Cloudflare 是一家總部位於美國且運營部門遍佈全球(包括日本辦事處)的網路安全、效能與可靠性公司,為世界各地不同規模的企業提供廣泛的網路服務。我們幫助客戶的網站及網際網路應用程式加強安全性,提高業務關鍵應用程式的效能,並消除管理不同網路硬體的成本與複雜性。Cloudflare 的全球網路由遍佈全球的 270 多個 Edge 伺服器提供支援(如這裡所述),這個網路奠定了堅實的基礎,讓我們能夠快速為客戶開發和部署產品。
Cloudflare 無法存取或控制客戶選擇透過我們的全球網路傳輸、路由傳送、交換和快取的資料。在有限的情況下,Cloudflare 產品可用於儲存內容。但是,無論使用哪種 Cloudflare 服務,對於客戶選擇 透過 Cloudflare 全球網路傳輸、路由、交換、快取或儲存的資料,客戶均承擔自行遵守適用法律和獨立合約安排的全部責任。
Cloudflare 代表客戶處理的個人資料的類型取決於所實施的 Cloudflare 服務。Cloudflare 網路上傳輸的絕大部份資料都保留在 Cloudflare 的 Edge 伺服器上,而與此活動相關的中繼資料在我們位於美國及歐洲的主要資料中心中代表客戶處理
Cloudflare 維護有關我們網路上事件的記錄資料。其中一些記錄資料將包含有關客戶網域、網路、網站、應用程式開發介面 (API) 或應用程式(包括可能適用的 Cloudflare 產品 Cloudflare Zero Trust)的訪客和/或授權使用者的資訊。這類中繼資料包含極其有限的個人資料,其形式通常是 IP 位址。我們於有限時間內在位於美國及歐洲的主要資料中心代表客戶處理這類資訊。
Cloudflare 將安全性視為確保資料隱私的一個關鍵要素 。自 2010 年 Cloudflare 成立以來,我們已經發佈了許多先進的隱私增強技術,這些技術通常在業界處於領先地位。除了其他功能外,客戶可以藉由這些工具輕鬆使用 Universal SSL 來加密通訊內容,利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 來加密通訊中的中繼資料,並且控制存放其 SSL 金鑰的位置和檢查其流量的位置。
Cloudflare 依據產業標準維護一項安全計畫。我們的安全計畫包括維護正式的網路安全政策和程序,設立妥當的邏輯和實體存取控制,並在公司和生產環境中實施技術保護措施,例如建立安全設定、安全傳輸和連線,留存記錄,進行監控,以及為個人資料提供適當的加密技術等。
所有 Cloudflare 員工均須接受隱私權及資訊安全入職訓練,之後還需每年接受一次再訓練。
我們目前維護以下驗證:ISO 27001、ISO 27701、SOC 2 Type II 和 PCI DSS Level 1 合規性。我們也維護 SOC 3 報告。您可以從這裡進一步瞭解我們的認證。
若要檢視 Cloudflare 為保護個人資料(包括從日本傳輸到美國的個人資料)而實施的安全舉措,請參閱我們的標準 DPA 的附件 2。
Cloudflare 的資料處理增補合約 (DPA) — 其涵蓋了代表客戶處理個人資料的責任,並以參考文獻的方式納入「企業服務合約」及自助服務訂閱協議 — 被視為一個標準,相當於根據 APPI 第 24 條實現跨境傳輸合法化。此外:
傳輸國家/地區:Cloudflare 在其全球網路上處理資料,並可將中繼資料儲存在美國及歐盟的資料中心。向美國的資料中心傳輸資料限於客戶區域的流量中繼資料,以在必要時提供多種安全服務。
安全措施:Cloudflare 的安全措施列在 DPA 的附件 2 中;
確認:Cloudflare 會定期驗證我們的安全措施,如我們維護的認證所示範,如上所述;
目的限制:我們僅根據客戶的指示來處理個人資料 — 我們不會出售、保留、使用或披露個人資料,以用於提供 Cloudflare 服務之外的任何用途,我們也不會分析、追蹤或使用客戶終端使用者資料,以用於行銷和廣告目的;
資料外洩:個人資料外洩發生後,Cloudflare 會立即通知受影響的客戶(如 DPA 中所定義),並針對該個人資料外洩為此類客戶提供合理的合作及協作。
轉承包方:我們的轉承包方包括我們的子公司,但中國子公司除外。中國子公司的員工無法存取全球客戶或網路的任何資料。
美國在國家層級沒有全面的隱私法。相反,美國採取了產業特定的方法來保護隱私及資料。例如,美 國在聯邦層級制定了法律,來控管個人健康資訊(「健康保險流通與責任法案」或 HIPAA)、由金融機構處理的資訊(「美國金融服務法案」或 GLBA)以及由教育機構處理的資訊(「家庭教育權和隱私權法案」或 FERPA)的隱私權。此外,美國聯邦貿易委員會 (FTC) 擁有執法權力來進行調查,並採取執法措施來保護消費者,使其免遭不公平及詐騙性貿易行為的侵害。FTC 的這一權力用來針對無法實施合理的資料安全措施,以及做出實質性不準確或誤導性隱私權及安全聲明(包括在隱私權政策中)的公司採取措施。
第 702 條。「外國情報監視法 (FISA)」第 702 條授權美國政府索取美國境外非美國籍人士的通訊內容以滿足外國情報需要。美國政府依據第 702 條使用與特定外國情報目標相關聯的特定「選擇器」(如電子郵寄地址)來收集通訊內容。因為該權力通常被用來收集通訊內容,所以被要求遵守第 702 條的「電子通訊服務提供者」通常是電子郵件提供者或有權存取通訊內容的其他提供者。
如我們的「透明度報告」中所述,Cloudflare 無法存取 Cloudflare 核心服務的此類傳統的客戶內容。此外,Cloudflare 多年來一直公開承諾,我們從未向任何政府提供透過我們網路傳輸的客戶內容的提要,並且,如果我們被要求做上述任何事情,我們將用盡一切法律救濟來保護我們的客戶,以免受到我們認為非法或違憲的請求。
第 12333 號行政命令。第 12333 號行政命令管轄美國情報機關針對美國境外非美國籍人士的外國情報。第 12333 號行政命令中沒有強制美國公司提供協助的規定。
Cloudflare 許下了長期承諾,除了緊急情況外,向任何政府實體提供任何客戶資料存取權之前,需要先進行法律程序。因此,我們不會遵守第 12333 號行政命令中的自願性資料請求。此外,Cloudflare 一直是相關運動的領導者,提倡為傳輸途中的資料 (包括內容和中繼資料) 提供額外網路安全,以防止個人資料遭受任何形式的窺探。例如,我們於 2014 年推出了 Universal SSL,讓所有 Cloudflare 客戶都能免費使用曾經既昂貴又困難的加密技術。就在產品發佈的當週,我們使加密網路的規模擴大了一倍。由於越來越多的法律試圖將加密作為目標,我們甚至還承諾,我們從未應政府或其他第三方的要求而削弱、破壞或推翻任何加密技術。
CLOUD 法案。「澄清海外合法使用資料 (CLOUD) 法案」並未擴大美國的調查權力。對執法部門獲取有效授權令的嚴格要求保持不變。「CLOUD 法案」也適用於存取我們通常不儲存的內容,如上所述。需要注意的是,執法部門通常會尋求從能夠有效控制資料的實體(即我們的客戶)而不是雲端提供者那裡取得資料。
「CLOUD 法案」為提供者提供了一種機制,可以請法院駁回或修改構成此類法律衝突的法律請求。該程序還允許提供者向其公民受到影響的外國政府披露此類請求的存在,條件是該政府與美國簽署了 CLOUD 法案協議。Cloudflare 已承諾在法律上挑戰構成此類法律衝突的任何命令。迄今為止,我們還沒有收到我們認為構成此類衝突的命令。
最後,請記住,我們的 DPA 承諾,除非法律禁止,否則我們會在能夠確定索取我們代表客戶處理的個人資料的第三方法律程序引發法律衝突時,通知相關客戶。客戶收到有關其個人資料的未決法律請求的通知後,可以尋求干預來阻止披露其個人資料。
我們相信贏得和維 繫客戶信任至關重要,所以在 2022 年 APPI 修訂之前,Cloudflare 便已實施了資料保護措施。2014 年,我們針對 2013 年收到的法律程序發表我們的第一份透明度報告,並且許下承諾,除了緊急情況以外,在向任何政府實體提供任何客戶資料前,我們將首先需要進行法律程序,並且每當有法律程序索取客戶的客戶或帳單資訊時,我們會在披露這些資訊前通知我們的客戶,除非受到法律禁止。我們公開表示,我們從未將加密金鑰交給任何政府機構,未曾向任何政府機構提供透過我們網路傳輸的內容的提要,而且也沒有在我們網路上部署執法設備。我們還承諾,如果我們被要求做上述任何事情,我們將「用盡一切法律救濟來保護我們的客戶,以免受到我們認為非法或違憲的請求」。從 Cloudflare 發展歷史的早期開始,我們每年重申這些承諾兩次,甚至在我們的透明度報告中予以詳細闡述。
我們還展示了對公開透明的信念,而且也承諾在必要時透過提起訴訟來保護客戶。2013 年,在電子前沿基金會 (Electronic Frontier Foundation) 的幫助下,我們為保護客戶權利在法律上挑戰了當局發佈的美國國家安全信函 (NSL) (因為其中含有允許政府限制我們向受影響客戶披露 NSL 相關資訊的規定)。Cloudflare 未曾出於回應這一請求而提供任何客戶資訊,但保密規定一直保持效力,直至法院於 2016 年解除相關限制為止。
我們頻繁地聲明自己的立場,即任何政府索取個人資料若與個人居住國的隱私法相衝突都應受到法律挑戰。(例如,請參閱我們有關政府索取資料的透明度報告以及白皮書 Cloudflare 關於資料隱私權和執法機關要求的政策。)與現有的美國判例法和法定框架一致,Cloudflare 可能會基於這樣的法律衝突請美國法院駁回美國當局的個人資料請求。
我們為客戶更新了標準 DPA,現在額外納入了上述補充措施及保護措施作為合約承諾。您可以在我們的 DPA 的第 7 節中查閱這些合約承諾。