子處理者清單

1. 目的

本文件列出 Swopli LTDA (CNPJ 61.902.473/0001-79) 為代表 Swopli 使用者處理個人資料而委任之所有第三方服務提供者（"subprocessors"）。

本清單為透明度目的而維護，並用以遵循下列資料保護義務：

• Brazil's Lei Geral de Proteção de Dados (LGPD), Law 13.709/2018
• EU General Data Protection Regulation (GDPR), Regulation 2016/679
• Swopli 依 功能可用性 開放相關功能之國家中的其他適用資料保護法律

關於 Swopli 如何處理個人資料之完整細節，請見我們的 隱私權政策。

2. 更新通知

Swopli 將就本子處理者清單之任何變更提供 30 天事前通知，包括：

• 新增子處理者
• 移除既有子處理者
• 子處理者角色或資料處理活動之重大變更

通知將透過 email 寄送至與您的 Swopli 帳戶關聯之地址。您亦可造訪 swopli.com/zh-Hant/falv/zi-chulizhe 訂閱更新。

如您反對新增子處理者，您得於 30 天通知期間內終止您的帳戶。關於帳戶終止之細節，請見我們的 服務條款。

3. 目前子處理者

下表列出 Swopli 目前委任之所有子處理者、其處理資料之目的、所處理資料類型、所在地，以及其 data processing agreements (DPAs) 或隱私政策之連結。

子處理者	目的	處理之資料	所在地	DPA 連結
Supabase, Inc.	資料庫、驗證、儲存	帳戶資料、商品刊登、訊息、交易紀錄、圖片	United States (AWS us-east-1)，並在 Brazil (AWS sa-east-1) 有資料駐留	supabase.com/legal/dpa
Stripe, Inc.	支付處理、款項撥付	支付方式、交易資料、帳單地址、銀行帳戶資訊（賣方）、寄送地址	United States（含巴西實體 Stripe Payments Brasil Serviços Financeiros Ltda.）	stripe.com/legal/dpa
RevenueCat, Inc.	跨平台訂閱編排（iOS/Android/Web 透過 Paddle sync）、Customer Center、VIP entitlement 管理	購買收據、訂閱狀態、user ID、裝置資訊	United States	revenuecat.com/dpa
Paddle.com Market Limited	Web checkout（VIP/Boost）之 Merchant of Record、全球稅務徵收、自動幣別轉換	支付方式、交易資料、帳單地址、email、IP address	United Kingdom, United States	paddle.com/legal/dpa
Apple Inc.	App 內購買（iOS）	購買收據、Apple ID（hashed）、裝置資訊	United States	apple.com/legal/privacy（Apple 作為 merchant of record）
Google LLC	App 內購買（Android）	購買收據、Google account info、裝置資訊	United States	policies.google.com/privacy（Google 作為 merchant of record）
Resend, Inc.	交易性 email 遞送	Email 地址、姓名、email 內容（帳戶確認、交易通知、支援回覆）	United States (AWS us-east-1)	resend.com/legal/dpa
Cloudflare, Inc.	CDN、DDoS protection、edge computing	IP address、user agent、request metadata（logs 保存 24 小時）	United States（含全球 edge network）	cloudflare.com/cloudflare-customer-dpa
Sentry (Functional Software, Inc.)	錯誤監控、crash reporting	Error logs、stack traces、裝置資訊、user ID、IP address	United States	sentry.io/legal/dpa
PostHog, Inc.	產品 analytics（EU/EEA/UK/CH 為 opt-in）	Event data、user ID、裝置資訊、功能使用、匿名化行為	European Union (PostHog Cloud EU)	posthog.com/docs/privacy/dpa
Nominatim (OpenStreetMap)	用於位置顯示之 reverse geocoding	座標、位置搜尋查詢	European Union（self-hosted）	osmfoundation.org/wiki/Privacy_Policy
OpenAI OpCo, LLC / OpenAI Ireland Ltd.	發布前以 Moderation API 進行自動化 trust & safety 審查	商品刊登、訊息、個人檔案文字/圖片、審核 metadata	美國 / 愛爾蘭（適用時）	openai.com/policies/data-processing-addendum
Melhor Envio	運送標籤產生、追蹤、逆物流（僅 Brazil）	追蹤代碼、寄件人/收件人地址、包裹尺寸、運送狀態	Brazil	melhorenvio.com.br/termos-de-uso

4. 傳輸機制

4.1 國際資料傳輸

部分子處理者位於 European Economic Area (EEA)、Brazil 或您居住國以外。Swopli 確保所有國際資料傳輸均受適當保障措施保護，包括：

• EU Standard Contractual Clauses (SCCs): 對於自 EU/EEA 傳輸至未具適足性決定國家（例如 United States、Brazil）之資料，Swopli 與子處理者簽署 EU Commission's Standard Contractual Clauses（Modules 2 and 3 as applicable）。
• Transfer Impact Assessment (TIA): Swopli 已針對所有高風險傳輸進行 Transfer Impact Assessment，以確保 SCCs 在實務上提供有效保護。
• Brazil (LGPD) SCCs: 對於涉及巴西使用者資料之傳輸，Swopli 使用符合 LGPD 之 Standard Contractual Clauses，或於 LGPD Article 33 要求時仰賴使用者明示同意。
• Data Processing Addendum (DPA): 所有子處理者均已簽署 DPAs，納入適用之 SCCs，並要求子處理者實施適當技術與組織措施以保護個人資料。

4.2 次子處理者

上列部分子處理者可能委任其自身之子處理者（例如 cloud infrastructure providers）。發生此情形時：

• 主要子處理者仍就次子處理者之合規對 Swopli 負完全責任。
• 次子處理者關係受主要子處理者 DPA 及隱私政策管轄（連結列於上表）。
• Swopli 稽核主要子處理者，以確保其向次子處理者傳遞同等資料保護義務。

4.3 資料駐留

• Brazil: Brazil 居民之使用者資料透過 Supabase 儲存在 AWS sa-east-1 (São Paulo)，符合 LGPD 資料駐留最佳實務。
• EU/EEA: PostHog data 透過 PostHog Cloud EU 儲存於 EU。其他子處理者可能將資料儲存在 United States 或全球地區，並受 SCCs 約束。
• Rest of World: 資料儲存地點因子處理者而異。請見上方 "Location" 欄。

5. 您的權利

依適用資料保護法律，您有權：

• 存取我們持有關於您的個人資料
• 更正不正確或不完整之資料
• 刪除您的資料（受法定保存義務限制）
• 反對基於正當利益之處理
• 限制特定情況下之處理
• 資料可攜（以結構化、機器可讀格式接收您的資料）

如欲行使這些權利，請造訪 swopli.com/zh-Hant/yinsi/wo-de-ziliao 或 email 至 dpo@swopli.com。

關於您的權利及 Swopli 如何處理個人資料之完整細節，請見我們的 隱私權政策。

6. 問題

如您對本子處理者清單、資料傳輸或我們的資料保護實務有疑問：

• Data Protection Officer (DPO): dpo@swopli.com
• 一般詢問: help@swopli.com
• 法律詢問: legal@swopli.com

EU/EEA 使用者亦可聯絡我們的 GDPR representative (Article 27)：

• EU Representative: 任命程序進行中；過渡期間請聯絡 dpo@swopli.com