Cloudflare와 GDPR 준수

Cloudflare는 미국에 본사를 두고 유럽 내 5개 지사를 포함한 전 세계에서 영업을 하며 보안, 성능, 안정성을 지원하는 회사로, 전 세계 모든 지역에서 모든 규모의 사업체에 광범위한 네트워크 서비스를 제공합니다. Cloudflare는 고객의 웹 사이트와 인터넷 응용 프로그램의 보안을 강화하고, 비즈니스 핵심 응용 프로그램의 성능을 개선하며, 개별 네트워크 하드웨어 관리와 관련된 비용 부담과 복잡성을 해소합니다. 이곳에 설명된 바와 같이, 전 세계 200여 개의 에지 서버로 구동되는 Cloudflare의 전역 네트워크는 Cloudflare가 고객을 위해 제품을 신속하게 개발하고 배포할 수 있는 기반입니다.

Cloudflare는 고객이 Cloudflare의 전역 네트워크를 통해 전송, 라우팅, 스위치, 캐시하는 데이터에 대한 액세스 권한이 없으며 해당 데이터를 통제하지도 않습니다. 제한된 경우에 한해 Cloudflare 제품이 콘텐츠 저장에 이용되기도 합니다. 하지만 고객이 어떠한 서비스를 이용하더라도 법규를 준수하고 고객이 Cloudflare 전역 네트워크를 이용해 전송, 라우팅, 스위치, 캐시, 저장하기로 결정한 데이터에 대한 독립적 계약 사항을 준수하는 것은 전적으로 고객의 책임입니다.

Cloudflare가 고객을 대신해 프로세싱하는 개인 데이터의 유형은 실행하는 Cloudflare의 서비스에 따라 다릅니다. Cloudflare 네트워크를 통과하는 절대 다수의 데이터는 Cloudflare의 에지 서버에 있지만, 이러한 활동에 대한 메타데이터는 고객을 대신해 미국 및 유럽에 있는 Cloudflare의 주요 데이터 센터에서 프로세싱합니다.

Cloudflare는 Cloudflare 네트워크 상의 이벤트에 대한 로그 데이터를 유지합니다. 이러한 로그 데이터에는 고객의 도메인, 네트워크, 웹 사이트, 응용 프로그램 프로그래밍 인터페이스(API), 애플리케이션(해당하는 경우, Cloudflare 제품인 Cloudflare Zero Trust 포함)의 방문자 및/또는 승인된 사용자에 대한 정보를 포함합니다. 이 메타데이터에는 극도로 제한적인 개인 데이터가 포함되는데, 대부분은 IP 주소의 형태입니다. Cloudflare는 고객을 대신해 미국 및 유럽 내 주요 데이터 센터에서 한정된 시간 동안 이러한 정보를 프로세싱합니다.

Cloudflare는 데이터에 관한 정보 보호에서 보안을 핵심 요소로 생각합니다. Cloudflare는 2010년에 출범한 이래 최신 정보 보호 기술을 다수 출시하였으며 대부분은 업계를 선도하는 것이었습니다. 다른 무엇보다도 이러한 도구들이 있으므로 Cloudflare의 고객은 Universal SSL을 통해 통신 내용을 쉽게 암호화하고 DNS-over-HTTPS, DNS-over-TLS, 암호화 SNI를 이용해 통신 메타데이터를 쉽게 암호화하고 SSL 키의 보관 장소 및 트래픽 검사 장소를 쉽게 제어할 수 있습니다.

Cloudflare는 업계 표준을 뛰어넘는 보안 프로그램을 유지합니다. 보안 프로그램에는 공식적 보안 정책 및 절차 유지, 적절한 논리적/물리적 액세스 제어 확립, 기업 및 프로덕션 환경에 기술적 보호 장치 실행(안전한 구성, 안전한 전송 및 연결 확립, 로깅, 모니터링, 개인 데이터에 대한 적절한 암호화 기술 보유 등 포함)이 포함됩니다.

Cloudflare는 현재 ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II, PCI DSS Level 1 기준 적합 인증을 보유하고 있습니다. Cloudflare의 인증 및 보고서에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

유럽 경제 구역(이하 "EEA")에서 미국으로 전송되는 개인 데이터를 포함한 개인 데이터 보호를 위해 Cloudflare가 제공하는 보안 대책에 대한 자세한 내용은 Cloudflare 표준 DPA의 부록 2를 참조하시기 바랍니다.

GDPR은 EEA에서 EU 일반개인정보보호법(이하 "GDPR") 대상이 아니거나 충분한 데이터 보호법을 시행하지 않는 것으로 간주되는 제3국으로 이전되는 개인 데이터의 유럽 내 데이터 주체가 적절한 안전 장치, 강제할 수 있는 권리, 유효한 법적 구제책을 이용할 수 있도록 보장하는 다양한 법적 장치를 제공합니다.

이러한 장치에는 다음이 포함됩니다.

• EU 집행위원회가 제3국의 법의 지배, 인권 및 기본적인 자유에 대한 존중, 다수의 다른 요인을 평가한 후 해당 국가가 적절한 수준의 보호를 보장한다고 판정한 경우,

• 데이터 컨트롤러 또는 프로세서가 구속력 있는 기업 규칙을 시행하는 경우,

• 데이터 컨트롤러 또는 프로세서가 집행위원회가 채택한 표준 데이터 보호 조항을 시행하는 경우, 또는

• 데이터 컨트롤러 또는 프로세서가 승인된 행동 강령 또는 승인된 인증 메커니즘을 시행하는 경우.

Cloudflare는 EEA로부터 미국으로 개인 데이터를 이전할 때의 법적 장치로 유럽 집행위원회의 표준 계약 조항(이하 "SCC") 및 보충 규정에 의존합니다. 과거에는 Privacy Shield에 부여된 적절성 결정에도 의존했습니다. 하지만 유럽 연합 사법재판소(이하 "CJEU")는 2020년의 “Schrems II” 사건(사건 번호 C-311/18, 데이터 보호 위원장 대 Facebook Ireland 및 Maximillian Schrems)에서 EU와 미국 간의 Privacy Shield 패러다임을 무효화했습니다. Privacy Shield가 무효화되었다고 해서 Cloudflare가 고객을 대신해 처리하는 개인 데이터에 대한 강력한 개인 정보 보호가 변경된 것은 없으며 Cloudflare는 Privacy Shield 인증 시 약속한 데이터 보호 원칙을 지속적으로 따를 것입니다.

2022년 3월, EU 집행위원회와 미국 상무부는 EEA에서 미국으로의 데이터 전송을 관장하는 대서양 횡단 데이터 개인정보보호 프레임워크(Trans-Atlantic Data Privacy Framework)를 새로 도입하겠다고 발표했습니다. Cloudflare는 이러한 진행 상황을 면밀히 주시하고 있으며, 시행에 관한 보다 자세한 사항이 공개되면 해당 프레임워크에 의존할지 여부와 그 방법을 결정할 것입니다.

In October 2022, U.S. President Biden signed Executive Order 14086 (“EO14086”), which introduced new safeguards for U.S. signals intelligence activities in order to make the EU-U.S. Data Privacy Framework possible. Based on the protections afforded by EO14086, the European Commission made an adequacy finding for the EU-U.S. DPF. Importantly, these protections apply equally to all transfers – those made pursuant to one of the DPFs or those made under the EU Standard Contractual Clauses (see the EDPB’s “Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023”).

The protections introduced by EO14086 include safeguards to ensure that privacy and civil liberties are integral considerations such that (i) signals intelligence activities shall be conducted only where “necessary” to advance a validated intelligence priority, and (ii) be conducted only to the extent and in a manner that is “proportionate” to the validated intelligence priority. EO14086 also provides a multi-layer redress mechanism for individuals to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was processed in a way that violates their privacy rights.

Cloudflare는 고객의 신뢰를 얻고 유지하는 것이 매우 중요하다고 생각하므로 Schrems II 사건 훨씬 이전부터 데이터 보호 장치를 실행해 왔습니다. Cloudflare는 2013년에 있었던 법적 절차를 위해 2014년에 최초의 투명성 보고서를 발간하면서 긴급 상황이 아닌 한 정부 기관에 어떠한 고객 데이터라도 제공할 때는 법적 절차를 요구할 것이며 법적으로 금지되지 않는 한 고객의 고객 또는 결제 정보를 요구하는 법적 절차에 대해 고객에게 공지하겠다고 서약했습니다. Cloudflare는 어떠한 정부에도 암호화 키를 제공하지 않았으며 어떠한 정부에도 Cloudflare 네트워크를 통하는 콘텐츠의 피드를 제공하지 않았으며 Cloudflare 네트워크에 법 집행 장비를 배포하지 않았음을 공개적으로 천명했습니다. 또한, Cloudflare는 이러한 일을 요청받았을 때 "Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다"고 약속했습니다. 이렇게, 창업 초기 이래로 Cloudflare는 매년 2회에 걸쳐 투명성 보고서에서 이러한 약속을 재천명하였고 이를 확대하였습니다.

또한, Cloudflare는 필요 시 소송을 제기함으로써 투명성에 대한 Cloudflare의 믿음과 고객 정보 보호에 대한 약속을 입증해 왔습니다. 2013년에는 전자 프론티어 재단의 도움을 받아 고객의 권리를 보호하기 위해 행정적으로 발표된 미국 국가 안보 문서("NSL")에 법적인 이의를 제기했습니다. 해당 문서의 조항에서, NSL에 대한 정보를 해당 고객에게 공개하는 것을 제약할 수 있는 권한이 정부에게 부여됐기 때문입니다. Cloudflare는 이 요청에 대응하여 아무런 고객 정보도 제공하지 않았으며 법원이 2016년에 해당 공개 금지 조항을 폐지할 때까지 해당 공개 금지 조항은 유효했습니다.

Cloudflare는 개인의 거주 국가의 개인정보 보호법에 위배되는 정부의 개인 데이터에 대한 요청에 대해서는 법적으로 이의를 제기하겠다는 입장을 빈번히 표명해 왔습니다. (Cloudflare의 투명성 보고서와 백서, 정부의 데이터 요청에 대한 데이터 개인정보 보호와 법 집행 기관의 요청에 대한 Cloudflare의 정책을 예시로 확인하실 수 있습니다.) EDPB는 이 평가서에서 GDPR에 그러한 법률 충돌 요소가 있음을 인정했습니다. Cloudflare가 GDPR을 준수하기로 약속한다는 것은, 스스로 미국 정부의 데이터 요청에 따라 GDPR 적용 대상인 것으로 확인된 데이터를 제출하기 전에 Cloudflare가 법적 구제책을 추구하겠다는 뜻입니다. Cloudflare는 기존의 미국 판례법 및 성문법 틀 안에서 이러한 법률 충돌에 기초해 개인 데이터에 대한 미국 정부 기관의 요청을 각하할 것을 미국 법원에 요청할 수 있습니다.

Cloudflare는 앞서 설명한 보충 규정과 안전 조치를 계약 사항으로 포함하는 내용을 추가하도록 고객에 대한 표준 데이터 처리 부록("DPA")을 개정했습니다. 이러한 계약 사항은 DPA의 제7조에서 확인할 수 있습니다.

Cloudflare는 미국인이 아닌 개인이 거주하는 국가의 개인정보 보호법(EU의 GDPR 등)을 위반하여 해당 개인 데이터를 요구하는 미국 정부의 요청에 대해 법적으로 이의를 제기해야 한다고 생각합니다.

CLOUD 법은 미국의 수사 권한을 확장하지 않습니다. 법 집행 기관에 유효한 영장이 주어지는 데 필요한 요건은 여전히 까다롭습니다. CLOUD 법은 위에서 언급했듯 Cloudflare가 일반적으로는 보관하지 않는 콘텐츠에 대한 액세스에도 적용됩니다. 또한 CLOUD 법은 미국 법 집행 기관이 기업 데이터에 대한 액세스를 모색하는 경우 적용되는 기존 관행을 바꾸지 않습니다. 일반적으로 법 집행 기관이 클라우드 공급자보다는 데이터를 실질적으로 제어하는 주체(즉, Cloudflare의 고객)로부터 데이터를 확보하려 한다는 점을 알아두세요.

Cloudflare는 개인 데이터가 GDPR의 적용 대상인 고객에게 지금까지와 같이 SCC 및 보충 규정을 아울러 제공할 것입니다. Cloudflare는 이 규제 공간의 상황 및 대안적인 전송 메커니즘 마련과 관련한 움직임을 면밀하게 주시하고 있습니다.

Cloudflare는 Schrems II 사건에 비추어 GDPR의 데이터 적용 대상이 되며 미국으로 이전되는 데이터가 GDPR 하에서의 적절한 보호를 받을 수 있는 추가적인 보장을 Cloudflare의 고객이 찾고 있다는 것을 이해합니다. 이러한 추가적 안전 장치에 대해서는 위에서 논의하였습니다.

CJEU가 Schrems II 사건에서 다수의 미국 국가 안보 권한을 검토하였으므로 Cloudflare는 이러한 권한을 미국 내 데이터 프로세서에 적용할 때의 일부 문제점을 보게 됐습니다. 이러한 권한이 데이터 이전에 적합한지 여부 또는 얼마나 적합한지를 설명하려면 CJEU가 참조한 권한에 대해 추가적인 설명이 필요합니다.

제702조. 해외 첩보 감시법("FISA")의 제702조는 해외 첩보의 목적을 위해 미국 정부에게 미국 외의 지역에 위치한 미국인이 아닌 개인의 통신을 요청할 수 있도록 허락한 권한입니다. 미국 정부는 제702조를 이용해 이메일 주소 등의 특정한 "선택 장치"를 통해 구체적인 해외 첩보 대상에 관련된 통신 내용을 수집했습니다. 이 권한이 전형적으로 통신 내용을 수집하는 데 이용되므로 제702조를 준수하도록 요청받는 "전자적 통신 서비스 공급자"는 주로 이메일 공급자 또는 통신 내용에 액세스할 수 있는 기타 공급자입니다.

Cloudflare의 투명성 보고서에서 밝힌 바와 같이 Cloudflare의 핵심 서비스에는 이러한 전통적인 고객 콘텐츠에 대한 액세스 권한이 없습니다. 또한, Cloudflare는 Cloudflare 네트워크를 통하는 고객의 콘텐츠를 어떠한 정부에도 제공하지 않았다는 점과 이러한 일을 요청받았을 때 Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다는 점을 장기간 동안 공개적으로 약속했습니다.

행정 명령 12333. 행정 명령 12333은 미국이 아닌 국가에 거주하는 미국인이 아닌 사람을 대상으로 하는 미국 정보 기관의 해외 첩보 수집을 관장합니다. 행정 명령 12333에는 미국 회사에 협조를 강제하는 조항이 없습니다.

Cloudflare는 긴급 상황이 아닌 한 어떠한 정부 기관에도 고객 데이터에 대한 액세스 권한을 제공하기 전에 법적 절차를 요구하는 약속을 오랫동안 지켜왔습니다. 따라서 Cloudflare는 행정 명령 12333에 따른 자발적 요청에 따르지 않을 것입니다. 또한, 정보를 캐내려고 하는 모든 시도로부터 개인 정보를 보호하기 위해 Cloudflare를 통하는 모든 데이터(콘텐츠와 메타데이터)에 대한 추가 보안 기능을 권장하는 데 앞서왔습니다. 예를 들어, Cloudflare는 2014년에 Universal SSL을 출범했는데, 이는 비싸고 어려웠던 암호화를 모든 Cloudflare 고객에게 무료로 제공하는 것입니다. 이를 출범한 주에 Cloudflare는 암호화된 웹의 크기를 두 배로 늘렸습니다. 암호화를 대상으로 하는 법이 증가하고 있으므로 Cloudflare는 정부 또는 기타 제삼자의 요청에 따라 암호화를 약화하거나 손상하거나 전복하지 않을 것임을 약속하기까지 했습니다.

When Cloudflare transfers personal data from the EEA, Switzerland or the United Kingdom (“UK”) internationally, we rely on the EU Standard Contractual Clauses (“SCCs”), including supplementary measures as necessary, or, for transfers to the United States, we have also certified our compliance with the EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), the Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), and the UK Extension to the EU-U.S. DPF. These representations are contained in our standard DPA, which is incorporated by reference into our Self-Serve Subscription Agreement. To the extent the personal data transfer requires the SCCs, then our DPA incorporates the SCCs for this data. Therefore, no action is required to ensure that the appropriate cross-border data transfer mechanisms are in place.

Cloudflare의 셀프 서비스 구독 계약(이하 "ESA")에는 Cloudflare의 표준 DPA가 참조로 포함되어 있습니다. 또한, Cloudflare가 셀프 서비스 고객을 대신해 처리하는 개인 데이터가 GDPR의 적용을 받는 한도 내에서 Cloudflare의 DPA에는 이러한 데이터에 대한 EU 표준 계약 조항이 포함되어 있습니다. 그러므로 표준 계약 조항의 시행을 보장하기 위한 별도의 조치는 필요없습니다. Cloudflare의 DPA에는 위에 설명한 안전 장치도 포함되어 있습니다.

DPA는 참조에 의해 포함되었지만, 고객 대시보드에서도 Cloudflare의 표준 DPA를 확인하실 수 있습니다. 대시보드 화면에서 Configurations 탭으로 이동한 후 Preferences로 들어가시면 DPA 보기 및 동의가 가능합니다.

Cloudflare의 표준 기업요금제 구독 계약(이하 "ESA")에는 당사의 표준 DPA가 참조로 포함되어 있습니다. 따라서 이러한 고객에게는 별도의 조치가 필요하지 않습니다. Cloudflare가 고객을 대신해 처리하는 개인 데이터가 GDPR의 적용을 받는 한도 내에서, Cloudflare의 DPA에는 EU 표준 계약 조항이 포함되어 있습니다. Cloudflare의 표준 DPA에는 위에 설명한 안전 장치도 포함되어 있습니다.

2019년 8월 8일 이후에 ESA를 맺었고 맞춤형 계약 조건이 아닌 기업요금제 고객에게는 Cloudflare 표준 ESA가 적용됩니다. 그러나, 이전 버전의 ESA나 맞춤형 ESA 또는 맞춤형 DPA를 체결한 기업요금제 고객인 경우 2021 EU 표준 계약 조항이 반영되어 있지 않을 수 있습니다. Cloudflare는 이러한 고객에게 연락을 취하여 최신 계약 조건을 안내드릴 수 있도록 하고 있습니다. 이에 해당하는 고객은 고객 대시보드 메뉴를 통해 Cloudflare 표준 DPA에 서명하실 수 있습니다. 여기에는 2021 EU 표준 계약 조항과 자체적인 추가 보호 규정이 반영되어 있습니다. 이전에 Cloudflare의 EU-미국 간 또는 스위스-미국 간 Privacy Shield에 의존하던 고객은 마찬가지로 고객 대시보드에서 제공되는 개정된 Cloudflare DPA에 동의하셔야 합니다. 대시보드 화면에서 Configurations 탭으로 이동한 후 Preferences로 들어가시면 됩니다. 거기에서 DPA를 검토한 후 수락하여 주시기 바랍니다.

기업요금제 고객은 DPA와 관련한 문의 사항이 있을 경우 Customer Success 관리자에게 연락하시면 됩니다.

Cloudflare는 GDPR의 적용을 받는 모든 신규 고객과의 계약에 2021년 6월 4일에 발표된 유럽 집행위원회의 새 SCC를 포함시켰습니다. 새 SCC에는 시행까지 18개월을 유예하는 일몰 조항이 포함되며, Cloudflare는 해당 기간 동안 기존 고객에게 새 SCC를 적용해 나갈 것입니다.

Cloudflare는 영국이 유럽 연합을 탈퇴한 이후로 영국 내 데이터 보호 제도의 변화에 세심한 주의를 기울여 왔습니다. Cloudflare는 Cloudflare 표준 DPA에 포함되어 영국 및 EEA 외부로 개인 데이터를 전송 시 적용되는 EU의 SCC 메커니즘을 영국의 데이터 전송 부칙과 연계하여 앞으로도 활용할 계획입니다. 귀사가 Cloudflare와 적절한 DPA를 맺고 있는지 확인하려면 위의 지침을 참조하십시오. Cloudflare는 법규와 관련한 변동 사항을 계속해서 모니터링하고 있으며, 영국 및 글로벌 데이터 보호 규정을 지속적으로 준수할 것입니다.