Cloudflare와 APPI 준수
Cloudflare는 개인 정보 보호를 우선으로 하는 회사입니다. 그러므로 개인 정보 보호법("APPI")은 Cloudflare가 이미 취하고 있는 여러 조치를 법제화한 것입니다. Cloudflare는 처리하는 개인 데이터를 판매하지 않으며 서비스를 제공하기 위한 용도 이외의 용도로 사용하지 않습니다. 또한, Cloudflare를 이용하는 사람들은 자신의 개인 정보를 액세스, 수정, 삭제할 수 있으며 Cloudflare 고객은 Cloudflare 네트워크를 통과하는 정보를 통제할 수 있습니다.
더 알아보려면 아래에서 APPI FAQ를 읽어보거나 Cloudflare의 전반적인 개인정보 취급방침을 확인하세요.
FAQ(질문과 대답)
Cloudflare는 미국에 본사를 두었으며 일본 지사를 포함해 전 세계에서 영업을 하는 보안, 성능, 안정성을 지원하는 회사로, 전 세계 모든 지역 내 모든 규모의 사업체에 광범위한 네트워크 서비스를 제공합니다. Cloudflare는 고객의 웹 사이트와 인터넷 애플리케이션의 보안을 강화하고, 비즈니스 핵심 애플리케이션의 성능을 개선하며, 개별 네트워크 하드웨어 관리와 관련되는 비용과 복잡성을 해소합니다. 이곳에서 설명된 바와 같이 전 세계 270개 이상의 에지 서버로 구동되는 Cloudflare의 전역 네트워크는 Cloudflare가 고객을 위해 제품을 신속하게 개발하고 배포하는 기반이 되고 있습니다.
Cloudflare는 고객이 Cloudflare의 전역 네트워크를 통해 전송, 라우팅, 스위치, 캐시하는 데이터에 대한 액세스 권한이 없으며 해당 데이터를 통제하지도 않습니다. 제한된 경우에 한해 Cloudflare 제품이 콘텐츠 저장에 이용되기도 합니다. 하지만 고객이 어떠한 서비스를 이용하더라도 법규를 준수하고 고객이 Cloudflare 전역 네트워크를 이용해 전송, 라우팅, 스위치, 캐시, 저장하기로 결정한 데이터에 대한 독립적 계약 사항을 준수하는 것은 전적으로 고객의 책임입니다.
Cloudflare가 고객을 대신해 프로세싱하는 개인 데이터의 유형은 실행하는 Cloudflare의 서비스에 따라 다릅니다. Cloudflare 네트워크를 통과하는 절대 다수는 Cloudflare의 에지 서버에 있지만, 이러한 활동에 대한 메타데이터는 고객을 대신해 미국 및 유럽에 있는 Cloudflare의 주요 데이터 센터에서 프로세싱합니다
Cloudflare는 Cloudflare 네트워크 상의 이벤트에 대한 로그 데이터를 유지합니다. 이러한 로그 데이터에는 고객의 도메인, 네트워크, 웹 사이트, 응용 프로그램 프로그래밍 인터페이스(API), 애플리케이션(해당하는 경우, Cloudflare 제품인 Cloudflare Zero Trust 포함)의 방문자 및/또는 승인된 사용자에 대한 정보를 포함합니다. 이 메타데이터에는 극도로 제한적인 개인 데이터가 포함되는데, 대부분은 IP 주소의 형태입니다. Cloudflare는 고객을 대신해 미국 및 유럽 내 주요 데이터 센터에서 한정된 시간 동안 이러한 정보를 프로세싱합니다.
Cloudflare는 데이터에 관한 정보 보호에서 보안을 핵심 요소로 생각합니다. Cloudflare는 2010년에 출범한 이래 최신 정보 보호 기술을 다수 출시하였으며 대부분은 업계를 선도하는 것이었습니다. 다른 무엇보다도 이러한 도구들이 있으므로 Cloudflare의 고객은 Universal SSL을 통해 통신 내용을 쉽게 암호화하고 DNS-over-HTTPS, DNS-over-TLS, 암호화 SNI를 이용해 통신 메타데이터를 쉽게 암호화하고 SSL 키의 보관 장소 및 트래픽 검사 장소를 쉽게 제어할 수 있습니다.
Cloudflare는 업계 표준에 따르는 보안 프로그램을 유지합니다. 보안 프로그램에는 공식적 보안 정책 및 절차 유지, 적절한 논리적/물리적 액세스 제어 확립, 기업 및 프로덕션 환경에 기술적 보호 장치 실행(안전한 구성, 안전한 전송 및 연결 확립, 로깅, 모니터링, 개인 데이터에 대한 적절한 암호화 기술 보유 등 포함)이 포함됩니다.
모든 Cloudflare 직원은 개인정보 및 정보 보안 온보딩 교육을 받으며, 이후 매년 재교육을 받습니다.
Cloudflare는 현재 ISO 27001, ISO 27701, SOC 2 Type II, PCI DSS 레벨 1 준수의 유효성 검사를 보유하고 있습니다. Cloudflare는 SOC 3 보고서도 유지하고 있습니다. Cloudflare의 인증에 대한 자세한 내용은 여기에서 확인하세요.
일본에서 미국으로 전송되는 개인 데이터를 포함한 개인 데이터 보호를 위해 Cloudflare가 제공하는 보안 대책에 대한 자세한 내용은 Cloudflare 표준 DPA의 부록 2를 참조하시기 바랍니다.
Cloudflare가 고객을 대신해 개인 데이터를 처리할 의무를 다루고 Enterprise 서비스 계약 및 셀프 서비스 구독 계약을 참조하여 통합되어 있는 데이터 처리 부록(DPA)은 APPI 제24조에 따라 국경 간 전송을 합법화하는 표준에 상당하는 것으로 여겨집니다. 추가로, 다음 내용을 확인하세요.
전송 국가: Cloudflare는 전역 네트워크 전체에서 데이터를 처리하며, 메타데이터는 미국 및 EU에 위치한 데이터 센터에 보관될 수 있습니다. Cloudflare의 여러 보안 서비스를 제공하기 위해 필요할 경우 미국 내 데이터 센터로의 전송은 고객 영역에 대한 트래픽 메타데이터로 제한됩니다.
보안 조치: Cloudflare의 보안 조치는 DPA의 부록 2에 수록되어 있습니다.
확인: Cloudflare는 위에 명시된 Cloudflare가 유지하고 있는 인증으로 증명된 바와 같이, 보안 조치를 정기적으로 점검합니다.
목적 제한: Cloudflare는 고객의 지시에 따라서만 개인 데이터를 처리합니다. Cloudflare는 Cloudflare 서비스를 제공하기 위한 목적 외 어떤 목적이든 개인 데이터를 판매하거나, 보관하거나, 사용하거나, 공개하지 않으며, 고객의 최종 사용자 데이터를 마케팅 또는 홍보 목적으로 수집, 추적하거나 사용하지 않습니다.
유출 통지: Cloudflare는 개인 데이터 유출(DPA에 정의된 대로)이 발생하면 과도하게 지연하지 않고 영향을 받은 고객에게 통지하며, 해당 개인 데이터 유출과 관련한 적절한 협조 및 지원을 고객에게 제공합니다.
하위 처리 기구: Cloudflare의 하위 처리 기구로는 중국 자회사를 제외한 자회사가 포함됩니다. Cloudflare 중국 자회사의 직원은 전 세계 고객 데이터나 글로벌 네트워크 데이터에 모두 접근할 수 없습니다.
미국에서는 총체적인 개인 정보 보호법을 국가적인 수준으로 도입하고 있지는 않습니다. 그 대신, 미국은 개인정보 및 데이터 보호에 산업별 접근 방식을 취하고 있습니다. 예를 들어, 미국에는 연방 정부 수준에서 개인의 건강 정보를 다루는 법(건강 보험 양도 및 책임에 관한 법, "HIPAA"), 금융기관에서 처리하는 정보(Gramm-Leach-Bliley법, "GLBA"), 교육 기관에서 처리하는 정보(가족 교육 권리 및 개인 정보 보호법, "FERPA")에 대한 법이 있습니다. 여기에 더해 미국 연방거래위원회("FTC")에는 수사를 할 수 있고, 불공정하고 기만적인 상업적 관행으로부터 소비자를 보호하기 위한 조치를 취할 수 있는 집행권이 주어집니다. FTC의 집행권은 합리적인 수준의 데이터 보안 조치를 도입하지 않거나, 개인정보 취급방침 등에서 실질적으로 정확하지 않거나 오해의 소지가 있는 개인 정보 보호 및 보안 선언을 마련한 기업에 조치를 취하는 데에 사용되고 있습니다.
Cloudflare는 Cloudflare가 받은 데이터 공개 요청과 대응 방식을 설명하는 투명성 보고서를 게시합니다. 일반적으로 Cloudflare가 법 집행 기관이나 정부 기관으로부터 고객 데이터를 제공하라는 요청을 받을 경우, 법적으로 금지되지 않는 한 해당 요청을 고객에게 알린다고 DPA에 명시하고 있습니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통보받은 고객은 개인 데이터 공개를 방지하기 위해 개입할 수 있습니다. Cloudflare가 법적인 충돌을 야기하는 충돌로 판단하는 경우(예: 요청 대상이 미국법의 관할을 받지 않는 국가의 주민인 경우)에는 해당 요청을 거부하며 법적인 조치를 취할 것이라 DPA에 명시하고 있습니다.
제702조. 해외 첩보 감시법("FISA")의 제702조는 해외 첩보의 목적을 위해 미국 정부에게 미국 외의 지역에 위치한 미국인이 아닌 개인의 통신을 요청할 수 있도록 허락한 권한입니다. 미국 정부는 제702조를 이용해 이메일 주소 등의 특정한 "선택 장치"를 통해 구체적인 해외 첩보 대상에 관련된 통신 내용을 수집했습니다. 이 권한이 전형적으로 통신 내용을 수집하는 데 이용되므로 제702조를 준수하도록 요청받는 "전자적 통신 서비스 공급자"는 주로 이메일 공급자 또는 통신 내용에 액세스할 수 있는 기타 공급자입니다.
Cloudflare의 투명성 보고서에 밝힌 바와 같이 Cloudflare의 핵심 서비스에는 이러한 전통적인 고객 콘텐츠에 대한 액세스 권한이 없습니다. 또한, Cloudflare는 Cloudflare 네트워크를 통하는 고객의 콘텐츠를 어떠한 정부에도 제공하지 않았다는 점과 이러한 일을 요청받았을 때 Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다는 점을 장기간 동안 공개적으로 약속했습니다.
행정 명령 12333. 행정 명령 12333은 미국이 아닌 국가에 거주하는 미국인이 아닌 사람을 대상으로 하는 미국 정보 기관의 해외 첩보 수집을 관장합니다. 행정 명령 12333에는 미국 회사에 협조를 강제하는 조항이 없습니다.
Cloudflare는 긴급 상황이 아닌 한 어떠한 정부 기관에도 고객 데이터에 대한 액세스 권한을 제공하기 전에 법적 절차를 요구하는 약속을 오랫동안 지켜왔습니다. 따라서 Cloudflare는 행정 명령 12333에 따른 자발적 요청에 따르지 않을 것입니다. 또한, 정보를 캐내려고 하는 모든 시도로부터 개인 정보를 보호하기 위해 Cloudflare를 통하는 모든 데이터(콘텐츠와 메타데이터)에 대한 추가 보안 기능을 권장하는 데 앞서왔습니다. 예를 들어, Cloudflare는 2014년에 Universal SSL을 출범했는데, 이는 비싸고 어려웠던 암호화를 모든 Cloudflare 고객에게 무료로 제공하는 것입니다. 이를 출범한 주에 Cloudflare는 암호화된 웹의 크기를 두 배로 늘렸습니다. 암호화를 대상으로 하는 법이 증가하고 있으므로 Cloudflare는 정부 또는 기타 제삼자의 요청에 따라 암호화를 약화하거나 손상하거나 전복하지 않았다는 약속까지 했습니다.ㄹ
CLOUD 법. 데이터 활용의 명확화를 위한 법률(CLOUD)은 미국의 수사 권한을 확장하지 않습니다. 법 집행 기관에 유효한 영장이 주어지는 데 필요한 요건은 여전히 까다롭습니다. CLOUD 법은 위에서 언급했듯 Cloudflare가 일반적으로는 보관하지 않는 콘텐츠에 대한 액세스에도 적용됩니다. 일반적으로 법 집행 기관이 클라우드 공급자보다는 데이터를 실질적으로 제어하는 주체(즉, Cloudflare의 고객)로부터 데이터를 확보하려 한다는 점을 알아두세요.
CLOUD 법은 공급자가 이러한 법적 충돌을 야기하는 법적 요청을 기각하거나 수정하도록 법원에 청원할 수 있는 방법을 제공합니다. 또한, 해당 절차에 따라 정부가 미국과의 CLOUD 법 협정에 서명한 국가의 국민이 영향을 받는 경우 공급자가 이러한 요청의 존재를 해당 정부에 알릴 수 있습니다. Cloudflare는 이러한 법적 충돌을 야기하는 모든 명령에 대해 법적으로 문제를 제기하겠다고 약속했습니다. 현재까지 Cloudflare는 이러한 충돌을 야기한다고 확인한 명령을 받은 적이 없습니다.
마지막으로 이 점을 유념하세요. Cloudflare에서는 DPA에 따라, 제3자가 개인 데이터를 요청하고 Cloudflare에서 고객 대신 처리하는 법적 절차가 법률 충돌을 야기한다는 점을 확인할 수 있는 경우, 법적으로 금지되지 않는 한 이를 고객에게 통보할 것입니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통보받은 고객은 개인 데이터 공개를 방지하기 위해 개입할 수 있습니다.
Cloudflare는 고객의 신뢰를 얻고 유지하는 것이 매우 중요하다고 생각하므로 2022년에 APPI가 개정되기 이전부터 데이터 보호 조치를 실행해 왔습니다. Cloudflare는 2013년에 있었던 법적 절차를 위해 2014년에 최초의 투명성 보고서를 발간하면서 긴급 상황이 아닌 한 정부 기관에 어떠한 고객 데이터라도 제공할 때는 법적 절차를 요구할 것이며 법적으로 금지되지 않는 한 고객의 고객 또는 결제 정보를 요구하는 법적 절차에 대해 고객에게 공지하겠다고 서약했습니다. Cloudflare는 어떠한 정부에도 암호화 키를 제공하지 않았으며 어떠한 정부에도 Cloudflare 네트워크를 통하는 콘텐츠의 피드를 제공하지 않았으며 Cloudflare 네트워크에 법 집행 장비를 배포하지 않았음을 공개적으로 천명했습니다. 또한, Cloudflare는 이러한 일을 요청받았을 때 "Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다"고 약속했습니다. 이렇게, 창업 초기 이래로 Cloudflare는 매년 2회에 걸쳐 투명성 보고서에서 이러한 약속을 재천명하였고 이를 확대하였습니다.
또한, Cloudflare는 필요 시 소송을 제기함으로써 투명성에 대한 Cloudflare의 믿음과 고객 정보 보호에 대한 약속을 입증해 왔습니다. 2013년에는 전자 프론티어 재단의 도움을 받아 고객의 권리를 보호하기 위해 행정적으로 발표된 미국 국가 안보 문서(NSL)에 법적인 이의를 제기했습니다. 해당 문서의 조항에서, NSL에 대한 정보를 해당 고객에게 공개하는 것을 제약할 수 있는 권한이 정부에게 부여됐기 때문입니다. Cloudflare는 이 요청에 대응하여 아무런 고객 정보도 제공하지 않았으며 법원이 2016년에 해당 공개 금지 조항을 폐지할 때까지 해당 공개 금지 조항은 유효했습니다.
Cloudflare는 개인이 거주하는 국가의 개인정보 보호법을 위반하는 정부의 개인 데이터 요청에 대해서도 법적으로 이의를 제기하겠다는 입장을 빈번히 표명해 왔습니다. (Cloudflare의 투명성 보고서와 백서, 정부의 데이터 요청에 대한 데이터 개인정보 보호와 법 집행 기관의 요청에 대한 Cloudflare의 정책을 예시로 확인하실 수 있습니다.) Cloudflare는 기존의 미국 판례법 및 성문법 틀 안에서 이러한 법적 위배에 기초해 개인 데이터에 대한 미국 정부 기관의 요청을 각하할 것을 미국 법원에 요청할 수 있습니다.
Cloudflare는 상기 묘사된 추가적인 방안과 안전 조치를 계약 사항으로 포함하는 내용을 추가하도록 고객에 대한 표준 DPA를 개정했습니다. 이러한 계약 사항은 DPA의 제7조에서 확인할 수 있습니다.
APPI 관련 자료
Cloudflare에서 일본 내 데이터 보호 및 지역성 의무를 해결하도록 지원하는 방법
[영어로만 지원] Cloudflare는 일본의 개인 정보 보호법("APPI")을 준수하는 다양한 법적 및 계약적 보호장치를 마련해두고 있습니다. 본 백서에서는 이러한 보호장치를 설명합니다.
데이터 개인정보 보호 및 법 집행 요청에 대한 Cloudflare의 정책
[영어로만 지원] 이 자료에서는 Cloudflare 시스템에 있는 고객 및 최종 사용자의 데이터를 관리하는 방법과 데이터에 대한 정부 및 기타 법적 요청에 대응하는 방법에 대해 개괄합니다.