個人資料處理委託告知書(DPA)
1.定義與當事人
1.1 當事人
本告知書當事人為:
- 客戶補習班(以下稱「控制者」):與 Tutorly 簽訂 服務合作之補習班法人或營業實體。控制者為《個人資料保護法》上之蒐集者。
- Tutorly(以下稱「處理者」):本服務之提供者, 作為受託處理者代為處理控制者之個人資料。
1.2 用詞定義
除上下文另有所指:
- 個人資料:依《個人資料保護法》第 2 條第 1 款所定。
- 處理:依《個人資料保護法》第 2 條第 4 款所定,包含蒐集、紀錄、 儲存、編輯、檢索、傳輸、利用、揭露、刪除等行為。
- 當事人:個人資料之本人,在本服務脈絡下通常為學生、家長、 員工或控制者之其他個人資料相關人。
- 再委託(sub-processing):處理者為履行本告知書義務,進而委由 第三人處理個人資料之行為。
- 個資事故:涉及個人資料外洩、變造、毀損、滅失、未經授權之 存取或揭露之事件。
2.委託標的
控制者就其營業所蒐集之個人資料,委託處理者以本服務之方式代為處理。本委託關係之 性質為《個人資料保護法》第 4 條所定之委託關係。處理者於本告知書與相關合作合約所 授權之範圍內處理該等個人資料,於法律適用範圍內,視同控制者。
3.委託處理之範圍
3.1 個人資料類別
| 類別 | 內容 |
|---|---|
| 員工資料 | 姓名、聯絡 email、電話、職稱、角色權限、登入紀錄、密碼雜湊值 |
| 學生資料 | 學號、姓名、性別、學校、年級、家長聯絡資訊(由控制者決定是否輸入) |
| 觀察 / 評量 | 課堂出席、態度評分(1-6)、精神評分(1-6)、複選關鍵字、作業狀態、教師自由筆記、考試成績、革命型考試連勝紀錄 |
| 派生資料 | 系統由上述資料自動產出之週報、AI 月報草稿、智慧提醒、月報編輯歷程、簽核紀錄 |
| 使用日誌 | 登入時間、IP、操作軌跡、頁面瀏覽記錄(系統運維必要) |
3.2 當事人類別
- 控制者之員工(老師、助教、行政、主任、執行長等)
- 控制者教學服務對象之學生(多數為未成年人)
- 學生之家長或法定代理人(僅在控制者選擇輸入家長聯絡資訊時)
3.3 處理目的
處理者僅得於下列控制者所指示之目的範圍內處理個人資料:
- 提供本服務之核心功能(觀察記錄、成績、週報、月報、智慧提醒)
- 控制者內部多角色協作(老師、助教、行政、主任、執行長)
- 控制者對家長之溝通材料製作與遞送
- 系統運作必要之認證、日誌、備份、安全防護
處理者不得為下列目的處理個人資料:對外行銷、出售予第三方、用於訓練 AI 模型、跨控制者分析(各控制者資料以資料庫 Row-Level Security 嚴格隔離)。
4.處理期間與地點
4.1 期間
本委託關係自雙方簽訂合作合約之日起,至合作關係依《服務條款》或合作合約終止後 30 日 (資料匯出緩衝期)止。
4.2 處理地點
核心資料庫位於 AWS 東京區域(ap-northeast-1),由 Supabase, Inc. 託管。應用程式 於 Vercel 東京邊緣節點(hnd1)運行。詳見隱私權政策第 5 條 與本告知書第 12 條。
5.處理者(Tutorly)義務
處理者承諾:
5.1 指示範圍
僅依控制者之合法書面指示(包含本告知書及合作合約)處理個人資料,不超出該等指示之 範圍。如處理者認為控制者之指示違反個資法或其他法令,應立即書面通知控制者並暫停執行。
5.2 保密義務
對員工(目前為一人開發者,未來如有增員時亦同)施以個資保密義務;人員離職或外包 終止時即時收回授權、撤銷帳號。
5.3 安全維護
採取本告知書第 8 條所列適當技術與組織措施,符合《個人資料保護法》第 27 條及該法 施行細則第 12 條規範。
5.4 協助控制者
協助控制者履行對當事人之答覆義務(查詢、更正、停止處理、刪除之請求),於受理請求 後 7 個工作日內回應控制者;協助控制者於必要時對主管機關報備或答覆。
5.5 不擅自再委託
不擅自將個人資料再委託予第三人,但本告知書第 7 條所列之第三方服務商(雲端基礎 設施服務商)經本告知書事前揭露,並視為已取得控制者之概括同意。新增之再委託者 將另行通知控制者。
5.6 重大事故通報
發現重大個資事故(疑似外洩、未經授權之存取、資料遺失等)時,於知悉後 72 小時內通知控制者,並提供事故概況、影響範圍、已採取與將採取之 補救措施。詳見第 10 條。
5.7 終止後處理
合作關係終止後,依第 13 條返還或刪除個人資料,並依控制者請求提供刪除證明。
— 法律依據:《個人資料保護法》第 4 條、第 8 條、第 27 條6.控制者(客戶補習班)義務
控制者確認並承諾:
- 對其蒐集之個人資料具合法蒐集基礎(包含對家長依個資法第 8 條為告知並取得同意, 或符合該法第 8 條第 2 項之免告知事由)
- 對員工帳號之妥善管理(離職時即時撤銷帳號、密碼妥善保管、不共用帳號)
- 對 AI 月報草稿之外發前審核 — AI 生成內容仍可能有偏差,須由人工確認後才送達家長
- 遵守個資法及相關法令,包含但不限於對未成年人個資之特別保護
- 於收到當事人權利請求時,依法定期間答覆,並適時通知處理者協助
- 對所選擇之系統設定(誰可看誰、權限階層、家長聯絡資訊是否輸入等)負終局判斷 責任
7.再委託之第三方服務商(Sub-processors)
為提供本服務,處理者再委託下列服務商。控制者簽訂合作合約即視為同意該等再委託:
| 服務商 | 用途 | 處理個資? | 所在地 | 備註 |
|---|---|---|---|---|
| Supabase, Inc. | 資料庫、檔案儲存、認證 | 是(主要儲存) | AWS ap-northeast-1(日本) | SOC 2 Type II / ISO 27001 |
| Vercel, Inc. | 應用程式部署、CDN、邊緣節點 | 暫時性處理 | hnd1(日本) | SOC 2 Type II |
| OpenAI, LLC | AI 月報草稿生成 | 是(觀察與成績摘要) | 美國 | API 政策不用於訓練,30 日內自動刪除 |
| GitHub, Inc. | 加密備份儲存(僅處理者持金鑰) | 是(全資料庫加密快照) | 美國 | AES-256-CBC + PBKDF2 加密,GitHub 無法解密 |
處理者新增或變更再委託者時,將於變更前合理期間以 email 通知控制者。控制者對新 再委託者有合理之異議權,並得於異議成立時依本告知書第 13 條終止合作。
8.安全維護措施(第 27 條 + 細則 12 條 11 項)
處理者已採取下列安全維護措施,符合《個人資料保護法》第 27 條與該法施行細則 第 12 條 11 項要求:
| 細則 11 項 | Tutorly 對應措施 |
|---|---|
| 1. 配置管理人員及相當資源 | 由開發者本人擔任個資保護管理者(DPO),持續投入維護資源 |
| 2. 界定個資範圍 | 本告知書第 3 條已界定;系統 schema 設計遵守最小蒐集原則 |
| 3. 風險評估及管理 | 每次重大功能變更前進行個資衝擊評估;每年複檢一次 |
| 4. 事故預防、通報、應變 | 每日異地加密備份(321 原則);重大事故 72 小時內通知 |
| 5. 內部管理程序 | 程式碼以版本控制管理;敏感金鑰以環境變數隔離,不入程式碼;production 操作須經人工確認 |
| 6. 資料安全管理及人員管理 | 單一開發者操作 prod,完整操作日誌可追溯;新進人員須簽署保密同意 |
| 7. 認知宣導及教育訓練 | 每次客戶上線前提供員工 onboarding;持續更新使用說明 |
| 8. 設備安全管理 | 主機由 Supabase / Vercel 託管,均符 SOC 2、ISO 27001 標準 |
| 9. 資料安全稽核 | 每次程式碼變更跑 E2E 自動測試 + 安全 regression check;每週效能壓測 |
| 10. 使用紀錄、軌跡資料 | 應用層紀錄登入、編輯軌跡(誰、何時、改了哪欄);資料庫保留異動 timestamp |
| 11. 整體持續改善 | 每年複檢本告知書、技術措施與第三方服務商安全水準 |
8.1 重點技術措施
- 傳輸層加密(HTTPS / TLS 1.2+)
- Row-Level Security(RLS)隔離各控制者資料
- 密碼單向雜湊(bcrypt)
- 備份加密(AES-256-CBC + PBKDF2 100,000 iterations)
- CSP / HSTS / X-Frame-Options 等 HTTP 安全 Header
- API 端點分級權限,僅授權之服務角色 key 可呼叫
9.當事人權利請求之協助
當事人(學生、家長或員工)對其個人資料行使下列權利時:
- 查詢或請求閱覽
- 請求製給複製本
- 請求補充或更正
- 請求停止蒐集、處理或利用
- 請求刪除
原則上應先向控制者(補習班)提出。控制者收到請求後,如需要處理者協助 (例如自系統匯出 / 刪除特定資料),得於合理期間內通知處理者,處理者將於 7 個工作日 內提供必要協助。
員工本人對其個資之查詢與修正,可透過本服務內「個人檔案」頁面自行操作,毋庸經由 控制者。
— 法律依據:《個人資料保護法》第 3 條、第 10 條至第 13 條10.重大個資事故通報
10.1 處理者之通報義務
處理者發現任何足認為重大個資事故之情形時,應於知悉後72 小時內以 email 或其他可即時送達之方式通報控制者,內容應包含:
- 事故簡要描述(發生時間、性質、發生原因)
- 影響之個資類別與當事人類別、估算數量
- 已採取之即時補救措施
- 建議控制者採行之後續措施
- 處理者之聯絡窗口
10.2 控制者之後續義務
控制者收到通報後,應依個資法第 12 條規定,於違反個資法致個人資料被竊取、洩漏、 竄改或其他侵害時,通知當事人。處理者將盡力協助控制者完成該等通知。
10.3 主管機關通報
如事故依法應通報主管機關(教育主管機關、個人資料保護委員會等),由控制者依其 管控者地位執行,處理者協助提供必要資訊。
11.稽核權(Audit Right)
11.1 控制者之權利
控制者有權於合理通知後(預計 30 個工作日前),以下列方式核實處理者對本告知書義務 之履行:
- 請求處理者提供安全維護措施之書面說明、稽核日誌、事故統計
- 請求處理者填覆控制者所提供之合理問卷
- 於必要時(例如重大事故發生後),經雙方協商,進行現場或遠端稽核
11.2 稽核之限制
稽核應於正常營業時間進行,每年原則上不超過 1 次,但因重大事故所需者不在此限。 稽核費用由控制者負擔;但稽核發現處理者重大違反本告知書時,稽核費用由處理者負擔。
11.3 處理者之配合義務
處理者應於合理範圍內配合稽核,提供必要協助;但有保密理由(例如涉及他控制者之 資料、第三方商業機密)或基於安全考量者,得拒絕揭露該等特定內容,並提供替代之佐證 方式。
12.國際傳輸
本服務之運作涉及下列國際傳輸:
- 主要儲存:日本(AWS ap-northeast-1)— 個資保護水準經評估屬適當
- AI 處理:美國(OpenAI)— 採用 OpenAI 之 API 服務條款,該政策聲明 API 呼叫資料 不用於訓練且於合理期間後刪除
- 加密備份:美國(GitHub Releases)— 以 AES-256-CBC 加密,GitHub 無法解密
依《個人資料保護法》第 21 條,中央目的事業主管機關(包含但不限於教育部、國家發展 委員會、個人資料保護委員會)如就特定國家發布國際傳輸限制命令,處理者將於命令生效 前合理期間內調整再委託架構或建議終止傳輸。
— 法律依據:《個人資料保護法》第 21 條13.終止與資料返還 / 刪除
13.1 終止時點
本委託關係於下列任一情形發生時終止:
- 《服務條款》或合作合約依其規定終止
- 雙方書面合意終止
- 因法定事由不能繼續履行
13.2 終止後之處理
合作關係終止後,處理者依下列流程處理控制者之個人資料:
- 匯出期間:終止後 30 日內,控制者得申請匯出全部資料,以合理之 機器可讀格式(例如 CSV、JSON、SQL dump)提供
- 刪除執行:逾匯出期間或控制者主動聲明放棄匯出者,處理者執行刪除, 包含主資料庫、加密備份、Storage、第三方服務商之必要刪除請求
- 備份滾動:加密備份(每日新增、30 日滾動)依正常滾動週期自動覆蓋 與刪除
- 刪除證明:控制者請求時,處理者提供書面或電子刪除證明
- 法定保留:因法令強制保存者(如稅務憑證),依該法令規定期間保留
14.違反處理之責任
14.1 雙方各自負責
任一方違反本告知書約定致他方或當事人損害者,應就其可歸責部分負損害賠償責任, 並負協助他方履行法律義務之配合責任。
14.2 賠償上限
處理者對控制者之賠償責任,以《服務條款》第 8.2 條所訂之累計賠償上限為準,但因故意 或重大過失致控制者損害者不在此限。
14.3 法律強制責任
處理者依《個人資料保護法》及其他相關法令對主管機關、當事人所負之直接法定責任 (例如行政罰、刑事責任),由處理者自負,不適用本條賠償上限。
— 法律依據:《個人資料保護法》第 28 條、第 29 條、第 41 條至第 50 條15.一般條款
15.1 與其他文件之關係
本告知書為《服務條款》及雙方合作合約之一部,共同構成完整協議。如本告知書與 合作合約有衝突,以合作合約為準;與《服務條款》有衝突,以本告知書為準。
15.2 變更
本告知書之重大變更須以書面通知並經控制者同意。控制者於通知後 30 日內未表反對者, 視為同意。
15.3 準據法與管轄
本告知書依中華民國法律解釋與執行;爭議以台灣台中地方法院為第一審 管轄法院。
15.4 聯絡窗口
個資處理事項、稽核請求、事故通報之聯絡窗口:
- 處理者個資保護管理者(DPO):游驊益
- 線上表單:首頁聯絡表單
- 事故通報緊急管道:雙方於合作合約另行約定之專屬窗口