隱私權政策

最後更新：2026-03-10

1. 服務說明

VTaxon（以下簡稱「本服務」）是一個面向 VTuber 社群的公開服務，將 VTuber 角色的形象特徵對應到現實世界的生物分類學體系，以分類樹的形式呈現角色之間的關聯。本服務由山葵冰角（Wasabi PingKak）由個人獨立開發與維護。

2. 收集的資料

當你登入本服務時，我們會收集以下資料：

平台帳號資訊：帳號識別碼（ID）、顯示名稱、頭像 URL。這些資料來自你的 YouTube 或 Twitch 帳號。
角色設定資料：你在本服務中自行填寫的物種標註、角色描述等資訊。

我們的應用程式不會主動儲存你的電子郵件地址。但認證服務（Supabase Auth）在 OAuth 登入過程中會記錄你的電子郵件，僅用於帳號識別，我們不會將其用於其他用途。我們不會收集你的真實姓名、影片內容、觀眾資料或任何其他平台私人資訊。

3. OAuth 存取範圍

Google（YouTube）：僅請求讀取公開頻道資訊的權限（readonly），無法存取你的影片、留言或其他私人資料。
Twitch：僅請求基本帳號資訊（預設存取範圍），無法存取你的直播內容、訂閱者或其他私人資料。

4. 資料用途

我們收集的資料僅用於以下用途：

建立並顯示你的角色檔案（顯示名稱、頭像、物種標註）
在分類樹中展示已建檔的角色關聯
維持登入狀態與帳號識別
管理員審核帳號資格（確認為 VTuber / ACG 頻道主）

5. 資料保留

你的資料會在帳號存續期間持續保留。如果你希望刪除帳號及所有相關資料，可以透過服務內的回報功能或直接聯繫管理員提出刪除請求。我們會在合理時間內處理你的請求。

6. Cookie 與類似技術

本服務使用以下技術維持正常運作：

Cookie：用於 OAuth 認證流程與登入狀態維持。
localStorage：儲存 Supabase 認證 token，維持登入狀態。
sessionStorage：快取物種搜尋結果，提升使用體驗。

我們使用 Google Analytics 來了解網站使用狀況，以改善服務品質。 Google Analytics 會使用 Cookie 收集匿名的瀏覽資料（如頁面瀏覽次數、停留時間），但不會用於識別你的個人身份。我們不會使用任何追蹤 Cookie 向你投放廣告。

7. 帳號刪除

你可以隨時透過以下方式請求刪除帳號：

使用服務內的「回報」功能，選擇帳號刪除類別
寄送電子郵件至 wasabi.pingkak@gmail.com
透過 Discord 聯繫管理員

帳號刪除後，你的所有資料（包括角色檔案、物種標註）將被永久移除。

8. 資料分享與第三方服務

我們不會出售、交易或轉讓你的個人資料給任何第三方用於行銷或其他與本服務無關的目的。你的資料僅在以下情況下與第三方服務共享，且僅限於提供本服務所必需的範圍：

Supabase（資料庫與認證託管）：儲存你的帳號資料（帳號 ID、顯示名稱、頭像 URL）與認證資訊。Supabase 作為資料處理者，依其安全政策保護資料。
Google OAuth / YouTube API：登入時透過 OAuth 取得你的 YouTube 頻道公開資訊（頻道 ID、名稱、頭像）。我們僅使用 OAuth token 讀取你自己的公開頻道資料，不會將你的資料回傳給 Google。
Twitch OAuth：登入時透過 OAuth 取得你的 Twitch 帳號公開資訊。同樣不會將你的資料回傳給 Twitch。
Google Cloud Run（後端執行環境）與 Firebase Hosting（前端託管）：你的請求資料經過這些 Google Cloud 基礎設施處理，受 Google Cloud 安全措施保護。
Google Analytics：收集匿名的網站瀏覽統計（頁面瀏覽次數、停留時間），不包含個人身份資訊。
GBIF / Wikidata / TaiCOL（生物分類資料來源）：我們僅向這些服務傳送物種學名進行查詢，不會傳送任何使用者個人資料。

除上述情況外，我們不會向任何其他第三方揭露你的個人資料，除非法律要求或為保護使用者安全而必須配合。

9. 資料安全

我們採取多項技術與組織措施來保護你的資料安全：

傳輸加密：所有資料傳輸均透過 HTTPS/TLS 加密，包括前端（Firebase Hosting）與後端（Google Cloud Run）之間的通訊。
認證安全：採用 JWT 數位簽章驗證（ES256 公鑰演算法），確保認證 token 無法被偽造。
資料庫存取控制：所有資料表均啟用行級安全策略（Row-Level Security），確保使用者只能存取自己的資料。
安全標頭：後端設置多項安全 HTTP 標頭（包括 X-Content-Type-Options、X-Frame-Options、Referrer-Policy），防範常見的網路攻擊。
跨域存取限制：CORS 政策僅允許白名單網域存取 API，防止未授權的跨域請求。
最小權限原則：OAuth 僅請求運作所需的最小存取範圍（YouTube readonly、Twitch 預設範圍），不會請求超出服務需求的權限。
託管平台安全：資料庫託管於 Supabase（具備加密儲存與自動備份），後端部署於 Google Cloud Run（符合 SOC 2、ISO 27001 等安全認證）。

儘管我們盡力保護你的資料，但沒有任何網路傳輸或電子儲存方式能保證 100% 安全。如果你發現任何安全問題，請立即透過下方聯絡方式通知我們。

10. 兒童隱私

本服務不以 13 歲以下的兒童為對象，也不會刻意收集兒童的個人資料。如果我們發現不慎收集了兒童的資料，將會盡速刪除。

11. 政策變更

本隱私權政策可能會不定期更新。重大變更時，我們會在服務首頁公告。繼續使用本服務即表示你同意更新後的政策。

12. 聯絡方式

如果你對本隱私權政策有任何疑問，歡迎透過以下方式聯繫：

Privacy Policy

Last updated: 2026-03-10

1. About This Service

VTaxon ("the Service") is a community service for VTubers that maps VTuber character traits to the real-world biological taxonomy system, presenting character relationships in a taxonomy tree. The Service is operated by Wasabi PingKak as an independent personal project.

2. Data We Collect

When you sign in, we collect the following data:

Platform account information: Account ID, display name, and avatar URL from your YouTube or Twitch account.
Character profile data: Species annotations and character descriptions that you voluntarily provide within the Service.

Our application does not actively store your email address. However, the authentication service (Supabase Auth) records your email during the OAuth sign-in process solely for account identification purposes; we do not use it for any other purpose. We do not collect your real name, video content, viewer data, or any other private platform information.

3. OAuth Scopes

Google (YouTube): We only request read-only access to public channel information. We cannot access your videos, comments, or other private data.
Twitch: We only request default account information scope. We cannot access your streams, subscribers, or other private data.

4. How We Use Your Data

We use collected data solely for the following purposes:

Creating and displaying your character profile (display name, avatar, species annotations)
Presenting character relationships in the taxonomy tree
Maintaining login sessions and account identification
Administrator review of account eligibility (confirming VTuber / ACG channel ownership)

5. Data Retention

Your data is retained for as long as your account exists. If you wish to delete your account and all associated data, you may submit a request through the in-app report feature or contact the administrator directly. We will process your request within a reasonable timeframe.

6. Cookies and Similar Technologies

The Service uses the following technologies to function properly:

Cookies: Used for OAuth authentication flow and login state.
localStorage: Stores Supabase authentication tokens to maintain login sessions.
sessionStorage: Caches species search results to improve user experience.

We use Google Analytics to understand website usage and improve service quality. Google Analytics uses cookies to collect anonymous browsing data (such as page views and session duration), but this data is not used to identify you personally. We do not use any tracking cookies to serve advertisements.

7. Account Deletion

You may request account deletion at any time by:

Using the in-app "Report" feature and selecting account deletion
Sending an email to wasabi.pingkak@gmail.com
Contacting the administrator via Discord

Upon deletion, all your data (including character profile and species annotations) will be permanently removed.

8. Data Sharing and Third-Party Services

We do not sell, trade, or transfer your personal data to any third party for marketing or any purpose unrelated to the Service. Your data is shared with third-party services only to the extent necessary to operate the Service:

Supabase (database and authentication hosting): Stores your account data (account ID, display name, avatar URL) and authentication information. Supabase acts as a data processor and protects data per its security policies.
Google OAuth / YouTube API: During sign-in, we retrieve your YouTube channel's public information (channel ID, name, avatar) via OAuth. We only use OAuth tokens to read your own public channel data and do not transmit your data back to Google.
Twitch OAuth: During sign-in, we retrieve your Twitch account's public information via OAuth. We do not transmit your data back to Twitch.
Google Cloud Run (backend) and Firebase Hosting (frontend): Your request data is processed through these Google Cloud infrastructure services, protected by Google Cloud security measures.
Google Analytics: Collects anonymous website usage statistics (page views, session duration) and does not include personally identifiable information.
GBIF / Wikidata / TaiCOL (biological taxonomy data sources): We only send species scientific names to these services for queries. No user personal data is transmitted.

Beyond the above, we do not disclose your personal data to any other third party unless required by law or necessary to protect user safety.

9. Data Security

We implement multiple technical and organizational measures to protect your data:

Encryption in transit: All data transmission is encrypted via HTTPS/TLS, including communication between the frontend (Firebase Hosting) and backend (Google Cloud Run).
Authentication security: We use JWT digital signature verification (ES256 public key algorithm) to ensure authentication tokens cannot be forged.
Database access control: All database tables have Row-Level Security (RLS) policies enabled, ensuring users can only access their own data.
Security headers: The backend sets multiple security HTTP headers (including X-Content-Type-Options, X-Frame-Options, Referrer-Policy) to defend against common web attacks.
Cross-origin restrictions: CORS policies only allow whitelisted domains to access the API, preventing unauthorized cross-origin requests.
Principle of least privilege: OAuth requests only the minimum scopes required (YouTube readonly, Twitch default scope), never requesting permissions beyond what the Service needs.
Hosting platform security: The database is hosted on Supabase (with encrypted storage and automatic backups), and the backend runs on Google Cloud Run (compliant with SOC 2, ISO 27001, and other security certifications).

While we strive to protect your data, no method of internet transmission or electronic storage is 100% secure. If you discover any security issues, please notify us immediately via the contact methods below.

10. Children's Privacy

The Service is not directed at children under 13 years of age, and we do not knowingly collect personal data from children. If we discover that we have inadvertently collected data from a child, we will delete it promptly.

11. Changes to This Policy

This Privacy Policy may be updated from time to time. Significant changes will be announced on the Service's homepage. Continued use of the Service constitutes acceptance of the updated policy.

12. Contact Us

If you have any questions about this Privacy Policy, please reach out through:

← 回到首頁