隱私政策

最後更新:2026-06-01

Haoji(好記,以下簡稱「本服務」)尊重你的隱私。這份政策說明 我們在你使用本服務時會收集哪些資料、如何使用,以及你可以怎麼 管理自己的資料。

本服務由 Tim Hsieh 營運,所在地為台灣。我們是你個人資料的 「資料控制者」,決定資料如何被收集與使用。若你對個人資料的處理 有任何疑問或要求,可透過第 12 節的方式聯絡我們。

1. 我們收集什麼資料

  • 帳號資料:Email 地址、密碼(以雜湊儲存)。 若你選擇 Google 登入,會包含 Google 提供的識別碼;若選擇 Apple 登入,會包含 Apple 提供的識別碼,以及你授權分享的 Email(若你啟用「隱藏我的電子郵件」,我們收到的會是 Apple 轉寄用的 relay email,而不是你真實的 Email)。
  • 個人資料:你選填的暱稱、推播通知 token (供我們把預算提醒送到你的裝置上)。
  • 記帳資料:你輸入的交易金額、分類、商家名稱、 備註、發生日期、所屬帳本與帳戶。
  • 發票與收據資料:使用拍照記帳或掃描電子發票時, 我們會處理收據/發票影像以擷取金額與品項;台灣電子發票掃描會 儲存發票的賣方統一編號、發票號碼等中繼資料。原始收據/發票影像不會保留於我們的伺服器,影像在 AI 解析後即丟棄。
  • 裝置與使用資料:錯誤訊息(用於修 bug)、 推播通知狀態。我們追蹤你的瀏覽行為、 不放置廣告 cookies。

2. 我們怎麼使用這些資料

  • 提供記帳、報表、預算等核心功能
  • 跨裝置同步你的記帳資料
  • 送出你訂閱的預算提醒推播
  • 透過 AI 解析你輸入的自然語言記帳(例如「午餐 220」)。送到 Anthropic 的 Claude API 的內容包含:(1) 你當下這筆記帳的文字 或語音轉譯結果;(2) 拍照記帳時,當下這張收據/發票影像(解析後 即丟,不另存於 Haoji 伺服器);(3) 為了讓 AI 正確對應到你的帳戶 與記帳對象,會一併送出你帳本內的帳戶名稱家庭成員標籤,以及該成員在 App 內設定的顯示名稱(暱稱,例如「Janice」)。我們不會送出你的 Email、密碼、付款資訊、帳戶餘額、 歷史交易明細,也不會送出家庭成員的真實全名、年齡、生日或關係 備註。為了你的隱私,輸入記帳時請避免寫入身分證字號、銀行帳號等 高敏感資訊。我們絕不用你的記帳資料訓練我們或 第三方的 AI 模型 — 這個承諾的執行依賴兩件事:(1) Anthropic 目前的商業 API 條款明訂不會將 API 內容用於訓練(這是 Anthropic 對所有商業客戶的政策);(2) 我們會於正式上線前與 Anthropic 簽訂資料處理協議(DPA),把這項承諾寫進合約以加強保障。如 Anthropic 政策有任何重大調整,我們會於變更生效前透過 App 內 通知或 Email 告知你,由你決定是否繼續使用 AI 解析功能。

3. 我們會把資料分享給誰

本服務沒有廣告變現,我們不販售你的資料、也不把資料分享給廣告商。 為了讓服務跑起來,我們使用以下技術夥伴,他們是「資料處理者」 而非「資料控制者」:

  • Supabase(資料庫與認證)— 你的記帳資料存放 在新加坡區域。
  • Vercel(網頁版主機)— 處理你存取網頁的請求。
  • Anthropic(Claude API) — 處理 AI 自然語言記帳。我們送出你的記帳輸入文字/語音轉譯、拍照記帳的 收據影像,以及帳戶名稱、家庭成員標籤與成員顯示名稱(用於對應 帳戶與記帳對象,詳見第 2 節);伺服器位置由 Anthropic 管理 (詳見 Anthropic 隱私政策)。
  • Sentry(錯誤監控)— 收到 App 當機資訊以便修 bug。錯誤資料同樣經過 PII 過濾。
  • PostHog(產品分析,EU 區)— 只收我們明確標記的關鍵動作(例如:完成 onboarding、新增交易、 建立帳本),用來判斷功能是否被使用、改善 UX。不會收金額、商家、品項或自由文字內容。我們關閉自動採集(autocapture),不收每個按鈕點擊。
  • Expo(推播通知)— 把預算提醒送到你的裝置。
  • Upstash(速率限制 / Rate Limit)— 為了防止 AI 解析功能被濫用,我們以你的帳號識別碼為 key 記錄請求次數。Upstash 只會看到不含記帳內容的帳號識別碼(UUID 格式)與請求次數, 不會看到你的記帳內容。
  • Apple(Apple Sign-In)— 當你選擇用 Apple 登入時,Apple 會把你的識別碼與你授權 的 Email 傳給我們。詳見 Apple 的隱私政策。
  • Google(Google OAuth)— 當你選擇用 Google 登入時,Google 會把你的識別碼與 Email 傳給我們。詳見 Google 的隱私政策。

共同帳本內的成員會看到彼此記下的交易,這是「家庭共同記帳」 功能本身需要的。共同帳本之外的人看不到你的資料。

付費購買(Premium/Pro)透過 Apple App Store 的 App 內購買 (IAP)處理,Haoji 不會收到你的信用卡或付款卡號。

4. 資料安全

  • 所有連線使用 TLS(HTTPS)加密。
  • 資料庫使用 Row-Level Security 限制跨帳號存取。
  • 本服務目前並未提供端對端加密(E2EE)。 我們的伺服器(Supabase)能讀取你儲存的記帳資料, 以提供同步、報表與 AI 解析等功能。如果你需要 E2EE 等級的加密,目前的服務還不適合你。

5. 資料外洩通報

雖然我們採取第 4 節所述的安全措施,但沒有任何系統能保證絕對 安全。萬一發生可能危及你個人資料的安全事件,我們會在知悉後的 合理時間內,依當地法律規定的方式與時限,以 App 內通知或 Email 告知可能受影響的使用者,說明事件概況、可能影響,以及我們已採取 或建議你採取的因應措施,並在法律要求時向主管機關通報。

6. 資料保留與刪除

保留期間

  • 帳號使用中:資料保留至你停止使用本服務為止。
  • 錯誤監控與分析資料:依 Sentry、PostHog 等供應商各自的保留政策 自動刪除(一般為 30–90 天)。

刪除你的帳號

你可在「設定 → 安全設定 → 危險操作」永久刪除帳號。刪除後,下列屬於你個人、且只與你有關的資料會立即從系統清除: 個人帳本、你自有的帳戶、預算設定、推播 token,以及你的帳號資料 (Email、登入識別碼、暱稱)。

關於共同帳本中的交易紀錄(請務必了解)

共同帳本的設計,是讓家庭成員看見彼此記下的交易;因此你在共同 帳本中記下的每一筆交易,同時也構成其他成員的家庭帳務 紀錄。基於此,當你刪除帳號時:

  • 你在共同帳本中記下的交易,其「記帳人」欄位會被清空(系統層的 去識別化);
  • 但金額、商家、備註、日期等交易內容會保留在該共同帳本 中,供其他成員繼續使用其帳務紀錄。我們必須誠實告訴你: 其他成員仍可能透過這些內容辨識出資料來源。

如果你想完全移除你在共同帳本中的紀錄

最乾淨的做法,是在刪除帳號之前,於 App 內手動 刪除你不希望留下的交易;在你按下刪除的當下,這些紀錄即從共同 帳本移除。

若你在刪除帳號後才提出,請寫信到 support@haoji.app,並提供刪除前使用的 Email 以便驗證身分。我們會盡力協助,但因為 這些紀錄同時涉及共同帳本其他成員的帳務,我們在移除前會通知相關 成員;在多數情況下我們會以保障你刪除權為原則完成處理,僅在移除 將實質損及其他成員帳務完整性的特殊情形,才會與你討論替代方式 (例如進一步去識別化)。

我們建議你在加入任何共同帳本前,先了解上述限制。 本服務也會在你加入共同帳本的當下再次提示這一點。

7. 你可以怎麼管理你的資料

  • 查看 / 編輯:直接在 App 內查看與修改你的記帳。
  • 下載:在「設定 → 安全設定 → 資料匯出」下載你 所有交易紀錄為 CSV 檔。
  • 刪除:在「設定 → 安全設定 → 危險操作」可永久 刪除你的帳號與資料。

8. 兒童與未成年成員

註冊帳號、建立家庭的主要使用者,必須年滿 18 歲(為台灣、香港、 澳門三地法律上的成年年齡)。

我們理解「家庭共同記帳」可能會把未成年的家庭成員加入共同帳本。 若你將未成年人加入帳本、或為其建立成員資料,即表示你聲明你是該 未成年人的法定代理人(或已取得法定代理人同意),並同意由你代為 管理其在本服務中的個人資料(例如顯示名稱、其名下的交易紀錄, 以及第 2 節所述會送往 AI 解析的成員標籤與顯示名稱)。

我們不會主動、直接向未成年人收集個人資料。若你認為有未成年人 未經法定代理人同意而被加入或自行使用本服務,請透過第 12 節 聯絡我們,我們會協助處理。

9. 適用法律與處理依據

本服務主要面向台灣、香港、澳門的使用者,並依各地個人資料保護 法規處理你的資料,包括台灣《個人資料保護法》、香港《個人資料 (私隱)條例》、澳門《個人資料保護法》(第 8/2005 號法律)。 本服務不主動向歐盟或其他地區的使用者提供服務。

我們處理你資料的依據包括:

  • 履行服務所必要:提供記帳、同步、報表等核心 功能。
  • 取得你的同意:使用 AI 自然語言/拍照記帳等 選用功能,你可隨時停止使用該功能。
  • 我們的正當利益:維護系統安全、防止濫用、修復 錯誤(如第 3 節所述的錯誤監控與速率限制)。

10. 國際資料傳輸

本服務的伺服器與技術夥伴位於台港澳以外的地區,因此你使用本服務 時,你的資料會被傳輸並儲存於境外。主要的傳輸目的地包括:

  • 新加坡:你的記帳資料儲存於 Supabase 的新加坡 區域。
  • 歐盟:產品分析(PostHog,僅限第 3 節所述的 關鍵動作事件)。
  • 美國:錯誤監控(Sentry)。
  • 其他:Anthropic(AI 解析)、Vercel(網頁 主機)、Expo(推播)、Upstash(速率限制),以及 Apple、Google (登入認證)所管理的伺服器,其實際位置與保留政策由各夥伴控制, 詳見其各自的隱私政策。

我們僅將資料傳輸給第 3 節所列、為提供本服務所必要的技術夥伴, 並要求其僅依我們的指示處理資料。對於這些跨境傳輸,我們會視夥伴 情況採取適當保障措施(例如簽訂資料處理協議/DPA、採用對方提供的 標準合約條款)。

部分地區(例如澳門)對個人資料移轉至境外設有額外要求。若當地 法律要求,我們會採取相應的合規措施;若你所在地區的法律不允許 上述跨境傳輸,或你不接受這些傳輸,請不要使用本服務。

11. 政策變更

如果這份政策有重大調整,我們會透過 App 內通知或 Email 告知你,並更新本頁的「最後更新」日期。

12. 聯絡我們

對這份政策有任何疑問,可寫信到 support@haoji.app