跨境数据出境告知

三春晖（amusement.info）依据《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等法律法规， 在向中华人民共和国境外提供个人信息前，须取得您（或您的监护人）的单独同意，并通过本告知公开 出境的目的、接收方、数据类型、保存期限与撤回方式。

1. 出境必要性与法律依据

• 依据：《个人信息保护法》第 38、39、40 条；《数据出境安全评估办法》（2022 网信办令第 11 号）；
• 出境方式：采用「个人信息出境标准合同」备案路径（备案号 2026-CBT-0XXX）；
• 必要性：AI 模型（Claude / OpenAI / Gemini）部分能力依赖境外推理服务，国内同类替代尚未覆盖全部任务类型；
• 已完成个人信息保护影响评估（PIPIA），每季度复评；
• 合同条款明确禁止接收方使用您的数据训练第三方模型。

2. 单独同意机制

• 首次使用 AI 跨境能力前会有专属弹窗二次确认，必须明示勾选；
• 同意页同时展示：接收方名称 / 国家或地区 / 处理目的 / 数据类型 / 保存期限 / 撤回方式；
• 14 岁以下用户须由监护人代为勾选；
• 同意凭证以 WORM 方式留存（30 年），不可篡改。

3. 数据接收方清单

• Anthropic PBC（美国）—— Claude 系列模型，用于解题讲解 / 推荐 / 诊断；
• OpenAI OpCo, LLC（美国）—— GPT-4o，用于 OCR 后处理与结构化；
• Google LLC（美国）—— Gemini，用于备援推理；
• AWS Inc.（新加坡 / 美国）—— 仅作推理通道（不存储 PII，仅 in-flight）；
• 所有接收方均签署《标准合同 + 附加保护措施》，禁止二次转移。

4. 撤回机制（4 处入口）

1. App → 设置 → 隐私 → 数据权利 → 撤回跨境同意；
2. App → 设置 → 紧急停用 → 跨境 AI（立即停止所有跨境调用）；
3. 客服热线 400-XXXX-XXX，工单 24h 内人工处理；
4. DPO 邮箱 dpo@amusement.info，5 个工作日响应；

撤回后已出境的数据由境外接收方按合同 30 日内删除，并在 audit-log 留痕。

5. 出境记录可查

• 「设置 → 数据权利 → DSAR」申请导出本人最近 12 个月的跨境调用流水；
• 审计字段：调用时间 / 接收方 / 任务类型 / 数据摘要哈希 / 加密算法 / 单次往返时延；
• 跨境流水留存 compliance-service.cross_border_logs（KMS 加密，6 年保留期）。