Cloudflare 與 GDPR
Cloudflare 身為一家公司,始終以打造更美好的網際網路環境為使命。我們相信,要達到這個使命,保護客戶與其使用者的資料安全,絕對是基本條件。
一般資料保護條例 (簡稱 GDPR) 是歐盟新厲行的隱私法,於 2018 年 5 月 25 日生效。GDPR 統合了整個歐盟的資料隱私法,規範公司收集、儲存、刪除、修改及以其他方式處理歐盟公民個人資料的方式。公司只要會處理歐盟公民個人資料,無論在歐盟是否有任何實體存在或是否有任何歐盟客戶,都必須遵守。
我們的承諾
Cloudflare 團隊可以信心滿滿地保證,我們已採取必要措施來確保自家政策、流程與步驟符合 GDPR 的要求。我們深知要遵守一套新的隱私法有多困難,所以我們提供了一套最尖端、立即符合 GDPR 規範的服務,幫助您遵守 GDPR 的規定。
經我們的法律與政策專家仔細分析 GDPR 的要求後,我們採取了各項因應措施,例如:更新隱私政策,以便更透明披露我們的資訊處理程序,以及更完整識別資料主體的存取權;對內採取無數措施,包括記錄資料流向與處理活動等等;確保我們與代表我們處理個人資訊的供應商簽訂了資料處理增補合約。不僅如此,我們歐盟與美國以及瑞士與美國之間的隱私護盾架構下一直保有認證 (請參閱 https://www.cloudflare.com/zh-tw/privacypolicy/)。
常見問題集
- 什麼是 GDPR?
一般資料保護規範 (GDPR) 是歐盟新厲行的法律,於 2018 年 5 月 25 日生效。其規範了公司收集、儲存、刪除、修改及以其他方式處理歐盟公民個人資料的方式。公司只要會處理歐盟公民個人資料,無論在歐盟是否有任何實體存在或是否有任何歐盟客戶,都必須遵守。公司如有任何廠商或供應商可能會處理歐盟公民的個人資料 (無論歐盟公民是位於世上哪一個角落),也必須讓這些廠商或供應商遵守這些義務。英國儘管脫歐,仍承諾會遵守 GDPR。
- GDPR 何時會成為法律?
GDPR 於 2018 年 5 月 25 日在整個歐盟生效。其乃條例 (而非命令),意即一到了該日期,其就會成為所有歐盟成員國的法律。英國儘管脫歐,仍承諾會遵守 GDPR。
- 我該如何展開 GDPR 合規性程序?
通知:檢閱您的供應商名單,並看看資料在您整個公司中的流向、您收集的個人資料類型,以及有權存取該等資料的人員是否有問題。如果 Cloudflare 是您其中一家供應商,而您已確定要與 Cloudflare 簽訂 DPA,可利用上文提供的連結連到我們符合 GDPR 規範的 DPA 來進行下載及簽名。
評估:在您公司內進行風險評估,並識別若要達到 GDPR 要求,有什麼該補的洞必須補掉。
規劃:與我們聯繫,瞭解我們的產品如何能幫忙滿足您的合規性需求,並且制定一套行動計畫。
採取行動:落實您的 GDPR 合規性計畫,使 GDPR 成為一套不會間斷的紀律。
- GDPR 對「個人資料」的定義是什麼?
首先要知道最重要的一點是,歐盟對「個人資料」的概念遠比美國的個人識別資料 (簡稱 PII) 廣泛得多。根據歐盟法律,所謂的個人資料是指任何與已識別或可識別的自然人 (也就是「資料主體」) 相關的資訊;所謂可識別的自然人,則是指可直接或間接被識別的人,更明確地說,就是只要指出姓名、識別編號、位置資料、線上識別項等識別項,或是指出自然人特有的外表、生理、遺傳、心理、經濟、文化或社會身分,就能識別出來的自然人。個人資料不一定要是機密或敏感性資料。
- 我算是資料控制者還是資料處理者?
Cloudflare 客戶是基於使用 Cloudflare 網頁最佳化與安全性服務的目的而提供個人資料給 Cloudflare,因此通常算是資料控制者。資料控制者決定了處理個人資料的目的與方式,而資料處理者則代表資料控制者來處理資料。Cloudflare 是基於向客戶提供服務的目的來代表客戶處理個人資料,因此算是資料處理者。
- Cloudflare 會處理什麼類型的資料?
我們一般只是個管道,負責傳送別人所控制的資訊;在我們的網路上要傳輸、路由傳送、交換及快取什麼內容 (例如影像、寫入內容、圖形等),都是由我們的客戶及其使用者控制。此外,我們可能會收集客戶網站的特定使用資訊,以及處理客戶所提交或指示我們代表其處理的資料。雖然會收到哪些資料並非由我們決定,但我們所收到的資料通常包括聯絡人資訊、IP 位址、安全性指紋、DNS 記錄檔資料,以及瀏覽器活動所衍生的網站效能資料。我們會基於向客戶提供服務的目的處理這類資料,並遵照包括 GDPR 在內的適用法律來處理這些資料。
