分流連結隱私合規指南：如何合法蒐集IP與瀏覽器資訊並告知使用者

在Telegram Bot營運中，分流連結（Diversion Link，也稱魔法連結）是一個強大的引流歸因工具。它透過TG-Staff官方短網址（如 https://app.tg-staff.com/{code}）在跳轉至您的Bot之前，擷取訪客的IP位址、瀏覽器資訊（User-Agent、螢幕解析度等）以及URL參數。這些資料對於廣告渠道歸因、使用者輪廓和會話分流至關重要。但問題來了：蒐集IP和瀏覽器資訊，是否觸犯了GDPR或《個人資料保護法》？

本文將從合規角度出發，詳解使用分流連結時的隱私風險、告知義務與操作清單，幫助您的Telegram Bot團隊在利用資料的同時規避法律風險。

---

為什麼分流連結會涉及隱私合規問題？

分流連結的工作流程如下：

1. 使用者在廣告、社群媒體或郵件中點擊分流連結。
2. 短網址伺服器記錄訪客的IP位址、瀏覽器資訊（User-Agent、語言、螢幕參數等）和URL參數（如 utm_source、utm_campaign）。
3. 使用者被重新導向至Telegram Bot對話。

IP位址在多數隱私法規（如GDPR）中被明確認定為個人資料，因為它可以定位到特定裝置或網路。瀏覽器資訊雖看似匿名，但組合後（如IP + User-Agent）足以產生瀏覽器指紋，間接識別使用者。因此，分流連結的資料蒐集行為屬於處理個人資料，需要合規框架約束。

---

主流隱私法規對IP與瀏覽器資訊蒐集的要求

不同司法轄區對資料蒐集的要求存在差異，但核心原則一致：告知、同意、資料最小化、儲存期限限制與使用者權利保障。

GDPR視角下的IP位址與瀏覽器資訊

• IP位址：歐盟法院（CJEU）在2016年判例中明確，動態IP位址在特定條件下屬於個人資料。GDPR第4條將個人資料定義為「與已識別或可識別的自然人相關的任何資訊」。
• 法律依據：通常基於「合法利益」（Legitimate Interest）或「同意」（Consent）處理。若用於廣告歸因，建議取得使用者明確同意。
• 處理要求：需告知蒐集目的、處理方式、儲存期限與使用者權利。建議對IP進行匿名化（如截斷最後一段）或假名化處理，降低風險。
• 資料最小化：僅蒐集必要欄位（如僅保留IP前兩段），避免儲存完整IP超過必要時間。

中國《個人資料保護法》的合規要點

• IP位址：屬於個人資料範疇（可識別網路裝置）。《個人資料保護法》第13條要求處理個人資料需取得個人同意或具備其他法定情形。
• 瀏覽器資訊：若用於使用者輪廓（如根據瀏覽器推送不同內容），可能觸發「自動化決策」規則（第24條），需提供拒絕選項。
• 告知要求：需在隱私政策中明確蒐集的資料類型、目的、儲存期限與使用者權利（查詢、更正、刪除）。

---

使用分流連結時的四大合規風險點

營運團隊在使用分流連結時，容易忽略以下風險：

1. 未告知使用者即蒐集：使用者點擊連結時，未在Bot對話或網站中明確說明蒐集行為，導致違反GDPR第13條（資訊義務）。
2. 未提供資料刪除渠道：使用者無法查詢或刪除蒐集的IP與瀏覽器資訊，違反GDPR第15、17條（存取權與刪除權）。
3. 資料儲存超期：日誌保留時間過長（如超過30天），未設定自動清理機制，違反資料最小化原則。
4. 與第三方共享資訊未聲明：若分流連結服務商（如TG-Staff）處理資料，需在隱私政策中說明第三方角色與資料處理協議。

---

如何在隱私政策中清晰告知分流連結的資料蒐集行為

隱私政策是合規的核心文件。您需要在網站或Bot的隱私政策中新增專門段落，說明分流連結的作用與資料處理細節。

隱私政策中應包含的關鍵欄位

欄位	內容範例
資料類型	IP位址、瀏覽器類型（User-Agent）、螢幕解析度、作業系統、URL參數（如 utm_source）
蒐集方式	透過短網址跳轉時自動擷取
用途	廣告歸因、會話分流、使用者統計
儲存期限	30天後自動刪除（或自訂期限）
使用者權利	查詢、刪除、限制處理、資料可攜性
第三方處理	TG-Staff（資料處理協議可聯繫 @tgstaff_robot）

告知文案範例（可直接參考）

以下是一段可直接複用或修改的中文告知文字：

分流連結資料蒐集說明

當您點擊我們提供的短網址（如 https://app.tg-staff.com/xxx）時，系統會自動收集以下資訊：您的IP位址（僅用於伺服器日誌，30天後自動刪除）、瀏覽器類型與版本、作業系統、螢幕解析度以及URL中的追蹤參數（如 utm_source）。這些資料僅用於廣告渠道效果分析和會話分流，不會用於使用者輪廓或自動化決策。您可以透過發送 /privacy 指令聯繫我們，查詢或刪除您的資料。如果您位於歐洲經濟區，我們基於您的同意（透過點擊連結行為視為同意）處理上述資料。資料處理由TG-Staff提供，您可查閱TG-Staff隱私政策了解更多。

---

合規操作檢查清單（5步法）

請按以下步驟逐一落實，確保分流連結合規：

1. 審計現有分流連結設定

   • 檢查所有分流連結是否啟用了追蹤參數（如 utm_source）。
   • 確認日誌保留設定（TG-Staff控制台 → 專案設定 → 日誌保留期）。

2. 更新隱私政策

   • 新增「分流連結」或「資料蒐集」段落，包含上述關鍵欄位。
   • 確保隱私政策連結在Bot歡迎語或選單中可存取。

3. 在Bot首次對話中增加蒐集告知

   • 在使用者首次進入Bot時發送一條簡短訊息，例如：「我們使用分流連結蒐集IP與瀏覽器資訊用於廣告分析，詳情見隱私政策：[連結]。」
   • 可配合TG-Staff的可視化指令流程實現自動化告知。

4. 設定資料刪除介面

   • 在Bot中實現 /privacy 或 /delete 指令，引導使用者聯繫客服或透過TG-Staff控制台刪除資料。
   • TG-Staff支援匯出與刪除相關日誌，具體操作見文件。

5. 定期審查儲存日誌

   • 每月檢查一次日誌保留期是否按計畫執行。
   • 若使用內容風控功能中的稽核記錄，確保合規團隊可追溯資料操作。

---

使用 TG-Staff 分流連結時的隱私設定建議

TG-Staff 控制台提供了一些隱私相關的配置選項，協助您落實合規：

• 日誌保留設定：在專案設定中可設定日誌保留天數（建議 ≤ 30 天）。
• 資料匯出與刪除：支援匯出分流連結點擊記錄，並批量刪除特定時間範圍的資料。
• 內容風控稽核記錄：專業版使用者可查看客服人員訊息觸發風險詞的記錄，用於內控稽核。

---

常見問題

問：分流連結採集的IP位址會永久保存嗎？
答： 不會。TG-Staff預設不長期儲存訪客IP，分流連結主要用於即時跳轉與歸因，日誌保留期限可參考文件或聯絡@tgstaff_robot確認。建議營運團隊自行設定資料清理週期。

問：使用者如何查詢或刪除分身連結蒐集的個人資訊？
答： 您需要在Bot中提供資料主體權利請求入口，例如透過 /privacy 指令或聯絡客服。TG-Staff控制台支援匯出與刪除相關日誌，具體操作可查閱文件。

問：如果我的Bot只服務於中國大陸使用者，還需要遵守GDPR嗎？
答： 若您的使用者包含歐洲經濟區（EEA）居民，或伺服器部署在EEA國家，則需遵守GDPR。即使僅面向中國使用者，也需符合《個人資料保護法》中對自動化蒐集的告知要求。建議以最嚴格的法規為基準。

問：分流連結能否設定為不蒐集瀏覽器資訊？
答： 目前TG-Staff的分流連結預設蒐集IP與瀏覽器資訊以實現廣告歸因與引流分析。若您不需要歸因功能，可在控制台中關閉分流連結的追蹤參數，或改用一般Bot連結。

問：蒐集瀏覽器資訊是否屬於「自動化決策」？
答： 若您僅用於統計（如瀏覽器類型分佈），通常不屬於自動化決策；若用於使用者畫像並影響服務（如根據不同瀏覽器推送不同內容），則可能觸發GDPR第22條或《個人資料保護法》中的自動化決策規則，需提供拒絕選項。

---

下一步行動

• 立即試用：註冊TG-Staff免費試用（https://app.tg-staff.com/），體驗分流連結與內容風控功能。
• 查閱文件：訪問TG-Staff文件了解隱私相關配置細節。
• 諮詢專家：聯絡@tgstaff_robot，取得合規設定建議。

分流連結隱私合規不是障礙，而是建立使用者信任的基石。從今天起，用清晰的告知和透明操作，讓資料蒐集與合規並行。