隱私權政策

本政策說明我們如何收集、使用及保護您的個人資料,請詳細閱讀。

 目錄

  1. 適用範圍
  2. 收集的資料
  3. 資料使用目的
  4. 資料儲存與安全
  5. 資料分享
  6. Cookie 與本地儲存
  7. 第三方服務
  8. 您的權利
  9. 資料保留
  10. 政策更新
  11. 聯絡我們
1. 適用範圍

本隱私權政策適用於「AssetPilot」網頁應用程式(以下簡稱「本服務」)的所有使用者。當您存取或使用本服務時,即表示您同意本政策所描述的資料處理方式。

本服務為個人私有部署應用程式,預設僅供帳號持有人使用。若您是自行架設本服務的管理員,請確保您的使用者了解本政策內容。

2. 收集的資料

帳號資料

  • 電子信箱(Email):用於帳號識別與登入
  • 使用者名稱(暱稱)
  • 加密後的密碼(使用 bcrypt 雜湊,原始密碼不存於資料庫)
  • Google 帳號 ID(僅使用 Google SSO 登入時)
  • LINE 使用者識別碼(僅使用 LINE 登入或綁定時)
  • Passkey 公開金鑰資料(僅啟用 Passkey 登入時)

財務資料

  • 交易記錄(日期、金額、分類、帳戶、備註)
  • 帳戶資訊(名稱、餘額、幣別)
  • 預算設定
  • 固定收支設定
  • 股票買賣紀錄與股利紀錄
  • 分類與標籤資料

系統日誌

  • 登入紀錄(時間、來源 IP、裝置類型):用於安全稽核,可於帳號設定中查閱
  • API 請求錯誤日誌(不含個人財務內容)
本服務不收集廣告識別碼、行為追蹤資料或任何與財務管理無關的個人資料。
3. 資料使用目的

我們收集的資料僅用於以下目的:

  • 提供服務:顯示您的財務資料、計算報表與統計分析
  • 帳號驗證:確認您的身份以保護帳號安全
  • 功能運作:固定收支自動化、股價同步、匯率更新等自動化功能
  • 安全防護:偵測異常登入行為,保護您的帳號不被未授權存取
  • 資料匯出:依您的請求產生 CSV 匯出檔案

我們不會將您的資料用於廣告投放、行銷分析或任何商業目的。

4. 資料儲存與安全

加密儲存

資料庫採用 ChaCha20-Poly1305 對稱加密演算法進行落地加密(Encryption at Rest)。即使資料庫檔案遭到未授權存取,資料內容仍受到加密保護。

密碼安全

使用者密碼透過 bcrypt 演算法進行雜湊處理後才儲存,系統不保存任何明文密碼,亦無法還原原始密碼。

傳輸安全

建議透過 HTTPS 存取本服務。JWT 身份驗證令牌儲存於 HttpOnly Cookie,防止 XSS 攻擊竊取認證資訊。

安全防護措施

  • HTTP 安全標頭(HSTS、X-Content-Type-Options、Referrer-Policy)
  • 登入介面速率限制(Rate Limiting)防止暴力破解
  • CORS 來源控制
  • 外部 CDN 資源的 SRI(子資源完整性)驗證
  • 輸入資料的 XSS 防護處理
本服務為自行部署架構,資料實際儲存位置取決於您的伺服器環境。管理員有責任確保伺服器本身的安全性。
5. 資料分享

本服務不會將您的個人資料或財務資料出售、出租或分享給任何第三方,除非符合下列情形:

  • 您的明確同意:在您主動執行資料匯出等操作時
  • 法律要求:依法律規定或主管機關的合法命令
  • 第三方 API 查詢:查詢股價時會向 TWSE 發送股票代號查詢請求(不含個人資訊);匯率同步時向 exchangerate-api.com 查詢匯率(不含個人資訊)
6. Cookie 與本地儲存

Cookie

本服務僅使用一個 Cookie:

  • auth_token(HttpOnly, Secure):儲存 JWT 身份驗證令牌,有效期限與您設定的登入期限相同(預設 7 天),在目前裝置登出後立即清除。

LocalStorage

本服務使用瀏覽器 LocalStorage 儲存以下偏好設定(僅限本機):

  • 深色模式偏好(dark-mode)
  • 側邊欄收合狀態
  • 每頁顯示筆數等 UI 偏好

以上本地設定資料不會傳送至伺服器,清除瀏覽器資料時會一併刪除。

7. 第三方服務整合

本服務整合以下第三方服務,各服務均有其獨立的隱私權政策:

  • Google Identity Services(選配):提供 Google SSO 登入功能。
  • LINE Login(選配):提供 LINE 登入與帳號綁定功能。
  • TWSE 臺灣證券交易所 OpenAPI:查詢股票即時/收盤價及除權息資料時使用。僅傳送股票代號,不含任何個人資訊。
  • exchangerate-api.com:匯率自動同步功能使用。
  • Google Fonts:載入字型資源。
  • Font Awesome CDN:載入圖示資源,使用 SRI 驗證確保檔案完整性。
  • Chart.js CDN:載入圖表函式庫,使用 SRI 驗證確保檔案完整性。
8. 您的權利

您對自己的個人資料擁有以下權利:

  • 查閱權:您可以在「設定 > 帳號設定」中查閱您的帳號資料與登入紀錄
  • 資料可攜權:您可以在「設定 > 資料匯出匯入」將所有財務資料匯出為 CSV 格式
  • 更正權:您可以直接編輯任何交易記錄或帳號資訊
  • 刪除權:您可以在「設定 > 帳號設定」申請刪除帳號,這將永久刪除您的所有資料,此操作不可復原
刪除帳號後,所有交易記錄、帳戶、分類、股票紀錄等資料將被永久刪除,且無法復原。建議刪除前先執行資料匯出。
9. 資料保留期限

您的資料將保留至以下情況發生為止:

  • 您主動刪除帳號
  • 管理員依維運需要刪除帳號
  • 服務終止運作

登入稽核紀錄預設保留最近 100 筆,超過後自動捨棄最舊的記錄。

10. 政策更新

我們可能因應法規調整或功能更新而修訂本隱私權政策。重大變更時,將透過版本更新資訊(Changelog)通知使用者。

繼續使用本服務即視為接受最新版本的隱私權政策。

11. 聯絡我們

若您對本隱私權政策有任何疑問,或需要行使上述資料權利,請透過以下方式聯絡服務管理員:

  • 透過「設定 > 帳號設定」頁面中的意見回饋功能
  • 或聯絡您的系統管理員

最後更新日期:2026 年 5 月 11 日

服務條款 API 使用與授權 返回首頁