這一頁是要把話講清楚——你打開 gan111.com 的時候,我這邊能看到什麼、看不到什麼、那些資料會被存到哪、放多久、你想要刪掉怎麼處理。所有事我都擺在桌面上,沒有任何躲在角落的追蹤腳本,也沒有把你的瀏覽紀錄賣給廣告主這種事——因為這個站根本就沒接廣告。這份隱私政策另外針對台灣與香港讀者加了一節 §6.5,把台灣個人資料保護法(PDPA)、行政院個人資料保護委員會 2024 年的新設立、香港個人資料(私隱)條例(PDPO)、PCPD 私隱專員公署的權責、GA4 跨境傳輸到美國 Google 機房的合規邊界都點明——這些是中國大陸或東南亞讀者用不上、但你在台灣或香港實際會踩到的東西。
§1我收集什麼資料
站上唯一在跑的訪客資料收集工具是 Google Analytics 4(GA4)。它會以匿名形式收集這幾類資訊:
- 匿名化 IP · 推算大致地區到國家層級(台北/高雄/香港這種粗顆粒度,看不到街道,也看不到你住哪一棟)
- 瀏覽過的頁面 · 你看了哪幾篇文章、停留多久、從哪一頁跳到下一頁
- 裝置類型 · 手機/平板/桌機、瀏覽器型號(Safari 17 還是 Chrome 121)、作業系統
- 來源 · 你是從 Google 搜尋過來、從 X(推特)點連結過來、還是直接輸入網址
我不收集你的姓名、信箱、手機號、身分證字號、地址——除非你主動寄信給 xiao@gan111.com,那封信裡寫了什麼我才知道什麼。寄信本身是你主動的行為,我會把那封信保留在收件匣,但你隨時可以回信叫我刪掉。
那我看這些匿名資料是要幹嘛?其實主要就是判斷「哪幾篇文章被看的多、哪幾篇沒人看、台港讀者最常從哪一篇進站、停留多久」。沒人看的文章下次就不再寫類似的題目;反過來,讀者停留時間特別久的題目,我會繼續往那個方向加深。這是寫部落格唯一比較理性的迭代方式——不看 GA4,我就只能憑感覺寫,憑感覺寫的東西通常是 KOL 自嗨,不是讀者要看的東西。
§2Cookie 與瀏覽器儲存
GA4 會在你的瀏覽器裡放一個 cookie(裡面是一串隨機 ID),用來識別「這是同一個 session 的訪客」——這樣它才能算出你在站上跳了幾頁、停了多久。這個 ID 跟你的真實身分沒有任何對應關係,純粹是「同一個瀏覽器、同一段時間」的標記。
你可以在瀏覽器設定裡直接禁用 cookie,禁用之後會發生什麼:
- 網站功能完全不受影響——我沒有用 cookie 做登入/購物車/個人化推薦這類事
- GA4 就看不到你了——這對你來說是好事,對我來說也沒什麼損失(總體流量看趨勢,個別讀者匿不匿名我不在意)
- K 線圖、減半倒數、所有工具頁照常運作
- 下次你再來訪問,我這邊看到的是「一個全新訪客」(因為沒有 ID 比對)
主流瀏覽器(Chrome / Safari / Firefox / Edge / Brave)都有「網站設定 → 封鎖第三方 cookie」或「全部封鎖 cookie」的入口,5 秒就能搞定。台灣讀者用 Safari 比例特別高(iPhone 滲透率關係),Safari 的 ITP(Intelligent Tracking Prevention)其實本來就會自動限制跨站追蹤——所以你不主動關 cookie,Safari 也已經幫你擋掉大半。
§3第三方服務清單
這個站接的第三方服務全部列在這,不藏不掖:
- Google Analytics 4 · 匿名訪客資料(上面 §1 §2 已經講完)
- Cloudflare · CDN 加速 + DDoS 防禦(全球節點 · 台港讀者會走亞太區節點,香港節點通常 < 30ms)
- Google Fonts · 字型代管(可在瀏覽器禁用,字型會 fallback 到系統的 Noto Sans TC / PingFang TC)
沒有任何廣告追蹤 cookie · 沒有第三方再行銷像素 · 沒有 Facebook Pixel · 沒有 LINE Tag · 沒有 TikTok Pixel · 沒有「老訪客回流追蹤」的指紋識別 · 沒有 Hotjar 這類 session 錄製工具
我做這個站不是要靠廣告變現的——這也是為什麼上面那一串你常在台港部落格看到的追蹤工具,這裡從一開始就沒接。以後大概率也不會接,因為一旦接了就要寫成這頁要更新,我懶得多寫一段。
§4Affiliate 連結的資料邊界
當你點擊站上的交易所連結(幣安 Binance、OKX、Bybit、Bitget、Gate 等),交易所那邊會知道「這次註冊來自 gan111.com 的推介碼 BN16188 / XG188 系列」——這是 affiliate 系統正常運作的方式,業界通行的標準。
但有些事我是絕對看不到的——這一段比上面 §1 講的更重要,因為很多台港讀者擔心的就是這個:
- 看不到你註冊時用的信箱、手機號——交易所的合規部門看得到,我看不到
- 看不到你充值多少 USDT、入金多少新台幣 / 港幣
- 看不到你交易了什麼幣、買了多少張合約、開幾倍槓桿
- 看不到你賺了多少、虧了多少、爆倉幾次
- 看不到你的 KYC 資料(身分證、駕照、銀行帳號)
交易所給我看的只是統計總數字:這個月透過我的碼註冊的新使用者有幾個、累計手續費分成幣值是多少、活躍率多少。每一個使用者的具體身分、交易細節、資產狀況,完全由交易所端的合規與隱私系統保護,跟我這個 affiliate 完全隔離。台灣 FSC 跟香港 SFC 對推介夥伴的監管邊界明確規定:推介者不得接觸客戶的個別交易資料、不得對客戶下單做任何指令——這條規則本身就是設計來保護你的隱私。
關於 affiliate 這件事的完整說明,見 免責聲明 §4 跟 §6.5 的台港讀者特別條款。
§5你的權利清單
不管你在哪個國家或地區,只要 GDPR(歐盟一般資料保護規則)/ CCPA(加州)/ 台灣個資法 / 香港 PDPO / 中國《個人信息保護法》這一類法規適用於你,你都享有以下這幾項權利,這個站全部承認:
- 查詢權(Right of access) · 知道我這邊收集了你的什麼資料(其實就是上面 §1 列的那幾項,不會多)
- 刪除權(Right to erasure / Right to be forgotten) · 要求刪除跟你有關的任何資料
- 更正權(Right to rectification) · 你寄過信給我,可以要求我刪掉那封信或更正內容
- 退出權(Right to opt-out) · 在瀏覽器禁用 cookie,GA4 就不再追蹤你
- 資料可攜權(Right to data portability,GDPR Article 20) · 你可以要求我把跟你有關的資料以可機讀格式提供給你
- 反對自動化決策(Article 22) · 這個站沒做任何自動化決策,所以這條對你來說是空的——但你有權確認這件事
GA4 那邊,資料預設保留 14 個月(這是 GA4 我能設定的最長保留期),14 個月後系統會自動刪除。我這邊沒有手動「即時刪除某個匿名 ID 的歷史紀錄」的能力——這是 Google 的技術限制,不是我藏。如果你想立刻退出 GA4 追蹤,最有效的方法還是「瀏覽器禁用 cookie」,5 秒生效,不用等 14 個月。
如果你要刪除曾經寄給我的信,直接回信到 xiao@gan111.com,標題寫「請刪除我之前的信件」或「隱私 · 刪除請求」,我看到會在 7 個工作日內刪掉並回覆確認。
§6資料儲存的物理位置
這部分要老實講——資料實際存在哪台機房,因為這牽涉到跨境傳輸的合規問題:
- GA4 訪客資料 · 存在 Google 的伺服器(美國機房 + 部分歐洲機房,Google 採用 region-routing)
- Cloudflare 邊緣日誌 · 存在 Cloudflare 全球節點(離你最近的那個,台灣讀者通常落在台北或香港節點)
- 站點內容本身 · 存在 VPS(目前在 ClawCloud 東京機房 · 走 Cloudflare 國際網路)
- 網域 DNS 紀錄 · 存在 Cloudflare DNS(全球任播 anycast 網路)
中國大陸讀者訪問會經過 Cloudflare 國際節點(因為這個站沒有 ICP 備案,不能走大陸內地節點)——這意味著訪問速度會比同類在地站慢一拍,但資料本身不會被傳到任何「在地化合規」之外的奇怪地方。台港讀者訪問速度通常很順,因為 Cloudflare 在亞太區的節點密度夠高。
§6.5台港讀者隱私補充說明
這一節是專門寫給台灣與香港讀者的——因為兩地的個資保護法律框架跟歐盟 GDPR、美國 CCPA、中國《個資法》都有差異,我把實際適用條款點明,你才好知道自己的權利落在哪裡、出問題該找誰。
1. 台灣個資法(PDPA)合規邊界 + 2024 個資會新設立:台灣個人資料保護法 1995 年立法、2010 跟 2015 兩次大修,核心架構是「告知同意 + 目的特定 + 比例原則」。台灣行政院在 2024-12 正式成立「個人資料保護委員會」,這是個資法執法的最高主管機關,終結了過去十年「沒有專責機關、各部會自己管」的尷尬。這個站對 PDPA 的合規邊界是:GA4 收的匿名訪客資料因為不能識別到具體個人,屬於「非個資」範疇,但我還是把 §1-§5 的收集/使用/儲存/權利全部告知你——這是按照「就高不就低」的態度做。台灣 PDPA 跟歐盟 GDPR 的主要差異在於:PDPA 沒有「拒絕自動化決策」這條,但本站本來就沒有自動化決策;PDPA 罰則上限新台幣 1500 萬,GDPR 是全球營業額 4%,本站體量都用不到。
2. 香港個人資料(私隱)條例(PDPO)+ PCPD 公署:香港 PDPO 1996 年立法,2012 大修,核心架構是「保障資料 6 原則」(目的/直接收集/準確/保留期限/使用/保安/查閱/開放)。香港個人資料私隱專員公署(PCPD)是主管機關,2024 起對跨境傳輸條款(Section 33)加強執法,要求資料控制者證明境外接收方有同等保護水準。這個站對 PDPO 的合規邊界是:GA4 資料傳到美國 Google 機房,Google 本身在 EU-US Data Privacy Framework 認證之下,符合 PCPD 對「同等保護水準」的認定;Cloudflare 的香港節點存資料在香港境內,合規上沒有任何跨境問題。香港讀者如果認為這個站處理你的個資不當,可以直接向 PCPD 投訴(pcpd.org.hk),公署收到投訴會主動聯繫資料控制者要求說明。
3. GA4 跨境傳輸到美國的合規邊界:這是台港讀者最容易踩到的隱私灰區。GA4 的伺服器主要在美國(部分在歐盟),你在台灣或香港訪問這個站,你的匿名 ID 跟瀏覽行為會被傳到美國 Google 機房處理。台灣 PDPA 第 21 條規定跨境傳輸需告知,但因為 GA4 收的是匿名資料,實務上不被認定為個資跨境;香港 PDPO Section 33 對跨境傳輸的限制更嚴格,但 Google 持有 EU-US Data Privacy Framework 認證,被認定為「同等保護水準」。實際的隱私風險評估:GA4 的匿名 ID 在技術上難以反向識別到具體個人(除非你同時在登入 Google 帳號 + Google Search 留下足夠軌跡,這部分屬於 Google 本身的隱私政策範疇,不在這個站的可控範圍內)。如果你介意這個,最簡單的做法是用無痕模式訪問,或登出 Google 帳號訪問。
4. Cookie 同意 — 歐盟標準 vs 台港寬鬆度:歐盟 GDPR 要求站點必須在訪客點擊「同意」按鈕之前不得放任何非必要 cookie——這就是你在歐洲站常看到的那種大彈窗。台灣 PDPA 跟香港 PDPO 對 cookie 同意的要求都比 GDPR 寬鬆,實務上只要在隱私政策頁面告知即可,不強制要求大彈窗。這個站採用「告知 + 你主動可關閉」的中間路線:你進站不會被大彈窗打斷,但隱私政策清楚告訴你 cookie 怎麼工作 + 5 秒怎麼禁用。如果未來歐盟讀者比例增加到必須加彈窗的程度,我會在這頁同步更新。
5. 你的完整權利清單 + 台港實際行使管道:除了上面 §5 列的 6 項權利,台港讀者可以這樣行使——查詢/刪除/更正都統一寄信到 xiao@gan111.com(標題加「隱私 · 」開頭優先處理);如果對處理結果不滿意,台灣讀者可向地方政府的法務局申訴,或直接向個人資料保護委員會檢舉;香港讀者可向 PCPD 投訴。實務經驗:絕大多數隱私訴求(刪信、查詢、退出 GA4)我都會在 7 個工作日內處理完,不需要走到主管機關那一步。但你保留這個權利,我不會跟你爭。
6. 結語 — 隱私政策的真正意義:這份隱私政策不是法律免責的擋箭牌——是讓你知道你的資料邊界在哪,知道哪些事我能看、哪些事我看不到,知道你想刪掉什麼可以怎麼刪。台灣個資會 2024 設立、香港 PCPD 2024 加強跨境執法,這兩件事本身就反映了亞太區整體在往「資料主體權益優先」的方向移動。這個站從一開始就站在這條線之內,你的隱私邊界比我能拿到的訪客洞察更重要——這是預設立場,不是寫在這頁的場面話。
§7政策更新與通知
這個政策不會經常變動。如果有任何更新,我會做兩件事:
- 更新本頁底部的 Last updated 時間戳
- 如果是重大變更(例如新增了某個第三方服務、改變了資料保留期),首頁會掛一個 banner 公告 7 天,確保你不會錯過
我不會偷偷改這頁然後假裝從沒改過——所有改動也會在 勘誤中心 留一筆,日期 + 改了什麼 + 為什麼改全部公開可追溯。
§8聯絡
隱私相關問題,或者你想行使上面 §5 的任何一項權利,寄信給我最穩:
標題請寫 「隱私 · 資料請求」 或 「隱私 · 刪除請求」 之類的關鍵字,我會在 7 個工作日內處理完並回覆確認。台港讀者如果想用 LINE / Telegram 私訊,推特 @mor_xiaogan 或 Telegram @txzx603 都可以——但比較大的隱私訴求建議走信箱,留下文字紀錄對你也比較安全。