資料傳輸影響評估
最後更新:2026年3月19日
本資料傳輸影響評估(「TIA」)由 Acira AI LLC(「Acira AI」、「我們」)依據歐盟法院於 Data Protection Commissioner 訴 Facebook Ireland Limited 及 Maximillian Schrems 案(案件 C-311/18,「Schrems II」)之判決及歐洲資料保護委員會建議(EDPB Recommendations 01/2020 關於補充措施)之要求所編製。
本 TIA 評估將個人資料從歐洲經濟區(「EEA」)、英國(「UK」)、瑞士及加拿大傳輸至美國及其他第三國(與提供我們服務相關)之保護充分性。
本 TIA 可能為方便起見翻譯成其他語言。若英文版本與任何翻譯版本之間存在衝突或不一致,以英文版本為準。
目錄
1. 傳輸概覽
1.1 背景
Acira AI 是一個軟體即服務平台,使企業和個人能夠創建、管理和託管 AI 驅動的網站。當用戶創建的網站被位於 EEA、英國、瑞士或加拿大的訪客訪問時,這些訪客的個人資料可能會被傳輸到美國及我們基礎設施提供商運營的其他地點進行處理。
1.2 各方
- 資料輸出方: 網站運營者(我們的客戶,作為控制者)及就分析數據而言,Acira AI 作為聯合控制者。
- 資料輸入方: Acira AI LLC,在美國內華達州成立,作為處理者(及就分析數據而言的聯合控制者)。
- 子處理者: Acira AI 聘用的第三方服務提供商(列於第 5 節)。
1.3 傳輸目的地
| 目的地 | 提供商 | 依據 |
|---|---|---|
| 美國和歐盟(斯德哥爾摩) | AWS | SCCs + 補充措施(美國);針對歐盟居民自動化訪客導向操作的EEA內部 |
| 美國 | Stripe, Fireworks AI, xAI | SCCs + 補充措施 |
| 全球(邊緣位置) | Cloudflare | SCCs + 補充措施 |
| 以色列 | BrightData(僅限用戶指示) | SCCs + 補充措施 |
| 歐洲聯盟 | Black Forest Labs、ScreenshotOne、CloudConvert | EEA 內部傳輸(無需傳輸機制) |
2. 所傳輸資料的性質
2.1 個人資料類別
所傳輸的個人資料取決於網站運營者啟用的功能及網站訪客的互動。以下類別可能被傳輸:
| 資料類別 | 描述 | 敏感度 | 數量 |
|---|---|---|---|
| 分析識別符 | IP + 使用者代理 + 日期的每日輪換加密雜湊(已假名化) | 低 | 高(每次頁面瀏覽) |
| 訪客元數據 | 國家、地區、語言、設備類型、瀏覽器、作業系統、推薦域名、UTM 參數 | 低 | 高(每次頁面瀏覽) |
| IP 地址 | 與表單提交和聊天機器人對話一起存儲為元數據;用於分析時進行哈希處理;臨時用於機器人挑戰驗證;臨時存儲用於速率限制(最多 7 天) | 中 | 中 |
| 表單提交內容 | 訪客提交的自由文字欄位(姓名、電子郵件、訊息等) | 可變(取決於表單) | 低至中 |
| 聊天機器人訊息 | 訪客訊息和 AI 生成的回應(每條訊息最多 2,000 個字符) | 低至中 | 低 |
| 文件上傳 | 訪客通過網站表單上傳的文件(圖片、文件) | 可變 | 低 |
| 會話識別符 | 伺服器端會話 ID 和客戶端會話 Cookie | 低 | 高 |
| 認證憑證 | 網站受保護區域的密碼(僅以哈希形式存儲) | 高(但已哈希) | 低 |
2.2 資料主體類別
- 在 Acira AI 平台上託管的網站的訪客
- 在平台上託管的網站創建帳戶的用戶
- 在託管網站上提交表單、與聊天機器人互動或上傳文件的用戶
2.3 未傳輸的資料
- 地理位置資料: IP 位址到位置的查詢由我們的基礎設施提供商在網路邊緣執行。訪客 IP 位址不會傳輸至任何外部地理位置服務。
- 原始分析 IP 位址: 僅儲存每日輪換的加密雜湊;原始 IP 位址不在分析系統中持久化。
- 明文密碼: 僅存儲和傳輸密碼學哈希。
3. 傳輸機制
3.1 主要機制:標準合同條款
我們依賴歐洲委員會根據委員會實施決定(EU)2021/914 採用的標準合同條款(SCCs),具體為:
- 模塊一(控制者對控制者): 用於 Acira AI 作為網站運營者聯合控制者的分析數據傳輸(見 DPA 第 2.3 節)。
- 模塊二(控制者對處理者): 用於從網站運營者(控制者)到 Acira AI(處理者)的訪客個人資料傳輸。
- 模塊三(處理者對子處理者): 用於從 Acira AI 到我們子處理者的後續傳輸。
3.2 英國、瑞士和加拿大傳輸
- 英國: 適用英國《EU SCCs 國際資料傳輸附錄》。
- 瑞士: SCCs 適用,並作出瑞士《聯邦資料保護法》(FADP)所要求的修改。
- 加拿大: 傳輸依賴與每個子處理者的合同保護,施加與《個人資訊保護和電子文件法》(PIPEDA)及適用省份隱私立法一致的義務,並結合第 6 節所述的補充技術和組織措施。詳見 DPA 第 7.4 節。
3.3 子處理者傳輸機制
| 子處理者 | 傳輸機制 |
|---|---|
| Amazon Web Services | SCCs(AWS DPA),ISO 27001/27017/27018 認證 |
| Cloudflare | SCCs(Cloudflare DPA),ISO 27001 認證 |
| Stripe | SCCs(Stripe DPA),PCI DSS 第 1 級認證 |
| Fireworks AI | SCCs(Fireworks AI DPA),SOC 2 Type II,ISO 27001/27701/42001 認證 |
| xAI | SCCs(xAI DPA,含 EU SCCs) |
| BrightData | SCCs(BrightData DPA) |
4. 目的地國家法律評估
4.1 美國
美國是所傳輸資料的主要目的地。以下美國法律與本評估相關:
4.1.1 《外國情報監視法》(FISA)第 702 條
FISA 第 702 條授權美國政府強制電子通信服務提供商提供對位於美國境外的非美國人通信的訪問,用於外國情報目的。
風險評估:
- 適用性: FISA 第 702 條適用於 50 U.S.C. § 1881(b)(4) 定義的「電子通信服務提供商」。Acira AI 是一個 SaaS 網站託管平台,而非傳統電信提供商。我們的子處理者(AWS、Cloudflare)更可能受到第 702 條指令的約束。
- 面臨風險的資料範圍: 我們處理的個人資料主要由網站訪客分析(假名化)、表單提交和聊天機器人訊息組成。此資料不太可能具有外國情報價值。
- 實際可能性: 我們從未收到過 FISA 第 702 條指令,並評估收到此類指令的實際可能性非常低,考慮到我們服務的性質和我們處理的資料。
4.1.2 第 12333 號行政命令
第 12333 號行政命令授權美國情報機構開展監視活動,包括大量收集信號情報。它適用於傳輸中的資料,不強制私人公司合作。
風險評估:
- 緩解: 所有傳輸中的資料均使用 TLS 加密。大量攔截加密的傳輸中資料不會獲得明文個人資料。
- 實際可能性: 低。通過我們服務處理的資料不屬於通常針對信號情報的性質。
4.1.3 第 14086 號行政命令及歐美資料隱私框架
第 14086 號行政命令(2022 年 10 月)為信號情報活動引入了額外保障,包括:
- 情報收集的必要性和相稱性要求
- 向歐盟/英國/瑞士個人提供的兩層救濟機制(公民自由保護官員 + 資料保護審查法院)
- 對大量收集的限制
歐洲委員會於 2023 年 7 月 10 日通過了歐美資料隱私框架(DPF)的充分性決定。雖然 Acira AI 目前未在 DPF 下自我認證,但第 14086 號行政命令下的保護廣泛適用於所有向美國的資料傳輸,並且無論使用何種傳輸機制,所有資料主體均可從中受益。
4.1.4 《雲法》
《澄清境外合法使用資料法》(CLOUD Act)允許美國執法機構強制美國供應商提供資料,不論其存儲位置,但需有效授權令或法院命令。
風險評估:
- 保障: 《雲法》要求有效的法律程序(授權令、傳票或法院命令)。它不授權無授權令的大量訪問。
- 禮讓條款: 《雲法》包括一個禮讓框架,允許提供商對與外國法律衝突的命令提出異議。
- 實際可能性: 對網站訪客資料而言低。執法請求更可能針對被懷疑有犯罪活動的特定帳戶,而非訪客分析或表單提交。
4.2 以色列(BrightData)
BrightData 位於以色列。以色列擁有歐洲委員會的充分性決定(2011/61/EU),意味著向以色列的傳輸類似於 EEA 內部傳輸。然而,BrightData 也在其他全球地點處理資料。我們注意到:
- BrightData 的處理僅在用戶指示時發生(在網站創建期間用於內容導入)或在計劃的 SERP 追蹤期間。
- 沒有網站訪客個人資料被傳輸到 BrightData。
4.3 加拿大(從加拿大傳輸至美國)
位於加拿大的網站訪客的個人資料可能被傳輸到美國進行處理。以下加拿大法律與本評估相關:
4.3.1 《個人資訊保護和電子文件法》(PIPEDA)
PIPEDA 規範私營部門組織在商業活動過程中收集、使用和披露個人資訊。PIPEDA 原則 4.1.3 要求組織在將個人資訊轉移給第三方進行處理時(包括向加拿大境外的傳輸),使用合同或其他手段確保可比較水平的保護。
風險評估:
- 可比較保護: 第 6 節所述的補充措施(加密、假名化、訪問控制、資料最小化)提供了與 PIPEDA 要求相當的保護水平。與所有子處理者均簽有書面資料處理協議。
- 無充分性要求: 與 GDPR 不同,PIPEDA 不禁止向缺乏「充分性」認定的國家傳輸。組織必須通過合同和其他手段確保可比較保護,我們已實施這些措施。
4.3.2 省份隱私立法
阿爾伯塔省的《個人資訊保護法》(PIPA)、不列顛哥倫比亞省的《個人資訊保護法》(PIPA)和魁北克省的《關於私營部門個人資訊保護的法律》對某些省份施加了額外要求:
風險評估:
- 魁北克第 25 號法律: 魁北克的現代化隱私法(自 2023 年 9 月起生效)要求在將個人資訊傳輸到魁北克境外之前進行隱私影響評估,並且傳輸組織必須確信資訊將獲得充分保護。我們的合同保護、補充技術措施及資料性質(主要為假名化分析和小型企業網站互動)支持充分保護的認定。
- 阿爾伯塔省和不列顛哥倫比亞省: 阿爾伯塔省和不列顛哥倫比亞省的 PIPAs 要求組織確保所傳輸資料的可比較保護。我們的合同和技術保障措施滿足此要求。
4.3.3 從加拿大角度看美國政府訪問
第 4.1 節評估的相同美國政府訪問風險適用於加拿大資料傳輸。政府訪問的低可能性(考慮到資料性質和我們公司概況),結合第 6 節的補充措施,確保從加拿大傳輸到美國的個人資料獲得與加拿大隱私法要求相當的保護水平。
4.4 全球邊緣位置(Cloudflare)
Cloudflare 運營著全球邊緣位置網路。歐盟訪客請求通常在最近的 Cloudflare 存在點處理,對於歐盟訪客,這通常是歐盟境內的位置。
- 請求路由、TLS 終止和機器人保護在最近的邊緣位置發生。
- 對於被識別為歐盟居民的網站營運商,持久儲存(包含表單提交、聊天機器人對話和工作階段資料)透過使用 Cloudflare 的司法管轄區 API 在司法管轄上限制於歐盟。對於非歐盟網站營運商,持久儲存位於營運商地理區域附近,但可能位於歐盟之外。
- 分析資料在 Cloudflare 管理的基礎設施中處理。
5. 按服務供應商評估資料流
5.1 Amazon Web Services(美國)
| 資料流 | 涉及的個人資料 | 目的 |
|---|---|---|
| 資料庫儲存 | 表單提交中繼資料(IP、國家/地區、區域)、聊天機器人對話記錄、檔案中繼資料、工作階段記錄 | 網站訪客資料的持久儲存 |
| 檔案儲存 | 上傳的檔案(圖像、文件)、部署快照 | 檔案儲存 |
| AI 推論 | 檔案內容(用於 AI 描述)、電子郵件內容(用於垃圾郵件偵測) | AI 驅動的描述和垃圾郵件分類 |
| 內容審核 | 上傳的圖像 | 內容審核(裸體/露骨內容偵測) |
| 電子郵件投遞 | 電子郵件地址、訊息內容 | 交易性電子郵件投遞和內容提交通知。對於歐盟居民網站營運商,這些操作在歐盟(斯德哥爾摩)處理。 |
| 語言偵測 | 電子郵件訊息文字 | 語言偵測 |
AWS 保障措施:
- ISO 27001、27017、27018 認證
- SOC 1/2/3 報告可供查閱
- 使用業界標準加密對靜態資料進行加密
- 傳輸中的資料已加密(TLS)
- 每個系統元件的最小權限存取控制
- 主要服務託管在美國;歐盟居民網站營運商的自動化訪客導向操作(內容提交通知和交易性電子郵件投遞)在歐盟(斯德哥爾摩)處理
5.2 Cloudflare(全球)
| 資料流 | 涉及的個人資料 | 目的 |
|---|---|---|
| 邊緣路由 | IP 地址、HTTP 標頭、請求 URL | 請求路由、DDoS 保護、TLS 終止 |
| 網站託管 | 頁面內容、訪客中繼資料 | 網站託管和交付 |
| 持久儲存 | 表單提交、聊天機器人對話、工作階段資料、使用者資料表資料 | 每個網站的有狀態儲存 |
| 分析 | 假名化訪客雜湊、國家/地區、裝置、瀏覽器、來源、UTM | 注重隱私的訪客分析 |
| AI 推論 | 聊天機器人訊息、表單欄位摘要 | AI 聊天機器人回應、垃圾郵件偵測 |
| 資產儲存 | 網站資產(圖像、檔案) | 靜態資產儲存和 CDN 交付 |
Cloudflare 保障措施:
- ISO 27001 認證,SOC 2 Type II
- 所有連接使用 TLS 1.2+
- Cloudflare DPA 含 SCCs 可供查閱
- 邊緣處理意味著歐盟訪客資料通常在歐盟邊緣位置處理請求
- 對於被識別為歐盟居民的網站營運商,持久儲存(包含表單提交、聊天機器人對話、工作階段資料和使用者資料表資料)透過Cloudflare的司法管轄區API在司法管轄上限制在歐盟範圍內,確保這些資料僅在歐盟資料中心內儲存和處理。來自邊緣的後端API呼叫(用於內容提交通知和交易性電子郵件投遞)被路由到位於歐盟的AWS基礎設施。
- AI 推論不保留用於訓練的輸入資料
5.3 Stripe(美國)
| 資料流 | 涉及的個人資料 | 目的 |
|---|---|---|
| 支付處理 | 網站運營者帳單資料(姓名、電子郵件、付款方式) | 訂閱和域名付款處理 |
注意: Stripe 不接收網站訪客個人資料。只有網站運營者(我們的客戶)的帳單資訊由 Stripe 處理。
Stripe 保障措施:
- PCI DSS 第 1 級認證
- ISO 27001 認證
- Stripe DPA 含 SCCs 可供查閱
5.4 AI 推理供應商(美國)
Fireworks AI 和 xAI 提供 AI 模型推理服務。
| 資料流 | 涉及的個人資料 | 目的 |
|---|---|---|
| 文字生成(網站內容) | 網站內容(非訪客資料) | 網站內容創建和編輯 |
| 圖片生成 | 文字提示(非訪客資料) | 為網站創建圖片 |
| 對話式 AI(聊天助手) | 平台用戶姓名、電子郵件、語言偏好及對話歷史 | 用於平台用戶(網站運營者)的 AI 驅動助手 |
注意: 這些 AI 供應商不接收網站訪客個人資料。服務訪客的聊天機器人功能使用 Cloudflare Workers AI(在第 5.2 節評估),而非這些供應商。然而,平台的對話式 AI 助手——網站運營者用於管理其網站的——將平台用戶個人資料(姓名、電子郵件地址和對話歷史)發送給這些供應商作為生成回應的一部分。對於此處理,Acira AI 作為控制者(而非處理者),且資料主體是我們的平台用戶(網站運營者),而非其網站訪客。此資料流受我們的隱私政策及我們與這些供應商協議的約束,而非訪客資料控制者-處理者框架的 DPA。
模型系列: 這些基礎設施提供商託管並執行由各種第三方開發的 AI 模型。所使用的具體模型和模型系列可能會隨時間變化。模型開發者不會收到或存取任何使用者資料——所有資料處理均在所列子處理者的基礎設施中獨家進行,無論模型最初在哪裡開發。所有 AI 推論處理均保留在我們所列子處理者的基礎設施上。任何使用者資料均不會傳輸給模型開發者或本評估中所列子處理者以外的基礎設施。當前使用的模型系列清單可透過聯絡 legal@acira.ai 申請獲取。
5.5 BrightData(以色列/全球)
| 資料流 | 涉及的個人資料 | 目的 |
|---|---|---|
| 網路資料收集 | 公開可用的網路內容(非訪客資料) | 網站創建期間的內容導入(用戶指示) |
| SERP 追蹤 | 搜索關鍵詞(非訪客資料) | 關鍵詞排名監控 |
注意: BrightData 不處理網站訪客個人資料。它處理用戶指示的公開可用網路內容,並追蹤用戶定義關鍵詞的搜索引擎排名。
5.6 歐盟供應商(無傳輸)
| 供應商 | 位置 | 目的 |
|---|---|---|
| Black Forest Labs | 德國(歐盟) | AI 圖片生成(Flux 模型) |
| ScreenshotOne | 歐洲聯盟 | 網站截圖捕獲 |
| CloudConvert | 德國(歐盟) | 文件格式轉換 |
這些供應商在歐盟境內處理資料,不構成國際傳輸。Black Forest Labs 僅接收圖片生成的文字提示;不涉及個人資料。
6. 補充措施
除 SCCs 外,我們實施以下補充措施,以確保所傳輸個人資料獲得實質上等同的保護水平:
6.1 技術措施
| 措施 | 描述 |
|---|---|
| 傳輸加密 | 訪客、邊緣網路和後端服務之間傳輸的所有資料均使用 TLS(最低 TLS 1.2)加密。內部服務間通訊使用加密通道。 |
| 靜態加密 | 所有資料庫記錄、檔案儲存和邊緣託管的持久儲存均使用由相應基礎設施提供商管理的業界標準加密在靜態時加密。 |
| 假名化 | 訪客分析使用每日輪換的加密雜湊(IP + 使用者代理 + 日期),而不是儲存原始 IP 位址。此雜湊無法逆轉,每 24 小時輪換一次,防止跨天追蹤。 |
| 資料最小化 | 分析僅收集彙總層級的中繼資料(國家/地區、裝置類型、瀏覽器)。分析中不儲存原始 IP 位址。聊天機器人訊息限制為 2,000 個字元。 |
| 密碼哈希 | 所有訪客密碼(用於網站受保護區域)在存儲前使用帶每用戶隨機鹽的強密碼學算法進行哈希。明文密碼從不被存儲或傳輸。 |
| 存取控制 | 最小權限存取原則將每個系統元件限制為僅其所需的資源。每個網站的 API 令牌將存取權限限定於各個網站。 |
| 網路隔離 | 後端服務透過內部網路通訊。網站託管在隔離的執行沙盒中執行。自訂程式碼執行使用基於 WebAssembly 的沙盒。 |
| 司法管轄資料駐留 | 對於被識別為歐盟居民的網站營運商,包含訪客資料(表單提交、聊天機器人對話、工作階段資料和使用者資料表資料)的持久儲存在司法管轄上限制在歐盟範圍內,確保這些資料僅在歐盟資料中心內儲存和處理。自動化訪客導向操作(內容提交通知和交易性電子郵件投遞)也在位於歐盟的基礎設施內處理。 |
| 自動刪除 | 工作階段資料在 30 天未活動後到期。暫存檔會在 24 小時內刪除。機器人挑戰資料屬於暫時性資料,不會被持久保存。 |
6.2 組織措施
| 措施 | 描述 |
|---|---|
| 人員保密 | 所有訪問個人資料的人員均受保密義務約束。 |
| 子處理者盡職調查 | 在參與前對子處理者的安全實踐和資料保護合規性進行評估。與所有子處理者均簽有書面 DPA。 |
| 事件響應 | 違規通知程序確保在確認個人資料違規後 72 小時內通知控制者。 |
| 資料保留政策 | 具有自動執行的記錄保留期限(基於 TTL 的刪除、生命週期原則)。 |
| 安全監控 | 結構化日誌記錄、自動化安全監控和入侵偵測。錯誤和診斷日誌保留最多 30 天。 |
6.3 合同措施
| 措施 | 描述 |
|---|---|
| 標準合同條款 | SCCs(模塊一、模塊二和模塊三)通過引用納入我們的 DPA。 |
| 子處理者 SCCs | 與每個子處理者的書面協議施加的資料保護義務不低於我們 DPA 中的義務。 |
| 政府訪問通知 | 我們承諾在法律許可的情況下通知控制者政府訪問請求,如我們的條款和條件中所述。 |
| 挑戰承諾 | 我們承諾對我們認為過於廣泛或非法的政府訪問請求提出異議。 |
7. 風險評估
7.1 政府訪問的可能性
| 因素 | 評估 |
|---|---|
| 資料性質 | 主要是來自小型企業網站的假名化分析、表單提交和聊天機器人訊息。此資料情報價值低。 |
| 資料數量 | 低至中等。每個網站服務於自己的訪客群體;資料不跨網站聚合用於監視目的。 |
| 公司概況 | Acira AI 是一家託管小型企業網站的小型 SaaS 公司。我們不是電信提供商或高知名度的監視目標。 |
| 歷史請求 | 截至本評估日期,Acira AI 從未收到過 FISA 第 702 條指令、國家安全信函或任何政府的大量訪問客戶資料請求。 |
| 子處理者概況 | AWS 和 Cloudflare 是發布透明報告的大型基礎設施提供商。其透明報告表明政府請求針對特定帳戶,而非大量訪問託管內容。 |
總體可能性:低
7.2 訪問發生時的影響
| 因素 | 評估 |
|---|---|
| 資料敏感度 | 大多數傳輸資料的敏感度低(假名化分析、網站訪客元數據)。表單提交可能包含中等敏感度資料(姓名、電子郵件地址、訊息),取決於網站。 |
| 假名化效果 | 分析資料在沒有訪問每日輪換哈希組件(IP + 用戶代理 + 日期)的情況下無法與個人關聯,而這些組件未被存儲。 |
| 暴露範圍 | 任何政府存取將針對特定帳戶或網站,而非整個平台。透過專用儲存執行個體實現的每網站資料隔離限制了任何潛在洩露的範圍。對於歐盟居民網站營運商,持久儲存和自動化訪客導向處理(內容提交通知和交易性電子郵件投遞)被限制在歐盟範圍內,進一步限制了這些資料面臨美國政府存取的暴露風險。 |
總體影響:低至中等(取決於個別網站運營者收集的資料的敏感度)
7.3 剩餘風險評估
考慮到政府訪問的低可能性、補充技術措施(加密、假名化、資料最小化)以及第 14086 號行政命令引入的額外保障,我們評估資料主體的剩餘風險低,且補充措施與 SCCs(對 EEA/英國/瑞士傳輸)和合同保護(對加拿大傳輸)一起提供了實質上等同於 EEA 內保證的保護水平,以及可與加拿大隱私法要求相比較的保護。
8. 結論
基於本評估,我們得出結論:
從 EEA/英國/瑞士/加拿大傳輸至美國的個人資料(與提供我們服務相關)獲得了實質上等同於 EU 資料保護法保障的保護水平,以及可與加拿大隱私法要求相比較的保護。
標準合同條款,結合第 6 節所述的補充技術、組織和合同措施,充分解決了本評估中識別的風險。
資料性質(主要是假名化分析和小型企業網站訪客互動)及資料輸入方的概況(一家小型 SaaS 公司,而非電信提供商)顯著降低了政府監視的實際風險。
第 14086 號行政命令引入的保護及相關救濟機制提供了額外保障,無論使用何種特定傳輸機制,所有資料主體均可從中受益。
對於加拿大傳輸,本文所述的合同保護和補充措施確保了可與 PIPEDA 及適用省份隱私立法(包括魁北克的現代化隱私法)要求相比較的保護水平。
我們將繼續監控美國監視法律和實踐的發展,以及加拿大隱私法的發展(包括擬議的《消費者隱私保護法》),並在情況發生重大變化時重新評估本 TIA。
傳輸可在繼續應用本文所述 SCCs 和補充措施的條件下進行。
9. 審查時間表
本 TIA 將在以下情況下審查和更新:
- 每年至少一次,或
- 適用法律或法規發生重大變化時(包括 FISA、雲法、第 14086 號行政命令、PIPEDA 或加拿大省份隱私立法的變化),
- 我們的子處理者或所傳輸資料的性質發生變化時,
- 任何法院判決對 SCCs 的有效性或美國資料保護的充分性產生重大影響時。
10. 聯絡我們
如您對本資料傳輸影響評估有任何問題,請聯絡我們:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
電話: 888-389-1189
電子郵件:legal@acira.ai
Your Privacy, Our Priority
We don't sell your data, we don't use tracking cookies — that's why you won't see a cookie banner here. We honor Global Privacy Control, and for EU customers, visitor data is stored and processed exclusively within the European Union.
Acira AI
Build beautiful websites with AI. No coding required.
Proudly built in the United States
© 2026 Acira AI LLC. All rights reserved.