Donna 隱私權政策
最後更新:2026-07-04 · 版本:Beta v1.1
📌 現階段公告(2026-05-30 起):Donna 付費機制尚未上線,目前所有功能對律師免費開放,不收費也不蒐集付款資料。本政策中關於「信用卡末四碼」「發票統一編號」等付款相關蒐集條款,在付費機制上線前不適用。未來啟動付費 add-on 時將另行通知並更新本政策;永久免費基本帳號(每月 1M token + 10GB)不受影響、維持免費。
一、適用範圍
本政策說明 Donna(網址 https://donna.systems,「**本服務**」)如何蒐集、利用、儲存、保護與分享使用者(「**律師使用者**」)及其客戶(「**第三人**」)的個人資料。
本服務由 Donna(本服務營運者,以下簡稱「本所」)營運,並就所提供之軟體即服務(SaaS)方案,依台灣《個人資料保護法》(「個資法」)等規定處理使用者資料。
二、蒐集的個人資料類型
2.1 律師使用者資料
- 身分:姓名、電子郵件、律師證號、所屬律所名稱
- 帳務:信用卡末四碼(由金流服務商〔Portaly,底層金流為喬睿科技 TapPay〕處理,本所不直接儲存)、發票統一編號
- 使用紀錄:登入時間、IP、瀏覽器、使用功能、token 消耗統計
- 自願提供:頭像、聯絡電話
2.2 律師上傳之卷宗、書狀、對話內容
- 律師上傳的 PDF / DOCX / 圖片等檔案
- AI 對話歷史記錄、產生的書狀內容
- 案件 metadata(案號、客戶姓名、法院、股別等)
**本所對律師上傳之內容均視為律師業務機密。**處理上傳內容唯一目的為提供律師業務生產力服務(檢索、摘要、寫狀、分類)。
2.3 第三人個人資料
律師上傳之卷宗可能含有第三人(如當事人、對造、證人)個資。本所僅將其作為律師業務工具的「載體」,不會主動分析、交叉比對或挪作他用。
⚠️ 律師使用本服務處理客戶資料前,應依律師倫理規範第 27 條向客戶書面告知並取得同意。本所提供範本如下節「客戶同意書範本」。
三、蒐集目的與法律依據
| 資料類型 | 蒐集目的 | 法律依據 |
|---|---|---|
| 律師使用者帳號 | 提供本服務、計費 | 契約履行 |
| 律師業務檔案 | 提供 AI 助理功能 | 律師業務代理人 + 律師書面同意 |
| 第三人個資(卷宗內) | 律師業務代為儲存 | 律師業務「特定目的」(個資法 § 19) |
| 用量統計 | 防止濫用、計費 | 契約履行 + 正當利益 |
四、第三方服務揭露
本服務技術架構使用以下第三方供應商。律師使用者上傳之資料會經過下列服務的處理:
| 供應商 | 用途 | 資料流向 | 地理位置 |
|---|---|---|---|
| Anthropic(Claude) | AI 對話、書狀生成 | API 呼叫含卷宗內容 | 美國 |
| OpenAI | 語意搜尋 embedding | 卷宗文字切片 | 美國 |
| Google AI(Gemini) | 可選 AI provider | 同上 | 美國 |
| Supabase | 資料庫 + 認證 | 結構化資料、metadata | 日本(東京) |
| Cloudflare R2 | 卷宗物件儲存 | 律師上傳之檔案 | 亞太區 |
| Portaly(底層金流:喬睿科技 TapPay) | 訂閱計費(信用卡收款)、發票開立 | 帳單、交易紀錄(卡號由金流商持有,Donna 不經手) | 台灣 |
| Resend | 通知 email | 收件人 email + 內文 | 美國 |
| Zeabur | 應用程式託管 | 全部請求流量 | 東京 |
| Backblaze B2 | 卷宗異地備份 | 同 R2 | 美西 |
律所自有空間方案(OneDrive / Google Drive / NAS(WebDAV,含自架 Nextcloud)):律師卷宗留存於律師自己選擇的儲存服務,本所僅透過 OAuth / WebDAV 讀取必要範圍。
BYOK 方案:律師使用自綁 Anthropic / OpenAI / Gemini API key 時,AI 呼叫直接走律所自己的帳號,本所不經手。
五、AI 處理透明度
5.1 AI 模型對律師上傳內容的處理
- 第三方 AI 模型(Anthropic / OpenAI / Google)本身不會跨對話記憶
- Donna 為了延續對話脈絡,會於每次呼叫時將該對話歷史訊息一併送入 API;律師可於側欄對話列表對任一對話隨時刪除
- 卷宗文字會被切成片段並建立向量索引(embedding),存於本所資料庫供律師日後檢索
- 律師對話內容(含 AI 回覆)保留於律師帳號內,律師可隨時刪除
- 事務所內部調閱:所長與管理員得基於事務所管理目的調閱所內成員之對話紀錄(含未綁定案件之個人對話);調閱權限為唯讀,不得以成員名義發送訊息或刪改
5.2 Anthropic ZDR(Zero Data Retention)
⚠️ 目前狀態(2026-05-30):本所已向 Anthropic 提出 ZDR 申請,尚未通過 Anthropic 審核。在 ZDR 正式生效前,律師卷宗送 Claude API 時仍適用 Anthropic 預設政策:30 天 API trace log 保留、不用於模型訓練。
ZDR 核可後將更新為:
- 律師卷宗送 Claude API 時,Anthropic 不在自家後台儲存(無 30 天 trace log)
- 不用於 Anthropic 模型訓練
待 Anthropic 核可後本政策將同步更新並 email 通知律師使用者。
5.3 OpenAI / Google AI
- 律師使用 OpenAI embedding 或 Gemini 時,預設走 paid tier,依各家政策不用於訓練
- 若律師明確選擇 free tier,內容可能被供應商用於模型訓練,本所將於介面顯示警示
六、資料保留期限
| 資料類型 | 保留期限 |
|---|---|
| 律師帳號 | 永久免費基本帳號永不主動刪除、資料永久保留;律師主動「刪除律所」後 30 天緩衝期,到期後 hard delete |
| 卷宗檔案 | 律師主動刪除即時生效;律所帳號刪除後 30 天緩衝期內保留,期滿後 hard delete |
| AI 對話紀錄 | 隨案件 / 律所同步保留刪除 |
| 對話「附檔」(對話框臨時附加的檔案) | 屬臨時上下文,上傳後 14 天自動刪除;需長期保存請上傳至案件 |
| 事務所成員帳號 | 成員離職採停用(帳號無法登入),其經手之案件文件、收發文與費用紀錄保留於事務所內(律師業務紀錄有長期保存必要);不提供個別成員紀錄之刪除 |
| 用量明細(逐筆 token 紀錄) | 90 天後自動刪除,僅保留帳單所需彙總 |
| 帳務紀錄(交易、發票) | 依法保存 7 年 |
| 系統日誌 | 90 天 |
| Backblaze B2 異地備份 | 30 天滾動覆寫;律所 hard delete 時一併刪除其備份物件 |
七、安全措施
- 傳輸加密:全站 TLS 1.3 + HSTS(max-age 6 個月、含子網域)
- 靜態加密:R2 物件儲存與 Supabase 資料庫均啟用靜態加密;Donna 並於應用層再加一層,將資料庫內的卷宗內容、AI 摘要、對話及雲端連線權杖以**每一事務所專屬金鑰(per-firm DEK)**加密,金鑰由 Google Cloud KMS 保管,事務所之間金鑰彼此獨立
- API key 加密:律所 BYOK key 以 AES-256-GCM 加密儲存於資料庫
- 存取控制:律所 firmId 隔離(per-firm 路徑),律所 A 無法讀律所 B 資料
- 限制下載:signed URL TTL ≤ 10 分鐘
- 濫用防護:
- 一般 API 同 IP 每分鐘 200 次(大檔上傳/匯入端點另有獨立限制)
- 卷宗下載 / 預覽同 IP 每分鐘 60 次
- 登入端點同 IP 每 5 分鐘 20 次
- Cloudflare WAF Managed Ruleset + 自訂規則攔截 OWASP 常見攻擊路徑
- Cloudflare DDoS 預設防護
- 異地備份:每日台北 03:00 R2 → Backblaze B2(跨地理區,30 天滾動覆寫)
八、第三方分享原則
本所不將律師卷宗、對話內容、書狀分享給:
- 廣告商
- 律師業競爭者
- 政府機關(除依法搜索票或檢察官命令)
例外:
- 律師主動授權之外掛 / 整合(如律師接 OneDrive 即代表授權 Microsoft 帳號讀寫權限)
- 司法機關依法定程序(搜索票、提示命令)要求時,本所將通知律師後依法配合
九、律師使用者權利
依個資法第 3 條,律師使用者得隨時:
- 查詢、閱覽:登入 https://donna.systems 查看
- 製給複本:透過下載功能匯出
- 補充、更正:在帳號設定變更
- 請求停止蒐集、處理或利用:聯繫 [email protected]
- 請求刪除:透過設定頁「刪除律所」功能,或聯繫客服
十、cookie 與類似技術
本服務使用以下類型 cookie / local storage:
- 必要 cookie:Supabase 登入 session token(不可關閉)
- 設定 cookie:偏好語言、暗色主題
- 無:行為追蹤、廣告 cookie
十一、政策修改
本所保留隨時修改本政策的權利。重大修改將於修改前 30 日透過 email 通知律師使用者。
繼續使用本服務即視為同意修改後條款;不同意者得於修改生效前依「九、律師使用者權利」終止帳號。
十二、聯絡方式
| 事項 | 聯絡管道 |
|---|---|
| 一般客服 | [email protected] |
| 個資保護專員 | [email protected] |
| 客訴 | [email protected] |
| 通訊地址 | 台灣(線上服務,請以上列信箱聯繫) |
客戶同意書範本(律師對其客戶用)
律師應於委任契約或單獨同意書中向客戶揭露本所使用 AI 工具的事實。範本如下:
客戶資料 AI 工具處理同意書
立同意書人 _____________(以下稱客戶)就委任 _____________ 律師(以下稱律師)處理之 _____________ 事件相關卷宗、書狀、證據等資料,茲同意律師為提升業務效率得使用人工智慧(AI)工具進行整理、檢索、摘要、文書製作等行為。
客戶並了解:
律師使用之 AI 工具係由 Donna(本服務營運者提供之 SaaS)提供,技術上會將卷宗內容傳送至以下廠商 API:Anthropic、OpenAI、Google AI(律師可選擇之提供者)。
卷宗內容送上述廠商 API 運算時,依各廠商 API 政策不會被用於訓練 AI 模型;廠商基於濫用防護可能短暫保留(約 30 日)後刪除。Donna 另將資料庫內的卷宗內容、摘要與對話,以每一事務所專屬金鑰加密保存。
律師對於上傳內容仍負保密義務,AI 工具僅作為律師業務輔助,不取代律師專業判斷。
客戶得隨時撤回本同意,律師將於合理範圍內停止使用 AI 工具處理本案件。
立同意書人:______________(簽章)
中華民國 ____ 年 ____ 月 ____ 日