स्थानान्तरण प्रभाव मूल्याङ्कन
हस्तान्तरण प्रभाव मूल्यांकन
अन्तिम अद्यावधिक: मार्च 19, 2026
यो हस्तान्तरण प्रभाव मूल्यांकन ("TIA") Acira AI LLC ("Acira AI," "हामी," "हाम्रो") द्वारा युरोपेली न्यायालयको Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (मुद्दा C-311/18, "Schrems II") निर्णय र युरोपेली डेटा संरक्षण बोर्डको सिफारिसहरू (EDPB Recommendations 01/2020 on supplementary measures) अनुसार तयार गरिएको हो।
यो TIA ले युरोपेली आर्थिक क्षेत्र ("EEA"), युनाइटेड किंगडम ("UK"), स्विट्जरल्याण्ड, र क्यानाडाबाट हाम्रो सेवाहरूको प्रावधानसँग सम्बन्धित संयुक्त राज्य अमेरिका र अन्य तेस्रो देशहरूमा व्यक्तिगत डेटा हस्तान्तरणका लागि संरक्षणको पर्याप्तताको मूल्यांकन गर्दछ।
यो TIA तपाईंको सुविधाका लागि अन्य भाषाहरूमा अनुवाद गरिएको हुन सक्छ। अंग्रेजी संस्करण र कुनै पनि अनुवादित संस्करण बीच कुनै विरोधाभास वा असंगतिको अवस्थामा, अंग्रेजी संस्करण मान्य हुनेछ।
सामग्री तालिका
- हस्तान्तरणको अवलोकन
- हस्तान्तरित डेटाको प्रकृति
- हस्तान्तरण संयन्त्रहरू
- गन्तव्य देश कानूनहरूको मूल्यांकन
- सेवा प्रदायकद्वारा डेटा प्रवाहको मूल्यांकन
- पूरक उपायहरू
- जोखिम मूल्यांकन
- निष्कर्ष
- समीक्षा तालिका
- हामीलाई सम्पर्क गर्नुहोस्
१. हस्तान्तरणको अवलोकन
१.१ सन्दर्भ
Acira AI एक सफ्टवेयर-एज-ए-सर्भिस प्लेटफर्म हो जसले व्यवसायहरू र व्यक्तिहरूलाई AI-संचालित वेबसाइटहरू सिर्जना, व्यवस्थापन र होस्ट गर्न सक्षम बनाउँछ। जब प्रयोगकर्ताहरूले EEA, UK, स्विट्जरल्याण्ड वा क्यानाडामा अवस्थित आगन्तुकहरूद्वारा पहुँच गरिने वेबसाइटहरू सिर्जना गर्छन्, ती आगन्तुकहरूको व्यक्तिगत डेटा हाम्रा पूर्वाधार प्रदायकहरूले सञ्चालन गर्ने संयुक्त राज्य अमेरिका र अन्य स्थानहरूमा हस्तान्तरण र प्रशोधन गरिन सक्छ।
१.२ पक्षहरू
- डेटा निर्यातकर्ता: वेबसाइट अपरेटर (हाम्रो ग्राहक, नियन्त्रकको रूपमा काम गर्ने) र, विश्लेषण डेटाका लागि, संयुक्त नियन्त्रकको रूपमा Acira AI।
- डेटा आयातकर्ता: Acira AI LLC, नेभाडा, संयुक्त राज्य अमेरिकामा निगमित, प्रशोधकको रूपमा (र विश्लेषणका लागि संयुक्त नियन्त्रक) काम गर्दछ।
- उप-प्रशोधकहरू: Acira AI द्वारा संलग्न तेस्रो-पक्ष सेवा प्रदायकहरू (धारा ५ मा सूचीबद्ध)।
१.३ हस्तान्तरण गन्तव्यहरू
| गन्तव्य | प्रदायकहरू | आधार |
|---|---|---|
| संयुक्त राज्य अमेरिका र युरोपेली संघ (स्टकहोम) | AWS | SCCs + पूरक उपायहरू (US); EU बासिन्दा स्वचालित आगन्तुक-मुखी सञ्चालनहरूको लागि EEA-भित्री |
| संयुक्त राज्य अमेरिका | Stripe, Fireworks AI, xAI | SCCs + पूरक उपायहरू |
| विश्वव्यापी (एज स्थानहरू) | Cloudflare | SCCs + पूरक उपायहरू |
| इजरायल | BrightData (प्रयोगकर्ता-निर्देशित मात्र) | SCCs + पूरक उपायहरू |
| युरोपेली संघ | Black Forest Labs, ScreenshotOne, CloudConvert | Intra-EEA (हस्तान्तरण संयन्त्र आवश्यक छैन) |
२. हस्तान्तरित डेटाको प्रकृति
२.१ व्यक्तिगत डेटाका श्रेणीहरू
हस्तान्तरित व्यक्तिगत डेटा वेबसाइट अपरेटरद्वारा सक्षम सुविधाहरू र वेबसाइट आगन्तुकहरूको अन्तरक्रियामा निर्भर गर्दछ। निम्न श्रेणीहरू हस्तान्तरित हुन सक्छन्:
| डेटा श्रेणी | विवरण | संवेदनशीलता | मात्रा |
|---|---|---|---|
| विश्लेषण पहिचानकर्ताहरू | IP + User-Agent + मिति को दैनिक-रोटेटिङ क्रिप्टोग्राफिक ह्याश (pseudonymized) | कम | उच्च (प्रत्येक पृष्ठ दृश्य) |
| आगन्तुक मेटाडेटा | देश, क्षेत्र, भाषा, उपकरण प्रकार, ब्राउजर, OS, रेफरर डोमेन, UTM मापदण्डहरू | कम | उच्च (प्रत्येक पृष्ठ दृश्य) |
| IP ठेगानाहरू | फारम सबमिशन र च्याटबट कुराकानीसँग मेटाडेटाको रूपमा भण्डारण; विश्लेषणका लागि ह्याश गरिएको; बट चुनौती प्रमाणीकरणका लागि अस्थायी रूपमा प्रयोग गरिएको; दर सीमित गर्नका लागि अस्थायी रूपमा भण्डारण (७ दिनसम्म) | मध्यम | मध्यम |
| फारम सबमिशन सामग्री | आगन्तुकहरूद्वारा सबमिट गरिएका स्वतन्त्र-पाठ फिल्डहरू (नामहरू, इमेलहरू, सन्देशहरू, आदि) | परिवर्तनशील (फारममा निर्भर) | कम देखि मध्यम |
| च्याटबट सन्देशहरू | आगन्तुक सन्देशहरू र AI-उत्पन्न प्रतिक्रियाहरू (प्रति सन्देश अधिकतम २,००० क्यारेक्टर) | कम देखि मध्यम | कम |
| फाइल अपलोडहरू | वेबसाइट फारमहरू मार्फत आगन्तुकहरूद्वारा अपलोड गरिएका फाइलहरू (छविहरू, कागजातहरू) | परिवर्तनशील | कम |
| सत्र पहिचानकर्ताहरू | सर्भर-साइड सत्र ID हरू र क्लाइन्ट-साइड सत्र कुकीहरू | कम | उच्च |
| प्रमाणीकरण प्रमाणहरू | वेबसाइट संरक्षित क्षेत्रहरूका लागि पासवर्डहरू (ह्याश गरिएको रूपमा मात्र भण्डारण) | उच्च (तर ह्याश गरिएको) | कम |
२.२ डेटा विषयहरूका श्रेणीहरू
- Acira AI प्लेटफर्ममा होस्ट गरिएका वेबसाइटहरूका आगन्तुकहरू
- प्लेटफर्ममा होस्ट गरिएका वेबसाइटहरूमा खाता सिर्जना गर्ने प्रयोगकर्ताहरू
- होस्ट गरिएका वेबसाइटहरूमा फारमहरू सबमिट गर्ने, च्याटबटहरूसँग अन्तरक्रिया गर्ने वा फाइलहरू अपलोड गर्ने प्रयोगकर्ताहरू
२.३ हस्तान्तरित नगरिएका डेटा
- भौगोलिक स्थान डेटा: IP-देखि-स्थान खोजीहरू हाम्रो पूर्वाधार प्रदायकद्वारा नेटवर्क एजमा गरिन्छन्। कुनै पनि आगन्तुक IP ठेगाना कुनै बाह्य भौगोलिक स्थान सेवामा पठाइँदैन।
- कच्चा विश्लेषण IP ठेगानाहरू: केवल दैनिक-रोटेटिङ क्रिप्टोग्राफिक ह्याश भण्डारण गरिन्छ; कच्चा IP हरू विश्लेषण प्रणालीहरूमा टिकाइँदैनन्।
- प्लेनटेक्स्टमा पासवर्डहरू: केवल क्रिप्टोग्राफिक ह्याशहरू भण्डारण र हस्तान्तरण गरिन्छन्।
३. हस्तान्तरण संयन्त्रहरू
३.१ प्राथमिक संयन्त्र: मानक संविदात्मक खण्डहरू
हामी Commission Implementing Decision (EU) 2021/914 द्वारा अपनाइएका युरोपेली आयोगका Standard Contractual Clauses (SCCs) मा भर पर्दछौं, विशेष रूपमा:
- मोड्युल एक (नियन्त्रकदेखि नियन्त्रक): विश्लेषण डेटाका हस्तान्तरणका लागि जहाँ Acira AI ले वेबसाइट अपरेटरसँग संयुक्त नियन्त्रकको रूपमा काम गर्दछ (DPA धारा २.३ हेर्नुहोस्)।
- मोड्युल दुई (नियन्त्रकदेखि प्रशोधक): वेबसाइट अपरेटर (नियन्त्रक) बाट Acira AI (प्रशोधक) मा आगन्तुक व्यक्तिगत डेटाको हस्तान्तरणका लागि।
- मोड्युल तीन (प्रशोधकदेखि उप-प्रशोधक): Acira AI बाट हाम्रा उप-प्रशोधकहरूमा अग्रगामी हस्तान्तरणका लागि।
३.२ UK, स्विस र क्यानेडियन हस्तान्तरणहरू
- UK: EU SCCs मा UK International Data Transfer Addendum लागू हुन्छ।
- स्विट्जरल्याण्ड: SCCs लागू हुन्छन् जसमा Swiss Federal Act on Data Protection (FADP) द्वारा आवश्यक परिमार्जनहरू सहित।
- क्यानाडा: हस्तान्तरणहरूले Personal Information Protection and Electronic Documents Act (PIPEDA) र लागू प्रान्तीय गोपनीयता कानूनसँग सुसंगत दायित्वहरू लगाउने प्रत्येक उप-प्रशोधकसँग संविदात्मक संरक्षणमा भर पर्दछ, धारा ६ मा वर्णित पूरक प्राविधिक र संगठनात्मक उपायहरूसँग संयुक्त। विवरणका लागि DPA धारा ७.४ हेर्नुहोस्।
३.३ उप-प्रशोधक हस्तान्तरण संयन्त्रहरू
| उप-प्रशोधक | हस्तान्तरण संयन्त्र |
|---|---|
| Amazon Web Services | SCCs (AWS DPA), ISO 27001/27017/27018 प्रमाणित |
| Cloudflare | SCCs (Cloudflare DPA), ISO 27001 प्रमाणित |
| Stripe | SCCs (Stripe DPA), PCI DSS Level 1 प्रमाणित |
| Fireworks AI | SCCs (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001 प्रमाणित |
| xAI | SCCs (xAI DPA with EU SCCs) |
| BrightData | SCCs (BrightData DPA) |
४. गन्तव्य देश कानूनहरूको मूल्यांकन
४.१ संयुक्त राज्य अमेरिका
संयुक्त राज्य अमेरिका हस्तान्तरित डेटाको प्राथमिक गन्तव्य हो। निम्न US कानूनहरू यस मूल्यांकनका लागि सान्दर्भिक छन्:
४.१.१ Foreign Intelligence Surveillance Act (FISA), धारा ७०२
FISA धारा ७०२ ले US सरकारलाई विदेशी खुफिया उद्देश्यका लागि संयुक्त राज्य अमेरिका बाहिर अवस्थित गैर-US व्यक्तिहरूको संचारमा पहुँच प्रदान गर्न इलेक्ट्रोनिक संचार सेवा प्रदायकहरूलाई बाध्य गर्ने अधिकार दिन्छ।
जोखिमको मूल्यांकन:
- लागूयोग्यता: FISA धारा ७०२ ले 50 U.S.C. § 1881(b)(4) मा परिभाषित "इलेक्ट्रोनिक संचार सेवा प्रदायकहरू" मा लागू हुन्छ। Acira AI एक SaaS वेबसाइट होस्टिङ प्लेटफर्म हो, परम्परागत दूरसञ्चार प्रदायक होइन। हाम्रा उप-प्रशोधकहरू (AWS, Cloudflare) धारा ७०२ निर्देशनहरूको अधीनमा हुने अधिक सम्भावना छ।
- जोखिममा डेटाको दायरा: हामीले प्रशोधन गर्ने व्यक्तिगत डेटा मुख्य रूपमा वेबसाइट आगन्तुक विश्लेषण (छद्म-नामीकृत), फारम सबमिशन र च्याटबट सन्देशहरू हुन्। यो डेटा विदेशी खुफिया रुचिको हुने सम्भावना कम छ।
- व्यावहारिक सम्भावना: हामीले कहिल्यै FISA धारा ७०२ निर्देशन प्राप्त गरेका छैनौं र हाम्रा सेवाहरूको प्रकृति र हामीले प्रशोधन गर्ने डेटालाई ध्यानमा राख्दा एउटा प्राप्त गर्ने व्यावहारिक सम्भावना धेरै कम मूल्यांकन गर्दछौं।
४.१.२ Executive Order 12333
EO 12333 ले US खुफिया एजेन्सीहरूलाई सिग्नल इन्टेलिजेन्सको थोक संग्रह सहित निगरानी गतिविधिहरू सञ्चालन गर्न अधिकृत गर्दछ। यो ट्रान्जिटमा डेटामा लागू हुन्छ र निजी कम्पनीहरूलाई सहयोग गर्न बाध्य गर्दैन।
जोखिमको मूल्यांकन:
- शमन: ट्रान्जिटमा सबै डेटा TLS प्रयोग गरी एन्क्रिप्ट गरिएको छ। ट्रान्जिटमा एन्क्रिप्टेड डेटाको थोक अवरोधनले प्लेनटेक्स्ट व्यक्तिगत डेटा उत्पादन गर्दैन।
- व्यावहारिक सम्भावना: कम। हाम्रा सेवाहरू मार्फत प्रशोधित डेटा सिग्नल इन्टेलिजेन्सद्वारा सामान्यतः लक्षित प्रकृतिको हैन।
४.१.३ Executive Order 14086 र EU-US Data Privacy Framework
Executive Order 14086 (अक्टोबर २०२२) ले सिग्नल इन्टेलिजेन्स गतिविधिहरूका लागि थप सुरक्षाहरू परिचय गर्यो, जसमा समावेश छन्:
- खुफिया संग्रहका लागि आवश्यकता र अनुपातिकता आवश्यकताहरू
- EU/UK/स्विस व्यक्तिहरूका लागि उपलब्ध दुई-स्तरीय उपचार संयन्त्र (Civil Liberties Protection Officer + Data Protection Review Court)
- थोक संग्रहमा सीमाहरू
युरोपेली आयोगले जुलाई १०, २०२३ मा EU-US Data Privacy Framework (DPF) का लागि पर्याप्तता निर्णय अपनायो। यद्यपि Acira AI हाल DPF अन्तर्गत स्व-प्रमाणित छैन, EO 14086 अन्तर्गतका संरक्षणहरू संयुक्त राज्य अमेरिकामा सबै डेटा हस्तान्तरणहरूमा व्यापक रूपमा लागू हुन्छन् र प्रयोग गरिएको हस्तान्तरण संयन्त्रको ध्यान नगरी सबै डेटा विषयहरूलाई फाइदा पुर्याउँछन्।
४.१.४ CLOUD Act
Clarifying Lawful Overseas Use of Data (CLOUD) Act ले US कानून प्रवर्तनलाई डेटा कहाँ भण्डारण गरिएको छ ध्यान नगरी, वैध वारेन्ट वा अदालती आदेश अधीन, US-आधारित प्रदायकहरूलाई डेटा उत्पादन गर्न बाध्य गर्न अनुमति दिन्छ।
जोखिमको मूल्यांकन:
- सुरक्षाहरू: CLOUD Act लाई वैध कानूनी प्रक्रिया (वारेन्ट, समन, वा अदालती आदेश) आवश्यक पर्दछ। यसले वारेन्टरहित थोक पहुँच अधिकृत गर्दैन।
- कमिटी प्रावधानहरू: CLOUD Act मा एउटा कमिटी फ्रेमवर्क समावेश छ जसले प्रदायकहरूलाई विदेशी कानूनसँग विरोध गर्ने आदेशहरूलाई चुनौती दिन अनुमति दिन्छ।
- व्यावहारिक सम्भावना: वेबसाइट आगन्तुक डेटाका लागि कम। कानून प्रवर्तन अनुरोधहरू आगन्तुक विश्लेषण वा फारम सबमिशनहरू होइन, आपराधिक गतिविधिको संदेह भएका विशिष्ट खाताहरूलाई लक्षित गर्ने अधिक सम्भावना छ।
४.२ इजरायल (BrightData)
BrightData इजरायलमा आधारित छ। इजरायलसँग युरोपेली आयोगको पर्याप्तता निर्णय (2011/61/EU) छ, जसको अर्थ इजरायलमा हस्तान्तरणहरूलाई Intra-EEA हस्तान्तरणहरू जस्तै व्यवहार गरिन्छ। तथापि, BrightData अन्य विश्वव्यापी स्थानहरूमा पनि डेटा प्रशोधन गर्दछ। हामी नोट गर्दछौं कि:
- BrightData प्रशोधन प्रयोगकर्ता-निर्देशित हुँदा मात्र (सामग्री आयातका लागि वेबसाइट सिर्जनाको क्रममा) वा निर्धारित SERP ट्र्याकिङको क्रममा हुन्छ।
- कुनै पनि वेबसाइट आगन्तुक व्यक्तिगत डेटा BrightData मा प्रसारित गरिँदैन।
४.३ क्यानाडा (क्यानाडाबाट संयुक्त राज्य अमेरिकामा हस्तान्तरण)
क्यानाडामा अवस्थित वेबसाइट आगन्तुकहरूको व्यक्तिगत डेटा प्रशोधनका लागि संयुक्त राज्य अमेरिकामा हस्तान्तरित हुन सक्छ। निम्न क्यानेडियन कानूनहरू यस मूल्यांकनका लागि सान्दर्भिक छन्:
४.३.१ Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA ले व्यावसायिक गतिविधिहरूको क्रममा निजी-क्षेत्रका संस्थाहरूद्वारा व्यक्तिगत जानकारीको संग्रह, प्रयोग र प्रकटीकरण नियन्त्रण गर्दछ। PIPEDA सिद्धान्त ४.१.३ मा आवश्यक छ कि संस्थाहरूले व्यक्तिगत जानकारी प्रशोधनका लागि तेस्रो पक्षहरूमा हस्तान्तरित गर्दा, क्यानाडा बाहिरका हस्तान्तरणहरू सहित, तुलनीय स्तरको संरक्षण सुनिश्चित गर्न संविदात्मक वा अन्य माध्यमहरू प्रयोग गर्नुपर्छ।
जोखिमको मूल्यांकन:
- तुलनीय संरक्षण: धारा ६ मा वर्णित पूरक उपायहरू (एन्क्रिप्सन, छद्म-नामीकरण, पहुँच नियन्त्रणहरू, डेटा न्यूनीकरण) PIPEDA अन्तर्गत आवश्यक स्तरको तुलनीय संरक्षण स्तर प्रदान गर्दछन्। सबै उप-प्रशोधकहरूसँग लिखित डेटा प्रशोधन सम्झौताहरू छन्।
- पर्याप्तता आवश्यकता छैन: GDPR को विपरीत, PIPEDA ले "पर्याप्तता" निष्कर्ष नभएका देशहरूमा हस्तान्तरण प्रतिबन्ध लगाउँदैन। संस्थाहरूले संविदात्मक र अन्य माध्यमहरू मार्फत तुलनीय संरक्षण सुनिश्चित गर्नुपर्छ, जुन हामीले लागू गरेका छौं।
४.३.२ प्रान्तीय गोपनीयता कानून
Alberta को Personal Information Protection Act (PIPA), British Columbia को Personal Information Protection Act (PIPA), र Quebec को निजी क्षेत्रमा व्यक्तिगत जानकारीको संरक्षणसम्बन्धी ऐनले केही प्रान्तहरूका लागि थप आवश्यकताहरू लगाउँछन्:
जोखिमको मूल्यांकन:
- Quebec Law 25: Quebec को आधुनिकीकृत गोपनीयता कानून (सेप्टेम्बर २०२३ देखि लागू) ले Quebec बाहिर व्यक्तिगत जानकारी हस्तान्तरण गर्नु अघि गोपनीयता प्रभाव मूल्यांकन आवश्यक पर्दछ, र हस्तान्तरण गर्ने संस्था जानकारीले पर्याप्त संरक्षण प्राप्त गर्नेछ भनी सन्तुष्ट हुनुपर्छ। हाम्रा संविदात्मक संरक्षणहरू, पूरक प्राविधिक उपायहरू, र डेटाको प्रकृति (मुख्य रूपमा छद्म-नामीकृत विश्लेषण र साना-व्यवसाय वेबसाइट अन्तरक्रियाहरू) पर्याप्त संरक्षणको निष्कर्षलाई समर्थन गर्दछन्।
- Alberta र BC: Alberta र BC का PIPAs हरूले संस्थाहरूलाई हस्तान्तरित डेटाका लागि तुलनीय संरक्षण सुनिश्चित गर्न आवश्यक पर्दछ। हाम्रा संविदात्मक र प्राविधिक सुरक्षाहरूले यो आवश्यकता पूरा गर्दछन्।
४.३.३ क्यानेडियन दृष्टिकोणबाट US सरकारी पहुँच
धारा ४.१ मा मूल्यांकन गरिएका US सरकारी पहुँचका जोखिमहरू क्यानेडियन डेटा हस्तान्तरणहरूमा पनि लागू हुन्छन्। सरकारी पहुँचको कम सम्भावना (डेटाको प्रकृति र हाम्रो कम्पनी प्रोफाइललाई ध्यानमा राख्दा), धारा ६ का पूरक उपायहरूसँग संयुक्त, सुनिश्चित गर्दछ कि क्यानाडाबाट संयुक्त राज्य अमेरिकामा हस्तान्तरित व्यक्तिगत डेटाले क्यानेडियन गोपनीयता कानून अन्तर्गत आवश्यक तुलनीय स्तरको संरक्षण प्राप्त गर्दछ।
४.४ विश्वव्यापी एज स्थानहरू (Cloudflare)
Cloudflare ले edge स्थानहरूको विश्वव्यापी नेटवर्क सञ्चालन गर्दछ। EU आगन्तुक अनुरोधहरू सामान्यतया निकटतम Cloudflare उपस्थिति बिन्दुमा प्रक्रिया गरिन्छन्, जुन EU आगन्तुकहरूको लागि सामान्यतया EU स्थान हुनेछ।
- अनुरोध रूटिङ, TLS समाप्ति, र बट सुरक्षा निकटतम edge स्थानमा हुन्छ।
- EU बासिन्दाको रूपमा पहिचान गरिएका वेबसाइट अपरेटरहरूको लागि, स्थायी भण्डारण (फारम सबमिशन, च्याटबट कुराकानी, र सत्र डेटा सहित) Cloudflare को अधिकारक्षेत्र API प्रयोग गरेर युरोपेली संघमा अधिकारक्षेत्रीय रूपमा प्रतिबन्धित छ। गैर-EU वेबसाइट अपरेटरहरूको लागि, स्थायी भण्डारण अपरेटरको भौगोलिक क्षेत्र नजिक अवस्थित छ तर EU बाहिर हुन सक्छ।
- विश्लेषण डेटा Cloudflare-व्यवस्थापित पूर्वाधारमा प्रक्रिया गरिन्छ।
५. सेवा प्रदायकद्वारा डेटा प्रवाहको मूल्यांकन
५.१ Amazon Web Services (US)
| डेटा प्रवाह | संलग्न व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| डाटाबेस भण्डारण | फारम सबमिशन मेटाडेटा (IP, देश, क्षेत्र), च्याटबट कुराकानी रेकर्ड, फाइल मेटाडेटा, सत्र रेकर्ड | वेबसाइट आगन्तुक डेटाको स्थायी भण्डारण |
| फाइल भण्डारण | अपलोड गरिएका फाइलहरू (तस्बिर, कागजातहरू), तैनाती स्न्यापशटहरू | फाइल भण्डारण |
| AI अनुमान | फाइल सामग्री (AI विवरणहरूको लागि), इमेल सामग्री (स्प्याम पहिचानको लागि) | AI-संचालित विवरण र स्प्याम वर्गीकरण |
| सामग्री मोडरेशन | अपलोड गरिएका तस्बिरहरू | सामग्री मोडरेशन (नग्नता/स्पष्ट सामग्री पहिचान) |
| इमेल डेलिभरी | इमेल ठेगानाहरू, सन्देश सामग्री | लेनदेन इमेल डेलिभरी र सामग्री पेश गर्ने सूचनाहरू। EU बासिन्दा वेबसाइट सञ्चालकहरूको लागि, यी सञ्चालनहरू युरोपेली संघ (स्टकहोम) मा प्रशोधन गरिन्छ। |
| भाषा पहिचान | इमेल सन्देश पाठ | भाषा पहिचान |
AWS सुरक्षाहरू:
- ISO 27001, 27017, 27018 प्रमाणित
- SOC 1/2/3 रिपोर्टहरू उपलब्ध
- उद्योग-मानक इन्क्रिप्शन प्रयोग गरेर विश्रामस्थ डेटा इन्क्रिप्ट गरिएको छ
- ट्रान्जिटमा डेटा एन्क्रिप्टेड (TLS)
- प्रति प्रणाली घटक न्यूनतम-विशेषाधिकार पहुँच नियन्त्रणहरू
- प्राथमिक सेवाहरू संयुक्त राज्य अमेरिकामा होस्ट गरिएका छन्; EU बासिन्दा वेबसाइट सञ्चालकहरूको लागि स्वचालित आगन्तुक-मुखी सञ्चालनहरू (सामग्री पेश गर्ने सूचनाहरू र लेनदेन इमेल डेलिभरी) युरोपेली संघ (स्टकहोम) मा प्रशोधन गरिन्छ
५.२ Cloudflare (विश्वव्यापी)
| डेटा प्रवाह | संलग्न व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| एज रूटिङ | IP ठेगानाहरू, HTTP हेडरहरू, अनुरोध URL हरू | अनुरोध रूटिङ, DDoS संरक्षण, TLS समाप्ति |
| वेबसाइट होस्टिङ | पृष्ठ सामग्री, आगन्तुक मेटाडेटा | वेबसाइट होस्टिङ र डेलिभरी |
| स्थायी भण्डारण | फारम सबमिशन, च्याटबट कुराकानी, सत्र डेटा, प्रयोगकर्ता तालिका डेटा | प्रति-वेबसाइट स्टेटफुल भण्डारण |
| विश्लेषण | Pseudonymized आगन्तुक ह्याश, देश, उपकरण, ब्राउजर, रेफरर, UTM | गोपनीयता-मैत्री आगन्तुक विश्लेषण |
| AI अनुमान | च्याटबट सन्देशहरू, फारम फिल्ड सारांशहरू | AI च्याटबट प्रतिक्रियाहरू, स्प्याम पहिचान |
| सम्पत्ति भण्डारण | वेबसाइट सम्पत्तिहरू (तस्बिर, फाइलहरू) | स्थिर सम्पत्ति भण्डारण र CDN डेलिभरी |
Cloudflare सुरक्षाहरू:
- ISO 27001 प्रमाणित, SOC 2 Type II
- सबै जडानहरूका लागि TLS 1.2+
- SCCs सहित Cloudflare DPA उपलब्ध
- एज प्रशोधनको अर्थ EU आगन्तुक डेटा सामान्यतया अनुरोध ह्यान्डलिङका लागि EU एज स्थानहरूमा प्रशोधन हुन्छ
- EU बासिन्दा भनी पहिचान गरिएका वेबसाइट सञ्चालकहरूको लागि, स्थायी भण्डारण (फारम पेशीहरू, च्याटबट कुराकानीहरू, सत्र डेटा र प्रयोगकर्ता तालिका डेटा समावेश गर्ने) Cloudflare को क्षेत्राधिकार API प्रयोग गरेर युरोपेली संघमा क्षेत्राधिकारिक रूपमा प्रतिबन्धित छ, यो डेटा विशेष रूपमा EU डेटा केन्द्रहरूमा भण्डारण र प्रशोधन गरिन्छ भनी सुनिश्चित गर्दछ। किनाराबाट ब्याकएन्ड API कलहरू (सामग्री पेश गर्ने सूचनाहरू र लेनदेन इमेल डेलिभरीको लागि) EU-आधारित AWS पूर्वाधारमा रुट गरिन्छ।
- AI अनुमानले प्रशिक्षणको लागि इनपुट डेटा राख्दैन
५.३ Stripe (US)
| डेटा प्रवाह | संलग्न व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| भुक्तानी प्रशोधन | वेबसाइट अपरेटर बिलिङ डेटा (नाम, इमेल, भुक्तानी विधि) | सदस्यता र डोमेन भुक्तानी प्रशोधन |
नोट: Stripe ले वेबसाइट आगन्तुक व्यक्तिगत डेटा प्राप्त गर्दैन। केवल वेबसाइट अपरेटरको (हाम्रो ग्राहकको) बिलिङ जानकारी Stripe द्वारा प्रशोधन गरिन्छ।
Stripe सुरक्षाहरू:
- PCI DSS Level 1 प्रमाणित
- ISO 27001 प्रमाणित
- SCCs सहित Stripe DPA उपलब्ध
५.४ AI अनुमान प्रदायकहरू (US)
Fireworks AI र xAI ले AI मोडेल अनुमान सेवाहरू प्रदान गर्दछन्।
| डेटा प्रवाह | संलग्न व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| पाठ उत्पादन (वेबसाइट सामग्री) | वेबसाइट सामग्री (आगन्तुक डेटा होइन) | वेबसाइट सामग्री सिर्जना र सम्पादन |
| छवि उत्पादन | पाठ प्रम्प्टहरू (आगन्तुक डेटा होइन) | वेबसाइटहरूका लागि छवि सिर्जना |
| संवादात्मक AI (च्याट एजेन्ट) | प्लेटफर्म प्रयोगकर्ता नाम, इमेल, भाषा प्राथमिकता र कुराकानी इतिहास | प्लेटफर्म प्रयोगकर्ताहरूका लागि AI-संचालित सहायक (वेबसाइट अपरेटरहरू) |
नोट: यी AI प्रदायकहरूले वेबसाइट आगन्तुक व्यक्तिगत डेटा प्राप्त गर्दैनन्। च्याटबट सुविधा (वेबसाइट आगन्तुकहरूलाई सेवा गर्दै) Cloudflare Workers AI (धारा ५.२ मा मूल्यांकन गरिएको) प्रयोग गर्दछ, यी प्रदायकहरू होइन। तथापि, प्लेटफर्मको संवादात्मक AI सहायक — वेबसाइट अपरेटरहरूले आफ्ना वेबसाइटहरू व्यवस्थापन गर्न प्रयोग गर्दछन् — ले प्रतिक्रियाहरू उत्पादन गर्ने भागको रूपमा यी प्रदायकहरूलाई प्लेटफर्म प्रयोगकर्ता व्यक्तिगत डेटा (नाम, इमेल ठेगाना र कुराकानी इतिहास) पठाउँछ। यस प्रशोधनका लागि, Acira AI ले नियन्त्रक (प्रशोधक होइन) को रूपमा काम गर्दछ, र डेटा विषयहरू हाम्रा प्लेटफर्म प्रयोगकर्ताहरू (वेबसाइट अपरेटरहरू) हुन्, तिनीहरूका वेबसाइट आगन्तुकहरू होइनन्। यो डेटा प्रवाह आगन्तुक डेटाका लागि नियन्त्रक-प्रशोधक फ्रेमवर्कको DPA को सट्टा हाम्रो गोपनीयता नीति र यी प्रदायकहरूसँगका हाम्रा सम्झौताहरूद्वारा नियन्त्रित छ।
मोडल परिवारहरू: यी पूर्वाधार प्रदायकहरूले विभिन्न तेस्रो पक्षहरूद्वारा विकसित AI मोडलहरू होस्ट र कार्यान्वयन गर्दछन्। प्रयोग गरिएका विशिष्ट मोडल र मोडल परिवारहरू समयसँगै परिवर्तन हुन सक्छन्। मोडल विकासकर्ताहरूले कुनै पनि प्रयोगकर्ता डेटा प्राप्त गर्दैनन् वा पहुँच गर्दैनन् — सबै डेटा प्रक्रिया सूचीबद्ध उप-प्रक्रियाकर्ताहरूको पूर्वाधारभित्र मात्र हुन्छ, मोडल मूलतः कहाँ विकसित भएको थियो भन्नेमा ध्यान नदिई। सबै AI अनुमान प्रक्रिया हाम्रा सूचीबद्ध उप-प्रक्रियाकर्ताहरूको पूर्वाधारमा रहन्छ। कुनै पनि प्रयोगकर्ता डेटा मोडल विकासकर्ताहरू वा यस मूल्याङ्कनमा सूचीबद्ध उप-प्रक्रियाकर्ताहरू बाहिरको पूर्वाधारमा पठाइँदैन। प्रयोगमा रहेका मोडल परिवारहरूको हालको सूची legal@acira.ai मा सम्पर्क गरेर अनुरोधमा उपलब्ध छ।
५.५ BrightData (इजरायल / विश्वव्यापी)
| डेटा प्रवाह | संलग्न व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| वेब डेटा संग्रह | सार्वजनिक रूपमा उपलब्ध वेब सामग्री (आगन्तुक डेटा होइन) | वेबसाइट सिर्जनाको क्रममा सामग्री आयात (प्रयोगकर्ता-निर्देशित) |
| SERP ट्र्याकिङ | खोज कुञ्जी शब्दहरू (आगन्तुक डेटा होइन) | कुञ्जी शब्द रैंकिङ अनुगमन |
नोट: BrightData ले वेबसाइट आगन्तुक व्यक्तिगत डेटा प्रशोधन गर्दैन। यसले प्रयोगकर्ताद्वारा निर्देशित हुँदा सार्वजनिक रूपमा उपलब्ध वेब सामग्री प्रशोधन गर्दछ, र प्रयोगकर्ता-परिभाषित कुञ्जी शब्दहरूका लागि सर्च इन्जिन रैंकिङहरू ट्र्याक गर्दछ।
५.६ EU-आधारित प्रदायकहरू (कुनै हस्तान्तरण छैन)
| प्रदायक | स्थान | उद्देश्य |
|---|---|---|
| Black Forest Labs | जर्मनी (EU) | AI छवि उत्पादन (Flux मोडेलहरू) |
| ScreenshotOne | युरोपेली संघ | वेबसाइट स्क्रिनशट क्याप्चर |
| CloudConvert | जर्मनी (EU) | फाइल फर्म्याट रूपान्तरण |
यी प्रदायकहरू EU भित्र डेटा प्रशोधन गर्दछन् र अन्तर्राष्ट्रिय हस्तान्तरण गठन गर्दैनन्। Black Forest Labs ले छवि उत्पादनका लागि मात्र पाठ प्रम्प्टहरू प्राप्त गर्दछ; कुनै व्यक्तिगत डेटा संलग्न छैन।
६. पूरक उपायहरू
SCCs को अतिरिक्त, हामी हस्तान्तरित व्यक्तिगत डेटाका लागि अनिवार्य रूपमा समान स्तरको संरक्षण सुनिश्चित गर्न निम्न पूरक उपायहरू लागू गर्दछौं:
६.१ प्राविधिक उपायहरू
| उपाय | विवरण |
|---|---|
| पारवहनमा इन्क्रिप्शन | आगन्तुकहरू, edge नेटवर्क, र ब्याकएन्ड सेवाहरूबीच प्रसारित सबै डेटा TLS (न्यूनतम TLS 1.2) प्रयोग गरेर इन्क्रिप्ट गरिएको छ। आन्तरिक सेवा-देखि-सेवा संचारले इन्क्रिप्टेड च्यानलहरू प्रयोग गर्दछ। |
| विश्रामस्थ इन्क्रिप्शन | सबै डेटाबेस रेकर्डहरू, फाइल भण्डारण, र edge-होस्टेड स्थायी भण्डारण सम्बन्धित पूर्वाधार प्रदायकद्वारा व्यवस्थापित उद्योग-मानक इन्क्रिप्शन प्रयोग गरेर विश्रामस्थ इन्क्रिप्ट गरिएका छन्। |
| Pseudonymization | आगन्तुक विश्लेषणले कच्चा IP ठेगानाहरू भण्डारण गर्नुको सट्टा दैनिक-रोटेटिङ क्रिप्टोग्राफिक ह्याश (IP + User-Agent + मिति) प्रयोग गर्दछ। यो ह्याश उल्टाउन सकिँदैन र प्रत्येक २४ घण्टामा रोटेट हुन्छ, क्रस-दिन ट्र्याकिङ रोक्दछ। |
| डेटा न्यूनीकरण | विश्लेषणले केवल समग्र-स्तर मेटाडेटा (देश, उपकरण प्रकार, ब्राउजर) सङ्कलन गर्दछ। विश्लेषणमा कुनै कच्चा IP ठेगानाहरू भण्डारण गरिँदैनन्। च्याटबट सन्देशहरू २,००० वर्णमा सीमित छन्। |
| पासवर्ड ह्यासिङ | सबै आगन्तुक पासवर्डहरू (वेबसाइट संरक्षित क्षेत्रहरूका लागि) भण्डारण अघि प्रति-प्रयोगकर्ता अनियमित नुनसहित बलियो क्रिप्टोग्राफिक एल्गोरिदमहरू प्रयोग गरी ह्याश गरिन्छन्। प्लेनटेक्स्ट पासवर्डहरू कहिल्यै भण्डारण वा प्रसारित गरिँदैनन्। |
| पहुँच नियन्त्रणहरू | न्यूनतम-विशेषाधिकार पहुँच नीतिहरूले प्रत्येक प्रणाली घटकलाई केवल आवश्यक स्रोतहरूमा सीमित गर्दछन्। प्रति-वेबसाइट API टोकनहरूले व्यक्तिगत वेबसाइटहरूमा पहुँच सीमित गर्दछन्। |
| नेटवर्क अलगाव | ब्याकएन्ड सेवाहरू आन्तरिक नेटवर्कहरूमाथि संचार गर्दछन्। वेबसाइट होस्टिङ अलग कार्यान्वयन स्यान्डबक्सहरूमा चल्दछ। कस्टम कोड कार्यान्वयनले WebAssembly-आधारित स्यान्डबक्सिङ प्रयोग गर्दछ। |
| क्षेत्राधिकार डेटा निवास | EU बासिन्दा भनी पहिचान गरिएका वेबसाइट सञ्चालकहरूको लागि, आगन्तुक डेटा (फारम पेशीहरू, च्याटबट कुराकानीहरू, सत्र डेटा र प्रयोगकर्ता तालिका डेटा) समावेश गर्ने स्थायी भण्डारण युरोपेली संघमा क्षेत्राधिकारिक रूपमा प्रतिबन्धित छ, यो डेटा विशेष रूपमा EU डेटा केन्द्रहरूमा भण्डारण र प्रशोधन गरिन्छ भनी सुनिश्चित गर्दछ। स्वचालित आगन्तुक-मुखी सञ्चालनहरू (सामग्री पेश गर्ने सूचनाहरू र लेनदेन इमेल डेलिभरी) EU-आधारित पूर्वाधारमा पनि प्रशोधन गरिन्छ। |
| स्वचालित मेटाउने | सत्र डेटा निष्क्रियताको ३० दिन पछि समाप्त हुन्छ। अस्थायी फाइलहरू २४ घण्टाभित्र मेटाइन्छन्। बट चुनौती डेटा क्षणिक छ र दीर्घकालीन भण्डारण गरिँदैन। |
६.२ संगठनात्मक उपायहरू
| उपाय | विवरण |
|---|---|
| कार्मिक गोपनीयता | व्यक्तिगत डेटामा पहुँच भएका सबै कार्मिकहरू गोपनीयता दायित्वहरूद्वारा बाध्य छन्। |
| उप-प्रशोधक उचित परिश्रम | संलग्नताअघि उप-प्रशोधकहरूको सुरक्षा अभ्यासहरू र डेटा संरक्षण अनुपालनका लागि मूल्यांकन गरिन्छ। सबै उप-प्रशोधकहरूसँग लिखित DPA हरू छन्। |
| घटना प्रतिक्रिया | उल्लंघन सूचना प्रक्रियाहरूले व्यक्तिगत डेटा उल्लंघन पुष्टि गरेको ७२ घण्टाभित्र नियन्त्रकहरूलाई सूचित गरिन्छ भनी सुनिश्चित गर्दछन्। |
| डेटा अवधारण नीतिहरू | स्वचालित प्रवर्तनसहित कागजात गरिएका अवधारण अवधिहरू (TTL-आधारित मेटाउने, जीवनचक्र नीतिहरू)। |
| सुरक्षा अनुगमन | संरचित लगिङ, स्वचालित सुरक्षा अनुगमन, र घुसपैठ पहिचान। त्रुटि र निदानात्मक लगहरू ३० दिनसम्म राखिन्छन्। |
६.३ संविदात्मक उपायहरू
| उपाय | विवरण |
|---|---|
| मानक संविदात्मक खण्डहरू | SCCs (मोड्युल एक, मोड्युल दुई र मोड्युल तीन) सन्दर्भद्वारा हाम्रो DPA मा समावेश छन्। |
| उप-प्रशोधक SCCs | प्रत्येक उप-प्रशोधकसँग लिखित सम्झौताहरूले हाम्रो DPA मा भएभन्दा कम सुरक्षात्मक नभएका डेटा संरक्षण दायित्वहरू लगाउँछन्। |
| सरकारी पहुँच अधिसूचना | हाम्रा सर्तहरू र सर्तहरूमा वर्णित अनुसार, कानूनी रूपमा अनुमति दिइएको ठाँउमा नियन्त्रकहरूलाई सरकारी पहुँच अनुरोधहरूको सूचना दिने हामी प्रतिबद्ध छौं। |
| चुनौती प्रतिबद्धता | हामी विश्वास गर्दछौं कि अत्यधिक वा गैरकानूनी छ भन्ने सरकारी पहुँच अनुरोधहरूलाई चुनौती दिने हामी प्रतिबद्ध छौं। |
७. जोखिम मूल्यांकन
७.१ सरकारी पहुँचको सम्भावना
| कारक | मूल्यांकन |
|---|---|
| डेटाको प्रकृति | मुख्य रूपमा साना व्यवसाय वेबसाइटहरूबाट छद्म-नामीकृत विश्लेषण, फारम सबमिशन र च्याटबट सन्देशहरू। यो डेटा कम खुफिया मूल्यको छ। |
| डेटाको मात्रा | कम देखि मध्यम। प्रत्येक वेबसाइटले आफ्नै आगन्तुक आधार सेवा गर्दछ; निगरानी उद्देश्यका लागि वेबसाइटहरूमा डेटा एकत्र गरिँदैन। |
| कम्पनी प्रोफाइल | Acira AI साना व्यवसाय वेबसाइटहरू होस्ट गर्ने एक सानो SaaS कम्पनी हो। हामी दूरसञ्चार प्रदायक वा उच्च-प्रोफाइल निगरानी लक्ष्य होइनौं। |
| ऐतिहासिक अनुरोधहरू | यस मूल्यांकनको मितिसम्म, Acira AI ले कहिल्यै FISA धारा ७०२ निर्देशन, राष्ट्रिय सुरक्षा पत्र वा ग्राहक डेटामा थोक पहुँचका लागि कुनै पनि सरकारी अनुरोध प्राप्त गरेको छैन। |
| उप-प्रशोधक प्रोफाइल | AWS र Cloudflare पारदर्शिता रिपोर्टहरू प्रकाशित गर्ने ठूला पूर्वाधार प्रदायकहरू हुन्। तिनीहरूका पारदर्शिता रिपोर्टहरूले संकेत गर्दछन् कि सरकारी अनुरोधहरू होस्ट गरिएको सामग्रीमा थोक पहुँच होइन, विशिष्ट खाताहरूलाई लक्षित छन्। |
समग्र सम्भावना: कम
७.२ पहुँच भएमा प्रभाव
| कारक | मूल्यांकन |
|---|---|
| डेटा संवेदनशीलता | हस्तान्तरित डेटाको बहुमत कम संवेदनशीलता (छद्म-नामीकृत विश्लेषण, वेबसाइट आगन्तुक मेटाडेटा) हो। फारम सबमिशनमा वेबसाइटमा निर्भर गरी मध्यम-संवेदनशीलता डेटा (नामहरू, इमेल ठेगानाहरू, सन्देशहरू) हुन सक्छ। |
| छद्म-नामीकरण प्रभावकारिता | विश्लेषण डेटालाई दैनिक-घुम्ने ह्याश कम्पोनेन्टहरू (IP + User-Agent + मिति) मा पहुँच बिना व्यक्तिहरूसँग जोड्न सकिँदैन, जुन भण्डारण गरिँदैन। |
| एक्सपोजरको दायरा | कुनै पनि सरकारी पहुँच सम्पूर्ण प्लेटफर्ममा होइन, विशिष्ट खाताहरू वा वेबसाइटहरूमा लक्षित हुनेछ। समर्पित भण्डारण उदाहरणहरू मार्फत प्रति-वेबसाइट डेटा अलगावले कुनै पनि सम्भावित सम्झौताको दायरा सीमित गर्दछ। EU बासिन्दा वेबसाइट सञ्चालकहरूको लागि, स्थायी भण्डारण र स्वचालित आगन्तुक-मुखी प्रशोधन (सामग्री पेश गर्ने सूचनाहरू र लेनदेन इमेल डेलिभरी) EU मा प्रतिबन्धित छ, यो डेटाको लागि US सरकारको पहुँचको एक्सपोजर थप सीमित गर्दछ। |
समग्र प्रभाव: कम देखि मध्यम (व्यक्तिगत वेबसाइट अपरेटरहरूद्वारा संग्रह गरिएका डेटाको संवेदनशीलतामा निर्भर)
७.३ अवशिष्ट जोखिम मूल्यांकन
सरकारी पहुँचको कम सम्भावना, पूरक प्राविधिक उपायहरू (एन्क्रिप्सन, छद्म-नामीकरण, डेटा न्यूनीकरण), र EO 14086 द्वारा परिचय गरिएका थप सुरक्षाहरूलाई विचार गर्दा, हामी मूल्यांकन गर्दछौं कि डेटा विषयहरूमा अवशिष्ट जोखिम कम छ र पूरक उपायहरू, SCCs (EEA/UK/स्विस हस्तान्तरणका लागि) र संविदात्मक संरक्षणहरू (क्यानेडियन हस्तान्तरणका लागि) सँगसँगै, EEA भित्र ग्यारेन्टी गरिएको अनिवार्य रूपमा समान र क्यानेडियन गोपनीयता कानून अन्तर्गत आवश्यक तुलनीय स्तरको संरक्षण प्रदान गर्दछन्।
८. निष्कर्ष
यस मूल्यांकनको आधारमा, हामी निष्कर्ष निकाल्दछौं कि:
१. हाम्रा सेवाहरूको प्रावधानसँग सम्बन्धित EEA/UK/स्विट्जरल्याण्ड/क्यानाडाबाट संयुक्त राज्य अमेरिकामा हस्तान्तरित व्यक्तिगत डेटाले EU डेटा संरक्षण कानून अन्तर्गत ग्यारेन्टी गरिएको अनिवार्य रूपमा समान स्तरको संरक्षण र क्यानेडियन गोपनीयता कानून अन्तर्गत आवश्यक तुलनीय स्तरको संरक्षण बाट लाभ उठाउँछ।
२. मानक संविदात्मक खण्डहरू, धारा ६ मा वर्णित पूरक प्राविधिक, संगठनात्मक र संविदात्मक उपायहरू सँग संयुक्त, यस मूल्यांकनमा पहिचान गरिएका जोखिमहरूलाई पर्याप्त रूपमा सम्बोधन गर्दछन्।
३. डेटाको प्रकृति (मुख्य रूपमा छद्म-नामीकृत विश्लेषण र साना-व्यवसाय वेबसाइट आगन्तुक अन्तरक्रियाहरू) र डेटा आयातकर्ताको प्रोफाइल (एक सानो SaaS कम्पनी, दूरसञ्चार प्रदायक होइन) ले सरकारी निगरानीको व्यावहारिक जोखिम उल्लेखनीय रूपमा घटाउँछन्।
४. Executive Order 14086 र सम्बद्ध उपचार संयन्त्रद्वारा परिचय गरिएका संरक्षणहरूले सबै डेटा विषयहरूलाई थप सुरक्षाहरू प्रदान गर्दछन्, प्रयोग गरिएको विशिष्ट हस्तान्तरण संयन्त्रको ध्यान नगरी।
५. क्यानेडियन हस्तान्तरणहरूका लागि, यहाँ वर्णित संविदात्मक संरक्षणहरू र पूरक उपायहरूले PIPEDA र लागू प्रान्तीय गोपनीयता कानून, Quebec को आधुनिकीकृत गोपनीयता कानून सहित, अन्तर्गत आवश्यक तुलनीय स्तरको संरक्षण सुनिश्चित गर्दछन्।
६. हामी US निगरानी कानून र अभ्यासमा विकासहरू, साथै क्यानेडियन गोपनीयता कानूनमा विकासहरू (प्रस्तावित Consumer Privacy Protection Act सहित) निगरानी जारी राख्नेछौं, र परिस्थितिहरू सारभूत रूपमा परिवर्तन भएमा यो TIA पुनः मूल्यांकन गर्नेछौं।
यहाँ वर्णित SCCs र पूरक उपायहरूको निरन्तर प्रयोगको अधीनमा हस्तान्तरणहरू अगाडि बढ्न सक्छन्।
९. समीक्षा तालिका
यो TIA समीक्षा र अपडेट गरिनेछ:
- वार्षिक रूपमा, न्यूनतममा, वा
- लागू कानूनहरू वा नियमहरूमा सारभूत परिवर्तनहरूमा (FISA, CLOUD Act, EO 14086, PIPEDA वा क्यानेडियन प्रान्तीय गोपनीयता कानूनमा परिवर्तनहरू सहित),
- हाम्रा उप-प्रशोधकहरूमा परिवर्तनहरूमा वा हस्तान्तरित डेटाको प्रकृतिमा,
- कुनै पनि अदालती निर्णयमा जसले SCCs को वैधतालाई वा US डेटा संरक्षणको पर्याप्ततालाई सारभूत रूपमा प्रभाव पार्दछ।
१०. हामीलाई सम्पर्क गर्नुहोस्
यस हस्तान्तरण प्रभाव मूल्यांकनबारे प्रश्नहरू भएमा, कृपया हामीलाई सम्पर्क गर्नुहोस्:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
फोन: 888-389-1189
इमेल: legal@acira.ai
तपाईंको गोपनीयता, हाम्रो प्राथमिकता
हामी तपाईंको डेटा बेच्दैनौं, ट्र्याकिङ कुकीहरू प्रयोग गर्दैनौं — त्यसैले तपाईंले यहाँ कुकी ब्यानर देख्नुहुने छैन। हामी Global Privacy Control को सम्मान गर्छौं, र EU ग्राहकहरूका लागि, भ्रमणकर्ता डेटा विशेष रूपमा युरोपेली संघभित्र मात्र भण्डारण र प्रशोधन गरिन्छ।
Acira AI
AI को साथ सुन्दर वेबसाइटहरू बनाउनुहोस्। कोडिङ आवश्यक छैन।
संयुक्त राज्य अमेरिकामा गर्वका साथ निर्मित
© 2026 Acira AI LLC. सर्वाधिकार सुरक्षित।