Cloudflare의 GDPR 규정 준수 약속

Cloudflare는 더 나은 인터넷 환경을 구축할 수 있도록 지원하는 임무를 수행하고 있으며, Cloudflare의 고객과 그 최종 사용자의 데이터를 보호하는 것이 이러한 임무의 기본이라고 생각합니다.

분수령이 되는 2018년 유럽의 일반 데이터 보호 규정(GDPR)의 발효 이전에도 Cloudflare는 세계적으로 개인 정보 보호를 향상하는 방안에 집중적인 노력을 기울였습니다. 온라인에서 개인 정보 보호를 강화하고 향상할 수 있는 제품을 만들어 왔으며, 개인 데이터 수집을 최소화하고 이를 수집 목적에 맞는 용도로만 이용하고 있습니다. Cloudflare는 설립 이래로 개인 정보를 비밀로 유지하겠다고 약속해 왔으며, 사용자의 개인 정보를 누구에게도 판매하거나 임대하지 않았습니다.

실무적인 차원에서 보면 GDPR은 제공하는 서비스에 필요한 개인 데이터만을 수집하고 개인 정보를 판매하지 않으며 개인 정보를 액세스, 수정, 삭제할 수 있는 권한을 제공하며 데이터 프로세서로서의 Cloudflare 역할과 일관되게 예를 들어 Cloudflare의 콘텐츠 전송 네트워크(CDN)에 캐시되거나 Workers Key Value Store에 저장되거나 Cloudflare의 웹 애플리케이션 방화벽(WAF)에 캡처된 정보에 대한 통제력을 부여하는 등 Cloudflare가 이미 취한 조치를 법제화한 것입니다.

본 페이지에서는 Cloudflare가 GDPR을 준수하면서 고객을 대신해 데이터를 처리하는 방법에 대해 자주 받는 질문에 대한 답변 내용을 정리하였습니다. 데이터 보호는 계속 변화하는 환경이므로 Cloudflare는 세계적으로 진전되는 내용을 지속적으로 지켜보며 그에 따라 본 페이지의 내용을 수정할 것입니다.

Cloudflare가 수집하는 개인 데이터 정보, Cloudflare가 그 정보를 사용 및 공개하는 방법, 데이터 주체 권리(해당 권리 행사를 위해 Cloudflare에 연락하는 방법 포함) 및 해외 데이터 전송은 개인정보 취급방침에서 확인하실 수 있습니다.

FAQ

  1. Cloudflare는 고객의 어떠한 개인 데이터를 어디에서 처리합니까?

    Cloudflare는 미국에 본사를 둔 보안성, 성능, 신뢰성을 지원하는 회사로, 전 세계 모든 지역의 모든 규모의 사업체에 광범위한 네트워크 서비스를 제공합니다. Cloudflare는 기업의 보안을 강화하고, 비즈니스 핵심 응용 프로그램의 성능을 향상시키며, 개별 네트워크 하드웨어 관리와 관련되는 비용과 복잡성을 해소합니다. 전 세계 200개 이상의 에지 서버로 구동(자세한 설명)되는 Cloudflare의 Anycast 네트워크는 Cloudflare가 고객을 위해 제품을 신속하게 개발하고 배포하는 기반이 되고 있습니다.

    Cloudflare는 고객이 Cloudflare Anycast 네트워크를 통해 전송, 라우팅, 스위치, 캐시하는 데이터에 대한 액세스 권한이 없으며 해당 데이터를 통제하지도 않습니다. 제한된 경우에 한해 Cloudflare 제품이 콘텐츠 저장에 이용되기도 합니다. 하지만 고객이 어떠한 서비스를 이용하더라도 법규를 준수하고 고객이 Cloudflare Anycast 네트워크를 이용해 전송, 라우팅, 스위치, 캐시, 저장하기로 결정한 데이터에 대한 독립적 계약 사항을 준수하는 것은 전적으로 고객의 책임입니다.

    Cloudflare가 고객을 대신해 프로세싱하는 개인 데이터의 유형은 실행하는 Cloudflare의 서비스에 따라 다릅니다. Cloudflare 네트워크를 통과하는 절대 다수는 Cloudflare의 에지 서버에 있지만, 이러한 활동에 대한 메타데이터는 고객을 대신해 미국에 있는 Cloudflare의 메인 데이터 센터에서 프로세싱합니다.

    Cloudflare는 Cloudflare 네트워크 상의 이벤트에 대한 로그 데이터를 유지합니다. 이러한 로그 데이터에는 고객의 도메인, 네트워크, 웹 사이트, 응용 프로그램 프로그래밍 인터페이스(API), 응용 프로그램(해당하는 경우, Cloudflare 제품인 Cloudflare for Teams 포함)의 방문자 및/또는 승인된 사용자에 대한 정보를 포함합니다. 이 메타데이터에는 극도로 제한적인 개인 데이터가 포함되는데, 대부분은 IP 주소의 형태입니다. Cloudflare는 고객을 대신해 미국 내 메인 데이터 센터에서 한정된 시간 동안 이러한 정보를 프로세싱합니다.

  2. Cloudflare는 개인 데이터에 대해 어떠한 기술적/조직적 보안 대책을 제공합니까?

    Cloudflare는 데이터에 관한 정보 보호에서 보안을 핵심 요소로 생각합니다. Cloudflare는 2010년에 출범한 이래 최신 정보 보호 기술을 다수 출시하였으며 대부분은 업계를 선도하는 것이었습니다. 다른 무엇보다도 이러한 도구들이 있으므로 Cloudflare의 고객은 범용 SSL을 통해 통신 내용을 쉽게 암호화하고 DNS-over-HTTPS, DNS-over-TLS, 암호화 SNI를 이용해 통신 메타데이터를 쉽게 암호화하고 SSL 키의 보관 장소 및 트래픽 검사 장소를 쉽게 제어할 수 있습니다.

    Cloudflare는 업계 표준에 따르는 보안 프로그램을 유지합니다. 보안 프로그램에는 공식적 보안 정책 및 절차 유지, 적절한 논리적/물리적 액세스 제어 확립, 기업 및 프로덕션 환경에 기술적 보호 장치 실행(안전한 구성, 안전한 전송 및 연결 확립, 로깅, 모니터링, 개인 데이터에 대한 적절한 암호화 기술 보유 등 포함)이 포함됩니다.

    Cloudflare는 현재 ISO 27001, SOC 2 Type II, PCI DSS 레벨 1 준수의 유효성 검사를 보유하고 있습니다. Cloudflare는 SOC 3 보고서도 유지하고 있습니다. Cloudflare의 인증에 대한 자세한 내용은 여기에서 확인하세요.

    유럽 연합(EU)에서 미국으로 전송되는 개인 데이터를 포함한 개인 데이터 보호를 위해 Cloudflare가 제공하는 보안 대책에 대한 자세한 내용은 Cloudflare 표준 DPA의 부록 2를 참조하시기 바랍니다.

  3. Cloudflare는 미국으로 전송되는 개인 데이터에 대한 GDPR 제44조의 요건을 어떻게 해결하고 있습니까?

    GDPR은 유럽 경제 구역(EEA)에서 GDPR 대상이 아니거나 적절한 데이터 보호법이 실행 중인 것으로 간주되는 제3국으로 이전되는 개인 데이터의 유럽 데이터 주체가 적절한 안전 장치, 강제할 수 있는 권리, 유효한 법적 구제책을 이용할 수 있도록 하는 다양한 법적 장치를 제공합니다.

    이러한 장치에는 다음이 포함됩니다.

    • EU 집행위원회가 제3국의 법의 지배, 인권 및 기본적인 자유에 대한 존중, 다수의 다른 요인을 평가한 후 해당 국가가 적절한 수준의 보호를 보장한다고 판정한 경우,

    • 데이터 컨트롤러 또는 프로세서가 구속력 있는 기업 규칙을 시행하는 경우,

    • 데이터 컨트롤러 또는 프로세서가 집행위원회가 채택한 표준 데이터 보호 조항을 시행하는 경우, 또는

    • 데이터 컨트롤러 또는 프로세서가 승인된 행동 강령 또는 승인된 인증 메커니즘을 시행하는 경우.

    Cloudflare는 EEA로부터 미국으로 개인 데이터를 이전할 때의 법적 장치로 표준 계약 조항(SCC)에 의존합니다. 과거에는 Privacy Shield에 부여된 적절성 결정에도 의존했습니다. 하지만 유럽 연합 사법재판소는 2020년의 “Schrems II” 사건(사건 번호 C-311/18, 데이터 보호 위원장 대 Facebook Ireland 및 Maximillian Schrems)에서 EU와 미국 간의 Privacy Shield 패러다임을 무효화했습니다. Privacy Shield가 무효화되었다고 해서 Cloudflare가 고객을 대신해 프로세싱하는 개인 데이터에 대한 강력한 개인 정보 보호가 변경된 것은 없으며 Cloudflare는 Privacy Shield 인증 시 약속한 데이터 보호 원칙을 지속적으로 따를 것입니다.

  4. Cloudflare가 추가로 제공하는 데이터 보호 장치는 무엇입니까?

    Cloudflare는 고객의 신뢰를 얻고 유지하는 것이 매우 중요하다고 생각하므로 Schrems II 사건 훨씬 이전부터 데이터 보호 장치를 실행해 왔습니다. Cloudflare는 2013년에 있었던 법적 절차를 위해 2014년에 최초의 투명성 보고서를 발간하면서 긴급 상황이 아닌 한 정부 기관에 어떠한 고객 데이터라도 제공할 때는 법적 절차를 요구할 것이며 법적으로 금지되지 않는 한 고객의 고객 또는 결제 정보를 요구하는 법적 절차에 대해 고객에게 공지하겠다고 서약했습니다. Cloudflare는 어떠한 정부에도 암호화 키를 제공하지 않았으며 어떠한 정부에도 Cloudflare 네트워크를 통하는 콘텐츠의 피드를 제공하지 않았으며 Cloudflare 네트워크에 법 집행 장비를 배포하지 않았음을 공개적으로 천명했습니다. 또한, Cloudflare는 이러한 일을 요청받았을 때 "Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다"고 약속했습니다. 이렇게, 창업 초기 이래로 Cloudflare는 매년 2회에 걸쳐 투명성 보고서에서 이러한 약속을 재천명하였고 이를 확대하였습니다.

    또한, Cloudflare는 필요 시 소송을 제기함으로써 투명성에 대한 Cloudflare의 믿음과 고객 정보 보호에 대한 약속을 입증해 왔습니다. 2013년에는 전자 프론티어 재단의 도움을 받아 고객의 권리를 보호하기 위해 행정적으로 발표된 미국 국가 안보 문서(NSL)에 법적인 이의를 제기했습니다. 해당 문서의 조항에서, NSL에 대한 정보를 해당 고객에게 공개하는 것을 제약할 수 있는 권한이 정부에게 부여됐기 때문입니다. Cloudflare는 이 요청에 대응하여 아무런 고객 정보도 제공하지 않았으며 법원이 2016년에 해당 공개 금지 조항을 폐지할 때까지 해당 공개 금지 조항은 유효했습니다.

    좀 더 최근에는 2020년 1월의 개인정보 보호의 날 블로그 게시물에서 Cloudflare는 개인의 거주 국가의 개인정보 보호법에 위배되는 정부의 개인 데이터에 대한 요청에 대해서도 법적으로 이의를 제기하겠다는 Cloudflare의 입장을 재확인했습니다. 유럽 데이터 보호 위원회(EDPB)는 작년에 발간한 평가에서 GDPR이 이러한 위배를 제기할 수 있음을 인정했습니다. Cloudflare가 GDPR을 준수하기로 약속한다는 것은 미국 정부의 데이터 요청에 대해 GDPR의 대상이 되는 것으로 확인된 데이터를 제출하기 전에 Cloudflare가 법적 구제책을 추구하겠다는 뜻입니다. Cloudflare는 기존의 미국 판례법 및 성문법 틀 안에서 이러한 법적 위배에 기초해 개인 데이터에 대한 미국 정부 기관의 요청을 각하할 것을 미국 법원에 요청할 수 있습니다.

    Cloudflare는 추가적인 안전 장치를 계약 사항으로 포함하도록 고객에 대한 표준 데이터 처리 부록(DPA)를 개정했습니다. 이러한 계약 사항은 DPA의 제7조에서 확인할 수 있습니다.

  5. Cloudflare의 GDPR 준수 접근법에 대한 CJEU 결정의 영향

    Cloudflare는 GDPR의 적용 대상인 데이터의 해당 당사 고객에게 지속적으로 SCC를 제공할 것입니다. Cloudflare는 이 공간과 대체 이전 메커니즘에서 발생하는 진전을 긴밀하게 따르고 있습니다.

    Cloudflare는 Schrems II 사건에 비추어 GDPR의 데이터 적용 대상이 되며 미국으로 이전되는 데이터가 GDPR 하에서의 적절한 보호를 받을 수 있는 추가적인 보장을 Cloudflare의 고객이 찾고 있다는 것을 이해합니다. 이러한 추가적 안전 장치에 대해서는 위에서 논의하였습니다.

    CJEU가 Schrems II 사건에서 다수의 미국 국가 안보 권한을 검토하였으므로 Cloudflare는 이러한 권한을 미국 내 데이터 프로세서에 적용할 때의 일부 문제점을 보게 됐습니다. 이러한 권한이 데이터 이전에 적합한지 여부 또는 얼마나 적합한지를 설명하려면 CJEU가 참조한 권한에 대해 추가적인 설명이 필요합니다.

    제702조. 해외 첩보 감시법(FISA)의 제702조는 해외 첩보의 목적을 위해 미국 정부에게 미국 외의 지역에 위치한 미국인이 아닌 개인의 통신을 요청할 수 있도록 허락한 권한입니다. 미국 정부는 제702조를 이용해 이메일 주소 등의 특정한 "선택 장치"를 통해 구체적인 해외 첩보 대상에 관련된 통신 내용을 수집했습니다. 이 권한이 전형적으로 통신 내용을 수집하는 데 이용되므로 제702조를 준수하도록 요청받는 "전자적 통신 서비스 공급자"는 주로 이메일 공급자 또는 통신 내용에 액세스할 수 있는 기타 공급자입니다.

    Cloudflare의 투명성 보고서에 밝힌 바와 같이 Cloudflare는 일반적으로 이러한 전통적 고객 콘텐츠에 대한 액세스 권한이 없습니다. 또한, Cloudflare는 Cloudflare 네트워크를 통하는 고객의 콘텐츠를 어떠한 정부에도 제공하지 않았다는 점과 이러한 일을 요청받았을 때 Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다는 점을 장기간 동안 공개적으로 약속했습니다.

    행정 명령 12333. 행정 명령 12333은 미국이 아닌 국가에 거주하는 미국인이 아닌 사람을 대상으로 하는 미국 정보 기관의 해외 첩보 수집을 관장합니다. 행정 명령 12333에는 미국 회사에 협조를 강제하는 조항이 없습니다.

    Cloudflare는 긴급 상황이 아닌 한 어떠한 정부 기관에도 고객 데이터에 대한 액세스 권한을 제공하기 전에 법적 절차를 요구하는 약속을 오랫동안 지켜왔습니다. 따라서 Cloudflare는 행정 명령 12333에 따른 자발적 요청에 따르지 않을 것입니다. 또한, 정보를 캐내려고 하는 모든 시도로부터 개인 정보를 보호하기 위해 Cloudflare를 통하는 모든 데이터(콘텐츠와 메타데이터)에 대한 추가 보안 기능을 권장하는 데 앞서왔습니다. 예를 들어, Cloudflare는 2014년에 Universal SSL을 출범했는데, 이는 비싸고 어려웠던 암호화를 모든 Cloudflare 고객에게 무료로 제공하는 것입니다. 이를 출범한 주에 Cloudflare는 암호화된 웹의 크기를 두 배로 늘렸습니다. 암호화를 대상으로 하는 법이 증가하고 있으므로 Cloudflare는 정부 또는 기타 제삼자의 요청에 따라 암호화를 약화하거나 손상하거나 전복하지 않았다는 약속까지 했습니다.

  6. Cloudflare는 추가적 보호 장치와 관련한 최신 EDPB 지침에 어떻게 대응하고 있습니까?

    Cloudflare는 유럽정보보호위원회(EDPB)가 지침 시안(2020년 11월 10일에 채택된 EU 수준의 개인 데이터 보호 준수를 보장하기 위한 전송 도구 보완에 관한 2020년 1월 권장 사항)을 통해 권장하고 있는 많은 추가적 보호 장치를 이미 마련해두고 있으며, 해당 시안은 2020년 12월 21일까지의 심의 기간을 거치게 됩니다.

    Cloudflare는 개인 데이터가 상기와 같이 투명하고 책임성 있게 처리되도록 하기 위한 굳은 약속을 지켜가고 있으며, 이러한 여러 약속들이 계약상의 구속력을 가질 수 있게 하고자 이미 Cloudflare의 DPA를 개정하였습니다. Cloudflare는 또한 투명성 보고서를 지속적으로 발간하고 있으며, 여기(https://www.cloudflare.com/en-gb/transparency/)에서 확인하실 수 있습니다. Cloudflare는 강력한 보안 조치와 암호화 프로토콜 역시 빠짐없이 마련하였고, 이는 개정된 DPA의 부록 2에서 확인하실 수 있습니다. Cloudflare는 유럽 내 고객을 지원하고자 최선을 다하고 있고, 심의 기간 이후 EDPB로부터 최종 지침이 전달되기 전에 선제적으로 대응하는 중입니다.

    언제나처럼 Cloudflare는 법규와 관련한 변동 사항을 계속해서 모니터링하고 있으며, EU GDPR 제44조 및 46조를 지속적으로 준수할 것입니다. 심의 기간 동안에 Cloudflare는 기존 DPA에 따른 약속과 현행 SCC에 따른 약속을 이전과 같이 지켜나갈 것입니다.

  7. 기업 요금제가 아닌 고객은 Cloudflare에서 표준 계약 조항이 시행되고 있는지를 어떻게 확인할 수 있습니까?

    2020년 10월 5일, Cloudflare는 셀프 서비스 구독 계약을 개정해 참조로 최신 표준 DPA가 포함되게 하였습니다. 또한, Cloudflare가 셀프 서비스 고객을 대신해 처리하는 개인 데이터가 GDPR의 적용을 받는 한도 내에서 Cloudflare의 DPA에는 이러한 데이터에 대한 EU 표준 계약 조항이 포함되어 있습니다. 그러므로 표준 계약 조항의 시행을 보장하기 위한 별도의 조치는 필요없습니다. Cloudflare의 최신 DPA에는 위에 설명한 안전 장치도 포함되어 있습니다.

    DPA는 참조에 의해 포함되었지만, 고객 대시보드에서도 Cloudflare의 개정된 DPA를 확인하실 수 있습니다. 대시보드 화면에서 Configurations 탭으로 이동한 후 Preferences로 들어가시면 됩니다.

  8. 기업 요금제 고객은 Cloudflare에서 표준 계약 조항이 시행되고 있는지를 어떻게 확인할 수 있습니까?

    2020년 10월 1일, Cloudflare는 당사의 표준 기업 구독 계약(ESA)을 개정해 당사의 최신 표준 DPA를 참조로 포함했습니다. 2019년 8월 7일 이후에 Cloudflare와 ESA를 체결했지만 사용자 지정 계약은 맺지 않은 기업 요금제 고객에게는 Cloudflare 표준 ESA가 적용됩니다. 최신 DPA가 참조로 ESA에 포함되었음으로 이러한 고객은 별도의 조치가 필요없으며, Cloudflare가 해당 고객을 대신해 처리하는 개인 데이터가 GDPR의 적용을 받는 경우에는 Cloudflare의 DPA에는 EU 표준 계약 조항이 포함되어 있습니다. 최신 Cloudflare DPA에는 위에 설명된 추가적 안전 장치도 포함되어 있습니다. 최신 표준 DPA는 여기에서 제공됩니다.

    Cloudflare와 이전 ESA를 맺은 기업 요금제 고객에게는 이미 EU 표준 계약 조항이 포함되어 있는 경우가 있습니다. 그러한 경우라면 아무런 조치도 필요없지만, 고객 대시보드에서 Cloudflare의 추가적인 보호 장치 조항이 포함되어 있는 개정된 DPA에 동의하실 수도 있습니다. 이전에 Cloudflare의 EU-미국 간 또는 스위스-미국 간 Privacy Shield에 의존하던 고객은 고객 대시보드에서 제공되는 개정된 Cloudflare DPA에 동의하셔야 합니다. 대시보드 화면에서 Configurations 탭으로 이동한 후 Preferences로 들어가시면 됩니다. 거기에서 DPA를 검토한 후 수락하여 주시기 바랍니다.

    Cloudflare와 사용자 지정 계약을 맺은 기업 요금제 고객은 DPA와 관련한 문의 사항이 있을 경우 Customer Success 관리자에게 연락하시면 됩니다.

  9. Cloudflare는 새로운 표준 계약 조항에 어떻게 대응하고 있습니까?

    Cloudflare는 유럽위원회의 새로운 표준 계약 조항(SCC) 시안을 주의 깊게 검토하고 있으며, 심의 기간 이후로 승인될 SCC 세트에 미리 대비하고 있습니다. 승인 이후, 새 SCC에는 시행 기간 허용을 위한 1년 간의 일몰조항이 포함되게 되며, Cloudflare는 해당 기간 동안 고객을 위해 새 SCC를 적용해 나갈 것입니다.

  10. Cloudflare 고객이 데이터에 대한 액세스를 지리적으로 제한할 수 있도록 Cloudflare가 제공하는 것은 무엇입니까?

    Cloudflare는 Cloudflare 고객 중에 GDPR이 적용되는 개인 데이터가 EU에 머물며 프로세싱을 위해 미국으로 전송되지 않는 것을 원하는 고객이 있다는 점을 인식하고 있습니다. 이러한 목적을 위해 Cloudflare는 기업이 Cloudflare 전역 네트워크의 성능 및 보안상 혜택을 누릴 수 있도록 도와주는 Cloudflare Data Localization Suite를 추가하여 데이터가 저장되고 보호되는 장소에 대한 규칙 설정과 제어를 에지에서 손쉽게 수행할 수 있도록 하였습니다.

    Data Localisation Suite는 기존의 일부 제품에 새로운 주요 기능들을 통합하여 제공합니다.

    • 지역적 서비스. Cloudflare는 100개 이상 국가의 200개 이상 도시에 데이터 센터를 운영하고 있습니다. Cloudflare Geo Key Manager 솔루션과 함께 지역적 서비스를 이용하는 고객은 TLS가 저장되며 TLS 종료가 일어나는 데이터 센터를 지정할 수 있습니다. 트래픽은 L3/L4 DDoS 완화를 적용하여 전 세계에서 도착하지만, 보안, 성능, 안정성 기능(WAF, CDN, DDoS 완화 등)은 지정된 Cloudflare 데이터 센터에서만 제공됩니다. 지역적 서비스 하에서는 메타데이터의 일부가 여전히 오리건 주 포틀랜드에 있는 Cloudflare 코어 데이터 센터에서 처리되지만, 이러한 로그에서 수집하는 개인 데이터는 IP 주소뿐입니다.

    • Keyless SSL. Keyless SSL을 사용하면 고객이 Cloudflare에서 사용할 SSL 개인 키를 자체적으로 저장하고 관리할 수 있습니다. 고객은 하드웨어 보안 모듈("HSM"), 가상 서버, Unix/Linux 및 Windows를 실행하는 하드웨어를 포함하여 고객 스스로 제어가 가능한 환경에서 구동되는 다양한 시스템을 키 저장소로 활용할 수 있습니다.

    • Geo key Manager. Cloudflare는 진정한 세계적 고객 기반을 유지하고 있으며, 전 세계의 고객은 자신의 개인 키 위치에 관해 다양한 규제 및 법적 요건을 지켜야 하고, 이들의 위험 프로필도 다양하다는 사실을 파악하였습니다. Cloudflare는 이러한 개념에 기초해 키 보관장소를 결정하는 데 있어서 매우 유연한 시스템을 설계하였습니다. Geo Key Manager를 이용하는 고객은 특정 위치로 개인 키가 노출되도록 제한할 수 있습니다. 이는 Keyless SSL과 유사하지만, 고객의 인프라 내에서 키 서버를 운영하는 대신에 Cloudflare가 고객이 선택한 위치에서 키 서버를 호스트합니다.

    • Edge Log Delivery. 고객은 선호하는 지역 내의 Azure 스토리지 버킷 또는 온프레미스 데이터 센터에서 실행되는 Splunk 인스턴스 등, 원하는 파트너에게 에지에서 직접 로그 데이터를 보낼 수 있습니다. 이러한 옵션을 이용하면 고객은 로그 데이터가 미국 또는 EU 내 Cloudflare 코어 데이터 센터를 먼저 거치게 하지 않고서도 선호하는 지역에서 전체 로그를 가져올 수 있게 됩니다.

    • Workers Durable Objects용 관할권 제한. Durable Objects는 개발자가 인프라 비용의 지출 없이도 상태를 관리할 수 있도록 해주는 서버리스 스토리지 및 코디네이션 기술입니다. 관할권 제한을 이용하면 개발자는 일체의 인프라 구성을 수행하지 않고서도 데이터의 처리 및 저장 활동이 현지 규정을 준수하도록 보장할 수 있게 됩니다. 이 기능은 개발 팀이 규정을 준수하는 전역 응용 프로그램을 자체적으로 쉽게 구축할 수 있도록 도와줍니다.

  11. Cloudflare 또는 Cloudflare의 하청 프로세서가 데이터를 처리하는 미국 내의 EU 데이터 주체가 이용할 수 있는 강제할 수 있는 권한 또는 효과적인 구제책이 있습니까?

    투명성 보고서에 설명된 바와 같이 Cloudflare는 긴급 상황이 아닌 한 정부 기관 또는 민사 소송에 고객의 개인 정보를 제공하려면, 타당한 법적 절차를 사전에 요구하고 있습니다. Cloudflare는 법적 절차를 포함하지 않은 요청에 대해 공무원에게 고객의 개인 정보를 제공하지 않습니다.

    고객에게 권리를 집행할 수 있는 기회를 보장하기 위해, Cloudflare는 법적으로 금지되지 않은 한, 정부의 법적 절차든 민사 소송에 관련된 민간 당사자의 법적 절차든 고객의 정보를 요청하는 소환 또는 기타 법적 절차에 대해 이러한 정보를 제공하기 전에 고객에게 통보하는 정책을 유지하고 있습니다. 구체적으로, Cloudflare의 DPA는, Cloudflare가 고객을 대신해 처리하는 개인 데이터를 요청하는 제3자 법적 절차가 해당 개인 데이터가 GDPR의 대상인 경우와 같이 법률 충돌을 가져온다는 점을 확인할 수 있다면 법적으로 금지되지 않는 한 이를 고객에게 통보할 것입니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통보받은 고객은 개인 데이터 공개를 방지하기 위해 개입할 수 있습니다.

    또한, 미국 법에는 기업이 GDPR의 규제를 받는 데이터 주체에 대한 법적 요청 등 법적 충돌을 가져오는 명령에 대해 이의를 제기할 수 있는 장치가 마련되어 있습니다. 예를 들어, 데이터의 합법적 해외 이용 명확화(CLOUD) 법에서는 공급자가 이러한 법적 충돌을 야기하는 법적 요청을 기각하거나 수정하도록 법원에 청원하는 장치가 제공됩니다. 또한, 해당 절차에 따라 정부가 미국과의 CLOUD 법 협정에 서명한 국가의 국민이 영향을 받는 경우 공급자가 이러한 요청의 존재를 해당 정부에 알릴 수 있습니다. Cloudflare는 이러한 법적 충돌을 야기하는 모든 명령에 대해 법적으로 문제를 제기하겠다고 약속했습니다. 현재까지 Cloudflare는 이러한 충돌을 야기한다고 확인한 명령을 받은 적이 없습니다.

  12. Cloudflare는 브렉시트를 앞두고 EU 개인 데이터의 처리를 위해 어떤 준비를 하고 있습니까?

    Cloudflare는 2021년 1월 1일부로 유럽연합을 탈퇴하게 되는 영국과 브렉시트를 둘러싼 데이터 보호 논의에 세심한 주의를 기울이고 있으며, 영국이 GDPR을 자국 법률로 도입하는 것과 관련하여 여러가지 대비책을 마련해 두었습니다. Cloudflare는 Cloudflare 표준 DPA에 포함되어 영국 및 EEA 외부로 개인 데이터를 전송 시 적용되는 SCC 메커니즘을 앞으로도 활용할 계획입니다. 귀사가 Cloudflare와 적절한 DPA를 맺고 있는지 확인하려면 위의 지침을 참조하십시오. Cloudflare는 법규와 관련한 변동 사항을 계속해서 모니터링하고 있으며, 영국 및 글로벌 데이터 보호 규정을 지속적으로 준수할 것입니다.

약 25백만 개의 인터넷 자산에서 신뢰

trustedby crunchbase black
trustedby ao com black
trustedby zendesk black
logo sofi gray 32px wrapper
trustedby log me in black
trustedby digital ocean black
trustedby okcupid black
trustedby montecito black
trustedby discord black
trustedby library of congress black
trustedby udacity black
trustedby marketo black