Cloudflare 与 GDPR 规范

Cloudflare 是一家提供安全、性能和可靠性服务的公司，总部位于美国，业务覆盖全球（包括在欧洲的五个办事处），为所有规模、所有地区的企业提供广泛的网络服务。我们帮助提高客户网站和互联网应用程序的安全性，增强其关键业务应用程序的性能，并消除管理个别网络硬件的成本和复杂性。Cloudflare 的全局网络由遍布全球的超过 200 个边缘服务器提供支持（参见此处），以此为基础，我们能够快速为客户开发和部署产品。

Cloudflare 无法访问或控制客户选择通过我们的全球网络传输、路由、交换和缓存的数据。在有限的情况下，Cloudflare 产品可用于存储内容。但是，无论使用哪种 Cloudflare 服务，对于客户选择通过 Cloudflare Anycast 网络传输、路由、交换、缓存或存储的数据，客户均承担自行遵守适用法律和独立合同安排的全部责任。

Cloudflare 代表客户处理的个人数据的类型取决于所实施的 Cloudflare 服务。Cloudflare 网络上传输的绝大部分数据都保留在 Cloudflare 的边缘服务器上，而与此活动相关的元数据由我们位于美国和欧洲的主要数据中心代表客户进行处理。

Cloudflare 维护我们网络上事件的日志数据。其中一些日志数据将包含有关客户的域、网络、网站、应用程序编程接口（API）或应用程序（包括可能适用的 Cloudflare 产品 Cloudflare Zero Trust）的访问者和/或授权用户的信息。这类元数据包含极其有限的个人数据，通常是 IP 地址的形式。我们在有限的时间内在位于美国和欧洲的主要数据中心代表客户处理这类信息。

Cloudflare 将安全性视为确保数据隐私的一个关键要素。自 2010 年 Cloudflare 成立以来，我们已经发布了许多先进的隐私增强技术，这些技术通常在业界处于领先地位。除了其他功能外，客户可以借助这些工具来轻松使用 Universal SSL 来加密通信内容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 来加密通信中的元数据，并且控制存放其 SSL 密钥的位置和检查其流量的位置。

Cloudflare 维持超过行业标准的安全计划。该安全计划包括维护正式的安全策略和程序，设立妥当的逻辑和物理访问控制，并在公司和生产环境中实施技术保护措施，例如建立安全配置、安全传输和连接，记录日志，进行监控，以及为个人数据实施适当的加密技术。

我们目前维护以下认证：ISO 27001、ISO 27701、ISO 27018、SOC 2 Type II 和 PCI DSS Level 1 合规。您可以在此处进一步了解我们的认证和报告。

要查看 Cloudflare 为保护个人数据（包括从欧洲经济区［“EEA“］传输到美国的个人数据）而实施的安全举措，请参阅我们标准 DPA 的附件 2。

欧盟《通用数据保护条例》（“GDPR”） 提供了诸多法律机制，确保将个人数据从 EEA 传输至第三国/地区（不在 GDPR 适用范围内或不被视为已制定充分数据保护法律的国家/地区）的欧洲数据主体获得适当的保障、可强制执行的权利和有效的法律救济。

这些机制包括：

• 欧盟委员会在评估第三国的法治、对人权和基本自由的尊重及诸多其他因素后，确定该第三国确保提供了妥善的保护；

• 数据控制者或处理者制定了具有约束力的公司规则；

• 数据控制者或处理者制定了欧盟委员会所采用的标准数据保护条款；或者

• 数据控制者或处理者制定了核准的行为准则或核准的认证机制。

Cloudflare 援引欧盟委员会标准合同条款（“SCC”） 及补充措施作为将个人数据从 EEA 传输至美国的法律机制。在过去，Cloudflare 也曾援引授予“隐私保护盾”(Privacy Shield) 的充分性决定。但是，欧盟法院（“CJEU”）在 2020 年 7 月的 Schrems II 案（案例 C-311/18，数据保护专员诉 Facebook Ireland 和 Maximillian Schrems）中废止了“欧盟-美国隐私保护盾”协定。“隐私保护盾”的废止并不会改变 Cloudflare 为我们代表客户处理的个人数据所提供的强大数据隐私保护，并且我们将继续遵循我们根据“隐私保护盾”认证时所承诺的数据保护原则。

2022 年 3 月，欧盟委员会和美国商务部达成新的《跨大西洋数据隐私框架》，管理从 EEA 到美国的数据传输。我们正在密切关注相关进展，待掌握更多实施详情后再决定是否和如何援引该框架。

In October 2022, U.S. President Biden signed Executive Order 14086 (“EO14086”), which introduced new safeguards for U.S. signals intelligence activities in order to make the EU-U.S. Data Privacy Framework possible. Based on the protections afforded by EO14086, the European Commission made an adequacy finding for the EU-U.S. DPF. Importantly, these protections apply equally to all transfers – those made pursuant to one of the DPFs or those made under the EU Standard Contractual Clauses (see the EDPB’s “Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023”).

The protections introduced by EO14086 include safeguards to ensure that privacy and civil liberties are integral considerations such that (i) signals intelligence activities shall be conducted only where “necessary” to advance a validated intelligence priority, and (ii) be conducted only to the extent and in a manner that is “proportionate” to the validated intelligence priority. EO14086 also provides a multi-layer redress mechanism for individuals to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was processed in a way that violates their privacy rights.

我们相信赢得和维系客户信任至关重要，所以在 Schrems II 案发生之前，Cloudflare 便已实施了数据保护措施。2014 年，我们针对 2013 年收到的法律程序发表了我们的第一份透明度报告，并且许下了承诺，在紧急情况以外向任何政府实体提供任何客户数据前，我们将首先需要进行法律程序，并且每当有法律程序索取客户的客户或账单信息时，我们会在披露这些信息前通知我们的客户，除非受到法律禁止。我们公开表示，我们从未将加密密钥交给任何政府机构，未曾向任何政府机构提供通过我们网络传输的内容的提要，而且也没有在我们网络上部署执法设备。我们还承诺，如果我们被要求做任何这些事情，我们将“用尽一切法律救济来保护我们的客户，以免受到我们认为非法或违宪的请求”。从 Cloudflare 发展历史的早期开始，我们每年两次重申这些承诺，甚至在我们的透明度报告中就此进行了详细阐述。

我们还展示了对公开透明的信念，以及我们在必要时通过提起诉讼来保护客户的承诺。2013 年，在电子前沿基金会（Electronic Frontier Foundation）的帮助下，我们为保护客户权利在法律上挑战了以行政方式签发的美国国家安全信函（NSL），因为其中的规定允许政府限制我们向受影响的客户披露有关 NSL 的信息。Cloudflare 未曾按照这一请求提供任何客户信息，但保密规定一直有效，直至法院于 2016 年解除相关限制为止。

我们经常表明这一立场：即任何政府对个人数据的要求如果与个人居住国/地区的隐私法律相冲突，就应该受到法律质疑。（例如，请查看我们的透明度报告和我们的白皮书：Cloudflare 有关数据隐私和政府执法机构数据要求的政策。）EDPB 在此项评估中承认 GDPR 可能会造成这种冲突。我们承诺遵守 GDPR 意味着，Cloudflare 在响应美国政府的数据请求时，会在生成被确定为受 GDPR 约束的数据之前寻求法律救济。按照现有美国判例法和法定框架，Cloudflare 可能会基于这样的法律冲突请求美国法院驳回美国当局的个人数据请求。

我们已经更新了面向客户的标准数据处理附录（“DPA”），将上述额外的补充措施和保障措施作为合同承诺纳入。您可以在 DPA 的第 7 节中查阅这些合同承诺。

我们认为，如果美国政府有关获取非美国人的个人数据的要求与该个人居住国家的隐私法(如欧盟的GDPR)相冲突，则该等要求在法律上应该受到挑战。

CLOUD 法案没有扩大美国的调查权力。执法部门获得有效搜查令的严格要求没有改变。CLOUD 法案也适用于对我们上述通常不存储的内容的访问。此外，CLOUD 法案没有改变现有美国执法部门寻求访问企业数据时的做法。需要注意的是，执法部门通常会寻求从有效控制数据的实体（即我们的客户），而不是云提供商那里获取数据。

Cloudflare 将继续为数据受 GDPR 约束的客户提供 SCC 和补充措施。我们正在密切关注这一领域以及替代传输机制方面的发展。

我们了解到，考虑到 Schrems II 案，客户正在寻求其他保障，以确保受 GDPR 约束并传输到美国的数据得到 GDPR 的充分保护。上文中已探讨了这些额外保护措施。

由于 CJEU 在对 Schrems II 案的分析中考虑了许多美国国家安全权力，因此我们已经发现了有关将这些权力应用于美国数据处理者的一些问题。为说明这些权力与数据传输是否相关或如何相关，需要对 CJEU 援引的权力进行一些额外解释。

第 702 条。《外国情报监视法》（FISA）第 702 条授权美国政府为外国情报目的而要求获取美国境外非美国籍人士的通信内容。美国政府利用第 702 条，通过特定的 “选择器”，如电子邮件地址，收集与特定外国情报目标有关的通信内容。因为该权力通常被用来收集通信内容，所以被要求遵守第 702 条的“电子通信服务提供商”通常是电子邮件提供商或有权访问通信内容的其他提供商。

正如我们在透明度报告中所述，Cloudflare 无法获得 Cloudflare 核心服务中的此类传统客户内容。此外，Cloudflare 多年来一直公开承诺，我们从未向任何政府提供通过我们网络传输的客户内容，而且如果我们被要求这样做，我们将穷尽一切法律救济措施，以保护我们的客户免予我们认为非法或违宪的要求。

第 12333 号行政令。第 12333 号行政令管辖美国情报机关针对美国境外非美国籍人士的外国情报收集。第 12333 号行政令中没有强制美国公司提供协助的规定。

Cloudflare 许下了长期承诺，在紧急情况之外向任何政府实体提供任何客户数据访问权限之前，需要先进行法律程序。因此，我们不会遵守第 12333 号行政令中的自愿性数据请求。此外，Cloudflare 一直是相关运动的领导者，倡导为传输途中的数据（包括内容和元数据）提供额外安全性，以防止个人数据遭受任何形式的窥探。例如，我们于 2014 年推出了 Universal SSL，让所有 Cloudflare 客户都能免费使用曾经既昂贵又困难的加密技术。就在产品发布的当周，我们使加密网络的规模扩大了一倍。由于越来越多的法律企图将加密作为目标，我们甚至还承诺，我们从未应政府或其他第三方的要求而削弱、破坏或推翻任何加密技术。

When Cloudflare transfers personal data from the EEA, Switzerland or the United Kingdom (“UK”) internationally, we rely on the EU Standard Contractual Clauses (“SCCs”), including supplementary measures as necessary, or, for transfers to the United States, we have also certified our compliance with the EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), the Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), and the UK Extension to the EU-U.S. DPF. These representations are contained in our standard DPA, which is incorporated by reference into our Self-Serve Subscription Agreement. To the extent the personal data transfer requires the SCCs, then our DPA incorporates the SCCs for this data. Therefore, no action is required to ensure that the appropriate cross-border data transfer mechanisms are in place.

我们的《自助订阅协议》通过引用纳入我们的标准《数据处理附录》(DPA)。并且，如果我们代表自助客户处理的个人数据受《通用数据保护条例》(GDPR) 管辖，我们的 DPA 将针对此类数据纳入欧盟标准合同条款。因此，无需采取任何措施来确保标准合同条款到位。我们的 DPA 也包含上述额外保障措施。

尽管 DPA 通过引用方式纳入，但我们也在客户仪表板中提供了我们的标准 DPA。当您处于仪表板中时，请前往“配置”选项卡，然后进入“首选项”，即可查看和接受 DPA。

我们的标准《Enterprise 订阅协议》（“ESA”） 通过引用纳入我们的标准 DPA。因此，这些客户无需采取任何措施。如果我们代表客户处理的个人数据受 GDPR 管辖，则我们的 DPA 也会纳入欧盟标准合同条款。我们的标准 DPA 也包含上述额外保障措施。

如果 Enterprise 客户在 2019 年 8 月 8 日或之后与 Cloudflare 签订 ESA，并且没有定制协议，则受我们标准 ESA 的约束。然而，如果 Enterprise 客户持有我们的旧版 ESA 或定制 ESA 或定制 DPA，则可能尚未落实 2021 年欧盟标准合同条款。我们将联系这些客户，确保他们采用最新的合同条款。这些客户可能同意使用客户仪表板中提供的标准 DPA，因为其中包含 2021 年欧盟标准条款和我们的额外安全保护措施。如果客户以前曾援引 Cloudflare 的欧盟-美国和瑞士-美国隐私保护盾认证，则还应同意使用我们在客户仪表板中提供的更新版 DPA。当您处于仪表板中时，请前往“配置”选项卡，然后进入“首选项”。请在该处查看并接受 DPA。

如果 Enterprise 客户对其 DPA 有任何疑问，可联系其 Customer Success 经理。

我们已将欧盟委员会于 2021 年 6 月 4 日发布的新 SCC 纳入所有受 GDPR 约束的新客户合同中。新的 SCC 包含 18 个月的缓冲期以允许实施，我们将在这段时间内为我们的当前客户实施新的 SCC。

我们一直密切关注英国自脱欧以来在数据保护方面进行的改革。Cloudflare 将继续利用纳入标准 DPA 中的欧盟 SCC 机制以及英国数据传输附录，在英国和 EEA 之外传输个人数据。请参阅我们的上述说明，确保您已应用相应的 DPA。我们将继续关注该领域不断发展的形势，并确保始终遵守英国和全球数据保护条例。