資料處理附錄

最後更新：2026年3月19日

本資料處理附錄（「DPA」）構成 Acira AI LLC（「處理者」、「我們」）與服務使用者（「控制者」、「您」）之間條款與條件（「協議」）的一部分，並就個人資料的處理補充該協議。

本 DPA 適用於您使用本服務創建、託管及發佈網站，且這些網站收集或處理位於歐洲經濟區（「EEA」）、英國（「UK」）或瑞士的個人資料，或在適用資料保護法律另有要求的情況下。

本資料處理附錄可能會為了您的方便而翻譯成其他語言。如果英文版本與任何翻譯版本之間存在任何衝突或不一致，以英文版本為準。

目錄

1. 定義
2. 範圍與角色
3. 資料處理詳情
4. 處理者的義務
5. 控制者的義務
6. 次處理者
7. 國際資料傳輸
8. 資料主體權利
9. 資料安全
10. 資料洩露通知
11. 稽核與合規驗證
12. 資料保留與刪除
13. 期限與終止
14. 責任限制
15. 聯絡方式

1. 定義

「適用資料保護法律」 指適用於本 DPA 下個人資料處理的所有法律和法規，包括（視情況而定）《通用資料保護規則》(EU) 2016/679（「GDPR」）、UK GDPR、瑞士《聯邦資料保護法》（「FADP」）以及《加州消費者隱私法》（「CCPA」）。

「控制者」 指決定個人資料處理目的與方式的自然人或法人——在本文中指您，即透過平台經營網站的服務使用者。

「資料主體」 指個人資料被處理的已識別或可識別的自然人。

「個人資料」 指透過服務處理的任何與資料主體相關的資訊。

「處理」 指對個人資料執行的任何操作，包括收集、記錄、組織、結構化、儲存、改編、檢索、查閱、使用、披露、傳播、限制、刪除或銷毀。

「處理者」 指代表控制者處理個人資料的自然人或法人——在本文中指 Acira AI LLC。

「次處理者」 指處理者為代表控制者處理個人資料而聘用的任何第三方。

「標準合約條款」或「SCCs」 指歐洲委員會通過的，用於向第三國處理者傳輸個人資料的標準合約條款。

2. 範圍與角色

2.1 處理關係

當您使用本服務創建和運營一個從您的網站訪客（透過表單、用戶帳戶、聊天機器人互動、評論、評價或其他互動功能）收集個人資料的網站時，您作為控制者，我們作為該訪客個人資料的處理者。

2.2 我們作為控制者的角色

對於我們為自身目的收集的個人資料，包括：您的帳戶資訊、帳單資料、使用分析、從您網站內容中獲取的一般網站特徵（如行業或業務類型）及平台營運資料，我們作為獨立的控制者行事。此類資料的處理受我們的隱私政策管轄，不在本DPA的範圍之內。

2.3 平台分析

我們收集關於網站訪客的基本、隱私友好型分析（如協議所述）。對於分析資料，我們與您作為共同控制者。我們設計了分析系統以最小化個人資料收集——我們不儲存原始 IP 地址，訪客識別符每日輪換。每位共同控制者的各自責任如下：

• Acira AI（處理者/共同控制者）： 決定分析收集的技術手段，包括收集哪些資料點、如何計算訪客識別符（每日輪換的雜湊值），以及如何彙總資料。我們負責分析基礎設施的安全性和完整性，並回應關於平台上分析運作方式的一般查詢。
• 您（控制者/共同控制者）： 決定是否在您的網站上使用分析（分析作為服務的一部分預設啟用）。您負責在您網站的隱私政策中披露分析資料的收集，並回應您的網站訪客關於其分析資料的資料主體請求。
• 資料主體的聯絡點： 資料主體可就您網站上收集的分析資料聯絡您（網站擁有者）。如果我們收到資料主體關於分析資料的請求，除非您另有指示，否則我們將引導他們聯絡您。對於一般平台查詢，資料主體可透過 legal@acira.ai 聯絡我們。

2.4 共同控制者安排的本質

根據 GDPR 第 26(2) 條，分析資料的共同控制者安排的本質如下：我們（Acira AI）決定收集的技術手段和資料點；您（網站運營者）決定是否在您的網站上使用分析。我們各自對適用資料保護法律下的各自義務負責。您是您的網站訪客關於分析資料的主要聯絡點。本安排的摘要透過本 DPA 及 https://www.acira.ai/dpa 向資料主體提供。

2.5 CCPA 服務提供者指定

在我們代表您處理受《加州消費者隱私法》（「CCPA」）約束的個人資訊的範圍內，我們是 Cal. Civ. Code § 1798.140(ag) 中定義的您的「服務提供者」。我們不得：

• 出售或分享（如 CCPA 中定義的這些術語）您提供給我們的任何個人資訊；
• 為本 DPA 和協議中規定的業務目的以外的任何目的保留、使用或披露個人資訊，或在 CCPA 允許的範圍之外；
• 在您與我們之間的直接業務關係之外保留、使用或披露個人資訊；
• 將從您處收到的個人資訊與我們從其他人處或代表其他人收到的個人資訊，或我們從自身與消費者互動中收集的個人資訊相結合，但 CCPA 允許的情況除外。

如第2.2節所述，我們可能從您的網站內容中獲取一般性、非識別性的商業特徵（如行業分類），以提供相關的產品推薦。此有限使用不構成CCPA意義上的個人資訊銷售、共享或合併。

我們確認理解並將遵守這些限制。

2.6 瑞士 FADP 代表評估

瑞士《聯邦資料保護法》（「FADP」）第 14 條要求非瑞士私人控制者僅在以下全部四項累積條件均滿足時，才需在瑞士指定代表：(1) 處理與向瑞士境內人員提供商品或服務或監控其行為有關；(2) 處理規模龐大；(3) 處理定期進行；以及 (4) 處理對資料主體的人格權或基本權利構成高風險。

我們已針對這些條件評估了我們的處理活動，並確定雖然條件 (1) 和 (3) 已滿足，但其餘條件因以下原因未獲滿足：

• 非大規模： 我們是一個小型 SaaS 平台。透過我們服務處理的瑞士居民個人資料數量有限，不構成 FADP 第 14 條含義下的大規模處理。
• 非高風險： 我們代表網站運營者處理的個人資料主要包括假名化分析識別符（每日輪換的雜湊值）、基本訪客元資料（國家、設備類型、瀏覽器）、表單提交內容和聊天機器人訊息。我們不處理特殊類別的個人資料（FADP 第 5(c) 條），也不進行對資料主體具有高風險的剖析。瑞士聯邦資料保護和資訊專員（「FDPIC」）已表明，這一義務主要針對從境外運營的大型網際網路平台和社交網路，這不符合我們服務的描述。

基於此評估，我們得出結論，目前我們無需依據 FADP 第 14 條在瑞士指定代表。我們將定期重新評估這一決定，包括在影響瑞士居民的處理活動規模或性質發生重大變化時。

3. 資料處理詳情

3.1 主題事項與期限

本 DPA 下個人資料的處理是為了提供協議中描述的服務，並將在協議期限內持續進行。

3.2 處理的性質與目的

我們處理個人資料以：

• 託管和提供您的網站內容
• 儲存和管理透過您網站的表單和互動功能提交的資料
• 為您網站的受保護區域維護用戶帳戶和會話
• 代表您傳遞電子郵件通訊
• 轉發收到的您自定義域名電子郵件地址的郵件
• 為與您網站訪客的 AI 聊天機器人對話提供支援
• 為上傳的文件生成 AI 驅動的描述和元資料
• 將上傳的文件轉換為網路優化格式
• 提供訪客分析
• 獲取一般網站特徵（如行業或業務類型）以提供相關的平台推薦
• 偵測和防止垃圾郵件和濫用（包括工作量證明機器人挑戰）
• 對上傳的文件執行內容審核
• 在發佈期間審查網站內容以符合平台內容政策
• 管理您網站電子郵件收件人的電子郵件退訂偏好
• 透過 WebSocket 連接促進您網站上的即時頻道通訊（訊息是暫時性的，不會持久化）
• 維護錯誤和診斷日誌以確保平台可靠性和故障排除（可能包括 IP 地址和請求元資料；保留最多三十（30）天）

3.3 個人資料的類型

處理的個人資料類型取決於您透過您的網站收集的內容，可能包括：

• 姓名和聯絡資訊
• 電子郵件地址
• 訊息和表單提交
• 網站訪客提交的文件上傳（例如圖片和文件）
• 聊天機器人對話內容（訪客訊息和 AI 回應）
• 用戶帳戶憑據（以雜湊形式儲存）
• 會話資料
• IP 地址（不儲存在分析中——僅儲存每日輪換的雜湊值；作為元資料與表單提交和聊天機器人對話一同儲存；臨時用於並雜湊用於機器人挑戰驗證；臨時儲存用於速率限制，最多七（7）天後自動清除）
• 瀏覽器和設備資訊
• 位置資料（國家和地區級別，源自 IP）
• 電子郵件退訂記錄（以收件人電子郵件地址的加密雜湊形式儲存；不以原始形式儲存）
• 垃圾郵件分類結果（提交是否被判定為垃圾郵件）
• 錯誤和診斷日誌資料（IP 地址、請求路徑和錯誤詳情；保留最多三十（30）天後自動清除）

3.4 資料主體的類別

• 您的網站訪客
• 在您的網站上創建帳戶的用戶
• 在您的網站上提交表單或與聊天機器人互動的用戶
• 在您的網站上提交評論、評價或其他貢獻的用戶

4. 處理者的義務

我們應：

1. 僅依據您的書面指示處理個人資料，除非適用法律要求（在此情況下，我們將在處理前告知您該法律要求，除非法律禁止）；
2. 確保被授權處理個人資料的人員已承諾保密，或受到適當的法定保密義務的約束；
3. 按照第 9 節所述實施適當的技術和組織安全措施；
4. 遵守第 6 節規定的聘用次處理者的條件；
5. 考慮到處理的性質，協助您回應資料主體依據適用資料保護法律行使其權利的請求；
6. 考慮到處理的性質和我們可獲得的資訊，協助您確保遵守您在 GDPR 第 32-36 條下的義務（安全、洩露通知、資料保護影響評估和事先諮詢）。在您使用服務涉及可能需要資料保護影響評估（DPIA）的高風險處理的情況下，我們將向您提供有關我們的處理活動、技術和組織措施以及次處理者的資訊以支持您的評估；
7. 透過提供代表您執行的任何自動化處理（包括內容審核、垃圾郵件偵測和機器人保護）的資訊，並在請求時促進對自動化決策的人工審查，協助您履行 GDPR 第 22 條下的義務（自動化個人決策）；
8. 如果我們認為您的指示違反適用資料保護法律，通知您；
9. 按照您的選擇，在服務提供結束後刪除或返還所有個人資料，並刪除現有副本，除非適用法律要求儲存；
10. 向您提供證明遵守本 DPA 所規定義務所需的所有資訊，並按照第 11 節所述協助進行合規驗證。

5. 控制者的義務

您應：

1. 確保您透過您的網站收集和處理個人資料符合所有適用資料保護法律；
2. 向您的網站訪客提供適當的隱私通知，描述您的資料收集實踐，包括披露平台級分析、AI 驅動的聊天機器人互動、垃圾郵件偵測和機器人保護；
3. 獲得所有必要的同意，或為透過您的網站處理個人資料建立另一合法依據；
4. 確保您就個人資料處理對我們的指示符合適用資料保護法律；
5. 對透過您的網站提供給我們的個人資料的準確性、品質和合法性負責。

透過使用本服務，您指示我們代表您作為標準平台運營的一部分執行以下處理活動：上傳文件的內容審核、已發佈網站內容的內容政策審查、表單提交的垃圾郵件偵測、透過工作量證明挑戰的機器人保護，以及與您網站訪客的 AI 驅動聊天機器人互動。這些活動是 GDPR 第 28(3)(a) 條下的書面指示。

6. 次處理者

6.1 授權的次處理者

您授予我們一般授權，聘用次處理者協助提供服務。我們目前的次處理者列於下方及 https://www.acira.ai/dpa。

6.2 當前次處理者名單

6.3 次處理者的變更

我們將透過在新的子處理方開始處理個人資料之前至少十四（14）天更新 https://www.acira.ai/dpa 上的子處理方名單，就您目前使用的服務的子處理方名單的任何預定變更通知您。當我們推出涉及額外子處理方的新功能或服務時，相關子處理方將在該功能或服務推出時予以揭露；您使用新功能或服務即表示接受其所揭露的子處理方。您有責任定期查閱子處理方名單以了解變更情況。若您對處理現有服務資料的新子處理方有合理異議，可在變更發布後的十四（14）天內以書面形式通知我們。我們將與您誠信合作，以解決您的疑慮。若我們無法在您合理滿意的範圍內解決該異議，您可透過提供書面通知終止本協議。

6.4 次處理者的義務

我們將與每位次處理者簽訂書面協議，規定的資料保護義務不低於本 DPA 中規定的義務。我們對次處理者的行為和疏忽承擔責任，如同我們直接提供服務一樣。

7. 國際資料傳輸

7.1 傳輸機制

本服務主要託管在美國。透過服務處理的個人資料可能會被傳輸至美國及我們次處理者運營的其他國家並在當地處理。AI 推理提供者（Fireworks AI 和 xAI）在美國處理資料。BrightData 可能在以色列和全球其他地點處理資料。Cloudflare 在全球邊緣位置處理資料。

歐盟資料駐留： 對於被認定為歐盟居民的網站營運者，我們採取以下資料駐留措施，以盡量減少將訪客個人資料傳輸至歐盟以外：

• 儲存： 持久邊緣儲存中的訪客資料——包括表單提交、聊天機器人對話、工作階段資料和使用者表格資料——在司法管轄上限於歐盟。這些資料僅儲存在歐盟資料中心。
• 自動化訪客導向處理： 由訪客活動自動觸發的操作 — 包括內容提交通知和交易性電子郵件投遞 — 在歐盟內處理，不經過美國基礎設施。
• 平台管理存取： 當您透過平台儀表板或對話介面存取您網站的訪客資料時（例如，檢視表單提交或管理使用者記錄），這些資料可能透過我們位於美國的基礎設施進行處理以滿足您的請求。這些傳輸按需進行，由您（控制者）發起，並受下述傳輸機制和補充措施的保護。
• 其他美國處理： 分析資料以及由我們位於美國的雲端基礎設施處理的用於內容審核和 AI 推理的資料仍可能依據以下傳輸機制傳輸至美國。

對於從 EEA、UK 或瑞士向未被認定為提供充分資料保護水準的國家傳輸個人資料，我們依賴：

1. 標準合約條款 (SCCs)： 我們透過引用將歐洲委員會的標準合約條款納入本 DPA：模組一（控制者對控制者）用於我們作為共同控制者的分析資料（見第 2.3 節），以及模組二（控制者對處理者）用於代表您處理的所有其他個人資料。SCCs 可在 https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en 獲取。
2. UK 國際資料傳輸附錄： 對於從 UK 的傳輸，適用 EU SCCs 的 UK 附錄。
3. 瑞士資料傳輸機制： 對於從瑞士的傳輸，SCCs 適用，並附有瑞士 FADP 要求的修改。

7.2 補充措施

我們實施以下補充措施以保護傳輸的個人資料：

• 傳輸中（TLS/SSL）和靜態時的資料加密
• 存取控制和身份驗證機制
• 定期安全評估
• 資料最小化實踐（例如，每日輪換的訪客雜湊值而非原始 IP 儲存）
• 面向歐盟居民網站營運者的司法管轄資料駐留（持久儲存和自動化的面向訪客處理限於歐盟）
• 用於自動化訪客導向操作的歐盟運算和電子郵件基礎設施（內容提交通知和交易性電子郵件投遞在歐盟為歐盟居民網站營運商處理）

7.3 傳輸影響評估

這些補充措施是根據我們對目的地國家的法律和實踐的評估而制定的，考慮到傳輸資料的性質、所依賴的傳輸機制以及已有的技術和組織保障措施。我們評估認為，上述補充措施加上 SCCs 中的承諾，為傳輸的個人資料提供了充分的保護水準。我們的傳輸影響評估可在 https://www.acira.ai/tia 獲取。

7.4 加拿大資料傳輸

對於從加拿大傳輸個人資料，我們依賴以下保障措施，以確保傳輸至加拿大境外的個人資料按照《個人資訊保護和電子文件法》(PIPEDA) 和適用省級隱私立法（包括亞伯達省的 PIPA、不列顛哥倫比亞省的 PIPA 和魁北克省的《個人資訊保護法》）的要求獲得相當水準的保護：

1. 合約保護： 與每位次處理者簽訂的書面資料處理協議，規定以符合加拿大隱私法標準保護個人資料的義務，包括適當安全保障措施、使用限制、洩露通知和資料主體存取的要求。
2. 技術保障措施： 第 7.2 節所述的相同加密、假名化、存取控制和資料最小化措施適用於加拿大資料傳輸。
3. 組織保障措施： 次處理者盡職調查、人員保密義務以及本 DPA 所述的書面事件回應程序。

我們監控加拿大隱私法的發展，包括擬議中的《消費者隱私保護法》(CPPA)，並將根據需要更新我們的傳輸機制。

8. 資料主體權利

8.1 協助處理請求

我們將協助您回應資料主體依據適用資料保護法律行使其權利的請求，包括存取、更正、刪除、限制、可攜性和異議等權利。

8.2 通知

如果我們直接收到資料主體關於代表您處理的個人資料的請求，我們將及時通知您，並且未經您的指示不會回應該請求，除非適用法律要求。

8.3 平台工具

我們在服務中提供工具，以幫助您履行資料主體請求，包括：

• 存取和管理儲存在您網站資料庫中的資料
• 從您網站的資料庫中刪除個別記錄
• 應要求，我們可以提供 ZIP 格式的資料匯出，以協助履行資料可攜性義務

9. 資料安全

9.1 安全措施

我們實施並維護適當的技術和組織措施，以保護個人資料免受未授權或非法處理以及意外遺失、毀損或損壞。這些措施包括：

• 加密： 傳輸中的資料透過 TLS/SSL 加密，靜態資料使用行業標準加密
• 存取控制： 基於角色的存取控制、平台管理的多重身份驗證、最小權限存取政策
• 基礎設施安全： 具有自動安全修補、DDoS 保護和 Web 應用防火牆 (WAF) 的受管雲端基礎設施
• 資料隔離： 透過專用儲存實例實現每個網站的資料隔離
• 監控： 自動安全監控、入侵偵測和結構化日誌記錄
• 憑據安全： 所有 API 金鑰和秘密儲存在專用秘密管理服務中；用戶密碼使用強加密演算法和每用戶鹽值進行雜湊
• 機器人保護： 工作量證明挑戰系統以防止自動化濫用

9.2 保密性

我們確保所有被授權處理個人資料的人員受到保密義務的約束。

10. 資料洩露通知

10.1 通知控制者

在確認影響代表您處理的個人資料的個人資料洩露後，我們將無不當延誤地通知您。通知將發送至與您帳戶關聯的聯絡資訊。

10.2 通知內容

我們的洩露通知將在可獲得的範圍內包括：

1. 洩露性質的描述，包括相關資料主體的類別和大致數量及記錄；
2. 我們資料保護聯絡人的姓名和聯絡詳情；
3. 洩露可能後果的描述；
4. 為解決洩露並減輕其影響而採取或擬採取措施的描述。

10.3 您的義務

您有責任按照適用資料保護法律的要求通知相關監管機構和受影響的資料主體有關個人資料洩露的情況。我們將與您合作並提供合理協助，幫助您履行洩露通知義務。

11. 稽核與合規驗證

11.1 合規文件

為證明我們遵守本DPA，我們將根據合理的書面請求（每年最多一次）向您提供以下內容：

1. 相關的第三方審計報告、認證或安全評估摘要；
2. 我們目前技術和組織安全措施的摘要；
3. 有關我們的處理活動、次處理商和資料保護實務的資訊。

當我們依賴第三方基礎設施提供者（如AWS和Cloudflare）時，其安全認證和合規文件可通過其各自的信任和合規計畫取得。

11.2 額外查詢

如果根據第11.1節提供的文件未能合理解決您的合規疑慮，您可以提交有關我們資料保護實務的具體書面問題，我們將在合理的時間內予以回覆。

12. 資料保留與刪除

12.1 協議期間

我們將在協議期限內按照您透過服務發出的指示保留代表您處理的個人資料。訪客資料的具體保留期限包括：

• 您網站上的聊天機器人對話：自每次對話的最後一次互動起保留三十（30）天。對話儲存在網站邊緣基礎設施上的訪客會話中，並在會話因不活動而過期時自動刪除。
• 您網站上的表單提交和用戶生成內容：在相關網站存續期間保留，除非您透過平台工具提前刪除。
• 您的網站訪客的會話資料：在不活動 30 天後自動刪除。
• 已刪除的訪客內容（您網站上的表單提交、評論和其他用戶生成內容）：當您透過平台工具刪除訪客內容時，它將進入軟刪除狀態並保留最多三十（30）天以支持恢復。此期限後，軟刪除的內容將被永久刪除。您可以透過從恢復隊列中清除來立即永久刪除內容。
• 您網站上的電子郵件退訂記錄：在相關網站存續期間保留，除非收件人重新訂閱。網站銷毀時退訂記錄將被刪除。
• 分析資料：在相關網站存續期間保留（受基於方案的保留限制約束；免費方案的分析資料保留九十（90）天）。

12.2 終止時

在協議終止時，或應您的請求，我們將依據協議中描述的資料保留實踐（包括帳戶和網站刪除的七（7）天寬限期）刪除代表您處理的個人資料。寬限期後，刪除是永久且不可撤銷的。

12.3 例外情況

我們可能在適用法律要求的範圍內保留個人資料，或在資料已被匿名化且不再能與資料主體關聯的情況下保留。

13. 期限與終止

本 DPA 自您接受協議之日起生效，並在我們代表您處理個人資料期間持續有效。本 DPA 中規定的保密和資料保護義務在協議終止後繼續有效。

14. 責任限制

各方在本 DPA 下的責任受協議中規定的責任限制的約束。

15. 聯絡方式

如有關於本 DPA 的問題或欲行使您的權利，請透過以下方式聯絡我們：

Acira AI LLC
收件人：資料保護
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

電話： 888-389-1189
電子郵件：legal@acira.ai