Swopli 標誌

Cookie 政策

版本: v1.0.1
草稿版本 — 待法律審查
Nesta página

    Cookies 是您造訪網站或使用網頁應用程式時,置於您裝置(電腦、智慧型手機或平板)上的小型文字檔。Cookies 被廣泛用於使網站更有效率地運作、向網站營運者提供資訊,以及啟用特定功能。

    1.1 法律架構

    我們使用 cookies 受下列規範管轄:

    • ePrivacy Directive (Directive 2002/58/EC, as amended by Directive 2009/136/EC),要求在使用者裝置上放置非必要 cookies 前取得事前知情同意。
    • General Data Protection Regulation (GDPR),具體而言,非必要 cookies 適用 Article 6(1)(a)(同意),嚴格必要 cookies 適用 Article 6(1)(f)(正當利益)。
    • 您居住國對 ePrivacy Directive 之適用國內法。
    • Brazil LGPD (Law 13.709/2018), Article 7, I(對非嚴格必要 cookies 之同意)。
    • CCPA/CPRA (California Consumer Privacy Act) 對揭露及 opt-out 之要求。

    1.2 我們使用的技術類型

    • Cookies: 儲存在您瀏覽器中的小型文字檔。
    • Local Storage: 以瀏覽器為基礎之儲存(HTML5 localStorage),用於 session 管理及使用者偏好。
    • Session Tokens: 由我們 backend(Supabase Auth)管理之驗證 tokens。
    • Device Identifiers: 用於驗證及 analytics 之 mobile app identifiers(非 browser cookies)。

    我們將使用的 cookies 及類似技術分類如下:

    2.1 嚴格必要

    這些 cookies 對 Swopli 的運作不可或缺。若停用,核心功能將無法運作。依 ePrivacy Directive Article 5(3) 例外("service explicitly requested by the subscriber"),這些 cookies 不需要同意

    Cookie / Storage Key 目的 期間 提供者
    swopli_cookie_consent 儲存您的 cookie 同意偏好(您接受或拒絕之類別) 12 個月 Swopli(第一方)
    sb-*-auth-token Supabase 驗證 session token Session / 7 天(如選擇 "Remember me" 則持續) Supabase(第一方)
    sb-*-auth-token-code-verifier OAuth flows(Google、Apple、Facebook login)之 PKCE code verifier Session Supabase(第一方)
    $RCAnonymousID RevenueCat 匿名裝置識別碼。僅於使用者查看訂閱 paywall 或開始購買時設定。於 Purchases.logIn 將其連結至帳戶前,為假名化之裝置層級 ID。為跨平台同步訂閱 entitlement 所必要。 持續(無限期,至 app 解除安裝或使用者以帳戶登入為止,以較早者為準) RevenueCat (revenuecat.com)
    Paddle iframe checkout cookies (__paddle_*, paddle_session) 第三方: 進行中 web 購買(透過 Paddle 作為 Merchant of Record 購買 VIP/Boost)期間之付款籃與 checkout 狀態。這些 cookies 僅於 checkout 期間由 Paddle iframe (buy.paddle.com) 設定。Checkout 完成後自動清除。 Session(checkout 完成後清除) Paddle (buy.paddle.com / paddle.com iframe)

    法律依據: GDPR Article 6(1)(f) -- 正當利益(服務運作所必要)。依 ePrivacy Directive Article 5(3),因其對提供使用者明示請求之服務(驗證、checkout、訂閱管理)嚴格必要,免於同意要求。

    RevenueCat 與 Paddle cookies 被分類為嚴格必要,因為它們是完成使用者已發起交易(購買訂閱或 boost)所必要。依 ePrivacy 判例(例如 Planet49, CJEU C-673/17),"essential to provide a service explicitly requested" 之 cookies 免於同意。在此,使用者點擊 "Subscribe" 或 "Buy Boost" 之行為即為對交易之明示請求,而這些 cookies 對完成交易不可或缺。

    2.2 功能性

    這些 cookies 啟用增強功能與個人化。它們並非必要,但可改善使用者體驗。

    Cookie / Storage Key 目的 期間 提供者
    swopli_locale 儲存您選擇之語言偏好 12 個月 Swopli(第一方)

    法律依據: GDPR Article 6(1)(a) -- 同意(透過 cookie banner 請求)。

    在需要同意之司法管轄區(EU/EEA/UK/CH/BR): 這些 cookies 僅於您在 cookie banner 中接受 "Functional" cookies 後設定。

    在不需要同意或推定同意之司法管轄區(例如 California 以外之 US): 這些 cookies 預設設定,但您可於 /zh-Hant/yinsi/pianhao opt out。

    2.3 分析

    這些 cookies 協助我們了解使用者如何與 Swopli 互動,以改善平台。它們僅於您透過 cookie banner 提供同意後設定。

    Cookie / Storage Key 目的 期間 提供者
    ph_* (PostHog prefix) Analytics session tracking、功能使用事件、匿名化行為資料 12 個月 PostHog (eu.posthog.com)
    ph_phc_*_posthog PostHog distinct ID,用於 session continuity 與跨裝置 attribution(假名化) 12 個月 PostHog(第一方網域,資料儲存於 EU)

    法律依據: GDPR Article 6(1)(a) -- 同意。在 EU/EEA/UK/CH/BR 司法管轄區,任何 analytics cookies 設定前均須明示 opt-in。

    資料處理: PostHog 託管於 European Union(eu.posthog.com,Frankfurt data center)。Analytics data 經假名化並彙總。任何個人識別資訊(姓名、email、電話)均不會傳輸至 PostHog。IP addresses 於儲存前會匿名化(遮蔽最後一組 octet)。

    Opt-out: 您可隨時於 /zh-Hant/yinsi/pianhao 撤回同意。既有 cookies 將被刪除,且不再收集新的 analytics data。

    2.4 行銷(第三方)

    Swopli 在 web checkout 頁面(僅 /vip/boost)透過 Paddle.js 使用一個第三方 marketing cookie。該 cookie 受 cookie banner 中之 Marketing 同意控管。

    Cookie / Storage Key 目的 期間 提供者
    Paddle.js _fbp (Facebook Pixel) Paddle web checkout conversions 之廣告 attribution tracking。使 Paddle(作為 Merchant of Record)得透過 Meta/Facebook Conversion API 衡量廣告活動成效。 90 天 Paddle.js(代表 Paddle 載入 Meta/Facebook pixel)

    法律依據: GDPR Article 6(1)(a) -- 同意。

    運作方式:

    • Paddle.js script 僅在 /vip/boost 頁面(使用者發起 web purchases 之處)載入。
    • Script 僅於使用者已在 banner 中接受 "Marketing" cookies 時載入。
    • 如拒絕 Marketing 同意,Paddle.js 會以 pTracking: false no-tracking 模式載入,且不會設定 _fbp cookie。
    • Facebook Pixel 由 Paddle 控制,而非 Swopli。Swopli 不會自 Facebook 收到個人資料;這是 Paddle 為其自身廣告最佳化所進行之 tracking。

    細粒度控制: 您可隨時於 /zh-Hant/yinsi/pianhao 撤回 Marketing 同意。_fbp cookie 將於您下次造訪時刪除,且 Paddle.js 未來會於 checkout pages 以 no-tracking 模式載入。

    3.1 核心功能(嚴格必要)

    • 驗證: 讓您跨頁面與 session 維持登入狀態。
    • 安全: 防止 CSRF attacks 及未經授權存取。
    • Checkout: 完成訂閱與 boost 購買(RevenueCat、Paddle)。
    • 同意管理: 記住您的 cookie 偏好,使我們不必不必要地重複提示。

    3.2 個人化(功能性)

    • 語言: 以您的偏好語言顯示 Swopli(支援 33 個 locales)。

    3.3 分析與改善

    • 使用模式: 了解哪些功能最常被使用、使用者在哪裡卡住,以及應優先處理哪些改善。
    • 效能監控: 偵測緩慢頁面、錯誤率及基礎設施問題。
    • A/B testing: 測試不同 UI variants,以最佳化使用者體驗(PostHog Feature Flags)。

    3.4 行銷歸因(第三方)

    • 廣告成效: Paddle 使用 Facebook Pixel 衡量哪些廣告活動促成 conversions。這有助於 Paddle(並間接協助 Swopli)最佳化廣告支出並降低 customer acquisition cost,進而協助維持較低訂閱價格。

    您對置於您裝置上的 cookies 擁有完整控制權。您可透過下列方式管理:

    當您首次自任何國家造訪 Swopli 時,將顯示 cookie banner。該 banner 讓您可以:

    • 接受所有 cookies(嚴格必要 + 功能性 + Analytics + Marketing)。
    • 拒絕非必要 cookies(僅設定嚴格必要 cookies)。
    • 自訂各類別偏好(分別切換 Functional、Analytics、Marketing)。

    您的選擇會儲存在 swopli_cookie_consent cookie(12 個月到期),並於各 session 中受到尊重。

    為何採用全球同意? 雖然 cookie 同意要求依司法管轄區不同而異,Swopli 在網站或 app 可用的地方全球套用同意選擇,以提供一致的隱私控制。

    4.2 隱私偏好頁面

    您可隨時造訪下列頁面變更 cookie 偏好:

    https://swopli.com/zh-Hant/yinsi/pianhao

    此頁面讓您可以:

    • 查看目前啟用之 cookie 類別。
    • 開啟或關閉各類別。
    • 立即清除所有非必要 cookies。
    • 查看 Swopli 設定之所有 cookies 及其目的清單。

    變更立即生效。先前設定之 cookies 將於 24 小時內刪除。

    4.3 瀏覽器設定

    多數 web browsers 可讓您透過設定控制 cookies。通常您可以:

    • 查看哪些 cookies 儲存在您的裝置上。
    • 刪除特定 cookies 或所有 cookies。
    • 封鎖特定網站或所有網站之 cookies。
    • 設定通知,於 cookie 被設定時收到提示。

    常見瀏覽器:

    • Chrome: Settings > Privacy and security > Cookies and other site data
    • Safari: Preferences > Privacy > Manage Website Data
    • Firefox: Settings > Privacy & Security > Cookies and Site Data
    • Edge: Settings > Cookies and site permissions

    警告: 封鎖嚴格必要 cookies 將使 Swopli 無法正確運作(例如您可能無法登入、完成購買或儲存偏好)。

    4.4 Do Not Track (DNT)

    Swopli 尊重 "Do Not Track" (DNT) 瀏覽器訊號。如您的瀏覽器送出 DNT 訊號(DNT: 1 HTTP header),我們將:

    • 不設定 Analytics 或 Marketing cookies,無論您的 cookie banner 選擇為何。
    • 仍設定嚴格必要 cookies(驗證、checkout),因為其為服務運作所必要。

    DNT 支援會與 GPC(見下方)一併遵循。

    4.5 Global Privacy Control (GPC)

    Swopli 將 Global Privacy Control (GPC) 訊號認定為下列事項之有效 opt-out:

    • 個人資訊出售(CCPA/CPRA 下「請勿出售或分享」權利)。
    • Targeted advertising。
    • Analytics cookies。
    • Marketing cookies。

    如您的瀏覽器送出 GPC 訊號(Sec-GPC: 1 HTTP header),我們將:

    • 不設定 Analytics 或 Marketing cookies。
    • 不為廣告目的與第三方分享您的資料。
    • 依 CCPA/CPRA §§ 1798.135(b)(2) 將該訊號視為具有拘束力之 opt-out。

    您可在支援 GPC 的瀏覽器中啟用(例如 Brave、搭配 Privacy Badger 的 Firefox、DuckDuckGo)。

    4.6 行動 App(iOS/Android)

    原生 mobile app(iOS 與 Android)不使用 browser cookies。其改用:

    • 安全 local storage: 用於驗證 tokens(Supabase session)。
    • Device identifiers: 用於 analytics(PostHog)及訂閱管理(RevenueCat)。
    • App 層級權限: 您透過 iOS/Android 系統權限控制位置、通知、相機、相簿。

    管理 mobile app tracking:

    • iOS: Settings > Privacy & Security > Tracking。您可以全域停用 "Allow Apps to Request to Track",或針對 Swopli 拒絕 tracking。Swopli 尊重 Apple 的 App Tracking Transparency (ATT) framework,且不跨其他公司擁有之 apps/websites 進行 tracking。
    • Android: Settings > Privacy > Ads。您可以透過 "Opt out of Ads Personalization" opt out 個人化廣告。
    • App 內: Swopli Settings > Privacy & Data > Analytics Opt-Out(切換 PostHog tracking)。

    Swopli 僅使用極少量第三方 cookies。第三方 cookies 是由 swopli.com 以外之網域設定。

    提供者 Cookie 名稱 目的 類別 設定於 期間
    Paddle __paddle_*, paddle_session Checkout session state(Merchant of Record iframe) 嚴格必要 /vip/boost web checkout Session
    Facebook (via Paddle.js) _fbp Ad attribution tracking(Paddle 的 conversion pixel) Marketing /vip/boost web checkout(如已授予 Marketing 同意) 90 天

    5.2 為何如此少?

    Swopli 盡量減少第三方 cookies,以:

    • 降低隱私風險。
    • 遵循 ePrivacy Directive Article 5(3) 與 GDPR data minimization(Article 5(1)(c))。
    • 改善頁面載入效能。
    • 降低對第三方 tracking infrastructure 之依賴(瀏覽器越來越常封鎖該等基礎設施)。

    我們不使用:

    • Google Analytics(我們改用 PostHog,其託管於 EU,且更重視隱私)。
    • 直接使用 Facebook Pixel(我們僅允許 Paddle 為其自身 ad attribution 使用,不用於 Swopli)。
    • Google Ads remarketing。
    • 第三方廣告網路。
    • Social media tracking pixels(除上文所述 Paddle 的 opt-in Facebook Pixel 外)。

    不同司法管轄區有不同 cookie 法律。Swopli 遵循方式如下:

    6.1 European Union / EEA / United Kingdom / Switzerland

    法律: ePrivacy Directive (2002/58/EC), GDPR, UK GDPR, Swiss FADP.

    要求:

    • 事前知情同意:所有非必要 cookies(Functional、Analytics、Marketing)均需取得。
    • 細粒度選擇:可依類別接受/拒絕。
    • 易於撤回同意:透過 /zh-Hant/yinsi/pianhao
    • 無 cookie walls:即使拒絕非必要 cookies,服務仍可存取。
    • 清楚資訊:說明 cookie 目的、期間及第三方。

    Swopli 如何遵循:

    • 首次造訪時顯示 cookie banner,並提供細粒度控制。
    • 嚴格必要 cookies 立即設定(ePrivacy Article 5(3) exemption)。
    • 非必要 cookies 僅於明示同意後設定。
    • 隱私偏好頁面全年無休提供同意撤回。

    6.2 Brazil

    法律: LGPD (Law 13.709/2018), Article 7, I(個人資料處理之同意)+ Article 11, II(敏感個人資料之明示同意)。

    要求:

    • 對於超出服務提供嚴格必要範圍之個人資料處理 cookies,需取得同意
    • 對目的、接收者及保存期間提供清楚資訊
    • 可隨時撤回同意

    Swopli 如何遵循:

    • 對所有 Brazil 使用者顯示 cookie banner。
    • 設定 Analytics 或 Marketing cookies 前先取得同意。
    • 以 Portuguese (pt-BR) 提供隱私偏好頁面。

    6.3 United States (California)

    法律: CCPA (California Consumer Privacy Act), CPRA (California Privacy Rights Act), effective 2023.

    要求:

    • 揭露收集個人資訊之 cookies。
    • 對個人資訊出售/分享提供 opt-out
    • 承認 GPC signal(CPRA § 1798.135(b)(2))。
    • Cookies 不需事前同意(除非其依 CCPA 構成 "sale")。

    Swopli 如何遵循:

    • Cookie 政策(本文件)提供詳細揭露。
    • 頁尾提供「請勿出售或分享我的個人資訊」連結(導向 /zh-Hant/yinsi/bu-chushou-fenxiang)。
    • 尊重 GPC signal(見第 4.5 節)。
    • Paddle 的 Facebook Pixel 受 Marketing 同意控管,並會透過 GPC 或「請勿出售或分享」偏好停用。Swopli 以審慎方式將此可選 attribution 視為 CPRA 下可能的 "sharing"。

    6.4 Canada

    法律: PIPEDA (Personal Information Protection and Electronic Documents Act), Quebec Law 25.

    要求:

    • 對個人資訊收集取得有意義同意
    • 對目的提供清楚揭露
    • 提供 opt-out 機制。

    Swopli 如何遵循:

    • Cookie banner 提供有意義之同意選擇。
    • 以 English 與 French 提供隱私偏好頁面(供 Quebec users 使用)。

    6.5 其他國家

    對於其他國家(Latin America、Asia-Pacific、Middle East、Africa)使用者,Swopli 採用最高共同標準

    • 全球 cookie banner(即使法律未要求,仍請求同意)。
    • 細粒度控制(依類別)。
    • 容易 opt-out(隱私偏好頁面)。
    • 透明度(本政策中之完整 cookie 清單)。

    此做法確保 Swopli 能在新 cookie 法律通過時(例如 India DPDPA、Thailand PDPA、Vietnam PDP Decree 13/2023/ND-CP)維持合規,而無需緊急變更。

    7. 本政策之變更

    我們可能不時更新本 Cookie 政策,以反映下列事項之變更:

    • 我們使用之 cookies。
    • 我們的實務。
    • 法律要求。
    • 第三方整合(新 processors、新技術)。

    當我們作成重大變更,例如新增 cookie 類別、引入新的第三方 cookies,或變更處理 cookie data 方式時,我們將:

    • 更新本文件並變更 "Last Updated" 日期。
    • 透過 cookie banner 通知您(您下次造訪時會出現新的同意提示)。
    • 如引入新的 cookie 類別,我們會在設定該等新類別 cookies 前再次請求您的同意

    非重大變更(更正、釐清、格式調整)得不重新提示同意而作成。我們會在版本歷史中註明該等變更。

    版本歷史:

    • v1.0.1 (2026-05-04): 釐清 universal cookie consent 在 Swopli 可用處全球適用,並使 Paddle/Meta attribution 與 consent、GPC 及「請勿出售或分享」控制一致。
    • v1.0 (2026-04-30): 初始版本,涵蓋 RevenueCat、Paddle、PostHog 及 Supabase cookies。

    8. 問題與聯絡

    有 cookie 相關問題?

    申訴或疑慮:

    如您認為我們使用 cookies 侵害您的權利,您可以:

    相關文件: