隱私權政策
一、總則與適用範圍
本服務由 Invoice Hero 營運團隊(以下稱「我們」)提供,旨在協助使用者自其 Google 帳號中的 Gmail 與 Google Drive(以下合稱「Google 服務」)辨識、下載與歸檔與電子發票相關之 PDF 檔案,並於符合條件之電子郵件上加上標籤以利後續管理。
當您註冊、登入、連結 Google 帳號、訂閱付費方案、使用控制台或與我們聯絡時,我們可能依本政策所述蒐集、處理及利用您的個人資料。 若您不同意本政策之重要內容,請勿使用本服務或授權 Google 資料存取。
本政策之解釋與適用,除另有說明外,亦參酌中華民國《個人資料保護法》之精神與要求;若您位於歐洲經濟區或其他適用 《一般資料保護規則》(GDPR)之司法管轄區,於該等法律有強制規定之範圍內,您亦可能享有額外權利,我們將於法律允許範圍內予以尊重。
二、資料控制者與聯絡方式
就本政策所涉個人資料,資料控制者為 Invoice Hero 營運方。
聯絡方式(含個人資料行使請求):
為確認請求人身分,我們得要求您提供可驗證之帳號資訊(例如註冊 Email);於合理範圍內,我們將於法定期限或實務可行之期間內回覆。
三、名詞定義
- 個人資料:得以直接或間接識別自然人之資料。
- 處理:包含蒐集、記錄、儲存、利用、傳輸、刪除等行為。
- OAuth 授權:透過 Google 提供的授權流程,由您同意後授予本服務特定 API 存取範圍。
四、我們蒐集、處理及利用的個人資料
依您使用功能不同,我們可能處理以下類別資料:
4.1 帳號與身分識別
- 電子郵件地址(Email)。
- Google 帳戶之唯一識別碼(例如 OpenID Connect 之
sub,於資料庫中與您的使用者紀錄關聯)。 - 若您選擇「Email/密碼」註冊:經單向雜湊處理之密碼(我們不儲存明文密碼)。
4.2 Google API 授權與服務設定
- Google OAuth 之 refresh token(用於在您同意之範圍內,於背景或您觸發時向 Google 取得存取權杖以呼叫 API)。
- 您指定或由我們依引導流程建立之 Google Drive 資料夾識別碼(folder ID),以及相關月份子資料夾(由 API 於您的雲端硬碟內建立)。
- 引導流程進度(例如 onboarding 步驟編號)、您設定或選擇之時區字串(用於檔名日期與整理邏輯)。
4.3 服務運作與稽核摘要
- 整理/掃描紀錄摘要:例如最近一次掃描時間、成功與否、掃描之郵件串數量、已儲存之 PDF 數量、錯誤訊息摘要等(用於控制台顯示與除錯;不包含完整郵件本文之長期儲存)。
4.4 訂閱與帳務(付款服務)
- 付款服務商(例如 Lemon Squeezy 或 Stripe)之 Customer ID、Subscription ID、訂閱狀態、目前計費週期結束時間等,由該服務回傳且為完成帳務所必要之識別與狀態欄位(於我們資料庫中可能沿用通用欄位名稱儲存)。
- 為建立客戶與結帳工作階段,我們會將您的 Email(若有)及內部使用者 ID 以 metadata 等形式提供予該付款服務商。
- 若使用 Lemon Squeezy,其作為 Merchant of Record 可能另依其政策處理帳單地址、稅務與付款明細;詳見該公司之隱私政策。
4.5 技術與連線資料
- 工作階段驗證資訊(見第八節 Cookie)。
- 一般網路服務常見之連線資訊(例如 IP、User-Agent)可能由主機商或我們之基礎設施依其預設記錄;該等記錄之保存與利用以主機商政策及我們之資安/故障分析需求為限。
4.6 管理功能(限經設定之管理員)
- 若您之 Email 經環境設定列為管理員,我們得於受保護之管理介面中存取使用者清單之摘要欄位(例如使用者 ID、Email、訂閱狀態、是否已設定雲端資料夾、最後掃描時間等),以維運與客戶支援為目的;此並不構成對您 Gmail 郵件內容之人工閱覽權限。
五、Google 使用者資料之存取、範圍與利用方式
本服務透過 Google OAuth 2.0 向您請求下列 API 範圍(Scopes)。僅在實現下列用途所必要之範圍內,透過 Google 官方文件允許之 API 存取您的資料:
| 範圍(Scope) | 用途說明 |
|---|---|
openid |
與 Google 身分驗證流程整合,確認您的 Google 帳戶身分。 |
https://www.googleapis.com/auth/userinfo.email |
取得您同意揭露之 Email,作為帳號識別、控制台顯示、訂閱帳務與聯絡用途。 |
https://www.googleapis.com/auth/userinfo.profile |
取得基本公開設定檔資訊(若 Google 提供),作為帳號顯示與識別輔助。 |
https://www.googleapis.com/auth/gmail.modify |
列出、讀取符合搜尋條件之郵件串與訊息內容(主旨須含「發票」等字樣;必要時讀取標頭與內文/HTML 以解析下載連結)、取得 PDF 附件內容、建立或套用 Gmail 標籤(預設標籤名稱:已處理發票)於已處理之郵件串,以避免重複處理。 本服務不將完整郵件內容作為長期儲存於我們伺服器上之設計目的;處理過程中可能於記憶體暫存以完成歸檔。 |
https://www.googleapis.com/auth/drive |
在您的「我的雲端硬碟」中建立、查詢、上傳與重新命名檔案/資料夾,將發票 PDF 依月份等規則寫入您指定或引導建立之資料夾結構。 |
5.1 Gmail 處理邏輯(摘要)
- 以 Google 支援之搜尋語法篩選可能與發票相關之郵件(例如主旨含「發票」等字樣、含 PDF 附件或符合「連結發票」條件、且尚未帶有「已處理發票」標籤者)。
- 對符合條件之郵件:讀取附件或內文中之下載連結,將發票 PDF 儲存至您指定之 Google Drive 路徑。
- 部分電子發票以「內文連結」方式提供 PDF:本服務可能自郵件內文解析網址,並由我們的伺服器向該網址發出請求以下載 PDF(該連結通常由發票開立單位或加值中心提供)。下載完成後,檔案寫入您的 Google Drive;我們不以販售或廣告 profiling 為目的利用該等連結之內容。
- 成功歸檔後,於對應郵件串加上「已處理發票」標籤。
5.2 Google Drive 處理邏輯(摘要)
- 於您同意之路徑下建立或沿用資料夾(含依年月分類之子資料夾),並上傳/命名 PDF 檔案。
- 控制台可能透過 API 讀取資料夾名稱等中繼資料以利顯示設定狀態。
六、處理目的與法規依據
我們基於下列目的處理您的個人資料:
- 履行契約或提供您所請求之服務:例如建立與維護帳號、執行發票掃描與歸檔、提供控制台與訂閱功能。
- 取得您的同意:例如 Google OAuth 授權範圍內之 Gmail/Drive 存取;若法律要求單獨同意事項,我們將另行取得。
- 遵循法定義務:例如配合法令、主管機關或法院之合法要求。
- 正當利益(在與您的權益衡平下):例如維護系統與帳號安全、偵測濫用、改善服務穩定性與錯誤修正、於爭議時舉證。
七、自動化處理與決策
本服務包含自動化規則以辨識可能之發票郵件並決定是否下載、寫入雲端硬碟及加上標籤。該自動化係基於您明確選擇使用之功能,並非對您為具法律或同等顯著影響之「純自動化決策」(例如自動拒絕貸款或解僱)。
若您認為自動化結果有誤(例如誤判郵件),您得隨時於 Gmail 移除標籤、刪除或搬移 Drive 檔案,並可透過本政策第二節之聯絡方式請求協助或調整使用方式。
八、Cookie 與類似技術
我們使用下列類型之 Cookie(或技術上等同之 HttpOnly Cookie):
-
工作階段 Cookie(例如
invoice_session):於您登入後設定,內容為簽署之工作階段權杖,用於在後續請求辨識您的帳號。 屬性包含HttpOnly、SameSite=Lax;於正式環境使用Secure。最長有效期間約 60 日(依實作為準)。 - OAuth 流程暫存 Cookie:於連結 Google 帳號之短暫流程中,用於防偽(state)與導向參數,具較短之有效時間,於流程結束時清除。
目前版本之網站未使用 Cookie 進行第三方廣告追蹤或興趣導向行銷。
九、受委託者、第三人與付款服務
- Google LLC 及其關係企業:提供 Gmail、Google Drive、Google OAuth 與相關基礎設施。Google 依其條款與隱私政策處理於其系統內之資料。
- Lemon Squeezy(若為正式環境之付款服務商):作為 Merchant of Record 處理訂閱付款、部分稅務與客戶入口;詳見 Lemon Squeezy Privacy Policy。
- Stripe, Inc. 及其關係企業(若為付款服務商):於您選擇訂閱時,處理付款、訂閱狀態與客戶入口網站相關資料;詳見 Stripe Privacy Center。
- 雲端主機/平台供應商:我們部署應用程式與資料庫之基礎設施業者(例如 Railway、Render 或其他您部署所選擇之供應商),於提供主機與網路服務之必要範圍內可能接觸到傳輸中或儲存中之資料。
除本政策揭露、法律要求、或為防止濫用與保護使用者安全所必要者外,我們不出售您的個人資料,亦不將 Gmail 內容提供予資料仲介或廣告平台用於其各自獨立之行銷目的。
十、跨境傳輸與伺服器所在地
依您所選擇或我們實際部署之主機區域,個人資料可能於中華民國境外之伺服器處理與儲存。於該等情形,我們將於適用法令要求範圍內,採取適當傳輸機制或告知義務(例如透過本政策與契約條款)。 Google、Lemon Squeezy、Stripe 及主機供應商之資料處理亦可能涉及跨國傳輸,請併同參考各該公司之政策。
十一、保存期間
- 帳號存續期間:於您使用本服務期間,我們得保存履行服務所必要之資料。
- 帳號刪除或終止後:於目的消滅、法令或爭議時效屆滿後,我們將刪除或以去識別化方式處理;依法令或正當利益需保留者,於該等目的範圍內保留之。
- Google 端資料:您得隨時透過 Google 帳號安全性設定撤銷本服務之授權;撤銷後我們將無法再存取,但已寫入您 Drive 之檔案與 Gmail 標籤仍留存於您的 Google 帳號中,由您自行管理。
十二、資料安全
- 對外連線建議採用 HTTPS(傳輸加密)。
- 工作階段 Cookie 設定為
HttpOnly以降低被惡意腳本讀取之風險;正式環境啟用Secure。 - 密碼經單向雜湊儲存;OAuth refresh token 等敏感欄位存於受控之應用程式資料庫,僅限經授權之程式路徑存取。
- 內部排程或管理端點於設計上應受密鑰或權限保護,以降低未授權呼叫風險。
請注意:任何網路傳輸或儲存機制均無法保證百分之百安全;我們將持續依業界合理可行之方式維護安全性。
十三、當事人權利與行使方式
在適用法令允許範圍內,您得就個人資料行使下列權利(或向我們提出請求,由我們協助轉達至關係人):
- 查詢或閱覽。
- 製給複製本(於法令與技術可行範圍內)。
- 更正或補充。
- 刪除、停止處理或利用(於法令容許之前提下;部分停止可能導致無法繼續提供服務)。
- 可攜性(於 GDPR 等適用範圍內)。
- 拒絕行銷:本服務目前不以個人資料為基礎對您發送第三方行銷;若日後新增,將提供拒絕機制。
就 Google 所持有之資料,您亦得透過 Google 帳戶工具(例如「下載您的資料」、安全性與第三方應用程式存取權管理)直接行使權利。 若您欲請求刪除我們伺服器上與您帳號相關之紀錄,請透過第二節聯絡我們;為防冒名,我們得要求驗證。
十四、Google API 使用者資料政策與 Limited Use
本服務對於自 Google API 取得之使用者資料(包含自 Gmail、Google Drive、使用者設定檔等 API 取得之資料)之使用,均限於本政策明確揭露之範圍,且遵守 Google API Services User Data Policy。
Invoice Hero's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
關於 Limited Use 之要點,我們承諾(並已於技術與流程設計上遵循之方向):
- 僅於提供或改善本服務之使用者可見功能所必要範圍內,使用自 Google API 取得之資料。
- 不向廣告平台、資料仲介或資訊轉售者出售、租借自 Gmail/Drive API 取得之使用者資料,亦不將該等資料用於投放廣告(含再行銷、個人化廣告)或決定信用額度/放款目的。
- 除取得您之明示同意、為安全目的(例如調查濫用或錯誤)、為遵循法令、或資料已去識別化/聚合且符合法令與 Google 政策之內部營運需求外,不允許人員閱讀您的 Gmail 訊息內容;一般客服支援於非必要時不會要求您提供完整郵件內文。
十五、未成年人
本服務並非以未滿十三歲(或依您所在地之更高年齡門檻)之兒童為行銷對象。若您為未成年人,請於法定代理人同意之情形下使用本服務。 若我們知悉已蒐集可識別兒童之個人資料且未取得合法基礎,將於可行範圍內儘速刪除。
十六、政策修訂
我們得因法令變更、服務功能調整或安全需求而修訂本政策。修訂後版本將公告於本頁並更新「最後更新日期」。 若修訂涉及蒐集目的、範圍或利用方式之重大變更,且適用法令要求重新取得同意,我們將依法以適當方式通知您並取得必要同意後,始為處理。
聲明:本政策旨在清楚揭露本服務實際之資料處理行為,以利使用者決策與符合 Google 對 OAuth 應用程式之透明度要求。個案是否通過 Google 驗證,仍取決於 Google 之審核標準與您於 Google Cloud Console 所設定之資訊是否一致、完整;若您為開發者,請同步於 OAuth 同意畫面填寫與本政策一致之應用程式首頁、隱私權政策網址與範圍說明。