1. เราเป็นใคร และนโยบายนี้ครอบคลุมอะไร
นโยบายนี้อธิบายว่า [นิติบุคคล — ยังไม่กำหนด]("Meridian", "เรา") เก็บข้อมูลส่วนบุคคลอะไรบ้างเมื่อคุณใช้เว็บไซต์ terminal และหน้า research ของ Meridian เก็บไปทำไม เก็บไว้นานเท่าใด และคุณมีสิทธิ์บังคับให้เราทำอะไรได้บ้าง
เราเป็นผู้ควบคุมข้อมูลส่วนบุคคล (data controller) ของข้อมูลดังกล่าว มาตรฐานพื้นฐานของเราคือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย หากคุณอยู่ในสหภาพยุโรปหรือสหราชอาณาจักร เราจะให้สิทธิ์และการคุ้มครองระดับเดียวกันกับคุณด้วย — แนวทางแบบ GDPR-lite — แม้ในกรณีที่เราไม่ได้ถูกบังคับตามกฎหมายก็ตาม
สรุปสั้น ๆ: เราเก็บข้อมูลน้อยที่สุดเท่าที่ทำได้, API key ของ exchange คือสิ่งที่อ่อนไหวที่สุดที่เราถือ และเราปฏิบัติกับมันแบบนั้นจริง ๆ, เราไม่ขายข้อมูลให้ใคร และคุณลบข้อมูลทั้งหมดได้
2. เราเก็บอะไรบ้าง
| ข้อมูล | เก็บไว้ทำไม |
|---|---|
| อีเมล (และโปรไฟล์พื้นฐานที่ผู้ให้บริการส่งกลับมา หากคุณล็อกอินผ่าน provider) | เพื่อสร้างและรักษาความปลอดภัยของบัญชี เพื่อให้คุณเข้าสู่ระบบได้ และเพื่อส่งข้อความเกี่ยวกับบริการที่คุณปฏิเสธไม่ได้ — เรื่องการเรียกเก็บเงิน ความปลอดภัย และการเปลี่ยนแปลงนโยบายในสาระสำคัญ |
| Layouts และการตั้งค่า — workspace, pane, การตั้งค่ากราฟ, watchlist, ธีม | เพื่อให้ terminal หน้าตาเหมือนเดิมเมื่อคุณกลับมา และซิงก์ข้ามอุปกรณ์ของคุณ |
| API key ของ exchange — เข้ารหัสไว้ | เพื่อให้ automation และฟีเจอร์ซิงก์บัญชีอ่านข้อมูลบัญชีของคุณได้ และส่งคำสั่งที่คุณตั้งค่าไว้ บนบัญชี exchange ของคุณเอง ดูข้อ 3 |
| ประวัติ backtest และ automation — กลยุทธ์ที่คุณสร้าง การรันที่คุณทำ ผลลัพธ์ และ log | เพื่อให้คุณย้อนกลับมาดูและเปรียบเทียบงานของตัวเองได้ และเพื่อให้เราแก้ปัญหาได้เมื่อ automation ทำงานผิดพลาด |
| สถานะสมาชิก | เพื่อให้รู้ว่าคุณอยู่แพ็กเกจไหน ข้อมูลบัตรและการเรียกเก็บเงิน ไปอยู่กับ merchant of record ไม่ได้อยู่กับเรา — ดูข้อ 5 |
| Log ทางเทคนิค — IP address, ชนิดเบราว์เซอร์/อุปกรณ์, เวลา, error trace | ความปลอดภัย การป้องกันการใช้งานโดยมิชอบ และการแก้บั๊ก เก็บไว้ไม่นานและไม่ได้ใช้สร้างโปรไฟล์ของคุณ |
เราไม่ขอและไม่ต้องการบัตรประชาชนของคุณ ข้อมูลบัญชีธนาคาร เลขบัตรเครดิต รหัสผ่าน exchange หรือข้อมูลอ่อนไหวเป็นพิเศษ (สุขภาพ ศาสนา ชีวมิติ ความคิดเห็นทางการเมือง) กรุณาอย่าส่งสิ่งเหล่านี้มาให้เรา
3. API key ของ exchange
นี่คือของมีค่าที่สุด จึงต้องมีหัวข้อของตัวเอง
- Key ถูกเข้ารหัสขณะจัดเก็บ และ ไม่เคยถูกเขียนลง log ในรูปข้อความธรรมดา ไม่ว่าใน error trace ใน analytics หรือใน ticket ของฝ่ายสนับสนุน
- Key จะถูกถอดรหัสในหน่วยความจำเท่านั้น และเฉพาะตอนที่การทำงานที่คุณสั่งต้องใช้จริง ๆ — การซิงก์ หรือการส่งคำสั่งจาก automation ที่คุณ deploy เอง
- สิทธิ์การเข้าถึงภายในถูกจำกัดให้แคบที่สุดเท่าที่ทำได้ เราไม่ได้เปิดอ่าน key ของคุณเพื่อไปส่องพอร์ตของคุณ
- คุณควรเชื่อมต่อ key แบบ trade-only ที่ ปิดสิทธิ์ถอนเงิน เราจะเตือนหากพบ key ที่ถอนเงินได้ Key ที่ขยับเงินไม่ได้ ก็ถูกใช้ขโมยเงินไม่ได้ แม้ในกรณีเลวร้ายที่สุด
- ลบ key ใน Meridian เมื่อใด เราลบสำเนาของเราเมื่อนั้น การลบบัญชีจะลบ key ทั้งหมด แต่เราเพิกถอน key ที่ฝั่ง exchange ให้ไม่ได้ — กรุณาไปเพิกถอนที่นั่นด้วย
เราไม่รับฝากทรัพย์สินของคุณ และเราไม่มีความสามารถจะโอนหรือถอนเงินของคุณ
4. ฐานทางกฎหมายที่ทำให้เราเก็บได้
- เพื่อปฏิบัติตามสัญญากับคุณ — บัญชี, layouts, key, automation, backtest, สถานะสมาชิก หากไม่มีข้อมูลเหล่านี้ ผลิตภัณฑ์ทำงานไม่ได้
- ความยินยอม — ให้ไว้ตอนสมัครสำหรับการประมวลผลที่ระบุใน นโยบายนี้ และแยกต่างหากสำหรับสิ่งที่เป็นทางเลือก เช่น อีเมลการตลาด คุณถอนความยินยอมส่วนที่เป็นทางเลือกได้ทุกเมื่อ
- ประโยชน์โดยชอบด้วยกฎหมาย — การรักษาความปลอดภัยของบริการ การป้องกันการใช้งานโดยมิชอบและการฉ้อโกง และการแก้บั๊ก
- หน้าที่ตามกฎหมาย — เมื่อกฎหมายหรือหน่วยงานที่มีอำนาจกำหนด (เช่น การเก็บเอกสารทางบัญชีและภาษี)
5. เราแบ่งปันข้อมูลกับใคร
เราไม่ขายข้อมูลส่วนบุคคลของคุณ เราไม่เอาไปเทรด และเราไม่แบ่งปันสถานะ การถือครอง กลยุทธ์ หรือพฤติกรรมการเทรดของคุณให้ใคร เราใช้ผู้ประมวลผลข้อมูล (processor) จำนวนไม่มาก และเฉพาะตามที่ระบุไว้เท่านั้น:
- Supabase — ฐานข้อมูล ระบบยืนยันตัวตน และพื้นที่จัดเก็บ เก็บข้อมูลบัญชี layouts key ที่เข้ารหัส และประวัติของคุณ
[merchant of record — Paddle หรือ Lemon Squeezy ยังไม่ตัดสินใจ]— ผู้ขายตามกฎหมายสำหรับแพ็กเกจแบบเสียเงิน เป็นผู้รับและเก็บข้อมูลการชำระเงินของคุณ ภายใต้นโยบายความเป็นส่วนตัวของตนเอง เราไม่เคยเห็นเลขบัตรของคุณ เขาบอกเราเพียงว่าคุณชำระเงินแล้วและอยู่แพ็กเกจใด- Exchange ที่คุณเชื่อมต่อ (เช่น Binance) — คำสั่งและ API call ของคุณถูกส่งไปที่นั่น ซึ่งเป็นจุดประสงค์ของการเชื่อมต่ออยู่แล้ว พวกเขาเป็นผู้ควบคุมข้อมูลอิสระ ภายใต้ข้อกำหนดของตนเอง
[ผู้ให้บริการ hosting / อีเมล / error-monitoring / analytics — ยังไม่กำหนด]— รายชื่อสุดท้ายจะระบุไว้ตรงนี้ก่อนเปิดขายจริง
เราจะเปิดเผยข้อมูลในกรณีที่กฎหมายกำหนดจริง ๆ ด้วย และจะแจ้งให้คุณทราบหากเราได้รับอนุญาตให้แจ้ง
6. ข้อมูลของคุณถูกเก็บที่ไหน (การโอนข้อมูลข้ามพรมแดน)
Supabase และผู้ประมวลผลรายอื่นของเราเก็บข้อมูลบนเซิร์ฟเวอร์นอกประเทศไทย การใช้ Meridian จึงมีการโอนข้อมูลส่วนบุคคลของคุณข้ามพรมแดน เราบอกเรื่องนี้ตรง ๆ เพราะ PDPA กำหนดให้ต้องแจ้ง
เราใช้เฉพาะผู้ประมวลผลที่มีมาตรฐานการคุ้มครองที่เพียงพอ และมีข้อสัญญาคุ้มครองข้อมูลที่ตนถือครอง ภูมิภาคที่จัดเก็บหลัก: [hosting region — ยังไม่กำหนด]
7. เราเก็บข้อมูลไว้นานแค่ไหน
- ข้อมูลบัญชี layouts key และประวัติ — ตราบเท่าที่บัญชีของคุณยังอยู่
- หลังจากคุณลบบัญชี — ถูกลบจริง API key ที่เข้ารหัสไว้ จะถูกทำลายทันที ส่วนที่เหลือจะถูกลบออกจากระบบที่ใช้งานจริง และจะหายจาก backup เมื่อ backup หมุนรอบภายใน
[ระยะเวลาเก็บ backup — ยังไม่กำหนด] - Log ทางเทคนิค —
[ระยะเวลาเก็บ log — ยังไม่กำหนด]จากนั้นลบทิ้ง - เอกสารการเรียกเก็บเงิน — เก็บตามที่กฎหมายภาษีและบัญชีกำหนด ทั้งโดยเราและโดย merchant of record
8. สิทธิ์ของคุณ
ภายใต้ PDPA — และเราให้สิทธิ์เดียวกันนี้กับทุกคน — คุณมีสิทธิ์:
- เข้าถึง ข้อมูลส่วนบุคคลที่เราถือเกี่ยวกับคุณ และขอสำเนาได้
- แก้ไข ข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
- ลบ ข้อมูล การลบบัญชีคือการลบจริง — key และข้อมูลของคุณถูกลบออกจริง ไม่ใช่แค่ทำเครื่องหมายว่าซ่อนไว้
- ขอให้โอนย้าย ข้อมูล — รับข้อมูลในรูปแบบที่เครื่องอ่านได้
- คัดค้านหรือขอให้ระงับ การประมวลผล และ ถอนความยินยอม ในสิ่งที่คุณเคยให้ความยินยอมไว้
- ร้องเรียน — กับเราก่อน (กรุณา) และกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หากเราไม่แก้ไขให้
สิทธิ์เหล่านี้ส่วนใหญ่คุณทำเองได้จากหน้าตั้งค่า นอกนั้นเขียนมาที่ [อีเมลติดต่อเรื่องความเป็นส่วนตัว — ยังไม่กำหนด] เราจะตอบภายใน 30 วัน
9. ความปลอดภัย และสิ่งที่จะเกิดขึ้นหากข้อมูลรั่วไหล
ข้อมูลถูกเข้ารหัสทั้งระหว่างส่งและขณะจัดเก็บ API key มีมาตรการเพิ่มเติมตามข้อ 3 สิทธิ์การเข้าถึงภายในจำกัดเท่าที่งานต้องใช้ และเราอัปเดตแพตช์ระบบที่เรารันอยู่ ไม่มีระบบใดปลอดภัยสมบูรณ์แบบ และเราจะไม่อ้างว่าระบบของเราเป็นเช่นนั้น
หากเกิดเหตุข้อมูลรั่วไหลที่ทำให้ข้อมูลส่วนบุคคลของคุณเสี่ยง เราจะ แจ้ง PDPC ของไทยภายใน 72 ชั่วโมงนับแต่ทราบเหตุ และแจ้งผู้ใช้ที่ได้รับผลกระทบโดยไม่ชักช้า พร้อมอธิบายว่าเกิดอะไรขึ้น ข้อมูลใดเกี่ยวข้อง และต้องทำอะไรต่อ หากมี exchange key เข้ามาเกี่ยวข้องไม่ว่าทางใด ข้อความแรกที่เราจะส่งถึงคุณคือ: ไปเพิกถอน key ที่ exchange เดี๋ยวนี้
10. Cookie และ analytics
เราใช้ cookie เท่าที่จำเป็นเพื่อให้คุณอยู่ในระบบและเพื่อความปลอดภัย ของบริการ cookie เหล่านี้จำเป็นอย่างยิ่ง และปิดไม่ได้โดยไม่ทำให้การเข้าสู่ระบบพัง
Analytics ของผลิตภัณฑ์ที่เราใช้เป็นแบบภาพรวมและเคารพความเป็นส่วนตัว — เราอยากรู้ว่าฟีเจอร์ถูกใช้หรือไม่ ไม่ได้อยากตามคุณไปทั่วอินเทอร์เน็ต เราไม่ใช้ตัวติดตามเพื่อการโฆษณา และไม่ขายข้อมูลให้เครือข่ายโฆษณา รายชื่อผู้ให้บริการและ cookie ทั้งหมด: [analytics provider และรายการ cookie — ยังไม่กำหนด]
11. ผู้เยาว์
Meridian ไม่ได้มีไว้สำหรับผู้ที่อายุต่ำกว่า 18 ปี เราไม่เก็บข้อมูลจากเด็กโดยเจตนา และหากทราบว่าเก็บไปแล้ว เราจะลบทิ้ง
12. การเปลี่ยนแปลงนโยบายนี้
หากเราเปลี่ยนแปลงนโยบายนี้ในสาระสำคัญ เราจะแจ้งทางอีเมลหรือในผลิตภัณฑ์ก่อนการเปลี่ยนแปลงมีผล วันที่ด้านบนคือวันที่ของฉบับปัจจุบันเสมอ
13. ติดต่อเรา
คำถามเรื่องความเป็นส่วนตัว การใช้สิทธิ์ หรืออะไรก็ตามที่ดูเหมือนปัญหาด้านความปลอดภัย: [อีเมลติดต่อเรื่องความเป็นส่วนตัว — ยังไม่กำหนด] ข้อมูลผู้ควบคุมข้อมูลและที่อยู่จดทะเบียน: [นิติบุคคลและที่อยู่ — ยังไม่กำหนด] เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากกฎหมายกำหนดให้เราต้องมี: [DPO — ยังไม่กำหนด รอทนายรีวิว]
ฉบับภาษาอังกฤษของนโยบายนี้เป็นฉบับที่มีผลบังคับ คำแปลใด ๆ จัดทำขึ้นเพื่อความสะดวกเท่านั้น