Cloudflare의 GDPR 규정 준수 약속

Cloudflare는 미국에 본사를 두고 유럽 내 5개 지사를 포함한 전 세계에서 영업을 하며 보안, 성능, 안정성을 지원하는 회사로, 전 세계 모든 지역에서 모든 규모의 사업체에 광범위한 네트워크 서비스를 제공합니다. Cloudflare는 고객의 웹 사이트와 인터넷 응용 프로그램의 보안을 강화하고, 비즈니스 핵심 응용 프로그램의 성능을 개선하며, 개별 네트워크 하드웨어 관리와 관련된 비용 부담과 복잡성을 해소합니다. 이곳에 설명된 바와 같이, 전 세계 200여 개의 에지 서버로 구동되는 Cloudflare의 전역 네트워크는 Cloudflare가 고객을 위해 제품을 신속하게 개발하고 배포할 수 있는 기반입니다.

Cloudflare는 고객이 Cloudflare의 전역 네트워크를 통해 전송, 라우팅, 스위치, 캐시하는 데이터에 대한 액세스 권한이 없으며 해당 데이터를 통제하지도 않습니다. 제한된 경우에 한해 Cloudflare 제품이 콘텐츠 저장에 이용되기도 합니다. 하지만 고객이 어떠한 서비스를 이용하더라도 법규를 준수하고 고객이 Cloudflare 전역 네트워크를 이용해 전송, 라우팅, 스위치, 캐시, 저장하기로 결정한 데이터에 대한 독립적 계약 사항을 준수하는 것은 전적으로 고객의 책임입니다.

Cloudflare가 고객을 대신해 프로세싱하는 개인 데이터의 유형은 실행하는 Cloudflare의 서비스에 따라 다릅니다. Cloudflare 네트워크를 통과하는 절대 다수의 데이터는 Cloudflare의 에지 서버에 있지만, 이러한 활동에 대한 메타데이터는 고객을 대신해 미국 및 유럽에 있는 Cloudflare의 주요 데이터 센터에서 프로세싱합니다.Cloudflare는 Cloudflare 네트워크 상의 이벤트에 대한 로그 데이터를 유지합니다. 이러한 로그 데이터는 고객의 도메인, 네트워크, 웹 사이트, 응용 프로그램 프로그래밍 인터페이스(API), 응용 프로그램(해당하는 경우, Cloudflare 제품인 Cloudflare Zero Trust 포함)의 방문자 및/또는 승인된 사용자에 대한 정보를 포함합니다. 이 메타데이터에는 극히 제한적인 형태의 개인 데이터가 포함되는데, 대부분은 IP 주소의 형태입니다. Cloudflare는 고객을 대신해 미국 및 유럽 내 주요 데이터 센터에서 한정된 시간 동안 이러한 정보를 프로세싱합니다.

Cloudflare는 데이터에 관한 정보 보호에서 보안을 핵심 요소로 생각합니다. Cloudflare는 2010년에 출범한 이래 최신 정보 보호 기술을 다수 출시하였으며 대부분은 업계를 선도하는 것이었습니다. 다른 무엇보다도 이러한 도구들이 있으므로 Cloudflare의 고객은 Universal SSL을 통해 통신 내용을 쉽게 암호화하고 DNS-over-HTTPS, DNS-over-TLS, 암호화 SNI를 이용해 통신 메타데이터를 쉽게 암호화하고 SSL 키의 보관 장소 및 트래픽 검사 장소를 쉽게 제어할 수 있습니다.

Cloudflare는 업계 표준을 뛰어넘는 보안 프로그램을 유지합니다. 보안 프로그램에는 공식적 보안 정책 및 절차 유지, 적절한 논리적/물리적 액세스 제어 확립, 기업 및 프로덕션 환경에 기술적 보호 장치 실행(안전한 구성, 안전한 전송 및 연결 확립, 로깅, 모니터링, 개인 데이터에 대한 적절한 암호화 기술 보유 등 포함)이 포함됩니다.

Cloudflare는 현재 ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II, PCI DSS Level 1 기준 적합 인증을 보유하고 있습니다. Cloudflare의 인증 및 보고서에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

유럽 경제 구역(이하 "EEA")에서 미국으로 전송되는 개인 데이터를 포함한 개인 데이터 보호를 위해 Cloudflare가 제공하는 보안 대책에 대한 자세한 내용은 Cloudflare 표준 DPA의 부록 2를 참조하시기 바랍니다.

GDPR은 EEA에서 EU 일반개인정보보호법(이하 "GDPR") 대상이 아니거나 충분한 데이터 보호법을 시행하지 않는 것으로 간주되는 제3국으로 이전되는 개인 데이터의 유럽 내 데이터 주체가 적절한 안전 장치, 강제할 수 있는 권리, 유효한 법적 구제책을 이용할 수 있도록 보장하는 다양한 법적 장치를 제공합니다.

이러한 장치에는 다음이 포함됩니다.

• EU 집행위원회가 제3국의 법의 지배, 인권 및 기본적인 자유에 대한 존중, 다수의 다른 요인을 평가한 후 해당 국가가 적절한 수준의 보호를 보장한다고 판정한 경우,

• 데이터 컨트롤러 또는 프로세서가 구속력 있는 기업 규칙을 시행하는 경우,

• 데이터 컨트롤러 또는 프로세서가 집행위원회가 채택한 표준 데이터 보호 조항을 시행하는 경우, 또는

• 데이터 컨트롤러 또는 프로세서가 승인된 행동 강령 또는 승인된 인증 메커니즘을 시행하는 경우.

Cloudflare는 EEA로부터 미국으로 개인 데이터를 이전할 때의 법적 장치로 유럽 집행위원회의 표준 계약 조항(이하 "SCC") 및 보충 규정에 의존합니다. 과거에는 Privacy Shield에 부여된 적절성 결정에도 의존했습니다. 하지만 유럽 연합 사법재판소(이하 "CJEU")는 2020년의 “Schrems II” 사건(사건 번호 C-311/18, 데이터 보호 위원장 대 Facebook Ireland 및 Maximillian Schrems)에서 EU와 미국 간의 Privacy Shield 패러다임을 무효화했습니다. Privacy Shield가 무효화되었다고 해서 Cloudflare가 고객을 대신해 프로세싱하는 개인 데이터와 관련하여 마련해둔 강력한 개인정보 보호 대책에 바뀌는 점은 없으며, Cloudflare는 Privacy Shield 인증 시 약속한 데이터 보호 원칙을 지속적으로 따를 것입니다.2022년 3월, EU 집행위원회와 미국 상무부는 EEA에서 미국으로의 데이터 전송을 관장하는 대서양 횡단 데이터 개인정보보호 프레임워크(Trans-Atlantic Data Privacy Framework)를 새로 도입하겠다고 발표했습니다. Cloudflare는 이러한 진행 상황을 면밀히 주시하고 있으며, 시행에 관한 보다 자세한 사항이 공개되면 해당 프레임워크에 의존할지 여부와 그 방법을 결정할 것입니다.

Cloudflare는 고객의 신뢰를 얻고 유지하는 것이 매우 중요하다고 생각하므로 Schrems II 사건 훨씬 이전부터 데이터 보호 장치를 실행해 왔습니다. Cloudflare는 2013년에 있었던 법적 절차를 위해 2014년에 최초의 투명성 보고서를 발간하면서 긴급 상황이 아닌 한 정부 기관에 어떠한 고객 데이터라도 제공할 때는 법적 절차를 요구할 것이며 법적으로 금지되지 않는 한 고객의 고객 또는 결제 정보를 요구하는 법적 절차에 대해 고객에게 공지하겠다고 서약했습니다. Cloudflare는 어떠한 정부에도 암호화 키를 제공하지 않았으며 어떠한 정부에도 Cloudflare 네트워크를 통하는 콘텐츠의 피드를 제공하지 않았으며 Cloudflare 네트워크에 법 집행 장비를 배포하지 않았음을 공개적으로 천명했습니다. 또한, Cloudflare는 이러한 일을 요청받았을 때 "Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다"고 약속했습니다. 이렇게, 창업 초기 이래로 Cloudflare는 매년 2회에 걸쳐 투명성 보고서에서 이러한 약속을 재천명하였고 이를 확대하였습니다.

또한, Cloudflare는 필요 시 소송을 제기함으로써 투명성에 대한 Cloudflare의 믿음과 고객 정보 보호에 대한 약속을 입증해 왔습니다. 2013년에는 전자 프론티어 재단의 도움을 받아 고객의 권리를 보호하기 위해 행정적으로 발표된 미국 국가 안보 문서("NSL")에 법적인 이의를 제기했습니다. 해당 문서의 조항에서, NSL에 대한 정보를 해당 고객에게 공개하는 것을 제약할 수 있는 권한이 정부에게 부여됐기 때문입니다. Cloudflare는 이 요청에 대응하여 아무런 고객 정보도 제공하지 않았으며 법원이 2016년에 해당 공개 금지 조항을 폐지할 때까지 해당 공개 금지 조항은 유효했습니다.

Cloudflare는 개인의 거주 국가의 개인정보 보호법에 위배되는 정부의 개인 데이터에 대한 요청에 대해서는 법적으로 이의를 제기하겠다는 입장을 빈번히 표명해 왔습니다. (Cloudflare의 투명성 보고서와 백서, 정부의 데이터 요청에 대한 데이터 개인정보 보호와 법 집행 기관의 요청에 대한 Cloudflare의 정책을 예시로 확인하실 수 있습니다.) EDPB는 이 평가서에서 GDPR에 그러한 법률 충돌 요소가 있음을 인정했습니다. Cloudflare가 GDPR을 준수하기로 약속한다는 것은, 스스로 미국 정부의 데이터 요청에 따라 GDPR 적용 대상인 것으로 확인된 데이터를 제출하기 전에 Cloudflare가 법적 구제책을 추구하겠다는 뜻입니다. Cloudflare는 기존의 미국 판례법 및 성문법 틀 안에서 이러한 법률 충돌에 기초해 개인 데이터에 대한 미국 정부 기관의 요청을 각하할 것을 미국 법원에 요청할 수 있습니다.

Cloudflare는 앞서 설명한 보충 규정과 안전 조치를 계약 사항으로 포함하는 내용을 추가하도록 고객에 대한 표준 데이터 처리 부록("DPA")을 개정했습니다. 이러한 계약 사항은 DPA의 제7조에서 확인할 수 있습니다.

Cloudflare는 미국인이 아닌 개인이 거주하는 국가의 개인정보 보호법(EU의 GDPR 등)을 위반하여 해당 개인 데이터를 요구하는 미국 정부의 요청에 대해 법적으로 이의를 제기해야 한다고 생각합니다.

CLOUD 법은 미국의 수사 권한을 확장하지 않습니다. 법 집행 기관에 유효한 영장이 주어지는 데 필요한 요건은 여전히 까다롭습니다. CLOUD 법은 위에서 언급했듯 Cloudflare가 일반적으로는 보관하지 않는 콘텐츠에 대한 액세스에도 적용됩니다. 또한 CLOUD 법은 미국 법 집행 기관이 기업 데이터에 대한 액세스를 모색하는 경우 적용되는 기존 관행을 바꾸지 않습니다. 일반적으로 법 집행 기관이 클라우드 공급자보다는 데이터를 실질적으로 제어하는 주체(즉, Cloudflare의 고객)로부터 데이터를 확보하려 한다는 점을 알아두세요.

Cloudflare는 개인 데이터가 GDPR의 적용 대상인 고객에게 지금까지와 같이 SCC 및 보충 규정을 아울러 제공할 것입니다. Cloudflare는 이 규제 공간의 상황 및 대안적인 전송 메커니즘 마련과 관련한 움직임을 면밀하게 주시하고 있습니다.

Cloudflare는 Schrems II 사건에 비추어 GDPR의 데이터 적용 대상이 되며 미국으로 이전되는 데이터가 GDPR 하에서의 적절한 보호를 받을 수 있는 추가적인 보장을 Cloudflare의 고객이 찾고 있다는 것을 이해합니다. 이러한 추가적 안전 장치에 대해서는 위에서 논의하였습니다.

CJEU가 Schrems II 사건에서 다수의 미국 국가 안보 권한을 검토함에 따라, Cloudflare는 이러한 권한을 미국 내 데이터 프로세서에 적용했을 때의 일부 문제점을 인식하게 되었습니다. 이러한 권한이 데이터 전송에 적합한지 여부 또는 얼마나 적합한지를 설명하려면 CJEU가 참조한 권한에 대해 추가적인 설명이 필요합니다.제702조. 해외 첩보 감시법("FISA")의 제702조는 미국 정부가 해외 첩보를 목적으로 미국 외의 지역에 위치한 비 미국 시민의 통신 내용을 요청할 수 있도록 권한을 부여합니다. 미국 정부는 제702조를 근거로 이메일 주소 등의 특정 "선택 장치(selector)"를 통해 구체적인 해외 첩보 대상에 관련된 통신 내용을 수집합니다. 이 권한이 통상적으로 통신 내용의 수집 목적으로 이용되므로, 제702조를 준수하도록 요청받게 되는 "전자적 통신 서비스 공급자"는 주로 이메일 서비스 공급자 또는 해당 통신 내용에 액세스할 수 있는 기타 공급자입니다.

투명성 보고서에 밝힌 바와 같이, Cloudflare는 Cloudflare의 핵심 서비스에서는 이러한 전통적인 고객 콘텐츠에 대한 액세스 권한이 없습니다. 또한, Cloudflare는 불법적이거나 헌법에 위배되는 경우라고 생각되는 요청으로부터 Cloudflare 고객을 보호하기 위해 그동안 Cloudflare 네트워크를 거쳐가는 고객의 콘텐츠를 어떠한 정부에도 제공하지 않았다는 점, 그리고 이러한 일을 요청받았을 경우 모든 법적 구체책을 동원하겠다는 방침을 오랫동안 공개적으로 밝혀 왔습니다. 행정명령 12333호 행정명령 제12333호는 미국이 아닌 국가에 거주하는 비 미국 시민을 대상으로 이루어지는 미국 정보 기관의 해외 첩보 수집을 관장합니다. 행정명령 제12333호에는 미국 회사에 협조를 강제하는 조항이 없습니다.

Cloudflare는 긴급 상황이 아닌 한 어떠한 정부 기관에도 고객 데이터에 대한 액세스 권한을 제공하기 전에 법적 절차를 요구하는 약속을 오랫동안 지켜왔습니다. 따라서 Cloudflare는 행정 명령 12333에 따른 자발적 요청에 따르지 않을 것입니다. 또한, 정보를 캐내려고 하는 모든 시도로부터 개인 정보를 보호하기 위해 Cloudflare를 통하는 모든 데이터(콘텐츠와 메타데이터)에 대한 추가 보안 기능을 권장하는 데 앞서왔습니다. 예를 들어, Cloudflare는 2014년에 Universal SSL을 출범했는데, 이는 비싸고 어려웠던 암호화를 모든 Cloudflare 고객에게 무료로 제공하는 것입니다. 이를 출범한 주에 Cloudflare는 암호화된 웹의 크기를 두 배로 늘렸습니다. 암호화를 대상으로 하는 법이 증가하고 있으므로 Cloudflare는 정부 또는 기타 제삼자의 요청에 따라 암호화를 약화하거나 손상하거나 전복하지 않을 것임을 약속하기까지 했습니다.

Cloudflare는 EDPB가 해당 지침(2021년 6월 18일에 채택된 EU 수준의 개인 데이터 보호 준수를 보장하기 위한 전송 도구 보완에 관한 2020년 1월 권장 사항)을 통해 권장하고 있는 많은 추가적 보호 장치를 이미 마련해두고 있습니다. Cloudflare는 개인 데이터가 상기와 같이 투명하고 책임성 있게 처리되도록 하기 위한 굳은 약속을 지켜가고 있으며, 이러한 여러 약속들이 계약상의 구속력을 가질 수 있게 하고자 이미 Cloudflare의 DPA를 개정하였습니다. Cloudflare는 또한 자체 투명성 보고서를 정기적으로 게시하고 있습니다. 마지막으로 Cloudflare는 강력한 보안 조치와 암호화 프로토콜 역시 빠짐없이 마련하였고, 이는 당사 DPA의 부록 2에서 확인하실 수 있습니다.

언제나처럼 Cloudflare는 법규와 관련한 변동 사항을 계속해서 모니터링하고 있으며 EU GDPR 제44조 및 46조를 지속적으로 준수할 것입니다. 심의 기간 동안에 Cloudflare는 기존 DPA에 따른 약속과 현행 SCC에 따른 약속을 이전과 같이 지켜나갈 것입니다.

Cloudflare의 셀프 서비스 구독 계약(이하 "ESA")에는 Cloudflare의 표준 DPA가 참조로 포함되어 있습니다. 또한, Cloudflare가 셀프 서비스 고객을 대신해 처리하는 개인 데이터가 GDPR의 적용을 받는 한도 내에서 Cloudflare의 DPA에는 이러한 데이터에 대한 EU 표준 계약 조항이 포함되어 있습니다. 그러므로 표준 계약 조항의 시행을 보장하기 위한 별도의 조치는 필요없습니다. Cloudflare의 DPA에는 위에 설명한 안전 장치도 포함되어 있습니다.

DPA는 참조에 의해 포함되었지만, 고객 대시보드에서도 Cloudflare의 표준 DPA를 확인하실 수 있습니다. 대시보드 화면에서 Configurations 탭으로 이동한 후 Preferences로 들어가시면 DPA 보기 및 동의가 가능합니다.

Cloudflare의 표준 기업요금제 구독 계약(이하 "ESA")에는 당사의 표준 DPA가 참조로 포함되어 있습니다. 따라서 이러한 고객에게는 별도의 조치가 필요하지 않습니다. Cloudflare가 고객을 대신해 처리하는 개인 데이터가 GDPR의 적용을 받는 한도 내에서, Cloudflare의 DPA에는 EU 표준 계약 조항이 포함되어 있습니다. Cloudflare의 표준 DPA에는 위에 설명한 안전 장치도 포함되어 있습니다.

2019년 8월 8일 이후에 ESA를 맺었고 맞춤형 계약 조건이 아닌 기업요금제 고객에게는 Cloudflare 표준 ESA가 적용됩니다. 그러나, 이전 버전의 ESA나 맞춤형 ESA 또는 맞춤형 DPA를 체결한 기업요금제 고객인 경우 2021 EU 표준 계약 조항이 반영되어 있지 않을 수 있습니다. Cloudflare는 이러한 고객에게 연락을 취하여 최신 계약 조건을 안내드릴 수 있도록 하고 있습니다. 이에 해당하는 고객은 고객 대시보드 메뉴를 통해 Cloudflare 표준 DPA에 서명하실 수 있습니다. 여기에는 2021 EU 표준 계약 조항과 자체적인 추가 보호 규정이 반영되어 있습니다. 이전에 Cloudflare의 EU-미국 간 또는 스위스-미국 간 Privacy Shield에 의존하던 고객은 마찬가지로 고객 대시보드에서 제공되는 개정된 Cloudflare DPA에 동의하셔야 합니다. 대시보드 화면에서 Configurations 탭으로 이동한 후 Preferences로 들어가시면 됩니다. 거기에서 DPA를 검토한 후 수락하여 주시기 바랍니다.

기업요금제 고객은 DPA와 관련한 문의 사항이 있을 경우 Customer Success 관리자에게 연락하시면 됩니다.

Cloudflare는 GDPR의 적용을 받는 모든 신규 고객과의 계약에 2021년 6월 4일에 발표된 유럽 집행위원회의 새 SCC를 포함시켰습니다. 새 SCC에는 시행까지 18개월을 유예하는 일몰 조항이 포함되며, Cloudflare는 해당 기간 동안 기존 고객에게 새 SCC를 적용해 나갈 것입니다.

Cloudflare는 Cloudflare 고객 중에 GDPR이 적용되는 개인 데이터가 EU에 머물며 프로세싱을 위해 미국으로 전송되지 않는 것을 원하는 고객이 있다는 점을 인식하고 있습니다. 이러한 목적을 위해 Cloudflare는 기업이 Cloudflare 전역 네트워크의 성능 및 보안상 혜택을 누릴 수 있도록 도와주는 Cloudflare Data Localization Suite를 추가하여 데이터가 저장되고 보호되는 장소에 대한 규칙 설정과 제어를 에지에서 손쉽게 수행할 수 있도록 하였습니다.

Data Localisation Suite는 기존의 일부 제품에 새로운 주요 기능들을 통합하여 제공합니다.

• 지역적 서비스.Cloudflare는 100개 이상 국가의 200개 이상 도시에 데이터 센터를 운영하고 있습니다. Cloudflare Geo Key Manager 솔루션과 함께 지역적 서비스를 이용하는 고객은 TLS가 저장되며 TLS 종료가 일어나는 데이터 센터를 지정할 수 있습니다. 트래픽은 L3/L4 DDoS 완화를 적용하여 전 세계에서 도착하지만, 보안, 성능, 안정성 기능(WAF, CDN, DDoS 완화 등)은 지정된 Cloudflare 데이터 센터에서만 제공됩니다.

• 메타데이터 경계. Customer Metadata Boundary는 고객의 신원을 식별할 수 있는 최종사용자 트래픽의 메타데이터가 유럽 연합 외부로 유출되지 않도록 해줍니다. 여기에는 고객 열람이 가능한 모든 로그 및 분석 데이터도 포함됩니다. 그 원리는 고객 신원 식별이 가능한 최종사용자 메타데이터가 Cloudflare의 핵심 데이터 센터 중 한 곳으로 전달되기 전에 Cloudflare 에지의 단일 서비스를 거쳐가도록 하는 것입니다. 고객에 대해 메타데이터 경계가 활성화되면, Cloudflare 에지는 해당 고객을 식별하는(즉, 해당 고객의 계정 ID를 포함하는) 어떠한 로그 메시지도 EU 외부로 전송되지 않도록 막아줍니다. 이러한 로그 메시지는 EU에 소재한 Cloudflare 핵심 데이터 센터로만 전송됩니다.

• Keyless SSL.Keyless SSL을 사용하면 고객이 Cloudflare에서 사용할 SSL 개인 키를 자체적으로 저장하고 관리할 수 있습니다. 고객은 하드웨어 보안 모듈("HSM"), 가상 서버, Unix/Linux 및 Windows를 실행하는 하드웨어를 포함하여 고객 스스로 제어가 가능한 환경에서 구동되는 다양한 시스템을 키 저장소로 활용할 수 있습니다.

• Geo key Manager.Cloudflare는 진정한 세계적 고객 기반을 유지하고 있으며 이러한 고객이 개인 키의 위치에 관해 다양한 규제 및 법적 요건을 지켜야 하고 위험 프로필도 다양하다는 사실을 파악하였습니다. Cloudflare는 이러한 개념에 기초해 키를 유지하는 장소에 대해 매우 유연한 시스템을 설계하였습니다. Geo Key Manager를 이용하는 고객은 특정 지역에 개인 키가 노출되지 않게 할 수 있습니다. 이는 Keyless SSL과 유사하지만, 고객의 인프라 내에서 키 서버를 운영할 필요가 없으며 고객이 선택한 위치에서 Cloudflare가 키 서버를 호스트합니다.

투명성 보고서에 설명된 바와 같이, Cloudflare는 긴급 상황이 아닌 한 고객의 개인 정보를 정부 기관 또는 민사 소송인에게 제공해야 할 경우 타당한 법적 절차를 거치도록 요구하고 있습니다. Cloudflare는 법적 절차를 포함하지 않은 요청인 경우에는 공무원에게 고객의 개인 정보를 제공하지 않습니다.

고객에게 권리를 집행할 수 있는 기회를 보장하기 위해, Cloudflare는 법적으로 금지되지 않은 한, 정부의 법적 절차든 민사 소송에 관련된 민간 당사자의 법적 절차든 고객의 정보를 요청하는 소환 또는 기타 법적 절차에 대해 이러한 정보를 제공하기 전에 고객에게 통보하는 정책을 유지하고 있습니다. 구체적으로, Cloudflare의 DPA는, Cloudflare가 고객을 대신해 처리하는 개인 데이터를 요청하는 제3자 법적 절차가 해당 개인 데이터가 GDPR의 대상인 경우와 같이 법률 충돌을 가져온다는 점을 확인할 수 있다면 법적으로 금지되지 않는 한 이를 고객에게 통보할 것입니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통보받은 고객은 개인 데이터 공개를 방지하기 위해 개입할 수 있습니다.

또한, 미국 법에는 GDPR의 적용을 받는 데이터 주체에 관한 법적 요청 등 법률 충돌을 야기하는 명령에 대해서는 기업이 이의를 제기할 수 있는 장치가 마련되어 있습니다. 예를 들어, CLOUD 법은 공급자가 이러한 법률 충돌을 야기하는 법적 요청에 대한 기각이나 수정을 법원에 청원할 수 있는 절차를 규정합니다. 또한, 미국과 CLOUD 법 협정에 서명한 타 국가의 국민이 영향을 받게 되는 경우라면 공급자가 해당 절차에 따라 그러한 법적 요청의 존재를 당사국에 알리는 것도 가능합니다. Cloudflare는 이러한 법률 충돌을 야기하는모든 명령에 대해 법적으로 문제를 제기하겠다고 약속했습니다. 현재까지 Cloudflare는 이러한 충돌을 야기하는 것으로 확인된 명령을 받은 적이 없습니다.

Cloudflare는 영국이 유럽 연합을 탈퇴한 이후로 영국 내 데이터 보호 제도의 변화에 세심한 주의를 기울여 왔습니다. Cloudflare는 Cloudflare 표준 DPA에 포함되어 영국 및 EEA 외부로 개인 데이터를 전송 시 적용되는 EU의 SCC 메커니즘을 영국의 데이터 전송 부칙과 연계하여 앞으로도 활용할 계획입니다. 귀사가 Cloudflare와 적절한 DPA를 맺고 있는지 확인하려면 위의 지침을 참조하십시오. Cloudflare는 법규와 관련한 변동 사항을 계속해서 모니터링하고 있으며, 영국 및 글로벌 데이터 보호 규정을 지속적으로 준수할 것입니다.