数据转移风险评估
本文件记录了ChurchApps对与国际个人数据转移相关的风险的评估,这些转移从英国/欧洲经济区转移到美国,符合英国GDPR和欧盟GDPR的要求。这是作为数据处理者的ChurchApps维护的内部合规记录。
最后审查时间: 2026年4月
1. 转移详情
| 项目 | 详细信息 |
|---|---|
| 数据导出方 | 使用ChurchApps的教会(数据控制者),位于英国/欧洲经济区 |
| 数据导入方 | ChurchApps(数据处理者),从美国运营 |
| 数据主体类别 | 教会成员、参加者、访客、捐献者、志愿者、儿童(由家长/管理员管理) |
| 个人数据类别 | 名称、电子邮件地址、电话号码、邮政地址、出生日期、性别、婚姻状况、个人资料照片、捐赠记录、出席记录、小组成员、志愿者分配、消息历史 |
| 敏感数据 | 没有有意收集。不存储任何健康数据、生物识别数据或犯罪记录。财务账户详情(信用卡、银行账户)从不由ChurchApps存储 — 这些由Stripe直接处理。 |
| 转移目的 | 提供教会管理软件服务(成员管理、捐赠、出席跟踪、通信、志愿者排期、活动注册) |
| 目标国家 | 美国 |
| 转移机制 | 欧盟标准合同条款(SCC)和英国国际数据转移附录(IDTA),通过AWS数据处理附录合并 |
2. 次级处理者
| 次级处理者 | 角色 | 位置 | 转移机制 |
|---|---|---|---|
| Amazon Web Services (AWS) | 基础设施托管、数据存储、内容交付(us-east-2区域) | 美国 | AWS DPA with SCCs(自动包含在AWS服务条款中) |
| Stripe | 捐赠的支付处理 | 美国 | Stripe DPA with SCCs |
信用卡和银行账户数据直接从用户的浏览器传输到Stripe,从不存储在或通过ChurchApps服务器传输。
3. 风险评估
3.1 加密
- 传输中: 所有用户和ChurchApps服务器之间的通信都使用TLS/HTTPS加密。
- 静止状态: 存储在AWS上的数据使用AWS管理的加密进行静止加密。
3.2 访问控制
- 生产服务器访问仅限于两个ChurchApps董事会成员。
- 开发人员、志愿者和其他董事会成员无权访问生产服务器或数据库。
- 数据库服务器在防火墙后面,无法从互联网直接访问。
- 教会数据在逻辑上分离 — 每个教会只能通过应用级访问控制访问自己的数据。
3.3 数据分离
数据分布在六个独立的数据库中(成员、捐赠、出席、消息、做、内容)。对一个数据库的破坏不会暴露其他数据库的数据。例如,捐赠数据库包含捐赠金额和日期,但不包含捐献者的名称或联系信息(存储在成员数据库中)。
3.4 数据最小化
- 不存储任何信用卡或银行账户信息(由Stripe处理)。
- 密码使用单向哈希存储,无法检索。
- 教会控制他们从成员那里收集的数据。
3.5 数据主体权利
ChurchApps提供技术工具使教会能够履行数据主体请求:
- 访问和可移植性: 以机器可读的JSON格式完整导出数据。
- 删除: 在所有六个数据库上进行匿名化,将个人数据替换为通用值,同时保留财务报告所需的聚合记录。
- 限制: 非活跃成员身份状态将个人从搜索、目录、报告和消息中排除,同时保留其记录。
- 更正: 成员和管理员可以通过应用编辑个人信息。
3.6 违规通知
ChurchApps致力于在意识到个人数据泄露的72小时内通知受影响的教会,如服务条款(第11.6节)中所述。
3.7 美国政府访问风险
与美国托管数据相关的主要风险是美国政府当局在FISA第702条或行政命令12333下可能的访问。这个风险被评估为低,原因如下:
- ChurchApps处理教会成员和出席数据,而不是具有情报价值的数据。
- 数据主体是教会成员和参加者 — 不是通常被监视程序针对的类别。
- 不存储任何敏感个人数据(健康、财务账户、政治意见)。
- AWS的DPA包括关于政府访问请求和透明度报告的承诺。
- 欧盟-美国数据隐私框架(成立于2023年)为经认证的美国组织提供额外的数据转移保护。
4. 总体风险结论
来自此国际转移的数据主体风险被评估为低。以下方面的组合:
- 标准合同条款作为法律转移机制
- 传输中和静止状态下的加密
- 严格的访问控制,仅两个授权个人
- 跨独立数据库的数据分离
- 不存储财务账户详情
- 所处理数据的敏感性低和情报价值低
- 行使所有数据主体权利的技术工具
提供了充分的补充措施,以确保转移的数据获得基本上等同于英国/欧洲经济区内保证的保护级别。
5. 审查时间表
当数据处理、次级处理者或管理国际数据转移的法律框架发生重大变化时,或每年进行一次审查。