Cloudflare 承諾遵守 GDPR

Cloudflare 是總部位於美國的一家安全、效能與可靠性公司，為世界各地不同規模的企業提供廣泛的網路服務，以幫助這些企業加強安全性，提高業務關鍵應用程式的效能，並消除管理不同網路硬體的成本與複雜性。Cloudflare 的 Anycast 網路由遍佈全球的 200 多個 Edge 伺服器提供支援 (如此處所述)，這個網路奠定了堅實的基礎，讓我們能夠快速為客戶開發和部署產品。

Cloudflare 無法存取或控制客戶選擇透過 Cloudflare Anycast 網路傳輸、路由傳送、交換和快取的資料。在有限的情況下，Cloudflare 產品可用於儲存內容。但是，無論使用哪種 Cloudflare 服務，對於客戶選擇透過 Cloudflare Anycast 網路傳輸、路由、交換、快取或儲存的資料，客戶均承擔自行遵守適用法律和獨立合約安排的全部責任。

Cloudflare 代表客戶處理的個人資料的類型取決於所實施的 Cloudflare 服務。Cloudflare 網路上傳輸的絕大部份資料都保留在 Cloudflare 的 Edge 伺服器上，而與此活動相關的中繼資料在我們位於美國的主要資料中心中代表客戶處理。

Cloudflare 維護有關我們網路上事件的記錄資料。其中一些記錄資料將包含有關客戶網域、網路、網站、應用程式開發介面 (API) 或應用程式 (包括可能適用的 Cloudflare 產品 Cloudflare for Teams) 的訪客和/或授權使用者的資訊。這類中繼資料包含極其有限的個人資料，其形式通常是 IP 位址。我們於有限時間內在位於美國的主要資料中心代表客戶處理這類資訊。

Cloudflare 將安全性視為確保資料隱私的一個關鍵要素。自 2010 年 Cloudflare 成立以來，我們已經發佈了許多先進的隱私增強技術，這些技術通常在業界處於領先地位。除了其他功能外，客戶可以藉由這些工具輕鬆使用 Universal SSL 來加密通訊內容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 來加密通訊中的中繼資料，並且控制存放其 SSL 金鑰的位置和檢查其流量的位置。

Cloudflare 依據產業標準維護一項安全計畫，其包括維護正式的安全性原則和程序，設立妥當的邏輯和實體存取控制，並在公司和生產環境中實施技術保護措施，例如建立安全設定、安全傳輸和連線，留存記錄，進行監控，以及為個人資料提供適當的加密技術等。

我們目前維護以下驗證：ISO 27001、SOC 2 Type II 和 PCI DSS Level 1 合規性。我們也維護 SOC 3 報告。您可以從這裡進一步瞭解我們的認證。

要檢視 Cloudflare 為保護個人資料 (包括從歐盟 (EU) 傳輸到美國的個人資料) 而實施的安全舉措，請參閱我們標準 DPA 的附件 2。

GDPR 提供了諸多法律機制，確保將個人資料從歐洲經濟區 (EEA) 傳輸至第三國 (超出 GDPR 適用範圍內或認定為已制定適當資料保護法律的國家或地區) 的歐洲資料主體獲得適當的保障。

這些機制包括：

• 歐盟委員會在評估第三國的法治、對人權和基本自由的尊重及諸多其他因素後，決定該第三國確保提供了妥善的保護；

• 資料控制者或處理者制定了具有約束力的公司規則；

• 資料控制者或處理者制定了歐盟委員會所採用的標準資料保護條款；或者

• 資料控制者或處理者制定了核准的行為準則或核准的認證機制。

Cloudflare 援引標準合約條款 (SCC) 作為將個人資料從 EEA 傳輸至美國的法律機制。在過去，Cloudflare 也曾援引授予「隱私護盾」(Privacy Shield) 的充分性決定。但是，歐盟法院 (CJEU) 在 2020年 7 月的 Schrems II 案 (案例 C-311/18，資料保護專員訴 Facebook Ireland 和 Maximillian Schrems) 中廢止了「歐盟美國隱私護盾」協定。「隱私護盾」的廢止並不會改變 Cloudflare 為我們代表客戶處理的個人資料所提供的強大資料隱私保護，並且我們將繼續遵循我們根據「隱私護盾」認證時所承諾的資料保護原則。

我們相信贏得和維繫客戶信任至關重要，所以在 Schrems II 案發生之前，Cloudflare 便已實施了資料保護措施。2014 年，我們針對 2013 年收到的法律程序發表了我們的第一份透明度報告，並且許下了承諾，除了緊急情況以外，在向任何政府實體提供任何客戶資料前，我們將首先需要進行法律程序，並且每當有法律程序索取客戶的客戶或帳單資訊時，我們會在披露這些資訊前通知我們的客戶，除非受到法律禁止。我們公開表示，我們從未將加密金鑰交給任何政府機構，未曾向任何政府機構提供透過我們網路傳輸的內容的提要，而且也沒有在我們網路上部署執法設備。我們還承諾，如果我們被要求做任何這些事情，我們將「用盡一切法律救濟來保護我們的客戶，以免受到我們認為非法或違憲的請求」。從 Cloudflare 發展歷史的早期開始，我們每年重申這些承諾兩次，甚至在我們的透明度報告中予以詳細闡述。

我們還展示了對公開透明的信念，而且也承諾在必要時透過提起訴訟來保護客戶。2013 年，在電子前沿基金會 (Electronic Frontier Foundation) 的幫助下，我們為保護客戶權利在法律上挑戰了當局發佈的美國國家安全信函 (NSL) (因為其中含有允許政府限制我們向受影響客戶披露 NSL 相關資訊的規定)。Cloudflare 未曾出於回應這一請求而提供任何客戶資訊，但保密規定一直保持效力，直至法院於 2016 年解除相關限制為止。

最近，在 2020 年 1 月發表的隱私日部落格文章中，我們聲明了自己的立場，即任何政府索取個人資料若與個人居住國的隱私法相衝突都應受到法律挑戰。歐洲資料保護委員會 (EDPB) 在去年發佈的一份評估中承認 GDPR 可能會形成這樣的衝突。我們遵守 GDPR 的承諾意味著，Cloudflare 在回應美國政府資料請求時，會在產生被確定為受 GDPR 約束的資料之前尋求法律救濟。與現有的美國判例法和法定框架一致，Cloudflare 可能會基於這樣的法律衝突請美國法院駁回美國當局的個人資料請求。

我們為客戶更新了標準資料處理增補合約 (DPA)，將其他保護措施納入到合約承諾之中。您可以在 DPA 的第 7 節中查閱這些合約承諾。

Cloudflare 將繼續為資料受 GDPR 約束的客戶提供 SCC。我們正在密切關注這一領域以及替代傳輸機制方面的發展。

據我們瞭解，考慮到 Schrems II 案，客戶正在尋求其他保障，以確保受 GDPR 約束並傳輸至美國的資料得到 GDPR 的充分保護。上文中已探討了這些額外保護措施。

由於 CJEU 在對 Schrems II 案的分析中考慮了許多美國國家安全權力，因此我們已經發現了有關將這些權力運用於美國資料處理者的一些問題。為說明這些權力與資料傳輸是否相關或如何相關，需要對 CJEU 援引的權力進行一些額外解釋。

第 702 條。「外國情報監視法」(FISA) 第 702 條授權美國政府要求獲取美國境外非美國籍人士的通訊內容以滿足外國情報需要。美國政府依據第 702 條使用與特定外國情報目標相關聯的特定「選擇器」(如電子郵寄地址) 來收集通訊內容。因為該權力通常被用來收集通訊內容，所以被要求遵守第 702 條的「電子通訊服務提供者」通常是電子郵件提供者或有權存取通訊內容的其他提供者。

如我們透明度報告中所述，Cloudflare 通常無法存取此類傳統的客戶內容。此外，Cloudflare 多年來一直公開承諾，我們從未向任何政府提供透過我們網路傳輸的客戶內容的提要，並且，如果我們被要求做任何這些事情，我們將用盡一切法律救濟來保護我們的客戶以免受到我們認為非法或違憲的請求。

第 12333 號行政命令。第 12333 號行政命令管轄美國情報機關針對美國境外非美國籍人士的外國情報。第 12333 號行政命令中沒有強制美國公司提供協助的規定。

Cloudflare 許下了長期承諾，除了緊急情況外，向任何政府實體提供任何客戶資料存取權限之前，需要先進行法律程序。因此，我們不會遵守第 12333 號行政命令中的自願性資料請求。此外，Cloudflare 一直是相關運動的領導者，提倡為傳輸途中的資料 (包括內容和中繼資料) 提供額外安全性，以防止個人資料遭受任何形式的窺探。例如，我們於 2014 年推出了 Universal SSL，讓所有 Cloudflare 客戶都能免費使用曾經既昂貴又困難的加密技術。就在產品發佈的當週，我們使加密網路的規模擴大了一倍。由於越來越多的法律試圖將加密作為目標，我們甚至還承諾，我們從未應政府或其他第三方的要求而削弱、破壞或推翻任何加密技術。

2020 年 10 月 5 日，我們更新了自助服務訂閱協議，以透過引用納入我們的更新版標準 DPA。並且，我們代表自助客戶處理的個人資料在受 GDPR 管轄的範圍內，那麼對於這些資料我們的 DPA 也納入了歐盟標準合約條款。因此，無需採取任何措施來確保標準合約條款落實到位。我們的更新版 DPA 也包含上述其他保護措施。

2020 年 10 月 1 日，我們更新了企業訂閱協議 (ESA)，以透過引用納入我們的更新版標準 DPA。如果 Enterprise 客戶在 2019 年 8 月 8 日或之後與 Cloudflare 簽訂 ESA，並且沒有定制協議，則受我們標準 ESA 的約束。這些客戶無需採取任何措施，因為更新版 DPA 已透過引用納入到我們的 ESA 中；並且，如果我們代表客戶處理的個人資料在受 GDPR 管轄的範圍內，那麼我們的 DPA 也會納入歐盟標準合約條款。我們的更新版 DPA 也包含上述其他保護措施。您可從此處查閱我們的更新版 DPA。

如果 Enterprise 客戶持有舊版 ESA 或與 Cloudflare 簽署了定制 DPA，則可能已經與 Cloudflare 落實了歐盟標準合約條款。若是如此，則無需採取任何措施。如果客戶以前援引 Cloudflare 的歐盟美國和瑞士美國隱私護盾認證，應連絡其 Customer Success 經理或 eu.dpa@cloudflare.com，以履行納入了標準合約條款的 DPA。如有其他疑問，我們鼓勵 Enterprise 客戶與其 Customer Success 經理連絡。

我們意識到，某些客戶希望將受 GDPR 約束的任何個人資料保留在歐盟，而不是傳輸到美國進行處理。為此，我們提供了解決方案來幫助客戶在地理位置和其他方面限制對個人資料的存取：

• Regional Services。Cloudflare 在 100 多個國家/地區的 200 多個城市設有資料中心。結合使用 Regional Services 和 Geo Key Manager 解決方案，客戶能夠選擇儲存 TLS 金鑰並進行 TLS 終止的資料中心位置。透過採用 L3/L4 DDoS 緩解措施於全球吸收流量，而安全性、效能和可靠性功能 (例如 WAF、CDN、DDoS 緩解措施等) 則僅在指定的 Cloudflare 資料中心提供服務。使用 Regional Services 時，某些中繼資料仍將傳輸到我們位於俄勒岡州波特蘭的核心資料中心。但是，這些記錄中收集的唯一個人資料是 IP 位址。

• Geo key Manager。Cloudflare 擁有真正的國際化客戶群，並且我們也瞭解到，世界各地的客戶對於私密金鑰的放置有不同的法規和法定要求以及不同的風險預測。秉承這一理念，我們著手設計了一個非常靈活的系統來決定金鑰存放位置。Geo Key Manager 允許客戶限制為僅向特定位置公開其私密金鑰。這類似於無密鑰 SSL，但 Cloudflare 無需在您的基礎結構中執行金鑰伺服器，而是將金鑰伺服器託管到您選擇的位置。

• Cloudflare Access。Cloudflare 知道遠距工作使員工可以靈活地在不同的地區或國家辦公。然而，這樣的分散性可能會帶來合規性挑戰。根據客戶營運或需要營運的位置，他們可以使用 Cloudflare Access 在其身分識別提供者工作流程基礎上設置特定於國家/地區的規則。

• Workers。Cloudflare Workers 可以基於用戶端位置或 IP 位址實施自訂來源獲取策略。這樣，將請求從特定國家/地區導向到特定來源會變得容易。由於 Workers 執行時允許您在 Cloudflare 的邊緣執行自己的程式碼，因此這可以在每個請求可自訂的基礎上，支援任何策略。

如我們的透明度報告所述，除非有緊急情況，否則 Cloudflare 需要進行有效的法律程序後，才會向政府實體或民事訴訟人提供客戶的個人資訊。我們不會基於未走法律程序的請求，將客戶的個人資訊提供給政府官員。

為確保我們的客戶有機會行使其權利，Cloudflare 的政策是在披露資訊之前，向我們的客戶通知索取客戶資訊的傳票或其他法律程序，無論該法律程序來自於政府還是參與民事訴訟的私人當事人，除非受到法律禁止。具體來說，我們的 DPA 承諾，除非受到法律禁止，否則我們會在能夠確定索取我們代表客戶處理的個人資料的第三方法律程序引發法律衝突時 (例如當個人資料由 GDPR 管轄時)，我們會通知相關客戶。客戶收到有關其個人資料的未決法律請求的通知後，可以尋求干預來阻止披露其個人資料。

此外，美國法律為公司提供了相關的機制來挑戰可能構成法律衝突的命令，例如對受 GDPR 約束的資料的法律請求。例如，「澄清海外合法使用資料 (CLOUD) 法案」為提供者提供了一種機制，可以請法院駁回或修改構成此類法律衝突的法律請求。該程序還允許提供者向其公民受到影響的外國政府披露此類請求的存在，條件是該政府與美國簽署了 CLOUD 法案協議。Cloudflare 已承諾在法律上挑戰構成此類法律衝突的任何命令。迄今為止，我們還沒有收到我們認為構成此類衝突的命令。