Cloudflare 與 GDPR 準則

Cloudflare 是總部位於美國的一家安全、效能與可靠性公司，為世界各地不同規模的企業提供廣泛的網路服務，以幫助這些企業加強安全性，提高業務關鍵應用程式的效能，並消除管理不同網路硬體的成本與複雜性。Cloudflare 的 Anycast 網路由遍佈全球的 200 多個邊緣伺服器提供支援 (如此處所述)，這個網路奠定了堅實的基礎，讓我們能夠快速為客戶開發和部署產品。

Cloudflare 無法存取或控制客戶選擇透過 Cloudflare Anycast 網路傳輸、路由傳送、交換和快取的資料。在有限的情況下，Cloudflare 產品可用於儲存內容。但是，無論使用哪種 Cloudflare 服務，對於客戶選擇透過 Cloudflare Anycast 網路傳輸、路由、交換、快取或儲存的資料，客戶均承擔自行遵守適用法律和獨立合約安排的全部責任。

Cloudflare 代表客戶處理的個人資料的類型取決於所實施的 Cloudflare 服務。Cloudflare 網路上傳輸的絕大部份資料都保留在 Cloudflare 的 Edge 伺服器上，而與此活動相關的中繼資料在我們位於美國的主要資料中心中代表客戶處理。

Cloudflare 維護有關我們網路上事件的記錄資料。其中一些記錄資料將包含有關客戶網域、網路、網站、應用程式開發介面 (API) 或應用程式 (包括可能適用的 Cloudflare 產品 Cloudflare for Teams) 的訪客和/或授權使用者的資訊。這類中繼資料包含極其有限的個人資料，其形式通常是 IP 位址。我們於有限時間內在位於美國的主要資料中心代表客戶處理這類資訊。

Cloudflare 將安全性視為確保資料隱私的一個關鍵要素。自 2010 年 Cloudflare 成立以來，我們已經發佈了許多先進的隱私增強技術，這些技術通常在業界處於領先地位。除了其他功能外，客戶可以藉由這些工具輕鬆使用 Universal SSL 來加密通訊內容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 來加密通訊中的中繼資料，並且控制存放其 SSL 金鑰的位置和檢查其流量的位置。

Cloudflare 依據產業標準維護一項安全計畫，其包括維護正式的安全性原則和程序，設立妥當的邏輯和實體存取控制，並在公司和生產環境中實施技術保護措施，例如建立安全設定、安全傳輸和連線，留存記錄，進行監控，以及為個人資料提供適當的加密技術等。

我們目前維護以下驗證：ISO 27001、SOC 2 Type II 和 PCI DSS Level 1 合規性。我們也維護 SOC 3 報告。您可以從這裡進一步瞭解我們的認證。

要檢視 Cloudflare 為保護個人資料 (包括從歐盟 (EU) 傳輸到美國的個人資料) 而實施的安全舉措，請參閱我們標準 DPA 的附件 2。

GDPR 提供了諸多法律機制，確保將個人資料從歐洲經濟區 (EEA) 傳輸至第三國 (超出 GDPR 適用範圍內或認定為已制定適當資料保護法律的國家或地區) 的歐洲資料主體獲得適當的保障。

這些機制包括：

• 歐盟委員會在評估第三國的法治、對人權和基本自由的尊重及諸多其他因素後，決定該第三國確保提供了妥善的保護；

• 資料控制者或處理者制定了具有約束力的公司規則；

• 資料控制者或處理者制定了歐盟委員會所採用的標準資料保護條款；或者

• 資料控制者或處理者制定了核准的行為準則或核准的認證機制。

Cloudflare 援引標準合約條款 (SCC) 作為將個人資料從 EEA 傳輸至美國的法律機制。在過去，Cloudflare 也曾援引授予「隱私護盾」(Privacy Shield) 的充分性決定。但是，歐盟法院 (CJEU) 在 2020年 7 月的 Schrems II 案 (案例 C-311/18，資料保護專員訴 Facebook Ireland 和 Maximillian Schrems) 中廢止了「歐盟美國隱私護盾」協定。「隱私護盾」的廢止並不會改變 Cloudflare 為我們代表客戶處理的個人資料所提供的強大資料隱私保護，並且我們將繼續遵循我們根據「隱私護盾」認證時所承諾的資料保護原則。

我們相信贏得和維繫客戶信任至關重要，所以在 Schrems II 案發生之前，Cloudflare 便已實施了資料保護措施。2014 年，我們針對 2013 年收到的法律程序發表了我們的第一份透明度報告，並且許下了承諾，除了緊急情況以外，在向任何政府實體提供任何客戶資料前，我們將首先需要進行法律程序，並且每當有法律程序索取客戶的客戶或帳單資訊時，我們會在披露這些資訊前通知我們的客戶，除非受到法律禁止。我們公開表示，我們從未將加密金鑰交給任何政府機構，未曾向任何政府機構提供透過我們網路傳輸的內容，而且也沒有在我們網路上部署執法設備。我們還承諾，如果我們被要求做任何這些事情，我們將「用盡一切法律救濟來保護我們的客戶，以對抗我們認為非法或違憲的請求」。從 Cloudflare 發展歷史的早期開始，我們每年重申這些承諾兩次，甚至在我們的透明度報告中予以詳細闡述。

我們還展示了對公開透明的信念，而且也承諾在必要時透過提起訴訟來保護客戶。2013 年，在電子前沿基金會 (Electronic Frontier Foundation) 的幫助下，我們為保護客戶權利在法律上挑戰了當局發佈的美國國家安全信函 (NSL) (因為其中含有允許政府限制我們向受影響客戶披露 NSL 相關資訊的規定)。Cloudflare 未曾出於回應這一請求而提供任何客戶資訊，但保密規定一直保持效力，直至法院於 2016 年解除相關限制為止。

最近，在 2020 年 1 月發表的隱私日部落格文章中，我們聲明了自己的立場，即任何政府索取個人資料若與個人居住國的隱私法相衝突都應受到法律挑戰。歐洲資料保護委員會 (EDPB) 在去年發佈的一份評估中承認 GDPR 可能會形成這樣的衝突。我們遵守 GDPR 的承諾意味著，Cloudflare 在回應美國政府資料請求時，會在產生被確定為受 GDPR 約束的資料之前尋求法律救濟。與現有的美國判例法和法定框架一致，Cloudflare 可能會基於這樣的法律衝突請美國法院駁回美國當局的個人資料請求。

我們為客戶更新了標準資料處理增補合約 (DPA)，將其他保護措施納入到合約承諾之中。您可以在我們 DPA 的第 7 節中查閱這些合約承諾。

We believe that U.S. government requests for the personal data of a non-U.S. person that conflict with the privacy laws of that person’s country of residence (such as the GDPR in the EU) should be legally challenged.

The CLOUD Act does not expand U.S. investigative authority. Tough requirements for law enforcement to obtain a valid warrant remain unchanged. The CLOUD Act also applies to access to content, which we generally do not store, as described above. Furthermore, the CLOUD Act does not change existing practices when U.S. law enforcement seeks access to corporate data. It is important to note that law enforcement would typically seek to obtain data from the entity which has effective control of the data (i.e., our customers) rather than cloud providers.

Cloudflare 將繼續為資料受 GDPR 約束的客戶提供 SCC。我們正在密切關注這一領域以及替代傳輸機制方面的發展。

據我們瞭解，考慮到 Schrems II 案，客戶正在尋求其他保障，以確保受 GDPR 約束並傳輸至美國的資料得到 GDPR 的充分保護。上文中已探討了這些額外保護措施。

由於 CJEU 在對 Schrems II 案的分析中考慮了許多美國國家安全權力，因此我們已經發現了有關將這些權力運用於美國資料處理者的一些問題。為說明這些權力與資料傳輸是否相關或如何相關，需要對 CJEU 援引的權力進行一些額外解釋。

第 702 條。「外國情報監視法」(FISA) 第 702 條授權美國政府要求獲取美國境外非美國籍人士的通訊內容以滿足外國情報需要。美國政府依據第 702 條使用與特定外國情報目標相關聯的特定「選擇器」(如電子郵寄地址) 來收集通訊內容。因為該權力通常被用來收集通訊內容，所以被要求遵守第 702 條的「電子通訊服務提供者」通常是電子郵件提供者或有權存取通訊內容的其他提供者。

如我們透明度報告中所述，Cloudflare 通常無法存取此類傳統的客戶內容。此外，Cloudflare 多年來一直公開承諾，我們從未向任何政府提供透過我們網路傳輸的客戶內容的提要，並且，如果我們被要求做任何這些事情，我們將用盡一切法律救濟來保護我們的客戶以對抗我們認為非法或違憲的請求。

第 12333 號行政命令。第 12333 號行政命令管轄美國情報機關針對美國境外非美國籍人士的外國情報。第 12333 號行政命令中沒有強制美國公司提供協助的規定。

Cloudflare 許下了長期承諾，除了緊急情況外，向任何政府實體提供任何客戶資料存取權限之前，需要先進行法律程序。因此，我們不會遵守第 12333 號行政命令中的自願性資料請求。此外，Cloudflare 一直帶頭宣導為傳輸中的資料（包括內容和中繼資料）提供額外安全性，以防止個人資料遭受任何形式的窺探。例如，我們於 2014 年推出了 Universal SSL，讓所有 Cloudflare 客戶都能免費使用曾經既昂貴又困難的加密技術。就在產品發佈的當週，我們使加密網路的規模擴大了一倍。由於越來越多的法律試圖將加密作為目標，我們甚至還承諾，我們從未應政府或其他第三方的要求而削弱、破壞或推翻任何加密技術。

Cloudflare已訂立了歐洲資料保護委員會（EDPB）在其指引草案（針對傳輸工具補充措施的 01/2020 號建議案，以確保2020年11月10日通過之歐盟個人資料保護等級之確實遵守）中所建議之許多額外防護措施，該指引草案到 2020 年12月21日為止，仍處諮商階段。

Cloudflare 對於前述的個人資料處理事宜，承諾會抱持公開透明及究責的態度，而且我們已更新了我們的 DPA ，讓我們的許多承諾內容具有契約拘束力。我們亦持續公布我們的透明度報告，您可以在這裡查看： https://www.cloudflare.com/en-gb/transparency/。最後但同樣重要的是，我們已落實了穩健的安全措施與加密協定，您可以在我們已更新的 DPA 附錄2中查看。Cloudflare 致力於為我們的歐洲顧客付出，而且我們期待在諮商期結束後，收到 EDPB 的最後指引。

我們不斷持續監控該方面的發展，並且會確保我們持續遵循歐盟 GDPR 第44條與第46條規定。在這期間，我們會持續遵守我們依既有 DPA 所為之承諾，以及我們依據當前SCC所為之承諾。

2020 年 10 月 5 日，我們更新了自助服務訂閱協議，以透過引用納入我們的更新版標準 DPA。並且，我們代表自助客戶處理的個人資料在受 GDPR 管轄的範圍內，那麼對於這些資料我們的 DPA 也納入了歐盟標準合約條款。因此，無需採取任何措施來確保標準合約條款落實到位。我們的更新版 DPA 也包含上述其他保護措施。

儘管 DPA 係以參酌方式納入，不過我們已在客戶儀表板上提供我們已更新的 DPA。當您在您的儀表板時，請前往「配置」標籤，然後選擇「偏好」。

2020 年 10 月 1 日，我們更新了企業訂閱協議 (ESA)，以透過引用納入我們的更新版標準 DPA。如果 Enterprise 客戶在 2019 年 8 月 8 日或之後與 Cloudflare 簽訂 ESA，並且沒有定制協議，則受我們標準 ESA 的約束。這些客戶無需採取任何措施，因為更新版 DPA 已透過引用納入到我們的 ESA 中；並且，如果我們代表客戶處理的個人資料在受 GDPR 管轄的範圍內，那麼我們的 DPA 也會納入歐盟標準合約條款。我們的更新版 DPA 也包含上述其他保護措施。您可從此處查閱我們的更新版 DPA。

企業客戶如使用我們的舊版 ESA 者，則可能已經與 Cloudflare 訂立了歐盟定型化契約條款。如果已訂立者，則不需要採取任何行動，不過亦可至客戶儀表板對已更新的 DPA 表示同意，因為 DPA 包含了我們的額外防護規定。客戶如先前仰賴 Cloudflare 的歐盟美國隱私權保護盾認證與瑞士美國隱私權保護盾認證者，應至客戶儀表板對已更新的 DPA 表示同意。當您在您的儀表板時，請前往「配置」標籤，然後選擇「偏好」。請到該處檢視並接受 DPA。

與 Cloudflare 訂有客製化契約之企業客戶，如對於其 DPA 有任何問題者，應聯絡其 Customer Success 經理。

我們正在仔細檢視歐盟執委會的全新定型化契約條款（SCC），而且我們期待在諮商期結束後會有一套經核准的SCC。一旦經核准後，全新的 SCC 會含有落日條款，給予一年的實施緩衝期，而我們會在這段期間內，為我們的客戶實施全新的SCC。

我們體認到，我們有些客戶希望把受 GDPR 規範的任何個人資料保留在歐盟，而不是傳輸到美國進行處理。為滿足這個需求，我們引進了 Data Localization Suite 幫助企業獲得 Cloudflare 全球網路的效能和安全性優勢，同時更輕鬆地針對其資料之保存與及保護地點，在邊緣設定規則和控制措施。

Data Localisation Suite 把既有產品與若干新功能放在一起搭售。

• Regional Services. Cloudflare 在 100 多個國家/地區的 200 多個城市設有資料中心。結合使用 Regional Services 和 Geo Key Manager 解決方案，客戶能夠選擇儲存 TLS 金鑰和 TLS 終止發生的資料中心位置。透過採用 L3/L4 DDoS 緩解措施於全球吸收流量，而安全性、效能和可靠性功能 (例如 WAF、CDN、DDoS 緩解措施等) 則僅在指定的 Cloudflare 資料中心提供。使用 Regional Services 時，某些中繼資料仍將傳輸到我們位於俄勒岡州波特蘭的核心資料中心。但是，這些記錄中收集的唯一個人資料是 IP 位址。

• Keyless SSL。 Keyless SSL 讓客戶可以儲存並管理其自身跟 Cloudflare 搭配使用的 SSL 私密金鑰。客戶可以使用好幾種系統作為其金鑰儲存處，包括硬體安全模組（即「HSM」）、虛擬伺服器、以及裝載於客戶控制的環境中且運行 Unix/Linux 及 Windows 的硬體。

• Geo key Manager。 Cloudflare 擁有真正的國際化客戶群，並且我們也瞭解到，世界各地的客戶對於私密金鑰的放置有不同的監管和法定要求以及不同的風險狀況。秉承這一理念，我們著手設計了一個非常靈活的系統來決定金鑰存放位置。Geo Key Manager 允許客戶限制為僅向特定位置公開其私密金鑰。這類似於無密鑰 SSL，但 Cloudflare 無需在您的基礎結構中執行金鑰伺服器，而是將金鑰伺服器託管到您選擇的位置。

• Edge Log Delivery。 客戶可以把日誌直接從邊緣寄送到其所選擇的夥伴，例如：其偏好地區的 Azure 儲存貯體，或是在本地資料中心運行的 Splunk中。選擇此選項，客戶仍舊可以取得其偏好地區的完整日誌，而且這些日誌不需要先經過我們的美國或歐盟資料中心。

• Workers Durable Objects 的司法轄區限制。Durable Objects 是一種無伺服器儲存與協調的技術，讓開發人員不需要基礎設施開銷就能管理狀態。司法轄區限制確保資料的處理與儲存符合當地法規，同時仍可避免開發人員進行任何基礎設施配置。此功能能協助開發團隊輕鬆建立自身符合規範的全球應用程式。

如我們的透明度報告所述，除非有緊急情況，否則 Cloudflare 需要經過有效的法律程式後，才會向政府實體或民事訴訟人提供客戶的個人資訊。我們不會基於未走法律程序的請求，將客戶的個人資訊提供給政府官員。

為確保我們的客戶有機會行使其權利，Cloudflare 的政策是，在披露資訊之前將索取客戶資訊的傳票或其他法律程式通知給我們的客戶，無論該法律程式來自於政府還是參與民事訴訟的私人當事人，除非法律禁止這樣做。具體來說，我們的 DPA 承諾，除非受到法律禁止，否則我們會在能夠確定索取我們代表客戶處理的個人資料的第三方法律程序引發法律衝突時 (例如當個人資料由 GDPR 管轄時)，我們會通知相關客戶。客戶收到有關其個人資料的未決法律請求的通知後，可以尋求干預來阻止披露其個人資料。

此外，美國法律為公司提供了相關的機制來挑戰可能構成法律衝突的命令，例如對受 GDPR 約束的資料的法律請求。例如，「澄清海外合法使用資料 (CLOUD) 法案」為提供者提供了一種機制，可以請法院駁回或修改構成此類法律衝突的法律請求。該程序還允許提供者向其公民受到影響的外國政府披露此類請求的存在，條件是該政府與美國簽署了 CLOUD 法案協議。Cloudflare 已承諾在法律上挑戰構成此類法律衝突的任何命令。迄今為止，我們還沒有收到我們認為構成此類衝突的命令。

我們持續密切留意英國脫歐相關的資料保護討論，以及脫歐在2021年1月1日生效的相關事宜，而且我們已採取相關步驟，確保我們對於英國把GDPR 納入其當地法規情況做好準備。Cloudflare 將持續運用 SCC 機制，把個人資料傳輸至英國及EEA以外之處，而該機制已納入我們的標準 DPA 中。請參閱我們的前述指示說明，確保您掌握適當的 DPA 內容。我們會不斷監控該方面的持續發展，並且會確保我們持續遵循英國與全球的資料保護法規。