私隱條例（私隱政策）

本網站由主辦／營運單位（包括 D Festival 青年鋼琴家藝術節、幻樂空間 Fantasia Music Space 及其指定技術、行政與客戶服務團隊）為活動登記、帳戶管理、預約流程及相關行政而營運。就香港《個人資料（私隱）條例》（香港法例第 486 章）（「PDPO」）而言，負責決定如何處理你個人資料的資料控制者，以主辦方最新公布之名稱、地址及聯絡方式為準；本政策亦會隨之更新。

本政策適用於你透過本網站及與本網站連結的帳戶功能（例如登入後之預約、帳戶設定、密碼重設、通行密鑰綁定等）所提供或產生的個人資料。若你透過第三方平台（例如社交媒體）與主辦方互動，該平台的私隱政策亦可能適用；本政策僅涵蓋我們透過本服務所處理的資料。

為了讓你了解我們實際處理的資料類別，以下按「你在做甚麼」分組說明。並非下列每一項都適用於每位使用者；實際收集範圍視乎你是否完成登記、是否使用預約、是否使用可選功能等而定。

當你建立帳戶或完成活動登記時，我們可能收集及儲存：中文姓名、英文姓名（如填寫）、電郵地址（通常作為登入帳號）、聯絡電話號碼、年齡、是否由老師推薦及相關老師姓名／聯絡方式（如你選擇填寫）、使用者類別（例如個人或教學用途）、樂器／音樂領域、身份類型（可多選，以及「其他」身份之文字說明）、擬使用琴室的用途（可多選及補充說明）、初步預約意向（例如希望日期、希望時段、自由填寫之補充備註）。

我們亦可能記錄你在登記表上對活動資訊的興趣選項（例如是否希望了解 D Festival 或 D Masters 相關資訊）、是否願意接收推廣或活動通訊、是否願意參與大使／分享計劃等可選項目，以及你對「追蹤官方社交帳戶」「轉發指定帖文」等承諾之勾選紀錄。上述資料用於了解參加者背景、安排活動與預約、核實是否符合主辦方政策，以及在你同意的範圍內作聯絡與推廣。

系統可能保留登記過程中的遞交紀錄（例如遞交當刻的資料快照、技術上用以防止重複遞交的識別資訊），以便審計、糾紛處理及改善系統。

為核實聯絡電話真偽、減少重複註冊及加強帳戶安全，我們會向你提供的號碼發送一次性驗證碼。相關處理包括：以雜湊或其他單向方式儲存驗證碼（而非以明文長期保存完整驗證碼）、記錄驗證嘗試次數、驗證成功或失敗的時間、挑戰（challenge）的到期時間等。

短訊實際由電訊／雲端通訊服務供應商（例如 Twilio 或同類服務）代為發送；該供應商在傳送過程中會處理你的電話號碼及訊息內容所載的資料。我們會透過合約或同等安排，要求供應商僅在提供服務所需範圍內處理資料並遵守保密與保安義務。

若你設定密碼，我們會儲存經單向雜湊處理後的密碼摘要，而不會儲存可還原的明文密碼。若你選用通行密鑰（例如 Face ID、Touch ID、Windows Hello 或實體安全金鑰），我們會儲存與該通行密鑰相關的技術資料，包括但不限於：憑證識別碼、公開金鑰、簽署計數器（counter）、部分傳輸方式（transports）等 WebAuthn 規格所要求的欄位。

重要說明：你的容貌、指紋圖像或其他生物辨識「範本」主要保留於你的裝置或由作業系統管理；我們的伺服器一般無法還原你的容貌或指紋圖像。我們所儲存的是用作日後驗證「同一裝置／同一憑證」的密碼學資料。在登記完成前，系統亦可能暫存與「預綁定通行密鑰」相關的挑戰及憑證資料，並設有到期時間。

當你使用預約功能時，我們會處理與預約申請有關的資料，例如：申請時間、所選或所請求的時段、預約狀態（待審批、已批准、後備、已取消、缺席、已完成等）、主辦方或系統記載的行政備註（如有）、是否涉及額外／獎勵名額（例如與社群參與相關的獎勵時段）、狀態變更的日誌（例如由誰或何種角色觸發變更）。該等資料用於執行預約服務、公平分配資源、處理缺席及暫停政策，以及內部審計。

若活動要求你追蹤官方社交帳戶或轉發指定內容，我們可能記錄你在本網站內的操作（例如曾否透過本網站提供的連結開啟官方檔案），以及你是否曾提交「已完成」相關步驟的聲明。若主辦方容許或要求你上載截圖、連結或其他證明，該等內容及其網址或檔案可能會儲存於系統內，供主辦方審核是否符合活動條件。請勿在證明內容中提供與核實無關的敏感個人資料。

若你使用帳戶內與頭像相關的功能（例如選擇偏好圖示、產生頭像），我們可能儲存你的選項及產生結果（當中可能包括影像資料或連結）。若功能透過第三方生成式人工智能服務（例如 Google 的 Gemini 相關 API）產生圖像，則你輸入的提示內容或相關參數可能會傳送至該第三方作處理；該第三方受其自身的服務條款及私隱政策約束。你可選擇不使用該可選功能，以避免相關傳輸。

當我們向你發送系統電郵（例如帳戶相關通知），我們會處理你的電郵地址及與發送相關的紀錄（例如發送狀態、範本類型、供應商回傳的訊息識別碼等）。電郵實際可能由雲端電郵供應商（例如 Resend 或同類服務）代為發送。

當你瀏覽或使用本網站時，伺服器或應用程式可能自動收集或產生技術資料，例如：IP 位址、瀏覽器類型及版本、裝置類型、作業系統、到訪時間、請求的頁面或 API 路徑、錯誤日誌、來源網址（referrer）等。我們亦可能使用 Cookie、本地儲存（local storage）或類似技術，以維持登入狀態、語言或介面偏好（例如深色模式）、防濫用及流量分析。

在登記遞交時，系統可能記錄遞交來源的 IP 位址等資料，以助防止濫用、欺詐或自動化攻擊。你若在瀏覽器停用 Cookie，部分功能（例如保持登入）可能無法正常運作。

我們只會在合法、公平及與目的相称的情況下使用個人資料。概括而言，用途包括：

（a）履行我們與你之間的服務關係：建立及管理帳戶、處理登記、提供預約及相關通知、執行活動規則；

（b）身份驗證及保安：電話驗證、密碼與通行密鑰、偵測及防範未經授權登入、重複註冊、自動化濫用或攻擊；

（c）溝通：發送與帳戶、預約或活動相關的重要訊息；在你同意及法律允許下，發送推廣或活動資訊；

（d）活動及場地管理：名額與時段安排、現場或行政上的協調、處理缺席、暫停使用或終止服務；

（e）核實是否符合社群參與或獎勵條件（如適用）；

（f）遵守法律、規管、稅務或執法機關的合法要求，或行使法律權利及抗辯；

（g）內部審計、數據分析、服務改善及資訊保安監控（在合理範圍內並可採用匯總或去識別化方式者，會優先為之）；

（h）在你另行同意的其他目的（例如可選問卷或新功能試用）。

在香港 PDPO 的框架下，我們會按具體情況依賴：你的同意（例如接收推廣通訊、非必要的 Cookie 或分析工具、可選 AI 功能等）；履行與你的服務關係所必須的處理；合法權益（例如維持系統安全、防止欺詐、改善服務），並在該等權益與你的權利自由平衡後認為屬合理；以及法律義務。

當某項處理依賴你的同意，你有權撤回同意；撤回後我們可能無法繼續提供依賴該同意的功能，但不影響撤回前已進行的處理之合法性（在適用法律允許範圍內）。若某項處理屬提供核心服務所必須（例如帳戶登記所須的聯絡方式），則你可能無法在不提供資料的情況下使用該功能。

我們不會將你的個人資料出售予第三方。我們只會在以下情況向他人提供或容許查閱你的個人資料：

（a）受託處理者／服務供應商：例如雲端託管、資料庫託管、電郵及短訊發送、資訊保安監控、客戶支援工具、錯誤追蹤、備份、以及可選功能所涉的 AI 供應商。該等機構僅可在協議所定及履行職務所需範圍內處理資料，並須遵守保密與保安條款。

（b）主辦方關聯實體或合作單位：在必要時為籌辦活動、場地安排或聯合推廣而分享（例如與 D Festival 或幻樂空間相關的指定團隊），並受內部資料處理規則約束。

（c）法律及規管：在法律要求、法院命令、或為確立、行使或抗辯法律權利而認為有必要時，向執法或監管機關披露。

（d）業務轉移：若出現合併、收購或資產出售，個人資料可能作為業務資產一部份轉移；我們會要求承讓方繼續受本政策約束或向你作出合理通知。

若個人資料被轉移至香港境外（例如使用設於其他司法管轄區的雲端伺服器），我們會在適用法律要求下採取合理措施，包括合約條款或其他保障機制，以確保資料獲得可接受的保護水平。

我們保留個人資料的期間，以達致收集目的所需為限，並可能因以下原因延長：法律或會計規定的保存責任、進行中的爭議或投訴、偵測及防止欺詐或濫用。一般而言：帳戶及檔案資料會於帳戶存續期間保留；與預約及活動相關的紀錄會於活動完結後的一段合理期間內保留，以處理跟進、審計或爭議；短訊驗證及通行密鑰挑戰類資料會設較短的有效期並定期清理；系統日誌的保存期視乎保安及營運需要而定。

當資料不再需要時，我們會刪除、銷毀或在不可行時予以匿名化或匯總，使其不再能識別個別人士。

我們採取合理及適當的技術與組織措施，以降低未經授權或意外的查閱、遺失、篡改或毀壞風險。措施可包括（視乎實施情況）：傳輸層加密（HTTPS）、存取權限分級、密碼雜湊、對管理後台及敏感操作的審計、對供應商的安全評估、人員培訓等。

儘管如此，透過互聯網傳輸或電子儲存並非絕對安全。你亦有責任保管登入憑證、盡快更改臨時密碼、不在公共裝置上保持登入，並於發現帳戶異常時立即通知主辦方。

在 PDPO 適用範圍內，你有權查閱我們是否持有你的個人資料及該等資料的內容，並有權要求改正不準確的資料。你亦可就我們的資料處理做法提出疑問或投訴。請透過本網站「聯絡」頁面公布的途徑提出；我們或需先核實你的身份，以防他人冒認。

若你認為我們的處理方式違反 PDPO，你有權向香港個人資料私隱專員公署（PCPD）投訴（聯絡方式以該機關最新公布為準）。

本服務並非以未滿 13 歲的兒童為對象，我們不會故意向該年齡群組收集個人資料。若你為家長或監護人並認為我們在不知情下收集了兒童的資料，請盡快聯絡我們以便刪除（在法律允許範圍內）。若活動允許青少年參加，建議由家長或監護人陪同閱讀本政策並協助理解。

本網站可能載有指向第三方網站（包括社交媒體平台）的連結。該等網站由獨立營運商營運，其私隱政策可能與本政策不同。你在該等平台上的活動（例如公開帖文、帳戶名稱）可能受該平台規則約束，並不在本政策涵蓋範圍內。

我們可不時修訂本政策，以反映法律、技術或業務的變化。更新後的版本將刊登於本頁；如屬重大變更，我們將在合理情況下透過本網站顯眼位置、電郵或其他適當方式通知你。若你於變更後繼續使用本服務，即可能構成對更新後政策的接受（在法律允許範圍內）。

如對本私隱政策、你的個人資料查閱／改正要求、或我們的處理手法有任何疑問，請透過「聯絡」頁面與主辦方聯絡；請以主辦方最新公布的聯絡方式為準。