Cloudflare 与 GDPR

在 Cloudflare,我们公司的使命是帮助建立更好的互联网。我们相信,保护客户及其最终用户的数据是这项使命的基础。

通用数据保护条例(GDPR)是一部全新的欧盟(EU)隐私法,于 2018 年 5 月 25 日生效。GDPR 协调整个欧盟的数据隐私法律,并规定公司如何收集、存储、删除、修改及以其他方式处理欧盟公民个人数据。它适用于处理欧盟公民个人数据的任何公司,无论该公司是否在欧盟有任何实体存在,或者是否有任何欧盟客户。

我们的承诺

Cloudflare 团队确信我们已采取必要措施确保我们的政策、流程和程序符合 GDPR 要求。我们理解遵守新的隐私法律集可能具有挑战性,我们通过为您提供最先进的 GDPR 就绪服务来帮助您完成 GDPR 合规计划。

我们的法律和政策专家对 GDPR 要求进行了仔细分析,我们采取了诸多措施,如更新隐私政策以更透明地披露我们的信息处理流程,更全面地识别数据主体访问权限;采取了许多面向内部的步骤,包括但不限于记录我们的数据流和处理活动记录;确保我们与代表我们处理个人数据的供应商签订数据处理附录。相关地,我们仍然根据欧盟 - 美国和瑞士 - 美国隐私护盾框架获得认证,以便将欧盟数据转移到美国。(请参阅https://www.cloudflare.com/privacyshield/)。

您能做什么?

我们汇集了许多资源,您可以在此处访问:

数据处理附录

如果您确定自己有资格成为 GDPR 下的数据控制者,并且需要与合格供应商签订数据处理附录(DPA),我们希望帮助您轻松完成工作。

在您的 Cloudflare 帐户的首选项页面,我们提供了一个符合 GDPR 规范的 DPA 供您接受。您只需遵循这些说明

GDPR 资源

有关 GDPR 的更详细信息,请访问欧盟委员会网站,或单击此处参阅我们的博客。

GDPR 常见问题

我们在下面整理出一些关于GDPR 的常见问题供您参考。

常见问题解答

  1. 什么是 GDPR?

    一般资料保护规范 (GDPR) 是欧盟新厉行的法律,于 2018 年 5 月 25 日生效。其规范了公司收集、储存、删除、修改及以其他方式处理欧盟公民个人资料的方式。公司只要会处理欧盟公民个人资料,无论在欧盟是否有任何实体存在或是否有任何欧盟客户,都必须遵守。公司如有任何厂商或供应商可能会处理欧盟公民的个人资料(无论欧盟公民是位于世上哪一个角落),也必须让这些厂商或供应商遵守这些义务。英国尽管脱欧,仍承诺会遵守GDPR。

  2. GDPR 何时会成为法律?

    GDPR 于 2018 年 5 月 25 日在整个欧盟生效。这是一项法规(而非指令),意味着它在该日立即成为所有欧盟成员国的法律。英国尽管脱欧,仍致力于遵守 GDPR。

  3. 如何开始实施 GDPR 合规流程?

    通知:查看您的供应商列表,熟悉数据在您的业务中的流动方式、您收集的个人数据类型以及访问权限。如果 Cloudflare 是您的供应商之一,并且您已确定需要与 Cloudflare 签订 DPA,在上面的链接处提供了符合GDPR 规范的 DPA,供您下载和签名。

    评估:在您的业务范围内进行风险评估,并确定需要填补的任何差距,以满足 GDPR 要求。

    计划:与我们联系,了解我们的产品如何帮助满足您的合规性需求,并制定行动计划。

    采取行动:落实您的 GDPR 合规性计划,使 GDPR 成为一套不会间断的纪律。

  4. GDPR 下“个人数据”的定义是什么?

    首先要认识到的最重要的事情是,欧盟的“个人数据”概念比美国的“PII”概念要广泛得多。根据欧盟法律,个人数据是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是可以直接或间接识别的人,特别是通过参考标识符,诸如姓名、识别号、位置数据、在线标识符,或参考一个或多个因素,该因素特定于自然人的物理、生理、遗传、心理、经济、文化或社会身份。个人数据不必是机密或敏感信息。

  5. 我算是数据控制者还是数据处理者?

    Cloudflare 客户是基于使用Cloudflare 网页最佳化与安全性服务的目的而将个人数据提供给 Cloudflare,因此通常算是数据控制者。数据控制者决定了处理个人数据的目的与方式,而数据处理者则代表数据控制者来处理数据。Cloudflare 作为数据处理者,将代表我们的客户处理个人数据,并向我们的客户提供服务。

  6. Cloudflare 处理哪些类型的数据?

    我们通常只是渠道,负责传送其他人控制的信息;我们的客户及其用户控制通过我们的网络传输、路由、交换和缓存的内容(例如图像、书面内容、图形等)。此外,我们可能会收集有关客户网站使用情况的某些信息,以及处理客户提交或指示我们代表其处理的数据。虽然会收到哪些数据并非由我们决定,但通常包括联系信息、IP 地址、安全指纹、DNS 日志数据以及从浏览器活动派生的网站性能数据等。我们将处理此类数据,以便根据适用法律(包括 GDPR)向我们的客户提供服务。

信任者

超过 12,000,000 个互联网应用程序和 API 信任我们