隱私權政策

Brightfield Software 尊重用戶的隱私，並致力於透過周詳的設計與負責任的數據處理方式來保護用戶隱私。本《隱私權政策》說明您在使用 SpendFox 時，相關資訊將如何被處理。

Brightfield Software 擔任與 SpendFox 相關之個人資料處理的資料控制者，惟當第三方供應商（例如 Enable Banking AS）依據其自身的法律義務擔任獨立資料控制者或處理者時，則不在此限。

1. 概述

SpendFox 的開發高度重視隱私保護與裝置端處理。在可行情況下，各項功能皆設計為無需收集或傳輸個人資料即可運作。

SpendFox 沒有使用者帳戶。無需註冊、無需電子郵件地址、無需使用者名稱，也無需密碼。這是刻意為之的設計選擇——這意味著在銀行資料同步過程中，流經我們伺服器的資料無法由我們與特定個人建立關聯，因為我們從一開始就不知道您是誰。

若應用程式運作需要資料，我們會以審慎且透明的方式處理該資料。

2. 我們收集的資訊

最小化資料蒐集

SpendFox 的設計宗旨是將資料蒐集量降至最低。多數功能完全在您的裝置上運作，無需我們在伺服器上蒐集或儲存個人資料。

某些選用功能（例如連接銀行帳戶以進行自動交易同步）則需在您明確要求下，透過第三方服務暫時處理財務資料。

銀行帳戶連結

當您選擇連結銀行帳戶時，我們會透過第三方金融連線服務供應商 Enable Banking AS，以安全方式驗證您的銀行帳戶，並擷取帳戶餘額及交易紀錄。該供應商作為 SpendFox 與您銀行之間的仲介，讓您能在無需與我們分享銀行憑證的情況下，安全地存取財務資料。

Enable Banking AS 作為受監管的金融服務供應商，將依照適用的金融法規及其隱私權政策處理您的資料：

• Enable Banking 隱私權政策：enablebanking.com/privacy-policy

此流程僅在您明確同意後才會啟動。Brightfield Software 不會在其伺服器上儲存您的銀行憑證、交易金額、帳戶餘額或交易紀錄。透過此服務供應商擷取的財務資料，將以安全方式傳輸至您的裝置。

您的交易在應用程式中的顯示方式

在銀行資料同步過程中，系統會進行兩項處理以提升交易紀錄的可讀性：

整理交易名稱。銀行常提供混亂的交易描述，例如「BCK*ETOS VATHORST 1234」。為將這些內容轉化為「Etos」這類易讀名稱，我們採用 Mistral AI 提供的服務。 僅傳送商店名稱 — 絕不會包含您的姓名、帳號、消費金額或消費時間。每次請求都是一份匿名的商店名稱清單，無法與您建立任何關聯。我們與 Mistral AI 簽訂了「零資料保留」協議，這意味著他們不會儲存或使用我們傳送的任何資料 — 資料在他們端處理完畢後會立即刪除。

顯示商家標誌。為了在每筆交易旁顯示標誌，我們會將商店名稱與我們自己的商家目錄進行比對，該目錄託管於歐盟境內的 Brightfield Software 基礎設施上。僅會傳送商店名稱——絕不會包含任何關於您或您交易的資訊。查詢結果會共享給所有 SpendFox 用戶，因此若兩位用戶在同一家商店購物，僅需進行一次查詢。該目錄為通用型，且未與任何個別用戶連結。

您的資料處理地點

Brightfield Software 的自有基礎設施完全託管於歐盟境內。這是經過深思熟慮的選擇——這意味著無論您身在何處，任何經過我們基礎設施的資料均會依照歐盟資料保護法進行處理與儲存。

當您連結銀行帳戶時，您的財務資料將由總部位於挪威的 Enable Banking AS 進行處理。挪威受歐洲經濟區（EEA）資料保護框架規範，此資料傳輸不會離開歐洲經濟區。

交易名稱整理（Mistral AI）是在歐盟境內，依據「零資料保留」協議進行處理——Mistral 不會儲存或保留我們傳送的任何資料。

3. 裝置端處理

SpendFox 的許多功能皆設計為完全在您的裝置上運作。這意味著：

• 您的資料將盡可能保留在您的裝置上。
• 處理作業在本地端進行，而非在外部伺服器上。
• 僅在功能運作所需時才會使用網路連線。

應用程式驗證

由於 SpendFox 沒有使用者帳戶（參見第 1 節），我們需要另一種方式來保護伺服器免於濫用——同時無需您提供個人身分資訊。我們採用 Apple 的 App Attest 框架來實現此目的。它讓我們能夠確認請求是否來自正版且未經修改的 SpendFox 副本，而無需知曉使用者身分。

為此，我們會在伺服器上儲存您裝置的驗證金鑰。此金鑰僅能回答一個問題：「這是否為真正的 SpendFox 副本？」它不會透露您的身分、您在應用程式中的操作，或任何交易相關資訊。它不會與您的姓名、電子郵件或任何個人檔案連結——因為我們不會收集這些資訊。

此金鑰最長保留一年，並可應要求刪除（請參閱第 11 條）。

4. 第三方服務與資料揭露

Brightfield Software 僅在必要時使用第三方服務，以提供您明確選擇啟用的功能。下表概述了各項服務及其接收與不接收的資訊。

服務	功能說明	其接收的內容	絕不會接收的資訊
啟用銀行服務 AS （挪威／歐洲經濟區）	連接歐洲銀行帳戶	您銀行的驗證流程	您的銀行憑證絕不會與我們共享
Mistral AI （歐盟，零資料保留）	整理交易名稱（第 2 節）	僅儲存名稱，去除個人資料。Mistral 不會儲存任何資料。	金額、日期、您的身分、帳號
Apple App Attest	驗證應用程式完整性（第 3 節）	來自您裝置的驗證檢查	您的身分或交易資料

我們不會為廣告、行銷或建立用戶檔案之目的而出售、出租或分享個人資料。第三方服務僅用於執行上述所述的有限功能。

Apple 與 App Store

SpendFox 透過 Apple App Store 發行。Apple 可能會根據其《隱私權政策》，獨立收集與您使用 App Store 及裝置相關的特定資料，包括診斷與效能資訊。此類資料由 Apple 以獨立資料控制者身分進行收集，Brightfield Software 無法存取或控制該資料。

5. 兒童隱私

SpendFox 並非針對 13 歲以下兒童設計，亦未刻意設計用於收集兒童的個人資料。若您認為有兒童透過本應用程式提供了個人資料，請透過 hello@spendfoxapp.com 與我們聯繫，我們將採取措施刪除此類資訊。

6. 資料保留與安全

SpendFox 的設計旨在將資料保留時間降至最低。

我們不會在伺服器上儲存您的交易紀錄、購物地點名稱、消費金額、消費時間、帳戶餘額或銀行憑證。

為確保應用程式正常運作，我們會儲存少量營運資料：

• 應用程式驗證金鑰 - 用於確認您的應用程式為正版（參見第 3 節）。儲存期限最長為一年。可應要求刪除。
• 銀行連線參考資料 - 記錄有效銀行連線的存在，用於自動清理已棄用的連線。由於沒有使用者帳戶，這些參考資料不會與特定個人綁定 - 我們僅知連線存在，但無法得知其歸屬者。不包含任何交易資料。當連線中斷或過期時即會刪除。
• 商家目錄 - 儲存用於在應用程式中顯示交易的名稱、標誌及類別。此為共享目錄，未與任何個別使用者連結。
• 系統狀態計數器 - 例如「今日已處理 193 筆交易」這類簡單的計數，有助於我們確認服務是否正常運作。這些計數器不包含任何交易內容或使用者資訊。將在 24 小時至 7 天內自動刪除。

我們採取適當的技術與組織措施來保護與應用程式相關的任何處理資料，包括加密及安全驗證機制。

我們不會將財務資料用於行為追蹤、廣告投放或建立使用者檔案。

7. 回報問題

若發生異常狀況，您可透過應用程式內建功能回報問題。回報機制分為兩個層級，您可自行選擇使用哪一種：

基本回報

請以您自己的話描述問題。我們將收到您的描述以及基本裝置資訊（應用程式版本、手機型號、作業系統）。報告中不包含任何交易資料。

詳細支援會話

若我們需要更多資訊來調查特定問題，您可以選擇開啟支援會話。這將讓我們的團隊能更詳細地檢視您下次銀行資料同步時的狀況。

此功能完全為自願性質，運作方式如下：

• 您選擇開啟支援會話並描述問題。
• 下次您的銀行資料同步時，該次同步的詳細資訊將暫時記錄在我們的伺服器上。
• 在任何資料傳送給我們之前，您將看到完整預覽，清楚了解將包含哪些內容。未經您的確認，絕不會傳輸任何資料。
• 您可在任何時候取消該支援會話——若您取消，系統將不會保留任何資料。

無論我們的團隊是否來得及審閱，記錄的資料都將在 72 小時內自動且永久刪除。此期限無法延長。每個支援會話皆為一次性——僅涵蓋您回報的特定問題，且僅限於該會話期間發生的同步資料。

由於 SpendFox 沒有使用者帳戶，支援會話中收集的資訊僅會標記一個隨機參考編號。我們的工程團隊可以查看同步過程中發生了什麼問題，但無法得知問題發生在誰身上。

8. 當機報告

若 SpendFox 發生當機，您下次啟動應用程式時可能會被詢問是否願意傳送當機報告。

若您選擇傳送，我們將收到一份關於問題原因的技術快照——這類資訊與 Apple 針對所有應用程式自動收集的資料性質相同。其中包含應用程式版本、您的手機型號及作業系統版本，但不會包含任何交易資料、帳戶資訊或個人詳細資料。

當機報告會在 30 天後自動刪除，且僅用於找出並修復錯誤。

在發送報告前，系統會先徵求您的同意。若您選擇不發送，任何資料都不會離開您的裝置。

9. 安全事件與資料外洩通知

若發生可能危及您權利與自由的個人資料外洩事件，我們將依照《一般資料保護規範》（GDPR）第 33 條之規定，於知悉後 72 小時內通知相關監管機構。若外洩事件可能對您的權利與自由造成高風險，我們亦將依照《一般資料保護規範》（GDPR）第 34 條之規定，在無不當延遲的情況下通知受影響的使用者。

10. 您的選擇、同意與控制

連結銀行帳戶屬自願性質，且需您的明確同意。您可選擇不啟用此功能，並繼續透過手動輸入資料使用 SpendFox。

若您已連結銀行帳戶，可隨時於應用程式內撤銷存取權限。一旦解除連結，系統將不再擷取新的財務資料。

由於財務資料是在您的裝置上本地處理及儲存的，刪除應用程式將導致無法存取先前擷取的任何帳戶資訊。

處理財務資料的法律依據是您根據《一般資料保護條例》（GDPR）第 6(1)(a) 條所給予的明確同意。您可隨時透過在應用程式內解除銀行帳戶連結來撤回您的同意。

11. 您的資料保護權利

根據《一般資料保護條例》（GDPR），您有權：

• 要求存取您的個人資料
• 要求更正不準確的資料
• 要求刪除您的資料
• 要求限制處理
• 反對處理
• 請求資料可攜權

查看我們持有的資料

SpendFox 內建一項功能，可讓您確切查看我們針對您的裝置所儲存的資料。您可在應用程式內的「設定」中找到此功能。由於我們儲存的資料極少，因此回報內容相當簡短——它會顯示您的應用程式驗證金鑰、任何有效的銀行連線參考資料、任何未結的客服諮詢，以及一份我們刻意不儲存的所有項目清單。

您亦可透過聯絡 hello@spendfoxapp.com 行使您的權利。

要求刪除

您可以要求我們刪除我們為您的裝置所保存的所有資料，包括您的應用程式驗證金鑰以及任何有效的銀行連線參考資料。如需執行此操作，請使用應用程式內的功能或聯絡 hello@spendfoxapp.com。我們將在 30 天內處理刪除請求。

健康計數器（詳見第 6 節）是匿名總計數據，未與任何個人相關聯，因此無法針對個別使用者進行刪除——但這些數據亦無法用於識別您的身分。

您亦有權向當地資料保護監管機構提出申訴。歐盟居民可於 edpb.europa.eu 查閱監管機構清單。

對於美國居民，資料保護權利與救濟措施因州而異。若適用相關州級隱私法，您可透過 hello@spendfoxapp.com 聯絡我們以行使您的權利。

12. 本政策之變更

若應用程式功能或資料處理方式有所變更，本隱私權政策可能會進行更新。任何重大變更將反映於本頁面，且「最後更新」日期將據此修訂。

13. 聯絡方式

若您對本隱私權政策或我們的資料處理方式有任何疑問，請聯絡：

hello@spendfoxapp.com
Brightfield Software