数据传输影响评估
最后更新:2026年3月19日
本数据传输影响评估("TIA")由 Acira AI LLC("Acira AI"、"我们")依据欧盟法院于 Data Protection Commissioner 诉 Facebook Ireland Limited 及 Maximillian Schrems 案(案件 C-311/18,"Schrems II")之判决及欧洲数据保护委员会建议(EDPB Recommendations 01/2020 关于补充措施)之要求所编制。
本 TIA 评估将个人数据从欧洲经济区("EEA")、英国("UK")、瑞士及加拿大传输至美国及其他第三国(与提供我们服务相关)之保护充分性。
本 TIA 可能为方便起见翻译成其他语言。若英文版本与任何翻译版本之间存在冲突或不一致,以英文版本为准。
目录
1. 传输概览
1.1 背景
Acira AI 是一个软件即服务平台,使企业和个人能够创建、管理和托管 AI 驱动的网站。当用户创建的网站被位于 EEA、英国、瑞士或加拿大的访客访问时,这些访客的个人数据可能会被传输到美国及我们基础设施提供商运营的其他地点进行处理。
1.2 各方
- 数据输出方: 网站运营者(我们的客户,作为控制者)及就分析数据而言,Acira AI 作为联合控制者。
- 数据输入方: Acira AI LLC,在美国内华达州成立,作为处理者(及就分析数据而言的联合控制者)。
- 子处理者: Acira AI 聘用的第三方服务提供商(列于第 5 节)。
1.3 传输目的地
| 目的地 | 提供商 | 依据 |
|---|---|---|
| 美国和欧盟(斯德哥尔摩) | AWS | SCCs + 补充措施(美国);针对欧盟居民自动化访客导向操作的EEA内部 |
| 美国 | Stripe, Fireworks AI, xAI | SCCs + 补充措施 |
| 全球(边缘位置) | Cloudflare | SCCs + 补充措施 |
| 以色列 | BrightData(仅限用户指示) | SCCs + 补充措施 |
| 欧洲联盟 | Black Forest Labs、ScreenshotOne、CloudConvert | EEA 内部传输(无需传输机制) |
2. 所传输数据的性质
2.1 个人数据类别
所传输的个人数据取决于网站运营者启用的功能及网站访客的互动。以下类别可能被传输:
| 数据类别 | 描述 | 敏感度 | 数量 |
|---|---|---|---|
| 分析标识符 | IP + 用户代理 + 日期的每日轮换加密哈希(已假名化) | 低 | 高(每次页面浏览) |
| 访客元数据 | 国家、地区、语言、设备类型、浏览器、操作系统、推荐域名、UTM 参数 | 低 | 高(每次页面浏览) |
| IP 地址 | 与表单提交和聊天机器人对话一起存储为元数据;用于分析时进行哈希处理;临时用于机器人挑战验证;临时存储用于速率限制(最多 7 天) | 中 | 中 |
| 表单提交内容 | 访客提交的自由文本字段(姓名、电子邮件、消息等) | 可变(取决于表单) | 低至中 |
| 聊天机器人消息 | 访客消息和 AI 生成的回复(每条消息最多 2,000 个字符) | 低至中 | 低 |
| 文件上传 | 访客通过网站表单上传的文件(图片、文件) | 可变 | 低 |
| 会话标识符 | 服务器端会话 ID 和客户端会话 Cookie | 低 | 高 |
| 认证凭证 | 网站受保护区域的密码(仅以哈希形式存储) | 高(但已哈希) | 低 |
2.2 数据主体类别
- 在 Acira AI 平台上托管的网站的访客
- 在平台上托管的网站创建账户的用户
- 在托管网站上提交表单、与聊天机器人互动或上传文件的用户
2.3 未传输的数据
- 地理位置数据: IP 地址到位置的查找由我们的基础设施提供商在网络边缘执行。访客 IP 地址不会传输至任何外部地理位置服务。
- 原始分析 IP 地址: 仅存储每日轮换的加密哈希;原始 IP 地址不在分析系统中持久化。
- 明文密码: 仅存储和传输密码学哈希。
3. 传输机制
3.1 主要机制:标准合同条款
我们依赖欧洲委员会根据委员会实施决定(EU)2021/914 采用的标准合同条款(SCCs),具体为:
- 模块一(控制者对控制者): 用于 Acira AI 作为网站运营者联合控制者的分析数据传输(见 DPA 第 2.3 节)。
- 模块二(控制者对处理者): 用于从网站运营者(控制者)到 Acira AI(处理者)的访客个人数据传输。
- 模块三(处理者对子处理者): 用于从 Acira AI 到我们子处理者的后续传输。
3.2 英国、瑞士和加拿大传输
- 英国: 适用英国《EU SCCs 国际数据传输附录》。
- 瑞士: SCCs 适用,并作出瑞士《联邦数据保护法》(FADP)所要求的修改。
- 加拿大: 传输依赖与每个子处理者的合同保护,施加与《个人信息保护和电子文件法》(PIPEDA)及适用省份隐私立法一致的义务,并结合第 6 节所述的补充技术和组织措施。详见 DPA 第 7.4 节。
3.3 子处理者传输机制
| 子处理者 | 传输机制 |
|---|---|
| Amazon Web Services | SCCs(AWS DPA),ISO 27001/27017/27018 认证 |
| Cloudflare | SCCs(Cloudflare DPA),ISO 27001 认证 |
| Stripe | SCCs(Stripe DPA),PCI DSS 第 1 级认证 |
| Fireworks AI | SCCs(Fireworks AI DPA),SOC 2 Type II,ISO 27001/27701/42001 认证 |
| xAI | SCCs(xAI DPA,含 EU SCCs) |
| BrightData | SCCs(BrightData DPA) |
4. 目的地国家法律评估
4.1 美国
美国是所传输数据的主要目的地。以下美国法律与本评估相关:
4.1.1 《外国情报监视法》(FISA)第 702 条
FISA 第 702 条授权美国政府强制电子通信服务提供商提供对位于美国境外的非美国人通信的访问,用于外国情报目的。
风险评估:
- 适用性: FISA 第 702 条适用于 50 U.S.C. § 1881(b)(4) 定义的"电子通信服务提供商"。Acira AI 是一个 SaaS 网站托管平台,而非传统电信提供商。我们的子处理者(AWS、Cloudflare)更可能受到第 702 条指令的约束。
- 面临风险的数据范围: 我们处理的个人数据主要由网站访客分析(假名化)、表单提交和聊天机器人消息组成。此数据不太可能具有外国情报价值。
- 实际可能性: 我们从未收到过 FISA 第 702 条指令,并评估收到此类指令的实际可能性非常低,考虑到我们服务的性质和我们处理的数据。
4.1.2 第 12333 号行政命令
第 12333 号行政命令授权美国情报机构开展监视活动,包括大量收集信号情报。它适用于传输中的数据,不强制私人公司合作。
风险评估:
- 缓解: 所有传输中的数据均使用 TLS 加密。大量拦截加密的传输中数据不会获得明文个人数据。
- 实际可能性: 低。通过我们服务处理的数据不属于通常针对信号情报的性质。
4.1.3 第 14086 号行政命令及欧美数据隐私框架
第 14086 号行政命令(2022 年 10 月)为信号情报活动引入了额外保障,包括:
- 情报收集的必要性和相称性要求
- 向欧盟/英国/瑞士个人提供的两层救济机制(公民自由保护官员 + 数据保护审查法院)
- 对大量收集的限制
欧洲委员会于 2023 年 7 月 10 日通过了欧美数据隐私框架(DPF)的充分性决定。虽然 Acira AI 目前未在 DPF 下自我认证,但第 14086 号行政命令下的保护广泛适用于所有向美国的数据传输,并且无论使用何种传输机制,所有数据主体均可从中受益。
4.1.4 《云法》
《澄清境外合法使用数据法》(CLOUD Act)允许美国执法机构强制美国供应商提供数据,不论其存储位置,但需有效授权令或法院命令。
风险评估:
- 保障: 《云法》要求有效的法律程序(授权令、传票或法院命令)。它不授权无授权令的大量访问。
- 礼让条款: 《云法》包括一个礼让框架,允许提供商对与外国法律冲突的命令提出异议。
- 实际可能性: 对网站访客数据而言低。执法请求更可能针对被怀疑有犯罪活动的特定账户,而非访客分析或表单提交。
4.2 以色列(BrightData)
BrightData 位于以色列。以色列拥有欧洲委员会的充分性决定(2011/61/EU),意味着向以色列的传输类似于 EEA 内部传输。然而,BrightData 也在其他全球地点处理数据。我们注意到:
- BrightData 的处理仅在用户指示时发生(在网站创建期间用于内容导入)或在计划的 SERP 追踪期间。
- 没有网站访客个人数据被传输到 BrightData。
4.3 加拿大(从加拿大传输至美国)
位于加拿大的网站访客的个人数据可能被传输到美国进行处理。以下加拿大法律与本评估相关:
4.3.1 《个人信息保护和电子文件法》(PIPEDA)
PIPEDA 规范私营部门组织在商业活动过程中收集、使用和披露个人信息。PIPEDA 原则 4.1.3 要求组织在将个人信息转移给第三方进行处理时(包括向加拿大境外的传输),使用合同或其他手段确保可比较水平的保护。
风险评估:
- 可比较保护: 第 6 节所述的补充措施(加密、假名化、访问控制、数据最小化)提供了与 PIPEDA 要求相当的保护水平。与所有子处理者均签有书面数据处理协议。
- 无充分性要求: 与 GDPR 不同,PIPEDA 不禁止向缺乏"充分性"认定的国家传输。组织必须通过合同和其他手段确保可比较保护,我们已实施这些措施。
4.3.2 省份隐私立法
阿尔伯塔省的《个人信息保护法》(PIPA)、不列颠哥伦比亚省的《个人信息保护法》(PIPA)和魁北克省的《关于私营部门个人信息保护的法律》对某些省份施加了额外要求:
风险评估:
- 魁北克第 25 号法律: 魁北克的现代化隐私法(自 2023 年 9 月起生效)要求在将个人信息传输到魁北克境外之前进行隐私影响评估,并且传输组织必须确信信息将获得充分保护。我们的合同保护、补充技术措施及数据性质(主要为假名化分析和小型企业网站互动)支持充分保护的认定。
- 阿尔伯塔省和不列颠哥伦比亚省: 阿尔伯塔省和不列颠哥伦比亚省的 PIPAs 要求组织确保所传输数据的可比较保护。我们的合同和技术保障措施满足此要求。
4.3.3 从加拿大角度看美国政府访问
第 4.1 节评估的相同美国政府访问风险适用于加拿大数据传输。政府访问的低可能性(考虑到数据性质和我们公司概况),结合第 6 节的补充措施,确保从加拿大传输到美国的个人数据获得与加拿大隐私法要求相当的保护水平。
4.4 全球边缘位置(Cloudflare)
Cloudflare 运营着全球边缘位置网络。欧盟访客请求通常在最近的 Cloudflare 存在点处理,对于欧盟访客,这通常是欧盟境内的位置。
- 请求路由、TLS 终止和机器人保护在最近的边缘位置发生。
- 对于被识别为欧盟居民的网站运营商,持久存储(包含表单提交、聊天机器人对话和会话数据)通过使用 Cloudflare 的司法管辖区 API 在司法管辖上限制于欧盟。对于非欧盟网站运营商,持久存储位于运营商地理区域附近,但可能位于欧盟之外。
- 分析数据在 Cloudflare 管理的基础设施中处理。
5. 按服务供应商评估数据流
5.1 Amazon Web Services(美国)
| 数据流 | 涉及的个人数据 | 目的 |
|---|---|---|
| 数据库存储 | 表单提交元数据(IP、国家/地区、区域)、聊天机器人对话记录、文件元数据、会话记录 | 网站访客数据的持久存储 |
| 文件存储 | 上传的文件(图像、文档)、部署快照 | 文件存储 |
| AI 推理 | 文件内容(用于 AI 描述)、电子邮件内容(用于垃圾邮件检测) | AI 驱动的描述和垃圾邮件分类 |
| 内容审核 | 上传的图像 | 内容审核(裸体/露骨内容检测) |
| 电子邮件投递 | 电子邮件地址、消息内容 | 事务性电子邮件投递和内容提交通知。对于欧盟居民网站运营商,这些操作在欧盟(斯德哥尔摩)处理。 |
| 语言检测 | 电子邮件消息文本 | 语言检测 |
AWS 保障措施:
- ISO 27001、27017、27018 认证
- SOC 1/2/3 报告可供查阅
- 使用行业标准加密对静态数据进行加密
- 传输中的数据已加密(TLS)
- 每个系统组件的最小权限访问控制
- 主要服务托管在美国;欧盟居民网站运营商的自动化访客导向操作(内容提交通知和事务性电子邮件投递)在欧盟(斯德哥尔摩)处理
5.2 Cloudflare(全球)
| 数据流 | 涉及的个人数据 | 目的 |
|---|---|---|
| 边缘路由 | IP 地址、HTTP 标头、请求 URL | 请求路由、DDoS 保护、TLS 终止 |
| 网站托管 | 页面内容、访客元数据 | 网站托管和交付 |
| 持久存储 | 表单提交、聊天机器人对话、会话数据、用户表数据 | 每个网站的有状态存储 |
| 分析 | 假名化访客哈希、国家/地区、设备、浏览器、来源、UTM | 注重隐私的访客分析 |
| AI 推理 | 聊天机器人消息、表单字段摘要 | AI 聊天机器人响应、垃圾邮件检测 |
| 资产存储 | 网站资产(图像、文件) | 静态资产存储和 CDN 交付 |
Cloudflare 保障措施:
- ISO 27001 认证,SOC 2 Type II
- 所有连接使用 TLS 1.2+
- Cloudflare DPA 含 SCCs 可供查阅
- 边缘处理意味着欧盟访客数据通常在欧盟边缘位置处理请求
- 对于被识别为欧盟居民的网站运营商,持久存储(包含表单提交、聊天机器人对话、会话数据和用户表数据)通过Cloudflare的司法管辖区API在司法管辖上限制在欧盟范围内,确保这些数据仅在欧盟数据中心内存储和处理。来自边缘的后端API调用(用于内容提交通知和事务性电子邮件投递)被路由到位于欧盟的AWS基础设施。
- AI 推理不保留用于训练的输入数据
5.3 Stripe(美国)
| 数据流 | 涉及的个人数据 | 目的 |
|---|---|---|
| 支付处理 | 网站运营者账单数据(姓名、电子邮件、付款方式) | 订阅和域名付款处理 |
注意: Stripe 不接收网站访客个人数据。只有网站运营者(我们的客户)的账单信息由 Stripe 处理。
Stripe 保障措施:
- PCI DSS 第 1 级认证
- ISO 27001 认证
- Stripe DPA 含 SCCs 可供查阅
5.4 AI 推理供应商(美国)
Fireworks AI 和 xAI 提供 AI 模型推理服务。
| 数据流 | 涉及的个人数据 | 目的 |
|---|---|---|
| 文字生成(网站内容) | 网站内容(非访客数据) | 网站内容创建和编辑 |
| 图片生成 | 文字提示(非访客数据) | 为网站创建图片 |
| 对话式 AI(聊天助手) | 平台用户姓名、电子邮件、语言偏好及对话历史 | 用于平台用户(网站运营者)的 AI 驱动助手 |
注意: 这些 AI 供应商不接收网站访客个人数据。服务访客的聊天机器人功能使用 Cloudflare Workers AI(在第 5.2 节评估),而非这些供应商。然而,平台的对话式 AI 助手——网站运营者用于管理其网站的——将平台用户个人数据(姓名、电子邮件地址和对话历史)发送给这些供应商作为生成回复的一部分。对于此处理,Acira AI 作为控制者(而非处理者),且数据主体是我们的平台用户(网站运营者),而非其网站访客。此数据流受我们的隐私政策及我们与这些供应商协议的约束,而非访客数据控制者-处理者框架的 DPA。
模型系列: 这些基础设施提供商托管并执行由各种第三方开发的 AI 模型。所使用的具体模型和模型系列可能会随时间变化。模型开发者不会收到或访问任何用户数据——所有数据处理均在所列子处理器的基础设施中独家进行,无论模型最初在哪里开发。所有 AI 推理处理均保留在我们所列子处理器的基础设施上。任何用户数据均不会传输给模型开发者或本评估中所列子处理器以外的基础设施。当前使用的模型系列列表可通过联系 legal@acira.ai 申请获取。
5.5 BrightData(以色列/全球)
| 数据流 | 涉及的个人数据 | 目的 |
|---|---|---|
| 网络数据收集 | 公开可用的网络内容(非访客数据) | 网站创建期间的内容导入(用户指示) |
| SERP 追踪 | 搜索关键词(非访客数据) | 关键词排名监控 |
注意: BrightData 不处理网站访客个人数据。它处理用户指示的公开可用网络内容,并追踪用户定义关键词的搜索引擎排名。
5.6 欧盟供应商(无传输)
| 供应商 | 位置 | 目的 |
|---|---|---|
| Black Forest Labs | 德国(欧盟) | AI 图片生成(Flux 模型) |
| ScreenshotOne | 欧洲联盟 | 网站截图捕获 |
| CloudConvert | 德国(欧盟) | 文件格式转换 |
这些供应商在欧盟境内处理数据,不构成国际传输。Black Forest Labs 仅接收图片生成的文字提示;不涉及个人数据。
6. 补充措施
除 SCCs 外,我们实施以下补充措施,以确保所传输个人数据获得实质上等同的保护水平:
6.1 技术措施
| 措施 | 描述 |
|---|---|
| 传输加密 | 访客、边缘网络和后端服务之间传输的所有数据均使用 TLS(最低 TLS 1.2)加密。内部服务间通信使用加密通道。 |
| 静态加密 | 所有数据库记录、文件存储和边缘托管的持久存储均使用由相应基础设施提供商管理的行业标准加密在静态时加密。 |
| 假名化 | 访客分析使用每日轮换的加密哈希(IP + 用户代理 + 日期),而不是存储原始 IP 地址。此哈希无法逆转,每 24 小时轮换一次,防止跨天追踪。 |
| 数据最小化 | 分析仅收集汇总级别的元数据(国家/地区、设备类型、浏览器)。分析中不存储原始 IP 地址。聊天机器人消息限制为 2,000 个字符。 |
| 密码哈希 | 所有访客密码(用于网站受保护区域)在存储前使用带每用户随机盐的强密码学算法进行哈希。明文密码从不被存储或传输。 |
| 访问控制 | 最小权限访问策略将每个系统组件限制为仅其所需的资源。每个网站的 API 令牌将访问权限限定于各个网站。 |
| 网络隔离 | 后端服务通过内部网络通信。网站托管在隔离的执行沙盒中运行。自定义代码执行使用基于 WebAssembly 的沙盒。 |
| 司法管辖数据驻留 | 对于被识别为欧盟居民的网站运营商,包含访客数据(表单提交、聊天机器人对话、会话数据和用户表数据)的持久存储在司法管辖上限制在欧盟范围内,确保这些数据仅在欧盟数据中心内存储和处理。自动化访客导向操作(内容提交通知和事务性电子邮件投递)也在位于欧盟的基础设施内处理。 |
| 自动删除 | 会话数据在 30 天无活动后过期。临时文件会在 24 小时内删除。机器人挑战数据是临时性的,不会被持久保存。 |
6.2 组织措施
| 措施 | 描述 |
|---|---|
| 人员保密 | 所有访问个人数据的人员均受保密义务约束。 |
| 子处理者尽职调查 | 在参与前对子处理者的安全实践和数据保护合规性进行评估。与所有子处理者均签有书面 DPA。 |
| 事件响应 | 违规通知程序确保在确认个人数据违规后 72 小时内通知控制者。 |
| 数据保留政策 | 具有自动执行的记录保留期限(基于 TTL 的删除、生命周期策略)。 |
| 安全监控 | 结构化日志记录、自动化安全监控和入侵检测。错误和诊断日志保留最多 30 天。 |
6.3 合同措施
| 措施 | 描述 |
|---|---|
| 标准合同条款 | SCCs(模块一、模块二和模块三)通过引用纳入我们的 DPA。 |
| 子处理者 SCCs | 与每个子处理者的书面协议施加的数据保护义务不低于我们 DPA 中的义务。 |
| 政府访问通知 | 我们承诺在法律许可的情况下通知控制者政府访问请求,如我们的条款和条件中所述。 |
| 挑战承诺 | 我们承诺对我们认为过于广泛或非法的政府访问请求提出异议。 |
7. 风险评估
7.1 政府访问的可能性
| 因素 | 评估 |
|---|---|
| 数据性质 | 主要是来自小型企业网站的假名化分析、表单提交和聊天机器人消息。此数据情报价值低。 |
| 数据数量 | 低至中等。每个网站服务于自己的访客群体;数据不跨网站聚合用于监视目的。 |
| 公司概况 | Acira AI 是一家托管小型企业网站的小型 SaaS 公司。我们不是电信提供商或高知名度的监视目标。 |
| 历史请求 | 截至本评估日期,Acira AI 从未收到过 FISA 第 702 条指令、国家安全信函或任何政府的大量访问客户数据请求。 |
| 子处理者概况 | AWS 和 Cloudflare 是发布透明报告的大型基础设施提供商。其透明报告表明政府请求针对特定账户,而非大量访问托管内容。 |
总体可能性:低
7.2 访问发生时的影响
| 因素 | 评估 |
|---|---|
| 数据敏感度 | 大多数传输数据的敏感度低(假名化分析、网站访客元数据)。表单提交可能包含中等敏感度数据(姓名、电子邮件地址、消息),取决于网站。 |
| 假名化效果 | 分析数据在没有访问每日轮换哈希组件(IP + 用户代理 + 日期)的情况下无法与个人关联,而这些组件未被存储。 |
| 暴露范围 | 任何政府访问将针对特定账户或网站,而非整个平台。通过专用存储实例实现的每网站数据隔离限制了任何潜在泄露的范围。对于欧盟居民网站运营商,持久存储和自动化访客导向处理(内容提交通知和事务性电子邮件投递)被限制在欧盟范围内,进一步限制了这些数据面临美国政府访问的暴露风险。 |
总体影响:低至中等(取决于个别网站运营者收集的数据的敏感度)
7.3 剩余风险评估
考虑到政府访问的低可能性、补充技术措施(加密、假名化、数据最小化)以及第 14086 号行政命令引入的额外保障,我们评估数据主体的剩余风险低,且补充措施与 SCCs(对 EEA/英国/瑞士传输)和合同保护(对加拿大传输)一起提供了实质上等同于 EEA 内保证的保护水平,以及可与加拿大隐私法要求相比较的保护。
8. 结论
基于本评估,我们得出结论:
从 EEA/英国/瑞士/加拿大传输至美国的个人数据(与提供我们服务相关)获得了实质上等同于 EU 数据保护法保障的保护水平,以及可与加拿大隐私法要求相比较的保护。
标准合同条款,结合第 6 节所述的补充技术、组织和合同措施,充分解决了本评估中识别的风险。
数据性质(主要是假名化分析和小型企业网站访客互动)及数据输入方的概况(一家小型 SaaS 公司,而非电信提供商)显著降低了政府监视的实际风险。
第 14086 号行政命令引入的保护及相关救济机制提供了额外保障,无论使用何种特定传输机制,所有数据主体均可从中受益。
对于加拿大传输,本文所述的合同保护和补充措施确保了可与 PIPEDA 及适用省份隐私立法(包括魁北克的现代化隐私法)要求相比较的保护水平。
我们将继续监控美国监视法律和实践的发展,以及加拿大隐私法的发展(包括拟议的《消费者隐私保护法》),并在情况发生重大变化时重新评估本 TIA。
传输可在继续应用本文所述 SCCs 和补充措施的条件下进行。
9. 审查时间表
本 TIA 将在以下情况下审查和更新:
- 每年至少一次,或
- 适用法律或法规发生重大变化时(包括 FISA、云法、第 14086 号行政命令、PIPEDA 或加拿大省份隐私立法的变化),
- 我们的子处理者或所传输数据的性质发生变化时,
- 任何法院判决对 SCCs 的有效性或美国数据保护的充分性产生重大影响时。
10. 联系我们
如您对本数据传输影响评估有任何问题,请联系我们:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
电话: 888-389-1189
电子邮件:legal@acira.ai
Your Privacy, Our Priority
We don't sell your data, we don't use tracking cookies — that's why you won't see a cookie banner here. We honor Global Privacy Control, and for EU customers, visitor data is stored and processed exclusively within the European Union.
Acira AI
Build beautiful websites with AI. No coding required.
Proudly built in the United States
© 2026 Acira AI LLC. All rights reserved.