隱私權政策

一、角色與責任定義

1. 用戶（律師事務所/機構）為資料控制者：針對用戶於本服務所輸入、儲存之其當事人或第三人之個人資料（下併稱「受託個資」），用戶具有最高管控權、原始蒐集之法律告知義務、以及取得當事人同意之義務。用戶與其當事人間之法律爭議、隱私告知義務及個資法下同意權之行使，應由用戶獨立完成、處理並負最終法律責任。
2. 本服務提供者為資料處理者：針對前述「受託個資」，本服務提供者僅受用戶委任，依用戶之操作或指令（包含但不限於：系統設定、數位介面操作、API 串接等）進行存取、儲存、傳輸或去識別化處理。我們為技術服務之被動接收方，不對其受託處理內容進行契約外之獨立利用、分析、行銷或干預。用戶保證其於本服務中輸入或上傳之任何特定個人資料，均已依中華民國《個人資料保護法》及其細則履行告知義務，並合法取得當事人之明示同意。受託範圍外之任何爭議、資安事故、或因用戶操作不當導致之個資外洩，本服務提供者不負解釋、澄清、調查或賠償責任。若因用戶未盡告知或取得同意之義務而導致本服務提供者遭致第三人索賠或主管機關之調查或處分，用戶應補償本服務提供者因此所受之一切損害（包含但不限於行政罰鍰、律師費、名譽減損及訴訟費用等）。
3. 對用戶帳號資料之資料控制者：針對用戶本人（管理員或其成員）註冊時所提供之帳號、聯絡資訊等，本服務提供者為資料控制者，其目的包含但不限於提供服務、帳務開立、技術支援、系統公告、資安稽核及其他與提供服務合理相關之目的。

二、個人資料之蒐集目的

依個資法之分類，本服務蒐集資料之特定目的區分為：

1. 針對用戶帳號管理（人員）：
   • 069 契約、類似契約或其他法律關係事務（包含但不限於：身分驗證、系統公告等）。
   • 090 消費者、客戶管理與服務。
   • 098 商業與技術資訊。
   • 136 資(通)訊與資料庫管理。
2. 針對受託處理之對象（當事人）：
   • 063 非公務機關依法定義務所進行個人資料之蒐集處理及利用。
   • 069 契約、類似契約或其他法律關係事務。
   • 157 調查、統計與研究分析（限去識別化後之數據優化）。
   • 181 其他經營合於營業登記項目或組織章程所定之業務。
3. 系統共同維運：
   • 137 資通安全與管理。

三、蒐集資料之類別

1. 用戶本人之辨識與參與資料：包含但不限於：帳號名稱、姓名、職稱、聯絡電話、電子郵件、付款資訊等。
2. 受託處理之對象個資（針對當事人）：
   • 基本辨識與描述：包含但不限於：姓名、電話、LINE 帳號 ID、性別等（由用戶或當事人於諮詢過程中輸入者）。
   • 案件諮詢內容：當事人透過本服務（包含但不限於 LINE 對話、網頁諮詢介面等）所提供之案件描述、對話內容、上傳之文件與附件等。此等資料之具體內容概由當事人及用戶自行決定。
   • AI 處理產出：本服務基於前述諮詢內容，透過 AI 技術產出之案件摘要、法律意見書草稿等衍生資料。
   • 敏感/特種個資之隔離與用戶聲明：若用戶基於其特定業務屬性，自行決定透過本服務儲存或處理《個人資料保護法》第六條所定之特種個人資料（包含犯罪前科、醫療紀錄等），用戶明示聲明並保證：本服務之系統本質僅為「被動之空白儲存空間」，並不主動要求、引導或鼓勵用戶上傳此類法定敏感資料。用戶保證已自行依法取得當事人之法定同意，並獨立承擔蒐集、處理及利用該等特種個資之一切合規責任及其衍生之後果。本服務提供者對其妥適性及合法性不負任何審查與連帶責任。
3. 系統與設備軌跡：IP 位址、使用時間、功能操作軌跡（包含但不限於：系統日誌 Log 等）、設備識別碼、帳號識別碼（如使用者 ID、角色類型，用於錯誤排查及產品分析）。

四、資料利用之地區、對象與方式

1. 海外儲存聲明：用戶知悉並同意，為維持系統效能與安全，資料儲存於第三方供應商（包含但不限於：AWS、Railway、OpenAI 等）位於台灣以外之地區（包含但不限於：東京、美國機房等）。用戶知悉並明確同意，本服務之資料處理作業涉及跨境傳輸，本服務提供者已要求相關境外服務商採取相當程度之安全保護措施。若嗣後法令修正要求資料在地化（Data Localization），本服務提供者將評估相應調整，但在此之前之跨境資料處理，用戶同意為已合法授權。
2. 分享對象與例外揭露：
   • 必要服務供應商：包含主機商、AI 服務商、錯誤監控及產品分析服務商及通訊平台（如 AWS、Railway、OpenAI、LINE、Sentry 等），僅限於履行服務目的之必要範圍。
   • 法律要求與權利保護：於下列情事，本服務提供者得不經用戶同意，逕行向第三方披露相關資料：
     • 符合法令之調閱要求（如司法機關調查）。
     • 為防止他人生命、身體、自由或財產上之迫切危險。
     • 因事業轉讓、合併、或資產收購而需將權利義務移轉予受讓方時。
     • 為維護本服務提供者之合法權益（包含但不限於：資安事故排除、訴訟證據等）。
3. 外部連結聲明：本服務可能包含前往第三方網站之連結。該等網站之隱私權政策與本服務無涉，用戶應自行檢閱其政策規範。
4. 技術優化權：我們有權將資料進行「去識別化」處理。該等數據之利用目的包含但不限於系統錯誤診斷、功能優化、產品研發及資安控管。

五、當事人權利之行使

1. 行使路徑與責任歸屬：
   • 針對當事人：若當事人欲行使個資法第三條之權利（包含但不限於：查詢、複製、更正、刪除等），應直接向資料控制者（即用戶/律師事務所）提出請求。本服務提供者將於接獲用戶之指令後協助執行，不直接受理當事人之請求。
   • 針對用戶本人：用戶可透過系統介面自行行使權利，或聯繫技術支援處理（Email: service@caselight.tw）。
2. 行為能力與未成年人保護：若當事人為未成年人或受監護/輔助宣告之人，應由其法定代理人閱讀、瞭解並同意本政策，並由其法定代理人代理行使相關之個資權利。
3. 拒絕權與後果：當事人若拒絕提供必要之個資，可能導致本服務無法完整提供案件諮詢或 AI 輔助功能。

六、技術追蹤與資料安全

1. Cookie 與相關技術：本服務於用戶瀏覽器中可能存取 Cookie、LocalStorage 或 SessionStorage，其目的僅限於身分驗證、語系設定、防範詐欺及維持系統運作之穩定。用戶得自行透過瀏覽器設定拒絕，但可能導致無法登入或部分功能失效。
2. 安全維護措施：我們採用商業合理之技術與程序（包含但不限於：SSL/TLS 加密傳輸、資料庫備份、存取層權限控管、去識別化機制等）保護所儲存之資料維護與資安穩定。

七、資安事故通報

本服務提供者已依商業合理之技術與程序採取必要之安全防護措施（包含但不限於：SSL/TLS 加密傳輸、存取控制、定期備份等）。若偵測到可確認之系統入侵或個資外洩事件，服務提供者將盡力於知悉後合理時間內通知受影響之用戶，並提供可取得之系統日誌以協助用戶向主管機關通報。本服務提供者不保證特定通報時限，且外洩事件調查期間所需之通報延遲，不構成本服務之違約。若因非可歸責於本服務提供者之事由（包含但不限於：用戶自身疏失、第三方平台漏洞、不可抗力事件等）導致個人資料外洩，本服務提供者不負個資法第二十九條所定之損害賠償責任，用戶同意不就此向本服務提供者提出任何索賠。

八、資料保存與刪除

1. 保留期限：除法律另有規定或配合下述「帳號終止後之資料處理」條款外，個人資料原則上保存至服務契約終止、帳戶刪除作業完成、或蒐集之特定目的消失為止。
2. 帳號終止後之資料處理與法律留存：服務終止（不論原因為何）後，我們提供 60 天之資料備份/導出期。逾期後，本服務提供者不負擔資料保存責任，並得視維運需求進行刪除或去識別化。惟為履行法規義務（包含但不限於：稅務、法律證據需要等），服務提供者保留於帳號終止後 1 年內，繼續留存必要之系統日誌 (Log) 或相關通訊資訊之權利。

九、政策之修正與變更

本服務提供者保留得隨時因應法律變更、技術演進或營運需求，修正本隱私權政策之權利。修正後之條款將於本服務之官方網站、管理介面、或透過電子通訊方式公告（包含但不限於：Email、系統消息等），並於公告時起立即生效。若用戶（或其授權之成員）於政策修正後繼續使用本服務，即表示已同意受修正後政策之約束。

十、準據法與管轄法院

1. 準據法：本政策之解釋與適用，均以中華民國法律為準據法。
2. 管轄法院：因本政策或受託處理個人資料所生之任何爭議，雙方同意以「臺灣臺中地方法院」為第一審管轄法院。