Cloudflare 将继续为数据受 GDPR 约束的客户提供 SCC。我们正在密切关注这一领域以及替代传输机制方面的发展。
我们了解到,考虑到 Schrems II 案,客户正在寻求其他保障,以确保受 GDPR 约束并传输到美国的数据得到 GDPR 的充分保护。上文中已探讨了这些额外保护措施。
由于 CJEU 在对 Schrems II 案的分析中考虑了许多美国国家安全权力,因此我们已经发现了有关将这些权力应用于美国数据处理者的一些问题。为说明这些权力与数据传输是否相关或如何相关,需要对 CJEU 援引的权力进行一些额外解释。
第 702 条。《外国情报监视法》(FISA)第 702 条授权美国政府要求获取美国境外非美国籍人士的通信内容以满足外国情报需要。美国政府依据第 702 条使用与特定外国情报目标相关联的特定“选择器”(如电子邮件地址)来收集通信内容。因为该权力通常被用来收集通信内容,所以被要求遵守第 702 条的“电子通信服务提供商”通常是电子邮件提供商或有权访问通信内容的其他提供商。
如我们透明度报告中所述,Cloudflare 通常无法访问此类传统的客户内容。此外,Cloudflare 多年来一直公开承诺,我们从未向任何政府提供通过我们网络传输的客户内容,并且,如果我们被要求这样做,我们将用尽一切法律救济手段来保护我们的客户,对抗这些我们认为是非法或违宪的请求。
第 12333 号行政令。第 12333 号行政令管辖美国情报机关针对美国境外非美国籍人士的外国情报收集。第 12333 号行政令中没有强制美国公司提供协助的规定。
Cloudflare 长期承诺,除紧急情况外,向任何政府实体提供任何客户数据访问权限前需要先走法 律程序。因此,我们不会遵守第 12333 号行政令中的自愿性数据请求。此外,Cloudflare 一直带头倡导为传输中的数据(包括内容和元数据)提供额外安全性,以防止个人数据遭受任何形式的窥探。例如,我们于 2014 年推出了 Universal SSL,让所有 Cloudflare 客户都能免费使用曾经既昂贵又困难的加密技术。就在产品发布的当周,我们使加密网络的规模扩大了一倍。由于越来越多的法律企图瞄准加密,我们甚至承诺,我们从未应政府或其他第三方的要求而削弱、破坏或推翻任何加密技术。