Cloudflare 与 GDPR 规范

Cloudflare 是总部位于美国的一家安全、性能与可靠性公司，为世界各地不同规模的企业提供广泛的网络服务，以帮助这些企业加强安全性，提高业务关键应用程序的性能，并消除管理不同网络硬件的成本与复杂性。Cloudflare 的 Anycast 网络由遍布全球的 200 多个边缘服务器提供支持，这个网络奠定了坚实的基础，让我们能够快速为客户开发和部署产品。

Cloudflare 无法访问或控制客户选择通过 Cloudflare Anycast 网络传输、路由、交换和高速缓存的数据。在有限的情况下，Cloudflare 产品可用于存储内容。但是，无论使用哪种 Cloudflare 服务，对于客户选择通过 Cloudflare Anycast 网络传输、路由、交换、高速缓存或存储的数据，客户均承担自行遵守适用法律和独立合同安排的全部责任。

Cloudflare 代表客户处理的个人数据的类型取决于所实施的 Cloudflare 服务。Cloudflare 网络上传输的绝大部分数据都保留在 Cloudflare 的 Edge 服务器上，而与此活动相关的元数据由我们位于美国的主要数据中心代表客户进行处理。

Cloudflare 维护有关我们网络上事件的日志数据。其中一些日志数据将包含有关客户域、网络、网站、应用程序编程接口（API）或应用程序（包括可能适用的 Cloudflare 产品 Cloudflare for Teams）的访问者和/或授权用户的信息。这类元数据包含极其有限的个人数据，其形式通常是 IP 地址。我们于有限的时间内在位于美国的主要数据中心代表客户处理这类信息。

Cloudflare 将安全性视为确保数据隐私的一个关键要素。自 2010 年 Cloudflare 成立以来，我们已经发布了许多先进的隐私增强技术，这些技术通常在业界处于领先地位。除了其他功能外，客户可以借助这些工具来轻松使用 Universal SSL 来加密通信内容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 来加密通信中的元数据，并且控制存放其 SSL 密钥的位置和检查其流量的位置。

Cloudflare 依据行业标准维护一项安全计划。该安全计划包括维护正式的安全策略和程序，设立妥当的逻辑和物理访问控制，并在公司和生产环境中实施技术保护措施，例如建立安全配置、安全传输和连接，记录日志，进行监控，以及为个人数据提供适当的加密技术等。

我们目前维护以下验证：ISO 27001、SOC 2 Type II 和 PCI DSS Level 1 合规性。我们也维护 SOC 3 报告。您可以从此处进一步了解我们的认证。

要查看 Cloudflare 为保护个人数据（包括从欧盟传输到美国的个人数据）而实施的安全举措，请参阅我们标准 DPA 的附件 2。

GDPR 提供了诸多法律机制，确保将个人数据从欧洲经济区（EEA）传输至第三国（不在 GDPR 适用范围内或认定为已制定适当数据保护法律的国家或地区）的欧洲数据主体获得适当的保障。

这些机制包括：

• 欧盟委员会在评估第三国的法治、对人权和基本自由的尊重及诸多其他因素后，确定该第三国确保提供了妥善的保护；

• 数据控制者或处理者制定了具有约束力的公司规则；

• 数据控制者或处理者制定了欧盟委员会所采用的标准数据保护条款；或者

• 数据控制者或处理者制定了核准的行为准则或核准的认证机制。

Cloudflare 援引标准合同条款（SCC）作为将个人数据从 EEA 传输至美国的法律机制。在过去，Cloudflare 也曾援引授予“隐私保护盾”（Privacy Shield）的充分性决定。但是，欧盟法院（CJEU）在 2020年 7 月的 Schrems II 案（案例 C-311/18，数据保护专员诉 Facebook Ireland 和 Maximillian Schrems）中废止了“欧盟-美国隐私保护盾”协定。“隐私保护盾”的废止并不会改变 Cloudflare 为我们代表客户处理的个人数据所提供的强大数据隐私保护，并且我们将继续遵循我们根据“隐私保护盾”认证时所承诺的数据保护原则。

我们相信赢得和维系客户信任至关重要，所以在 Schrems II 案发生之前，Cloudflare 便已实施了数据保护措施。我们在 2014 年发布第一份透明度报告，披露了在 2013 年期间收到的法律程序，并在当时承诺，除紧急情况以外，向任何政府实体提供任何客户数据前均要求法律程序，并向收到任何法律程序索取客户或账单信息时，我们都会在披露这些信息前通知我们的客户，除非法律禁止这样做。我们公开表示，我们从未将加密密钥交给任何政府机构，未曾向任何政府机构提供通过我们网络传输的内容，也没有在我们网络上部署执法设备。我们还承诺，如果我们被要求做任何这些事情，我们将“用尽一切法律救济来保护我们的客户，以对抗我们认为非法或违宪的请求”。Cloudflare 创立以来，我们每年两次重申这些承诺，并在我们的透明度报告中就此进行详细阐述。

我们还展示了对公开透明的信念，以及我们在必要时通过提起诉讼来保护客户的承诺。2013 年，在电子前沿基金会（Electronic Frontier Foundation）的帮助下，我们为保护客户权利在法律上挑战了当局发布的美国国家安全信函（NSL）（因为其中含有允许政府限制我们向受影响客户披露 NSL 相关信息的规定）。Cloudflare 未曾出于响应这一请求而提供任何客户信息，但保密规定一直有效至法院于 2016 年解除相关限制为止。

最近，在 2020 年 1 月发表的隐私日博客文章中，我们阐明了如下立场：对于政府的任何个人数据索取要求，若与个人居住国的隐私法相冲突，都应当受到法律挑战。欧洲数据保护委员会（EDPB）在去年发布的一项评估中承认 GDPR 可能会造成这种冲突。我们遵守 GDPR 的承诺意味着，Cloudflare 在响应美国政府数据请求时，会在生成被确定为受 GDPR 约束的数据之前寻求法律救济。与现有的美国判例法和法定框架一致，Cloudflare 可能会基于这样的法律冲突请美国法院驳回美国当局的个人数据请求。

我们为客户更新了标准数据处理补遗（DPA），将其他保护措施纳入到合同承诺之中。您可以在我们的 DPA 第 7 节查阅这些合同承诺。

We believe that U.S. government requests for the personal data of a non-U.S. person that conflict with the privacy laws of that person’s country of residence (such as the GDPR in the EU) should be legally challenged.

The CLOUD Act does not expand U.S. investigative authority. Tough requirements for law enforcement to obtain a valid warrant remain unchanged. The CLOUD Act also applies to access to content, which we generally do not store, as described above. Furthermore, the CLOUD Act does not change existing practices when U.S. law enforcement seeks access to corporate data. It is important to note that law enforcement would typically seek to obtain data from the entity which has effective control of the data (i.e., our customers) rather than cloud providers.

Cloudflare 将继续为数据受 GDPR 约束的客户提供 SCC。我们正在密切关注这一领域以及替代传输机制方面的发展。

我们了解到，考虑到 Schrems II 案，客户正在寻求其他保障，以确保受 GDPR 约束并传输到美国的数据得到 GDPR 的充分保护。上文中已探讨了这些额外保护措施。

由于 CJEU 在对 Schrems II 案的分析中考虑了许多美国国家安全权力，因此我们已经发现了有关将这些权力应用于美国数据处理者的一些问题。为说明这些权力与数据传输是否相关或如何相关，需要对 CJEU 援引的权力进行一些额外解释。

第 702 条。《外国情报监视法》（FISA）第 702 条授权美国政府要求获取美国境外非美国籍人士的通信内容以满足外国情报需要。美国政府依据第 702 条使用与特定外国情报目标相关联的特定“选择器”（如电子邮件地址）来收集通信内容。因为该权力通常被用来收集通信内容，所以被要求遵守第 702 条的“电子通信服务提供商”通常是电子邮件提供商或有权访问通信内容的其他提供商。

如我们透明度报告中所述，Cloudflare 通常无法访问此类传统的客户内容。此外，Cloudflare 多年来一直公开承诺，我们从未向任何政府提供通过我们网络传输的客户内容，并且，如果我们被要求这样做，我们将用尽一切法律救济手段来保护我们的客户，对抗这些我们认为是非法或违宪的请求。

第 12333 号行政令。第 12333 号行政令管辖美国情报机关针对美国境外非美国籍人士的外国情报收集。第 12333 号行政令中没有强制美国公司提供协助的规定。

Cloudflare 长期承诺，除紧急情况外，向任何政府实体提供任何客户数据访问权限前需要先走法律程序。因此，我们不会遵守第 12333 号行政令中的自愿性数据请求。此外，Cloudflare 一直带头倡导为传输中的数据（包括内容和元数据）提供额外安全性，以防止个人数据遭受任何形式的窥探。例如，我们于 2014 年推出了 Universal SSL，让所有 Cloudflare 客户都能免费使用曾经既昂贵又困难的加密技术。就在产品发布的当周，我们使加密网络的规模扩大了一倍。由于越来越多的法律企图瞄准加密，我们甚至承诺，我们从未应政府或其他第三方的要求而削弱、破坏或推翻任何加密技术。

Cloudflare 业已按照欧洲数据保护委员会（EDPB）在其指南草案中推荐的做法，采取多种额外保护措施（EDPB 于 2020 年 1 月建议，采取多种措施作为传输工具的补充，以确保符合欧盟对个人数据的保护水平要求；Cloudflare 已于 2020 年 11 月 10 日采纳此建议）。直至 2020 年 12 月 21 日，这些草案仍在商榷之中。

Cloudflare 在处理上述个人数据的过程中，一直坚定不移地致力于做到公开透明、尽心尽责，并且我们已经更新了 DPA，将许多承诺都纳入了我们的合同之中，使其具有了一定的合同效力。我们也将继续发布我们的透明度报告，请参阅以下地址：https://www.cloudflare.com/en-gb/transparency/。最后，同样重要的是，我们已部署了强大的安全性措施和加密协议，您可参阅我们最新版 DPA 的附件 2。Cloudflare 致力于服务我们的欧洲客户，我们期待在咨询期过后能够收到 EDPB 的最终指南。

与往常一样，我们将继续关注该领域的发展近况，并确保始终遵守欧盟 GDPR 的第 44 与 46 条。在这期间，我们将继续履行现有 DPA 和现行 SCC 下的承诺。

2020 年 10 月 5 日，我们更新了自助服务订阅协议，以通过引用纳入我们更新后的标准 DPA。同时，如果我们代表自助客户处理的个人数据受 GDPR 管辖，那么我们针对这些数据的 DPA 也纳入了欧盟标准合同条款。因此，无需采取任何措施来确保标准合同条款落实到位。我们的更新版 DPA 也包含上述额外保障措施。

尽管我们是以引用的方式纳入了 DPA，但我们也在客户仪表板中提供了经过更新的 DPA，以供客户使用。当您处于仪表板中时，请前往“配置”选项卡，然后进入“首选项”。

2020 年 10 月 1 日，我们更新了企业订阅协议（ESA），以通过引用纳入我们的更新版标准 DPA。如果 Enterprise 客户在 2019 年 8 月 8 日或之后与 Cloudflare 签订 ESA，并且没有定制协议，则受我们标准 ESA 的约束。这些客户无需采取任何措施，因为更新版 DPA 已通过引用纳入到我们的 ESA 中；并且，如果我们代表客户处理的个人数据在受 GDPR 管辖的范围内，那么我们的 DPA 也会纳入欧盟标准合同条款。我们的更新版 DPA 也包含上述额外保障措施。您可从此处查阅我们的更新版 DPA。

如果 Enterprise 客户持有旧版 ESA，则可能已经与 Cloudflare 落实了欧盟标准合同条款。如果这些客户已采取相应行动，则无需采取任何措施，但他们仍可以在客户仪表板中同意使用更新过的 DPA，因为其中已包含我们的额外安全保护措施。如果客户以前曾援引 Cloudflare 的欧盟-美国和瑞士-美国隐私保护盾认证，则应同意使用我们在客户仪表板中提供的最新版 DPA。当您处于仪表板中时，请前往“配置”选项卡，然后进入“首选项”。请前往该处查看并接受 DPA。

如果已与 Cloudflare 订立自定义协议的 Enterprise 客户对其 DPA 有疑问，则应联系其 Customer Success 经理。

我们正在仔细审查欧盟委员会的新标准合同条款（SCC）的全新草案，并期待在咨询期后获得一组经过经核准的 SCC 。新 SCC 一经核准，其中便将包含允许在一年内实施的终止条款，我们将在这段时间内为客户实施新的 SCC。

我们意识到，某些客户希望将受 GDPR 约束的任何个人数据都保留在欧盟，而不是传输到美国进行处理。为此，我们引入了 Data Localization Suite，帮助企业获得 Cloudflare 全球网络的性能和安全性优势，同时更轻松地在边缘设置规则和控制措施，轻松决定存储和保护数据的位置。

Data Localization Suite 将和具有新功能的一些现有产品捆绑推出：

• Regional Services。 Cloudflare 在 100 多个国家/地区的 200 多个城市设有数据中心。结合使用 Regional Services 和 Geo Key Manager 解决方案，客户能够选择存储 TLS 密钥并 TLS 终止发生的数据中心位置。通过应用 L3/L4 DDoS 缓解措施来在全球吸收流量，而安全性、性能和可靠性功能（例如 WAF、CDN、DDoS 缓解措施等）则仅在指定的 Cloudflare 数据中心提供。使用 Regional Services 时，某些元数据仍将传输到我们位于俄勒冈州波特兰的核心数据中心。但是，这些日志中收集的唯一个人数据是 IP 地址。

• Keyless SSL。 客户可借助 Keyless SSL 存储并管理自己用于 Cloudflare 的 SSL 私钥。客户可以使用多种系统来运行其密钥库，包括硬件安全性模块（HSM）、虚拟服务器，以及在客户控制环境下运行 Unix/Linux 及 Windows 的硬件。

• Geo key Manager。 Cloudflare 拥有真正的国际化客户群，并且我们也了解到，世界各地的客户对于私钥的放置有不同的监管和法定要求以及不同的风险状况。基于这一理念，我们着手设计了一个非常灵活的系统来决定密钥存放位置。Geo Key Manager 允许客户限制为仅向特定位置公开其私钥。它类似于 Keyless SSL，但 Cloudflare 无需在您的基础设施中运行密钥服务器，而是将密钥服务器托管到您选择的位置。

• Edge Log Delivery。 客户可以在边缘直接将日志发送给所选的合作伙伴——例如其首选区域的 Azure 存储桶，或在本地数据中心运行的 Splunk 实例。通过使用此选项，客户无需令这些日志先流经我们的美国或欧盟核心数据中心，仍可获得其首选区域的完整日志。

• Workers Durable Objects 的司法管辖权限制。 Durable Objects 是无服务器存储与协调技术，开发人员可以在无需基础结构开销的前提下管理状态参数。Jurisdiction Restrictions 功能使用户可以确保客户按照当地法规处理并存储相应数据，同时无需开发者配置任何基础结构。开发团队可借助此功能轻松构建自己的合规全球应用程序。

如我们的透明度报告所述，除非有紧急情况，否则 Cloudflare 需要经过有效的法律程序后，才会向政府实体或民事诉讼人提供客户的个人信息。我们不会基于未走法律程序的请求，将客户的个人信息提供给政府官员。

为确保我们的客户有机会行使其权利，Cloudflare 的政策是，在披露信息之前将索取客户信息的传票或其他法律程序通知给我们的客户，无论该法律程序来自于政府还是参与民事诉讼的私人当事人，除非法律禁止这样做。具体来说，我们的 DPA 承诺，如果我们能确定索取我们代表客户处理的个人数据的第三方法律程序引发法律冲突时（例如当个人数据由 GDPR 管辖时），我们会通知相关客户。客户收到有关其个人数据的未决法律请求的通知后，可以寻求干预来阻止披露其个人数据。

此外，美国法律为公司提供了相关的机制来挑战可能构成法律冲突的命令，例如对受 GDPR 约束的数据的法律请求。例如，《澄清海外合法使用数据（CLOUD）法案》为提供商提供了一种机制，可以请求法院撤销或修改构成此类法律冲突的法律请求。该程序还允许提供商向其公民受到影响的外国政府披露此类请求的存在，条件是该政府与美国签署了 CLOUD 法案协议。Cloudflare 已承诺在法律上挑战构成此类法律冲突的任何命令。迄今为止，我们还没有收到我们认为构成此类冲突的命令。

我们一直密切关注着围绕英国脱欧和英国退出欧盟（于 2021 年 1 月生效）的数据保护讨论，并且已采取步骤以确保为英国将 GDPR 纳入地方立法做好准备。Cloudflare 将继续利用位于标准版 DPA 中 SCC 机制，在英国和 EEA 中传输个人数据。请参阅我们的上述说明，确保自己已应用相应的 DPA。我们将继续关注该领域不断发展的形势，并确保始终遵守英国和全球数据保护条例。