隱私政策

本隱私政策（以下稱「本政策」）適用於由恒林日本株式會社（Eaglewood Japan Co., Ltd.，以下稱「我們」、「本公司」）營運之網站 guoxue.app 及其子網域（以下稱「本服務」）。本政策不適用於我們另行發行的 iOS 應用（奇門、八字、紫微、六爻、梅花），該五款 iOS 應用擁有各自獨立之隱私政策。

使用本服務即表示您已閱讀、理解並同意本政策所述之各項做法。如您不同意，請停止使用本服務。

1. 基本資訊

• 營運主體：恒林日本株式會社（Eaglewood Japan Co., Ltd.）
• 本社所在地：〒226-0025 神奈川県横浜市緑区十日市場町 872-19
• 設立日期：2022 年 5 月 12 日
• 資本金：5,000,000 日圓
• 代表者：佐々木浩
• 服務範圍：guoxue.app 網站及其 API 子網域（api.guoxue.app）
• 法人一般聯絡信箱：contact@eaglewoodjp.com
• 本服務（guoxue.app）聯絡信箱：contact@guoxue.app
• 隱私事務聯絡信箱：privacy@guoxue.app

2. 我們蒐集的資訊

2.1 您主動提供的資訊

• 帳戶資訊：電子郵件地址（首次註冊透過魔法連結驗證信箱,為必要蒐集項目）。若您在 /帳 主動啟用「密碼登入」,我們另保存一份 PBKDF2-SHA256 雜湊值(含隨機鹽,100,000 輪迭代),用於後續以信箱+密碼登入。我們永不保存您的明文密碼,亦無法反推。停用密碼登入後該雜湊會立即從資料庫中清除。
• 使用者輸入：生辰（國曆或農曆年月日時）、出生地、姓名（選填）、性別。上述資訊為生成命盤所必要，由您自行填寫。
• 訂閱與付款元資料：Stripe 客戶 ID（`cus_xxx`）、訂閱方案與狀態、發票編號。我們不接觸、不儲存您的信用卡卡號或 CVV，該等資訊由 Stripe, Inc. 直接處理。
• AI 互動歷史：您查詢的命盤、您向 AI 發出的問題，以及 AI 回傳的解讀文字。用於結果呈現、快取去重、成本核算與服務改善。

2.2 自動蒐集的資訊

• 會話 Cookie：`gx_session`（HttpOnly、Secure、SameSite=Lax、30 天滑動過期），用於維持登入狀態，非第三方追蹤。
• 存取紀錄：IP 位址、User Agent、請求時間戳記、請求路徑、回應狀態碼。透過 Cloudflare 蒐集，預設保留 30 天，供安全防護與防止濫用之用。
• 頁面訪問紀錄（僅限已登入用戶）：用戶 ID、會話 ID、頁面路徑（已去除查詢參數與錨點）、訪問時間戳記、停留毫秒數。用於改進產品體驗與漏斗分析。不儲存 IP 位址、User-Agent、裝置指紋或任何跨站識別符。如需刪除，請聯繫 privacy@guoxue.app。
• 每日老黃曆郵件訂閱（須本人主動登記信箱）：信箱、語言偏好、訂閱頻率、訂閱時間、最近發送時間、退訂時間、退訂一鍵憑證。僅用於向您寄送每日老黃曆郵件。每封郵件均含一鍵退訂連結，並符合 RFC 8058 List-Unsubscribe 標頭規範。信箱不與第三方共享。

3. 我們如何使用這些資訊

• 帳戶驗證：將一次性登入連結寄送至您的信箱。
• 提供核心服務：於伺服器端完成部分排盤運算；保存您主動儲存的命盤。
• AI 解讀：將命盤資料與您的問題發送至 Anthropic API（Claude AI）以產生解讀內容。未經使用者明確同意，本公司不會將可識別使用者身分之命盤資料用於 AI 模型訓練、向第三方提供或超範圍使用。
• 付款與訂閱管理：透過 Stripe 處理付款、管理訂閱狀態、開立發票。
• 交易信件：透過 Resend 寄送登入連結、訂閱異動確認、購買憑證等必要信件。非訂閱用戶不會收到行銷信件。
• 安全與防止濫用：透過 Cloudflare WAF、速率限制與 Bot Fight Mode 防禦攻擊。
• 法定義務履行：依日本會社法、法人稅法、消費稅法等法規保存交易紀錄。
• 使用者畫像與自動化決策：我們不會對您的個人資料進行使用者畫像分析（profiling）。具體而言：我們不會基於您的命盤資料、AI 互動歷史、使用行為等，對您進行個人特徵分析、行為預測、分類評分、群體劃分或任何形式之自動化評估。我們不會將您的資料用於任何形式之自動化決策（automatic decision-making），包含但不限於對您產生法律效力或類似重大影響之決定（如信貸、就業、保險、醫療等）。所有 AI 解讀均僅就您當次輸入之命盤資訊產生，不跨會話、不跨使用者進行關聯分析，亦不用於訓練商業模型。若未來服務模式發生變化，需要引入使用者畫像或自動化決策，我們將提前透過電子郵件通知您，並另行取得您的明確同意。

4. 第三方子處理者（Subprocessors）

我們委託以下受信任之第三方處理部分資料。各方均受其自身隱私政策及合約約束：

5. 資料保存期限

• 帳戶資料：至您要求刪除或帳戶註銷為止。
• 訂閱與付款紀錄：依日本會社法、法人稅法、消費稅法等法規保存 7 年。
• 已儲存的命盤：保留至您主動刪除。
• 存取紀錄：30 天（Cloudflare 預設）。
• AI 解讀快取：90 天滾動保存（以雜湊值比對以節省重複呼叫成本），到期後自動清除。

6. 您的權利

依據日本《個人資訊保護法》（Act on the Protection of Personal Information，簡稱 “APPI”）等適用法律，您享有下列權利：

• 存取權——透過帳戶設定檢視我們持有關於您的全部資料。
• 更正權——於帳戶設定中自行編輯信箱以外的資料。
• 刪除權——「永久刪除帳戶」功能將不可逆地清除您的命盤、AI 互動歷史、會話等資料。依法應保存的訂閱與發票紀錄除外。
• 資料可攜權——透過帳戶設定將您的資料匯出為 JSON。
• 撤回同意——可隨時退訂；付費會員可隨時透過 Stripe Customer Portal 取消訂閱。
• 申訴權——可向日本個人資料保護委員會（PPC）或您所在地的資料保護監理機關申訴。

如需行使上述權利，請登入帳戶自助操作，或來信 privacy@guoxue.app。我們將於合理期限（一般不超過 30 日）內回應。

7. Cookie 使用

• 必要 Cookie：`gx_session`——會話憑證，缺少此 Cookie 將無法登入。
• 我們不設置廣告 Cookie、分析 Cookie 或任何第三方追蹤 Cookie。
• 您可於瀏覽器設定中停用 Cookie，但將無法登入帳戶。

8. 跨境資料傳輸

• 伺服器主要位於 Cloudflare APAC 區域。
• Anthropic API 與 Stripe 位於美國。
• Resend 郵件基礎設施位於美國。
• 使用本服務即表示您同意為提供服務所需之跨境傳輸，以及接收方所在地區（可能不具備與您所在地區相等水準之資料保護）。

9. 兒童保護

本服務僅面向 18 歲以上成年人，因命理內容涉及婚姻、財運等成人議題。我們不會刻意蒐集未成年人之個人資料。如知悉註冊使用者未滿 18 歲，將立即刪除其帳戶。

10. 安全措施

• 傳輸加密：全站 TLS 1.3。
• 儲存加密：Cloudflare D1、KV 底層均啟用加密。
• 密碼：登入方式以一次性魔法連結為主;若您主動啟用「密碼登入」,我們僅儲存 PBKDF2-SHA256 雜湊(含隨機鹽,100,000 輪迭代),永不儲存明文密碼,亦無法反推。密碼錯誤連續 5 次會觸發 30 分鐘帳戶鎖定。
• 會話：HttpOnly + Secure + SameSite=Lax + 30 天滑動過期。重設或修改密碼時,所有其他裝置上的舊登入會被強制登出。
• 速率限制：魔法連結每 IP 每分鐘 5 次、每信箱每小時 3 次;密碼登入每 IP 每分鐘 10 次、每信箱每小時 20 次;AI 呼叫每用戶每分鐘 2 次。
• 成本硬上限：每用戶每月硬成本上限 8 美元（MTD hard cap），以防止惡意呼叫造成帳單激增。

儘管我們採用業界常見的安全措施，網路傳輸不存在絕對安全。如發生影響您權益之資料外洩事件，我們將依法律要求向您及主管機關通知。

11. 政策變更

重大變更將透過電子郵件通知已註冊用戶，並於您下次登入時顯示提示。輕微變更僅更新本頁並修改「最後更新日期」。

12. 聯絡與申訴

• 隱私事務：privacy@guoxue.app
• 一般查詢：contact@guoxue.app
• 法人事務：contact@eaglewoodjp.com
• 監理申訴：日本個人資料保護委員會（https://www.ppc.go.jp/）

13. 語言優先權

本政策同時以簡體中文、繁體中文、英文、日文公布。各語言版本在含義上應保持一致，如有歧義，以簡體中文版為準。