隱私權政策

1. 控制者與適用範圍

本隱私權政策說明 Codia Tech, LLC（下稱「Codia」「我們」），一家註冊於美國德拉瓦州、登記地址為 1111B S Governors Ave STE 21043, Dover, DE 19904 的有限責任公司，於您使用 codia.ai、Codia Studio、NoteSlide、我們的 Figma 外掛、API 及其他任何我們提供之產品或服務（合稱「本服務」）時，如何蒐集、利用、揭露及保護您的個人資料。

就歐盟／英國《一般資料保護規則》（「GDPR」）、巴西 Lei Geral de Proteção de Dados（「LGPD」）、韓國《個人資料保護法》（「PIPA」）、日本《個人資料保護法》（「APPI」）、加州《消費者隱私法》／《隱私權法》（「CCPA/CPRA」）及相類法律而言，Codia 為本政策下個人資料之控制者。

本政策以平易之用語撰寫，並就 AI 訓練、資料保留、儲存地點及第三方共用作出具體承諾，俾您清楚了解您的資料實際將如何被處理。

2. 我們蒐集的資料

您所提供之資料

帳戶資料 — 姓名、電子郵件、密碼（以雜湊儲存）、大頭貼、語言偏好。
付款資料 — 帳單姓名、地址、稅籍編號、卡別與末四碼、交易紀錄。完整卡號由符合 PCI-DSS 之支付處理商（Stripe 等）處理，Codia 不儲存。
用戶內容 — 您提交之檔案、影像、PDF、PSD／AI 檔、Office 文件、Notion 匯出、網址、提示詞、參考影像與其他材料。
通訊紀錄 — 您經支援、銷售、DMCA、DSA、隱私或安全管道傳送之訊息。

自動蒐集之資料

使用資料 — 瀏覽頁面、使用功能、點選、操作、時戳、工作階段時長、來源。
裝置與網路資料 — 瀏覽器類型、作業系統、裝置類型、螢幕解析度、語言、IP、由 IP 推導之概略位置、當機記錄。
Cookie 及類似技術 — 詳第 10 節。

來自第三方之資料

OAuth 提供者 — 您以 Google 或 GitHub 登入時，依您之授權接收姓名、電子郵件與大頭貼。
SSO／OIDC 提供者 — 企業客戶之單一簽入。
Figma 外掛環境 — 依外掛 manifest 所述之受限外掛權限資料。

3. 處理之法律基礎（EEA／英國／瑞士／巴西）

目的	GDPR 基礎	LGPD 基礎
提供本服務並處理用戶內容	契約履行（第 6(1)(b) 條）	契約履行（第 7 條第 V 款）
計費、詐欺防範、安全	法律義務 + 正當利益（第 6(1)(c)(f) 條）	法律義務 + 正當利益（第 7 條第 II、IX 款）
產品改進與分析	正當利益（第 6(1)(f) 條）— 使用彙總／假名化資料	正當利益（第 7 條第 IX 款）
行銷通訊	同意（第 6(1)(a) 條）	同意（第 7 條第 I 款）
非必要 Cookie	同意（ePrivacy 指令＋GDPR）	同意
法令遵循／法律主張	法律義務／法律主張（第 6(1)(c)、9(2)(f) 條）	法律義務（第 7 條第 II 款）

就您明確啟用之第三方整合（如 Notion、Canva、Figma），我們依據 GDPR 第 49(1)(b) 條（契約必要性）進行臨時傳輸。

4. 我們如何使用您的資料

我們利用個人資料以：(a) 提供、維運及保障本服務；(b) 處理交易、管理訂閱、防詐、遵守稅法；(c) 驗證用戶並偵測濫用；(d) 依您提示生成 AI 輸出；(e) 寄送異動郵件（驗證、密碼重設、計費、事件通知）；(f) 於您選擇加入或法律允許以正當利益為依據且您得反對時，寄送行銷；(g) 以彙總形式分析使用趨勢；(h) 遵守法律並執行條款。

我們不出售個人資料，亦不就 CCPA/CPRA 所稱之跨情境行為廣告「分享」個人資料。我們尊重加州居民之 Global Privacy Control（GPC）訊號。

5. AI 訓練與模型改進

我們不將您的用戶內容、提示詞、上傳檔案或 AI 生成輸出用於訓練、微調或改進任何 AI 模型——不論是我們自家模型或任何第三方基礎模型提供者之模型。

輸入以加密方式傳輸，僅用於生成您所請求之輸出，不納入任何訓練語料。
我方 AI 次處理者就 API 輸入與輸出負有合約層面之 不訓練 承諾（例如 OpenAI API 預設政策、Google Gemini API 商業條款），除非您明確選擇加入。
彙總且完全去識別化之指標（如每日生成次數、延遲）可用於衡量與改進系統效能；該等指標不含您的用戶內容或個人資料。
本服務不會在無有效人為審閱下作出產生法律或類似重大影響之自動化決策（GDPR 第 22 條、LGPD 第 20 條）。

6. 我們如何共用您的資料

我們不為任何第三方其自身之商業、行銷、廣告或 AI 訓練目的，向其出售、出租、交易或共用您的個人資料或用戶內容。

為運營本服務，我們依賴有限的次處理者嚴格代表我方行事，並受書面資料處理協議拘束，該協議納入 GDPR 第 28 條條款，並於適用時納入 2021 EU 標準契約條款、英國國際資料傳輸附錄、巴西適配 SCC 及符合 PIPA 第 28 條之跨境條款。

目前主要次處理者（完整最新清單見 /docs/subprocessors）：

次處理者	用途	處理地
Amazon Web Services, Inc.	雲端基礎設施、物件儲存（S3）、資料庫	美國（us-west-1）
Stripe, Inc.	支付處理	美國 / EEA
OpenAI, LLC	基礎模型（LLM、影像）	美國
Google LLC（Gemini / Imagen）	基礎模型（LLM、影像）	美國
Anthropic, PBC	基礎模型（LLM）	美國
Black Forest Labs GmbH	影像基礎模型（FLUX）	德國 / 美國
Recraft AI	影像基礎模型	美國
Ideogram, Inc.	影像基礎模型	美國
ByteDance（SeeDream）	影像基礎模型	新加坡（經區域端點路由；非中國用戶不在中國處理）
Amazon SES	異動郵件寄送	美國

我們將就次處理者清單之任何重大變更提供至少 30 天 前通知。若您以合理之資料保護理由反對新次處理者，可終止付費訂閱並獲比例退款。

於下列情形亦可能揭露資料：(a) 法律、法規、合法程序或政府要求時（我們會對過寬要求提出反對，並於法律允許時通知受影響者）；(b) 為保護 Codia、用戶或公眾之權利、財產或安全；(c) 合併、收購或資產出售，並提前通知；(d) 經您同意時。

7. 資料保留

類別	保留期
處理資料 — 上傳檔案、提示詞、生成輸出	處理完成後 7 天內自動刪除
帳戶與個人資料	帳戶期間 + 註銷後 30 天寬限期，其後刪除或匿名化
您明確儲存於帳戶中之專案／用戶內容	帳戶期間；註銷後 30 天內刪除
計費紀錄（發票、稅務）	依稅法（通常 7–10 年）
安全與反濫用紀錄	最長 90 天；調查活動事件時可更長
備份	90 天內輪替移除
彙總／匿名化分析	因不再構成個人資料，得無限期保留

您可隨時要求提前刪除，詳第 9 節。

8. 資料儲存地點與國際傳輸

個人資料儲存與處理於 位於美國（us-west-1）之 Amazon Web Services（AWS）基礎設施，以及我們次處理者所在之其他國家，該等國家可能未提供與您所在地相同之保護水準。

傳輸機制：

來源	目的地	機制
EEA	美國	2021 EU 標準契約條款（控制者→處理者 Module 2）與文件化之補充措施（傳輸與靜態加密、VPC 隔離、Schrems II 傳輸影響評估）。EU–US DPF 自我認證評估中。
英國	美國	國際資料傳輸協議（IDTA）或 2021 SCCs + UK Addendum（ICO B.1.0）；UK Extension to DPF 評估中。
瑞士	美國	瑞士 FDPIC 認可之 SCCs 與補充措施；Swiss–US DPF 評估中。
韓國	美國／其他	註冊時依 PIPA 第 28 條取得明示同意，並與受讓方簽訂符合 PIPA 之書面協議
巴西	美國／其他	LGPD 第 33 條 — 具體契約條款（巴西適配 SCCs），必要時含明示同意
日本	美國／其他	APPI 第 28 條 — 受讓方在非「適當」法域時之揭露與同意
新加坡	美國／其他	PDPA 傳輸限制義務 — 透過契約提供可比保護
香港／台灣／其他	美國／其他	標準契約保障；保留資料主體權利

可寄 [email protected] 索取相關 SCCs 或 IDTA 副本。

9. 您的權利

無論您身處何地，您均有權：

存取我們所持您的個人資料；
更正不正確或不完整之資料；
刪除您的個人資料（「被遺忘權」）；
限制或反對處理；
資料可攜性 — 以結構化、通用、機器可讀格式接收您的資料；
隨時撤回同意，不影響撤回前已為之處理之合法性；
不受重大自動化決策影響（除非有人為審閱，見第 5 節）；
向監理機關提起申訴。

9.1 如何行使

請寄信至 [email protected] 或使用帳戶設定中之隱私請求連結。我們將驗證您之身分（以避免向冒名者揭露資料），並於下列時限內回覆：

地區	回覆時限
EEA／英國／瑞士（GDPR）	30 天（複雜情形得延長 60 天）
加州（CCPA / CPRA）	45 天（得延長 45 天）
巴西（LGPD）	15 天
韓國（PIPA）	10 天
日本（APPI）	合理期限，通常 30 天內
其他法域	30 天

我們不會因您行使上述任何權利而對您為差別待遇。

9.2 代表人與監理機關

首席隱私長（適用所有地區，包括 LGPD 第 41 條 Encarregado、韓國 PIPA 第 31 條 CPO、日本 APPI 聯絡人）： Chief Privacy Officer, Codia Tech, LLC — [email protected]
歐盟代表（GDPR 第 27 條）： 指派中；於指派前，請將歐盟請求寄至 [email protected]
英國代表（UK GDPR 第 27 條）： 指派中；於指派前，請將英國請求寄至 [email protected]
英國： ICO — ico.org.uk
巴西： ANPD — gov.br/anpd
韓國： PIPC — pipc.go.kr
日本： PPC — ppc.go.jp
台灣： 國家發展委員會個人資料保護委員會
香港： PCPD — pcpd.org.hk
新加坡： PDPC — pdpc.gov.sg

9.3 特定地區說明

EEA／英國（GDPR）： 您得隨時反對基於正當利益之處理，並得向當地監理機關申訴。
加州（CCPA / CPRA）： 我們不「出售」或「分享」個人資料。您得於身分驗證後指定授權代理人代為請求，並得限制敏感個資之使用。
其他美國州居民（內華達、科羅拉多、維吉尼亞、康乃狄克、猶他、德州、奧勒岡、蒙大拿、愛荷華、田納西等）：於適用州隱私法下享有類似權利，使用同一管道。
巴西（LGPD）： 您享有 LGPD 第 18 條之九項權利，含確認處理、資料可攜性及共用實體資訊。
韓國（PIPA）： 跨境傳輸以您註冊時之明示同意為依據。
日本（APPI）： 跨境傳輸時，我們於您請求時提供關於美國資料保護實務之資訊。
新加坡（PDPA）、香港（PDPO）、台灣（個人資料保護法）： 存取及更正請求寄至 [email protected]。

類別	目的	範例
必要	驗證與核心安全；無法停用	`Codia.AuthKey`、`Codia.UserId`、CSRF tokens
偏好	記住語言、主題、UI 狀態	`locale`、`theme`
分析	彙總使用指標（EEA／英國／瑞士／巴西僅於同意後）	第一方產品遙測
行銷	衡量推廣成效（僅於同意後）	轉換追蹤

EEA、英國、瑞士及巴西用戶於首次造訪時會看到同意橫幅。您得隨時透過頁尾之 Cookie 偏好設定 變更選擇。必要 Cookie 永遠啟用。

11. 安全

我們採取與風險相當之技術與組織措施，包括傳輸中 TLS 1.2+、儲存 AES-256、AWS VPC 網路隔離、角色型存取控制、最小權限、金鑰輪替、安全紀錄、漏洞管理、每年滲透測試及持續監控。漏洞揭露管道：[email protected]。

於影響您資料之個資外洩事件，我們將於法律要求時（GDPR 第 33 條、LGPD 第 48 條等）72 小時內通知相關監理機關，並即時通知受影響之用戶。

沒有任何系統是 100% 安全的；我們無法保證絕對安全。

12. 兒童

本服務不針對低於當地數位同意最低年齡之兒童：

低於 13 歲（美國 — COPPA）；
低於 14 歲（韓國 — PIPA；巴西要求 12 歲以下須父母同意，18 歲起始得獨立同意）；
低於 16 歲（多數 EEA 國家 — GDPR；英國採 13 歲；日本 2022 年起 18 歲為成年）。

於當地法律要求父母同意之情形，我們將於建立帳戶前取得該同意。若發現未取得所需同意而蒐集了兒童資料，將迅速刪除。

13. 第三方連結與整合

本服務可能連結或整合第三方產品（Figma、Notion、Canva、支付處理商、分析等），其隱私實務依其各自政策，建議您查閱。

14. 政策變更

我們得更新本政策。重大變更將至少提前 30 天 以電子郵件及／或產品內橫幅通知，並更新「最後更新」日期。

15. 聯絡方式

控制者： Codia Tech, LLC
登記地址： 1111B S Governors Ave STE 21043, Dover, DE 19904, United States
隱私團隊： [email protected]
首席隱私長（兼 LGPD Encarregado、韓國 CPO、日本 APPI 聯絡人）： [email protected]
歐盟 GDPR 第 27 條代表： 指派中 — [email protected]
英國 UK GDPR 第 27 條代表： 指派中 — [email protected]
安全問題： [email protected]
B2B / DPA 請求： [email protected]