Home
學生控制台
註冊會員/登入
研究知情同意書
UeduGPTs
Aida 優學伴
Uedu Note
Uedu Open
Uedu Jupyter
語言學習
Lingua 寫作
我的寫作歷程
認知組學測驗工具箱
關於我們
隱私權政策
資料安全
研究倫理
支持 Uedu
支援與訊息
Uptime 數據

UeduGPTs

--

Jupyters

16

清華大學 AQI 28 28°C PM2.5 8

AI 回覆桌面通知

AI 助教回覆完成時顯示桌面通知

聊天訊息通知

同學在討論區發送訊息時通知

聲音通知

每當有新通知時播放提示音

更多設定
帳戶設定 資料隱私設定 研究知情同意書
資料治理中心 隱私與資料保存政策
Operations · Privacy & Data Retention Policy

隱私與資料保存政策

本文件揭露 Uedu 平台之個人資料蒐集項目、處理目的、保存期限、刪除程序,以及資料主體得行使之權利。所述機制皆已實作。

Document Versionv1.0
Effective Date2026-04-10
Last Updated2026-05-11
Published Online2026-05-11
Legal Review StatusSelf-authored; partner-side review invited
Language繁體中文(法律基準版)

1. 蒐集項目與處理目的

本平台蒐集之個人資料分類詳列於〈資料治理框架〉§3。各項類別之蒐集合法基礎與處理目的對照如下:

資料類別處理目的合法基礎
帳號與個人檔案 身份認證、權限控管、個人化教學服務、課程組成員管理 履行使用者註冊時所同意之服務條款(GDPR Art. 6(1)(b))
學生—AI 對話資料 提供 LLM 推論服務、個人化學習回饋、教師查看課堂互動 履行服務條款;研究使用以個別同意為基礎(GDPR Art. 6(1)(a)、Art. 6(1)(b))
學習行為紀錄 學習儀表板呈現、教師之班級分析、課程改進依據 履行服務條款;研究使用以個別同意為基礎
衍生分析資料 個人化回饋、教師教學決策支援 履行服務條款;演算法處理已揭示於對應功能說明
OAuth 與認證憑證 第三方登入、雙因子驗證 履行服務條款
生理感測資料(Garmin / Apple Health / Google Health Connect) 個人健康儀表板呈現、PALM 狀態感知教學模組(如已啟用)、研究使用 個別同意(GDPR Art. 9(2)(a));隨時得撤回
螢幕錄製資料 教師端課後回放、學生端課堂存檔;研究使用須個別同意 個別同意;錄製前以同意書取得
深度訪談資料 質性研究分析 個別同意(GDPR Art. 9(2)(a));同意書揭示研究目的、保存期限與聯絡方式
系統日誌 系統維運、安全事件偵測、滿足法定義務(如不正存取調查) 正當利益(GDPR Art. 6(1)(f));履行法定義務(GDPR Art. 6(1)(c))

2. 保存期限

本平台採三層分類之保存策略,將「直接識別個資」、「匿名化研究資料」、「研究者對外匯出窗口」視為相互獨立之三件事,分別適用不同期限與處理流程。

2.1 三類保留期限對照表

資料類型保留期限法律依據
直接識別個資(PII)刪除請求後 30 日內完成永久刪除GDPR Art. 5(1)(e)、Art. 17
備份中的個資隨 30 日輪替自然消滅業界標準作法
匿名化研究資料依 IRB protocol 長期保留GDPR Recital 26、Art. 89
研究者對外匯出資料產生日起 5 年內IRB 內部規範
資料主體本人權利行使無時效限制GDPR Art. 15、Art. 20

2.2 個人資料保留

Original wording — personal data retention Personal data is retained only as long as necessary for the original purpose of collection. Account profiles and directly identifying information are subject to a layered deletion process completing within 30 days of a deletion request or account closure. Personal data persists in routine backups for up to 30 days due to standard rotation cycles, after which it is naturally purged.

個人資料僅於原始蒐集目的所必要之期間內保存。帳號檔案與直接識別資訊適用分層刪除流程,於刪除請求或帳號終止後 30 日內完成;備份資料中之個資因例行輪替週期而最長存續 30 日,期滿自然消滅。

2.3 匿名化研究資料之長期保留

Original wording — anonymized research data Following completion of the deletion process, conversation logs and learning behavior records are irreversibly anonymized: pseudonym identifiers replace original identifiers, and the linkage table between pseudonyms and real identities is destroyed. The resulting dataset no longer constitutes personal data under GDPR Article 4(1) and Recital 26, and is retained for scholarly research purposes under the approved IRB protocol (NTU REC 202507EM058) in accordance with GDPR Article 89 (processing for scientific research).

刪除流程完成後,對話 log 與學習行為紀錄進行不可逆匿名化:以 pseudonym 識別碼取代原始識別碼,pseudonym 與真實身份之對照表於同一交易內銷毀。所得資料集依 GDPR Art. 4(1) 與 Recital 26 不再屬於個人資料,依 GDPR Art. 89(科學研究目的之處理)於通過之 IRB protocol(NTU REC 202507EM058)下作為學術研究目的長期保留。

2.4 研究者對外匯出窗口

Original wording — researcher export window Researchers granted access under a Researcher Access Agreement may request export of raw research data within 5 years of the data generation date. After this 5-year window, data remains archived within the system for verification and reproducibility purposes but is no longer available for outbound export. This restriction applies to researcher-side access only; data subjects' rights under GDPR Articles 15 and 20 are not subject to this time limit.

經 Researcher Access Agreement 授權之研究者,得於資料產生日起 5 年內申請原始研究資料匯出。逾 5 年後資料留存於系統內供驗證與可重現性之用,不再開放對外匯出。本限制僅適用於研究者方之存取;資料主體依 GDPR Art. 15 與 Art. 20 之權利不受此時效限制。

3. 刪除流程

本平台之分層刪除與 PII 匿名化機制已實作完成。流程分為三階段:

3.1 階段 1(T+0,即時)— 軟刪除緩衝期

  • 帳號立即停用,個人檔案從所有活躍介面移除
  • 使用者無法登入,其他使用者看不到該帳號
  • 系統發送確認 email,告知 30 日後執行永久刪除
  • 使用者可於 30 日內透過 email 連結申請取消刪除

3.2 階段 2(T+30 日)— PII 永久硬刪除 + 安全紀錄切斷連結 + 對話資料匿名化

  • 直接識別個資(姓名、email、學號、頭像、自介、生日)永久刪除,不可復原
  • 安全稽核紀錄(登入 IP、session IP 變化歷史、登入失敗紀錄、2FA 驗證紀錄、位置紀錄等)採「切斷連結」模式:user_id 設為 NULL,紀錄本身留存於系統作為去識別化資料供資安事件追溯;依 GDPR Recital 26 不再屬個資範疇(詳見 §9.3)
  • 使用者之對話、AI 互動、學習行為紀錄同步替換為 pseudonym ID
  • 真實身份與 pseudonym 之對照表於同一交易內銷毀,不持久化儲存
  • 此後該批資料屬不可逆匿名化資料,不再屬於 GDPR Art. 4(1) 定義之個資

3.3 階段 3(匿名化後)— 研究資料留存

  • 匿名化資料依 IRB protocol 長期保留作為學術研究用途
  • 適用 GDPR Recital 26(匿名化資料排除於個資範圍)與 Art. 89(科學研究目的)
  • 研究者透過授權介面分析此資料;對外匯出僅限資料產生後 5 年內

4. 備份資料處理

  • 每日備份保留 30 日,採滾動輪替(rolling rotation)
  • 個資於備份中隨 30 日輪替自然消滅
  • 備份還原後若涉及已刪除帳號,重新觸發階段 2 流程
  • 不單獨從備份檔內挖出個資刪除(業界標準作法)

5. 例外狀況

下列情形得延長保留期限至相關事件結束或法定義務期滿:

  • 未結之爭議、法律訴訟、或主管機關調查:相關資料保留至事件結束
  • 履行法定義務(稅務、研究紀錄、補助核銷):保留至法定義務期滿

於此類例外狀況下,相關資料以隔離儲存方式管理,不進入研究資料集,亦不對外匯出。

6. 跨境傳輸

本平台之主要伺服器位於台灣中央大學機房。在以下情形涉及跨境傳輸:

  • LLM 推論服務:預設 LLM 供應商位於美國(OpenAI, L.L.C.)。Uedu 對 OpenAI 之 API 已啟用 Zero Data Retention(ZDR),輸入與輸出資料於即時處理後不留存。
  • 歐洲合作之研究情境:對涉及歐洲資料主體之研究合作,推論可改路由至 Microsoft Azure OpenAI Service 之 Switzerland North 或 West Europe region,依 Microsoft EU Data Boundary 承諾處理。Region 之選擇與合作機構共同決定,以對齊其資料居住地要求。
  • Email 寄送:交易性 email 透過 Mailgun(EU region)寄送。
  • DNS / DDoS 防護 / CDN:透過 Cloudflare, Inc. 之全球邊緣網路;歐洲使用者請求主要經 Cloudflare 歐洲節點處理。

跨境傳輸之合法基礎與機制依各法域而定,詳見〈跨法域合規對照表〉與各法域 Notes。完整供應商揭露見〈次處理者清單〉。

7. 資料主體權利

7.1 權利清單

權利對應條文行使方式
存取權GDPR Art. 15、台灣個資法 §3來信 [email protected]
更正權GDPR Art. 16、台灣個資法 §3於使用者個人設定頁直接編輯,或來信
刪除權(被遺忘權)GDPR Art. 17、台灣個資法 §11使用者個人設定頁之「刪除我的帳號」入口
處理限制權GDPR Art. 18來信
資料可攜權GDPR Art. 20來信(見 §7.2 之揭露)
反對權GDPR Art. 21來信
撤回同意權GDPR Art. 7(3)於對應功能之同意設定頁切換,或來信

7.2 關於資料可攜權的揭露

本平台目前已實作之自助介面為「刪除我的帳號」端口;對應 GDPR Art. 20 之自助式資料下載介面,目前未實作,且短期內無上線計畫。資料主體得依 GDPR Art. 20 與台灣個資法行使資料可攜請求,請來信 [email protected],於 30 日內回應。

本段揭露之目的,是讓資料主體於行使該權利前,了解現行之請求路徑,避免於介面尋找而誤認為權利不存在。

7.3 行使流程與回應期限

  • 所有書面請求承諾於收到完整資訊後 30 日內回應
  • 請求若涉及複雜之身份驗證或大量資料調閱,得延長至 60 日,並於原 30 日內告知延長理由
  • 回應形式包含:執行請求、部分執行(並說明限制理由)、或附理由拒絕並告知投訴管道
  • 不對行使權利收取費用,但對明顯重複或濫用之請求保留拒絕權

8. Cookie 與類似技術

本平台僅使用維持登入狀態與身份驗證所必需之 session cookie,不使用第三方追蹤 cookie,不部署廣告 cookie,不嵌入 Google Analytics 或 Facebook Pixel 等對外傳遞使用者行為之追蹤工具。Cookie 於使用者登出或會話過期後失效。

因本平台未使用追蹤性 cookie,使用者進入本平台時不會出現「Cookie 同意彈窗」。此設計係出於最小化原則,而非規避同意義務。

9. 網路位址(IP)資訊處理

網路位址(IP address)依 CJEU 判決 C-582/14(Breyer v. Bundesrepublik Deutschland)、台灣個人資料保護法之廣義解釋及多數法域個資定義,屬於個人資料範疇。本平台採三層處理模型,依用途區隔合法基礎與保留期限:

9.1 三層處理模型

層級用途保留期限合法基礎
L1. 邊緣與系統日誌 nginx access log;系統維運、debug、防 DDoS、流量分析 30~90 日輪替 正當利益(GDPR Art. 6(1)(f))
L2. 應用層安全紀錄 登入 session(user_session.ip_address 登入瞬間 IP、last_seen_ip 最新活動 IP)、session 期間 IP 變化稽核(user_session_ip_history)、2FA 嘗試紀錄、登入失敗稽核(user_login_failures)、異常登入偵測、帳號被盜還原協助、問卷填答來源稽核 1 年內;隨帳號永久刪除一併硬刪 正當利益;履行服務條款(GDPR Art. 6(1)(b)、(f)、Art. 32)
L3. 國家級地理判定 跨境合作識別;對特定法域之路由(如歐洲合作改路由至 Azure EU region);對外公開之國家級訪客分布(聚合統計) 即時計算、不長期儲存 正當利益;履行法定義務(GDPR Art. 6(1)(f)、(c))

9.2 紀錄與使用之區分

本平台基於資安義務(GDPR Art. 32)於系統內紀錄 IP 資料;此紀錄不等於追蹤(tracking)或行為剖析(profiling),兩者在法律與工程上為獨立概念。

本平台會紀錄 IP 之事件:

  • 登入成功(user_session.ip_addresslast_seen_ip)、登入失敗(user_login_failures
  • 2FA 驗證嘗試(user_totp_attemptsuser_2fa_email_codes
  • session 期間 IP 變化稽核(user_session_ip_history,IP 變化時 append)
  • 問卷填答來源稽核(survey_responses.ip_address

本平台不將 IP 用於以下用途(即使資料已存在於系統內):

  • 個人移動軌跡之研究分析(不對 IP 變化建立使用者「曾在何處」之時序剖析)
  • 街道、鄉鎮層級之精細位置研究(IP 在此粒度本即不可靠)
  • 行為剖析(profiling)、自動化決策、廣告投放
  • 對外公開個別使用者之 IP 或可重新識別至個人之衍生地理資訊

IP 資料之查詢僅於以下情境啟動:帳號被盜後協助使用者追溯、資安事件調查(DDoS、credential stuffing、垃圾訊息等)、主管機關依法調取、平台維運除錯。

個人精確位置(GPS 座標)之蒐集另採 opt-in 同意機制,限年滿 18 歲使用者;詳見〈使用者位置資訊管理頁〉/environment/locations。位置授權與 IP 處理分屬獨立流程,撤回任一者不影響另一者。

9.3 帳號與資料刪除流程

本平台對「資料主體之刪除請求」採切斷連結模式而非物理硬刪。具體做法:

  • 使用者刪除位置資料(按「全部刪除」/「單筆刪除」):user_locationsdeleted_at 欄位標記時間(soft delete);對使用者端之 list / count 不再回傳該紀錄。
  • 使用者刪除帳號:直接識別個資(姓名、email、學號、頭像、自介)依 §3.2 永久刪除;IP 與安全稽核相關紀錄(user_session / user_session_ip_history / user_login_failures / user_locations 等)以 user_id 設為 NULL 之方式切斷與使用者之連結,紀錄本身留存於系統。

切斷連結後之紀錄不再可識別至特定資料主體,依 GDPR Recital 26 不屬個資範疇;保留之目的為資安事件追溯(GDPR Art. 32、Recital 49)。此設計同時滿足:

  • 資料主體之刪除權(GDPR Art. 17):與該使用者之連結已被切斷
  • 資安義務(GDPR Art. 32):歷史 attack pattern 仍可分析
  • 儲存限制原則(GDPR Art. 5(1)(e)):對「資料主體可識別之資料」設有保存期限(即帳號存活期間),匿名化後之資料不在此限

本設計亦適用於:使用者撤回位置研究授權(user_research_consent.revoked_at_utc 標記)、問卷填答 IP 紀錄等所有 L2 層安全紀錄。任何資料主體對其本人資料之查閱、刪除請求,請來信 [email protected]

9.4 完全物理刪除之特殊管道

本平台之預設刪除政策(§3.2 + §9.3)採「切斷連結 + 安全稽核留存」模式,對絕大多數使用者足以符合 GDPR Art. 17 之刪除權要求。

本平台理解部分資料主體因特殊隱私情境(例如:受家庭暴力之離婚相對人、政治異議者、新聞記者保護消息來源、人身安全受威脅之當事人等)可能希望進行完全物理刪除,使資料無法以任何形式存留於系統內。對此類請求:

  • 請來信 [email protected],主旨標明「物理刪除請求」並簡述情境(無需出示證明文件,但需說明為何預設之切斷連結模式不足以保護您)
  • 本平台於 30 日內個案評估並回應,符合相關法定義務之前提下執行完全物理刪除(含 backup 之下次輪替)
  • 本管道不影響其他使用者之預設政策;本平台亦不對行使此權利之資料主體進行任何不利對待
  • 例外:若該等資料涉及未結之爭議、法律訴訟、或主管機關調查(§5 例外狀況),物理刪除將推遲至相關事件結束

此雙軌設計(預設切斷連結模式 + 例外物理刪除管道)使本平台同時兼顧:絕大多數使用者所重視之「便於追溯帳號異常活動」之安全能力,與少數特殊情境使用者之「資料完全消失」之根本權利。

10. 未成年使用者

本平台主要使用情境為大專校院之教學活動,使用者多為已滿 18 歲之成年大學生。當涉及高中合作學校(首間合作高中為臺北市立南港高級中學)之未成年使用者時:

  • 同意基礎為法定代理人同意(家長同意書);學生本人加上獨立同意
  • 不涉及未成年使用者之研究資料於匯出時優先採用更嚴格之去識別化標準
  • 不向未成年使用者進行行為剖析(profiling)或自動化決策

11. Breach 通報

  • 發現個資外洩時,依 GDPR Art. 33 於 72 小時內通報所涉法域之監理機關(台灣個資法情形下,依 §12 以適當方式通知本人)
  • 當外洩可能對資料主體權利造成高風險時,依 GDPR Art. 34 直接通知資料主體
  • 本平台之 Breach 通報窗口為 [email protected],請於主旨標明 [URGENT BREACH NOTIFICATION]

12. 政策變更

本政策之變更依〈資料治理框架〉§6 之版本制度管理。重大變更(主版號跳號)將於生效前 30 日於本中心首頁公告,並對註冊使用者以 email 通知。次版號與修訂號之更新於本中心首頁版本歷史區段揭示。

13. 聯絡窗口

Privacy Contact[email protected]
Breach 通報[email protected](主旨標 [URGENT BREACH NOTIFICATION])
學術合作[email protected]

本文件之治理立場與角色定義詳見〈資料治理框架〉;資料處理之外部供應商揭露詳見〈次處理者清單〉。