Cloudflare 將繼續為資料受 GDPR 約束的客戶提供 SCC。我們正在密切關注這一領域以及替代傳輸機制方面的發展。
據我們瞭解,考慮到 Schrems II 案,客戶正在尋求其他保障,以確保受 GDPR 約束並傳輸至美國的資料得到 GDPR 的充分保護。上文中已探討了這些額外保護措施。
由於 CJEU 在對 Schrems II 案的分析中考慮了許多美國國家安全權力,因 此我們已經發現了有關將這些權力運用於美國資料處理者的一些問題。為說明這些權力與資料傳輸是否相關或如何相關,需要對 CJEU 援引的權力進行一些額外解釋。
第 702 條。「外國情報監視法」(FISA) 第 702 條授權美國政府要求獲取美國境外非美國籍人士的通訊內容以滿足外國情報需要。美國政府依據第 702 條使用與特定外國情報目標相關聯的特定「選擇器」(如電子郵寄地址) 來收集通訊內容。因為該權力通常被用來收集通訊內容,所以被要求遵守第 702 條的「電子通訊服務提供者」通常是電子郵件提供者或有權存取通訊內容的其他提供者。
如我們透明度報告中所述,Cloudflare 通常無法存取此類傳統的客戶內容。此外,Cloudflare 多年來一直公開承諾,我們從未向任何政府提供透過我們網路傳輸的客戶內容的提要,並且,如果我們被要求做任何這些事情,我們將用盡一切法律救濟來保護我們的客戶以對抗我們認為非法或違憲的請求。
第 12333 號行政命令。第 12333 號行政命令管轄美國情報機關針對美國境外非美國籍人士的外國情報。第 12333 號行政命令中沒有強制美國公司提供協助的規定。
Cloudflare 許下了長期承諾,除了緊急情況外,向任何政府實體提供任何客戶資料存取權限之前,需要先進行法律程序。因此,我們不會遵守第 12333 號行政命令中的自願性資料請求。此外,Cloudflare 一直帶頭宣導為傳輸中的資料(包括內容和中繼資料)提供額外安全性,以防止個人資料遭受任何形式的窺探。例如,我們於 2014 年推出了 Universal SSL,讓所有 Cloudflare 客戶都能 免費使用曾經既昂貴又困難的加密技術。就在產品發佈的當週,我們使加密網路的規模擴大了一倍。由於越來越多的法律試圖將加密作為目標,我們甚至還承諾,我們從未應政府或其他第三方的要求而削弱、破壞或推翻任何加密技術。