隱私政策

最後更新：2026 年 4 月

Memento（如面）重視您的隱私。本政策說明我們如何收集、使用、保護您的個人資料，以及您依照法律享有的權利。

1. 我們收集的資料

您主動提供的資料

• 帳戶資料：電子郵件地址、姓名（選填）
• 身份驗證：Apple ID 或 Google 帳戶（透過第三方登入，我們僅接收您授權的基本識別資訊）
• 用戶內容：您上傳的文件、影片、語音錄音、文字記憶、照片
• 助記詞與加密金鑰：用於保護您的金庫（僅存儲加密版本，我們無法還原您的主密碼）
• 守護者資訊：您指定的守護者電子郵件地址
• 付款資訊：透過 Apple App Store / Google Play 處理，我們不接觸信用卡號碼

自動收集的資料

• 設備資訊：設備類型、作業系統版本
• 使用資料：功能使用頻率、錯誤報告（透過 Sentry）
• 訂閱狀態：透過 Apple / Google 回傳的訂閱狀態確認
• 最近活動時間（last_seen_at）：App 被開啟的時間戳，用於判斷生命脈衝寬恕信號，避免誤觸發確認期

2. 我們如何使用您的資料

• 提供、維護和改善本服務的核心功能
• 驗證您的身份並保護帳戶安全
• 處理訂閱和付款（透過 Apple / Google）
• 在您設定的條件觸發時，通知您的守護者
• 發送重要服務通知（不用於行銷，除非您明確同意）
• 診斷技術問題和改善應用程式穩定性
• 依法律要求配合政府機關合法請求

3. 資料存儲與安全

您的資料存儲於 Supabase 提供的安全雲端基礎設施（資料中心位於美國）。我們採用以下措施保護您的資料：

• 傳輸加密：所有資料傳輸使用 TLS 1.3
• 靜態加密：敏感資料在存儲時加密（AES-256-GCM）
• 行級安全（RLS）：確保用戶只能存取自己的資料
• 零知識架構：助記詞從不以明文形式存儲於伺服器
• 業界標準加密：主密碼衍生採 PBKDF2-SHA256（≥ 100,000 次迭代）

4. 資料分享

我們不出售您的個人資料。我們僅在以下情況下分享資料：

• 您指定的守護者：在您設定的觸發條件滿足後（例如生命脈衝超時且確認期結束），依您的設定釋放對應金庫內容
• 服務提供商：正常服務運作所需，見下方第 5 節
• 法律要求：依法律程序或政府機關合法要求，僅限法律明確規定的範圍

5. 第三方服務

• Supabase（資料庫 / 認證 / 儲存）— 帳戶、加密內容、metadata，存於 🇺🇸 美國
• Apple Sign-In / Google Sign-In（第三方登入）— email、顯示名（由您授權）
• Apple App Store / Google Play（付款處理）— 訂閱狀態
• Sentry（錯誤監控）— 錯誤堆疊，不含個人識別資料，存於 🇺🇸 美國
• Resend（系統通知郵件發送）— 收件人 email、通知內容，存於 🇺🇸 美國
• Firebase Cloud Messaging（推播通知傳遞）— 裝置 token、通知內容（通常為短標題與內文），由 Google 處理
• Apple Push Notification Service (APNs)（iOS 推播）— 裝置 token、通知內容，由 Apple 處理
• Alibaba DashScope（阿里雲）（AI 語音處理：克隆 / 合成 / 對話 / 情緒分析 / 轉寫）— 您的語音錄音、聲紋樣本、文字記憶（僅經您明示同意後傳輸），存於 🇨🇳 中國大陸

⚠️ 關於 DashScope 的特別說明：由於 DashScope 伺服器位於中國大陸，使用語音功能會涉及個人資料跨境傳輸。詳細機制見第 6 節。

6. 語音資料處理（重點章節）

6.1 明示告知 + Opt-in 同意機制

Memento 僅在您明確同意後才處理您的語音資料：

• 首次使用任何語音功能（語音打卡 / 語音克隆 / 語音對話 / 語音錄製記憶）前，App 會彈出「語音資料處理同意書」，清楚說明：
  • 語音資料將由 Alibaba DashScope（中國大陸）處理
  • 傳輸採用 HTTPS 加密
  • DashScope 承諾不將您的資料用於模型訓練
  • 原始音訊處理完畢即刪除，僅保留文字轉寫與情緒標籤
• 您可點選「我了解並同意」啟用，或「暫不啟用」拒絕
• 拒絕不影響 Memento 其他功能使用

6.2 跨境傳輸紀錄

每次您使用語音功能，我們會記錄一筆跨境傳輸紀錄在 voice_cross_border_audit_log 表，您可在「設定 → 隱私設定」頁面查看自己的紀錄。此紀錄為個資法第 27 條「安全維護紀錄」建議做法，亦供日後主管機關抽查用。

6.3 撤回同意

您可隨時在「設定 → 隱私設定 → 撤回同意」撤回語音資料處理同意。撤回後所有語音功能會停用。撤回不會自動刪除已處理的語音資料（避免誤觸發刪除重要回憶）。

6.4 刪除所有語音資料

您可隨時在「設定 → 隱私設定 → 刪除所有語音資料」執行一鍵刪除。包括：語音克隆模型、所有錄音檔、AI 對話會話與訊息、RAG 記憶片段。此動作不可逆。

7. 您的權利

依個人資料保護法，您對自己的資料擁有以下權利：

• 查閱權：App 內「設定 → 我的資料」查看已存內容；「設定 → 隱私設定」查看跨境傳輸紀錄
• 更正權：App 內直接編輯個人資料與內容
• 停止處理權：「設定 → 隱私設定 → 撤回同意」停止語音處理
• 刪除權：「設定 → 隱私設定 → 刪除所有語音資料」一鍵刪除語音；刪除帳號請聯絡 support@mivoo.ai
• 匯出權：App 內「設定 → 匯出我的所有資料」可下載 JSON 檔完整備份
• 資料可攜權：匯出的 JSON 採開放格式，可匯入任何符合規格的系統

行使上述權利不收取費用，且不會影響您的其他權益。

8. 資料保留期限

• 帳戶資料：帳戶存續期間保留
• 用戶內容：依您的設定保留；刪除後 30 天內從備份系統完全清除
• Lifetime 用戶：即使停止使用，金庫數據仍保留至守護者觸發釋放或主動刪號
• 語音跨境傳輸紀錄：保留 5 年（符合個資法安全維護紀錄建議期限）
• 錯誤紀錄（Sentry）：保留 90 天

9. 兒童隱私

Memento 涉及數字遺產等嚴肅主題，僅限 18 歲以上成年人使用。我們不會故意收集未成年人的個人資料。若您發現未成年人使用本服務，請聯絡 support@mivoo.ai，我們會立即處理。

10. 法律性質聲明

Memento 提供的金庫、時光信件、語音印記等功能，僅為情感與資訊傳遞工具，不具備法定遺囑效力：

• 正式遺囑請依您所在地法律辦理公證或自書遺囑
• Memento 不承擔繼承糾紛、遺產分配爭議的法律責任
• 詳細內容見 服務條款 第 5 節

11. 政策變更通知

我們可能隨產品功能演進更新本政策。重大變更時會在 App 內彈出通知、發送 email、於本頁顯著位置標示變更日期與變更重點。若變更涉及新的敏感資料處理或新的跨境傳輸，我們會要求您重新明示同意後才啟用相關功能。

12. 管轄法律與聯絡我們

本隱私政策依據中華民國（台灣）法律解釋與適用，與《服務條款》第 11 節一致。

隱私問題、資料請求、政策疑問，皆可透過：

• Email：support@mivoo.ai

我們承諾於收到請求後 7 個工作日內初步回覆，30 天內完成處理。