資料處理協議
這份資料處理協議, 白話讀懂。
v1.2.1 · 自公告日起生效
撰寫方式讓你的資料保護長(DPO)能一次審閱完畢。每一項條款、子處理者與保護措施皆完整載明。簽署版 PDF 內容與此完全一致。
範圍與角色
誰負責 什麼、處理誰的資料。
在本 DPA 之下,客戶為資料控管者,Sageio 則以處理者身分代表客戶處理資料。Sageio 處理個人資料僅為提供約定的服務——即時會議翻譯、轉錄與摘要——且僅依客戶的書面指示進行。本 DPA 構成 Sageio 與客戶之間訂閱協議的一部分;如有衝突,於個人資料處理事項上,以本 DPA 為準。本協議適用於與 Sageio 平台相關所進行的一切處理活動。
處理的資料
我們處理什麼、 以及為何得以處理。
| 資料類別 | 處理目的 | 法律依據(GDPR 第 6 條) | 保留期限 |
|---|---|---|---|
| 會議音訊 | 於會議進行中執行語音轉文字之轉錄與翻譯。 | 第 6(1)(b) 條——契約之履行。 | 即時串流轉寫、僅於記憶體中處理;不寫入任何儲存。不用於模型訓練。 |
| 會議逐字稿與翻譯 | 供客戶工作區成員儲存與調閱。 | 第 6(1)(b) 條——契約之履行。 | 保留至客戶刪除或帳號刪除為止。 |
| 摘要與待辦事項 | 由逐字稿衍生、AI 生成的會議產出。 | 第 6(1)(b) 條——契約之履行。 | 依逐字稿之保留期間。 |
| 帳號識別資料(姓名、電子郵件、角色) | 驗證、工作區存取與稽核記錄。 | 第 6(1)(b) 條——契約之履行。 | 帳號存續期間,加上關閉後 30 天。 |
| 工作區與使用中繼資料 | 服務運作、帳務勾稽與濫用防範。 | 第 6(1)(b) 條與第 6(1)(f) 條——維護服務完整性之正當利益。 | 自產生起 12 個月。 |
| 稽核日誌 | 資安監控與客戶存取審查。 | 第 6(1)(f) 條——維護資安之正當利益。 | 自產生起 12 個月。 |
| 帳務識別資料 | 訂閱管理。付款卡片資料由 LemonSqueezy 以登記商家(Merchant of Record)身分處理,Sageio 不予儲存。 | 第 6(1)(b) 條——契約之履行。 | 帳號存續期間,加上為稅務記錄保留的 7 年。 |
子處理者
完整的 保管鏈。
| 子處理者 | 用途 | 處理所在地 |
|---|---|---|
| Amazon Web Services | 雲端代管、物件儲存、加密金鑰管理。 | 客戶自選區域(預設:新加坡,亞太)。Enterprise 方案支援歐盟與美國。 |
| Neon | 代管的 PostgreSQL 資料庫,用於應用程式資料。 | 與客戶主要 AWS 區域相符之區域。 |
| Vercel | 代管行銷網站與面向客戶的網頁應用程式。 | 全球邊緣網路。來源:客戶選定區域。 |
| Clerk | 驗證、單一登入與身分管理。 | 美國。 |
| Deepgram | 會議音訊的語音轉文字轉錄。 | 美國。 |
| OpenAI | 會議音訊之即時語音轉文字轉錄(新工作區之預設引擎)及上傳音訊檔案之轉錄。 | 美國。 |
| DeepL | 逐字稿暫定段落之翻譯,及特定目標語言之定稿翻譯。 | 德國(歐盟)。 |
| Google (Gemini API) | 定稿段落之翻譯精修;AI 產生之摘要與行動項目。 | 美國。依付費層 Gemini API 條款,資料不用於訓練 Google 模型。 |
| Resend | 交易郵件遞送(帳號與服務通知;及依用戶要求寄送之會議摘要郵件)。 | 美國。 |
Lemon Squeezy(Stripe 集團公司)並非子處理者:其作為 Merchant of Record,就金流、稅務與發票自主決定處理目的,屬獨立的資料控制者,適用其自身隱私政策。
Plausible(無 cookie 網站分析)僅用於行銷網站,不處理本 DPA 下之平台個人資料;已於隱私政策揭露。
處理者承諾
第 28 條, 寫進契約。
本承諾構成 DPA 之一部。英文版為具拘束力之版本;中文版依簽核版譯出,如有歧異以英文版為準。
- 子處理者變更
- Sageio 於 sageio.net/subprocessors 維護現行子處理者清單。新增或更換子處理者前,Sageio 將以電子郵件或應用程式內通知,給予客戶至少 30 日之事前通知。客戶得於通知期間內基於合理之資料保護理由提出異議;雙方無法解決異議者,客戶得終止受影響之服務,並就未使用期間取得預付費用之按比例退款。Sageio 對各子處理者課以與本 DPA 相當之資料保護義務,並就其履行負責。
- 個資事故通知
- Sageio 於確認發生影響客戶個人資料之個資事故後,將不遲延地、且無論如何於 24 小時內通知客戶,並提供客戶履行 GDPR 第 33 至 34 條義務所合理必要之資訊,且隨調查進展持續更新。
- 刪除與返還
- 服務終止或屆期時,Sageio 將依客戶之選擇,於 30 日內刪除或返還全部客戶個人資料,並刪除其餘複本,但適用法律要求保存者除外。加密備份中之個人資料依標準之 30 日備份輪替週期清除。
- 協助與稽核
- 考量處理之性質,Sageio 將以適當之技術與組織措施協助客戶回應資料主體之請求,並協助客戶履行 GDPR 第 32 至 36 條之義務,包括資料保護影響評估及事前諮商。Sageio 將提供證明遵循第 28 條所合理必要之資訊——包括滲透測試摘要及(如有)稽核報告——並允許客戶或其委任之稽核人進行稽核(含實地查核),以每十二個月一次為限,經 30 日事前通知,費用由客戶負擔並受保密義務拘束。
- 保密與指示
- Sageio 確保經授權處理個人資料之人員均負保密義務。Sageio 認為客戶之指示違反適用之資料保護法律者,將不遲延告知客戶。
- 客戶保證
- 客戶保證其就依本 DPA 指示之處理已具備合法依據,包括適用法律所要求之對與會者之告知與同意,且——會議內容附帶含有特種個人資料者——具備 GDPR 第 9(2) 條之要件。Sageio 不以聲音識別任何人,亦不建立任何生物特徵模板。
- 效期、準據法與責任
- 本 DPA 隨訂閱協議生效並與其同其存續期間;以同一法律為準據法,且服務條款中之責任限制適用之,但強行之資料保護法律另有規定者除外。
安全措施
工程實作對上 承諾。
Sageio 採行與處理風險相稱的技術與組織措施,包括傳輸中加密(TLS 1.3)與靜態加密(AES-256-GCM)、角色型存取控管、稽核記錄、定期滲透測試,以及一套有文件記載的事件應變流程。正式環境的存取須具備明確的業務正當理由、有時限限制並留存記錄。完整的措施清單,連同當前法規遵循計畫狀態,皆公開於資安頁面,並隨計畫演進而更新。
跨國傳輸
跨境資料, 合法流動。
當個人資料傳輸至歐洲經濟區、英國,或其他具同等限制的司法管轄區之外時,Sageio 依循歐盟執委會的標準契約條款(Standard Contractual Clauses,模組二:控管者對處理者),並於適用時依循英國國際資料傳輸附錄。對於受適足性決定涵蓋之司法管轄區的傳輸,Sageio 即依該決定辦理。子處理者透過契約義務向下延伸,受同等義務之拘束。對於在資料輸出者司法管轄區之外處理個人資料的每一家子處理者,皆進行傳輸影響評估。
SCC(模組二:控制者對處理者)及英國國際資料傳輸附加條款,以引置方式併入本 DPA。附件一(當事人;處理說明)由雙方資訊及上方「處理之資料」表構成,其內容可能附帶包含會議內容中之特種個人資料;附件二(技術與組織措施)由「安全措施」節構成;附件三(經授權之子處理者)由「子處理者」表構成。如有牴觸,以 SCC 為準。
資料當事人權利
你的使用者的 權利,是我們的義務。
- 存取權——確認並提供所處理個人資料之副本。
- 更正權——更正不正確或不完整的資料。
- 刪除權——於收到有效請求後 30 天內刪除,惟受法定保留要求之限制。
- 限制處理權——於特定情形下限制資料之處理。
- 資料可攜權——以結構化、機器可讀的格式匯出。
- 反對權——包括反對基於正當利益所進行的處理。
- 向相關監理機關提出申訴之權利。
聯絡方式
真人, 具名信箱。
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio 由好客網路股份有限公司(統一編號 29041135,於台灣登記)營運。登記地址:臺北市信義區虎林街205號。隱私聯絡信箱:privacy@sageio.net。
版本歷程
- v1.2.12026 年 6 月 14 日Gemini 付費層確認完成(過渡括注移除);子處理者承諾改指向已上線之 /subprocessors 專頁;新增處理者承諾與 SCC 併入條款之繁體中文版。
- v1.2June 13, 2026子處理者表更正:新增 OpenAI(即時語音轉文字,新工作區預設引擎);DeepL 用途擴及特定語言之定稿翻譯;Resend 用途納入會議摘要郵件;Gemini 條款依據更正為付費層 API(確認進行中)。移除「可設定保留期間」之陳述以符合系統現況。
- v1.12026 年 6 月 13 日新增 Art 28 處理者承諾條款;子處理者表擴充(DeepL、Resend);保存期條目依系統實際行為更正;併入 SCC 與 UK Addendum 及 Annex 對映。
- v1.0自公告日起生效初次公告。