GDPR 聲明
生效日期:2026 年 6 月 29 日 · 最後更新:2026 年 6 月 30 日
Zeptun Intelligence Limited (Hong Kong SAR)(「我們」)在 unbox.im 營運 Unbox 郵件平台,並致力於依照歐盟一般資料保護規則(GDPR)及類似法律保護個人資料。本頁面概述我們如何處理歐洲經濟區(EEA)、英國及瑞士客戶的資料。此為我們的 隱私權政策 及 服務條款 的補充文件。
我們是誰
Zeptun Intelligence Limited (Hong Kong SAR) 是透過 unbox.im 上的 Unbox 處理個人資料的資料控制者。若有關於資料保護的疑問,請聯絡 privacy@unbox.im。
Unbox 是什麼(以及不是什麼)
Unbox 是一個交易郵件與域名信箱平台。我們協助您在自己的域名上發送和管理重要郵件——驗證碼、密碼重設、訂單更新以及團隊通知。
我們不提供行銷或電子報廣播服務。我們的 HTTP API 與 SMTP 提交路徑僅限於交易郵件。這樣的產品選擇降低了 GDPR 行銷同意機制的複雜度:我們不會代您發送促銷活動,也不會要求平台郵件進行行銷同意或取消訂閱流程。
外寄 API 與 SMTP — 僅限交易用途
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
允許的範例
- 帳戶驗證、密碼重設與安全警示
- 訂單確認、收據、運送更新與付款通知
- 由特定使用者或系統事件觸發的通知
- 團隊與工作區訊息(邀請、指派、內部警示)
禁止的範例
- 電子報、促銷活動或廣播行銷
- 冷接觸或寄送至購買、爬取或未經同意的名單
- 聯盟垃圾郵件、釣魚或欺騙性內容
- 任何試圖規避收件人上限、速率限制或方案配額的行為
速率與收件人限制(政策)
為防止實質上的大量行銷,同時允許正常的團隊通知,外寄 API 與 SMTP 流量除了方案配額外,亦受下列限制。系統會自動強制執行這些限制,且每個工作區皆適用(擁有者與團隊成員共用一個每日不重複收件人池,於 UTC 午夜重置):
- 每封郵件的收件人數: 最多 50 位(收件人 + 副本 + 密件副本合計)
- 每日不重複收件人數: 每個工作區最多 1,000 位
- 發送請求速率: 每個網域每分鐘最多 10 次 API 或 SMTP 提交
- 方案對外配額: 您的訂閱方案每月發送限制仍適用
這些規則屬於我們的可接受使用政策的一部分。自動化執行已於網頁撰寫器、HTTP API 及 SMTP 提交中啟用。發送行銷或大量郵件,或以其他方式濫用發送基礎設施的帳戶,可能會被限速、暫停或終止。
我們監控送達率訊號。持續退信率高於 3% 或投訴率高於 0.1% 可能觸發暫時停止發送或人工審查。
這些規則亦載明於我們的服務條款中。
處理的合法基礎
- 合約 — 提供您註冊的主機、DNS、信箱、API 發送、帳單與支援服務。
- 正當利益 — 安全性、濫用防範、寄達率監控與產品改進,並在您的權益之間取得平衡。
- 同意 — 在必要時,例如將內容傳送至雲端模型提供者的選用 AI 功能,或連結第三方郵件帳戶。
- 法定義務 — 稅務、帳單以及來自主管機關的合法要求。
我們已採取的措施
- 驗證註冊 — 新帳戶必須在登入前確認電子郵件(一次性驗證碼或魔法連結)。
- 加密 — 傳輸中的資料使用 TLS;敏感憑證與令牌靜態加密;API 金鑰以雜湊儲存。
- 資料最小化 — 外寄遞送紀錄僅儲存後設資料(不含郵件內文)。外部帳戶預覽在七天後過期。遞送紀錄依短期保留排程清除(預設 14 天)。
- 使用者控制的保留 — 資源回收桶、垃圾郵件隔離區與永久刪除流程;您可自行選擇刪除郵件在清除前的保留時間。
- DNS 驗證 — 我們引導您完成 SPF、DKIM 與 DMARC 設定,並在您的網域驗證完成前封鎖發送。
- 營運者問責 — 平台人員在管理後台的操作皆會記錄稽核日誌;團隊成員變更會記錄在您的工作區活動動態中。
- 不出售個人資料 — 我們不會將您的資訊出售給廣告商或資料經紀商。
子處理者
我們使用值得信賴的基礎架構合作夥伴來營運 Unbox。他們僅依據我們的指示與合約保護措施處理資料:
- Vercel — 網頁應用程式主機與無伺服器函式
- Neon — PostgreSQL 資料庫
- Upstash — Redis(佇列與速率限制)
- Vercel Blob — 附件與郵件 Blob 儲存
- Amazon Web Services (SES) — 入站與出站電子郵件遞送
- Stripe — 訂閱計費與發票
- OpenRouter — 當您使用需要遠端模型的 AI 功能時的雲端 AI 推論
最新清單保存在我們的隱私權政策中。需要簽署資料處理協議 (DPA) 的商業客戶,可透過 privacy@unbox.im 提出申請。
國際資料傳輸
Unbox 主要從 新加坡 運作,基礎設施位於 AWS ap-southeast-1,並使用託管提供商提供的全球邊緣節點。當個人資料傳輸至歐洲經濟區以外時,我們會依賴適當的保護措施,例如標準契約條款和供應商資料處理協議。我們計劃為需要在歐盟境內進行資料所在地的客戶提供歐盟地區儲存選項。
您在 GDPR 下的權利
若 GDPR 適用於您,您可能有權:
- 查閱我們所持有關於您的個人資料
- 更正不準確的資料
- 以可攜格式匯出您的資料
- 刪除您的資料(「被遺忘權」)
- 限制或反對特定的處理行為
- 撤回同意(若處理行為基於同意)
- 向您當地的監管機構提出申訴
如何立即行使您的權利:請從您的註冊信箱寄送電子郵件至 privacy@unbox.im。我們會在一個月內回覆。設定中的自助匯出與帳戶刪除功能已在我們的路線圖上 — 請參閱下方說明。
AI 與您的郵件
當您使用 AI 功能時,相關郵件內容可能會傳送給 AI 提供商進行摘要、分類或草稿撰寫。我們會最小化傳送的內容,且不會使用您的郵件來訓練公開模型。企業客戶將能在帳戶設定中限制雲端 AI 處理;在該開關推出前,請聯絡我們以選擇退出雲端推理。
安全性與資料外洩
我們維持技術與組織措施,包括存取控制、加密、MFA/通行金鑰支援,以及事件應變程序。若個人資料外洩對您的權利構成風險,我們將依法律要求通知受影響的使用者與監管機構。
計劃中的改進
我們正在積極加強 GDPR 的準備工作,包括:
- 設定中的自助資料匯出與帳戶刪除
- 註冊時儲存的同意記錄,並附政策版本追蹤
- 外寄發送限制,防止大量行銷濫用,同時允許正常的團隊通知(請參閱上方說明)
- 擴充的子處理者透明化與客戶 DPA 範本
- 可選的歐盟資料所在地
聯絡我們
資料保護查詢:privacy@unbox.im
一般支援:hello@unbox.im