一、我們蒐集的資料
帳號資料：姓名或暱稱、電子郵件、登入提供者、provider identity、公開身份標籤、信任分數、風險狀態與後台權限。
新聞互動資料：新聞 URL、正規化 URL、URL 指紋、新聞標題快照、閱讀秒數、投票標籤、證據連結、證據說明、證據有用/沒幫助評分。
官方澄清資料：作者、媒體、當事人或機構代表身份申請、證明連結、審核狀態、澄清內容與澄清反應。
插件資料：目前頁面 URL 或新聞連結 URL、新聞站 domain、tooltip/status 查詢、橫幅/iframe 相容性事件、selector 檢查結果、錯誤與健康狀態摘要。
安全與營運資料：IP 位址或其雜湊、user agent 或其雜湊、bot challenge 狀態、限流事件、audit log、系統健康與後台審核紀錄。
捐款資料：捐款金額、顯示名稱、留言、付款狀態、綠界交易識別資料。TruthShield 不保存信用卡號。
二、我們不刻意蒐集的資料
我們不保存完整瀏覽歷史，不記錄非新聞網站的一般瀏覽內容，不代管證據圖片或文件，不保存信用卡號。
證據圖片、雲端文件、查核報告或相關新聞連結由使用者放在第三方服務；TruthShield 僅保存外部 URL、host、metadata、品質分與顯示狀態。
若使用者自行在證據或澄清中揭露個資，該內容可能因公開證據用途而被展示。提交前請自行遮蔽不必要個資。
三、處理目的
提供新聞頁 tooltip、頂部橫幅、投票結果、證據庫、官方澄清、媒體排行與透明治理頁。
計算信任權重、閱讀門檻、證據品質分、72 小時定案快照、社群自治任務與反操縱風險訊號。
處理登入、資料匯出、資料權利請求、申訴、檢舉、濫用事件、後台審核與資安事件。
維護平台可靠性，例如快取、限流、bot protection、插件相容性、系統健康、備份與稽核。
四、公開與非公開資料
可能公開：新聞 URL、標題快照、投票統計、加權結果、標籤分布、公開證據連結、證據說明、官方澄清、公開暱稱、公開身份標籤、公開審核摘要。
預設不公開：電子郵件、provider 原始身份、證明文件的內部審核註記、IP、user agent、bot challenge token、後台操作細節、付款識別資料。
使用者可選擇是否公開真名。預設前台顯示公開暱稱或系統顯示名稱，不直接顯示 Facebook/Google/GitHub 原始姓名。
五、第三方服務
登入服務可能包含 Facebook、Google、GitHub 或開發期 dev login。正式 OAuth 只用於身份驗證與 provider identity 綁定。
證據可使用 Imgur、Google Drive、Dropbox、OneDrive、Archive 或其他可信來源。第三方服務本身的資料處理依其政策。
捐款付款由綠界處理。TruthShield 保存交易狀態與必要對帳資料，不保存信用卡號。
若正式上線使用 CDN、雲端主機、PostgreSQL、Redis、queue 或監控服務，應在正式版本補上服務商與資料區域。
六、保存期間
新聞 URL、投票結果、定案快照、公開證據與公開審核摘要原則上長期保存，因其構成公共查證紀錄。
登入 token、OAuth state、bot challenge、nonce 與 session 類資料應採短期保存或到期失效。
audit log、濫用事件、申訴與後台審核紀錄應保存足以稽核與處理爭議的期間；正式版應由營運政策設定具體年限。
使用者要求刪除帳號時，平台可匿名化個人識別資料；但已定案之公共查證紀錄可能因公共利益、爭議處理或法律義務而保留去識別化版本。
七、使用者權利
使用者可在個人頁匯出自己的資料，並可提出查詢、更正、刪除、停止處理或資料可攜請求。
使用者可針對證據隱藏、官方澄清拒絕、身份申請拒絕、帳號限權或信用調整提出申訴。
若請求涉及其他使用者權利、公共查證紀錄、法律義務或平台安全，TruthShield 可能採取部分遮蔽、匿名化、保留必要紀錄或拒絕不合理請求。
八、聯絡與修訂
正式上線前應提供專用隱私聯絡信箱、資安通報信箱與資料權利處理 SLA。
政策重大變更時，應在官網公告並保存版本紀錄。若變更會實質影響使用者權利，應提供明確通知。