法律治理、合規和資訊安全法規

1. 前言及營運性質

SoulID.PRO（以下簡稱「SoulID」）根據美國特拉華州法律註冊成立，是一個致力於身份驗證和人性證明的尖端技術基礎設施。本章程確立了SoulID與其合作夥伴（公司和政府）以及資料主體（使用者）之間關係的法律基礎和營運限制。
與信用機構或靜態資料庫不同，SoulID是基於「動態身分原則」而存在。本文件確保SoulID的營運不僅符合現行法律，而且為保護個人數位主權樹立了新的全球標準。

2. 「盲驗證」架構（非共享政策）
SoulID的基石是「盲點資訊驗證」模型。從法律角度來看，該模型屬於二進位資料完整性驗證服務。
2.1.不共享數據
SoulID 不會與合作夥伴分享、出售或傳輸用戶的個人資料。資訊交換的法律關係如下：
• 輸入提交：合作夥伴（透過 API）將使用者在其平台上填寫的資料傳送給 SoulID。
• 內部驗證：SoulID 將此資料與其受零知識證明協定保護的加密資料庫進行比較。
• 二元回應：SoulID 僅傳回「已驗證」或「存在差異」的認證結果。如果存在差異，SoulID 會指出具體欄位（例如，錯誤的 CPF），強制使用者更正訊息，而不會將正確資料提供給合作夥伴。
此模式可保護合作夥伴免於因持有不必要的敏感資料而承擔民事責任，並減少合約方接受 LGPD/GDPR 審計的範圍。

3. 全球合規性和一致性
3.1.巴西《通用資料保護法》(LGPD)（巴西 - 13.709/2018 號法律）
SoulID 嚴守《一般資料保護法》。生物辨識和認知數據的處理依據是該法第 11 條第 II 款第 g 項，該項授權在未經數據主體同意的情況下處理敏感數據，以用於電子系統註冊過程中的欺詐預防和數據主體安全保障。
3.2. 歐盟《一般資料保護規範》(GDPR)（歐盟 - (EU) 2016/679 號規範）
對於在歐洲境內的運營，SoulID 採用「隱私設計」原則。資料傳輸至位於德拉瓦州的總部受歐盟委員會批准的標準合約條款 (SCC) 保護，確保資料主體在美國享有與歐洲相同的隱私權。
3.3. ISO/IEC 27001 和 27701 認證
我們的 IT 治理是基於資訊安全管理系統 (ISMS)。這包括：
• 每半年一次的漏洞審計。
• 基於「最小權限原則」的嚴格邏輯存取控制。
• 快速回應的事件管理。

4. 不可侵犯性和零知識加密 (ZKP)
SoulID 從技術上保證了可讀資料外洩的可能性。透過最先進的非對稱加密架構：
1. 哈希轉換：生物特徵資料和文件資料在採集時立即轉換為不可逆的數學向量（哈希值）。
2. 原始資料銷毀：原始資料（影像、語音、原始文件）僅在易失性記憶體中處理，並在向量化後立即銷毀。
3. 零存取：SoulID 及其工程師均不擁有用於逆向轉換這些向量的金鑰。因此，駭客攻擊 SoulID 伺服器只會獲得隨機數字序列，不包含任何生物或民事價值。

5. 維護協議：30 天週期
為確保資料庫不會過時，並防止第三方使用帳戶（中期詐騙），SoulID 實施強制性重新認證。
• 身分驗證有效期限：身分驗證和資料更新每 30 天過期。
• 服務暫停：如果使用者未在截止日期前更新其認知簽名並驗證其文件，則其帳戶將被暫停用於與合作夥伴的身份驗證。
• 合作夥伴安全：這確保 SoulID 合作夥伴始終與過去 30 天內已驗證身份的用戶進行交互，從而杜絕「購買」或「租用」帳戶的使用。

6. 文件審核和人工智慧
SoulID 系統使用專有的 AI 引擎進行文件驗證（KYC）。
• 文件合規性：人工智慧透過將擷取的資料與當時採集的臉部生物特徵進行比對，來驗證提交文件的真實性。
• 拒絕r 不一致：如果人工智慧偵測到文件資訊不屬於持有人或文件已數位化竄改，註冊將被拒絕，並將該事件記錄為詐欺未遂。

7. 責任限制和仲裁
作為一家特拉華州公司，因使用 SoulID 而產生的法律糾紛將根據特拉華州法律解決。
• 仲裁：我們採用商業仲裁解決合作夥伴與 SoulID 之間的技術糾紛，以確保快速和保密。
• 賠償：除已證實有詐欺的情況外，SoulID 的責任僅限於所提供服務的價值。

8. 結語
SoulID.PRO 重申，其技術旨在將個人身分的控制權交還給人類。透過消除原始資料共享並專注於資訊驗證，我們創造了一個信任如同數學般可靠、隱私絕對得到保障的數位生態系統。