隱私權政策

最後更新日期：2026 年 3 月 17 日

1. 簡介

Nut Card（「我們」、「本公司」或「我們的」）提供一個平台，協助用戶管理卡片、進行支付以及使用相關金融服務（統稱為「服務」）。

本隱私權政策說明當您使用我們的網站、應用程式、產品與服務（統稱為「平台」）時，我們如何蒐集、使用、揭露及保護您的個人資料，以及您享有哪些權利與如何行使這些權利。

當您建立帳戶、存取或使用平台，即表示您已閱讀、理解並同意本隱私權政策。若您不同意本政策的任何部分，請勿使用本平台。

2. 我們是誰以及如何聯絡

在多數情況下，負責處理您個人資料的控制者（即決定處理目的與方式的實體），為於您的帳戶、開戶文件或適用合約中所載明的 Nut Card 實體（「Nut Card 實體」）。

若您不確定哪一 Nut Card 實體負責處理您的資料，或對本隱私權政策有任何疑問，請透過以下方式聯繫我們：

• 電子郵件：privacy@hashgg.com

我們可能會不定期於平台中更新上述聯絡方式。

3. 適用範圍與法律依據

本隱私權政策適用於：

• 平台使用者：註冊或使用 Nut Card 帳戶的個人；
• 組織使用者：代表公司或其他組織使用服務之人員，例如管理員、財務人員或員工；
• 訪客：瀏覽我們網站或與我們互動，但未建立帳戶之個人。

在適用之資料保護法（例如歐盟／歐洲經濟區《一般資料保護規則》（GDPR）或英國 GDPR）要求之範圍內，我們將基於以下一種或多種法律依據處理您的個人資料：

• 履行契約：為提供服務、管理您的帳戶或履行我們在契約下之義務所必須進行之處理；
• 合法利益：在不逾越您權利與自由的前提下，為達成我們正當商業目的（例如改善平台、防止濫用或維護法律權利）所必須進行之處理；
• 法律義務：為遵守適用法令、規章或主管機關之要求而必須進行之處理；
• 同意：於特定情境（例如特定行銷活動）下，我們會在取得您的同意後處理您的資料。您可隨時撤回同意，但撤回前基於同意所為之處理仍具合法性。

4. 我們蒐集的資料類型

我們所蒐集之資料類型，取決於您如何使用平台。我們可能蒐集下列類別的資料。

4.1 帳戶與個人檔案資料

當您建立或管理帳戶時，我們可能蒐集：

• 姓名、稱謂與聯絡方式（例如電子郵件、電話號碼、郵寄地址）；
• 登入憑證（例如使用者名稱、密碼、驗證權杖等）；
• 組織資訊（例如公司名稱、職稱、團隊資訊、organization slug 等）；
• 通訊偏好與語言設定。

4.2 身分與驗證資料

在出於監管、法遵或風險控管目的所需時（例如「瞭解你的客戶」（KYC）檢查），我們可能蒐集：

• 出生日期、國籍與政府核發身分證件資訊（例如身分證或護照號碼，依適用法令允許之範圍）；
• 地址證明（例如水電費帳單或銀行對帳單）；
• 用於身分驗證之照片或類似識別資訊；
• 為滿足反洗錢（AML）、打擊資助恐怖主義（CTF）或制裁篩檢等義務，我們或合作夥伴合理要求之其他資料。

於適用情況下，上述資料可能由我們委託之第三方服務供應商代為蒐集與驗證。

4.3 支付、卡片與交易資料

當您使用卡片或支付功能時，我們可能蒐集：

• 卡片專案與卡片識別資訊（例如卡號末幾碼、卡片種類、發卡機構等）；
• 交易明細（例如金額、幣別、時間戳記、特約商店資訊與其他中介資料）；
• 資金來源與資產資訊（例如連結帳戶、錢包識別碼或支援的數位資產）；
• 帳單資訊（例如帳單地址、稅務資訊或組織帳單聯絡人）。

若我們使用符合 PCI 標準之支付處理機構或發卡單位，我們不會儲存完整卡號或敏感認證資料。相關資料將由該等第三方依其政策處理與保存。

4.4 裝置與使用資訊

當您存取平台時，我們會自動蒐集部分技術與使用資料，例如：

• 裝置識別碼、作業系統、瀏覽器類型與版本、語言與時區；
• IP 位址，及由 IP 推斷之大略地理位置（例如城市、地區或國家）；
• 您使用平台之紀錄（例如登入時間、瀏覽頁面、點擊行為及其他活動紀錄）；
• 有關效能、診斷與錯誤之資訊（例如當機紀錄與偵錯資料）。

我們可能透過 Cookie、本機儲存空間及類似技術蒐集上述資訊，詳情請參見第 10 節。

4.5 通訊與支援

當您與我們聯繫或使用客服管道時，我們可能處理：

• 您的聯絡方式與身分驗證資訊；
• 您與我們之通訊紀錄（例如電子郵件、線上對話紀錄或通話摘要）；
• 您透過問卷調查、回饋表或其他方式自願提供之資訊。

4.6 選擇性與推論資訊

在取得您的同意或基於我們合法利益之前提下，我們亦可能處理：

• 您對平台使用之偏好（例如預設檢視、通知設定或儲存之篩選條件）；
• 依您與平台互動行為推論而得之資訊（例如用於功能推薦或風險評估之分析分群）。

5. 我們如何使用您的資料

我們將基於下列目的使用個人資料。

5.1 提供與營運平台

包含但不限於：

• 建立、維護並保護您的帳戶；
• 提供卡片發行、卡片管理、支付與交易相關服務；
• 處理並結算儲值、提領、支付等金融操作；
• 提供客服支援，包括問題排除、事故回應與服務通知。

5.2 遵守法律與監管要求

包含但不限於：

• 履行 KYC、AML、CTF 與制裁篩檢等法遵義務；
• 依照會計、稅務、稽核與監管要求保存紀錄；
• 回應監管機關、執法機關或法院之合法請求。

5.3 保護平台與防止濫用

包含但不限於：

• 偵測、防範並調查詐欺、未授權交易及其他惡意或違法行為；
• 維護基礎設施安全、防止攻擊並監控可疑行為；
• 執行本隱私權政策、服務條款及與您或貴組織之其他協議。

5.4 改善與個人化平台

包含但不限於：

• 進行分析與使用行為監測，以瞭解平台使用情形；
• 測試新功能、執行 A/B 測試並最佳化使用者體驗；
• 個人化顯示內容與功能建議（例如顯示更相關的功能或文件）。

在法律要求之情況下，我們會透過彙整或假名化等方式使用分析資料，以更妥善保護隱私。

5.5 與您聯繫

包含但不限於：

• 向您發送交易通知，例如安全警示、服務更新與帳戶通知；
• 提供導覽教材、功能更新與產品公告；
• 在符合法律並依據您的偏好之情況下，向您發送行銷訊息。於必要時，我們將事先取得您的同意，您可隨時透過退訂連結或聯絡方式取消訂閱。

6. 我們如何分享您的資料

我們可能於下列情況分享您的個人資料：

• 服務供應商與資料處理者：協助我們提供平台之第三方（例如雲端託管服務、分析服務、電子郵件服務、客服工具等）。此類供應商將在合約約束下依我們指示處理資料；
• 金融與支付合作夥伴：包含發卡機構、銀行、支付處理機構及其他受監管之單位，用於發行卡片、處理支付及履行法遵義務。於部分情況下，該等合作夥伴可能作為獨立或共同控制者；
• 組織管理員：若您代表組織使用平台，依組織設定，授權管理員可能檢視一定範圍內資訊（例如使用者清單、角色資訊與交易摘要）；
• 專業顧問：例如律師、會計師、稽核人員、保險公司及其他專業顧問，用於保護我們合法權益、管理風險或取得專業建議；
• 主管機關與司法機關：在我們認為為遵守適用法令、規範或有效法律程序，或為保護我們的權利與財產或您及他人之安全而必須時；
• 公司交易相關方：於公司合併、收購、重組或資產移轉等交易中，在符合法令與適當保密措施下分享。

我們不會出售您的個人資料。

7. 國際資料傳輸

您的個人資料可能於您居住國／地區之外進行處理與儲存，上述國／地區的資料保護法律可能與您當地法律有所差異。

若我們將個人資料自歐盟／歐洲經濟區、英國或其他具有跨境傳輸規範之地區轉移至境外，將可能依賴：

• 歐盟委員會或其他主管機關所作成之「適足性認定」；或
• 已核准之標準契約條款等適當保護措施，並在必要時搭配額外技術與組織措施。

如您欲瞭解跨境資料傳輸所採取之具體機制及保障措施，請依本政策列明方式聯繫我們。

8. 資料保存期間

我們僅於達成本隱私權政策所述目的之必要期間內保存個人資料，包括但不限於：

• 您持有帳戶期間；
• 依適用法令所需之保存期間（例如財務、稅務及 AML／CTF 紀錄保存要求）；
• 為建立、行使或防禦法律主張所必需之期間。

當我們不再需要為原先目的處理個人資料時，將刪除或匿名化該等資料；若因備份等技術原因暫時無法刪除，我們將安全儲存並將其與日常作業隔離，直至得以刪除為止。

9. 您的權利

依您所在地及適用資料保護法之規定，您可能享有下列一項或多項權利：

• 查詢與存取權：有權確認我們是否處理您的個人資料，並於符合條件時取得一份資料副本；
• 更正權：有權要求更正不正確或不完整之資料；
• 刪除權：於特定情形（例如資料已無必要或您撤回同意且無其他合法依據）下，有權要求刪除您的個人資料；
• 限制處理權：於部分情況下，有權要求我們限制對個人資料之處理；
• 資料可攜權：於符合法規條件時，有權以結構化、常用且機器可讀格式取得您提供之資料，並在技術可行時將其傳輸予其他控制者；
• 反對權：於我們基於合法利益或用於直接行銷目的處理資料時，您得隨時提出反對；
• 撤回同意權：如我們係基於您的同意處理資料，您得隨時撤回該同意。

您可透過帳戶設定（如適用）或依本政策載明聯絡方式行使上述權利。我們可能為確認身分而要求您提供必要資訊，以保障您的帳戶及資料安全。

在法律允許範圍內，如我們基於強制性合法理由或受制於其他法定義務而須繼續處理特定資料，可能無法完全配合您的部分請求。若您認為我們處理個人資料之方式違反適用法令，亦得向具管轄權之資料保護機關提出申訴。我們仍鼓勵您先與我們聯繫，以便我們有機會回應並處理您的疑慮。

10. Cookie 與類似技術

我們使用 Cookie、本機儲存及類似技術，以：

• 維持您的登入狀態與使用工作階段；
• 記住您的設定與偏好；
• 分析平台使用情形並衡量效能；
• 強化安全性並偵測濫用行為。

在法律要求的情況下，我們將於設定非必要 Cookie（例如分析或行銷 Cookie）前先取得您的同意。您可透過瀏覽器設定或平台提供之 Cookie 控制工具管理相關偏好。

若您停用 Cookie，平台部分功能可能無法正常運作。

11. 兒童隱私

本平台並非為 18 歲以下兒童設計與提供，我們不會在明知情況下蒐集該等年齡層兒童之個人資料。若我們發現違反本政策而蒐集了兒童個人資料，將採取合理措施刪除相關資料。

若您認為兒童已向我們提供個人資料，請依本政策列明方式通知我們。

12. 資料安全

我們採行適當之技術與組織措施，以保護個人資料免於意外或非法之毀損、遺失、竄改、未經授權之揭露或存取。

相關措施可能包括但不限於：

• 視情況對資料進行傳輸及儲存加密；
• 存取控制、身分驗證與授權機制；
• 日誌記錄、監控及入侵偵測；
• 作業環境區隔與最小必要權限原則；
• 定期安全測試與風險評估。

然而，任何系統皆無法保證百分之百安全。您有責任妥善保管登入憑證，並確保用來存取平台之裝置安全無虞。若您懷疑有未授權存取或異常活動，請立即通知我們。

13. 第三方服務與連結

平台可能包含指向第三方網站、服務或應用程式之連結，該等服務並非由我們營運。您使用此類第三方服務時，應遵守其各自之隱私權政策與使用條款。

我們不對第三方服務之隱私實務或內容負責，建議您於向其提供個人資料前，先審慎閱讀其相關政策。

14. 本隱私權政策之變更

我們可能會因技術發展、法律變更或業務調整，不定期更新本隱私權政策。

當我們對本政策作出重大變更時，將採取適當方式通知您（例如於平台顯示公告、更新本頁頂端「最後更新日期」，或在法律要求時以電子郵件通知您）。

您於變更生效後持續使用平台，即視為同意修訂後之隱私權政策。

15. 聯絡方式與資料保護相關詢問

若您對本隱私權政策、我們處理資料的方式或您的相關權利有任何疑問，或希望行使權利，請透過下列方式與我們聯繫：

• 電子郵件：privacy@hashgg.com

我們將依據適用的資料保護法規，審酌並回覆您的請求。