隱私權政策

本政策說明 來shop 服務（「本服務」）如何收集、使用、揭露、保存與保護資料，包括「店家」（註冊使用本平台之商家）與「終端顧客」（透過店家 LINE 官方帳號購物之自然人）。本政策遵循中華民國《個人資料保護法》。

2.1 店家資料

• 註冊資訊：店家名稱、聯絡 email、商家類型、來源管道。
• 營運憑證：LINE 官方帳號 ID、LIFF ID、TapPay 應用金鑰（皆以加密儲存）。
• 商品與訂單：上傳之商品圖文、價格、庫存、訂單歷史。
• 使用紀錄：登入時間、IP、瀏覽器資訊（用於安全與服務改善）。

2.2 終端顧客資料

• LINE 帳號資訊：透過 LIFF 取得之 userId、顯示名稱、頭像（不含 email、電話）。
• 訂單資料：收件人姓名、電話、地址、購買商品、付款方式（不含信用卡卡號）。
• 本服務不主動收集 cookies 以外的瀏覽追蹤資料。

本服務伺服器完全不接收、不儲存、不可見任何信用卡卡號、有效期限或 CVC。

刷卡流程由 TapPay 提供之 SDK 在使用者瀏覽器端完成 tokenize，本服務僅取得一次性付款 prime 並傳送至 TapPay 完成扣款。TapPay 為通過 PCI-DSS Level 1 認證之金流服務商。

• 提供與維持本服務功能（訂單處理、推播通知、後台管理）。
• 客服回應、技術支援。
• 服務改善、異常偵測、安全防護。
• 依法律或主管機關要求提供。

本團隊不會將店家或顧客資料用於本服務以外之行銷目的，亦不會出售、出租資料予第三方。

資料儲存於 Supabase（PostgreSQL 資料庫，主機位於日本東京區）。敏感金鑰（OA Access Token、TapPay Partner Key）以 AES-256-GCM 加密後儲存。資料庫採用 Row-Level Security（RLS），確保跨店家資料隔離。

本服務透過 HTTPS 傳輸所有資料；後台登入使用 Supabase Auth 之 magic link 機制，密碼不存於本服務。

本團隊僅在下列情形向第三方揭露資料：

• 店家自行授權之第三方整合（如 LINE Messaging API、TapPay）。
• 必要的基礎建設供應商（Vercel 雲端託管、Supabase 資料庫、LINE 平台、TapPay 金流），均簽訂保密協定。
• 法律強制要求（如法院命令、主管機關調查）。
• 為保護本服務、店家或公眾之安全所必要。

終端顧客可向購買之店家（資料控制者）行使以下個資權利：查詢、閱覽、補充更正、停止處理、刪除。店家應於 30 日內回應。本服務作為資料處理者，配合店家執行上述請求。

• 店家帳號相關資料：服務終止後保留 90 日供匯出，之後刪除。
• 訂單交易紀錄：依稅法規定保留 5 年。
• 登入紀錄：保留 12 個月。

本服務使用必要性 cookies 維持登入狀態、購物車內容、促銷橫幅關閉狀態。不使用第三方廣告追蹤 cookies。

本服務不針對未滿 14 歲之兒童設計，亦不會主動收集兒童個資。若監護人發現未成年子女已提供資料，請聯繫本團隊刪除。

本政策修訂時，將於本網站公告並通知店家。重大變更於公告 14 日後生效。

隱私權相關疑問請寄送至 privacy@laishop.tw。