የዝውውር ተፅዕኖ ግምገማ
መጨረሻ ጊዜ የተሻሻለ፡ መጋቢት 10 ቀን 2018 ዓ.ም.
ይህ የዝውውር ተፅዕኖ ግምገማ ("TIA") በ Acira AI LLC ("Acira AI," "እኛ," "እኛን") የተዘጋጀ ሲሆን፣ በአውሮፓ ህብረት ፍርድ ቤት የተሰጠው Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (Case C-311/18, "Schrems II") ውሳኔ እና የአውሮፓ ዳታ ጥበቃ ቦርድ (EDPB Recommendations 01/2020 on supplementary measures) ምክሮች መሠረት ተዘጋጅቷል።
ይህ TIA ከአውሮፓ ኢኮኖሚያዊ ክልል ("EEA")፣ ከዩናይትድ ኪንግደም ("UK")፣ ከስዊዘርላንድ እና ከካናዳ ወደ አሜሪካ እና አገልግሎቶቻችንን ለማቅረብ በሚጠቀሙ ሌሎች ሦስተኛ ሀገሮች የሚተላለፉ የግል መረጃዎች የሚያገኙትን ጥበቃ ብቃት ይገመግማል።
ይህ TIA ለእርስዎ ምቾት ወደ ሌሎች ቋንቋዎች ሊተረጎም ይችላል። በእንግሊዝኛው ስሪት እና በማንኛውም የተተረጎመ ስሪት መካከል ግጭት ወይም አለመጣጣም ካለ፣ የእንግሊዝኛው ስሪት ይበልጣል።
የይዘት ሰንጠረዥ
- የዝውውሮች አጠቃላይ እይታ
- የተላለፉ ዳታዎች ባህሪ
- የዝውውር ዘዴዎች
- የመድረሻ ሀገሮች ህጎች ግምገማ
- በአገልግሎት ሰጪ መሠረት የዳታ ፍሰቶች ግምገማ
- ተጨማሪ ጥበቃ እርምጃዎች
- የአደጋ ግምገማ
- መደረሻ
- የክለሳ መርሃ ግብር
- ያግኙን
1. የዝውውሮች አጠቃላይ እይታ
1.1 አውድ
Acira AI ለድርጅቶች እና ለግለሰቦች በ AI የተደገፉ ድረ-ገጾችን ለመፍጠር፣ ለማስተዳደር እና ለማስተናገድ የሚያስችል software-as-a-service መድረክ ነው። ተጠቃሚዎች በ EEA፣ UK፣ ስዊዘርላንድ ወይም ካናዳ የሚገኙ ጎብኚዎች የሚጎበኙባቸውን ድረ-ገጾች ሲፈጥሩ፣ የእነዚያ ጎብኚዎች የግል መረጃ ወደ አሜሪካ እና የመሠረተ ልማት አቅራቢዎቻችን ወደሚሰሩባቸው ሌሎች ቦታዎች ሊተላለፍ እና ሊታካም ይችላል።
1.2 ተሳታፊ ወገኖች
- ዳታ ላኪ: የድረ-ገጹ ኦፕሬተር (ደንበኛችን፣ Controller ሆኖ የሚሰራ) እና ለአናሊቲክስ ዳታ Acira AI እንደ Joint Controller።
- ዳታ ተቀባይ: Acira AI LLC፣ በኔቫዳ ግዛት፣ አሜሪካ ውስጥ የተመዘገበ፣ እንደ Processor የሚሰራ (እና ለአናሊቲክስ እንደ Joint Controller)።
- ንዑስ ፕሮሰሰሮች: Acira AI የቀጠራቸው የሶስተኛ ወገን አገልግሎት ሰጪዎች (በክፍል 5 የተዘረዘሩ)።
1.3 የዝውውር መድረሻዎች
| መድረሻ | አቅራቢዎች | መሠረት |
|---|---|---|
| ዩናይትድ ስቴትስ እና አውሮፓ ህብረት (ስቶክሆልም) | AWS | SCCs + ተጨማሪ እርምጃዎች (ዩኤስ)፤ የአውሮፓ ህብረት ነዋሪ ለሆኑ አውቶማቲክ ጎብኚ-ተኮር ስራዎች ውስጠ-EEA |
| ዩናይትድ ስቴትስ | Stripe, Fireworks AI, xAI | SCCs + ተጨማሪ እርምጃዎች |
| ዓለም አቀፍ (edge locations) | Cloudflare | SCCs + ተጨማሪ ጥበቃ እርምጃዎች |
| እስራኤል | BrightData (በተጠቃሚ መመሪያ ብቻ) | SCCs + ተጨማሪ ጥበቃ እርምጃዎች |
| የአውሮፓ ህብረት | Black Forest Labs, ScreenshotOne, CloudConvert | በ EEA ውስጥ (የዝውውር ዘዴ አያስፈልግም) |
2. የተላለፉ ዳታዎች ባህሪ
2.1 የግል መረጃ ምድቦች
የሚተላለፈው የግል መረጃ በድረ-ገጹ ኦፕሬተር የነቃቁ ባህሪያትና በድረ-ገጽ ጎብኚዎች መስተጋብር ላይ ይመሠረታል። የሚከተሉት ምድቦች ሊተላለፉ ይችላሉ፦
| የዳታ ምድብ | መግለጫ | የስሜታዊነት ደረጃ | መጠን |
|---|---|---|---|
| የአናሊቲክስ መለያዎች | በየቀኑ የሚለዋወጥ የ IP + User-Agent + ቀን ክሪፕቶግራፊክ ሃሽ (pseudonymized) | ዝቅተኛ | ከፍተኛ (በእያንዳንዱ ገጽ እይታ) |
| የጎብኚ ሜታዳታ | ሀገር፣ ክልል፣ ቋንቋ፣ የመሣሪያ አይነት፣ ብራውዘር፣ OS፣ referrer domain፣ UTM መለኪያዎች | ዝቅተኛ | ከፍተኛ (በእያንዳንዱ ገጽ እይታ) |
| IP አድራሻዎች | ከቅጽ ማቅረቢያዎችና ከቻትቦት ውይይቶች ጋር እንደ ሜታዳታ ይቀመጣሉ፤ ለአናሊቲክስ ሃሽ ይደረጋሉ፤ ለ bot challenge ማረጋገጫ ለጊዜው ይጠቀማሉ፤ ለ rate limiting እስከ 7 ቀን ድረስ ለጊዜው ይቀመጣሉ | መካከለኛ | መካከለኛ |
| የቅጽ ማቅረቢያ ይዘት | በጎብኚዎች የሚላኩ ነፃ-ጽሑፍ መስኮች (ስሞች፣ ኢሜይሎች፣ መልዕክቶች ወዘተ) | ተለዋዋጭ (በቅጹ ላይ የሚመሠረት) | ዝቅተኛ እስከ መካከለኛ |
| የቻትቦት መልዕክቶች | የጎብኚ መልዕክቶች እና በ AI የተፈጠሩ ምላሾች (በአንድ መልዕክት ከፍተኛው 2,000 ቁምፊዎች) | ዝቅተኛ እስከ መካከለኛ | ዝቅተኛ |
| ፋይል ሰቀላዎች | በድረ-ገጽ ቅጾች በኩል በጎብኚዎች የሚሰቀሉ ፋይሎች (ምስሎች፣ ሰነዶች) | ተለዋዋጭ | ዝቅተኛ |
| የክፍለ-ጊዜ መለያዎች | በአገልጋይ በኩል የሚቀመጡ session IDs እና በደንበኛ በኩል የሚቀመጡ session cookies | ዝቅተኛ | ከፍተኛ |
| የማረጋገጫ ምስክር መረጃ | ለድረ-ገጽ የተጠበቁ ክፍሎች የይለፍ ቃሎች (በሃሽ መልክ ብቻ የሚቀመጡ) | ከፍተኛ (ነገር ግን ሃሽ የተደረጉ) | ዝቅተኛ |
2.2 የዳታ ባለቤቶች ምድቦች
- በ Acira AI መድረክ ላይ የሚስተናገዱ ድረ-ገጾችን የሚጎበኙ ጎብኚዎች
- በመድረኩ ላይ በሚስተናገዱ ድረ-ገጾች ላይ መለያ የሚፈጥሩ ተጠቃሚዎች
- በሚስተናገዱ ድረ-ገጾች ላይ ቅጾችን የሚላኩ፣ ከቻትቦቶች ጋር የሚግባቡ ወይም ፋይሎችን የሚሰቀሉ ተጠቃሚዎች
2.3 የማይተላለፉ ዳታዎች
- የጂኦሎኬሽን ዳታ: የ IP-ወደ-አካባቢ ፍለጋዎች በኔትወርክ edge ላይ በመሠረተ ልማት አቅራቢያችን ይከናወናሉ። የጎብኚ IP አድራሻዎች ወደ ውጫዊ የጂኦሎኬሽን አገልግሎት አይላኩም።
- ጥሬ የአናሊቲክስ IP አድራሻዎች: በየቀኑ የሚለዋወጥ ክሪፕቶግራፊክ ሃሽ ብቻ ይቀመጣል፤ ጥሬ IP አድራሻዎች በአናሊቲክስ ስርዓቶች ውስጥ አይጠበቁም።
- በግልጽ የተቀመጡ የይለፍ ቃሎች: ክሪፕቶግራፊክ ሃሾች ብቻ ይቀመጣሉ እና ይተላለፋሉ።
3. የዝውውር ዘዴዎች
3.1 ዋና ዘዴ: መደበኛ የውል አንቀጾች
እኛ በአውሮፓ ኮሚሽን በ Commission Implementing Decision (EU) 2021/914 የጸደቁትን Standard Contractual Clauses (SCCs) እንመርኮዛለን፣ በተለይም፦
- Module One (Controller to Controller): Acira AI ከድረ-ገጹ ኦፕሬተር ጋር በጋራ ተቆጣጣሪ ሆኖ ለሚሰራበት የአናሊቲክስ ዳታ ዝውውር (DPA ክፍል 2.3 ይመልከቱ)።
- Module Two (Controller to Processor): ከድረ-ገጹ ኦፕሬተር (Controller) ወደ Acira AI (Processor) የሚተላለፍ የጎብኚ የግል መረጃ።
- Module Three (Processor to Sub-processor): ከ Acira AI ወደ ንዑስ ፕሮሰሰሮቻችን የሚደረጉ ተከታታይ ዝውውሮች።
3.2 የ UK፣ የስዊዘርላንድ እና የካናዳ ዝውውሮች
- UK: ለ EU SCCs የ UK International Data Transfer Addendum ይተገበራል።
- ስዊዘርላንድ: በ Swiss Federal Act on Data Protection (FADP) የሚፈለጉ ማሻሻያዎች ጋር SCCs ይተገበራሉ።
- ካናዳ: ዝውውሮች በእያንዳንዱ ንዑስ ፕሮሰሰር ላይ ከ Personal Information Protection and Electronic Documents Act (PIPEDA) እና ተፈጻሚ ከሆኑ የክልል የግላዊነት ህጎች ጋር የሚጣጣሙ ግዴታዎችን በሚጫኑ የውል ጥበቃዎች ላይ ይመሠረታሉ፣ ከክፍል 6 የተገለጹ ተጨማሪ ቴክኒካዊ እና ድርጅታዊ እርምጃዎች ጋር ተያይዘው። ዝርዝሩን ለማየት DPA ክፍል 7.4 ይመልከቱ።
3.3 የንዑስ ፕሮሰሰር ዝውውር ዘዴዎች
| ንዑስ ፕሮሰሰር | የዝውውር ዘዴ |
|---|---|
| Amazon Web Services | SCCs (AWS DPA)፣ ISO 27001/27017/27018 የተረጋገጠ |
| Cloudflare | SCCs (Cloudflare DPA)፣ ISO 27001 የተረጋገጠ |
| Stripe | SCCs (Stripe DPA)፣ PCI DSS Level 1 የተረጋገጠ |
| Fireworks AI | SCCs (Fireworks AI DPA)፣ SOC 2 Type II፣ ISO 27001/27701/42001 የተረጋገጠ |
| xAI | SCCs (xAI DPA with EU SCCs) |
| BrightData | SCCs (BrightData DPA) |
4. የመድረሻ ሀገሮች ህጎች ግምገማ
4.1 አሜሪካ
አሜሪካ ለሚተላለፈው ዳታ ዋና መድረሻ ነው። ለዚህ ግምገማ የሚመለከቱት የአሜሪካ ህጎች የሚከተሉት ናቸው፦
4.1.1 Foreign Intelligence Surveillance Act (FISA), Section 702
FISA Section 702 የውጭ መረጃ ስለማሰባሰብ ዓላማ በአሜሪካ ውጭ የሚገኙ አሜሪካዊ ያልሆኑ ግለሰቦች ግንኙነቶች ላይ መዳረሻ እንዲሰጡ ኤሌክትሮኒክ የግንኙነት አገልግሎት ሰጪዎችን መግዛት ይፈቅዳል።
የአደጋ ግምገማ:
- ተፈጻሚነት: FISA Section 702 በ 50 U.S.C. § 1881(b)(4) የተገለጹ "electronic communication service providers" ላይ ይተገበራል። Acira AI የ SaaS ድረ-ገጽ ማስተናገጃ መድረክ እንጂ ባህላዊ የቴሌኮሙኒኬሽን አቅራቢ አይደለም። ንዑስ ፕሮሰሰሮቻችን (AWS፣ Cloudflare) ለ Section 702 መመሪያዎች ይበልጥ ተጋላጭ ሊሆኑ ይችላሉ።
- ለአደጋ የተጋለጠው ዳታ ስፋት: የምናካሂደው የግል መረጃ በዋናነት በከፊል የማይገለጽ የድረ-ገጽ ጎብኚ አናሊቲክስ፣ የቅጽ ማቅረቢያዎች እና የቻትቦት መልዕክቶች ናቸው። ይህ ዳታ ለውጭ መረጃ ፍላጎት የሚገባ እድል ዝቅተኛ ነው።
- ተግባራዊ እድል: FISA Section 702 መመሪያ ከዚህ በፊት አልተቀበልንም፣ እናም ከአገልግሎቶቻችን ባህሪ እና ከምናካሂደው ዳታ አይነት የተነሳ እንዲህ ዓይነት ጥያቄ የሚደርስብን ተግባራዊ እድል እጅግ ዝቅተኛ ነው ብለን እንገምግማለን።
4.1.2 Executive Order 12333
EO 12333 የአሜሪካ የመረጃ ኤጀንሲዎች የሰፊ የsignals intelligence ስብስብ ጨምሮ የክትትል እንቅስቃሴዎችን እንዲያካሂዱ ይፈቅዳል። ይህ በመንገድ ላይ ባለ ዳታ ላይ ይተገበራል እና የግል ኩባንያዎችን መተባበር አያስገድድም።
የአደጋ ግምገማ:
- መከላከያ: በመንገድ ላይ ያለው ሁሉም ዳታ በ TLS ይመስጠራል። በመንገድ ላይ ያለ የተመስጠረ ዳታ በጅምላ ማግኘት ግልጽ የግል መረጃ አያስገኝም።
- ተግባራዊ እድል: ዝቅተኛ። በአገልግሎቶቻችን የሚታካም ዳታ በተለምዶ በsignals intelligence የሚያነጣጥሩት ዓይነት አይደለም።
4.1.3 Executive Order 14086 እና EU-US Data Privacy Framework
Executive Order 14086 (October 2022) ለ signals intelligence እንቅስቃሴዎች ተጨማሪ መጠበቂያዎችን አስገብቷል፣ ከእነዚህም መካከል፦
- ለመረጃ ስብስብ አስፈላጊነትና ተመጣጣኝነት መስፈርቶች
- ለ EU/UK/Swiss ግለሰቦች የሚገኝ ሁለት-ደረጃ የፍትህ መፍትሄ ሂደት (Civil Liberties Protection Officer + Data Protection Review Court)
- በጅምላ ስብስብ ላይ ገደቦች
አውሮፓ ኮሚሽን በ July 10, 2023 ለ EU-US Data Privacy Framework (DPF) የብቃት ውሳኔ አፀደቀ። እስካሁን Acira AI በ DPF ስር ራሱን ማረጋገጥ ባያደርግም፣ በ EO 14086 ስር ያሉት ጥበቃዎች ወደ አሜሪካ ለሚደረጉ ሁሉም የዳታ ዝውውሮች በሰፊው ይተገበራሉ እና የተጠቀሰው የዝውውር ዘዴ ምንም ይሁን ሁሉንም የዳታ ባለቤቶች ይጠቅማሉ።
4.1.4 CLOUD Act
The Clarifying Lawful Overseas Use of Data (CLOUD) Act በአሜሪካ የተመሠረቱ አቅራቢዎችን ዳታው የትም ቢቀመጥ በትክክለኛ የፍርድ ቤት ትዕዛዝ ወይም ማዘዣ መሠረት እንዲያቀርቡ ለማስገደድ ለህግ አስፈጻሚዎች ፈቃድ ይሰጣል።
የአደጋ ግምገማ:
- መጠበቂያዎች: CLOUD Act ትክክለኛ የህግ ሂደት (warrant፣ subpoena፣ ወይም court order) ይፈልጋል። ያለ ማዘዣ በጅምላ መዳረሻ አይፈቅድም።
- የ comity ድንጋጌዎች: CLOUD Act ከውጭ ሀገር ህግ ጋር የሚጋጩ ትዕዛዞችን አቅራቢዎች እንዲቃወሙ የሚያስችል የ comity መዋቅር ያካትታል።
- ተግባራዊ እድል: ለድረ-ገጽ ጎብኚ ዳታ ዝቅተኛ ነው። የህግ አስፈጻሚ ጥያቄዎች በዋናነት የወንጀል እንቅስቃሴ ጥርጣሬ ባለባቸው የተወሰኑ መለያዎችን እንጂ የጎብኚ አናሊቲክስ ወይም የቅጽ ማቅረቢያዎችን አይነጣጠሩም።
4.2 እስራኤል (BrightData)
BrightData በእስራኤል የተመሠረተ ነው። እስራኤል ከአውሮፓ ኮሚሽን የብቃት ውሳኔ (2011/61/EU) አለው፣ ይህም ወደ እስራኤል የሚደረጉ ዝውውሮች እንደ በ EEA ውስጥ ዝውውሮች እንዲቆጠሩ ያደርጋል። ሆኖም BrightData በሌሎች ዓለም አቀፍ ቦታዎችም ዳታ ያካሂዳል። እኛ የምናሳስበው፦
- BrightData የሚያካሂደው ስራ በተጠቃሚ መመሪያ ብቻ ነው (የድረ-ገጽ ፍጠር ጊዜ የይዘት ማስመጣት ሲደረግ) ወይም በተያዘ መርሃ ግብር የ SERP ክትትል ሲከናወን።
- የድረ-ገጽ ጎብኚዎች የግል መረጃ ወደ BrightData አይላክም።
4.3 ካናዳ (ከካናዳ ወደ አሜሪካ የሚደረጉ ዝውውሮች)
በካናዳ የሚገኙ የድረ-ገጽ ጎብኚዎች የግል መረጃ ለማቀናበር ወደ አሜሪካ ሊተላለፍ ይችላል። ለዚህ ግምገማ የሚመለከቱት የካናዳ ህጎች የሚከተሉት ናቸው፦
4.3.1 Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA በንግድ እንቅስቃሴ ውስጥ በግል ዘርፍ ድርጅቶች የሚደረገውን የግል መረጃ ስብስብ፣ አጠቃቀም እና ግለጫ ይቆጣጠራል። PIPEDA Principle 4.1.3 የግል መረጃ ለማቀናበር ወደ ሶስተኛ ወገኖች ሲተላለፍ፣ ከካናዳ ውጭ ለሚደረጉ ዝውውሮች ጨምሮ፣ ድርጅቶች በውል ወይም በሌሎች መንገዶች ተመጣጣኝ የጥበቃ ደረጃ መኖሩን እንዲያረጋግጡ ይጠይቃል።
የአደጋ ግምገማ:
- ተመጣጣኝ ጥበቃ: በክፍል 6 የተገለጹት ተጨማሪ እርምጃዎች (ምስጠራ፣ pseudonymization፣ የመዳረሻ ቁጥጥር፣ የዳታ መጠን መቀነስ) በ PIPEDA የሚፈለገውን የጥበቃ ደረጃ የሚመሳሰል መጠን ይሰጣሉ። ከሁሉም ንዑስ ፕሮሰሰሮች ጋር የተጻፉ የዳታ ማቀናበሪያ ስምምነቶች አሉ።
- የብቃት መስፈርት የለም: ከ GDPR በተለየ፣ PIPEDA "adequacy" ውሳኔ የሌላቸው ሀገሮች ወደ ዝውውር አይከለክልም። ድርጅቶች በውል እና በሌሎች መንገዶች ተመጣጣኝ ጥበቃ መኖሩን ማረጋገጥ አለባቸው፣ እኛም ይህን አስፈጽመናል።
4.3.2 የክልል የግላዊነት ህጎች
የ Alberta Personal Information Protection Act (PIPA)፣ የ British Columbia Personal Information Protection Act (PIPA) እና የ Quebec በግል ዘርፍ የግል መረጃ ጥበቃ ሕግ ለተወሰኑ ክልሎች ተጨማሪ መስፈርቶችን ይጫናሉ፦
የአደጋ ግምገማ:
- Quebec Law 25: በ September 2023 ጀምሮ የተግባር ላይ ያለው የ Quebec ዘመናዊ የግላዊነት ሕግ የግል መረጃ ከ Quebec ውጭ ከመተላለፉ በፊት privacy impact assessment እንዲደረግ ይጠይቃል፣ እና የሚያስተላልፈው ድርጅት ያለው መረጃ በቂ ጥበቃ እንደሚያገኝ መርካት አለበት። የውል ጥበቃዎቻችን፣ ተጨማሪ ቴክኒካዊ እርምጃዎቻችን እና የዳታው ባህሪ (በዋናነት pseudonymized analytics እና የትንሽ ንግድ ድረ-ገጽ መስተጋብሮች) በቂ ጥበቃ እንዳለ የሚያጠናክር መሠረት ይሰጣሉ።
- Alberta እና BC: የ Alberta እና BC PIPA የተላለፈ ዳታ ላይ ተመጣጣኝ ጥበቃ እንዲኖር ድርጅቶች እንዲያረጋግጡ ይጠይቃሉ። የውል እና ቴክኒካዊ መከላከያዎቻችን ይህን መስፈርት ያሟላሉ።
4.3.3 ከካናዳ አመለካከት የአሜሪካ መንግስት መዳረሻ
በክፍል 4.1 የተገመገሙት የአሜሪካ መንግስት መዳረሻ አደጋዎች ለካናዳ ዳታ ዝውውሮችም ተመሳሳይ ተፈጻሚነት አላቸው። የመንግስት መዳረሻ እድል ዝቅተኛ መሆኑ (ከዳታው ባህሪ እና ከኩባንያችን መጠን የተነሳ) እና በክፍል 6 የተገለጹት ተጨማሪ እርምጃዎች ተዳምረው ከካናዳ ወደ አሜሪካ የሚተላለፍ የግል መረጃ በካናዳ የግላዊነት ህግ የሚፈለገውን ተመጣጣኝ የጥበቃ ደረጃ እንዲያገኝ ያረጋግጣሉ።
4.4 ዓለም አቀፍ Edge Locations (Cloudflare)
Cloudflare ዓለም አቀፍ የ edge locations ኔትወርክ ያስኬዳል። የ EU ጎብኚዎች ጥያቄዎች በአብዛኛው ወደ ቅርብ የ Cloudflare point of presence ይቀርባሉ፣ እና ይህ ለ EU ጎብኚዎች ብዙውን ጊዜ በ EU ውስጥ ያለ ቦታ ይሆናል።
- የጥያቄ መምራት፣ TLS ማቋረጥ እና bot protection በቅርብ edge location ላይ ይከናወናሉ።
- እንደ EU ነዋሪዎች የተለዩ የድረ-ገጽ ኦፕሬተሮች ላይ፣ ቋሚ ማከማቻ (የቅጽ ማቅረቢያዎችን፣ የቻትቦት ውይይቶችን እና የክፍለ-ጊዜ ዳታን የሚይዝ) በ Cloudflare's jurisdiction API በመጠቀም በሕጋዊ ስልጣን ደረጃ ወደ የአውሮፓ ህብረት ይገደባል። ለ EU ያልሆኑ የድረ-ገጽ ኦፕሬተሮች ቋሚ ማከማቻ በኦፕሬተሩ የጂኦግራፊ ክልል አቅራቢያ ይኖራል ነገር ግን ከ EU ውጭ ሊሆን ይችላል።
- የአናሊቲክስ ዳታ በ Cloudflare የሚተዳደር መሠረተ ልማት ላይ ይታካማል።
5. በአገልግሎት ሰጪ መሠረት የዳታ ፍሰቶች ግምገማ
5.1 Amazon Web Services (US)
| የዳታ ፍሰት | የሚካተተው የግል መረጃ | ዓላማ |
|---|---|---|
| የዳታቤዝ ማከማቻ | የቅጽ ማቅረቢያ ሜታዳታ (IP፣ ሀገር፣ ክልል)፣ የቻትቦት ውይይት መዝገቦች፣ የፋይል ሜታዳታ፣ የክፍለ-ጊዜ መዝገቦች | የድረ-ገጽ ጎብኚ ዳታ ቋሚ ማከማቻ |
| የፋይል ማከማቻ | የተሰቀሉ ፋይሎች (ምስሎች፣ ሰነዶች)፣ deployment snapshots | የፋይል ማከማቻ |
| AI inference | የፋይል ይዘት (ለ AI መግለጫዎች)፣ የኢሜይል ይዘት (ለ spam detection) | በ AI የተደገፉ መግለጫዎች እና የspam መለየት |
| የይዘት ምርመራ | የተሰቀሉ ምስሎች | የይዘት ምርመራ (እርቃን/ግልጽ ይዘት መለየት) |
| ኢሜይል ማድረስ | ኢሜይል አድራሻዎች፣ የመልእክት ይዘት | የግብይት ኢሜይል ማድረስ እና የይዘት ማቅረቢያ ማሳወቂያዎች። ለአውሮፓ ህብረት ነዋሪ ድር ጣቢያ ኦፕሬተሮች፣ እነዚህ ስራዎች በአውሮፓ ህብረት (ስቶክሆልም) ውስጥ ይከናወናሉ። |
| የቋንቋ ማወቂያ | የኢሜይል መልዕክት ጽሑፍ | ቋንቋ ማወቂያ |
የ AWS መጠበቂያዎች:
- ISO 27001, 27017, 27018 የተረጋገጠ
- SOC 1/2/3 ሪፖርቶች ይገኛሉ
- ዳታ በኢንዱስትሪ መደበኛ ምስጠራ በእረፍት ሁኔታ ይጠበቃል
- ዳታ በመንገድ ላይ በ TLS ይመስጠራል
- ለእያንዳንዱ የስርዓት ክፍል አነስተኛ የሥልጣን መዳረሻ መቆጣጠሪያዎች
- ዋና አገልግሎቶች በዩናይትድ ስቴትስ ተስተናግደዋል፤ አውቶማቲክ ጎብኚ-ተኮር ስራዎች (የይዘት ማቅረቢያ ማሳወቂያዎች እና የግብይት ኢሜይል ማድረስ) ለአውሮፓ ህብረት ነዋሪ ድር ጣቢያ ኦፕሬተሮች በአውሮፓ ህብረት (ስቶክሆልም) ውስጥ ይከናወናሉ
5.2 Cloudflare (Global)
| የዳታ ፍሰት | የሚካተተው የግል መረጃ | ዓላማ |
|---|---|---|
| Edge routing | IP አድራሻዎች፣ HTTP headers፣ request URLs | የጥያቄ መምራት፣ DDoS መከላከያ፣ TLS ማቋረጥ |
| የድረ-ገጽ ማስተናገጃ | የገጽ ይዘት፣ የጎብኚ ሜታዳታ | የድረ-ገጽ ማስተናገጃ እና አቅርቦት |
| ቋሚ ማከማቻ | የቅጽ ማቅረቢያዎች፣ የቻትቦት ውይይቶች፣ የክፍለ-ጊዜ ዳታ፣ user table data | በየድረ-ገጹ የሚቆይ ማከማቻ |
| አናሊቲክስ | በስም ያልታወቀ የጎብኚ ሃሽ፣ ሀገር፣ መሣሪያ፣ ብራውዘር፣ referrer፣ UTM | ለግላዊነት ተስማሚ የጎብኚ አናሊቲክስ |
| AI inference | የቻትቦት መልዕክቶች፣ የቅጽ መስክ ማጠቃለያዎች | የ AI ቻትቦት ምላሾች፣ spam detection |
| የንብረት ማከማቻ | የድረ-ገጽ ንብረቶች (ምስሎች፣ ፋይሎች) | የቋሚ ንብረት ማከማቻ እና CDN አቅርቦት |
የ Cloudflare መጠበቂያዎች:
- ISO 27001 የተረጋገጠ፣ SOC 2 Type II
- ለሁሉም ግንኙነቶች TLS 1.2+
- Cloudflare DPA ከ SCCs ጋር ይገኛል
- Edge processing ማለት የ EU ጎብኚ ዳታ ለጥያቄ አስተናጋጅነት በአብዛኛው በ EU edge locations ላይ ይታካማል ማለት ነው
- ለአውሮፓ ህብረት ነዋሪ ተለይተው ለታወቁ የድር ጣቢያ ኦፕሬተሮች፣ ቋሚ ማከማቻ (የቅፅ ማቅረቢያዎች፣ የቻትቦት ውይይቶች፣ የክፍለ ጊዜ ውሂብ እና የተጠቃሚ ሰንጠረዥ ውሂብ የያዘ) በ Cloudflare ስልጣን API በመጠቀም ወደ አውሮፓ ህብረት ስልጣናዊ ገደብ ተደርጎበታል፣ ይህ ውሂብ በአውሮፓ ህብረት የውሂብ ማዕከሎች ውስጥ ብቻ እንደሚከማች እና እንደሚሰራ ያረጋግጣል። ከዳርቻ የሚመጡ የጀርባ API ጥሪዎች (ለይዘት ማቅረቢያ ማሳወቂያዎች እና የግብይት ኢሜይል ማድረስ) ወደ አውሮፓ ህብረት-ተመሰረተ AWS መሰረተ ልማት ይመራሉ።
- AI inference የግቤት ዳታን ለስልጠና አያቆይም
5.3 Stripe (US)
| የዳታ ፍሰት | የሚካተተው የግል መረጃ | ዓላማ |
|---|---|---|
| የክፍያ ሂደት | የድረ-ገጽ ኦፕሬተር የክፍያ ውሂብ (ስም፣ ኢሜይል፣ የክፍያ ዘዴ) | የsubscription እና የdomain ክፍያ ሂደት |
ማስታወሻ: Stripe የድረ-ገጽ ጎብኚዎችን የግል መረጃ አይቀበልም። Stripe የሚያካሂደው የድረ-ገጽ ኦፕሬተሩን (የደንበኛችንን) የክፍያ መረጃ ብቻ ነው።
የ Stripe መጠበቂያዎች:
- PCI DSS Level 1 የተረጋገጠ
- ISO 27001 የተረጋገጠ
- Stripe DPA ከ SCCs ጋር ይገኛል
5.4 የ AI Inference አቅራቢዎች (US)
Fireworks AI እና xAI የ AI model inference አገልግሎቶችን ይሰጣሉ።
| የዳታ ፍሰት | የሚካተተው የግል መረጃ | ዓላማ |
|---|---|---|
| የጽሑፍ መፍጠር (የድረ-ገጽ ይዘት) | የድረ-ገጽ ይዘት (የጎብኚ ዳታ አይደለም) | የድረ-ገጽ ይዘት ፍጠር እና አርትዕ |
| የምስል መፍጠር | የጽሑፍ prompts (የጎብኚ ዳታ አይደለም) | ለድረ-ገጾች የምስል ፍጠር |
| የውይይት AI (chat agent) | የመድረክ ተጠቃሚ ስም፣ ኢሜይል፣ የቋንቋ ምርጫ እና የውይይት ታሪክ | ለመድረክ ተጠቃሚዎች (የድረ-ገጽ ኦፕሬተሮች) በ AI የተደገፈ ረዳት |
ማስታወሻ: እነዚህ የ AI አቅራቢዎች የድረ-ገጽ ጎብኚ የግል መረጃ አይቀበሉም። ለድረ-ገጽ ጎብኚዎች የሚሰጠው ቻትቦት ባህሪ Cloudflare Workers AI ነው የሚጠቀመው (በክፍል 5.2 ተገምግሟል)፣ እንጂ እነዚህ አቅራቢዎች አይደሉም። ነገር ግን የመድረኩ የውይይት AI ረዳት ድረ-ገጾቻቸውን ለማስተዳደር በድረ-ገጽ ኦፕሬተሮች ሲጠቀም፣ የመድረክ ተጠቃሚ የግል መረጃ (ስም፣ ኢሜይል አድራሻ እና የውይይት ታሪክ) ለምላሽ መፍጠር ወደ እነዚህ አቅራቢዎች ይላካል። ለዚህ ሂደት Acira AI እንደ controller ይሰራል (processor አይደለም)፣ እና የዳታ ባለቤቶቹ የመድረክ ተጠቃሚዎቻችን (የድረ-ገጽ ኦፕሬተሮች) ናቸው እንጂ የእነርሱ ድረ-ገጽ ጎብኚዎች አይደሉም። ይህ የዳታ ፍሰት በድረ-ገጽ ጎብኚ ዳታ ላይ በሚተገበረው የ DPA controller-processor መዋቅር ሳይሆን በ Privacy Policy እና ከእነዚህ አቅራቢዎች ጋር ባሉ ስምምነቶቻችን ይተዳደራል።
የሞዴል ቤተሰቦች: እነዚህ የመሠረተ ልማት አቅራቢዎች በተለያዩ ሶስተኛ ወገኖች የተገነቡ AI ሞዴሎችን ያስተናግዳሉ እና ያካሂዳሉ። የሚጠቀሙት የተለየ ሞዴሎች እና የሞዴል ቤተሰቦች በጊዜ ሂደት ሊለዋወጡ ይችላሉ። የሞዴል አበልጻጊዎች የማንኛውንም ተጠቃሚ ዳታ አይቀበሉም ወይም አያገኙም፤ ሁሉም የዳታ ማቀናበር በዚህ ግምገማ ውስጥ በተዘረዘሩት ንዑስ ፕሮሰሰሮች መሠረተ ልማት ውስጥ ብቻ ይከናወናል፣ ሞዴሉ መጀመሪያ የተገነባበት ቦታ የትም ይሁን። ሁሉም የ AI inference ሂደቶች በተዘረዘሩት ንዑስ ፕሮሰሰሮቻችን መሠረተ ልማት ላይ ብቻ ይቆያሉ። የተጠቃሚ ዳታ ወደ ሞዴል አበልጻጊዎች ወይም በዚህ ግምገማ ውስጥ ከተዘረዘሩት ንዑስ ፕሮሰሰሮች ውጭ ወዳለ መሠረተ ልማት አይላክም። በአጠቃቀም ላይ ያሉ የሞዴል ቤተሰቦች አዲስ ዝርዝር በ legal@acira.ai በመገናኘት ሊጠየቅ ይችላል።
5.5 BrightData (Israel / Global)
| የዳታ ፍሰት | የሚካተተው የግል መረጃ | ዓላማ |
|---|---|---|
| የድር ዳታ ስብስብ | በይፋ የሚገኝ የድር ይዘት (የጎብኚ ዳታ አይደለም) | በድረ-ገጽ ፍጠር ጊዜ የይዘት ማስመጣት (በተጠቃሚ መመሪያ) |
| SERP ክትትል | የፍለጋ ቁልፍ ቃላት (የጎብኚ ዳታ አይደለም) | የቁልፍ ቃል የደረጃ ክትትል |
ማስታወሻ: BrightData የድረ-ገጽ ጎብኚ የግል መረጃ አያካሂድም። በተጠቃሚው መመሪያ ሲደረግ በይፋ የሚገኝ የድር ይዘት ያካሂዳል፣ እና በተጠቃሚው የተገለጹ ቁልፍ ቃላት ላይ የፍለጋ ሞተር ደረጃዎችን ይከታተላል።
5.6 በ EU የተመሠረቱ አቅራቢዎች (ምንም ዝውውር የለም)
| አቅራቢ | ቦታ | ዓላማ |
|---|---|---|
| Black Forest Labs | Germany (EU) | AI የምስል ፍጠር (Flux models) |
| ScreenshotOne | European Union | የድረ-ገጽ screenshot ማንሳት |
| CloudConvert | Germany (EU) | የፋይል ቅርጸት መቀየር |
እነዚህ አቅራቢዎች ዳታን በ EU ውስጥ ያካሂዳሉ እና ዓለም አቀፍ ዝውውር አይፈጥሩም። Black Forest Labs ለምስል ፍጠር የጽሑፍ prompts ብቻ ይቀበላል፤ የግል መረጃ አይካተትም።
6. ተጨማሪ ጥበቃ እርምጃዎች
ከ SCCs በተጨማሪ፣ ለሚተላለፍ የግል መረጃ በመሠረታዊ ሁኔታ ተመጣጣኝ የጥበቃ ደረጃ ለማረጋገጥ የሚከተሉትን ተጨማሪ እርምጃዎች እንተገብራለን፦
6.1 ቴክኒካዊ እርምጃዎች
| እርምጃ | መግለጫ |
|---|---|
| በመንገድ ላይ ምስጠራ | በጎብኚዎች፣ በedge network እና በbackend services መካከል የሚተላለፍ ሁሉም ዳታ በ TLS (ቢያንስ TLS 1.2) ይመስጠራል። የውስጥ service-to-service ግንኙነቶችም የተመስጠሩ ቻናሎችን ይጠቀማሉ። |
| በእረፍት ላይ ምስጠራ | ሁሉም የዳታቤዝ መዝገቦች፣ የፋይል ማከማቻ እና በedge የሚስተናገድ ቋሚ ማከማቻ በየተወሰነው መሠረተ ልማት አቅራቢ የሚተዳደር የኢንዱስትሪ መደበኛ ምስጠራ በመጠቀም በእረፍት ላይ ይመስጠራሉ። |
| Pseudonymization | የጎብኚ አናሊቲክስ ጥሬ IP አድራሻ ከመቀመጥ ይልቅ በየቀኑ የሚለዋወጥ የ IP + User-Agent + ቀን ክሪፕቶግራፊክ ሃሽ ይጠቀማል። ይህ ሃሽ ወደ ኋላ ሊመለስ አይችልም እና በየ 24 ሰዓቱ ይቀየራል፣ ስለዚህ በቀናት መካከል ክትትልን ይከለክላል። |
| የዳታ መጠን መቀነስ | አናሊቲክስ የሚሰበስበው በጥቅል ደረጃ ያለ ሜታዳታ (ሀገር፣ የመሣሪያ አይነት፣ ብራውዘር) ብቻ ነው። ጥሬ IP አድራሻዎች በአናሊቲክስ ውስጥ አይቀመጡም። የቻትቦት መልዕክቶች በ 2,000 ቁምፊዎች ይገደባሉ። |
| የይለፍ ቃል ሃሽ ማድረግ | ሁሉም የጎብኚ የይለፍ ቃሎች (ለድረ-ገጽ የተጠበቁ ክፍሎች) ከማከማቻ በፊት በጠንካራ ክሪፕቶግራፊክ አሰራሮች እና በተጠቃሚ ልዩ የተፈጠረ ጨው ጋር ሃሽ ይደረጋሉ። በግልጽ የተጻፉ የይለፍ ቃሎች በፍጹም አይቀመጡም ወይም አይተላለፉም። |
| የመዳረሻ ቁጥጥሮች | አነስተኛ የሥልጣን መዳረሻ ፖሊሲዎች እያንዳንዱን የስርዓት ክፍል የሚያስፈልገውን ሀብት ብቻ እንዲያገኝ ይገድባሉ። በየድረ-ገጹ የሚሰጡ API tokens መዳረሻን በግለሰብ ድረ-ገጽ ደረጃ ይገድባሉ። |
| የኔትወርክ መለያየት | Backend services በውስጣዊ ኔትወርኮች ላይ ይግባባሉ። የድረ-ገጽ ማስተናገጃ በተለዩ የሥራ አስፈጻሚ ሳንድቦክሶች ውስጥ ይሰራል። የተበጀ ኮድ አስፈጻሚ በ WebAssembly መሠረት ባለ ሳንድቦክስ ይጠቀማል። |
| ስልጣናዊ የውሂብ መኖሪያ | ለአውሮፓ ህብረት ነዋሪ ተለይተው ለታወቁ የድር ጣቢያ ኦፕሬተሮች፣ የጎብኚዎች ውሂብ (የቅፅ ማቅረቢያዎች፣ የቻትቦት ውይይቶች፣ የክፍለ ጊዜ ውሂብ እና የተጠቃሚ ሰንጠረዥ ውሂብ) የያዘ ቋሚ ማከማቻ ወደ አውሮፓ ህብረት ስልጣናዊ ገደብ ተደርጎበታል፣ ይህ ውሂብ በአውሮፓ ህብረት የውሂብ ማዕከሎች ውስጥ ብቻ እንደሚከማች እና እንደሚሰራ ያረጋግጣል። አውቶማቲክ ጎብኚ-ተኮር ስራዎች (የይዘት ማቅረቢያ ማሳወቂያዎች እና የግብይት ኢሜይል ማድረስ) እንዲሁ በአውሮፓ ህብረት-ተመሰረተ መሰረተ ልማት ውስጥ ይከናወናሉ። |
| ራስ-ሰር ስረዛ | የክፍለ-ጊዜ ዳታ ከ 30 ቀናት እንቅስቃሴ መቋረጥ በኋላ ያልፋል። ጊዜያዊ ፋይሎች በ 24 ሰዓታት ውስጥ ይሰረዛሉ። የ bot challenge ዳታ ጊዜያዊ ነው እና አይቀመጥም። |
6.2 ድርጅታዊ እርምጃዎች
| እርምጃ | መግለጫ |
|---|---|
| የሰራተኞች ሚስጥራዊነት | የግል መረጃ መዳረሻ ያላቸው ሁሉም ሰራተኞች በሚስጥራዊነት ግዴታ የታሰሩ ናቸው። |
| የንዑስ ፕሮሰሰር ጥንቃቄ ምርመራ | ንዑስ ፕሮሰሰሮች ከመቀጠራቸው በፊት በደህንነት ልምዶቻቸው እና በዳታ ጥበቃ ተገዢነታቸው መሠረት ይገምገማሉ። ከሁሉም ንዑስ ፕሮሰሰሮች ጋር የተጻፉ DPAs አሉ። |
| የክስተት ምላሽ | የbreach ማሳወቂያ ሂደቶች የግል መረጃ ጥሰት መኖሩ ከተረጋገጠ በ 72 ሰዓታት ውስጥ Controllers እንዲያውቁ ያረጋግጣሉ። |
| የዳታ ማቆያ ፖሊሲዎች | በራስ-ሰር አስፈጻሚነት የተደገፉ የተመዘገቡ የማቆያ ጊዜያት (TTL-based deletion፣ lifecycle policies)። |
| የደህንነት ክትትል | የተዋቀረ ሎግ ማድረግ፣ ራስ-ሰር የደህንነት ክትትል እና intrusion detection። የስህተት እና የdiagnostic ሎጎች እስከ 30 ቀናት ድረስ ይቀመጣሉ። |
6.3 የውል እርምጃዎች
| እርምጃ | መግለጫ |
|---|---|
| Standard Contractual Clauses | SCCs (Module One፣ Module Two እና Module Three) በማጣቀሻ ወደ DPA ተካተዋል። |
| የንዑስ ፕሮሰሰር SCCs | ከእያንዳንዱ ንዑስ ፕሮሰሰር ጋር ያሉ የተጻፉ ስምምነቶች በ DPA ውስጥ ካሉት ግዴታዎች ያልተነሱ የዳታ ጥበቃ ግዴታዎችን ይጫናሉ። |
| የመንግስት መዳረሻ ማሳወቂያ | በሕግ የተፈቀደ በሆነ መጠን መንግስታዊ የመዳረሻ ጥያቄዎችን ለ Controllers ለማሳወቅ እንገባለን፣ ይህም በ Terms and Conditions ውስጥ ተገልጿል። |
| የመቃወም ቁርጠኝነት | ከመጠን በላይ ወይም ሕገወጥ ናቸው ብለን የምናምናቸውን የመንግስት የመዳረሻ ጥያቄዎች ለመቃወም ቁርጠኛ ነን። |
7. የአደጋ ግምገማ
7.1 የመንግስት መዳረሻ እድል
| ምክንያት | ግምገማ |
|---|---|
| የዳታው ባህሪ | በዋናነት pseudonymized analytics፣ የቅጽ ማቅረቢያዎች እና ከትንሽ ንግድ ድረ-ገጾች የሚገኙ የቻትቦት መልዕክቶች ናቸው። ይህ ዳታ ለመረጃ አሰባሰብ እጅግ ዝቅተኛ ዋጋ አለው። |
| የዳታ መጠን | ዝቅተኛ እስከ መጠነኛ። እያንዳንዱ ድረ-ገጽ የራሱን የጎብኚ መሠረት ያገለግላል፤ ዳታ ለክትትል ዓላማ በድረ-ገጾች መካከል በአንድ ላይ አይሰበሰብም። |
| የኩባንያ መገለጫ | Acira AI የትንሽ ንግድ ድረ-ገጾችን የሚያስተናግድ ትንሽ SaaS ኩባንያ ነው። እኛ የቴሌኮሙኒኬሽን አቅራቢ ወይም ከፍተኛ የክትትል ዒላማ አይደለንም። |
| ታሪካዊ ጥያቄዎች | እስከዚህ ግምገማ ቀን ድረስ Acira AI የ FISA Section 702 መመሪያ፣ National Security Letter ወይም በጅምላ ለደንበኛ ዳታ መዳረሻ የሚጠይቅ የመንግስት ጥያቄ አልተቀበለም። |
| የንዑስ ፕሮሰሰር መገለጫ | AWS እና Cloudflare የግልጽነት ሪፖርቶችን የሚያቀርቡ ትልልቅ የመሠረተ ልማት አቅራቢዎች ናቸው። የእነርሱ ሪፖርቶች የመንግስት ጥያቄዎች በተወሰኑ መለያዎች ላይ እንጂ በሚስተናገድ ይዘት ላይ በጅምላ እንዳልሆኑ ያሳያሉ። |
አጠቃላይ እድል: ዝቅተኛ
7.2 መዳረሻ ከተፈጠረ ተፅዕኖ
| ምክንያት | ግምገማ |
|---|---|
| የዳታ ስሜታዊነት | አብዛኛው የሚተላለፈው ዳታ ዝቅተኛ ስሜታዊነት ያለው ነው (pseudonymized analytics፣ የድረ-ገጽ ጎብኚ ሜታዳታ)። የቅጽ ማቅረቢያዎች በድረ-ገጹ ሁኔታ ላይ ተመስርተው መካከለኛ ስሜታዊነት ያለው ዳታ (ስሞች፣ ኢሜይል አድራሻዎች፣ መልዕክቶች) ሊይዙ ይችላሉ። |
| የpseudonymization ውጤታማነት | የአናሊቲክስ ዳታ ከዕለታዊ ሃሽ ክፍሎች (IP + User-Agent + ቀን) ጋር መዳረሻ ካልነበረ በቀር ከግለሰቦች ጋር ሊገናኝ አይችልም፣ እነዚህም አይቀመጡም። |
| የተጋላጭነት ወሰን | ማንኛውም የመንግስት ተደራሽነት ለተወሰኑ መለያዎች ወይም ድር ጣቢያዎች ብቻ ይገደባል፣ ለመላው መድረክ አይደለም። በወሰን የተገደቡ የማከማቻ ምሳሌዎች በኩል የድር ጣቢያ ውሂብ ማግለል ማንኛውንም ሊኖር የሚችል ስምምነት ወሰን ይገድባል። ለአውሮፓ ህብረት ነዋሪ ድር ጣቢያ ኦፕሬተሮች፣ ቋሚ ማከማቻ እና አውቶማቲክ ጎብኚ-ተኮር ሂደት (የይዘት ማቅረቢያ ማሳወቂያዎች እና የግብይት ኢሜይል ማድረስ) ወደ አውሮፓ ህብረት ገደብ ተደርጎባቸዋል፣ ለዚህ ውሂብ ለዩኤስ መንግስት ተደራሽነት ተጋላጭነትን ይበልጥ ይገድባል። |
አጠቃላይ ተፅዕኖ: ዝቅተኛ እስከ መካከለኛ (በግለሰብ የድረ-ገጽ ኦፕሬተሮች የሚሰበስቡት ዳታ ስሜታዊነት ላይ ተመስርቶ)
7.3 የቀሪ አደጋ ግምገማ
የመንግስት መዳረሻ እድል ዝቅተኛ መሆኑን፣ ተጨማሪ ቴክኒካዊ እርምጃዎችን (ምስጠራ፣ pseudonymization፣ የዳታ መጠን መቀነስ) እና በ EO 14086 የተጨመሩትን ተጨማሪ መጠበቂያዎች በመያዝ፣ ለዳታ ባለቤቶች የሚቀርው አደጋ ዝቅተኛ ነው ብለን እንገምግማለን፣ እናም እነዚህ ተጨማሪ እርምጃዎች ከ SCCs (ለ EEA/UK/Swiss ዝውውሮች) እና ከውል ጥበቃዎች (ለካናዳ ዝውውሮች) ጋር ተዳምረው በ EEA ውስጥ ከሚረጋገጠው የጥበቃ ደረጃ ጋር በመሠረታዊ ሁኔታ ተመጣጣኝ እና በካናዳ የግላዊነት ህግ የሚፈለገው ደረጃ ተመጣጣኝ የሆነ የጥበቃ ደረጃ ይሰጣሉ።
8. መደረሻ
በዚህ ግምገማ መሠረት፣ የሚከተሉትን እንደምንደርስ እንወስናለን፦
ከ EEA/UK/ስዊዘርላንድ/ካናዳ ወደ አሜሪካ ከአገልግሎቶቻችን አቅርቦት ጋር በተያያዘ የሚተላለፍ የግል መረጃ በ EU የዳታ ጥበቃ ሕግ የሚያረጋግጠውን በመሠረታዊ ሁኔታ ተመጣጣኝ የጥበቃ ደረጃ እና በካናዳ የግላዊነት ሕግ የሚፈለገውን ተመጣጣኝ የጥበቃ ደረጃ ያገኛል።
Standard Contractual Clauses ከክፍል 6 የተገለጹት ተጨማሪ ቴክኒካዊ፣ ድርጅታዊ እና የውል እርምጃዎች ጋር ተዳምረው በዚህ ግምገማ የተለዩትን አደጋዎች በቂ ሁኔታ ያስተናግዳሉ።
የዳታው ባህሪ (በዋናነት pseudonymized analytics እና የትንሽ ንግድ ድረ-ገጽ ጎብኚ መስተጋብሮች) እና የዳታ ተቀባዩ መገለጫ (ትንሽ SaaS ኩባንያ፣ የቴሌኮሙኒኬሽን አቅራቢ ያልሆነ) የመንግስት ክትትል ተግባራዊ አደጋን በከፍተኛ ሁኔታ ይቀንሳሉ።
በ Executive Order 14086 የተገቡት ጥበቃዎች እና ተያያዥ የፍትህ መፍትሄ ዘዴ ምን ዓይነት የዝውውር ዘዴ እንደተጠቀመ ሳይመለከት ሁሉንም የዳታ ባለቤቶች የሚጠቅሙ ተጨማሪ መጠበቂያዎችን ይሰጣሉ።
ለ ካናዳ ዝውውሮች፣ እዚህ የተገለጹት የውል ጥበቃዎች እና ተጨማሪ እርምጃዎች በ PIPEDA እና ተፈጻሚ በሆኑ የክልል የግላዊነት ሕጎች፣ የ Quebec ዘመናዊ የግላዊነት ሕግ ጨምሮ፣ የሚፈለገውን ተመጣጣኝ የጥበቃ ደረጃ ያረጋግጣሉ።
በ US የክትትል ሕግና ልምድ ውስጥ የሚኖሩ ልማቶችን፣ እንዲሁም በካናዳ የግላዊነት ሕግ ውስጥ የሚኖሩ ልማቶችን (የታቀደው Consumer Privacy Protection Act ጨምሮ) መከታተልን እንቀጥላለን፣ ሁኔታዎች በማዕከላዊ ሁኔታ ከተለወጡም ይህን TIA እንደገና እንገምግማለን።
እዚህ የተገለጹት SCCs እና ተጨማሪ እርምጃዎች በቀጣይነት እስከሚተገበሩ ድረስ ዝውውሮቹ ሊቀጥሉ ይችላሉ።
9. የክለሳ መርሃ ግብር
ይህ TIA ይከለሳል እና ይዘምናል፦
- ቢያንስ በየዓመቱ፣ ወይም
- በተፈጻሚ ህጎች ወይም ደንቦች ላይ ከባድ ለውጦች ሲኖሩ (FISA፣ CLOUD Act፣ EO 14086፣ PIPEDA ወይም የካናዳ የክልል የግላዊነት ሕጎች ላይ ለውጦች ጨምሮ)፣
- በንዑስ ፕሮሰሰሮቻችን ወይም በሚተላለፈው ዳታ ባህሪ ላይ ለውጦች ሲኖሩ፣
- በፍርድ ቤት ውሳኔ የ SCCs ትክክለኛነት ወይም የ US ዳታ ጥበቃ ብቃት በከፍተኛ ሁኔታ ሲነካ።
10. ያግኙን
ስለዚህ የዝውውር ተፅዕኖ ግምገማ ጥያቄ ካለዎት በዚህ አድራሻ ያግኙን፦
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
ስልክ: 888-389-1189
ኢሜይል: legal@acira.ai
ግላዊነትዎ፣ ቅድሚያ ሰጪነታችን
መረጃዎን አንሸጥም፣ ዱካ ኩኪዎችን አንጠቀምም — ለዛ ነው እዚህ የኩኪ ባነር የማያዩት። Global Privacy Control ን እናከብራለን፣ ለ EU ደንበኞች ደግሞ የጎብኚ መረጃ በአውሮፓ ኅብረት ውስጥ ብቻ ይከማቻል እና ይስራል።
Acira AI
ከ AI ጋር ቆንጆ ድረ-ገጾችን ይገንቡ። ኮዲንግ አያስፈልግም።
በአሜሪካ ውስጥ በኩራት ተገንብቷል
© 2026 Acira AI LLC. ሁሉም መብቶች የተጠበቁ ናቸው።