隱私與資料保存政策

Document Versionv1.0

Effective Date2026-04-10

Last Updated2026-05-11

Published Online2026-05-11

Legal Review StatusSelf-authored; partner-side review invited

Language繁體中文（法律基準版）

1. 蒐集項目與處理目的

本平台蒐集之個人資料分類詳列於〈資料治理框架〉§3。各項類別之蒐集合法基礎與處理目的對照如下：

資料類別	處理目的	合法基礎
帳號與個人檔案	身份認證、權限控管、個人化教學服務、課程組成員管理	履行使用者註冊時所同意之服務條款（GDPR Art. 6(1)(b)）
學生—AI 對話資料	提供 LLM 推論服務、個人化學習回饋、教師查看課堂互動	履行服務條款；研究使用以個別同意為基礎（GDPR Art. 6(1)(a)、Art. 6(1)(b)）
學習行為紀錄	學習儀表板呈現、教師之班級分析、課程改進依據	履行服務條款；研究使用以個別同意為基礎
衍生分析資料	個人化回饋、教師教學決策支援	履行服務條款；演算法處理已揭示於對應功能說明
OAuth 與認證憑證	第三方登入、雙因子驗證	履行服務條款
生理感測資料（Garmin / Apple Health / Google Health Connect）	個人健康儀表板呈現、PALM 狀態感知教學模組（如已啟用）、研究使用	個別同意（GDPR Art. 9(2)(a)）；隨時得撤回
螢幕錄製資料	教師端課後回放、學生端課堂存檔；研究使用須個別同意	個別同意；錄製前以同意書取得
深度訪談資料	質性研究分析	個別同意（GDPR Art. 9(2)(a)）；同意書揭示研究目的、保存期限與聯絡方式
系統日誌	系統維運、安全事件偵測、滿足法定義務（如不正存取調查）	正當利益（GDPR Art. 6(1)(f)）；履行法定義務（GDPR Art. 6(1)(c)）

2. 保存期限

本平台採三層分類之保存策略，將「直接識別個資」、「匿名化研究資料」、「研究者對外匯出窗口」視為相互獨立之三件事，分別適用不同期限與處理流程。

2.1 三類保留期限對照表

資料類型	保留期限	法律依據
直接識別個資（PII）	刪除請求後 30 日內完成永久刪除	GDPR Art. 5(1)(e)、Art. 17
備份中的個資	隨 30 日輪替自然消滅	業界標準作法
匿名化研究資料	依 IRB protocol 長期保留	GDPR Recital 26、Art. 89
研究者對外匯出	資料產生日起 5 年內	IRB 內部規範
資料主體本人權利行使	無時效限制	GDPR Art. 15、Art. 20

2.2 個人資料保留

Original wording — personal data retention Personal data is retained only as long as necessary for the original purpose of collection. Account profiles and directly identifying information are subject to a layered deletion process completing within 30 days of a deletion request or account closure. Personal data persists in routine backups for up to 30 days due to standard rotation cycles, after which it is naturally purged.

個人資料僅於原始蒐集目的所必要之期間內保存。帳號檔案與直接識別資訊適用分層刪除流程，於刪除請求或帳號終止後 30 日內完成；備份資料中之個資因例行輪替週期而最長存續 30 日，期滿自然消滅。

2.3 匿名化研究資料之長期保留

Original wording — anonymized research data Following completion of the deletion process, conversation logs and learning behavior records are irreversibly anonymized: pseudonym identifiers replace original identifiers, and the linkage table between pseudonyms and real identities is destroyed. The resulting dataset no longer constitutes personal data under GDPR Article 4(1) and Recital 26, and is retained for scholarly research purposes under the approved IRB protocol (NTU REC 202507EM058) in accordance with GDPR Article 89 (processing for scientific research).

刪除流程完成後，對話 log 與學習行為紀錄進行不可逆匿名化：以 pseudonym 識別碼取代原始識別碼，pseudonym 與真實身份之對照表於同一交易內銷毀。所得資料集依 GDPR Art. 4(1) 與 Recital 26 不再屬於個人資料，依 GDPR Art. 89（科學研究目的之處理）於通過之 IRB protocol（NTU REC 202507EM058）下作為學術研究目的長期保留。

2.4 研究者對外匯出窗口

Original wording — researcher export window Researchers granted access under a Researcher Access Agreement may request export of raw research data within 5 years of the data generation date. After this 5-year window, data remains archived within the system for verification and reproducibility purposes but is no longer available for outbound export. This restriction applies to researcher-side access only; data subjects' rights under GDPR Articles 15 and 20 are not subject to this time limit.

經 Researcher Access Agreement 授權之研究者，得於資料產生日起 5 年內申請原始研究資料匯出。逾 5 年後資料留存於系統內供驗證與可重現性之用，不再開放對外匯出。本限制僅適用於研究者方之存取；資料主體依 GDPR Art. 15 與 Art. 20 之權利不受此時效限制。

3. 刪除流程

本平台之分層刪除與 PII 匿名化機制已實作完成。流程分為三階段：

3.1 階段 1（T+0，即時）— 軟刪除緩衝期

帳號立即停用，個人檔案從所有活躍介面移除
使用者無法登入，其他使用者看不到該帳號
系統發送確認 email，告知 30 日後執行永久刪除
使用者可於 30 日內透過 email 連結申請取消刪除

3.2 階段 2（T+30 日）— PII 永久硬刪除 + 對話資料匿名化

直接識別個資（姓名、email、學號、登入 IP、裝置識別碼、頭像、自介）永久刪除，不可復原
使用者之對話、AI 互動、學習行為紀錄同步替換為 pseudonym ID
真實身份與 pseudonym 之對照表於同一交易內銷毀，不持久化儲存
此後該批資料屬不可逆匿名化資料，不再屬於 GDPR Art. 4(1) 定義之個資

3.3 階段 3（匿名化後）— 研究資料留存

匿名化資料依 IRB protocol 長期保留作為學術研究用途
適用 GDPR Recital 26（匿名化資料排除於個資範圍）與 Art. 89（科學研究目的）
研究者透過授權介面分析此資料；對外匯出僅限資料產生後 5 年內

4. 備份資料處理

每日備份保留 30 日，採滾動輪替（rolling rotation）
個資於備份中隨 30 日輪替自然消滅
備份還原後若涉及已刪除帳號，重新觸發階段 2 流程
不單獨從備份檔內挖出個資刪除（業界標準作法）

5. 例外狀況

下列情形得延長保留期限至相關事件結束或法定義務期滿：

未結之爭議、法律訴訟、或主管機關調查：相關資料保留至事件結束
履行法定義務（稅務、研究紀錄、補助核銷）：保留至法定義務期滿

於此類例外狀況下，相關資料以隔離儲存方式管理，不進入研究資料集，亦不對外匯出。

6. 跨境傳輸

本平台之主要伺服器位於台灣中央大學機房。在以下情形涉及跨境傳輸：

LLM 推論服務：預設 LLM 供應商位於美國（OpenAI, L.L.C.）。Uedu 對 OpenAI 之 API 已啟用 Zero Data Retention（ZDR），輸入與輸出資料於即時處理後不留存。
歐洲合作之研究情境：對涉及歐洲資料主體之研究合作，推論可改路由至 Microsoft Azure OpenAI Service 之 Switzerland North 或 West Europe region，依 Microsoft EU Data Boundary 承諾處理。Region 之選擇與合作機構共同決定，以對齊其資料居住地要求。
Email 寄送：交易性 email 透過 Mailgun（EU region）寄送。
DNS / DDoS 防護 / CDN：透過 Cloudflare, Inc. 之全球邊緣網路；歐洲使用者請求主要經 Cloudflare 歐洲節點處理。

跨境傳輸之合法基礎與機制依各法域而定，詳見〈跨法域合規對照表〉與各法域 Notes。完整供應商揭露見〈次處理者清單〉。

7. 資料主體權利

7.1 權利清單

權利	對應條文	行使方式
存取權	GDPR Art. 15、台灣個資法 §3	來信 [email protected]
更正權	GDPR Art. 16、台灣個資法 §3	於使用者個人設定頁直接編輯，或來信
刪除權（被遺忘權）	GDPR Art. 17、台灣個資法 §11	使用者個人設定頁之「刪除我的帳號」入口
處理限制權	GDPR Art. 18	來信
資料可攜權	GDPR Art. 20	來信（見 §7.2 之揭露）
反對權	GDPR Art. 21	來信
撤回同意權	GDPR Art. 7(3)	於對應功能之同意設定頁切換，或來信

7.2 關於資料可攜權的揭露

本平台目前已實作之自助介面為「刪除我的帳號」端口；對應 GDPR Art. 20 之自助式資料下載介面，目前未實作，且短期內無上線計畫。資料主體得依 GDPR Art. 20 與台灣個資法行使資料可攜請求，請來信 [email protected]，於 30 日內回應。

本段揭露之目的，是讓資料主體於行使該權利前，了解現行之請求路徑，避免於介面尋找而誤認為權利不存在。

7.3 行使流程與回應期限

所有書面請求承諾於收到完整資訊後 30 日內回應
請求若涉及複雜之身份驗證或大量資料調閱，得延長至 60 日，並於原 30 日內告知延長理由
回應形式包含：執行請求、部分執行（並說明限制理由）、或附理由拒絕並告知投訴管道
不對行使權利收取費用，但對明顯重複或濫用之請求保留拒絕權

8. Cookie 與類似技術

本平台僅使用維持登入狀態與身份驗證所必需之 session cookie，不使用第三方追蹤 cookie，不部署廣告 cookie，不嵌入 Google Analytics 或 Facebook Pixel 等對外傳遞使用者行為之追蹤工具。Cookie 於使用者登出或會話過期後失效。

因本平台未使用追蹤性 cookie，使用者進入本平台時不會出現「Cookie 同意彈窗」。此設計係出於最小化原則，而非規避同意義務。

9. 未成年使用者

本平台主要使用情境為大專校院之教學活動，使用者多為已滿 18 歲之成年大學生。當涉及高中合作學校（首間合作高中為臺北市立南港高級中學）之未成年使用者時：

同意基礎為法定代理人同意（家長同意書）；學生本人加上獨立同意
不涉及未成年使用者之研究資料於匯出時優先採用更嚴格之去識別化標準
不向未成年使用者進行行為剖析（profiling）或自動化決策

10. Breach 通報

發現個資外洩時，依 GDPR Art. 33 於 72 小時內通報所涉法域之監理機關（台灣個資法情形下，依 §12 以適當方式通知本人）
當外洩可能對資料主體權利造成高風險時，依 GDPR Art. 34 直接通知資料主體
本平台之 Breach 通報窗口為 [email protected]，請於主旨標明 [URGENT BREACH NOTIFICATION]

11. 政策變更

本政策之變更依〈資料治理框架〉§6 之版本制度管理。重大變更（主版號跳號）將於生效前 30 日於本中心首頁公告，並對註冊使用者以 email 通知。次版號與修訂號之更新於本中心首頁版本歷史區段揭示。

12. 聯絡窗口

Privacy Contact	[email protected]
Breach 通報	[email protected]（主旨標 [URGENT BREACH NOTIFICATION]）
學術合作	[email protected]

本文件之治理立場與角色定義詳見〈資料治理框架〉；資料處理之外部供應商揭露詳見〈次處理者清單〉。

--

10

32.3%

140.05

82.02%

62,201

AI 回覆桌面通知

聊天訊息通知

聲音通知

更多設定