Cloudflare와 GDPR 준수
Cloudflare는 개인정보 보호를 우선으로 하는 회사입니다. 그러므로, 일반 데이터 보호 규정("GDPR")은 Cloudflare가 이미 취하고 있는 여러 조치를 법제화한 것입니다. Cloudflare는 처리하는 개인 데이터를 판매하지 않으며 서비스를 제공하기 위한 용도 이외의 용도로 사용하지 않습니다. 또한, Cloudflare를 이용하는 사람들은 자신의 개인정보를 액세스, 수정, 삭제할 수 있으며 Cloudflare 고객은 Cloudflare 네트워크를 통과하는 정보를 통제할 수 있습니다.
더 알아보려면 아래에서 GDPR FAQ를 읽어보거나 Cloudflare의 전반적인 개인정보 취급방침을 확인하세요.
자주 하는 질문(최종 업데이트 2023년 10월 13일)
Cloudflare는 미국에 본사를 두고 유럽 내 5개 지사를 포함한 전 세계에서 영업을 하며 보안, 성능, 안정성을 지원하는 회사로, 전 세계 모든 지역에서 모든 규모의 사업체에 광범위한 네트워크 서비스를 제공합니다. Cloudflare에서는 고객��의 웹 사이트와 인터넷 애플리케이션의 보안을 강화하고, 비즈니스 핵심 애플리케이션의 성능을 개선하며, 개별 네트워크 하드웨어 관리와 관련된 비용 부담과 복잡성을 해소합니다. 여기에서 설명하는 바와 같이, 전 세계 300여 도시에 소재한 에지 서버로 구동되는 Cloudflare의 전역 네트워크는 Cloudflare에서 고객을 위해 제품을 신속하게 개발하고 배포할 수 있는 기반입니다.
Cloudflare에서 고객을 대신해 처리하는 개인 데이터의 유형은 실행하는 Cloudflare의 서비스에 따라 다릅니다. 당사의 가장 인기 있는 애플리케이션 서비스 및 네트워크 서비스의 경우, Cloudflare에서는 고객 콘텐츠를 저장하지 않으며, 고객이 글로벌 네트워크를 통해 전송, 라우팅, 전환, 캐시하기로 선택한 데이터에 대해 어떠한 제어 능력도 갖지 않습니다. 제한된 경우에 한해 Cloudflare 제품이 콘텐츠 저장에 이용되기도 합니다. 하지만 고객이 어떠한 서비스를 이용하더라도, 법규를 준수하고 고객이 Cloudflare 전역 네트워크를 이용해 전송, 라우팅, 스위치, 캐시, 저장하기로 결정한 데이터에 대한 독립적 계약 사항을 준수하는 것은 전적으로 고객의 책임입니다.
당사의 애플리케이션 및 네트워크 서비스의 경우 Cloudflare 네트워크를 통과하는 절대 다수의 데이터는 Cloudflare의 에지 서버에 유지됩니다. 이러한 활동에 대한 메타데이터는 고객을 대신해 미국 및 유럽에 있는 당사 데이터 센터에서 처리합니다.
Cloudflare에서는 Cloudflare 네트워크상의 이벤트에 대한 로그 데이터를 유지합니다. 이러한 로그 데이터에는 �고객의 도메인, 네트워크, 웹 사이트, 애플리케이션 프로그래밍 인터페이스(API), 애플리케이션(해당하는 경우, Cloudflare 제품인 Cloudflare Zero Trust 포함)의 방문자 및/또는 승인된 사용자에 대한 정보가 포함됩니다. 이 메타데이터에는 극히 제한적인 형태의 개인 데이터가 포함되는데, 대부분 IP 주소의 형태입니다. Cloudflare에서는 고객을 대신해 미국 및 유럽 내 주요 데이터 센터에서 한정된 시간 동안 이러한 정보를 처리합니다.
Cloudflare에서는 데이터에 관한 정보 보호에서 보안을 핵심 요소로 생각합니다. Cloudflare에서는 2010년 출범 이래 최신 정보 보호 기술을 다수 출시하였으며 대부분은 업계를 선도하는 기술이었습니다. 다른 무엇보다도 이러한 도구들이 있으므로 Cloudflare의 고객은 Universal SSL을 통해 통신 내용을 쉽게 암호화하고 DNS-over-HTTPS, DNS-over-TLS, 암호화 SNI를 이용해 통신 메타데이터를 쉽게 암호화하며, SSL 키의 보관 장소 및 트래픽 검사 장소를 쉽게 제어할 수 있습니다.
Cloudflare는 업계 표준을 뛰어넘는 보안 프로그램을 유지합니다. 보안 프로그램에는 공식적 보안 정책 및 절차 유지, 적절한 논리적/물리적 액세스 제어 확립, 기업 및 프로덕션 환경에 기술적 보호 장치 실행(안전한 구성, 안전한 전송 및 연결 확립, 로깅, 모니터링, 개인 데이터에 대한 적절한 암호화 기술 보유 등 포함)이 포함됩니다.
Cloudflare에서는 현재 ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II, PCI DSS Level 1 기준 적합 인증을 보유하고 있습니다. 또한 유럽 클라우드 행동 강령 및 독일의 C5 2020 표준 인증을 받았습니다. Cloudflare의 인증 및 보고서에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
유럽 경제 구역(이하 "EEA")에서 미국으로 전송되는 개인 데이터를 포함한 개인 데이터 보호를 위해 Cloudflare가 제공하는 보안 대책에 대한 자세한 내용은 Cloudflare 표준 DPA의 부록 2를 참조하시기 바랍니다.
GDPR은 EEA에서 EU 일반개인정보보호법(이하 "GDPR") 대상이 아니거나 충분한 데이터 보호법을 시행하지 않는 것으로 간주되는 제3국으로 이전되는 개인 데이터의 유럽 내 데이터 주체가 적절한 안전 장치, 강제할 수 있는 권리, 유효한 법적 구제책을 이용할 수 있도록 보장하는 다양한 법적 장치를 제공합니다.
이러한 장치에는 다음이 포함됩니다.
EU 집행위원회가 제3국의 법의 지배, 인권 및 기본적인 자유에 대한 존중, 다수의 다른 요인을 평가한 후 해당 국가가 적절한 수준의 보호를 보장한다고 판정한 경우,
데이터 컨트롤러 또는 프로세서가 구속력 있는 기업 규칙을 시행하는 경우,
데이터 컨트롤러 또는 프로세서가 집행위원회가 채택한 표준 데이터 보호 조항을 시행하는 경우, 또는
데이터 컨트롤러 또는 프로세서가 승인된 행동 강령 또는 승인된 인증 메커니즘을 시행하는 경우.
Cloudflare에서 개인 데이터를 EEA, 스위스, 영국("UK")에서 해외로 전송하는 경우 당사에서는 필요에 따른 보완 조치를 포함하여 EU 표준 계약 조항("SCC")에 따릅니다. 또는 미국으로 전송하는 경우, 당사에서는 또한 EU-미국 데이터 개인정보 보호 프레임워크("EU-미국 DPF"), 스위스-미국 데이터 개인정보 보호 프레임워크("스위스-미국 DPF") 및/또는 EU-미국 DPF의 영국 확장 버전을 준수한다는 것을 인증받았습니다. 당사에서는 표준 데이터 처리 부록("DPA")을 통해 데이터 처리에 대한 여러 법적 근거를 확보하기 위해 계속해서 EU SCC를 반영합니다.
예. Cloudflare에서 유럽 경제 지역, 스위스, 영국에서 미국으로 개인 데이터를 전송하는 경우, 당사에서는 각각 EU-미국 데이터 개인정보 보호 프레임워크, 스위스-미국 데이터 개인정보 보호 프레임워크, EU-미국 DPF에 대한 영국 확장 버전에 따른 당사의 인증에 의존합니다. 이러한 인증이 만료되거나 무효화되는 경우, Cloudflare에서는 미국으로의 전송을 위해 필요한 보완 조치를 포함하여 EU 표준 계약 조항에 의존합니다. 또한 당사는 EEA, 스위스, 영국에서 다른 해외 지역으로 전송하는 것��에 대해서도 표준 계약 조항을 이용합니다.
2022년 바이든 미국 대통령은 새로운 EU-미국 데이터 개인정보 보호 프레임워크를 구현하기 위해 미국의 신호 정보 활동에 대한 새로운 안전장치를 도입하는 행정 명령 14086호(“EO14086”)에 서명했습니다. EO14086에서 제공하는 보호 기능을 토대로 유럽 위원회에서는 EU-미국 DPF에 대하여 적정성 결정을 내렸습니다. 중요한 것은, 이러한 보호 조치가 DPF 중 하나에 따라 이루어진 전송 또는 EU 표준 계약 조항에 따라 이루어진 전송 등 모든 전송에 동일하게 적용된다는 점입니다(EDPB의 “2023년 7월 10일 적정성 결정 채택 이후 GDPR에 따른 미국으로의 데이터 전송에 관한 정보 메모” 참조).
EO14086에 도입된 보호 조치에는 (i) 신호 정보 활동은 검증된 정보 우선순위를 진전시키는 데 "필요한" 경우에만 수행되어야 하며, (ii) 검증된 정보 우선순위에 "비례하는" 범위와 방식으로만 수행될 수 있도록 개인정보 보호와 시민의 자유가 필수적인 고려 사항임을 보장하기 위한 안전장치가 포함되어 있습니다. 또한 EO14086에서는 개인이 미국 신호 정보를 통해 수집된 개인 정보가 자신의 개인정보 권리를 침해하는 방식으로 처리되었다는 주장에 대해 독립적이고 구속력 있는 검토 및 구제를 받을 수 있는 다층적 구제 메커니즘을 제공합니다.
Cloudflare에서는 고객의 신뢰를 얻고 유지하는 것이 필수적이라고 믿어 왔으며 그에 따라 "Schrems II" 사건(사건 C-311/18, 데이터 보호 위원회 대 Facebook Ireland 및 Maximillian Schrems) 이전부터 데이터 보호 안전 장치를 마련해 왔습니다. 여기에는 EDPB의-Schrems II 지침(2021년 6월 18일 채택된 EU 수준의 개인 데이터 보호를 준수하기 위해 전송 도구를 보완하는 조치에 대한 권고안 2020/01) 이후 EDPB에서 권장해온 다수의 추가 보호 조치가 포함됩니다.
Cloudflare에서는 위에서 설명한 대로 개인 데이터 처리와 관련하여 투명성과 책임에 대해 확고한 공약을 하고 있으며, 당사의 DPA를 통해 이러한 공약의 대부분이 계약상 구속력을 갖습니다. Cloudflare에서는 2013년에 있었던 법적 절차를 위해 2014년에 최초의 투명성 보고서를 발간하면서 긴급 상황이 아닌 한 정부 기관에 어떠한 고객 데이터라도 제공할 때는 법적 절차를 요구할 것이며 법적으로 금지되지 않는 한 고객의 고객 또는 결제 정보를 요구하는 법적 절차에 대해 고객에게 공지하겠다고 서약했습니다. Cloudflare에서는 어떠한 정부에도 암호화 키를 제공하지 않았으며 어떠한 정부에도 Cloudflare 네트워크를 통하는 콘텐츠의 피드를 제공하지 않았으며 Cloudflare 네트워크에 법 집행 장비를 배포하지 않았음을 공개적으로 천명했습니다. 또한, Cloudflare에서는 이러한 일을 요청받았을 때 "Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다"고 약속했습니다. 이렇게, 창업 초기 이래로 Cloudflare에서는 매년 2회에 걸쳐 투명성 보고서에서 이러한 약속을 재천명하였고 이를 확대하였습니다.
또한, Cloudflare는 필요 시 소송을 제기함으로써 투명성에 대한 Cloudflare의 믿음과 고객 정보 보호에 대한 약속을 입증해 왔습니다. 2013년에는 전자 프론티어 재단의 도움을 받아 고객의 권리를 보호하기 위해 행정적으로 발표된 미국 국가 안보 문서("NSL")에 법적인 이의를 제기했습니다. 해당 문서의 조항에서, NSL에 대한 정보를 해당 고객에게 공개하는 것을 제약할 수 있는 권한이 정부에게 부여됐기 때문입니다. Cloudflare는 이 요청에 대응하여 아무런 고객 정보도 제공하지 않았으며 법원이 2016년에 해당 공개 금지 조항을 폐지할 때까지 해당 공개 금지 조항은 유효했습니다.
Cloudflare는 개인의 거주 국가의 개인정보 보호법에 위배되는 정부의 개인 데이터에 대한 요청에 대해서는 법적으로 이의를 제기하겠다는 입장을 빈번히 표명해 왔습니다. (Cloudflare의 투명성 보고서와 백서, 정부의 데이터 요청에 대한 데이터 개인정보 보호와 법 집행 기관의 요청에 대한 Cloudflare의 정책을 예시로 확인하실 수 있습니다.) EDPB는 이 평가서에서 GDPR에 그러한 법률 충돌 요소가 있음을 인정했습니다. Cloudflare가 GDPR을 준수하기로 약속한다는 것은, 스스로 미국 정부의 데이터 요청에 따라 GDPR 적용 대상인 것으로 확인된 데이터를 제출하기 전에 Cloudflare가 법적 구제책을 추구하겠다는 뜻입니다. Cloudflare는 기존의 �미국 판례법 및 성문법 틀 안에서 이러한 법률 충돌에 기초해 개인 데이터에 대한 미국 정부 기관의 요청을 각하할 것을 미국 법원에 요청할 수 있습니다.
Cloudflare에서는 앞서 설명한 보완 규정과 안전 조치를 계약 사항으로 포함하는 내용을 추가하도록 고객에 대한 표준 데이터 처리 부록("DPA")을 개정했습니다. 이러한 계약 사항은 DPA의 제7조에서 확인할 수 있습니다. 마지막으로 Cloudflare에서는 강력한 보안 조치와 암호화 프로토콜 역시 빠짐없이 마련하였고, 이는 당사 DPA의 부록 2에서 확인하실 수 있습니다.
당사에서는 EO14086에 따라 제공되는 추가 보호 조치와 더불어 이러한 보완 조치와 보호 장치를 계속 적용하겠습니다.
언제나처럼 Cloudflare에서는 법규와 관련한 변동 사항을 계속해서 모니터링하고 있으며, EU GDPR 제44조 및 제46조를 지속해서 준수하겠습니다. 이 기간 동안 당사에서는 기존 DPA에 따른 약속, 현행 SCC에 따른 약속, 데이터 개인정보 보호 프레임워크 인증에 따른 공약을 계속 준수하겠습니다.
Cloudflare는 미국인이 아닌 개인이 거주하는 국가의 개인정보 보호법(EU의 GDPR 등)을 위반하여 해당 개인 데이터를 요구하는 미국 정부의 요청에 대해 법적으로 이의를 제기해야 한다고 생각합니다.
CLOUD 법은 미국의 수사 권한을 확장하지 않습니다. 법 집행 기관에 유효한 영장이 주어지는 데 필요한 요건은 여전히 까다롭습니다. CLOUD 법은 위에서 언급했듯 Cloudflare가 일반적으로는 보관하지 않는 콘텐츠에 대한 액세스에도 적용됩니다. 또한 CLOUD 법은 미국 법 집행 기관이 기업 데이터에 대한 액세스를 모색하는 경우 적용되는 기존 관행을 바꾸지 않습니다. 일반적으로 법 집행 기관이 클라우드 공급자보다는 데이터를 실질적으로 제어하는 주체(즉, Cloudflare의 고객)로부터 데이터를 확보하려 한다는 점을 알아두세요. 법 집행 기관에서 Cloudflare에 그러한 데이터를 요구할 경우 당사에서는 법 집행 기관에 당사 대신 당사 고객으로부터 그러한 데이터를 요청할 것을 권장합니다.
우리는 'Schrems II' 판결(사건 C-311/18, 데이터 보호 위원회 대 Facebook Ireland 및 Maximillian Schrems 사건)에서 유럽 사법 재판소(CJEU)가 분석에 참고한 미국 국가 안보 당국에 대한 추가 설명을 제공하는 것이 도움이 될 것으로 생각합니다.
제702조. 해외 첩보 감시법("FISA")의 제702조는 해외 첩보의 목적을 위해 미국 정부에게 미국 외의 지역에 위치한 미국인이 아닌 개인의 통신을 요청할 수 있도록 허락한 권한입니다. 미국 정부는 제702조를 이용해 이메일 주소 등의 특정한 "선택 장치"를 통해 구체적인 해외 첩보 대상에 관련된 통신 내용을 수집했습니다. 이 권한이 전형적으로 통신 내용을 수집하는 데 이용되므로 제702조를 준수하도록 요청받는 "전자적 통신 서비스 공급자"는 주로 이메일 공급자 또는 통신 내용에 액세스할 수 있는 기타 공급자입니다.
Cloudflare의 투명성 보고서에 밝힌 바와 같이 Cloudflare의 핵심 서비스에�는 이러한 전통적인 고객 콘텐츠에 대한 액세스 권한이 없습니다. 또한, Cloudflare는 Cloudflare 네트워크를 통하는 고객의 콘텐츠를 어떠한 정부에도 제공하지 않았다는 점과 이러한 일을 요청받았을 때 Cloudflare가 불법 또는 헌법에 위배되는 요청이라고 생각하는 것으로부터 Cloudflare 고객을 보호하기 위한 모든 법적 구체책을 이용하겠다는 점을 장기간에 걸쳐 공개적으로 약속했습니다.
행정 명령 12333. 행정 명령 12333은 미국이 아닌 국가에 거주하는 미국인이 아닌 사람을 대상으로 하는 미국 정보 기관의 해외 첩보 수집을 관장합니다. 행정 명령 12333에는 미국 회사에 협조를 강제하는 조항이 없습니다.
Cloudflare는 긴급 상황이 아닌 한 어떠한 정부 기관에도 고객 데이터에 대한 액세스 권한을 제공하기 전에 법적 절차를 요구하는 약속을 오랫동안 지켜왔습니다. 따라서 Cloudflare는 행정 명령 12333에 따른 자발적 요청에 따르지 않을 것입니다. 또한, 정보를 캐내려고 하는 모든 시도로부터 개인 정보를 보호하기 위해 Cloudflare를 통하는 모든 데이터(콘텐츠와 메타데이터)에 대한 추가 보안 기능을 권장하는 데 앞서왔습니다. 예를 들어, Cloudflare는 2014년에 Universal SSL을 출범했는데, 이는 비싸고 어려웠던 암호화를 모든 Cloudflare 고객에게 무료로 제공하는 것입니다. 이를 출범한 주에 Cloudflare는 암호화된 웹의 크기를 두 배로 늘렸습니다. 암호화를 대상으로 하는 법이 증가하고 있으므로 Cloudflare는 정부 또는 기타 제삼자의 요청에 따라 암호화를 약화하거나 손상하거나 전복하지 않을 것임을 약속하기까지 했습니다.
Cloudflare에서 개인 데이터를 EEA, 스위스, 영국("UK")에서 해외로 전송하는 경우 당사에서는 필요에 따른 보완 조치를 포함하여 EU 표준 계약 조항("SCC")에 따릅니다. 또는 미국으로 전송하는 경우, 당사에서는 또한 EU-미국 데이터 개인정보 보호 프레임워크("EU-미국 DPF"), 스위스-미국 데이터 개인정보 보호 프레임워크("스위스-미국 DPF"), EU-미국 DPF의 영국 확장 버전을 준수한다는 것을 인증받았습니다. 이러한 내용은 당사의 표준 DPA에 포함되어 있으며 이는 참조로 당사의 ��셀프 서비스 구독 계약에 반영되어 있습니다. 개인 데이터 전송이 SCC를 필요로 하는 한도까지, 당사 DPA는 이러한 데이터에 대한 SCC를 반영하고 있습니다. 그러므로 적절한 국경간 데이터 전송 메커니즘 시행을 보장하기 위한 별도의 조치는 필요 없습니다.
Cloudflare에서 개인 데이터를 EEA, 스위스, 영국("UK")에서 해외로 전송하는 경우 당사에서는 필요에 따른 보완 조치를 포함하여 EU 표준 계약 조항("SCC")에 따릅니다. 또는 미국으로 전송하는 경우, 당사에서는 또한 EU-미국 데이터 개인정보 보호 프레임워크("EU-미국 DPF"), 스위스-미국 데이터 개인정보 보호 프레임워크("스위스-미국 DPF"), EU-미국 DPF의 영국 확장 버전을 준수한다는 것을 인증받았습니다. 이러한 내용은 당사의 표준 DPA에 포함되어 있으며 이는 당사의 표준 기업 구독 계약(“ESA”)에 반영되어 있습니다. 그러므로 적절한 국경간 데이터 전송 메커니즘 시행을 보장하기 위한 별도의 조치는 필요 없습니다.
2019년 8월 8일 이후에 ESA를 체결하고 맞춤형 계약 조건이 아닌 Enterprise 요금제 고객에게는 Cloudflare 표준 ESA가 적용됩니다. 그러나, 이전 버전의 ESA나 맞춤형 ESA 또는 맞춤형 DPA를 체결한 Enterprise 요금제 고객인 경우 문서화된 국경간 데이터 전송 메커니즘을 가지고 있지 않을 수 있습니다. 자신의 DPA에 대하여 질문이 있는 이들 고객 또는 기타 Enterprise 요금제 고객은 Customer Success 담당자에게 문의할 수 있습니다.
당사에서는 당사 고객 중에 GDPR(또는 영국 또는 스위스의 동등한 규정)이 적용되는 개인 데이터가 EU에 남아있으며 처리를 위해 미국으로 전송되지 않는 것을 원하는 고객이 있다는 점을 인식하고 있습니다. 이를 위하여 Cloudflare에서는 기업이 Cloudflare 전역 네트워크의 성능 및 보안상 혜택을 누릴 수 있도록 도와주는 Cloudflare Data Localization Suite를 추가하여 데이터가 저장되고 보호되는 장소에 대한 규칙 설정과 제어를 에지에서 손쉽게 수행할 수 있도록 하였습니다.
Data Localisation Suite는 기존의 일부 제품에 새로운 주요 기능들을 통합하여 제공합니다.
a) 지역적 서비스. Cloudflare에서는 100여 개 국가의 300여 개 도시에서 데이터 센터를 운영하고 있습니다. Cloudflare Geo Key Manager 솔루션과 함께 지역적 서비스를 이용하는 고객은 TLS 키가 저장되며 TLS 종료가 일어나는 데이터 센터를 지정할 수 있습니다. 트래픽은 L3/L4 DDoS 완화를 적용하여 전 세계에서 도착하지만, 보안, 성능, 안정성 기능(WAF, CDN, DDoS 완화 등)은 지정된 Cloudflare 데이터 센터에서만 제공됩니다.
b) Metadata Boundary. Customer Metadata Boundary는 고객의 신원을 식별할 수 있는 최종사용자 트래픽의 메타데이터가 유럽 연합 외부로 유출되지 않도록 해줍니다. 여기에는 고객 열람이 가능한 모든 로그 및 분석 데이터도 포함됩니다. 그 원리는 고객 신원 식별이 가능한 최종사용자 메타데이터가 Cloudflare의 핵심 데이터 센터 중 한 곳으로 전달되기 전에 Cloudflare 에지의 단일 서비스를 거쳐가도록 하는 것입니다. 고객에 대해 Metadata Boundary가 활성화되면, Cloudflare 에지는 해당 고객을 식별하는(즉, 해당 고객의 계정 ID를 포함하는) 어떠한 로그 메시지��도 EU 외부로 전송되지 않도록 막아줍니다. 이러한 로그 메시지는 EU에 소재한 Cloudflare 핵심 데이터 센터로만 전송됩니다.
c) Keyless SSL. Keyless SSL을 사용하면 고객이 Cloudflare에서 사용할 SSL 개인 키를 자체적으로 저장하고 관리할 수 있습니다. 고객은 하드웨어 보안 모듈("HSM"), 가상 서버, Unix/Linux 및 Windows를 실행하는 하드웨어를 포함하여 고객 스스로 제어가 가능한 환경에서 구동되는 다양한 시스템을 키 저장소로 활용할 수 있습니다.
d) Geo key Manager. Cloudflare는 진정한 세계적 고객 기반을 유지하고 있으며 이러한 고객이 개인 키의 위치에 관해 다양한 규제 및 법적 요건을 지켜야 하고 위험 프로필도 다양하다는 사실을 파악하였습니다. Cloudflare는 이러한 개념에 기초해 키를 유지하는 장소에 대해 매우 유연한 시스템을 설계하였습니다. Geo Key Manager를 이용하는 고객은 특정 지역에 개인 키가 노출되지 않게 할 수 있습니다. 이는 Keyless SSL과 유사하지만, 고객의 인프라 내에서 키 서버를 운영할 필요가 없으며 고객이 선택한 위치에서 Cloudflare가 키 서버를 호스트합니다.
우리의 투명성 보고서에 설명된 바와 같이, Cloudflare에서는 고객의 개인정보를 정부 기관 또는 민사 소송인에게 제공해야 할 경우 타당한 법적 절차를 거치도록 요구하고 있습니다. 사람이 사망하거나 심각한 신체적 부상을 입을 위험이 있는 긴급 상황 외에는 당사에서는 법적 절차를 포함하지 않은 요청에 대해 공무원에게 고객의 개인정보를 제공하지 않습니다.
고객에게 권리를 집행할 수 있는 기회를 보장하기 위해, Cloudflare는 법적으로 금지되지 않은 한, 정부의 법적 절차든 민사 소송에 관련된 민간 당사자의 법적 절차든 고객의 정보를 요청하는 소환 또는 기타 법적 절차에 대해 이러한 정보를 제공하기 전에 고객에게 통보하는 정책을 유지하고 있습니다. 구체적으로, Cloudflare의 DPA는, Cloudflare가 고객을 대신해 처리하는 개인 데이터를 요청하는 제3자 법적 절차가 해당 개인 데이터가 GDPR의 대상인 경우와 같이 법률 충돌을 가져온다는 점을 확인할 수 있다면 법적으로 금지되지 않는 한 이를 고객에게 통보할 것입니다. 개인 데이터에 대해 법적 요청이 진행 중임을 통보받은 고객은 개인 데이터 공개를 방지하기 위해 개입할 수 있습니다.
또한, 미국 법에는 GDPR의 적용을 받는 데이터 주체에 관한 법적 요청 등 법률 충돌을 야기하는 명령에 대해서는 기업이 이의를 제기할 수 있는 장치가 마련되어 있습니다. 예를 들어, CLOUD 법은 공급자가 이러한 법률 충돌을 야기하는 법적 요청에 대한 기각이나 수정을 법원에 청원할 수 있는 절차를 규정합니다. 또한, 미국과 CLOUD 법 협정에 서명한 타 국가의 국민이 영향을 받게 되는 경우라면 공급자가 해당 절차에 따라 그러한 법적 요청의 존재를 당사국에 알리는 것도 가능합니다. Cloudflare는 이러한 법률 충돌을 야기하는모든 명령에 대해 법적으로 문제를 제기하겠다고 약속했습니다. 현재까지 Cloudflare는 이러한 충돌을 야기하는 것으로 확인된 명령을 받은 적이 없습니다.
2022년 10월 바이든 미국 대통령은 새로운 EU-미국 데이터 개인정보 보호 프레임워크를 구현하기 위해 미국의 신호 정보 활동에 대한 새로운 안전장치를 도입하는 행정 명령 14086호에 서명했습니다. 이러한 안전장치 중에는 신호 정보 프로그램을 통해 개인 데이터가 불법적으로 수집되었다고 주장하는 개인을 위한 구제 메커니즘이 포함되어 있습니다. 개인은 미국 시민 자유 보호관("CPLO")에게 불만을 제기할 수 있으며, 이 보호관은 이러한 불만을 조사하고 정보 기관에 대해 구속력 있는 결정을 내릴 수 있습니다. CPLO의 결정에 대해서는 새로 신설된 데이터 보호 검토 법원("DPRC")에 항소할 수 있습니다.
마지막으로, EU-미국 DPF, EU-미국 DPF에 대한 영국 확장 버전(총칭하여 "DPF"), 스위스-미국 DPF(총칭하여 "DPF")에 따라 Cloudflare에서는 개인정보 수집 및 사용에 대한 DPF 원칙 관련 불만 사항 해결을 위해 최선을 다하고 있습니다. 자세한 내용은 당사의 개인정보 취급방침 섹션 7을 참조하세요.
Cloudflare에서는 영국이 유럽 연합을 탈퇴한 이후로 영국 내 데이터 보호 제도의 변화에 세심한 주의를 기울여 왔습니다. 현재 EU GDPR은 2018년 영국의 유럽연합(탈퇴) 법 제3조 및 2018년 영국 데이터 보호법("영국 GDPR")에 따라 영국 법률에 포함되었습니다. 영국 데이터 보호법 2018의 s.119(A)에 의거, 영국 정보 위원회 사무소에서 발행한 국제 데이터 전송 부록(버전 B1.0)("영국 부록")에 따라, Cloudflare에서는 영국 부록과 결합된 EU SCC 메커니즘에 의존하여 영국 개인 데이터를 영국 외부로 전송할 수 있습니다. 고객과의 계약에 따라, Cloudflare에서는 영국 부록과 결합된 EU SCC 메커니즘과 보완 조치를 사용하거나, 승인될 경우 EU-미국 데이터 개인정보 보호 프레임워크에 대한 영국 확장 버전에 의존합니다.
GDPR 관련 자료
데이터 개인정보 보호 및 법 집행 요청에 대한 Cloudflare의 정책
[영어로만 지원] 이 자료에서는 Cloudflare 시스템에 있는 고객 및 최종 사용자의 데이터를 관리하는 방법과 데이터에 대한 정부 및 기타 법적 요청에 대응하는 방법에 대해 개괄합니다.
Cloudflare에서 유럽 내 데이터 보호 및 지역성 의무를 해결하도록 지원하는 방법
[영어로만 지원] Cloudflare의 네트워크 및 제품은 유럽에서 개인정보를 가장 잘 의식하고 있으며 규제를 받는 업계를 지원하고자 구축되었습니다. 이 문서에서는 개인정보 중심 정책, 인증서, 제품 주요 기능을 통해 당사가 이를 어떻게 달성하는지를 설명합니다.