資料處理附約

適用於由 JazzNode 代表場地、品牌與企業客戶處理個人資料時的標準 DPA。

生效日:2026 年 4 月 14 日·版本 1.0

如何執行本 DPA

本頁內容為目前的標準 DPA 文字。當您與 JazzNode 簽訂付費方案時，即視為在適用範圍內同意本 DPA 之現行版本。如需簽章副本、紅線修訂版或企業特製版，請寄信至 security@jazznode.com,主旨註明「DPA execution」,並提供貴公司的法人名稱、法域，以及任何欲修改的條款。

草稿版本——建議會簽前先請法律顧問審閱

1. 定義

本 DPA 使用的名詞含義依 GDPR、UK GDPR 或對等地方資料保護法而定。為求明確:

控管者(Controller)——您，即決定處理個人資料目的與方法的 JazzNode 客戶。
處理者(Processor)——JazzNode Inc.（美國德拉瓦州）及娛興喂有限公司（台灣）,代表您處理個人資料。
個人資料——依 GDPR 第 4(1) 條定義；指關於已識別或可識別自然人的資料。
處理——對個人資料進行的任何操作（收集、儲存、使用、傳輸、刪除等）。
次處理者(Sub-processor)——JazzNode 委託代表控管者處理個人資料的第三方，名單見 §5。
服務——JazzNode 平台，包含藝人/場地/品牌檔案、活動發現、售票、訊息及相關功能。

2. 標的、期間、性質與目的

標的:JazzNode 為向控管者提供服務而處理個人資料。

期間:控管者 JazzNode 訂閱的期間，加上法律要求的保留期（例如售票收入的稅務紀錄）。

性質與目的:託管、身份驗證、顯示、傳遞並支援控管者使用 JazzNode 平台。包含票券發行、透過 Stripe 結算、透過 Resend 寄發交易郵件，以及平台使用分析。

3. 資料當事人類別與個人資料類別

資料當事人類別: 服務的終端使用者，包含粉絲/購票者、音樂人/藝人檔案擁有者、場地營運者、品牌營運者，以及其受邀員工。

個人資料類別:

身份識別：姓名、顯示名稱、電子郵件、頭像。
身份驗證：經雜湊的密碼（Supabase Auth）、OAuth token(Google)。
商務：購票紀錄、訂單總額、匯款目的地（場地/品牌）。JazzNode 不儲存原始卡號——卡號由 Stripe 以獨立控管者身分依 PCI DSS 保存。
通訊：透過平台傳送的訊息、shoutouts、評價。
使用：匿名化分析、referrer 來源、大致地理區域。
裝置（僅限行動應用程式）:推播 token、裝置名稱、OS/App 版本。

JazzNode 不刻意處理 GDPR 第 9 條特殊類別個人資料。控管者不得透過服務提交此類資料。

4. JazzNode 作為處理者的義務

JazzNode 將:

僅依控管者的書面指示處理個人資料（訂閱合約、本條款，以及控管者另提供的書面指示）。
確保授權處理個人資料的人員負有契約上的保密義務。
實施適當的技術與組織安全措施（見 §7）。
依處理性質協助控管者回應資料當事人請求，並履行其於 GDPR 第 32-36 條的義務。
提供一切必要資訊以證明其遵循 GDPR 第 28 條。
於服務終止後，依控管者選擇刪除或返還所有個人資料（見 §11）。

5. 次處理者

控管者授權 JazzNode 委託下列次處理者，各次處理者均已簽訂書面協議，其資料保護條款至少與本 DPA 相當:

Supabase, Inc.: 資料庫、身份驗證、物件儲存。SOC 2 Type 2、ISO 27001。資料主要託管於符合 JazzNode 營運區域的 AWS 區域。
Vercel Inc.: 應用程式託管、邊緣網路、建置流水線。SOC 2 Type 2、ISO 27001。
Stripe, Inc.: 金流處理。Stripe 就卡片資料依 PCI DSS Level 1 擔任獨立控管者。
Resend, Inc.: 交易性電子郵件派送。SOC 2 Type 2。亞太區採用東京節點。
Amazon Web Services, Inc.: 底層雲基礎架構（透過 Supabase 及特定檔案儲存使用）。SOC 2、ISO 27001。
Google LLC: Google 登入用 OAuth 身份提供者;Google Workspace 為內部身份提供者。

新增或替換次處理者時,JazzNode 至少提前 30 日於 /trust 及電子郵件通知控管者。控管者可基於合理的資料保護理由提出異議；若無法解決，任一方得終止訂閱。

6. 國際資料移轉

JazzNode 跨多個法域營運。當個人資料自 EEA、英國或瑞士移轉至未獲充分性認定的國家時,JazzNode 依歐盟標準契約條款（2021/914）及英國 IDTA/附錄之對應條款處理（視同併入）。

境外次處理者自我認證符合 SCC 等級保護，或於充分性架構下營運。目前法域：美國（JazzNode Inc.、Vercel、Stripe、AWS、Google）、台灣（娛興喂）、日本（採用 Resend 東京節點時）。

7. 資安措施

JazzNode 實施並維持與風險相稱的技術與組織措施，詳見 /trust 與 /legal/security。至少包含:

傳輸加密（TLS 1.2+、全域 HSTS）與靜態加密（經基礎設施供應商以 AES-256）。
資料庫層強制執行 Row Level Security，做到使用者層級與角色層級存取控管。
最小權限內部角色(Owner / Admin / Editor),敏感操作須更高權限。
透過 Vercel 環境變數加密管理機密；雲端間驗證採 OIDC；任何長效憑證不進版控。
Supabase point-in-time 備份與獨立保存的票券紀錄。
於 /trust 發布漏洞揭露計畫，以 security@jazznode.com 為聯絡窗口。

措施每年審查並隨平台演進更新。重大變更將反映於 /trust。

8. 協助資料當事人權利

JazzNode 將合理協助控管者回應 GDPR 第 III 章之資料當事人請求（存取、更正、刪除、限制、可攜、拒絕）。協助如顯不相稱，得由控管者承擔成本。

若資料當事人就源自某控管者的資料直接聯絡 JazzNode（例如粉絲就其在某場地活動頁上的檔案來信）,JazzNode 將告知當事人對應之控管者，並視情形通知控管者。

9. 個資外洩通知

發生影響控管者資料的個資外洩事件時,JazzNode 將無不當延遲，且於確認後 72 小時內通知控管者。

通知內容將依當時所知範圍包含：事件性質、受影響資料當事人及紀錄之類別與概估數量、可能後果，以及已採取或建議採取的補救與減損措施。

JazzNode 將紀錄所有個資外洩事件，並於控管者請求時提供紀錄。

10. 稽核與檢查

控管者可透過下列方式驗證 JazzNode 是否遵循本 DPA:

檢視 JazzNode 次處理者之最新第三方稽核報告(SOC 2、ISO 27001),簽署 NDA 後可經 security@jazznode.com 提供。
JazzNode 針對合理資安問卷之回覆（每 12 個月至多一次,30 個營業日內回覆）。

現場檢查僅限於上述方式明顯不足、或主管機關要求之情形。控管者應提前 30 日書面通知、自負費用，並於正常營業時間依雙方同意之範圍與保密條款進行。

11. 返還與刪除

控管者訂閱終止時,JazzNode 將依控管者於終止後 30 日內之書面選擇:(a) 刪除所有代表控管者處理之個人資料，或（b）以結構化、常用且機器可讀格式返還。

若未於期限內選擇,JazzNode 將於 90 日後刪除控管者個人資料，法律要求保留之資料除外（例如美國及台灣稅法要求之售票稅務紀錄）。備份系統中的資料會於正常備份輪替中覆蓋。

12. 賠償責任、準據法與優先順序

本 DPA 下的賠償責任適用 JazzNode 訂閱合約的責任上限與除外條款。本 DPA 不排除依法不得排除之責任。

本 DPA 依併入其之 JazzNode 訂閱合約之法律為準據法。

如本 DPA 與其下之訂閱合約於資料保護義務有衝突，以本 DPA 為準。歐盟標準契約條款（如適用）優先於本 DPA。

13. 聯絡方式

資料保護與 DPA 相關問題:security@jazznode.com。

一般諮詢請。

JazzNode 營運實體:JazzNode Inc.（美國德拉瓦州）及娛興喂有限公司（台灣）。