隱私權政策

生效日: 2026-05-08 / 最後修訂: 2026-05-08

1. 概述

32personas（以下稱「本服務」）珍視使用者的個人資料，並遵守個人資料保護法（PIPA）及相關法令。本政策明訂本服務所蒐集、利用、提供及銷毀之個人資料項目與處理方式。

2. 蒐集項目（最小化原則）

電子郵件地址——於建立帳號、訂閱電子報、儲存結果、客戶支援回應時
性格類型選擇結果——以 MBTI 為基礎的 16-32 種類型，經匿名化處理
年齡層・性別・國家——選填，供統計分析之用
付款資訊——由 Polar（第三方付款處理商）方處理，本服務僅保存 Polar 顧客 ID

3. 處理目的及保存期間

項目	目的	保存期間
帳號電子郵件	會員管理＋服務提供	退出後立即銷毀（個人資料保護法第 21 條）
客戶支援諮詢	回應＋爭議處理	3 年（消費者基本法施行令第 8 條）
付款資訊	付款處理＋會計	5 年（電子商務法第 6 條，委由 Polar 方）
問卷結果（性格類型）	服務品質改善	退出時匿名化後保存（無法識別）
外部登入連結資訊（oauth_identities）	對應 Google 等外部登入識別碼	解除連結或刪除帳號時立即永久刪除

項目: 帳號電子郵件
目的: 會員管理＋服務提供
保存期間: 退出後立即銷毀（個人資料保護法第 21 條）

項目: 客戶支援諮詢
目的: 回應＋爭議處理
保存期間: 3 年（消費者基本法施行令第 8 條）

項目: 付款資訊
目的: 付款處理＋會計
保存期間: 5 年（電子商務法第 6 條，委由 Polar 方）

項目: 問卷結果（性格類型）
目的: 服務品質改善
保存期間: 退出時匿名化後保存（無法識別）

項目: 外部登入連結資訊（oauth_identities）
目的: 對應 Google 等外部登入識別碼
保存期間: 解除連結或刪除帳號時立即永久刪除

4. 資料主體的權利

依據個人資料保護法，使用者可行使下列權利，並將於請求日起 30 日內處理完成。可於 /account/data/request 頁面直接提出請求，亦可透過電子郵件（support@monday.red）提出請求。

查閱權——確認所蒐集個人資料的處理現況及內容
更正權——請求更正不正確或不完整的資料
刪除權——請求刪除個人資料
處理停止權——請求停止個人資料的處理（行銷等）
自動化決策的拒絕·說明請求權（PIPA §37-2）——本服務執行兩類自動化處理：（a）SLOAN 性格評分演算法、（b）基於外部 LLM 的四柱推命解釋 narrative。如需拒絕或請求說明，請聯絡 support@monday.red。拒絕後相關自動化輸出將立即刪除並禁止閱覽。付款相關事項依照單獨的退款政策（/legal/refund-policy）。

5. 提供予第三方及跨境傳輸（韓國個人資料保護法第 17 條・第 26 條・第 28 條之 8）

本服務不會以廣告為目的將使用者的個人資料提供予第三方。下列受託公司會接收跨境傳輸的個人資料，各公司的隱私權政策請逕行參閱。（1）Supabase, Inc.——美國，資料庫儲存，自註冊起至帳號刪除後 30 日（電子商務法 5 年付款記錄另計）——傳輸方式：HTTPS API。（2）Polar Software Inc.——美國，付款處理，自付款時起，至付款・退款紀錄與稅務・會計義務所需期間——傳輸方式：HTTPS API。（3）PostHog Inc.——美國・歐盟，分析遙測（distinct_id、$pageview、點擊事件），30 至 365 天（依事件類型），可拒絕——傳輸方式：HTTPS API。（4）Vercel Inc.——美國，靜態資源代管與函式執行，請求時；Vercel 側邊緣／函式日誌保存依 Vercel 政策——傳輸方式：HTTPS。（5）Resend——美國，交易型電子郵件寄送（帳號驗證、資料匯出、退款通知），自寄送時起，依 Resend 公開政策所載期間——傳輸方式：HTTPS API。（6）DeepSeek（杭州深度求索）——中國，四柱推命解讀生成（出生年月日、時辰、性別），呼叫時起，依 DeepSeek 公開政策所載期間——傳輸方式：HTTPS API + audit_logs.input_hash 紀錄。拒絕權：來信 support@monday.red 即可停止依賴該受託公司的選擇性功能（例如 AI 四柱解讀——DeepSeek、分析——PostHog、交易型電子郵件——Resend）。若拒絕本服務營運所必要的受託公司（Supabase 資料庫、Vercel 代管、Polar 付款），本服務本身將無法繼續提供。

6. 安全措施

本服務透過 Supabase Row Level Security（RLS）、HTTPS 加密傳輸、定期安全 audit（每週 RLS coverage check）來保護個人資料。

7. 自動收集裝置（Cookie 等）告知（韓國個人資料保護法第 30 條）

本服務使用下列自動收集裝置。（1）pm_sid（HTTP-Only Cookie）——目的：登入工作階段識別，保存：30 日，拒絕方式：登出或清除瀏覽器 Cookie。（2）pm_consent（簽署 Cookie）——目的：保存分析同意狀態，保存：1 年，拒絕方式：清除後再次訪問時將重新顯示同意橫幅。（3）NEXT_LOCALE（Cookie）——目的：記住語言選擇，保存：1 年，拒絕方式：清除瀏覽器 Cookie。（4）pm_variant（Cookie）——目的：固定登陸 A/B variant，保存：30 日，拒絕方式：清除瀏覽器 Cookie。（5）PostHog 分析識別碼（localStorage + Cookie）——目的：分析遙測識別碼，保存：365 日，拒絕方式：依本政策所載拒絕途徑或於瀏覽器啟用追蹤封鎖。韓國以外地區的訪客於首次訪問時以同意橫幅處理（拒絕將阻擋 PostHog 呼叫）。韓國訪客依本條款與本政策處理；如不願使用分析識別碼，隨時可來信 support@monday.red 表達拒絕意願，將於 7 個營業日內處理完成。

8. 外部登入（Google OAuth）資料處理

當您使用 Google 帳號登入功能時，本服務會從 Google 取得部分資訊。Google 使用者資料的具體處理方式如下。

收集: 在 Google 登入握手過程中，本服務從 Google 暫時取得：（a）您的電子郵件地址，（b）您的 Google 帳號識別碼（OpenID Connect sub claim），（c）您的個人檔案顯示名稱與頭像 URL（若有）。但本服務僅將其中三項永久儲存於資料庫：電子郵件地址、Google 帳號識別碼（sub）、最近登入時間。顯示名稱與頭像 URL 不會被儲存。本服務不會請求也不會取得 Gmail、Drive、Calendar、Contacts 等其他 Google 服務的資料。
使用: 上述資訊僅用於帳號識別與登入認證。不用於行銷郵件、廣告投放、剖析或自動化決策。Google 登入連結紀錄可於會員安全頁面查看。
共享: 本服務不會將從 Google 取得的資料銷售、共享或轉移至第三方。資料不會超出上述 §6 所列之委託處理者（Supabase 資料庫儲存）範圍。
刪除: 您可在會員安全頁面（/account/security）的「外部登入連結」卡片中隨時解除 Google 帳號連結。解除後，oauth_identities 表中對應的列將立即刪除。若您刪除整個帳號（/account/delete-request），所連結的身分資料亦會同時立即刪除。

9. 經營者資訊與聯絡方式

運營者資訊（韓國《電子商務等消費者保護相關法律》第 10 條 + 《個人資料保護法》第 30 條法定告知義務）

商號：프로젝트먼데이（Project Monday）· 營業登記號：106-68-00711

聯絡渠道

support@monday.red（個人資料權利行使、退款、條款諮詢、技術支援，回覆 SLA 營業日 1–2 天）

個人資料保護負責人（DPO）將於上述經營者資訊揭露時一併指定。指定前，support@monday.red 為臨時 DPO 聯絡渠道。