Cloudflare 是一家总部位于美国的安全、性能和可靠性公司,拥有全球业务,包括在日本的办事处,为所有地区、所有规模的企业提供广泛的网络服务。我们帮助使客户的网站和互联网应用程序更安全,增强其关键业务应用程序的性能,并消除管理个别网络硬件的成本和复杂性。Cloudflare 的 Anycast 网络由遍布全球的超过 270 个边缘服务器提供支持(如此处所述),以此为基础,我们能够快速为客户开发和部署产品。
Cloudflare 无法访问或控制客户选择通过我们的全球网络传输、路由、交换和缓存的数据。在有限的情况下,Cloudflare 产品可用于存储内容。但是,无论使用哪种 Cloudflare 服务,对于客户选择通过 Cloudflare Anycast 网络传输、路由、交换、缓存或存储的数据,客户均承担自行遵守适用法律和独立合同安排的全部责任。
Cloudflare 代表客户处理的个人数据的类型取决于所实施的 Cloudflare 服务。Cloudflare 网络上传输的绝大部分数据都保留在 Cloudflare 的边缘服务器上,而与此活动相关的元数据由我们位于美国和欧洲的主要数据中心代表客户进行处理。
Cloudflare 维护我们网络上事件的日志数据。其中一些日志数据将包含有关客户的域、网络、网站、应用程序编程接口(API)或应用程序(包括可能适用的 Cloudflare 产品 Cloudflare Zero Trust)的访问者和/或授权用户的信息。这类元数据包含极其有限的个人数据,通常是 IP 地址的形式。我们在有限的时间内在位于美国和欧洲的主要数据中心代表客户处理这类信息。
Cloudflare 将安全性视为确保数据隐私的一个关键要素。自 2010 年 Cloudflare 成立以来,我们已经发布了许多先进的隐私增强技术,这些技术通常在业界处于领先地位。除了其他功能外,客户可以借助这些工具来轻松使用 Universal SSL 来加密通信内容,利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 来加密通信中的元数据,并且控制存放其 SSL 密钥的位置和检查其流量的位置。
Cloudflare 依据行业标准执行一项安全计划。该安全计划包括维护正式的安全策略和程序,设立妥当的逻辑和物理访问控制,并在公司和生产环境中实施技术保护措施,例如建立安全配置、安全传输和连接,记录日志,进行监控,以及为个人数据实施适当的加密技术。
Cloudflare 所有员工在入职时都要接受隐私和信息安全培训,之后还要接受年度再培训。
我们目前维持以下认证:ISO 27001,ISO 27701,SOC 2 Type II,和 PCI DSS Level 1 合规。我们也维持 SOC 3 报告。您可以在此进一步了解我们的认证。
如需查看 Cloudflare 为个人数据(包括从日本转移到美国的个人数据)保护提供的安全措施,请参阅标准 DPA 附录 2.
Cloudflare 的数据处理补遗(DPA) 涵盖我们代表客户处理个人数据的义务,并通过引用纳入我们的 Enterprise 服务协议和自助订阅协议,被认为是根据 APPI 第 24 条使跨境转移合法化的等效标准。另外:
转移国家: Cloudflare 通过其全球网络处理数据,元数据可能存储在我们位于美国和欧盟的数据中心。到美国数据中心的传输仅限于客户区域的流量元数据,以提供我们的许多安全服务。
安全措施:Cloudflare 的安全措施列在我们的 DPA 附件 2 中;
确认: Cloudflare 定期验证我们的安全措施,如上述我们所维持的认证所示;
目的限制:我们只根据客户的指示处理个人数据——我们不会为提供 Cloudflare 服务以外的任何目的出售、保留、使用或披露个人数据,我们也不会为任何营销或广告目的剖析、跟踪或使用客户的最终用户数据;
泄露通知: Cloudflare 会在个人数据泄露(如 DPA 中定义) 时及时通知受影响的客户,并就该等个人数据泄露向这些客户提供合理的合作和协助。
子处理者:我们的子处理者包括我们的子公司,但我们中国的子公司除外。我们中国子公司的员工无法访问来自我们全球客户或网络的数据。
美国在国家层面上没有一部全面的隐私法。相反,美国在隐私和数据保护方面采取行业特定的方法。例如,美国在联邦层面有法律管治个人健康信息隐私(《健康保险携带与责任法案》,简称“HIPAA”)、管治由金融机构处理的信息(《格兰姆-里奇-比利利法案》,简称“GLBA”),管治由教育机构处理的信息(《家庭教育权与隐私法案》,简称“FERPA”)。此外,美国联邦贸易委员会(“FTC”)有执法权力进行调查并采取执法行动,以保护消费者免受不公平和欺骗性交易行为的侵害。联邦贸易委员会的这一权力已被用于对未能实施合理的数据安全措施及做出重大不准确或误导性的隐私和安全声明(包括在隐私政策中)的公司采取行动。
第 702 条。《外国情报监视法》(FISA)第 702 条授权美国政府为外国情报目的而要求获取美国境外非美国籍人士的通信内容。美国政府利用第 702 条,通过特定的 “选择器”,如电子邮件地址,收集与特定外国情报目标有关的通信内容。因为该权力通常被用来收集通信内容,所以被要求遵守第 702 条的“电子通信服务提供商”通常是电子邮件提供商或有权访问通信内容的其他提供商。
正如我们在透明度报告中所述,Cloudflare 无法获得这类传统客户在 Cloudflare 核心服务中的内容。此外,Cloudflare 多年来一直公开承 诺,我们从未向任何政府提供通过我们网络传输的客户内容,并且,如果我们被要求这样做,我们将穷尽一切法律救济措施,以保护我们的客户免予我们认为非法或违宪的要求。
第 12333 号行政令。第 12333 号行政令管辖美国情报机关针对美国境外非美国籍人士的外国情报收集。第 12333 号行政令中没有强制美国公司提供协助的规定。
Cloudflare 许下了长期承诺,在紧急情况之外向任何政府实体提供任何客户数据访问权限之前,需要先进行法律程序。因此,我们不会遵守第 12333 号行政令中的自愿性数据请求。此外,Cloudflare 一直是相关运动的领导者,倡导为传输途中的数据(包括内容和元数据)提供额外安全性,以防止个人数据遭受任何形式的窥探。例如,我们于 2014 年推出了 Universal SSL,让所有 Cloudflare 客户都能免费使用曾经既昂贵又困难的加密技术。就在产品发布的当周,我们使加密网络的规模扩大了一倍。由于越来越多的法律企图将加密作为目标,我们甚至还承诺,我们从未应政府或其他第三方的要求而削弱、破坏或推翻任何加密技术。
CLOUD 法案《澄清海外合法使用数据法案》(CLOUD Act)并没有扩大美国的调查权力。执法部门获得有效搜查令的严格要求没有改变。CLOUD 法案也适用于对我们上述通常不存储的内容的访问。需要注意的是,执法部门通常会寻求从有效控制数据的实体(即我们的客户),而不是云提供商那里获取数据。
CLOUD 法案提供了一个机制,以便提供商向法院请求撤销或修改造成此类法律冲突的法律请求。该程序还允许提供商向其公民受到影响的外国政府披露此类请求的存在,条件是该政府与美国签署了 CLOUD 法案协议。Cloudflare 已承诺在法律上挑战构成此类法律冲突的任何命令。迄今为止,我们还没有收到我们认为构成此类冲突的命令。
最后,请记住,我们的 DPA 承诺,除非法律禁止,否则,如果确认要求提供我们代表客户处理的个人数据的第三方程序带来法律冲突,我们将通知客户。客户获悉有关其个人数据的待处理法律请求后,可寻求干预以阻止个人数据披露。
我们相信赢得和维系客户信任至关重要,所以在 2022 年 APPI 修正案前,Cloudflare 便已实施了数据保护措施。我们在 2014 年发布第一份透明度报告,披露了在 2013 年 期间收到的法律程序,并在当时承诺,除紧急情况以外,向任何政府实体提供任何客户数据前均要求法律程序,并向收到任何法律程序索取客户或账单信息时,我们都会在披露这些信息前通知我们的客户,除非法律禁止这样做。我们公开表示,我们从未将加密密钥交给任何政府机构,未曾向任何政府机构提供通过我们网络传输的内容,也没有在我们网络上部署执法设备。我们还承诺,如果我们被要求做任何这些事情,我们将“用尽一切法律救济来保护我们的客户,以对抗我们认为非法或违宪的请求”。自成立以来,Cloudflare 每年两次在透明度报告中重申这些承诺,甚至对其进行扩展。
我们还展示了对公开透明的信念,以及我们在必要时通过提起诉讼来保护客户的承诺。2013 年,在电子前沿基金会(Electronic Frontier Foundation)的帮助下,我们为保护客户权利在法律上挑战了当局发布的美国国家安全信函(NSL)(因为其中含有允许政府限制我们向受影响客户披露 NSL 相关信息的规定)。Cloudflare 未曾出于响应这一请求而提供任何客户信息,但保密规定一直有效至法院于 2016 年解除相关限制为止。
我们经常表明这一立场:即任何政府对个人数据的要求如果与其居住国的隐私法相冲突,就应该在法律上受到挑战。(例如,请查看我们的透明度报告和我们的白皮书:Cloudflare 有关数据隐私和政府执法机构数据要求的政策。)按照现有美国判例法和法定框架,Cloudflare 可能会基于这样的法律冲突请求美国法院驳回美国当局的个人数据请求。
我们已经更新适用于客户的标准 DPA,现已将上述补充措施和保障措施作为合同承诺纳入。您可以在 DPA 的第 7 节中查阅这些合同承诺。