Tathmini ya Athari ya Uhamisho
TATHMINI YA ATHARI ZA UHAMISHAJI
Ilisasishwa mara ya mwisho: Machi 19, 2026
Tathmini hii ya Athari za Uhamishaji ("TIA") imetayarishwa na Acira AI LLC ("Acira AI," "sisi," "wetu") kwa mujibu wa mahitaji ya uamuzi wa Mahakama ya Haki ya Umoja wa Ulaya katika kesi ya Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (Kesi C-311/18, "Schrems II") na mapendekezo ya Bodi ya Ulinzi wa Data ya Ulaya (Mapendekezo ya EDPB 01/2020 kuhusu hatua za ziada).
TIA hii inatathmini kutosha kwa ulinzi wa data ya kibinafsi inayohamishwa kutoka Eneo la Kiuchumi la Ulaya ("EEA"), Uingereza ("UK"), Uswisi, na Kanada kwenda Marekani na nchi nyingine za tatu kuhusiana na utoaji wa Huduma zetu.
TIA hii inaweza kutafsiriwa katika lugha nyingine kwa urahisi wako. Katika tukio la mgongano au kutokubaliana kati ya toleo la Kiingereza na toleo lolote lililotafsiriwa, toleo la Kiingereza litashinda.
JEDWALI LA YALIYOMO
- MUHTASARI WA UHAMISHAJI
- HALI YA DATA INAYOHAMISHWA
- MIFUMO YA UHAMISHAJI
- TATHMINI YA SHERIA ZA NCHI ZA LENGO
- TATHMINI YA MTIRIRIKO WA DATA KWA MTOA HUDUMA
- HATUA ZA ZIADA
- TATHMINI YA HATARI
- HITIMISHO
- RATIBA YA MAPITIO
- WASILIANA NASI
1. MUHTASARI WA UHAMISHAJI
1.1 Muktadha
Acira AI ni jukwaa la programu kama huduma linalowezesha biashara na watu binafsi kuunda, kusimamia, na kuandika tovuti zinazotumia AI. Watumiaji wanapounda tovuti ambazo zinapatikana na wageni waliopatikana katika EEA, UK, Uswisi, au Kanada, data ya kibinafsi ya wageni hao inaweza kuhamishwa na kushughulikiwa nchini Marekani na maeneo mengine ambapo watoa miundombinu yetu wanaendesha shughuli.
1.2 Pande
- Msafirishaji wa Data: Opereta wa tovuti (mteja wetu, akifanya kazi kama Mtawala) na, kwa data ya uchanganuzi, Acira AI kama Mtawala Mwenza.
- Mpokeaji wa Data: Acira AI LLC, iliyoundwa kwa mujibu wa sheria za Nevada, Marekani, ikifanya kazi kama Msindikaji (na Mtawala Mwenza kwa uchanganuzi).
- Wasindikaji Wadogo: Watoa huduma wa watu wengine waliohusishwa na Acira AI (orodha katika Kifungu cha 5).
1.3 Maeneo ya Uhamishaji
| Lengo | Watoa Huduma | Msingi |
|---|---|---|
| Marekani na Umoja wa Ulaya (Stockholm) | AWS | SCCs + Hatua za Ziada (Marekani); Ndani ya EEA kwa shughuli za kiotomatiki zinazomlenga mgeni kwa wakazi wa EU |
| Marekani | Stripe, Fireworks AI, xAI | SCCs + Hatua za Ziada |
| Kimataifa (maeneo ya ukingo) | Cloudflare | SCCs + Hatua za Ziada |
| Israeli | BrightData (kwa mwelekeo wa mtumiaji tu) | SCCs + Hatua za Ziada |
| Umoja wa Ulaya | Black Forest Labs, ScreenshotOne, CloudConvert | Ndani ya EEA (hakuna utaratibu wa uhamishaji unaohitajika) |
2. HALI YA DATA INAYOHAMISHWA
2.1 Makundi ya Data ya Kibinafsi
Data ya kibinafsi inayohamishwa inategemea vipengele vilivyowezeshwa na opereta wa tovuti na mwingiliano wa wageni wa tovuti. Makundi yafuatayo yanaweza kuhamishwa:
| Kundi la Data | Maelezo | Usikivu | Kiasi |
|---|---|---|---|
| Vitambulisho vya uchanganuzi | Heshi ya kriptografia inayobadilika kila siku ya IP + User-Agent + tarehe (iliyofanywa bandia) | Chini | Juu (kila ukurasa unaotazamwa) |
| Metadata ya mgeni | Nchi, mkoa, lugha, aina ya kifaa, kivinjari, OS, kikoa cha rufaa, vigezo vya UTM | Chini | Juu (kila ukurasa unaotazamwa) |
| Anwani za IP | Zilizohifadhiwa kama metadata na mawasilisho ya fomu na mazungumzo ya chatbot; zimefanywa heshi kwa uchanganuzi; zinatumiwa muda mfupi kwa uthibitishaji wa changamoto ya bot; zimehifadhiwa muda mfupi kwa kupunguza kasi (hadi siku 7) | Kati | Kati |
| Maudhui ya mawasilisho ya fomu | Sehemu za maandishi wazi zilizotumwa na wageni (majina, barua pepe, ujumbe, n.k.) | Tofauti (inategemea fomu) | Chini hadi Kati |
| Ujumbe wa chatbot | Ujumbe wa mgeni na majibu yaliyotengenezwa na AI (hadi herufi 2,000 kwa ujumbe) | Chini hadi Kati | Chini |
| Maudhui ya upakiaji | Faili zilizopakiwa na wageni kupitia fomu za tovuti (picha, hati) | Tofauti | Chini |
| Vitambulisho vya kipindi | Vitambulisho vya kipindi vya upande wa seva na vidakuzi vya kipindi vya upande wa mteja | Chini | Juu |
| Siri za uthibitisho | Manenosiri kwa maeneo ya tovuti yaliyolindwa (yamehifadhiwa katika fomu iliyofanywa heshi tu) | Juu (lakini imefanywa heshi) | Chini |
2.2 Makundi ya Masomo ya Data
- Wageni wa tovuti zilizohifadhiwa kwenye jukwaa la Acira AI
- Watumiaji wanaounda akaunti kwenye tovuti zilizohifadhiwa kwenye jukwaa
- Watumiaji wanaotuma fomu, kuingiliana na chatbots, au kupakia faili kwenye tovuti zilizohifadhiwa
2.3 Data Isiyohamishwa
- Data ya eneo la kijiografia: Utafutaji wa IP-hadi-eneo hufanywa kwenye ukingo wa mtandao na mtoa huduma wetu wa miundombinu. Hakuna anwani za IP za wageni zinazotumwa kwa huduma yoyote ya nje ya eneo la kijiografia.
- Anwani za IP za uchanganuzi mbichi: Heshi ya kriptografia inayobadilika kila siku tu inahifadhiwa; IP mbichi hazihifadhiwi katika mifumo ya uchanganuzi.
- Manenosiri katika maandishi wazi: Heshi za kriptografia tu zinahifadhiwa na kuhamishwa.
3. MIFUMO YA UHAMISHAJI
3.1 Utaratibu wa Msingi: Vipengele vya Mkataba wa Kawaida
Tunategemea Vipengele vya Mkataba wa Kawaida (SCCs) vya Tume ya Ulaya vilivyopitishwa na Uamuzi wa Utekelezaji wa Tume (EU) 2021/914, hasa:
- Moduli Moja (Mtawala hadi Mtawala): Kwa uhamishaji wa data ya uchanganuzi ambapo Acira AI inafanya kazi kama mtawala mwenza na opereta wa tovuti (ona Kifungu cha 2.3 cha DPA).
- Moduli Mbili (Mtawala hadi Msindikaji): Kwa uhamishaji wa data ya kibinafsi ya mgeni kutoka kwa opereta wa tovuti (Mtawala) kwenda Acira AI (Msindikaji).
- Moduli Tatu (Msindikaji hadi Msindikaji Mdogo): Kwa uhamishaji wa mbele kutoka Acira AI kwenda wasindikaji wetu wadogo.
3.2 Uhamishaji wa UK, Uswisi, na Kanada
- UK: Kiambatisho cha Uhamishaji wa Data wa Kimataifa cha UK kwenye EU SCCs kinatumika.
- Uswisi: SCCs zinatumika na marekebisho yanayohitajika na Sheria ya Shirikisho ya Uswisi ya Ulinzi wa Data (FADP).
- Kanada: Uhamishaji unategemea ulinzi wa kimkataba na kila msindikaji mdogo ukiweka wajibu unaofanana na Sheria ya Ulinzi wa Taarifa za Kibinafsi na Hati za Elektroniki (PIPEDA) na sheria za faragha za mkoa husika, pamoja na hatua za ziada za kiufundi na za shirika zilizoelezwa katika Kifungu cha 6. Ona Kifungu cha 7.4 cha DPA kwa maelezo.
3.3 Mifumo ya Uhamishaji ya Wasindikaji Wadogo
| Msindikaji Mdogo | Utaratibu wa Uhamishaji |
|---|---|
| Amazon Web Services | SCCs (AWS DPA), imethibitishwa ISO 27001/27017/27018 |
| Cloudflare | SCCs (Cloudflare DPA), imethibitishwa ISO 27001 |
| Stripe | SCCs (Stripe DPA), imethibitishwa PCI DSS Level 1 |
| Fireworks AI | SCCs (Fireworks AI DPA), SOC 2 Type II, imethibitishwa ISO 27001/27701/42001 |
| xAI | SCCs (xAI DPA na EU SCCs) |
| BrightData | SCCs (BrightData DPA) |
4. TATHMINI YA SHERIA ZA NCHI ZA LENGO
4.1 Marekani
Marekani ndio lengo kuu kwa data inayohamishwa. Sheria zifuatazo za Marekani zinahusiana na tathmini hii:
4.1.1 Sheria ya Ufuatiliaji wa Ujasusi wa Kigeni (FISA), Kifungu cha 702
Kifungu cha 702 cha FISA kinauidhinisha serikali ya Marekani kulazimisha watoa huduma za mawasiliano ya kielektroniki kutoa ufikiaji wa mawasiliano ya watu wasiokuwa raia wa Marekani walioko nje ya Marekani kwa madhumuni ya ujasusi wa kigeni.
Tathmini ya hatari:
- Utumikaji: Kifungu cha 702 cha FISA kinatumika kwa "watoa huduma za mawasiliano ya kielektroniki" kama ilivyofafanuliwa katika 50 U.S.C. § 1881(b)(4). Acira AI ni jukwaa la SaaS la uandishi wa tovuti, si mtoa mawasiliano ya jadi. Wasindikaji wetu wadogo (AWS, Cloudflare) wana uwezekano mkubwa zaidi wa kuwa chini ya maelekezo ya Kifungu cha 702.
- Wigo wa data inayohatariniwa: Data ya kibinafsi tunayosindika inajumuisha hasa uchanganuzi wa wageni wa tovuti (uliofanywa bandia), mawasilisho ya fomu, na ujumbe wa chatbot. Data hii haiwezekani kuwa ya umuhimu wa ujasusi wa kigeni.
- Uwezekano wa vitendo: Haijapokea maelekezo ya Kifungu cha 702 cha FISA na tunakadiria uwezekano wa vitendo wa kupokea moja kama wa chini sana, kwa kuzingatia hali ya Huduma zetu na data tunayoshughulikia.
4.1.2 Agizo la Utendaji 12333
EO 12333 inauidhinisha ajenti za ujasusi za Marekani kufanya shughuli za ufuatiliaji, ikiwa ni pamoja na ukusanyaji mkubwa wa ujasusi wa ishara. Inatumika kwa data inayosafirishwa na haizilazimishi makampuni binafsi kushirikiana.
Tathmini ya hatari:
- Upunguzaji: Data yote inayosafirishwa imesimbwa kwa njia fiche kwa kutumia TLS. Kukusanya kwa wingi data iliyosimbwa inayosafirishwa hakutatoa data ya kibinafsi wazi.
- Uwezekano wa vitendo: Chini. Data inayoshughulikiwa kupitia Huduma zetu si ya hali inayolengwa kawaida na ujasusi wa ishara.
4.1.3 Agizo la Utendaji 14086 na Mfumo wa Faragha wa Data wa EU-Marekani
Agizo la Utendaji 14086 (Oktoba 2022) lilianzisha dhamana za ziada kwa shughuli za ujasusi wa ishara, ikiwa ni pamoja na:
- Mahitaji ya ulazima na uwiano kwa ukusanyaji wa ujasusi
- Utaratibu wa kurekebisha wa hatua mbili (Afisa wa Ulinzi wa Uhuru wa Kiraia + Mahakama ya Mapitio ya Ulinzi wa Data) unaopatikana kwa watu binafsi wa EU/UK/Uswisi
- Vikwazo vya ukusanyaji mkubwa
Tume ya Ulaya ilipitisha uamuzi wa kutosha kwa Mfumo wa Faragha wa Data wa EU-Marekani (DPF) mnamo Julai 10, 2023. Ingawa Acira AI haijasajiliwa yenyewe chini ya DPF kwa sasa, ulinzi chini ya EO 14086 unatumika kwa upana kwa uhamishaji wote wa data kwenda Marekani na unafaidisha masomo yote ya data bila kujali utaratibu maalum wa uhamishaji unaotumika.
4.1.4 Sheria ya CLOUD
Sheria ya Kufafanua Matumizi Halali ya Nje ya Nchi ya Data (CLOUD) inaruhusu utekelezaji wa sheria wa Marekani kulazimisha watoa huduma waliopo Marekani kutoa data bila kujali mahali ilipohifadhiwa, chini ya warrant halali au amri ya mahakama.
Tathmini ya hatari:
- Dhamana: Sheria ya CLOUD inahitaji mchakato halali wa kisheria (warrant, amri ya kuhudhuria mahakama, au amri ya mahakama). Haiidhinishi ufikiaji mkubwa bila warrant.
- Masharti ya urafiki: Sheria ya CLOUD inajumuisha mfumo wa urafiki unaoruhusu watoa huduma kupinga amri zinazokinzana na sheria za kigeni.
- Uwezekano wa vitendo: Chini kwa data ya mgeni wa tovuti. Maombi ya utekelezaji wa sheria yangelengea zaidi akaunti maalum zinazoshukiwa shughuli za jinai, si uchanganuzi wa mgeni au mawasilisho ya fomu.
4.2 Israeli (BrightData)
BrightData ina makao nchini Israeli. Israeli ina uamuzi wa kutosha kutoka kwa Tume ya Ulaya (2011/61/EU), maana yake uhamishaji kwenda Israeli unachukuliwa kama uhamishaji ndani ya EEA. Hata hivyo, BrightData pia inashughulikia data katika maeneo mengine ya kimataifa. Tunaona kwamba:
- Usindikaji wa BrightData hutokea tu wakati umemwelekeza mtumiaji (wakati wa uundaji wa tovuti kwa uingizaji wa maudhui) au wakati wa ufuatiliaji wa SERP ulioratibiwa.
- Hakuna data ya kibinafsi ya mgeni wa tovuti inayotumwa kwa BrightData.
4.3 Kanada (Uhamishaji kutoka Kanada kwenda Marekani)
Data ya kibinafsi ya wageni wa tovuti walioko Kanada inaweza kuhamishwa kwenda Marekani kwa usindikaji. Sheria zifuatazo za Kanada zinahusiana na tathmini hii:
4.3.1 Sheria ya Ulinzi wa Taarifa za Kibinafsi na Hati za Elektroniki (PIPEDA)
PIPEDA inasimamia ukusanyaji, matumizi, na ufafanuzi wa taarifa za kibinafsi na mashirika ya sekta ya kibinafsi katika shughuli za biashara. Kanuni ya 4.1.3 ya PIPEDA inahitaji kwamba mashirika yatumie njia za kimkataba au nyingine kuhakikisha kiwango sawa cha ulinzi wakati taarifa za kibinafsi zinahamishwa kwa watu wengine kwa usindikaji, ikiwa ni pamoja na uhamishaji nje ya Kanada.
Tathmini ya hatari:
- Ulinzi sawa: Hatua za ziada zilizoelezwa katika Kifungu cha 6 (usimbaji fiche, kufanya bandia, udhibiti wa ufikiaji, kupunguza data) zinatoa kiwango cha ulinzi kinachofanana na kile kinachohitajika chini ya PIPEDA. Makubaliano ya maandishi ya usindikaji wa data yamo na wasindikaji wote wadogo.
- Hakuna mahitaji ya kutosha: Tofauti na GDPR, PIPEDA haikataazi uhamishaji kwenda nchi zinazokosa uamuzi wa "kutosha". Mashirika lazima yahakikishe ulinzi sawa kupitia njia za kimkataba na nyingine, ambazo tumetekeleza.
4.3.2 Sheria za Faragha za Mkoa
Sheria ya Ulinzi wa Taarifa za Kibinafsi ya Alberta (PIPA), Sheria ya Ulinzi wa Taarifa za Kibinafsi ya Kolumbia ya Uingereza (PIPA), na Sheria ya Quebec kuhusu ulinzi wa taarifa za kibinafsi katika sekta ya kibinafsi zinaweka mahitaji ya ziada kwa mikoa fulani:
Tathmini ya hatari:
- Sheria 25 ya Quebec: Sheria ya kisasa ya faragha ya Quebec (iliyoanza kutumika tangu Septemba 2023) inahitaji tathmini ya athari za faragha kabla ya kuhamisha taarifa za kibinafsi nje ya Quebec, na shirika linalohamisha lazima liwe na uhakika kwamba taarifa itapata ulinzi wa kutosha. Ulinzi wetu wa kimkataba, hatua za ziada za kiufundi, na hali ya data (hasa uchanganuzi uliofanywa bandia na mwingiliano wa tovuti ya biashara ndogo) unasaidia uamuzi wa ulinzi wa kutosha.
- Alberta na BC: PIPA za Alberta na BC zinahitaji mashirika kuhakikisha ulinzi sawa kwa data inayohamishwa. Dhamana zetu za kimkataba na za kiufundi zinakidhi mahitaji haya.
4.3.3 Ufikiaji wa Serikali ya Marekani kutoka Mtazamo wa Kanada
Hatari sawa za ufikiaji wa serikali ya Marekani zilizotathminiwa katika Kifungu cha 4.1 zinatumika kwa uhamishaji wa data ya Kanada. Uwezekano mdogo wa ufikiaji wa serikali (kwa kuzingatia hali ya data na muundo wa kampuni yetu), pamoja na hatua za ziada katika Kifungu cha 6, kuhakikisha kwamba data ya kibinafsi inayohamishwa kutoka Kanada kwenda Marekani inapata kiwango sawa cha ulinzi kinachohitajika chini ya sheria ya faragha ya Kanada.
4.4 Maeneo ya Ukingo wa Kimataifa (Cloudflare)
Cloudflare inaendesha mtandao wa kimataifa wa maeneo ya ukingo. Maombi ya wageni wa EU kawaida hushughulikiwa katika sehemu ya karibu ya uwepo wa Cloudflare, ambayo kwa wageni wa EU kawaida itakuwa mahali pa EU.
- Upanga wa maombi, ukamilishaji wa TLS, na ulinzi wa bot hufanyika katika mahali pa karibu pa ukingo.
- Kwa waendesha tovuti wanaotambuliwa kama wakazi wa EU, hifadhi ya kudumu (inayojumuisha mawasilisho ya fomu, mazungumzo ya chatbot, na data ya kipindi) imewekewa upeo wa kisheria katika Umoja wa Ulaya kwa kutumia API ya mamlaka ya Cloudflare. Kwa waendesha tovuti wasio wa EU, hifadhi ya kudumu iko karibu na mkoa wa kijiografia wa mwendesha tovuti lakini inaweza kupatikana nje ya EU.
- Data ya uchanganuzi inashughulikiwa kwenye miundombinu inayosimamiwa na Cloudflare.
5. TATHMINI YA MTIRIRIKO WA DATA KWA MTOA HUDUMA
5.1 Amazon Web Services (Marekani)
| Mtiririko wa Data | Data ya Kibinafsi Inayohusika | Madhumuni |
|---|---|---|
| Hifadhi ya hifadhidata | Metadata ya mawasilisho ya fomu (IP, nchi, mkoa), rekodi za mazungumzo ya chatbot, metadata ya faili, rekodi za kipindi | Hifadhi ya kudumu ya data ya mgeni wa tovuti |
| Hifadhi ya faili | Faili zilizopakiwa (picha, hati), picha za utumiaji | Hifadhi ya faili |
| Inference ya AI | Maudhui ya faili (kwa maelezo ya AI), maudhui ya barua pepe (kwa ugunduzi wa spam) | Maelezo yanayotumia AI na uainishaji wa spam |
| Udhibiti wa maudhui | Picha zilizopakiwa | Udhibiti wa maudhui (ugunduzi wa utupu/maudhui ya wazi) |
| Utoaji wa barua pepe | Anwani za barua pepe, maudhui ya ujumbe | Utoaji wa barua pepe za miamala na arifa za uwasilishaji wa maudhui. Kwa waendeshaji wa tovuti wanaoishi EU, shughuli hizi zinashughulikiwa katika Umoja wa Ulaya (Stockholm). |
| Ugunduzi wa lugha | Maandishi ya ujumbe wa barua pepe | Ugunduzi wa lugha |
Dhamana za AWS:
- Imethibitishwa ISO 27001, 27017, 27018
- Ripoti za SOC 1/2/3 zinapatikana
- Data imesimbwa kwa njia fiche kwenye hifadhi kwa kutumia usimbaji fiche wa kiwango cha tasnia
- Data imesimbwa kwa njia fiche wakati wa usafirishaji (TLS)
- Udhibiti wa ufikiaji wa haki ndogo zaidi kwa kila kipengele cha mfumo
- Huduma kuu zinahifadhiwa Marekani; shughuli za kiotomatiki zinazomlenga mgeni (arifa za uwasilishaji wa maudhui na utoaji wa barua pepe za miamala) kwa waendeshaji wa tovuti wanaoishi EU zinashughulikiwa katika Umoja wa Ulaya (Stockholm)
5.2 Cloudflare (Kimataifa)
| Mtiririko wa Data | Data ya Kibinafsi Inayohusika | Madhumuni |
|---|---|---|
| Upanga wa ukingo | Anwani za IP, vichwa vya HTTP, URL za maombi | Upanga wa maombi, ulinzi wa DDoS, ukamilishaji wa TLS |
| Uandishi wa tovuti | Maudhui ya ukurasa, metadata ya mgeni | Uandishi na utoaji wa tovuti |
| Hifadhi ya kudumu | Mawasilisho ya fomu, mazungumzo ya chatbot, data ya kipindi, data ya jedwali la mtumiaji | Hifadhi ya kila tovuti yenye hali |
| Uchanganuzi | Heshi ya mgeni iliyofanywa bandia, nchi, kifaa, kivinjari, rufaa, UTM | Uchanganuzi wa mgeni unaoheshimu faragha |
| Inference ya AI | Ujumbe wa chatbot, muhtasari wa sehemu ya fomu | Majibu ya chatbot ya AI, ugunduzi wa spam |
| Hifadhi ya mali | Mali za tovuti (picha, faili) | Hifadhi ya mali za tuli na utoaji wa CDN |
Dhamana za Cloudflare:
- Imethibitishwa ISO 27001, SOC 2 Type II
- TLS 1.2+ kwa miunganiko yote
- DPA ya Cloudflare na SCCs zinapatikana
- Usindikaji wa ukingo maana yake data ya mgeni wa EU kawaida hushughulikiwa katika maeneo ya ukingo wa EU kwa ushughulikiaji wa maombi
- Kwa waendeshaji wa tovuti waliotambuliwa kama wakazi wa EU, hifadhi ya kudumu (inayojumuisha mawasilisho ya fomu, mazungumzo ya chatbot, data ya kipindi na data ya jedwali la watumiaji) imezuiliwa kisheria kwa Umoja wa Ulaya kwa kutumia API ya mamlaka ya Cloudflare, ikihakikisha kuwa data hii inahifadhiwa na kushughulikiwa pekee katika vituo vya data vya EU. Simu za API za nyuma kutoka pembeni (kwa arifa za uwasilishaji wa maudhui na utoaji wa barua pepe za miamala) zinaelekezwa kwa miundombinu ya AWS iliyoko EU.
- Inference ya AI haihifadhi data ya uingizaji kwa mafunzo
5.3 Stripe (Marekani)
| Mtiririko wa Data | Data ya Kibinafsi Inayohusika | Madhumuni |
|---|---|---|
| Usindikaji wa malipo | Data ya bili ya opereta wa tovuti (jina, barua pepe, njia ya malipo) | Usindikaji wa malipo ya usajili na kikoa |
Kumbuka: Stripe haipokei data ya kibinafsi ya mgeni wa tovuti. Data ya bili ya opereta wa tovuti (mteja wetu) tu ndiyo inayoshughulikiwa na Stripe.
Dhamana za Stripe:
- Imethibitishwa PCI DSS Level 1
- Imethibitishwa ISO 27001
- DPA ya Stripe na SCCs zinapatikana
5.4 Watoa Huduma wa AI Inference (Marekani)
Fireworks AI na xAI hutoa huduma za inference ya modeli ya AI.
| Mtiririko wa Data | Data ya Kibinafsi Inayohusika | Madhumuni |
|---|---|---|
| Utengenezaji wa maandishi (maudhui ya tovuti) | Maudhui ya tovuti (si data ya mgeni) | Uundaji na uhariri wa maudhui ya tovuti |
| Utengenezaji wa picha | Maagizo ya maandishi (si data ya mgeni) | Uundaji wa picha kwa tovuti |
| AI ya mazungumzo (wakala wa mazungumzo) | Jina la mtumiaji wa jukwaa, barua pepe, upendeleo wa lugha, na historia ya mazungumzo | Msaidizi wa AI kwa watumiaji wa jukwaa (waendesha tovuti) |
Kumbuka: Watoa huduma hawa wa AI hawapokei data ya kibinafsi ya mgeni wa tovuti. Kipengele cha chatbot (kinachohudumia wageni wa tovuti) kinatumia Cloudflare Workers AI (iliyotathminiwa katika Kifungu cha 5.2), si watoa huduma hawa. Hata hivyo, msaidizi wa AI wa mazungumzo wa jukwaa — unaotumiwa na waendesha tovuti kusimamia tovuti zao — hutuma data ya kibinafsi ya mtumiaji wa jukwaa (jina, anwani ya barua pepe, na historia ya mazungumzo) kwa watoa huduma hawa kama sehemu ya kutengeneza majibu. Kwa usindikaji huu, Acira AI hufanya kazi kama mtawala (si msindikaji), na masomo ya data ni watumiaji wetu wa jukwaa (waendesha tovuti), si wageni wa tovuti zao. Mtiririko huu wa data unasimamia na Sera yetu ya Faragha na makubaliano yetu na watoa huduma hawa, badala ya mfumo wa mtawala-msindikaji wa DPA kwa data ya mgeni.
Familia za Modeli: Watoa huduma hawa wa miundombinu wanaandika na kutekeleza modeli za AI zilizotengenezwa na watu wengine mbalimbali. Modeli maalum na familia za modeli zinazotumiwa zinaweza kubadilika baada ya muda. Waendelezaji wa modeli hawapokei wala hawana ufikiaji wa data yoyote ya mtumiaji — usindikaji wote wa data hufanyika ndani kabisa ya miundombinu ya wasindikaji wadogo walioainishwa, bila kujali mahali ambapo modeli ilitengenezwa awali. Usindikaji wote wa inference ya AI unabaki kwenye miundombinu ya wasindikaji wadogo walioainishwa. Hakuna data ya mtumiaji inayotumwa kwa waendelezaji wa modeli au kwa miundombinu nje ya wasindikaji wadogo walioainishwa katika tathmini hii. Orodha ya sasa ya familia za modeli zinazotumiwa inapatikana kwa ombi kwa kuwasiliana na legal@acira.ai.
5.5 BrightData (Israeli / Kimataifa)
| Mtiririko wa Data | Data ya Kibinafsi Inayohusika | Madhumuni |
|---|---|---|
| Ukusanyaji wa data ya wavuti | Maudhui ya wavuti yanayopatikana hadharani (si data ya mgeni) | Uingizaji wa maudhui wakati wa uundaji wa tovuti (umemwelekeza mtumiaji) |
| Ufuatiliaji wa SERP | Maneno ya utafutaji (si data ya mgeni) | Ufuatiliaji wa cheo cha maneno muhimu |
Kumbuka: BrightData haishughulikii data ya kibinafsi ya mgeni wa tovuti. Inashughulikia maudhui ya wavuti yanayopatikana hadharani inapomwelekeza mtumiaji, na inafuatilia cheo cha injini za utafutaji kwa maneno muhimu yaliyofafanuliwa na mtumiaji.
5.6 Watoa Huduma wa EU (Hakuna Uhamishaji)
| Mtoa Huduma | Mahali | Madhumuni |
|---|---|---|
| Black Forest Labs | Ujerumani (EU) | Utengenezaji wa picha ya AI (modeli za Flux) |
| ScreenshotOne | Umoja wa Ulaya | Kunasa picha za skrini za tovuti |
| CloudConvert | Ujerumani (EU) | Ubadilishaji wa muundo wa faili |
Watoa huduma hawa wanashughulikia data ndani ya EU na hawajumuishi uhamishaji wa kimataifa. Black Forest Labs hupokea maagizo ya maandishi ya utengenezaji wa picha tu; hakuna data ya kibinafsi inayohusika.
6. HATUA ZA ZIADA
Mbali na SCCs, tunatekeleza hatua zifuatazo za ziada kuhakikisha kiwango sawa cha ulinzi kwa data ya kibinafsi inayohamishwa:
6.1 Hatua za Kiufundi
| Hatua | Maelezo |
|---|---|
| Usimbaji fiche wakati wa usafirishaji | Data yote inayosafiri kati ya wageni, mtandao wa ukingo, na huduma za nyuma imesimbwa kwa njia fiche kwa kutumia TLS (TLS 1.2 ya chini). Mawasiliano ya ndani ya huduma-hadi-huduma yanatumia njia zilizosimbwa kwa njia fiche. |
| Usimbaji fiche kwenye hifadhi | Rekodi zote za hifadhidata, hifadhi ya faili, na hifadhi ya kudumu inayohifadhiwa kwenye ukingo zimesimbwa kwa njia fiche kwenye hifadhi kwa kutumia usimbaji fiche wa kiwango cha tasnia unaosimamia na mtoa huduma husika wa miundombinu. |
| Kufanya bandia | Uchanganuzi wa mgeni unatumia heshi ya kriptografia inayobadilika kila siku (IP + User-Agent + tarehe) badala ya kuhifadhi anwani za IP mbichi. Heshi hii haiwezi kubadilishwa na inabadilika kila masaa 24, kuzuia ufuatiliaji wa kuvuka siku. |
| Kupunguza data | Uchanganuzi hukusanya metadata ya kiwango cha jumla tu (nchi, aina ya kifaa, kivinjari). Hakuna anwani za IP mbichi zinazohifadhiwa katika uchanganuzi. Ujumbe wa chatbot umezuiwa kwa herufi 2,000. |
| Ufanyaji heshi wa manenosiri | Manenosiri yote ya mgeni (kwa maeneo ya tovuti yaliyolindwa) yanafanywa heshi kwa kutumia algoriti zenye nguvu za kriptografia na chumvi nasibu kwa kila mtumiaji kabla ya kuhifadhiwa. Manenosiri ya maandishi wazi hayahifadhiwi wala kutumwa. |
| Udhibiti wa ufikiaji | Sera za ufikiaji wa haki ndogo zaidi huzuia kila kipengele cha mfumo kwa rasilimali zinazohitajika tu. Tokeni za API kwa kila tovuti huweka upeo wa ufikiaji kwa tovuti maalum. |
| Kutengwa kwa mtandao | Huduma za nyuma zinawasiliana kupitia mitandao ya ndani. Uandishi wa tovuti unaendesha katika sanduku fiche za utekelezaji zilizotengwa. Utekelezaji wa nambari maalum unatumia sanduku fiche linalolingana na WebAssembly. |
| Makazi ya data ya kisheria | Kwa waendeshaji wa tovuti waliotambuliwa kama wakazi wa EU, hifadhi ya kudumu inayojumuisha data ya wageni (mawasilisho ya fomu, mazungumzo ya chatbot, data ya kipindi na data ya jedwali la watumiaji) imezuiliwa kisheria kwa Umoja wa Ulaya, ikihakikisha kuwa data hii inahifadhiwa na kushughulikiwa pekee katika vituo vya data vya EU. Shughuli za kiotomatiki zinazomlenga mgeni (arifa za uwasilishaji wa maudhui na utoaji wa barua pepe za miamala) pia zinashughulikiwa ndani ya miundombinu iliyoko EU. |
| Ufutaji wa kiotomatiki | Data za kipindi huisha baada ya siku 30 za kutokuwa na shughuli. Faili za muda hufutwa ndani ya saa 24. Data ya bot challenge ni ya muda mfupi na haihifadhiwi. |
6.2 Hatua za Shirika
| Hatua | Maelezo |
|---|---|
| Usiri wa wafanyakazi | Wafanyakazi wote wenye ufikiaji wa data ya kibinafsi wanalazimishwa na wajibu wa usiri. |
| Ukaguzi wa wasindikaji wadogo | Wasindikaji wadogo wanatathminiwa kwa mazoea yao ya usalama na uzingatiaji wa ulinzi wa data kabla ya kushirikiana. Makubaliano ya maandishi ya DPA yamo na wasindikaji wote wadogo. |
| Majibu ya tukio | Taratibu za kutoa taarifa za uvunjaji huhakikisha kwamba Watawala wanaripotiwa ndani ya masaa 72 ya kuthibitisha uvunjaji wa data ya kibinafsi. |
| Sera za uhifadhi wa data | Vipindi vya uhifadhi vilivyoandikwa na utekelezaji wa kiotomatiki (ufutaji unaotegemea TTL, sera za mzunguko wa maisha). |
| Ufuatiliaji wa usalama | Uandikaji wa kumbukumbu zilizopangwa, ufuatiliaji wa usalama wa kiotomatiki, na ugunduzi wa uvamizi. Kumbukumbu za makosa na uchunguzi zimehifadhiwa kwa hadi siku 30. |
6.3 Hatua za Kimkataba
| Hatua | Maelezo |
|---|---|
| Vipengele vya Mkataba wa Kawaida | SCCs (Moduli Moja, Moduli Mbili, na Moduli Tatu) zimejumuishwa katika DPA yetu kwa kurejelea. |
| SCCs za Wasindikaji Wadogo | Makubaliano ya maandishi na kila msindikaji mdogo yanaweka wajibu wa ulinzi wa data usio mdogo kuliko ule katika DPA yetu. |
| Taarifa ya ufikiaji wa serikali | Tunaahidi kuripoti kwa Watawala maombi ya ufikiaji wa serikali ambapo inaruhusiwa kisheria, kama ilivyoelezwa katika Masharti na Hali zetu. |
| Ahadi ya kupinga | Tunaahidi kupinga maombi ya ufikiaji wa serikali tunayoamini ni mapana sana au si ya kisheria. |
7. TATHMINI YA HATARI
7.1 Uwezekano wa Ufikiaji wa Serikali
| Kipengele | Tathmini |
|---|---|
| Hali ya data | Hasa uchanganuzi uliofanywa bandia, mawasilisho ya fomu, na ujumbe wa chatbot kutoka tovuti za biashara ndogo. Data hii ina thamani ndogo ya ujasusi. |
| Kiasi cha data | Chini hadi wastani. Kila tovuti inahudumia msingi wake wa mgeni; data haikusanyiwi katika tovuti kwa madhumuni ya ufuatiliaji. |
| Muundo wa kampuni | Acira AI ni kampuni ndogo ya SaaS inayoandika tovuti za biashara ndogo. Si mtoa mawasiliano au lengo kubwa la ufuatiliaji. |
| Maombi ya kihistoria | Kufikia tarehe ya tathmini hii, Acira AI haijapata kamwe maelekezo ya Kifungu cha 702 cha FISA, Barua ya Usalama wa Taifa, au ombi lolote la serikali kwa ufikiaji mkubwa wa data ya mteja. |
| Muundo wa wasindikaji wadogo | AWS na Cloudflare ni watoa miundombinu wakubwa wanaochapisha ripoti za uwazi. Ripoti zao za uwazi zinaonyesha kwamba maombi ya serikali yanalenga akaunti maalum, si ufikiaji mkubwa wa maudhui yaliyohifadhiwa. |
Uwezekano wa jumla: CHINI
7.2 Athari ikiwa Ufikiaji Utatokea
| Kipengele | Tathmini |
|---|---|
| Usikivu wa data | Wengi wa data inayohamishwa una usikivu mdogo (uchanganuzi uliofanywa bandia, metadata ya mgeni wa tovuti). Mawasilisho ya fomu yanaweza kuwa na data ya usikivu wa kati (majina, anwani za barua pepe, ujumbe) kulingana na tovuti. |
| Ufanisi wa kufanya bandia | Data ya uchanganuzi haiwezi kuunganishwa na watu binafsi bila ufikiaji wa vipengele vya heshi inayobadilika kila siku (IP + User-Agent + tarehe), ambazo hazihifadhiwi. |
| Wigo wa kufichuliwa | Upatikanaji wowote wa serikali ungelekezwa kwa akaunti au tovuti maalum, si jukwaa zima. Kutengwa kwa data kwa kila tovuti kupitia matukio ya hifadhi maalum kunazuia wigo wa maelewano yoyote yanayoweza kutokea. Kwa waendeshaji wa tovuti wanaoishi EU, hifadhi ya kudumu na usindikaji wa kiotomatiki unaomlenga mgeni (arifa za uwasilishaji wa maudhui na utoaji wa barua pepe za miamala) umezuiliwa kwa EU, zaidi kuzuia kufichuliwa kwa upatikanaji wa serikali ya Marekani kwa data hii. |
Athari ya jumla: CHINI hadi KATI (kulingana na usikivu wa data iliyokusanywa na waendesha tovuti binafsi)
7.3 Tathmini ya Hatari Iliyobaki
Kwa kuzingatia uwezekano mdogo wa ufikiaji wa serikali, hatua za ziada za kiufundi (usimbaji fiche, kufanya bandia, kupunguza data), na dhamana za ziada zilizoanzishwa na EO 14086, tunakadiria kwamba hatari iliyobaki kwa masomo ya data ni ndogo na kwamba hatua za ziada, pamoja na SCCs (kwa uhamishaji wa EEA/UK/Uswisi) na ulinzi wa kimkataba (kwa uhamishaji wa Kanada), zinatoa kiwango cha ulinzi sawa kabisa na kile kilichohakikishiwa ndani ya EEA na kinachofanana na kile kinachohitajika chini ya sheria ya faragha ya Kanada.
8. HITIMISHO
Kulingana na tathmini hii, tunahitimisha kwamba:
Data ya kibinafsi inayohamishwa kutoka EEA/UK/Uswisi/Kanada kwenda Marekani kuhusiana na utoaji wa Huduma zetu inafaidika na kiwango sawa cha ulinzi na kile kilichohakikishiwa chini ya sheria ya ulinzi wa data ya EU na kiwango sawa cha ulinzi na kile kinachohitajika chini ya sheria ya faragha ya Kanada.
Vipengele vya Mkataba wa Kawaida, pamoja na hatua za ziada za kiufundi, za shirika, na za kimkataba zilizoelezwa katika Kifungu cha 6, zinaeleza ipasavyo hatari zilizotambuliwa katika tathmini hii.
Hali ya data (hasa uchanganuzi uliofanywa bandia na mwingiliano wa mgeni wa tovuti ya biashara ndogo) na muundo wa mpokeaji wa data (kampuni ndogo ya SaaS, si mtoa mawasiliano) hupunguza kwa kiasi kikubwa hatari ya vitendo ya ufuatiliaji wa serikali.
Ulinzi ulioanzishwa na Agizo la Utendaji 14086 na utaratibu wa urekebishi unaohusiana hutoa dhamana za ziada zinazofaidisha masomo yote ya data, bila kujali utaratibu maalum wa uhamishaji unaotumika.
Kwa uhamishaji wa Kanada, ulinzi wa kimkataba na hatua za ziada zilizoelezwa hapa kuhakikisha kiwango sawa cha ulinzi na kile kinachohitajika chini ya PIPEDA na sheria za faragha za mkoa husika, ikiwa ni pamoja na sheria ya kisasa ya faragha ya Quebec.
Tutaendelea kufuatilia maendeleo katika sheria na mazoea ya ufuatiliaji wa Marekani, pamoja na maendeleo katika sheria ya faragha ya Kanada (ikiwa ni pamoja na Sheria ya Ulinzi wa Faragha ya Mlaji iliyopendekezwa), na tutapitiaje upya TIA hii ikiwa hali zitabadilika kwa kiasi kikubwa.
Uhamishaji unaweza kuendelea chini ya kuendelea kutumika kwa SCCs na hatua za ziada zilizoelezwa hapa.
9. RATIBA YA MAPITIO
TIA hii itapitiwa na kusasishwa:
- Kila mwaka, kwa kiwango cha chini, au
- Kuhusu mabadiliko makubwa ya sheria au kanuni zinazotumika (ikiwa ni pamoja na mabadiliko ya FISA, Sheria ya CLOUD, EO 14086, PIPEDA, au sheria za faragha za mkoa wa Kanada),
- Kuhusu mabadiliko ya wasindikaji wetu wadogo au hali ya data inayohamishwa,
- Kuhusu uamuzi wowote wa mahakama unaoathiri kwa kiasi kikubwa uhalali wa SCCs au kutosha kwa ulinzi wa data wa Marekani.
10. WASILIANA NASI
Ikiwa una maswali kuhusu Tathmini hii ya Athari za Uhamishaji, tafadhali wasiliana nasi kwa:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Marekani
Simu: 888-389-1189
Barua pepe: legal@acira.ai
Faragha yako, kipaumbele chetu
Hatuuzi data yako, hatutumii vidakuzi vya ufuatiliaji — ndiyo maana hutaona bango la vidakuzi hapa. Tunaheshimu Global Privacy Control, na kwa wateja wa EU, data ya wageni huhifadhiwa na kusindikwa pekee ndani ya Umoja wa Ulaya.
Acira AI
Jenga tovuti nzuri na AI. Hakuna kuandika programu inayohitajika.
Imejengwa kwa kiburi nchini Marekani
© 2026 Acira AI LLC. Haki zote zimehifadhiwa.