本文回答什麼問題
這篇回答一個企業常常用了服務、卻講不清楚的問題:當你和星融科技合作,無論用的是 IM360、IM STORE 還是 aBOS,你的資料在整段合作裡是怎麼被管理的?哪一段由你負責、哪一段由星融科技承接、哪一段其實是第三方平台碰到的?本文把資料當成一條會流動的生命線,從被收集那一刻一路看到被刪除,拆成六個可逐段檢核的合規段,讓你不論用哪一條服務線,都能用同一套框架確認自己的法律位置。
誰最適合讀這篇
最適合的讀者,是負責星融科技合作案、要對內部交代資料合規的法務、採購、資安或法遵窗口。尤其是你已經在用服務、卻被問到「我們的資料到底怎麼管」時答不太上來,或內部稽核要你說明「資料邊界在哪、責任怎麼切」的人。這套框架可以放進你的合規檢視流程,定期跑一遍。
本文不涵蓋什麼
本文不是法律意見,也不是個資法或任何特定法規的逐條解讀,更不替任何合作預先做出相同的資料保證。實際的資料種類、責任歸屬、可匯出範圍、保存與刪除規則,會依服務模式、第三方平台能力與正式合約而不同。本文提供的是一套「逐段檢視」的視角,幫你把抽象的「資料怎麼管」拆成可以逐項追問、逐項落書面的問題。具體權利義務,仍以你和星融科技之間的正式書面文件為準。
為什麼要把資料當成「生命週期」來看
很多企業看資料合規,只看一個時點:簽約那天條款怎麼寫,或某次稽核當下帳號在誰名下。但資料不是靜止的,它會流動——被收集、被存起來、被拿來用、被傳給第三方、被保存一段時間、最後被刪除。責任空白,往往就藏在這些「階段交界」上。
舉例來說,簽約時可能談清楚了「資料歸品牌方」,但沒人談「終止後多久該刪」;談清楚了「我們不對外提供資料」,但沒釐清「金流、物流這些必要的第三方算不算對外」。當你只看單一時點,這些交界處就會被略過,直到出事才發現沒人說得清。
把資料當成生命週期來檢視的好處,是把「資料怎麼管」這個太大的問題,切成六段彼此銜接、可以逐段確認的小問題。下面六段,不論你用的是哪一條星融科技服務線,都能對照著問。
第一段:收集與同意——資料從哪裡來、依據什麼
第一個要釐清的,是資料怎麼進到合作裡來。
請逐項確認:是誰向終端消費者收集資料(是你、是星融科技代營運的前台、還是平台)?收集時用的是哪一方的同意聲明與隱私政策?同意的範圍涵蓋了哪些用途?這一段決定了後面所有使用的合法性基礎——如果收集時的同意範圍很窄,後面就不能拿來做超出範圍的事。
在不同服務線上,這一段的樣貌會不同:IM360 由星融科技承接面對終端消費者的前台,收集多半發生在那一層;IM STORE 涉及品牌館與經銷層;aBOS 的專案範圍內,被整理的多半是企業內部既有的流程與資料,而非新向消費者收集。把「誰收、依據什麼收」問清楚,是整條生命線的起點。
第二段:儲存與安全——資料存在哪、誰碰得到
資料進來之後,要確認它被放在哪、被怎麼保護。
請確認:資料儲存在哪個系統、哪個主體的環境底下?哪些人、哪些角色有存取權限?權限是怎麼分級的?有沒有對應的安全措施與存取控制?這一段的重點不是要你變成資安專家,而是讓你能說清楚「我們的資料目前放在誰的手上、由誰能碰」。
需要誠實說明的是:實際的儲存位置、安全措施與存取控制,會依服務模式、第三方平台能力與正式合約確認,沒有一體適用的標準答案。你能做的,是要求對方把現況講清楚並落書面,而不是假設「應該很安全」。
第三段:使用與共享——資料拿來做什麼、會不會給別人
這一段是最容易產生認知落差的環節。
請逐項確認:資料被拿來做哪些用途(營運、客服、行銷、分析)?這些用途有沒有落在第一段的同意範圍內?在合作的不同方之間(你、星融科技、可能的代理層),資料會不會被共享、共享到什麼程度、目的是什麼?
很多爭議的根源,是把「星融科技為了履行服務而處理資料」誤解成「資料被拿去做別的事」,或反過來,把「必要的營運共享」忽略掉沒寫清楚。把用途與共享逐項對照同意範圍,是這一段的核心。共同的會員與交易資料如何歸屬與運用,建議回到信任中心說明與正式合約確認。
第四段:第三方接觸——哪些外部方會碰到你的資料
完整的電商或營運合作,幾乎不可能只有你和星融科技兩方。平台、金流、物流、簡訊、客服工具——這些第三方在運作中都可能接觸到部分資料。
請確認:有哪些第三方會在運作中接觸到資料?各自碰到的是哪一類資料、為什麼必須碰到?這些第三方接觸資料,是落在你的合約框架內,還是受各自平台政策約束?這一段常被略過,因為它「看起來是技術問題」,但它其實是合規問題——你對消費者的承諾,必須涵蓋這些必要的第三方接觸,而不是假裝它們不存在。
第五段:保存與刪除——資料留多久、怎麼結束
資料有開始,也該有結束。這一段問的是生命線的尾端。
請確認:各類資料約定保存多久?保存到期或合作終止時,資料怎麼處理——歸還、移轉、還是刪除?刪除是怎麼執行、能不能被驗證?終止交接時,哪些資料以什麼格式移轉、哪些必須刪除?這一段在合作順利時幾乎沒人想到,卻在終止時最容易出問題。把「怎麼刪、什麼時候刪、誰確認刪了」談在前面,遠比等到要分手才回頭追問更可控。關於終止與交接的責任安排,可進一步參考信任中心的相關說明。
第六段:稽核與舉證——能不能還原「誰在何時對資料做了什麼」
最後一段,是讓前面五段「可被檢驗」的關鍵。
當資料是由合作方在處理時,你日後主要能還原事實的依據,就是留痕與稽核紀錄。請確認:重要的資料操作(存取、匯出、權限變更、刪除)有沒有可查的紀錄?紀錄保存多久、你方能不能取得?如果發生爭議或主管機關詢問,你能不能舉證說明資料是怎麼被處理的?
這一段呼應 aBOS 治理底座的精神——看見問題、寫成規則、跑成流程、留下脈絡。能舉證的合作,不是靠互相信任的口頭保證,而是靠可查的紀錄。一個願意讓資料操作留痕、可被稽核的合作方,通常也比較容易在出狀況時把事情說清楚。
怎麼用這六段:一張可定期跑的檢核表
把六段串起來,你會得到一條完整的資料生命線:資料從哪裡來(收集與同意)、放在哪(儲存與安全)、拿來做什麼(使用與共享)、誰還會碰到(第三方接觸)、留多久怎麼結束(保存與刪除)、能不能還原(稽核與舉證)。
實務上可以這樣用:
- 逐段對照你目前的服務線,把每一段的「現況」與「書面約定」分別寫下來。
- 標出兩者不一致、或根本還沒約定的「空白格」。
- 把空白格列成需要書面澄清的問題,回到合約與信任中心確認,而不是靠口頭補上。
- 把這張表納入定期的合規檢視,而不是只在簽約時做一次。
這套框架的價值,不在於給你標準答案,而在於讓你不論用哪一條服務線,都能用同一組問題,逐段確認自己的法律位置。
星融科技觀點
星融科技把資料生命週期的六段檢視放進信任中心,是因為我們認為:資料合規不該是某一條服務線專屬的議題,而是不論你選 IM360、IM STORE 還是 aBOS,都該被一致對待的底層秩序。我們寧可把「資料在合作裡走過哪些階段、每一段誰負責」攤開來講清楚,也不願意讓你帶著模糊的邊界進場。
我們也誠實地說,這篇提供的是一套逐段檢視的框架,而不是替任何合作預先擔保結果。資料種類、責任歸屬、可匯出範圍、保存與刪除,最終都依服務模式、第三方平台能力與正式合約確認;網站不會預先替所有個案做出相同的保證。把這六段跑一遍,幫你看清現況、提出對的問題,剩下的仍要回到你和星融科技之間的正式書面約定。
一句話結論
不論你用的是 IM360、IM STORE 還是 aBOS,都可以用同一套資料生命週期框架——收集與同意、儲存與安全、使用與共享、第三方接觸、保存與刪除、稽核與舉證——逐段確認資料在合作裡的責任怎麼切,把邊界講在前面,降低未來歸屬不明的爭議。
相關頁面
- 信任中心:資料邊界與責任切分 — 了解星融科技如何看待資料歸屬、第三方接觸與終止交接的邊界
- IM360 品牌電商代管服務 — 由星融科技承接面對終端消費者的交易前台,實際資料範圍依方案與正式合約確認
- IM STORE 品牌經銷與品牌館 — 經銷與品牌館層的商品與訂單資料如何被管理
- aBOS 營運治理底座 — 看見問題、寫成規則、跑成流程、留下脈絡的治理飛輪如何支撐稽核與舉證
- 星融科技服務總覽 — 從整體視角了解星融科技的業務線與承接方式
下一步
若你正在替星融科技的合作案整理資料合規,可以帶著這六段框架先查看信任中心, 逐段對照你目前服務線的現況與書面約定,再決定哪些空白需要進一步討論。 也可以預約合作邊界評估。 具體權利義務以雙方正式書面文件為準。