Privacy Policy
Last updated: April 16, 2026
✓ Authoritative: Traditional Chinese
The Traditional Chinese version of this document is the legally authoritative version. The English text below is provided for reference only.
1. 前言 / Introduction
Hubbits(以下簡稱「本平台」或「我們」)重視您的個人資料保護。本隱私政策依據中華民國《個人資料保護法》(以下簡稱「個資法」)及相關法規制定,說明我們如何蒐集、處理、利用和保護您的個人資料。
本隱私政策適用於您使用 Hubbits 網站(hubbits.dev)、CLI 工具及相關服務(以下統稱「本服務」)時的個人資料處理。
Hubbits values your privacy. This Privacy Policy explains how we collect, process, use, and protect your personal data in accordance with Taiwan's Personal Data Protection Act (PDPA).
2. 蒐集者名稱 / Data Controller
- 名稱:Hubbits 平台營運方
- 聯絡方式:[email protected]
- 網站:https://hubbits.dev
3. 蒐集的特定目的 / Purposes of Data Collection
依據個資法第 8 條,我們蒐集您的個人資料是基於以下特定目的:
- 帳號管理與身份驗證(代號 040):建立和管理您的帳號,驗證您的身份
- 契約、類似契約或其他法律關係事務(代號 069):提供和履行本服務
- 資(通)訊與資料庫管理(代號 136):維護和改善本服務
- 資(通)訊安全與管理(代號 137):保護平台和用戶安全
- 調查、統計與研究分析(代號 157):匿名化分析以改善服務品質
- 其他經營合於營業登記項目或組織章程所定之業務(代號 181)
We collect data for: account management, service delivery, security, analytics, and business operations, as required under Taiwan's PDPA Article 8.
4. 蒐集的個人資料類別 / Types of Data Collected
4.1 帳號資料
當您透過 OAuth 建立帳號時,我們向第三方取得以下資料:
| 資料項目 | 來源 | 必要性 |
|---|---|---|
| 電子郵件地址 | GitHub / Google OAuth | 必要 |
| 顯示名稱 | GitHub / Google OAuth | 必要 |
| 個人頭像(URL) | GitHub / Google OAuth | 選擇性 |
| 使用者帳號名稱 | GitHub / Google OAuth | 必要 |
| OAuth Provider ID | GitHub / Google | 必要(系統用) |
4.2 使用紀錄
| 資料項目 | 說明 |
|---|---|
| 下載紀錄 | 您下載的 hubbit 名稱和時間 |
| 瀏覽紀錄 | 您訪問的頁面和搜尋查詢 |
| 評分和評論 | 您對 hubbit 的評分和文字評論 |
| 許願紀錄 | 您在許願牆(Wishes)上的提交和投票 |
| 發布紀錄 | 您上傳和發布的 hubbit 資訊(創作者) |
4.3 技術資料
| 資料項目 | 說明 |
|---|---|
| IP 位址 | 由 Cloudflare 在 CDN/安全層收集 |
| 瀏覽器和裝置資訊 | User-Agent 字串 |
| 存取時間 | 請求時間戳 |
| CLI 版本資訊 | 使用 CLI 時的客戶端版本 |
4.4 我們不蒐集的資料
- 我們不蒐集密碼(使用 OAuth,密碼由 GitHub/Google 管理)
- 我們不蒐集信用卡或金融帳戶資訊(付費功能由 Paddle 處理)
- 我們不蒐集用戶與 AI 的對話內容(AI 互動在用戶本地裝置進行)
- 我們不使用廣告追蹤技術
We collect: OAuth profile data, usage records, and technical data. We do NOT collect passwords, payment info, AI conversation content, or advertising data.
5. 個人資料利用的期間、地區、對象及方式 / Data Use Details
5.1 利用期間
| 資料類別 | 保留期間 |
|---|---|
| 帳號資料 | 帳號存續期間 + 刪除後 30 天處理期 |
| 使用紀錄 | 帳號存續期間 + 刪除後匿名化保留 |
| 技術資料 | 最長 90 天(安全日誌) |
| 交易紀錄 | 依台灣稅法保留至少 5 年 |
| 匿名化統計 | 無限期保留(不含可識別個人的資訊) |
5.2 利用地區
您的資料可能被傳輸至以下地區進行處理:
| 服務提供者 | 資料存放地區 | 用途 |
|---|---|---|
| Supabase | 新加坡(ap-southeast-1) | 資料庫和身份驗證 |
| Cloudflare | 全球邊緣網路(就近節點) | CDN、Pages、Workers、R2 物件儲存 |
| GitHub | 美國 | OAuth 身份驗證 |
| 美國 | OAuth 身份驗證 |
依據個資法第 21 條,我們確認上述接收地區均有適當的資料保護措施。
5.3 利用對象
我們不會將您的個人資料出售給任何第三方。您的資料僅與以下對象共享:
| 對象 | 共享的資料 | 目的 |
|---|---|---|
| Supabase | 帳號資料、使用紀錄 | 資料庫託管和身份驗證服務 |
| Cloudflare | 技術資料、內容分發資料 | CDN、安全防護、靜態網站託管 |
| GitHub / Google | OAuth Token(僅在驗證時) | 身份驗證 |
| Paddle(未來) | 交易相關資料 | 金流處理(付費功能上線後) |
| Resend | 電子郵件地址 | 交易性 Email 發送 |
| 法律要求 | 依法律要求的資料 | 回應合法的司法或行政請求 |
5.4 利用方式
- 透過加密連線(TLS/HTTPS)傳輸
- 透過資料庫行級安全(Row-Level Security)存取控制
- 透過最小權限原則存取
- 匿名化處理後用於統計分析
Data is stored in Singapore (Supabase) and globally (Cloudflare). We do not sell your data. Data is shared only with essential service providers and as required by law.
6. Cookie 使用說明 / Cookie Policy
6.1 必要性 Cookie
我們僅使用維持服務正常運作所必要的 Cookie:
| Cookie | 提供者 | 用途 | 有效期 |
|---|---|---|---|
sb-*-auth-token | Supabase Auth | 維持您的登入狀態 | Session / 持久性 |
locale | Hubbits | 儲存您的語言偏好 | 1 年 |
6.2 本地儲存(LocalStorage)
我們使用瀏覽器本地儲存來保存您的主題偏好(明暗模式選擇)。
6.3 我們不使用的 Cookie
- 我們不使用廣告 Cookie
- 我們不使用第三方追蹤 Cookie
- 我們不使用行為分析 Cookie(如 Google Analytics)
- 我們永遠不會在平台上投放廣告
We use only essential cookies for authentication and locale preference. We do NOT use advertising, tracking, or analytics cookies. We will never run ads.
7. 您的權利 / Your Rights
依據個資法第 3 條,您享有以下不可預先放棄的權利:
- 查詢或請求閱覽:您有權查詢我們是否持有您的個人資料,並請求閱覽。
- 請求製給複製本:您有權請求我們提供您的個人資料副本。
- 請求補充或更正:如果您的個人資料不正確或不完整,您有權請求更正或補充。
- 請求停止蒐集、處理或利用:您有權請求我們停止蒐集、處理或利用您的個人資料。
- 請求刪除:您有權請求刪除我們持有的您的個人資料。
行使方式
如需行使上述任何權利,請透過以下方式聯絡我們:
- Email:[email protected]
- 主旨:請標示「個人資料權利行使」或「Privacy Rights Request」
我們將在收到請求後 30 日內回覆。行使權利原則上免費。但如果請求明顯過度或重複,我們可能收取合理的行政費用。
不提供資料的影響
您可以自由選擇是否提供個人資料。但如果您選擇不提供必要的資料(如 Email),可能無法使用需要帳號的服務功能(如下載、發布、評分等)。不提供帳號資訊仍可瀏覽公開的 hubbit 頁面。
Under Taiwan's PDPA, you have irrevocable rights to: access, copy, correct, stop processing, and delete your personal data. Contact [email protected] with subject "Privacy Rights Request". We respond within 30 days.
8. 安全措施 / Security Measures
依據個資法第 27 條,我們採取以下安全措施保護您的個人資料:
技術措施
- 傳輸加密:所有資料傳輸透過 TLS/HTTPS 加密
- 資料庫安全:Supabase PostgreSQL 啟用行級安全(Row-Level Security,RLS)
- 存取控制:最小權限原則,角色型存取控制
- 內容安全:ECDSA P-256 數位簽章驗證 hubbit 完整性
- 安全掃描:自動化 prompt injection 偵測與威脅模式掃描
- 環境隔離:生產環境密鑰與開發環境分離
管理措施
- 定期審查存取權限
- 安全事件回應計畫
- 第三方服務定期安全評估
資料外洩通知
如果發生個人資料外洩事件,我們將:
- 在確認後 72 小時內通知受影響的用戶
- 向主管機關依法通報
- 說明外洩的資料類型、可能影響和我們採取的補救措施
- 提供用戶自我保護的建議
We protect your data with TLS encryption, database row-level security, least-privilege access, ECDSA signatures, and automated scanning. In case of a breach, we notify affected users within 72 hours.
9. 行銷限制 / Marketing Restrictions
依據個資法第 20 條:
- 我們不會將您的個人資料用於行銷目的,除非您明確同意
- 如果您收到行銷通訊,您可以隨時透過信件中的「取消訂閱」連結或聯繫 [email protected] 免費退出
- 您表示拒絕後,我們將立即停止對您的行銷使用
We will not use your data for marketing without explicit consent. You can opt out at any time for free.
10. 未成年人保護 / Children's Privacy
本服務不針對 13 歲以下的兒童。我們不會故意蒐集 13 歲以下兒童的個人資料。如果我們發現已蒐集到兒童的個人資料,將立即採取措施刪除。如果您認為 13 歲以下的兒童向我們提供了個人資料,請聯繫 [email protected]。
The Service is not directed to children under 13. If we learn we have collected data from a child under 13, we will delete it promptly.
11. 第三方連結與服務 / Third-Party Services
本平台可能包含指向第三方網站或服務的連結。我們不控制這些第三方的隱私實務,建議您查閱它們各自的隱私政策:
- GitHub:GitHub Privacy
- Google:Google Privacy
- Supabase:Supabase Privacy
- Cloudflare:Cloudflare Privacy
- Paddle:Paddle Privacy
- Resend:Resend Privacy
12. 跨境資料傳輸 / Cross-Border Data Transfer
如第 5.2 節所述,您的資料可能被傳輸至台灣以外的地區處理。依據個資法第 21 條,我們確保:
- 接收方有適當的資料保護機制
- 資料傳輸基於提供服務的合理必要性
- 傳輸過程採用加密保護
如果中央目的事業主管機關對特定國家或地區限制跨境傳輸,我們將遵從該限制。
Your data may be transferred outside Taiwan as described in Section 5.2. We ensure adequate protection mechanisms per PDPA Article 21.
13. 歐洲經濟區用戶之額外權利 / Additional Rights for EEA Users (GDPR)
如果您位於歐洲經濟區(EEA)、英國或瑞士,除本隱私政策其他條款外,以下額外條款適用於您:
13.1 處理之法律依據
依據 GDPR 第 6 條,我們處理您的個人資料基於以下法律依據:
- 履行合約(Article 6(1)(b)):帳號建立與管理
- 合法利益(Article 6(1)(f)):服務安全、防濫用、匿名化分析
- 法律義務(Article 6(1)(c)):法律合規
- 同意(Article 6(1)(a)):行銷通訊(可隨時撤回)
13.2 您的 GDPR 額外權利
- 資料可攜權:以機器可讀格式取得您的資料(Article 20)
- 反對處理權:反對基於合法利益的資料處理(Article 21)
- 限制處理權:特定情況下要求限制處理(Article 18)
- 撤回同意權:隨時撤回同意,不影響撤回前的處理合法性(Article 7(3))
- 向監管機關申訴權:向您所在地的資料保護監管機關提出申訴(Article 77)
13.3 國際資料傳輸保護機制
對於向 EU 委員會尚未認定具有適足保護水準之國家的資料傳輸,我們依據以下機制確保適當保護:
- Cloudflare、Supabase 等第三方服務提供者已採用歐盟標準合約條款(SCCs)
- 資料傳輸基於提供服務之合約必要性(Article 49(1)(b))
13.4 自動化決策
我們不進行會對您產生法律效果的全自動化決策(Article 22)。安全掃描系統會自動偵測潛在威脅,但不會自動做出最終帳號封禁決定。
13.5 GDPR 聯絡
GDPR 相關問題請聯繫 [email protected],主旨請標示「GDPR Request」。我們將在 30 日內回覆(必要時可延長至 60 日)。
EEA/UK/Swiss users have additional GDPR rights including data portability, right to object, restriction of processing, withdrawal of consent, and the right to lodge a complaint with a supervisory authority. International transfers are protected by SCCs. Contact [email protected] with subject "GDPR Request".
14. 隱私政策變更 / Changes to This Policy
我們可能不定期更新本隱私政策。重大變更將透過以下方式通知:
- 在本頁面更新內容及「最後更新日期」
- 透過 Email 通知已註冊用戶(重大變更時)
您在變更後繼續使用本服務,即表示接受更新後的隱私政策。
We may update this policy periodically. Material changes will be communicated via this page and email.
15. 適用法律 / Governing Law
本隱私政策受中華民國(台灣)法律管轄,特別是《個人資料保護法》及其施行細則。
This Privacy Policy is governed by the laws of Taiwan, specifically the Personal Data Protection Act.
16. 聯絡方式 / Contact
如對本隱私政策有任何問題,或需行使您的個人資料權利,請聯繫我們:
- Email:[email protected]
- 網站:https://hubbits.dev
- 回覆時間:收到請求後 30 日內
附錄:個資法合規對照表 / PDPA Compliance Checklist
| 個資法條文 | 要求 | 對應章節 |
|---|---|---|
| 第 3 條 | 當事人權利(查閱、更正、刪除等) | 第 7 節 |
| 第 8 條 | 蒐集時告知義務(目的、類別、期間、地區、對象、方式) | 第 3-5 節 |
| 第 8 條 | 告知不提供資料的影響 | 第 7 節 |
| 第 20 條 | 行銷限制與免費退出 | 第 9 節 |
| 第 21 條 | 跨境傳輸 | 第 12 節 |
| 第 27 條 | 安全措施義務 | 第 8 節 |
| 第 27 條 | 資料外洩通知 | 第 8 節 |