นโยบายความเป็นส่วนตัว

อัปเดตล่าสุด: 25 พฤษภาคม 2569

1. บทนำ

นโยบายความเป็นส่วนตัวนี้อธิบายวิธีที่ Sovereign Systems รวบรวม ใช้ และปกป้องข้อมูลส่วนบุคคลของท่าน ครอบคลุมสองขอบเขตที่แตกต่างกัน: (1) เว็บไซต์การตลาดที่ sovereignsystems.cc และ (2) แอปพลิเคชันเดสก์ท็อป SOSA DevOps ทั้งสองมีสถาปัตยกรรมข้อมูลที่แตกต่างกันโดยพื้นฐาน เราปฏิบัติตาม GDPR (EU) และ PDPA (ไทย)

2. ผู้ควบคุมข้อมูลส่วนบุคคล

Sovereign Systems ตั้งอยู่ในประเทศไทย อีเมล: [email protected]

3. ข้อมูลที่เรารวบรวม

ขอบเขตเว็บไซต์: ข้อมูลบัญชี (อีเมล ชื่อที่แสดง) คุกกี้เซสชันสำหรับการยืนยันตัวตน และการวิเคราะห์แบบไม่ใช้คุกกี้ผ่าน Cloudflare Web Analytics ขอบเขตแอปพลิเคชันเดสก์ท็อป: ไม่มี SOSA DevOps เป็นแบบ local-first ข้อมูลแอปพลิเคชันทั้งหมด ได้แก่ คำสั่ง การตอบสนองของ AI ประวัติเซสชัน บันทึกการตรวจสอบ ถูกจัดเก็บในอุปกรณ์ของท่านเท่านั้น Sovereign Systems ไม่มีเซิร์ฟเวอร์ที่รับหรือจัดเก็บข้อมูลการโต้ตอบของท่าน

4. ข้อมูลที่เราไม่รวบรวม

Sovereign Systems ไม่รวบรวม: — คำสั่ง การตอบสนองของ AI หรือเนื้อหาเซสชันจาก SOSA DevOps — การวัดผล สถิติการใช้งาน หรือการวิเคราะห์ฟีเจอร์จากแอปเดสก์ท็อป — รายงานความขัดข้องหรือข้อผิดพลาดจากแอปเดสก์ท็อป — ไฟล์เสียง ไฟล์โปรเจกต์ ข้อมูล MIDI หรือเนื้อหาสร้างสรรค์ — ประวัติการเข้าชม ข้อมูลตำแหน่ง หรือรายชื่อผู้ติดต่อ — คุกกี้ติดตามจากบุคคลที่สามหรือตัวระบุโฆษณา — ข้อมูลการกดแป้นพิมพ์ การบันทึกหน้าจอ หรือข้อมูลไบโอเมตริก แอปพลิเคชันเดสก์ท็อปไม่มีเส้นทางอัปโหลด เส้นทางซิงค์ หรือ pipeline การวัดผลใดๆ

5. วิธีที่เราใช้ข้อมูล

ข้อมูลเว็บไซต์ใช้สำหรับ: การยืนยันตัวตน (ยืนยันตัวตนของท่าน) การสื่อสารบริการที่จำเป็น (การแจ้งเตือนบัญชีและความปลอดภัย) เราไม่ส่งอีเมลการตลาดโดยไม่ได้รับความยินยอมอย่างชัดแจ้ง เราไม่ใช้ข้อมูลของท่านเพื่อโฆษณาหรือขายให้บุคคลที่สาม

6. Vault A — ห่วงโซ่การตรวจสอบด้วยการเข้ารหัสลับ (แอปเดสก์ท็อป)

Vault A คือห่วงโซ่การตรวจสอบด้วยการเข้ารหัสลับแบบในเครื่อง เพิ่มได้อย่างเดียว จัดเก็บที่ vault/audit-chain.jsonl บนอุปกรณ์ของท่าน แต่ละรายการมีการประทับเวลา ประเภทเหตุการณ์ จำนวนตัวอักษร และ hash ของเนื้อหา ไม่มีข้อความดิบของคำสั่งหรือการตอบสนองของท่านเลย Hash เป็นแบบทางเดียว (SHA-256) ไม่มีสิ่งใดใน Vault A ที่สามารถย้อนกลับเป็นเนื้อหาของท่านได้ Vault A คือบันทึกที่ต้านทานการแก้ไขของสิ่งที่เกิดขึ้น ไม่เคยออกจากอุปกรณ์ของท่าน Sovereign Systems ไม่สามารถอ่านได้

7. Vault B — บันทึกการโต้ตอบ (แอปเดสก์ท็อป)

Vault B คือบันทึกการโต้ตอบในเครื่อง จัดเก็บที่ vault/interaction-log.jsonl บนอุปกรณ์ของท่าน ประกอบด้วยคำสั่ง การตอบสนองของ AI และบริบท RAG ที่ดึงมา ในรูปแบบข้อความธรรมดา จัดเก็บในเครื่องสำหรับการตรวจสอบ การประเมินโมเดล และการส่งออกของท่านเอง Vault B ไม่เคยออกจากอุปกรณ์ของท่าน ท่านสามารถดูได้จาก Tools → Open Interaction Log ส่งออกเซสชันในรูปแบบ TXT, PDF หรือ JSONL และลบเซสชันผ่านประตูยืนยันการพิมพ์ Vault B เป็นของท่าน Sovereign Systems ไม่สามารถอ่านได้

8. ข้อจำกัดที่ทราบใน v1.0 — คำสั่งในรูปแบบข้อความธรรมดา

SOSA DevOps v1.0 ยังไม่รวม PII Scrubber ที่เชื่อมต่อครบสมบูรณ์สำหรับคำสั่ง AI ในเครื่อง ใน v1.0 คำสั่งของท่านจะถูกเขียนลง Vault B ตามที่ท่านพิมพ์ หากท่านวางรหัสผ่าน คีย์ API หรือข้อมูลรับรองที่ละเอียดอ่อนอื่นๆ ลงในแชท ข้อมูลนั้นจะอยู่ใน Vault B ในรูปแบบข้อความธรรมดา มาตรการลดความเสี่ยง: (1) อย่าวางข้อมูลลับลงในแชท (2) หากทำไปแล้ว ให้ลบเซสชันจากตัวดู Vault B (3) ใช้การเข้ารหัสดิสก์แบบเต็มรูปแบบบนเครื่องของท่าน PII Scrubber จะมีใน v1.1 ส่วนนี้จะได้รับการอัปเดตเมื่อนั้น

9. โมเดล AI ในเครื่อง

SOSA DevOps เชื่อมต่อกับ Ollama runtime ในเครื่องที่ท่านติดตั้งแยกต่างหาก โมเดลทำงานบนฮาร์ดแวร์ของท่าน คำสั่งของท่านถูกส่งไปยัง 127.0.0.1:11434 ซึ่งเป็นที่อยู่ loopback ที่ไม่ออกจากอุปกรณ์ของท่าน โมเดลไม่เรียนรู้จากท่าน Ollama ทำเพียงการอนุมานเท่านั้น น้ำหนักถูกตรึงแน่น Sovereign Systems ไม่เคยได้รับคำสั่งของท่าน

10. ผู้ให้บริการ API ภายนอก

SOSA DevOps v1.0 จัดส่งโดยไม่มีผู้ให้บริการ AI ภายนอกที่เชื่อมต่อ แท็บ External Providers แสดงผู้ให้บริการทั้งหมดเป็น Disabled ไม่มีคำสั่ง การตอบสนอง หรือเนื้อหาออกจากอุปกรณ์ของท่านผ่านแอปพลิเคชัน เมื่อผู้ให้บริการภายนอกเชื่อมต่อใน v1.1+ คำขอออกทุกรายการจะผ่าน Privacy Filter ก่อนออกจากอุปกรณ์ Vault A และ Vault B จะยังคงบันทึกการโต้ตอบทั้งหมด นโยบายนี้จะได้รับการอัปเดตเพื่อบันทึกผู้ให้บริการแต่ละราย ข้อมูลที่ส่ง และมาตรการป้องกันการถ่ายโอนที่บังคับใช้

11. ผู้ประมวลผลข้อมูล (เฉพาะเว็บไซต์)

ผู้ประมวลผลต่อไปนี้จัดการข้อมูลเว็บไซต์ในนามของเรา: Supabase (สหรัฐอเมริกา) — การยืนยันตัวตนและฐานข้อมูล ได้รับการรับรอง SOC 2 Type II Cloudflare (สหรัฐอเมริกา) — การโฮสต์เว็บไซต์ CDN และพื้นที่จัดเก็บ R2 ได้รับการรับรอง SOC 2 Type II และ ISO 27001 Cloudflare Web Analytics ไม่ใช้คุกกี้และไม่รวบรวมข้อมูลที่ระบุตัวตนได้ ผู้ประมวลผลทั้งหมดถูกผูกพันด้วยข้อตกลงการประมวลผลข้อมูล (DPA) ที่กำหนดให้ปฏิบัติตาม GDPR และ PDPA แอปพลิเคชันเดสก์ท็อปไม่มีผู้ประมวลผล ข้อมูลทั้งหมดอยู่ในเครื่อง

12. การถ่ายโอนข้อมูลข้ามพรมแดน

ขอบเขตเว็บไซต์: ข้อมูลส่วนบุคคลของท่านอาจได้รับการประมวลผลในสหรัฐอเมริกาโดย Supabase และ Cloudflare สำหรับการปฏิบัติตาม GDPR (บทที่ V) เราอาศัย Standard Contractual Clauses (SCCs) สำหรับการปฏิบัติตาม PDPA (มาตรา 28-29) เราอาศัยมาตรการป้องกันตามสัญญา เนื่องจาก PDPC ยังไม่ได้เผยแพร่รายชื่อความเพียงพอ ณ ปี 2569 ขอบเขตแอปพลิเคชันเดสก์ท็อป: ไม่มีการถ่ายโอนข้ามพรมแดนใน v1.0 ข้อมูลทั้งหมดอยู่ในเครื่องของท่าน

13. การเก็บรักษาข้อมูล

ข้อมูลบัญชีเว็บไซต์จะเก็บไว้ตราบเท่าที่บัญชีของท่านยังใช้งานอยู่ เมื่อลบบัญชี ข้อมูลส่วนบุคคลจะถูกลบภายใน 30 วัน การสำรองข้อมูลที่เข้ารหัสจะถูกล้างภายใน 90 วัน ข้อมูลแอปพลิเคชันเดสก์ท็อป: เก็บไว้ในอุปกรณ์ของท่านภายใต้การควบคุมของท่าน ลบเซสชันจากตัวดู Vault B หรือถอนการติดตั้งและลบไดเรกทอรีข้อมูลแอปพลิเคชันเพื่อการลบอย่างสมบูรณ์

14. คุกกี้

เฉพาะคุกกี้ที่จำเป็น: คุกกี้เซสชัน HTTP-only, Secure ที่กำหนดโดย Supabase เพื่อรักษาสถานะการเข้าสู่ระบบของท่าน และ ss_cookie_consent เพื่อบันทึกการรับทราบประกาศนี้ของท่าน เราไม่ใช้คุกกี้ติดตาม วิเคราะห์ โฆษณา หรือบุคคลที่สาม Cloudflare Web Analytics ไม่ใช้คุกกี้อย่างสมบูรณ์

15. สิทธิ์ของท่านภายใต้ GDPR

หากท่านอยู่ใน EEA: การเข้าถึง การแก้ไข การลบ การพกพาข้อมูล การคัดค้าน การจำกัด การถอนความยินยอม และสิทธิ์ในการยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแลของท่าน ติดต่อ [email protected] เราตอบสนองภายใน 30 วัน สำหรับข้อมูลแอปเดสก์ท็อป: สิทธิ์ของท่านใช้ได้โดยตรง ข้อมูลของท่านอยู่ในเครื่องของท่าน ดู (Tools → Open Interaction Log) ส่งออก (ต่อเซสชัน TXT/PDF/JSONL) ลบ (ต่อเซสชันหรือถอนการติดตั้งทั้งหมด)

16. สิทธิ์ของท่านภายใต้ PDPA (ไทย)

การเข้าถึง การแก้ไข การลบ การคัดค้าน การพกพาข้อมูล และการถอนความยินยอม การถอนต้องง่ายเท่ากับการให้ความยินยอม ยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่ pdpc.or.th ติดต่อ [email protected]

17. การแจ้งเตือนการละเมิดข้อมูล

การละเมิดข้อมูลแบบดั้งเดิม ซึ่งเป็นการเข้าถึงโดยไม่ได้รับอนุญาตต่อฐานข้อมูลเซิร์ฟเวอร์ ถูกจำกัดโดยโครงสร้างโดยสถาปัตยกรรมของ SOSA DevOps เราไม่ดำเนินการเซิร์ฟเวอร์ที่เก็บข้อมูลการโต้ตอบของท่าน หากเราพบเหตุการณ์ความปลอดภัยที่ส่งผลกระทบต่อข้อมูลที่เราเก็บไว้ (เช่น รายชื่อผู้ส่งจดหมายของเว็บไซต์หรือคีย์การลงนามแอปพลิเคชัน) เราจะแจ้ง PDPC และหน่วยงานกำกับดูแล EU ที่เกี่ยวข้องภายใน 72 ชั่วโมง และแจ้งบุคคลที่ได้รับผลกระทบโดยไม่ชักช้าหากมีความเสี่ยงสูงต่อสิทธิ์และเสรีภาพของพวกเขา

18. ความเป็นส่วนตัวของเด็ก

บริการของเราไม่ได้มุ่งเป้าไปที่เด็ก ภายใต้ GDPR เราไม่รวบรวมข้อมูลจากเด็กอายุต่ำกว่า 16 ปีโดยรู้เห็น ภายใต้ PDPA เด็กอายุต่ำกว่า 10 ปีต้องได้รับความยินยอมจากผู้ปกครอง ติดต่อ [email protected] หากท่านเชื่อว่าเด็กได้ให้ข้อมูลไปแล้ว

19. การเปลี่ยนแปลงนโยบายนี้

การเปลี่ยนแปลงที่มีนัยสำคัญ เช่น การเพิ่มการวัดผล การเชื่อมต่อผู้ให้บริการภายนอก หรือการเปลี่ยนแปลงเงื่อนไขในเครื่องเท่านั้น จะได้รับการประกาศล่วงหน้า 30 วันทางอีเมลและแบนเนอร์ในแอปพลิเคชัน การเปลี่ยนแปลงเล็กน้อย (การชี้แจง การแก้ไขข้อผิดพลาด) จะได้รับการบันทึกใน changelog ของโปรเจกต์

20. ติดต่อ

คำถามเกี่ยวกับความเป็นส่วนตัว: [email protected] คำถามเกี่ยวกับ AI: [email protected] การเปิดเผยด้านความปลอดภัย: [email protected] คำถามทางกฎหมาย: [email protected]
Privacy Policy | Sovereign Systems