လွှဲပြောင်းမှုသက်ရောက်မှုအကဲဖြတ်ချက်
ဒေတာလွှဲပြောင်းမှု သက်ရောက်မှု အကဲဖြတ်ခြင်း
နောက်ဆုံးပြင်ဆင်သည့်နေ့: မတ်လ ၁၉၊ ၂၀၂၆
ဤ ဒေတာလွှဲပြောင်းမှု သက်ရောက်မှု အကဲဖြတ်ခြင်း ("TIA") ကို Acira AI LLC ("Acira AI", "ကျွန်ုပ်တို့") မှ Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (Case C-311/18, "Schrems II") မှ ဥရောပ သမဂ္ဂ တရားမျှတရေး တရားရုံး၏ ဆုံးဖြတ်ချက် လိုအပ်ချက်များနှင့် ဥရောပ ဒေတာ ကာကွယ်ရေး ဘုတ်အဖွဲ့၏ အကြံပြုချက်များ (EDPB အကြံပြုချက် 01/2020 ဖြည့်ဆည်းမှု အစီအမံများနှင့် ပတ်သက်၍) နှင့်အညီ ပြင်ဆင်ထားပါသည်။
ဤ TIA သည် ကျွန်ုပ်တို့၏ ဝန်ဆောင်မှုများ ပေးဆောင်ခြင်းနှင့် ဆက်နွှယ်၍ ဥရောပ စီးပွားရေး နယ်မြေ ("EEA")၊ ယူနိုက်တက်ကင်းဒမ် ("UK")၊ ဆွစ်ဇာလန်နှင့် ကနေဒါ မှ အမေရိကန် ပြည်ထောင်စုနှင့် အခြားသော တတိယ နိုင်ငံများသို့ လွှဲပြောင်းသော ကိုယ်ရေးအချက်အလက် ဒေတာ ကာကွယ်မှု ဖြည့်ဆည်းနိုင်မှုကို အကဲဖြတ်သည်။
ဤ TIA ကို သင်၏ အဆင်ပြေမှုအတွက် အခြားဘာသာများသို့ ဘာသာပြန်ဆိုနိုင်သည်။ အင်္ဂလိပ်ဗားရှင်းနှင့် ဘာသာပြန်ဆိုထားသော ဗားရှင်းများကြား ပဋိပက္ခ သို့မဟုတ် မညီညွတ်မှု ရှိပါက၊ အင်္ဂလိပ်ဗားရှင်း ကို ဦးစားပေးမည်။
မာတိကာ
- လွှဲပြောင်းမှုများ အကျဉ်းချုပ်
- လွှဲပြောင်းသော ဒေတာ သဘောသဘာဝ
- လွှဲပြောင်းမှု ယန္တရားများ
- ဦးတည်ရာ နိုင်ငံ ဥပဒေများ အကဲဖြတ်ခြင်း
- ဝန်ဆောင်မှု ပေးသူ အလိုက် ဒေတာ စီးဆင်းမှု အကဲဖြတ်ခြင်း
- ဖြည့်ဆည်းသော အစီအမံများ
- အန္တရာယ် အကဲဖြတ်ခြင်း
- နိဂုံးချုပ်
- ပြန်လည်စစ်ဆေးမှု အချိန်ဇယား
- ကျွန်ုပ်တို့ကို ဆက်သွယ်ရန်
၁. လွှဲပြောင်းမှုများ အကျဉ်းချုပ်
၁.၁ ကြောင်းကြောင်း
Acira AI သည် လုပ်ငန်းများနှင့် ပုဂ္ဂိုလ်များ AI-မောင်းနှင်သော ဝဘ်ဆိုက်များ ဖန်တီးရန်၊ စီမံရန်နှင့် Hosting ပြုရန် ရည်ရွယ်ထားသော Software-as-a-Service ပလပ်ဖောင်းတစ်ခု ဖြစ်သည်။ အသုံးပြုသူများသည် EEA၊ UK၊ ဆွစ်ဇာလန် သို့မဟုတ် ကနေဒါတွင် တည်ရှိသော ဧည့်သည်များ ဝင်ရောက်သည့် ဝဘ်ဆိုက်များ ဖန်တီးသောအခါ၊ ထိုဧည့်သည်များ၏ ကိုယ်ရေးအချက်အလက် ဒေတာကို အမေရိကန် ပြည်ထောင်စုနှင့် ကျွန်ုပ်တို့၏ ကဏ္ဍဆိုင်ရာ ပေးသွင်းသူများ လုပ်ဆောင်သော အခြားနေရာများသို့ လွှဲပြောင်း၍ ဆောင်ရွက်နိုင်သည်။
၁.၂ ပါဝင်သောအဖွဲ့
- ဒေတာ တင်ပို့သူ: ဝဘ်ဆိုက် ဆောင်ရွက်သူ (Controller အဖြစ် ဆောင်ရွက်သော ကျွန်ုပ်တို့၏ ဖောက်သည်) နှင့် ခွဲခြမ်းစစ်ဆေးမှု ဒေတာအတွက် Acira AI ပူးတွဲ Controller အဖြစ်။
- ဒေတာ တင်သွင်းသူ: Acira AI LLC၊ အမေရိကန် ပြည်ထောင်စု နီဗားဒါ ပြည်နယ်တွင် ဖွဲ့စည်းထားပြီး Processor (နှင့် ခွဲခြမ်းစစ်ဆေးမှုအတွက် ပူးတွဲ Controller) အဖြစ် ဆောင်ရွက်သည်။
- ခွဲ-Processors: Acira AI မှ ခေါ်ဆောင်ထားသော တတိယ-ပါတီ ဝန်ဆောင်မှု ပေးသူများ (ပိုင်းခြားချက် ၅ တွင် ဖော်ပြထားသည်)။
၁.၃ လွှဲပြောင်းမှု ဦးတည်ရာများ
| ဦးတည်ရာ | ပေးသွင်းသူများ | အခြေခံ |
|---|---|---|
| အမေရိကန် နှင့် ဥရောပသမဂ္ဂ (စတော့ဟုမ်း) | AWS | SCCs + ဖြည့်စွက်အစီအမံများ (US); EU နေထိုင်သူ အလိုအလျောက် လည်ပတ်သူဆိုင်ရာ လုပ်ဆောင်ချက်များအတွက် EEA-အတွင်း |
| အမေရိကန် | Stripe, Fireworks AI, xAI | SCCs + ဖြည့်စွက်အစီအမံများ |
| ကမ္ဘာလုံး (edge တည်နေရာများ) | Cloudflare | SCC + ဖြည့်ဆည်းမှု အစီအမံများ |
| အစ္စရေး | BrightData (အသုံးပြုသူ ညွှန်ကြားမှုအပေါ်မူတည်ပြီး) | SCC + ဖြည့်ဆည်းမှု အစီအမံများ |
| ဥရောပ သမဂ္ဂ | Black Forest Labs, ScreenshotOne, CloudConvert | Intra-EEA (လွှဲပြောင်းမှု ယန္တရား မလိုအပ်) |
၂. လွှဲပြောင်းသော ဒေတာ သဘောသဘာဝ
၂.၁ ကိုယ်ရေးအချက်အလက် ဒေတာ အမျိုးအစားများ
လွှဲပြောင်းသော ကိုယ်ရေးအချက်အလက် ဒေတာသည် ဝဘ်ဆိုက် ဆောင်ရွက်သူ ဖွင့်ထားသော အင်္ဂဆာများနှင့် ဝဘ်ဆိုက် ဧည့်သည်များ ပြန်လည်ဆက်ဆံမှုပေါ်မူတည်သည်။ အောက်ပါ အမျိုးအစားများ လွှဲပြောင်းနိုင်သည်:
| ဒေတာ အမျိုးအစား | ဖော်ပြချက် | ထိခိုက်ဆိုင်ရာ | ပမာဏ |
|---|---|---|---|
| ခွဲခြမ်းစစ်ဆေးမှု မှတ်ပုံတင်နံပါတ်များ | IP + User-Agent + ရက်စွဲ (pseudonymized) ၏ နေ့စဉ်-လှည့်သည့် cryptographic hash | နိမ့် | မြင့် (ကိုင်တွယ်ကြည့်ရှုမှု တိုင်း) |
| ဧည့်သည် metadata | နိုင်ငံ၊ ဒေသ၊ ဘာသာ၊ ကိရိယာ အမျိုးအစား၊ browser၊ OS၊ referrer domain၊ UTM parameters | နိမ့် | မြင့် (ကိုင်တွယ်ကြည့်ရှုမှု တိုင်း) |
| IP လိပ်စာများ | ပုံစံ တင်ပြမှုများနှင့် chatbot စကားဝိုင်းများနှင့်အတူ metadata အဖြစ် သိမ်းဆည်းထား; ခွဲခြမ်းစစ်ဆေးမှုအတွက် hash ဆောင်ရွက်; bot အတိုက်အခံ အတည်ပြုမှုအတွက် ယာယီ အသုံးပြု; နှုန်း-ကန့်သတ်မှုအတွက် ယာယီ သိမ်းဆည်း (၇ ရက် အထိ) | အလတ် | အလတ် |
| ပုံစံ တင်ပြမှု အကြောင်းအရာ | ဧည့်သည်များ တင်ပြသော အခမဲ့-စာသား ကွင်းများ (နာမည်၊ email၊ မက်ဆေ့ဂျ်များ စသည်) | မတည်ငြိမ် (ပုံစံပေါ် မူတည်) | နိမ့်မှ အလတ် |
| Chatbot မက်ဆေ့ဂျ်များ | ဧည့်သည် မက်ဆေ့ဂျ်များနှင့် AI ထုတ်ပေးသော တုံ့ပြန်မှုများ (မက်ဆေ့ဂျ် တစ်ခုလျှင် အများဆုံး ၂,၀၀၀ လုံး) | နိမ့်မှ အလတ် | နိမ့် |
| ဖိုင် Upload များ | ဝဘ်ဆိုက် ပုံစံများမှတဆင့် ဧည့်သည်များ upload ထားသော ဖိုင်များ (ပုံများ၊ စာရွက်စာတမ်းများ) | မတည်ငြိမ် | နိမ့် |
| Session မှတ်ပုံတင်နံပါတ်များ | ဆာဗာ-ဘက် session ID များနှင့် ကလိုင်းယင့်-ဘက် session cookies | နိမ့် | မြင့် |
| အထောက်အထား Credentials | ဝဘ်ဆိုက် ကာကွယ်ထားသော နေရာများ၏ စကားဝှက်များ (hash ပုံစံဖြင့်သာ သိမ်းဆည်းထား) | မြင့် (သို့သော် hash ဆောင်ရွက်ထား) | နိမ့် |
၂.၂ ဒေတာ ဆိုင်ရာ ပုဂ္ဂိုလ် အမျိုးအစားများ
- Acira AI ပလပ်ဖောင်းတွင် Hosting ဆောင်ရွက်သည့် ဝဘ်ဆိုက်များ၏ ဧည့်သည်များ
- ပလပ်ဖောင်းတွင် Hosting ဆောင်ရွက်သည့် ဝဘ်ဆိုက်များတွင် အကောင့်ဖွင့်သော အသုံးပြုသူများ
- Hosting ဝဘ်ဆိုက်များတွင် ပုံစံ တင်ပြ၊ chatbot နှင့် ဆက်ဆံ သို့မဟုတ် ဖိုင် upload ထောက်ပံ့သော အသုံးပြုသူများ
၂.၃ လွှဲပြောင်းခြင်း မပြုသော ဒေတာ
- ဘူမိ-တည်နေရာ ဒေတာ: IP-to-location ရှာဖွေမှုများကို ကျွန်ုပ်တို့၏ infrastructure ပေးသွင်းသူမှ network edge တွင် ဆောင်ရွက်ကြသည်။ မည်သည့် ဧည့်သည်၏ IP လိပ်စာမဆို မည်သည့် ပြင်ပ ဘူမိ-တည်နေရာ ဝန်ဆောင်မှုသို့ မပေးပို့ပေ။
- ကြမ်းတမ်းသော ခွဲခြမ်းစစ်ဆေးမှု IP လိပ်စာများ: နေ့စဉ်-လှည့်သည့် cryptographic hash ကိုသာ သိမ်းဆည်းကြသည်; ကြမ်းတမ်းသော IP များကို ခွဲခြမ်းစစ်ဆေးမှု စနစ်များတွင် မသိမ်းဆည်းပေ။
- Plain text စကားဝှက်များ: Cryptographic hashes ကိုသာ သိမ်းဆည်းကြပြီး လွှဲပြောင်းကြသည်။
၃. လွှဲပြောင်းမှု ယန္တရားများ
၃.၁ အဓိက ယန္တရား: Standard Contractual Clauses
ကျွန်ုပ်တို့သည် Commission Implementing Decision (EU) 2021/914 ဖြင့် ဥရောပ ကော်မရှင်မှ ကျင်းပသော Standard Contractual Clauses (SCC) ကို အားကိုးသည်:
- Module One (Controller မှ Controller သို့): Acira AI သည် ဝဘ်ဆိုက် ဆောင်ရွက်သူနှင့် ပူးတွဲ Controller အဖြစ် ဆောင်ရွက်သည့် ခွဲခြမ်းစစ်ဆေးမှု ဒေတာ လွှဲပြောင်းမှုများအတွက် (DPA ပိုင်းခြားချက် ၂.၃ ကြည့်ပါ)။
- Module Two (Controller မှ Processor သို့): ဝဘ်ဆိုက် ဆောင်ရွက်သူ (Controller) မှ Acira AI (Processor) သို့ ဧည့်သည် ကိုယ်ရေးအချက်အလက် ဒေတာ လွှဲပြောင်းမှုများအတွက်။
- Module Three (Processor မှ Sub-processor သို့): Acira AI မှ ကျွန်ုပ်တို့၏ Sub-processors သို့ ဆက်လက် လွှဲပြောင်းမှုများအတွက်။
၃.၂ UK၊ ဆွစ်ဇာလန်နှင့် ကနေဒါ လွှဲပြောင်းမှုများ
- UK: EU SCC များသို့ UK International Data Transfer Addendum ကျင့်သုံးသည်။
- ဆွစ်ဇာလန်: Swiss Federal Act on Data Protection (FADP) မှ လိုအပ်သော ပြုပြင်မွမ်းမံချက်များဖြင့် SCC များကို ကျင့်သုံးသည်။
- ကနေဒါ: လွှဲပြောင်းမှုများသည် PIPEDA နှင့် သက်ဆိုင်ရာ ပြည်နယ် ကိုယ်ရေး ဥပဒေများနှင့် ကိုက်ညီသော တာဝန်ဝတ္တရားများ ချမှတ်သည့် ခွဲ-processor တစ်ခုစီနှင့် ပုဂ္ဂိုလ်-ဥပဒေ ကာကွယ်မှုများကို အားကိုးသည်၊ ပိုင်းခြားချက် ၆ တွင် ဖော်ပြထားသော ဖြည့်ဆည်းမှု နည်းပညာ နှင့် အဖွဲ့အစည်း အစီအမံများနှင့် ပေါင်းစပ်ကာ။ အသေးစိတ်အတွက် DPA ပိုင်းခြားချက် ၇.၄ ကြည့်ပါ။
၃.၃ Sub-processor လွှဲပြောင်းမှု ယန္တရားများ
| Sub-processor | လွှဲပြောင်းမှု ယန္တရား |
|---|---|
| Amazon Web Services | SCC (AWS DPA)၊ ISO 27001/27017/27018 သတ်မှတ်ထား |
| Cloudflare | SCC (Cloudflare DPA)၊ ISO 27001 သတ်မှတ်ထား |
| Stripe | SCC (Stripe DPA)၊ PCI DSS Level 1 သတ်မှတ်ထား |
| Fireworks AI | SCC (Fireworks AI DPA)၊ SOC 2 Type II၊ ISO 27001/27701/42001 သတ်မှတ်ထား |
| xAI | SCC (EU SCC များပါဝင်သော xAI DPA) |
| BrightData | SCC (BrightData DPA) |
၄. ဦးတည်ရာ နိုင်ငံ ဥပဒေများ အကဲဖြတ်ခြင်း
၄.၁ အမေရိကန် ပြည်ထောင်စု
အမေရိကန် ပြည်ထောင်စုသည် လွှဲပြောင်းသော ဒေတာ၏ အဓိက ဦးတည်ရာ ဖြစ်သည်။ ဤ အကဲဖြတ်မှုအတွက် အောက်ပါ US ဥပဒေများ သက်ဆိုင်သည်:
၄.၁.၁ Foreign Intelligence Surveillance Act (FISA)၊ ပိုင်းခြားချက် ၇၀၂
FISA ပိုင်းခြားချက် ၇၀၂ သည် US အစိုးရအား နိုင်ငံခြားသတင်းရေးရာ ရည်ရွယ်ချက်များအတွက် အမေရိကန် ပြည်ထောင်စုပြင်ပတွင် တည်ရှိသော US-မဟုတ်သောသူများ၏ ဆက်သွယ်ရေးများသို့ ဝင်ရောက်ရန် electronic communication service ပေးသွင်းသူများကို တွန်းအားပေးခွင့် ပြုသည်။
အန္တရာယ် အကဲဖြတ်ချက်:
- သက်ဆိုင်မှု: FISA ပိုင်းခြားချက် ၇၀၂ သည် 50 U.S.C. § 1881(b)(4) တွင် သတ်မှတ်ထားသော "electronic communication service providers" သို့ ကျင့်သုံးသည်။ Acira AI သည် SaaS website hosting platform ဖြစ်ပြီး ရိုးရာ တယ်လီဆက်သွယ်ရေး ပေးသွင်းသူ မဟုတ်ပေ။ ကျွန်ုပ်တို့၏ sub-processors (AWS, Cloudflare) သည် ပိုင်းခြားချက် ၇၀၂ ညွှန်ကြားချက်များ၏ ဒဏ်ခံနိုင်ဖွယ် ပိုမို ဖြစ်နိုင်သည်။
- အန္တရာယ် ကျရောက်သော ဒေတာ ပမာဏ: ကျွန်ုပ်တို့ ဆောင်ရွက်သော ကိုယ်ရေးအချက်အလက် ဒေတာ သည် အဓိကအားဖြင့် website visitor analytics (pseudonymized)၊ ပုံစံ တင်ပြမှုများနှင့် chatbot မက်ဆေ့ဂျ်များ ပါဝင်သည်။ ဤ ဒေတာသည် နိုင်ငံခြားသတင်းရေးရာ ဆက်နွှယ်မှု ဖြစ်နိုင်ချေ နည်းပါးသည်။
- လက်တွေ့ ဖြစ်နိုင်ချေ: ကျွန်ုပ်တို့သည် FISA ပိုင်းခြားချက် ၇၀၂ ညွှန်ကြားချက် တစ်ခုမျှ မရဘူးဖြစ်ပြီး ကျွန်ုပ်တို့ ဝန်ဆောင်မှုများ၏ သဘောသဘာဝကို ထည့်သွင်းစဉ်းစားသော် ရရှိနိုင်ချေ အလွန်နည်းပါးသည်ဟု စစ်ဆေးသည်။
၄.၁.၂ Executive Order 12333
EO 12333 သည် US သတင်းရေးရာ ဌာနများကို signal intelligence အမြောက်အများ စုဆောင်းခြင်း အပါအဝင် ကြည့်ရှုစစ်ဆေးမှု လုပ်ငန်းများ ဆောင်ရွက်ရန် ခွင့်ပြုသည်။ ၎င်းသည် ဆက်သွယ်ရေး ဒေတာသို့ ကျင့်သုံးပြီး ပုဂ္ဂလိက ကုမ္ပဏီများကို ပူးပေါင်းဆောင်ရွက်ရန် တွန်းအားမပေးပေ။
အန္တရာယ် အကဲဖြတ်ချက်:
- လျှော့ချမှု: ဆက်သွယ်ရေးရှိ ဒေတာ အားလုံးကို TLS ဖြင့် Encrypt ဆောင်ရွက်ထားသည်။ ဆက်သွယ်ရေးရှိ Encrypt ဆောင်ရွက်ထားသော ဒေတာ အမြောက်အများ ကြားဖြတ်ပြေးဆွဲမှုသည် plain text ကိုယ်ရေးအချက်အလက် ဒေတာ ရရှိမည် မဟုတ်ပေ။
- လက်တွေ့ ဖြစ်နိုင်ချေ: နည်းပါး။ ကျွန်ုပ်တို့ ဝန်ဆောင်မှုများမှတဆင့် ဆောင်ရွက်သော ဒေတာသည် signal intelligence မှ ပုံမှန် ပစ်မှတ်ထားသည့် သဘောသဘာဝ မဟုတ်ပေ။
၄.၁.၃ Executive Order 14086 နှင့် EU-US Data Privacy Framework
Executive Order 14086 (ဧပြီ ၂၀၂၂) သည် signal intelligence လုပ်ငန်းများအတွက် ထပ်ဆောင်း ကာကွယ်မှုများ မိတ်ဆက်ခဲ့သည်:
- သတင်းရေးရာ စုဆောင်းမှုအတွက် လိုအပ်မှုနှင့် အချိုးကျမှု လိုအပ်ချက်များ
- EU/UK/ဆွစ် ပုဂ္ဂိုလ်များ အတွက် ရရှိနိုင်သော နှစ်ဆင့်-တရားပြုစပ်ယဉ်သော ယန္တရား (Civil Liberties Protection Officer + Data Protection Review Court)
- အမြောက်အများ စုဆောင်းမှု ကန့်သတ်ချက်များ
ဥရောပ ကော်မရှင်မှ ၂၀၂၃ ခုနှစ် ဇူလိုင် ၁၀ ရက်တွင် EU-US Data Privacy Framework (DPF) အတွက် လုံလောက်မှု ဆုံးဖြတ်ချက် ကျင်းပခဲ့သည်။ Acira AI သည် လောလောဆယ် DPF ဖြင့် ကိုယ်တိုင်-သတ်မှတ် မပြုထားသော်လည်း EO 14086 ဖြင့် ကာကွယ်မှုများသည် အမေရိကန် ပြည်ထောင်စုသို့ ဒေတာ လွှဲပြောင်းမှု အားလုံးသို့ ကျယ်ပြန့်စွာ ကျင့်သုံးသည်။
၄.၁.၄ CLOUD Act
CLOUD Act (Clarifying Lawful Overseas Use of Data) သည် US ဥပဒေ ဆောင်ရွက်မှုကို US-အခြေပြုသည့် ပေးသွင်းသူများကို ဒေတာ သိမ်းဆည်းသည့် နေရာ မသက်ဆိုင်ဘဲ ဒေတာ ထုတ်ပေးရန် တွန်းအားပေးခွင့် ပြုသည်၊ ဥပဒေ အကျုံးဝင်သည့် ခွင့်ပြုချက် သို့မဟုတ် တရားရုံး အမိန့်ကို အကြောင်းအရင်းပြ၍။
အန္တရာယ် အကဲဖြတ်ချက်:
- ကာကွယ်မှုများ: CLOUD Act သည် ဥပဒေ တည်ဆဲ လုပ်ငန်းစဉ် (ခွင့်ပြုချက်၊ summons သို့မဟုတ် တရားရုံး အမိန့်) လိုအပ်သည်။ ၎င်းသည် warrant မပါဘဲ အမြောက်အများ ဝင်ရောက်မှုကို ခွင့်မပြုပေ။
- Comity ပြဋ္ဌာန်းချက်များ: CLOUD Act တွင် နိုင်ငံတကာ ဥပဒေနှင့် ဆန့်ကျင်သည့် အမိန့်များကို ပေးသွင်းသူများ ဆန့်ကျင်နိုင်ခွင့်ပြုသည့် comity ဘောင်တစ်ခု ပါဝင်သည်။
- လက်တွေ့ ဖြစ်နိုင်ချေ: website visitor ဒေတာအတွက် နည်းပါး။ ဥပဒေ ဆောင်ရွက်မှု တောင်းဆိုချက်များသည် visitor analytics သို့မဟုတ် ပုံစံ တင်ပြမှုများ မဟုတ်ဘဲ ရာဇဝတ်မှု လုပ်ဆောင်မှု သံသယ ရှိသော တိကျသော အကောင့်များကို ပစ်မှတ်ထားနိုင်ဖွယ် ပိုများသည်။
၄.၂ အစ္စရေး (BrightData)
BrightData သည် အစ္စရေးတွင် တည်ဆဲ ဖြစ်သည်။ အစ္စရေးသည် ဥရောပ ကော်မရှင်မှ လုံလောက်မှု ဆုံးဖြတ်ချက် (2011/61/EU) ရရှိထားပြီး အစ္စရေးသို့ လွှဲပြောင်းမှုများကို intra-EEA လွှဲပြောင်းမှုများနှင့် တူညီပုံစံ ကိုင်တွယ်သည်ဟု ဆိုလိုသည်။ သို့သော် BrightData သည် အခြားသော ကမ္ဘာ့ တည်နေရာများတွင်လည်း ဒေတာ ဆောင်ရွက်သည်:
- BrightData ဆောင်ရွက်မှုသည် အသုံးပြုသူ ညွှန်ကြားသောအခါ (အကြောင်းအရာ import ပြုလုပ်ရန် website ဖန်တီးချိန်တွင်) သို့မဟုတ် စီစဉ်ထားသော SERP ခြေရာခံမှု ကာလတွင်သာ ဖြစ်ပေါ်သည်။
- Website visitor ကိုယ်ရေးအချက်အလက် ဒေတာ မည်သည့်ကိုမဆို BrightData သို့ မပေးပို့ပေ။
၄.၃ ကနေဒါ (ကနေဒါမှ အမေရိကန် ပြည်ထောင်စုသို့ လွှဲပြောင်းမှုများ)
ကနေဒါတွင် တည်ရှိသော website visitor များ၏ ကိုယ်ရေးအချက်အလက် ဒေတာကို ဆောင်ရွက်မှုအတွက် အမေရိကန် ပြည်ထောင်စုသို့ လွှဲပြောင်းနိုင်သည်။ ဤ အကဲဖြတ်မှုအတွက် အောက်ပါ ကနေဒါ ဥပဒေများ သက်ဆိုင်သည်:
၄.၃.၁ Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA သည် စီးပွားရေး လုပ်ငန်းများ၏ နယ်ပယ်တွင် ပုဂ္ဂလိက ကဏ္ဍ အဖွဲ့အစည်းများမှ ကိုယ်ရေးအချက်အလက် ဆောင်ရွက်၊ အသုံးပြုနှင့် ထုတ်ဖော်ကြေညာမှုကို ကြပ်မတ်သည်။ PIPEDA မူသဘော ၄.၁.၃ သည် ကနေဒါပြင်ပ လွှဲပြောင်းမှုများ အပါအဝင် ဆောင်ရွက်မှုအတွက် ကိုယ်ရေးအချက်အလက်ကို တတိယ ပါတီများသို့ လွှဲပြောင်းသောအခါ ပုဂ္ဂိုလ်-ဥပဒေ သို့မဟုတ် အခြား နည်းလမ်းများ ဖြင့် နှိုင်းယှဉ် နိုင်သော ကာကွယ်မှု အဆင့်ကို သေချာစေရန် အဖွဲ့အစည်းများကို လိုအပ်သည်။
အန္တရာယ် အကဲဖြတ်ချက်:
- နှိုင်းယှဉ်နိုင်သော ကာကွယ်မှု: ပိုင်းခြားချက် ၆ တွင် ဖော်ပြထားသော ဖြည့်ဆည်းမှု အစီအမံများ (Encryption, pseudonymization, ဝင်ရောက်ခွင့် ထိန်းချုပ်မှုများ, ဒေတာ လျှော့ချမှု) PIPEDA ဖြင့် လိုအပ်သော နှိုင်းယှဉ်နိုင်သော ကာကွယ်မှု အဆင့်ကို ပေးသည်။ ရေးသားထားသော ဒေတာ ဆောင်ရွက်မှု သဘောတူညီချက်များ sub-processors အားလုံးနှင့် ရှိသည်။
- လုံလောက်မှု လိုအပ်ချက် မရှိ: GDPR မတူဘဲ PIPEDA သည် "လုံလောက်မှု" ရှာဖွေမှု မရှိသော နိုင်ငံများသို့ လွှဲပြောင်းမှုများကို တားမြစ်မသည်။
၄.၃.၂ ပြည်နယ် ကိုယ်ရေး ဥပဒေများ
Alberta ၏ Personal Information Protection Act (PIPA)၊ British Columbia ၏ Personal Information Protection Act (PIPA) နှင့် Quebec ၏ ကိုယ်ရေးအချက်အလက် ကာကွယ်မှု ဆိုင်ရာ ဥပဒေ ဆောင်ရွက်ချက်သည် တိကျသော ပြည်နယ်များအတွက် ထပ်ဆောင်း လိုအပ်ချက်များ ချမှတ်သည်:
အန္တရာယ် အကဲဖြတ်ချက်:
- Quebec ဥပဒေ ၂၅: Quebec ၏ ခေတ်မီ ကိုယ်ရေး ဥပဒေ (၂၀၂၃ ခုနှစ် စက်တင်ဘာ မှ သက်ရောက်) သည် Quebec ပြင်ပသို့ ကိုယ်ရေးအချက်အလက် လွှဲပြောင်းခြင်းမပြုမီ ကိုယ်ရေး သက်ရောက်မှု အကဲဖြတ်ချက် လိုအပ်ပြီး၊ လွှဲပြောင်းသည့် အဖွဲ့အစည်းသည် ထိုအချက်အလက်သည် လုံလောက်သော ကာကွယ်မှု ရရှိမည်ဟု စိတ်ချရမည် ဖြစ်သည်။ ကျွန်ုပ်တို့၏ စာချုပ်ဆိုင်ရာ ကာကွယ်မှုများ၊ ဖြည့်ဆည်းသော နည်းပညာ အစီအမံများနှင့် ဒေတာ၏ သဘောသဘာဝ (အဓိကအားဖြင့် pseudonymized analytics နှင့် သေးငယ်သော လုပ်ငန်း website ဆက်ဆံမှုများ) သည် လုံလောက်သော ကာကွယ်မှု ရှိကြောင်း ထောက်ခံသည်။
- Alberta နှင့် BC: Alberta နှင့် BC ၏ PIPAs သည် အဖွဲ့အစည်းများကို လွှဲပြောင်းထားသော ဒေတာအတွက် နှိုင်းယှဉ်နိုင်သော ကာကွယ်မှု သေချာစေရန် လိုအပ်သည်။ ကျွန်ုပ်တို့၏ စာချုပ်ဆိုင်ရာနှင့် နည်းပညာဆိုင်ရာ ကာကွယ်မှုများသည် ဤလိုအပ်ချက်ကို ဖြည့်ဆည်းသည်။
၄.၃.၃ ကနေဒါ ရှုထောင့်မှ US အစိုးရ ဝင်ရောက်မှု
ပိုင်းခြားချက် ၄.၁ တွင် အကဲဖြတ်ထားသော US အစိုးရ ဝင်ရောက်မှု အန္တရာယ်များ အတူတူပင် ကနေဒါ ဒေတာ လွှဲပြောင်းမှုများသို့ ကျင့်သုံးသည်။ ဒေတာ၏ သဘောသဘာဝနှင့် ကျွန်ုပ်တို့ ကုမ္ပဏီ ပရိုဖိုင်ကို ထည့်သွင်းစဉ်းစားပါက အစိုးရ ဝင်ရောက်မှု၏ ဖြစ်နိုင်ချေ နည်းပါးခြင်းနှင့် ပိုင်းခြားချက် ၆ တွင် ဖော်ပြထားသော ဖြည့်ဆည်းမှု အစီအမံများ ပေါင်းစပ်ကာ ကနေဒါမှ အမေရိကန် ပြည်ထောင်စုသို့ လွှဲပြောင်းသော ကိုယ်ရေးအချက်အလက် ဒေတာသည် ကနေဒါ ကိုယ်ရေး ဥပဒေမှ လိုအပ်သော နှိုင်းယှဉ်နိုင်သော ကာကွယ်မှု အဆင့်ကို ရရှိကြောင်း သေချာစေသည်။
၄.၄ ကမ္ဘာ့ Edge တည်နေရာများ (Cloudflare)
Cloudflare သည် edge တည်နေရာများ ကမ္ဘာလုံး ကွန်ယက်ကို လည်ပတ်ကြသည်။ EU visitor တောင်းဆိုမှုများကို ပုံမှန်အားဖြင့် EU visitor များအတွက် EU တည်နေရာ ဖြစ်တတ်သည့် အနီးဆုံး Cloudflare ရောက်ရှိချက်တွင် ဆောင်ရွက်ကြသည်။
- Request routing၊ TLS termination နှင့် bot protection ကို အနီးဆုံး edge တည်နေရာတွင် ဆောင်ရွက်သည်။
- EU နေထိုင်သူများ ဟု ဖော်ထုတ်ထားသော website operators များအတွက်၊ persistent storage (ပုံစံ တင်ပြမှုများ၊ chatbot စကားဝိုင်းများနှင့် session ဒေတာ ပါဝင်) ကို Cloudflare ၏ jurisdiction API ကို အသုံးပြု၍ ဥရောပ သမဂ္ဂ အတွင်း တည်နေရာ ဆိုင်ရာ ကန့်သတ်ထားသည်။ EU-မဟုတ်သော website operators များအတွက်၊ persistent storage ကို operator ၏ ဘူမိ ဒေသ နှင့် နီးကပ်သော နေရာတွင် ထားရှိသော်လည်း EU ပြင်ပ တည်နေနိုင်သည်။
- Analytics ဒေတာကို Cloudflare ထိန်းသိမ်းသော infrastructure တွင် ဆောင်ရွက်သည်။
၅. ဝန်ဆောင်မှု ပေးသူ အလိုက် ဒေတာ စီးဆင်းမှု အကဲဖြတ်ခြင်း
၅.၁ Amazon Web Services (US)
| ဒေတာ စီးဆင်းမှု | ပါဝင်သော ကိုယ်ရေးအချက်အလက် ဒေတာ | ရည်ရွယ်ချက် |
|---|---|---|
| ဒေတာဘေ့စ် သိမ်းဆည်းမှု | ပုံစံ တင်ပြ metadata (IP, နိုင်ငံ, ဒေသ)၊ chatbot စကားဝိုင်း မှတ်တမ်းများ၊ ဖိုင် metadata၊ session မှတ်တမ်းများ | Website visitor ဒေတာ အမြဲတမ်း သိမ်းဆည်းမှု |
| ဖိုင် သိမ်းဆည်းမှု | Upload ထားသော ဖိုင်များ (ပုံများ, စာရွက်စာတမ်းများ)၊ ဖြန့်ကျဲမှု snapshots | ဖိုင် သိမ်းဆည်းမှု |
| AI inference | ဖိုင် အကြောင်းအရာ (AI ဖော်ပြချက်များအတွက်)၊ email အကြောင်းအရာ (spam ရှာဖွေမှုအတွက်) | AI-မောင်းနှင်သော ဖော်ပြချက်များနှင့် spam အမျိုးအစားဖွဲ့မှု |
| အကြောင်းအရာ ကြည့်ရှုစစ်ဆေးမှု | Upload ထားသော ပုံများ | အကြောင်းအရာ ကြည့်ရှုစစ်ဆေးမှု (လိင်ရေးရာ/ရိုင်းပြဆိုင်ရာ အကြောင်းအရာ ရှာဖွေမှု) |
| အီးမေးလ် ပေးပို့ခြင်း | အီးမေးလ် လိပ်စာများ၊ မက်ဆေ့ဂျ် အကြောင်းအရာ | ငွေကြေးလွှဲပြောင်း အီးမေးလ် ပေးပို့ခြင်း နှင့် အကြောင်းအရာ တင်သွင်းခြင်း အသိပေးချက်များ။ EU နေထိုင်သူ ဝက်ဘ်ဆိုက် လည်ပတ်သူများအတွက်၊ ဤလုပ်ဆောင်ချက်များကို ဥရောပသမဂ္ဂ (စတော့ဟုမ်း) တွင် လုပ်ဆောင်ပါသည်။ |
| ဘာသာ ရှာဖွေမှု | Email မက်ဆေ့ဂျ် စာသား | ဘာသာ ရှာဖွေမှု |
AWS ကာကွယ်မှုများ:
- ISO 27001, 27017, 27018 သတ်မှတ်ထား
- SOC 1/2/3 အစီရင်ခံစာများ ရနိုင်သည်
- လုပ်ငန်း-စံ Encryption ကို အသုံးပြု၍ Encryption at rest ဒေတာ
- Encryption in transit (TLS) ဒေတာ
- စနစ် အစိတ်အပိုင်း တစ်ခုချင်းစီ အလိုက် Least-privilege ဝင်ရောက်ခွင့် ထိန်းချုပ်မှုများ
- အဓိက ဝန်ဆောင်မှုများကို အမေရိကန်တွင် လက်ခံထားပါသည်; EU နေထိုင်သူ ဝက်ဘ်ဆိုက် လည်ပတ်သူများအတွက် အလိုအလျောက် လည်ပတ်သူဆိုင်ရာ လုပ်ဆောင်ချက်များ (အကြောင်းအရာ တင်သွင်းခြင်း အသိပေးချက်များ နှင့် ငွေကြေးလွှဲပြောင်း အီးမေးလ် ပေးပို့ခြင်း) ကို ဥရောပသမဂ္ဂ (စတော့ဟုမ်း) တွင် လုပ်ဆောင်ပါသည်
၅.၂ Cloudflare (ကမ္ဘာလုံး)
| ဒေတာ စီးဆင်းမှု | ပါဝင်သော ကိုယ်ရေးအချက်အလက် ဒေတာ | ရည်ရွယ်ချက် |
|---|---|---|
| Edge routing | IP လိပ်စာများ, HTTP headers, request URL များ | Request routing, DDoS ကာကွယ်မှု, TLS ရပ်တန့်မှု |
| Website hosting | စာမျက်နှာ အကြောင်းအရာ, visitor metadata | Website hosting နှင့် ပေးပို့မှု |
| Persistent storage | ပုံစံ တင်ပြမှုများ, chatbot စကားဝိုင်းများ, session ဒေတာ, user table ဒေတာ | Website တစ်ခုချင်းစီ stateful သိမ်းဆည်းမှု |
| Analytics | Pseudonymized visitor hash, နိုင်ငံ, ကိရိယာ, browser, referrer, UTM | ကိုယ်ရေးကာကွယ်မှု-ဖော်ရွေသော visitor analytics |
| AI inference | Chatbot မက်ဆေ့ဂျ်များ, ပုံစံ ကွင်း အကျဉ်းချုပ်များ | AI chatbot တုံ့ပြန်မှုများ, spam ရှာဖွေမှု |
| Asset storage | Website assets (ပုံများ, ဖိုင်များ) | Static asset သိမ်းဆည်းမှုနှင့် CDN ပေးပို့မှု |
Cloudflare ကာကွယ်မှုများ:
- ISO 27001 သတ်မှတ်ထား, SOC 2 Type II
- ချိတ်ဆက်မှု အားလုံးအတွက် TLS 1.2+
- SCC ပါဝင်သော Cloudflare DPA ရနိုင်သည်
- Edge processing ကြောင့် EU visitor ဒေတာကို request handling အတွက် ပုံမှန်အားဖြင့် EU edge တည်နေရာများတွင် ဆောင်ရွက်ကြသည်
- EU နေထိုင်သူများအဖြစ် သတ်မှတ်ထားသော ဝက်ဘ်ဆိုက် လည်ပတ်သူများအတွက်၊ အမြဲတမ်း သိုလှောင်မှု (ဖောင် တင်သွင်းမှုများ၊ ချက်ဘော့ စကားပြောမှုများ၊ ဆက်ရှင် ဒေတာ နှင့် အသုံးပြုသူ ဇယား ဒေတာ ပါဝင်သော) ကို Cloudflare ၏ စီရင်ပိုင်ခွင့် API ကို အသုံးပြု၍ ဥရောပသမဂ္ဂသို့ စီရင်ပိုင်ခွင့်အရ ကန့်သတ်ထားပါသည်၊ ဤဒေတာကို EU ဒေတာ စင်တာများတွင်သာ သိုလှောင်ပြီး လုပ်ဆောင်ကြောင်း အာမခံပါသည်။ အစွန်မှ ဘက်ကင်း API ခေါ်ဆိုမှုများ (အကြောင်းအရာ တင်သွင်းခြင်း အသိပေးချက်များ နှင့် ငွေကြေးလွှဲပြောင်း အီးမေးလ် ပေးပို့ခြင်းအတွက်) EU-အခြေစိုက် AWS အခြေခံအဆောက်အအုံသို့ လမ်းကြောင်းပြောင်းထားပါသည်။
- AI inference သည် သင်ကြားမှုအတွက် input ဒေတာ မသိမ်းဆည်းပေ
၅.၃ Stripe (US)
| ဒေတာ စီးဆင်းမှု | ပါဝင်သော ကိုယ်ရေးအချက်အလက် ဒေတာ | ရည်ရွယ်ချက် |
|---|---|---|
| ငွေပေးချေမှု ဆောင်ရွက်မှု | Website operator billing ဒေတာ (နာမည်, email, ငွေပေးချေမှု နည်းလမ်း) | Subscription နှင့် domain ငွေပေးချေမှု ဆောင်ရွက်မှု |
မှတ်ချက်: Stripe သည် website visitor ကိုယ်ရေးအချက်အလက် ဒေတာ မရဘူး။ Website operator (ကျွန်ုပ်တို့၏ ဖောက်သည်) ၏ billing အချက်အလက်သာ Stripe မှ ဆောင်ရွက်ကြသည်။
Stripe ကာကွယ်မှုများ:
- PCI DSS Level 1 သတ်မှတ်ထား
- ISO 27001 သတ်မှတ်ထား
- SCC ပါဝင်သော Stripe DPA ရနိုင်သည်
၅.၄ AI Inference ပေးသွင်းသူများ (US)
Fireworks AI နှင့် xAI တို့သည် AI model inference ဝန်ဆောင်မှုများ ပေးကြသည်။
| ဒေတာ စီးဆင်းမှု | ပါဝင်သော ကိုယ်ရေးအချက်အလက် ဒေတာ | ရည်ရွယ်ချက် |
|---|---|---|
| စာသား ထုတ်ပေးမှု (website အကြောင်းအရာ) | Website အကြောင်းအရာ (visitor ဒေတာ မဟုတ်) | Website အကြောင်းအရာ ဖန်တီးနှင့် တည်းဖြတ် |
| ပုံ ထုတ်ပေးမှု | စာသား prompts (visitor ဒေတာ မဟုတ်) | Websites အတွက် ပုံ ဖန်တီးမှု |
| Conversational AI (chat agent) | Platform user ၏ နာမည်, email, ဘာသာ ဦးစားပေးချက်နှင့် စကားဝိုင်း သမိုင်း | Platform users (website operators) အတွက် AI-မောင်းနှင်သော ကူညီသူ |
မှတ်ချက်: ဤ AI ပေးသွင်းသူများသည် website visitor ကိုယ်ရေးအချက်အလက် ဒေတာ မရဘူး။ Website visitors ကို ဝန်ဆောင်မှုပေးသော chatbot feature သည် ဤ ပေးသွင်းသူများ မဟုတ်ဘဲ Cloudflare Workers AI (ပိုင်းခြားချက် ၅.၂ တွင် အကဲဖြတ်ထား) ကို အသုံးပြုသည်။ သို့သော် website operators များက ၎င်းတို့၏ website များကို စီမံရန် အသုံးပြုသော platform conversational AI assistant သည် တုံ့ပြန်မှုများ ထုတ်ပေးရာတွင် platform user ကိုယ်ရေးအချက်အလက် ဒေတာ (နာမည်၊ email လိပ်စာနှင့် စကားဝိုင်း သမိုင်း) ကို ဤ ပေးသွင်းသူများသို့ ပေးပို့သည်။ ဤ ဆောင်ရွက်မှုအတွက် Acira AI သည် controller (processor မဟုတ်) အဖြစ် ဆောင်ရွက်ပြီး data subjects များသည် website visitors မဟုတ်ဘဲ ကျွန်ုပ်တို့၏ platform users (website operators) များ ဖြစ်ကြသည်။ ဤ ဒေတာ စီးဆင်းမှုကို visitor data အတွက် DPA ၏ controller-processor ဘောင်အစား ကျွန်ုပ်တို့၏ Privacy Policy နှင့် ဤ ပေးသွင်းသူများနှင့် သဘောတူညီချက်များက ထိန်းချုပ်သည်။
Model မိသားစုများ: ဤ infrastructure ပေးသွင်းသူများသည် တတိယပါတီ အမျိုးမျိုးက ဖန်တီးထားသော AI models များကို host လုပ်ပြီး run လုပ်ကြသည်။ အသုံးပြုသော သီးခြား models နှင့် model families များသည် အချိန်နှင့်အမျှ ပြောင်းလဲနိုင်သည်။ Model developers များသည် မည်သည့် user ဒေတာကိုမျှ မရရှိဘဲ ဝင်ရောက်ခွင့်လည်း မရရှိကြပါ — ဒေတာ ဆောင်ရွက်မှု အားလုံးသည် model ကို မူရင်း ဘယ်နေရာတွင် ဖန်တီးခဲ့သည် မသက်ဆိုင်ဘဲ ဖော်ပြထားသော subprocessors များ၏ infrastructure အတွင်းတွင်သာ လုံးဝ ဖြစ်ပေါ်သည်။ AI inference ဆောင်ရွက်မှု အားလုံးသည် ကျွန်ုပ်တို့ ဖော်ပြထားသော subprocessors များ၏ infrastructure ပေါ်တွင်သာ ဆက်ရှိသည်။ ဤ assessment တွင် ဖော်ပြထားသော subprocessors များ ပြင်ပရှိ infrastructure သို့မဟုတ် model developers များထံ user ဒေတာကို မပေးပို့ပါ။ လက်ရှိ အသုံးပြုနေသော model families စာရင်းကို legal@acira.ai မှ ဆက်သွယ်ခြင်းဖြင့် တောင်းဆိုနိုင်သည်။
၅.၅ BrightData (အစ္စရေး / ကမ္ဘာလုံး)
| ဒေတာ စီးဆင်းမှု | ပါဝင်သော ကိုယ်ရေးအချက်အလက် ဒေတာ | ရည်ရွယ်ချက် |
|---|---|---|
| Web ဒေတာ စုဆောင်းမှု | အများ ရနိုင်သော web အကြောင်းအရာ (visitor ဒေတာ မဟုတ်) | Website ဖန်တီးစဉ် အကြောင်းအရာ import (အသုံးပြုသူ-ညွှန်ကြားမှု) |
| SERP ခြေရာခံမှု | ရှာဖွေသော keyword များ (visitor ဒေတာ မဟုတ်) | Keyword ranking စောင့်ကြည့်မှု |
မှတ်ချက်: BrightData သည် website visitor ကိုယ်ရေးအချက်အလက် ဒေတာ မဆောင်ရွက်ပေ။ ၎င်းသည် အသုံးပြုသူ၏ ညွှန်ကြားချက်အရ အများ ပြည်သူ ရနိုင်သော web အကြောင်းအရာကို ဆောင်ရွက်ပြီး အသုံးပြုသူ သတ်မှတ်ထားသော keywords များအတွက် search engine ranking များကို ခြေရာခံသည်။
၅.၆ EU-အခြေပြု ပေးသွင်းသူများ (လွှဲပြောင်းမှု မရှိ)
| ပေးသွင်းသူ | တည်နေရာ | ရည်ရွယ်ချက် |
|---|---|---|
| Black Forest Labs | ဂျာမနီ (EU) | AI ပုံ ထုတ်ပေးမှု (Flux models) |
| ScreenshotOne | ဥရောပ သမဂ္ဂ | Website screenshot ရိုက်ကူးမှု |
| CloudConvert | ဂျာမနီ (EU) | ဖိုင် format ပြောင်းလဲမှု |
ဤ ပေးသွင်းသူများသည် EU အတွင်း ဒေတာ ဆောင်ရွက်ကြပြီး နိုင်ငံတကာ လွှဲပြောင်းမှု မဟုတ်ပေ။ Black Forest Labs သည် image generation အတွက် text prompts များကိုသာ လက်ခံပြီး ကိုယ်ရေးအချက်အလက် ဒေတာ မပါဝင်ပါ။
၆. ဖြည့်ဆည်းသော အစီအမံများ
SCC များ အပြင် ကျွန်ုပ်တို့သည် လွှဲပြောင်းထားသော ကိုယ်ရေးအချက်အလက် ဒေတာအတွက် မူလ ညီမျှသော ကာကွယ်မှု အဆင့် သေချာစေရန် အောက်ပါ ဖြည့်ဆည်းမှု အစီအမံများ ကျင့်သုံးသည်:
၆.၁ နည်းပညာ အစီအမံများ
| အစီအမံ | ဖော်ပြချက် |
|---|---|
| ဆက်သွယ်ရေးရှိ Encryption | ဧည့်သည်များ၊ edge ကွန်ယက်နှင့် backend ဝန်ဆောင်မှုများကြား လွှဲပြောင်းသော ဒေတာ အားလုံးကို TLS (အနည်းဆုံး TLS 1.2) ဖြင့် Encrypt ဆောင်ရွက်သည်။ ဝန်ဆောင်မှု-ချင်း ဆက်သွယ်ရေး Encrypted channels ကို အသုံးပြုသည်။ |
| Rest တွင် Encryption | ဒေတာဘေ့စ် မှတ်တမ်းများ၊ ဖိုင် သိမ်းဆည်းမှုနှင့် edge-hosted persistent storage အားလုံးကို သက်ဆိုင်ရာ infrastructure ပေးသွင်းသူ ထိန်းသိမ်းသော လုပ်ငန်း-စံ Encryption ဖြင့် rest တွင် Encrypt ဆောင်ရွက်သည်။ |
| Pseudonymization | Visitor analytics သည် ကြမ်းတမ်းသော IP လိပ်စာများ သိမ်းဆည်းမည့်အစား နေ့စဉ်-လှည့်သည့် cryptographic hash (IP + User-Agent + date) ကို အသုံးပြုသည်။ ဤ hash ကို ပြန်မလှည့်နိုင်ပြီး ၂၄ နာရီ တစ်ကြိမ် လှည့်ကာ ရက်ပေါင်း ခြေရာခံမှုကို တားဆီးသည်။ |
| ဒေတာ လျှော့ချမှု | Analytics သည် aggregate-level metadata ကိုသာ စုဆောင်းသည် (နိုင်ငံ, ကိရိယာ အမျိုးအစား, browser)။ ကြမ်းတမ်းသော IP လိပ်စာများကို analytics တွင် မသိမ်းဆည်းပေ။ Chatbot မက်ဆေ့ဂျ်များကို ၂,၀၀၀ အက္ခရာ တွင် ကန့်သတ်ထားသည်။ |
| စကားဝှက် Hashing | Website ကာကွယ်ထားသော နေရာများ၏ ဧည့်သည် စကားဝှက် အားလုံးကို သိမ်းဆည်းမှုမပြုမီ user တစ်ဦးချင်းစီ random salt ပါဝင်သော ခိုင်မာသော cryptographic algorithms ဖြင့် hash ဆောင်ရွက်ကြသည်။ Plain text စကားဝှက်များကို ဘယ်သောအခါမှ မသိမ်းဆည်းပေ သို့မဟုတ် မလွှဲပြောင်းပေ။ |
| ဝင်ရောက်ခွင့် ထိန်းချုပ်မှုများ | Least-privilege ဝင်ရောက်ခွင့် မူဝါဒများသည် စနစ် အစိတ်အပိုင်း တစ်ခုချင်းစီကို ၎င်းလိုအပ်သော အရင်းအမြစ်များသို့သာ ကန့်သတ်သည်။ Website တစ်ခုချင်းစီ API tokens သည် ဝင်ရောက်ခွင့်ကို ပုဂ္ဂိုလ်-website များသို့ ကန့်သတ်သည်။ |
| ကွန်ယက် Isolation | Backend ဝန်ဆောင်မှုများသည် ပြည်တွင်း ကွန်ယက်များမှတဆင့် ဆက်သွယ်ကြသည်။ Website hosting သည် Isolated execution sandboxes တွင် လည်ပတ်သည်။ Custom code လည်ပတ်မှုသည် WebAssembly-အခြေပြု sandboxing ကို အသုံးပြုသည်။ |
| စီရင်ပိုင်ခွင့် ဒေတာ နေထိုင်ရာ | EU နေထိုင်သူများအဖြစ် သတ်မှတ်ထားသော ဝက်ဘ်ဆိုက် လည်ပတ်သူများအတွက်၊ လည်ပတ်သူ ဒေတာ (ဖောင် တင်သွင်းမှုများ၊ ချက်ဘော့ စကားပြောမှုများ၊ ဆက်ရှင် ဒေတာ နှင့် အသုံးပြုသူ ဇယား ဒေတာ) ပါဝင်သော အမြဲတမ်း သိုလှောင်မှုကို ဥရောပသမဂ္ဂသို့ စီရင်ပိုင်ခွင့်အရ ကန့်သတ်ထားပါသည်၊ ဤဒေတာကို EU ဒေတာ စင်တာများတွင်သာ သိုလှောင်ပြီး လုပ်ဆောင်ကြောင်း အာမခံပါသည်။ အလိုအလျောက် လည်ပတ်သူဆိုင်ရာ လုပ်ဆောင်ချက်များ (အကြောင်းအရာ တင်သွင်းခြင်း အသိပေးချက်များ နှင့် ငွေကြေးလွှဲပြောင်း အီးမေးလ် ပေးပို့ခြင်း) ကိုလည်း EU-အခြေစိုက် အခြေခံအဆောက်အအုံတွင် လုပ်ဆောင်ပါသည်။ |
| အလိုအလျောက် ဖျက်ပစ်မှု | Session ဒေတာသည် ၃၀ ရက် မဆောင်ရွက်မှု ပြီးနောက် သက်တမ်းကုန်ဆုံးသည်။ ယာယီ ဖိုင်များကို ၂၄ နာရီ အတွင်း ဖျက်ကြသည်။ Bot challenge ဒေတာ သည် ယာယီ ဖြစ်ပြီး မသိမ်းဆည်းပေ။ |
၆.၂ အဖွဲ့အစည်း အစီအမံများ
| အစီအမံ | ဖော်ပြချက် |
|---|---|
| ဝန်ထမ်းများ လျှို့ဝှက်မှု | ကိုယ်ရေးအချက်အလက် ဒေတာ ဝင်ရောက်ခွင့်ရသော ဝန်ထမ်းများ အားလုံးကို လျှို့ဝှက်မှု တာဝန်ဝတ္တရားများဖြင့် ချည်နှောင်ထားသည်။ |
| Sub-processor Due Diligence | Sub-processors သည် ခေါ်ဆောင်မှုမပြုမီ ၎င်းတို့၏ လုံခြုံရေး အလေ့အထများနှင့် ဒေတာ ကာကွယ်မှု ငြိမ်သက်မှုကို အကဲဖြတ်ကြသည်။ ရေးသားထားသော DPA များ sub-processors အားလုံးနှင့် ရှိသည်။ |
| ဖြစ်ရပ် တုံ့ပြန်မှု | ချိုးဖောက်မှု အကြောင်းကြားမှု လုပ်ထုံးလုပ်နည်းများသည် ကိုယ်ရေးအချက်အလက် ဒေတာ ချိုးဖောက်မှု အတည်ပြုပြီး ၇၂ နာရီ အတွင်း Controllers ကို အသိပေးသည် ဆိုသည်ကို သေချာစေသည်။ |
| ဒေတာ ထိန်းသိမ်းမှု မူဝါဒများ | အလိုအလျောက် ဆောင်ရွက်မှုဖြင့် မှတ်တမ်းတင်ထားသော ထိန်းသိမ်းမှု ကာလများ (TTL-အခြေပြု ဖျက်ပစ်မှု၊ lifecycle မူဝါဒများ)။ |
| လုံခြုံရေး စောင့်ကြည့်မှု | Structured logging, အလိုအလျောက် လုံခြုံရေး စောင့်ကြည့်မှုနှင့် ကျူးကျော်မှု ရှာဖွေမှု။ အမှားနှင့် ရောဂါ စစ်ဆေးမှု logs ကို ၃၀ ရက် အထိ ထိန်းသိမ်းသည်။ |
၆.၃ စာချုပ် အစီအမံများ
| အစီအမံ | ဖော်ပြချက် |
|---|---|
| Standard Contractual Clauses | SCC (Module One, Module Two နှင့် Module Three) ကို ကိုးကားချက်ဖြင့် ကျွန်ုပ်တို့၏ DPA တွင် ထည့်သွင်းထားသည်။ |
| Sub-processor SCC များ | Sub-processor တစ်ခုစီနှင့် ရေးသားထားသော သဘောတူညီချက်များသည် ကျွန်ုပ်တို့၏ DPA တွင်ရှိသောကဲ့သို့ ကာကွယ်မှု မနည်းသော ဒေတာ ကာကွယ်မှု တာဝန်ဝတ္တရားများ ချမှတ်သည်။ |
| အစိုးရ ဝင်ရောက်မှု အကြောင်းကြားမှု | ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ Terms and Conditions တွင် ဖော်ပြထားသည့်အတိုင်း ဥပဒေ ခွင့်ပြုသည့်နေရာတွင် အစိုးရ ဝင်ရောက်မှု တောင်းဆိုချက်များ ကို Controllers ကို အကြောင်းကြားရန် ကတိကဝတ် ပြုသည်။ |
| ဆန့်ကျင်မှု ကတိကဝတ် | ကျွန်ုပ်တို့ကျယ်ပြန့်လွန်းသည် သို့မဟုတ် တရားမဝင်ဟု ယုံကြည်သော အစိုးရ ဝင်ရောက်မှု တောင်းဆိုချက်များကို ဆန့်ကျင်ရန် ကတိကဝတ် ပြုသည်။ |
၇. အန္တရာယ် အကဲဖြတ်ခြင်း
၇.၁ အစိုးရ ဝင်ရောက်မှု ဖြစ်နိုင်ချေ
| အချက် | အကဲဖြတ်ချက် |
|---|---|
| ဒေတာ သဘောသဘာဝ | အဓိကအားဖြင့် သေးငယ်သော လုပ်ငန်း websites မှ pseudonymized analytics၊ ပုံစံ တင်ပြမှုများနှင့် chatbot မက်ဆေ့ဂျ်များ။ ဤ ဒေတာသည် သတင်းရေးရာ တန်ဖိုး နည်းပါးသည်။ |
| ဒေတာ ပမာဏ | နည်းမှ အလတ်။ Website တစ်ခုစီသည် ၎င်း၏ visitor base ကို ဝန်ဆောင်မှုပေးသည်; ကြည့်ရှုစစ်ဆေးမှု ရည်ရွယ်ချက်များအတွက် ဒေတာကို websites ဖြတ်ကာ မပေါင်းစပ်ပေ။ |
| ကုမ္ပဏီ ပရိုဖိုင် | Acira AI သည် သေးငယ်သော လုပ်ငန်း websites Hosting ဆောင်ရွက်သော သေးငယ်သော SaaS ကုမ္ပဏီ ဖြစ်သည်။ ကျွန်ုပ်တို့သည် တယ်လီဆက်သွယ်ရေး ပေးသွင်းသူ မဟုတ်ပေ သို့မဟုတ် မြင့်မားသော-ပရိုဖိုင် ကြည့်ရှုစစ်ဆေးမှု ပစ်မှတ် မဟုတ်ပေ။ |
| သမိုင်း တောင်းဆိုချက်များ | ဤ အကဲဖြတ်မှု ရက်စွဲ အထိ Acira AI သည် FISA ပိုင်းခြားချက် ၇၀၂ ညွှန်ကြားချက်၊ National Security Letter သို့မဟုတ် ဖောက်သည် ဒေတာသို့ အမြောက်အများ ဝင်ရောက်မှုအတွက် မည်သည့် အစိုးရ တောင်းဆိုချက်မဆို မရဘူးဖြစ်ကြသည်။ |
| Sub-processor ပရိုဖိုင် | AWS နှင့် Cloudflare တို့သည် ကျင်းပသော အဖွဲ့အစည်းရေးဆိုင်ရာ အစီရင်ခံစာများ ထုတ်ဝေသည့် ကြီးမားသော infrastructure ပေးသွင်းသူများ ဖြစ်ကြသည်။ ၎င်းတို့၏ ကျင်းပသော အဖွဲ့အစည်းဆိုင်ရာ အစီရင်ခံစာများသည် အစိုးရ တောင်းဆိုချက်များ Hosting ဆောင်ရွက်ထားသော အကြောင်းအရာသို့ အမြောက်အများ ဝင်ရောက်မှု မဟုတ်ဘဲ တိကျသော အကောင့်များကို ပစ်မှတ်ထားကြောင်း ညွှန်ပြသည်။ |
စုစုပေါင်း ဖြစ်နိုင်ချေ: နည်းပါး
၇.၂ ဝင်ရောက်မှု ဖြစ်ပွားပါက သက်ရောက်မှု
| အချက် | အကဲဖြတ်ချက် |
|---|---|
| ဒေတာ ထိခိုက်ဆိုင်ရာ | လွှဲပြောင်းထားသော ဒေတာ အများစုသည် ထိခိုက်ဆိုင်ရာ နည်းပါးသည် (pseudonymized analytics, website visitor metadata)။ ပုံစံ တင်ပြမှုများတွင် website ပေါ် မူတည်ကာ အလတ်-ထိခိုက်ဆိုင်ရာ ဒေတာ (နာမည်, email လိပ်စာများ, မက်ဆေ့ဂျ်များ) ပါဝင်နိုင်သည်။ |
| Pseudonymization ထိရောက်မှု | Analytics ဒေတာကို မသိမ်းဆည်းသော နေ့စဉ်-လှည့်သည့် hash အစိတ်အပိုင်းများ (IP + User-Agent + date) ဝင်ရောက်မှု မပါဘဲ ပုဂ္ဂိုလ်များနှင့် ချိတ်ဆက်နိုင်မည် မဟုတ်ပေ။ |
| ထိတွေ့မှု နယ်ပယ် | မည်သည့် အစိုးရ ဝင်ရောက်ခွင့်မဆို ပလက်ဖောင်း တစ်ခုလုံးကို မဟုတ်ဘဲ သတ်မှတ်ထားသော အကောင့်များ သို့မဟုတ် ဝက်ဘ်ဆိုက်များကိုသာ ဦးတည်ပါမည်။ သီးခြား သိုလှောင်မှု သာဓကများမှတစ်ဆင့် ဝက်ဘ်ဆိုက်တစ်ခုချင်း ဒေတာ ခွဲခြားထားခြင်းသည် ဖြစ်နိုင်ချေရှိသော အပေးအယူ၏ နယ်ပယ်ကို ကန့်သတ်ပါသည်။ EU နေထိုင်သူ ဝက်ဘ်ဆိုက် လည်ပတ်သူများအတွက်၊ အမြဲတမ်း သိုလှောင်မှု နှင့် အလိုအလျောက် လည်ပတ်သူဆိုင်ရာ လုပ်ဆောင်ချက်များ (အကြောင်းအရာ တင်သွင်းခြင်း အသိပေးချက်များ နှင့် ငွေကြေးလွှဲပြောင်း အီးမေးလ် ပေးပို့ခြင်း) ကို EU သို့ ကန့်သတ်ထားပြီး ဤဒေတာအတွက် US အစိုးရ ဝင်ရောက်ခွင့် ထိတွေ့မှုကို ပိုမိုကန့်သတ်ပါသည်။ |
စုစုပေါင်း သက်ရောက်မှု: နည်းမှ အလတ် (ပုဂ္ဂလိက website operators မှ စုဆောင်းသော ဒေတာ ထိခိုက်ဆိုင်ရာ ပေါ် မူတည်ကာ)
၇.၃ ကျန်ရစ်သော အန္တရာယ် အကဲဖြတ်ချက်
အစိုးရ ဝင်ရောက်မှု နည်းပါးသော ဖြစ်နိုင်ချေ၊ ဖြည့်ဆည်းမှု နည်းပညာ အစီအမံများ (Encryption, pseudonymization, ဒေတာ လျှော့ချမှု) နှင့် EO 14086 ဖြင့် မိတ်ဆက်ထားသော ထပ်ဆောင်း ကာကွယ်မှုများကို ထည့်သွင်းစဉ်းစားကာ ကျွန်ုပ်တို့သည် data subjects အတွက် ကျန်ရစ်သော အန္တရာယ် နည်းပါးသည် ဟု အကဲဖြတ်ပြီး ဖြည့်ဆည်းမှု အစီအမံများသည် SCC များ (EEA/UK/ဆွစ်ဇာလန် လွှဲပြောင်းမှုများအတွက်) နှင့် စာချုပ် ကာကွယ်မှုများ (ကနေဒါ လွှဲပြောင်းမှုများအတွက်) နှင့်အတူ EEA အတွင်း အာမခံထားသည့် မူလ ညီမျှသော နှင့် ကနေဒါ ကိုယ်ရေး ဥပဒေ ဖြင့် လိုအပ်သော နှိုင်းယှဉ်နိုင်သော ကာကွယ်မှု အဆင့် ပေးသည် ဟု စစ်ဆေးသည်။
၈. နိဂုံးချုပ်
ဤ အကဲဖြတ်မှုအပေါ် အခြေပြု၍ ကျွန်ုပ်တို့ ကောက်နုတ်ချက် ချမှတ်သည်:
ကျွန်ုပ်တို့ ဝန်ဆောင်မှုများ ပေးဆောင်ခြင်းနှင့် ဆက်နွှယ်၍ EEA/UK/ဆွစ်ဇာလန်/ကနေဒါ မှ အမေရိကန် ပြည်ထောင်စုသို့ လွှဲပြောင်းသော ကိုယ်ရေးအချက်အလက် ဒေတာ သည် EU ဒေတာ ကာကွယ်ရေး ဥပဒေ ဖြင့် အာမခံထားသည့် မူလ ညီမျှသော ကာကွယ်မှု အဆင့် နှင့် ကနေဒါ ကိုယ်ရေး ဥပဒေ ဖြင့် လိုအပ်သော နှိုင်းယှဉ်နိုင်သော ကာကွယ်မှု အဆင့် မှ အကျိုးအမြတ်ရသည်။
ပိုင်းခြားချက် ၆ တွင် ဖော်ပြထားသော ဖြည့်ဆည်းမှု နည်းပညာ၊ အဖွဲ့အစည်းနှင့် စာချုပ် အစီအမံများနှင့် Standard Contractual Clauses တို့ ပေါင်းစပ်ကာ ဤ အကဲဖြတ်မှုတွင် ဖော်ထုတ်ထားသော အန္တရာယ်များကို မှန်ကန်စွာ ကိုင်တွယ်သည်။
ဒေတာ သဘောသဘာဝ (အဓိကအားဖြင့် pseudonymized analytics နှင့် သေးငယ်သော လုပ်ငန်း website visitor ဆက်ဆံမှုများ) နှင့် ဒေတာ import ပြုသူ ပရိုဖိုင် (သေးငယ်သော SaaS ကုမ္ပဏီဖြစ်ပြီး တယ်လီဆက်သွယ်ရေး ပေးသွင်းသူ မဟုတ်) တို့သည် အစိုးရ ကြည့်ရှုစစ်ဆေးမှု လက်တွေ့ အန္တရာယ်ကို သိသိသာသာ လျှော့ချသည်။
Executive Order 14086 နှင့် ၎င်းနှင့် ဆက်စပ်သော redress mechanism မှ မိတ်ဆက်ထားသော ကာကွယ်မှုများသည် အသုံးပြုသော သီးခြား transfer mechanism မည်သို့ပင် ဖြစ်စေ data subjects အားလုံးအတွက် ထပ်ဆောင်း အကာအကွယ်များ ပေးသည်။
ကနေဒါ လွှဲပြောင်းမှုများ အတွက် ဤတွင် ဖော်ပြထားသော စာချုပ် ကာကွယ်မှုများနှင့် ဖြည့်ဆည်းမှု အစီအမံများသည် Quebec ၏ ခေတ်မီ ကိုယ်ရေး ဥပဒေ အပါအဝင် PIPEDA နှင့် သက်ဆိုင်ရာ ပြည်နယ် ကိုယ်ရေး ဥပဒေ ဖြင့် လိုအပ်သော နှိုင်းယှဉ်နိုင်သော ကာကွယ်မှု အဆင့် ကို သေချာစေသည်။
ကျွန်ုပ်တို့သည် US ကြည့်ရှုစစ်ဆေးရေး ဥပဒေ ဖွံ့ဖြိုးတိုးတက်မှုများနှင့် ကနေဒါ ကိုယ်ရေး ဥပဒေ ဖွံ့ဖြိုးတိုးတက်မှုများ (အဆိုပြု Consumer Privacy Protection Act အပါအဝင်) ကို ဆက်လက် စောင့်ကြည့်မည် ဖြစ်ပြီး အခြေအနေများ ကျိုးကြောင်းဆီလျော်စွာ ပြောင်းလဲပါက ဤ TIA ကို ပြန်လည် အကဲဖြတ်မည် ဖြစ်သည်။
ဤတွင် ဖော်ပြထားသော SCC နှင့် ဖြည့်ဆည်းမှု အစီအမံများ ဆက်လက် ကျင့်သုံးမှုကို အကြောင်းအချက်ပြ၍ လွှဲပြောင်းမှုများ ဆက်လက် ဆောင်ရွက်နိုင်သည်။
၉. ပြန်လည်စစ်ဆေးမှု အချိန်ဇယား
ဤ TIA ကို အောက်ပါ အချိန်တွင် ပြန်လည် စစ်ဆေး၍ Update ဆောင်ရွက်မည်:
- နှစ်စဉ်၊ အနည်းဆုံး၊ သို့မဟုတ်
- သက်ဆိုင်ရာ ဥပဒေများ သို့မဟုတ် နိယာမများတွင် ကျိုးကြောင်းဆီလျော်သော ပြောင်းလဲမှုများ ဖြစ်ပေါ်သောအခါ (FISA, CLOUD Act, EO 14086, PIPEDA, သို့မဟုတ် ကနေဒါ ပြည်နယ် ကိုယ်ရေး ဥပဒေ ပြောင်းလဲမှုများ အပါအဝင်),
- ကျွန်ုပ်တို့၏ Sub-processors ပြောင်းလဲမှုများ သို့မဟုတ် လွှဲပြောင်းသော ဒေတာ သဘောသဘာဝ ပေါ်တွင်,
- SCC ၏ ကျင့်သုံးနိုင်မှုကို သို့မဟုတ် US ဒေတာ ကာကွယ်မှု ဖြည့်ဆည်းနိုင်မှုကို ကျိုးကြောင်းဆီလျော်စွာ သက်ရောက်သော မည်သည့် တရားရုံး ဆုံးဖြတ်ချက်မဆို ဖြစ်ပေါ်သောအခါ။
၁၀. ကျွန်ုပ်တို့ကို ဆက်သွယ်ရန်
ဤ ဒေတာလွှဲပြောင်းမှု သက်ရောက်မှု အကဲဖြတ်ခြင်းနှင့် ပတ်သက်၍ မေးခွန်းများ ရှိပါက ကျွန်ုပ်တို့ကို ဆက်သွယ်ပေးပါ:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
အမေရိကန် ပြည်ထောင်စု
ဖုန်း: 888-389-1189
အီးမေးလ်: legal@acira.ai
သင့်ကိုယ်ရေးလုံခြုံမှု၊ ကျွန်ုပ်တို့၏ ဦးစားပေး
ကျွန်ုပ်တို့သည် သင့်ဒေတာကို မရောင်းပါ၊ ခြေရာခံကွတ်ကီးများ မသုံးပါ — ထို့ကြောင့် ဤနေရာတွင် ကွတ်ကီးဘန်နာ မတွေ့ပါ။ ကျွန်ုပ်တို့သည် Global Privacy Control ကို လေးစားပြီး EU ဖောက်သည်များအတွက် ဧည့်သည်ဒေတာကို ဥရောပသမဂ္ဂအတွင်းတွင်သာ သိမ်းဆည်းပြီး စီမံဆောင်ရွက်ပါသည်။
Acira AI
AI ဖြင့် လှပသော ဝက်ဘ်ဆိုက်များ တည်ဆောက်ပါ။ ကုဒ်ရေးရန် မလိုပါ။
အမေရိကန်ပြည်ထောင်စုတွင် ဂုဏ်ယူစွာ တည်ဆောက်ထားသည်
© 2026 Acira AI LLC. မူပိုင်ခွင့်အားလုံး ကာကွယ်ထားသည်။