍生嘅 AI 生成會議產出。 | 第 6(1)(b) 條——履行合約。 | 跟隨逐字稿保留期。 |
| 帳戶識別資料(姓名、電郵、角色) | 驗證、工作區存取同稽核記錄。 | 第 6(1)(b) 條——履行合約。 | 帳戶有效期間,加上關閉後 30 日。 |
| 工作區與使用元資料 | 服務運作、帳單對賬同濫用防範。 | 第 6(1)(b) 條同第 6(1)(f) 條——維護服務完整性嘅正當利益。 | 自產生起 12 個月。 |
| 稽核記錄 | 安全監測同客戶存取檢討。 | 第 6(1)(f) 條——維護安全嘅正當利益。 | 自產生起 12 個月。 |
| 帳單識別資料 | 訂閱管理。付款卡資料由 LemonSqueezy 以登記商戶身分處理,Sageio 並無儲存。 | 第 6(1)(b) 條——履行合約。 | 帳戶有效期間,加上 7 年作稅務記錄之用。 |
子處理者
完整嘅 保管鏈。
| 子處理者 | 用途 | 處理地點 |
|---|---|---|
| Amazon Web Services | 雲端託管、物件儲存、加密金鑰管理。 | 客戶自選區域(預設:新加坡,亞太)。歐盟同美國喺企業方案提供。 |
| Neon | 供應用程式資料使用嘅託管 PostgreSQL 資料庫。 | 與客戶主要 AWS 區域相符嘅區域。 |
| Vercel | 市場推廣網站同面向客戶嘅網絡應用程式託管。 | 全球邊緣網絡。來源:客戶自選區域。 |
| Clerk | 驗證、單一登入同身分管理。 | 美國。 |
| Deepgram | 會議聲音嘅語音轉文字轉錄。 | 美國。 |
| OpenAI | 會議聲音嘅即時語音轉文字轉錄(新工作區嘅預設引擎),以及已上載聲音檔案嘅轉錄。 | 美國。 |
| DeepL | 中間逐字稿段落嘅翻譯,以及選定目標語言嘅最終翻譯。 | 德國(歐盟)。 |
| Google (Gemini API) | 已定稿逐字稿段落嘅翻譯潤飾;AI 生成嘅總結同待辦事項。 | 美國。根據付費級別 Gemini API 條款,資料唔會用嚟訓練 Google 模型。 |
| Resend | 交易電郵發送(帳戶同服務通知;應用戶要求發送嘅會議總結電郵)。 | 美國。 |
Lemon Squeezy (a Stripe company) is not a sub-processor: as Merchant of Record it determines its own purposes for payment, tax, and invoicing, and acts as an independent data controller under its own privacy policy.
Plausible (cookieless website analytics) operates only on our marketing site and does not process platform personal data under this DPA; it is disclosed in the Privacy Policy.
處理者承諾
第 28 條,白紙黑字 寫入合約。
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- 子處理者變更
- Sageio 喺 sageio.net/subprocessors 維護現行子處理者名單。喺新增或者更換子處理者之前,Sageio 會提前至少 30 日(以電郵或者應用程式內通知)通知客戶。客戶可喺通知期內,基於合理嘅資料保護理由提出異議;如雙方無法解決異議,客戶可終止受影響嘅服務,並就未使用期間已預付嘅費用獲按比例退款。Sageio 對每個子處理者施加與本 DPA 同等嘅資料保護義務,並就其履約承擔責任。
- 個人資料外洩通知
- Sageio 會喺確認影響客戶個人資料嘅個人資料外洩後,無不當延誤地,並無論如何喺 24 小時內通知客戶,並提供客戶履行 GDPR 第 33–34 條義務所合理需要嘅資訊,並隨調查進展提供更新。
- 刪除與返還
- 服務終止或者屆滿時,Sageio 會按客戶選擇,喺 30 日內刪除或者返還所有客戶個人資料,並刪除餘下副本,惟適用法律要求保留者除外。加密備份中嘅個人資料會喺標準 30 日備份輪換週期中清除。
- 協助與稽核
- 考慮到處理嘅性質,Sageio 會以適當嘅技術同組織措施,協助客戶回應資料當事人嘅要求,並協助客戶履行 GDPR 第 32–36 條下嘅義務,包括資料保護影響評估同事先諮詢。Sageio 會提供合理必要嘅資訊,以證明符合第 28 條——包括滲透測試摘要,以及在可提供時嘅稽核報告——並容許由客戶或者其授權稽核員進行稽核(包括實地審查),每十二個月不多於一次,須提前 30 日通知,費用由客戶承擔,並受保密約束。
- 保密與指示
- Sageio 確保獲授權處理個人資料嘅人員均承諾保密。如 Sageio 認為某項指示違反適用嘅資料保護法,會無不當延誤地通知客戶。
- 客戶保證
- 客戶保證就其根據本 DPA 所指示嘅處理已確立合法依據,包括適用法律所要求向會議參加者發出嘅通知同取得嘅同意,以及——當會議內容附帶包含特殊類別個人資料時——GDPR 第 9(2) 條下嘅一項條件。Sageio 唔會使用會議內容透過聲音識別任何人,亦唔會建立任何生物特徵範本。
- 期限、適用法律與責任
- 本 DPA 隨訂閱協議生效,並與其同期存續;受相同法律管轄,服務條款中嘅責任限制亦適用於本協議,惟強制性資料保護法另有規定者除外。
安全措施
工程遇上 承諾。
Sageio 實施與處理風險相稱嘅技術同組織措施,包括傳輸中(TLS 1.3)同靜止時(AES-256-GCM)加密、角色為本嘅存取控制、稽核記錄、定期滲透測試,以及有文件記錄嘅事故應變流程。生產環境存取須有明確業務理由、設時限,並予以記錄。完整嘅措施目錄(包括目前合規計劃狀態)發布喺安全頁面,並隨計劃演進而更新。
國際傳輸
跨境資料, 合法移轉。
當個人資料傳輸至歐洲經濟區、英國,或者其他設有同等限制嘅司法管轄區以外時,Sageio 依賴歐盟委員會嘅標準合約條款(單元二:控制者對處理者),並在適用時依賴英國國際資料傳輸附錄。對於傳輸至受充分性決定涵蓋嘅司法管轄區,Sageio 依賴該決定。子處理者透過合約逐層下傳受同等義務約束。對於每個喺資料出口方司法管轄區以外處理個人資料嘅子處理者,均進行傳輸影響評估。
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
資料當事人權利
你用戶嘅 權利,我哋嘅義務。
- 存取權——確認並取得所處理個人資料嘅副本。
- 更正權——更正不準確或者不完整嘅資料。
- 刪除權——於收到有效要求後 30 日內刪除,惟受法律保留要求限制。
- 限制處理權——喺特定情況下限制處理。
- 資料可攜權——以結構化、機器可讀嘅格式匯出。
- 反對權——包括反對基於正當利益嘅處理。
- 向相關監管機關提出投訴嘅權利。
聯絡
真人, 具名信箱。
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.
版本歷史
- v1.2.1June 14, 2026Gemini paid-tier confirmation completed (interim note removed); sub-processor commitment now points to the live /subprocessors page; Traditional Chinese translation of the processor commitments and SCC incorporation added.
- v1.2June 13, 2026Sub-processor table correction: OpenAI added (real-time speech-to-text, default engine for new workspaces); DeepL purpose extended to final translation for selected languages; Resend purpose includes meeting-summary emails; Gemini terms basis corrected to paid-tier API (confirmation in progress). Configurable-retention-window statements removed to match current system behavior.
- v1.1June 13, 2026Article 28 processor commitments added; sub-processor table expanded (DeepL, Resend); retention entries corrected to match system behavior; SCCs and UK Addendum incorporated with Annex mapping.
- v1.0Effective from publicationInitial publication.