隱私權政策

本平台依《個人資料保護法》第 6 條及相關規定，基於下列特定目的蒐集您的個人資料：

目的 040：行銷（限於您明示同意後）；目的 063：非公務機關依法定義務所進行之個人資料蒐集處理及利用；目的 090：消費者、客戶管理與服務；目的 148：網路購物及其他電子商務服務；目的 157：調查、統計與研究分析（限以去識別化方式進行）。

不提供本政策所述個人資料，可能導致無法完成帳號註冊、預約建立或接收服務通知；BOYAKU 將於蒐集時明示必填與選填項目。

C001 辨識個人者：姓名、電子郵件地址、電話號碼、Google 帳號 UID。

C003 政府資料中之辨識者：（本平台目前不蒐集身分證字號或護照資訊）。

C011 財務交易：預約金額、付款狀態、退款紀錄（不儲存完整信用卡號）。

C021 家庭情形：（不蒐集）。

C031 教育及訓練：（不蒐集）。

C051 職業：商家用戶之服務類別、營業資訊（由商家自行填寫）。

C132 未分類之資訊：IP 位址、瀏覽器類型、裝置資訊、操作日誌（用於資安監控與服務優化）。

利用期間：自蒐集之日起，至帳號刪除後 180 日（法規另有規定者從其規定）；交易紀錄依《電子簽章法》及稅務法規，最長保存 7 年。

利用地區：中華民國境內，以及本政策所述境外受託處理機構所在地（見「境外傳輸說明」）。

利用對象：BOYAKU 及其受託處理機構；於您預約之商家需要時，提供必要之預約資訊（如姓名、聯絡方式、服務項目）。

本平台不將您的個人資料出售予第三方；非經您同意，不將資料用於目的以外之利用。

本平台使用下列境外服務商處理個人資料，均依契約要求其符合相當於我國個資法之保護水準：

Supabase Inc.（美國）：資料庫儲存與管理，適用 SOC 2 Type II 及 GDPR 標準資約款（SCCs）。

Vercel Inc.（美國）：應用程式託管與邊緣運算，適用 SOC 2 Type II 及 ISO 27001 認證。

Google LLC（美國）：OAuth 身分驗證及 Google Workspace 服務，適用 ISO 27001、SOC 2/3 及 GDPR SCCs。

如您位於歐洲經濟區（EEA），上述跨境傳輸已依 GDPR 第 46 條以標準契約條款（SCCs）為適當保護措施。

所有資料傳輸均採用 TLS 1.2 以上加密；資料庫靜態資料採用 AES-256 加密儲存。

系統採用最小權限原則，內部員工依業務需要方可存取個人資料，並留有完整存取日誌。

發生個資外洩事件時，本平台將於知悉後 72 小時內通知主管機關，並於合理時間內通知受影響之當事人。

依《個人資料保護法》第 3 條，您對本平台保有之個人資料享有下列權利：查閱、製給複製本、補充或更正、停止蒐集/處理/利用、刪除。

如欲行使上述權利，請登入帳號於「設定 → 個人資料」自助操作，或寄信至 [email protected]（請附帳號 Email 以進行身份驗證）。

本平台將於收到請求後 15 個工作日內回覆；如拒絕您的請求，將說明理由並告知救濟途徑。

如您認為本平台處理您的個資有侵害您權利之虞，可向個人資料保護委員會（或其他主管機關）提出申訴。

本平台使用必要性 Cookie 維持登入狀態與工作階段安全，此類 Cookie 為服務運作所必需，無法關閉。

如使用分析或行銷類 Cookie，將於首次訪問時透過明確的同意橫幅請求您的授權，您可隨時於瀏覽器設定中撤回同意。