Cloudflare 與 GDPR 準則

Cloudflare 是一家網路安全、效能與可靠性公司，總部位於美國，營運範圍遍佈全球（其中包括五個歐洲辦事處），為世界各地各種規模的企業提供廣泛的網路服務。我們幫助客戶加強網站與網際網路應用程式的安全性，提高其業務關鍵應用程式的效能，並消除管理個別不同網路硬體的成本與複雜性。Cloudflare 的全球網路 由遍佈全球 200 多個邊緣伺服器提供支援（如這裡所述），該網路奠定了堅實的基礎，讓我們能夠快速為客戶開發並部署產品。

Cloudflare 無法存取或控制客戶選擇透過我們的全球網路傳輸、路由傳送、交換和快取的資料。在有限的情況下，Cloudflare 產品可用於儲存內容。但是，無論使用哪種 Cloudflare 服務，對於客戶選擇透過 Cloudflare 全球網路傳輸、路由、交換、快取或儲存的資料，客戶均承擔自行遵守適用法律和獨立合約安排的全部責任。

Cloudflare 代表客戶處理的個人資料的類型取決於所實施的 Cloudflare 服務。Cloudflare 網路上傳輸的絕大部份資料都保留在 Cloudflare 的 Edge 伺服器上，而與此活動相關的中繼資料在我們位於美國及歐洲的主要資料中心中代表客戶處理。

Cloudflare 維護有關我們網路上事件的記錄資料。其中一些記錄資料將包含有關客戶網域、網路、網站、應用程式開發介面 (API) 或應用程式（包括可能適用的 Cloudflare 產品 Cloudflare Zero Trust）的訪客和/或授權使用者的資訊。這類中繼資料包含極其有限的個人資料，其形式通常是 IP 位址。我們於有限時間內在位於美國及歐洲的主要資料中心代表客戶處理這類資訊。

Cloudflare 將安全性視為確保資料隱私的一個關鍵要素。自 2010 年 Cloudflare 成立以來，我們已經發佈了許多先進的隱私增強技術，這些技術通常在業界處於領先地位。除了其他功能外，客戶可以藉由這些工具輕鬆使用 Universal SSL 來加密通訊內容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 來加密通訊中的中繼資料，並且控制存放其 SSL 金鑰的位置和檢查其流量的位置。

Cloudflare 所維護的安全計畫超過了產業標準。我們的安全計畫包括維護正式的網路安全政策和程序，設立妥當的邏輯和實體存取控制，並在公司和生產環境中實施技術保護措施，例如建立安全設定、安全傳輸和連線，留存記錄，進行監控，以及為個人資料提供適當的加密技術等。

我們目前保有以下驗證：ISO 27001、ISO 27701、ISO 27018、 SOC 2 Type II 及 PCI DSS Level 1 合規性。您可以在這裡進一步瞭解我們的認證及報告。

欲檢視 Cloudflare 為保護個人資料（包括從歐洲經濟區傳輸至美國的個人資料） 而提供的安全措施，請參閱我們標準 DPA 的附件 2。

歐盟的一般資料保護規則（簡稱「GDPR」） 提供了諸多法律機制，針對歐洲資料主體的個人資料自歐洲經濟區（EEA）傳輸至第三國（不屬於 GDPR 涵蓋範圍或被視為已具備妥善資料保護法律的國家）的情況，確保該資料主體能獲得適當的防護措施、可執行的權利、以及有效的法律救濟方式。

這些機制包括：

• 歐盟委員會在評估第三國的法治、對人權和基本自由的尊重及諸多其他因素後，決定該第三國確保提供了妥善的保護；

• 資料控制者或處理者制定了具有約束力的公司規則；

• 資料控制者或處理者制定了歐盟委員會所採用的標準資料保護條款；或者

• 資料控制者或處理者制定了核准的行為準則或核准的認證機制。

Cloudflare 援引歐洲執委會的制式化契約條款（簡稱「SCC」）加上相關補充措施， 作為把個人資料自 EEA 傳輸至美國的法律機制。Cloudflare 過去亦曾援引隱私權保護盾（Privacy Shield）所取得之適足性認定。但歐盟法院（CJEU）在 2020年 7 月的 Schrems II 案（編號 C-311/18 資料保護官訴 Facebook Ireland 與 Maximillian Schrems 案件） 中廢止了歐盟美國隱私權保護盾協定。「隱私護盾」的廢止並不會改變 Cloudflare 為我們代表客戶處理的個人資料所提供的強大資料隱私保護，並且我們將繼續遵循我們根據「隱私護盾」認證時所承諾的資料保護原則。

歐洲執委會與美國商務部在 2022 年 3 月建立了全新的跨太西洋資料隱私權框架（Trans-Atlantic Data Privacy Framework），針對自 EEA 傳輸資料到美國的相關事宜進行規範。我們會密切注意相關進度，並且會在有更多相關實施細節時，判斷我們是否會援引該框架以及援引的方式。

In October 2022, U.S. President Biden signed Executive Order 14086 (“EO14086”), which introduced new safeguards for U.S. signals intelligence activities in order to make the EU-U.S. Data Privacy Framework possible. Based on the protections afforded by EO14086, the European Commission made an adequacy finding for the EU-U.S. DPF. Importantly, these protections apply equally to all transfers – those made pursuant to one of the DPFs or those made under the EU Standard Contractual Clauses (see the EDPB’s “Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023”).

The protections introduced by EO14086 include safeguards to ensure that privacy and civil liberties are integral considerations such that (i) signals intelligence activities shall be conducted only where “necessary” to advance a validated intelligence priority, and (ii) be conducted only to the extent and in a manner that is “proportionate” to the validated intelligence priority. EO14086 also provides a multi-layer redress mechanism for individuals to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was processed in a way that violates their privacy rights.

我們相信贏得和維繫客戶信任至關重要，所以在 Schrems II 案發生之前，Cloudflare 便已實施了資料保護措施。2014 年，我們針對 2013 年收到的法律程序發表了我們的第一份透明度報告，並且許下了承諾，除了緊急情況以外，在向任何政府實體提供任何客戶資料前，我們將首先需要進行法律程序，並且每當有法律程序索取客戶的客戶或帳單資訊時，我們會在披露這些資訊前通知我們的客戶，除非受到法律禁止。我們公開表示，我們從未將加密金鑰交給任何政府機構，未曾向任何政府機構提供透過我們網路傳輸的內容的提要，而且也沒有在我們網路上部署執法設備。我們還承諾，如果我們被要求做任何這些事情，我們將「用盡一切法律救濟來保護我們的客戶，以免受到我們認為非法或違憲的請求」。從 Cloudflare 發展歷史的早期開始，我們每年重申這些承諾兩次，甚至在我們的透明度報告中予以詳細闡述。

我們還展示了對公開透明的信念，而且也承諾在必要時透過提起訴訟來保護客戶。2013 年，在電子前沿基金會 (Electronic Frontier Foundation) 的幫助下，我們為保護客戶權利在法律上挑戰了當局發佈的美國國家安全信函 (NSL)（因為其中含有允許政府限制我們向受影響客戶披露 NSL 相關資訊的規定）。Cloudflare 未曾出於回應這一請求而提供任何客戶資訊，但保密規定一直保持效力，直至法院於 2016 年解除相關限制為止。

我們認為政府索取個人資料的請求，如與個人居住國的隱私權法律相互衝突者，應該在法律上受到異議，而這就是我們經常表明的立場。（例如，請參閱我們的透明度報告及白皮書、 Cloudflare 的資料隱私權與執法機關要求相關政策，其中針對政府索取資料請求相關部分。）EDPB 承認，在進行此項評估時，GDPR 可能會造成該等法律衝突情事。我們遵守 GDPR 的承諾意味著，Cloudflare 在回應美國政府的資料請求時，會在提供被列為受 GDPR 規範的資料前，先尋求法律救濟方式。在符合現有美國判例法與法定框架的情況下，Cloudflare 可能會基於該法律衝突情事，訴請美國法院駁回美國主管機關所提出的索取個人資料請求。

我們為客戶更新了我們的標準資料處理增補合約（簡稱「DPA」），目前已額外納入前述補充措施與防護措施作為契約承諾。您可以在我們的 DPA 的第 7 節中查閱該等契約承諾。

我們認為，美國政府索取非美國人民的個人資料，若與該個人居住國的隱私法相衝突（例如歐盟的《GDPR》），就應受到法律挑戰。

《CLOUD》法案並未擴大美國的調查權力。對執法部門獲取有效授權令的嚴格要求保持不變。《CLOUD》法案也適用於存取我們通常不儲存的內容，如上所述。此外，《CLOUD》法案也不會改變美國執法部門尋求取得企業資料的現有做法。需要注意的是，執法部門通常會尋求從能夠有效控制資料的實體（即我們的客戶）取得資料，而不是向雲端提供者取得。

Cloudflare 會持續為資料受 GDPR 規範的客戶提供 SCC 加上補充措施。我們會密切注意這方面的進度以及替代傳輸機制的相關發展。

據我們瞭解，考慮到 Schrems II 案，客戶正在尋求其他保障，以確保受 GDPR 約束並傳輸至美國的資料得到 GDPR 的充分保護。上文中已探討了這些額外保護措施。

由於 CJEU 在對 Schrems II 案的分析中考慮了許多美國國家安全權力，因此我們已經發現了有關將這些權力運用於美國資料處理者的一些問題。為說明這些權力與資料傳輸是否相關或如何相關，需要對 CJEU 援引的權力進行一些額外解釋。

第 702 條。《外國情報監視法 (FISA)》第 702 條授權美國政府索取美國境外非美國籍人士的通訊內容以滿足外國情報需要。美國政府依據第 702 條使用與特定外國情報目標相關聯的特定「選擇器」（如電子郵寄地址）來收集通訊內容。因為該權力通常被用來收集通訊內容，所以被要求遵守第 702 條的「電子通訊服務提供者」通常是電子郵件提供者或有權存取通訊內容的其他提供者。

如我們的透明度報告中所述，Cloudflare 無法存取 Cloudflare 核心服務的此類傳統客戶內容。此外，Cloudflare 多年來一直公開承諾，我們從未向任何政府提供透過我們網路傳輸的客戶內容的摘要，並且，如果我們被要求做上述任何事情，我們將用盡一切法律救濟來保護我們的客戶，以免受到我們認為非法或違憲的請求。

第 12333 號行政命令。第 12333 號行政命令管轄美國情報機關針對美國境外非美國籍人士的外國情報。第 12333 號行政命令中沒有強制美國公司提供協助的規定。

Cloudflare 許下了長期承諾，除了緊急情況外，向任何政府實體提供任何客戶資料存取權限之前，需要先進行法律程序。因此，我們不會遵守第 12333 號行政命令中的自願性資料請求。此外，Cloudflare 一直是相關運動的領導者，提倡為傳輸途中的資料 (包括內容和中繼資料) 提供額外安全性，以防止個人資料遭受任何形式的窺探。例如，我們於 2014 年推出了 Universal SSL，讓所有 Cloudflare 客戶都能免費使用曾經既昂貴又困難的加密技術。就在產品發佈的當週，我們使加密網路的規模擴大了一倍。由於越來越多的法律試圖將加密作為目標，我們甚至還承諾，我們從未應政府或其他第三方的要求而削弱、破壞或推翻任何加密技術。

When Cloudflare transfers personal data from the EEA, Switzerland or the United Kingdom (“UK”) internationally, we rely on the EU Standard Contractual Clauses (“SCCs”), including supplementary measures as necessary, or, for transfers to the United States, we have also certified our compliance with the EU-U.S. Data Privacy Framework (“EU-U.S. DPF”), the Swiss-U.S. Data Privacy Framework (“Swiss-U.S. DPF”), and the UK Extension to the EU-U.S. DPF. These representations are contained in our standard DPA, which is incorporated by reference into our Self-Serve Subscription Agreement. To the extent the personal data transfer requires the SCCs, then our DPA incorporates the SCCs for this data. Therefore, no action is required to ensure that the appropriate cross-border data transfer mechanisms are in place.

我們的自助服務訂閱協議透過參酌方式，納入我們的標準 DPA。在我們代表自助客戶處理的個人資料係受到 GDPR 規範的情況下，我們的 DPA 亦針對該等資料，納入歐盟的制式化契約條款。因此，無需採取任何措施即可確保制式化契約條款的實施。我們的 DPA 亦包含前述的其他防護措施。

儘管 DPA 係以參酌方式納入，不過我們已在客戶儀表板上提供我們的標準 DPA。當您在儀表板時，請前往「配置」標籤，然後選擇「偏好」，以檢視並接受 DPA。

我們的標準企業訂閱協議（下稱「ESA」） 茲透過參酌方式，納入我們的標準 DPA，因此，客戶不需要採取任何行動。在我們代表客戶處理的個人資料屬於 GDPR 規範範圍的情況下，我們的 DPA 亦納入歐盟制式化契約條款。我們的標準 DPA 亦納入前述額外防護措施。

企業客戶如在 2019 年 8 月 8 日或之後跟 Cloudflare 簽訂 ESA，而且無客製協議者，就會受到我們標準 ESA 的規範拘束。不過企業客戶如持有舊版 ESA 或客製 ESA 或客製 DPA 者，可能不會具備 2021 年歐盟制式化契約條款。我們正在跟這些客戶進行聯繫，確保他們擁有最新的契約文字內容。這些客戶可以對客戶儀表板所提供的標準 DPA 表示同意，該 DPA 包含了 2021 年歐盟制式化契約條款以及我們的額外保護措施規定。客戶如先前仰賴 Cloudflare 的歐盟美國隱私權保護盾認證與瑞士美國隱私權保護盾認證者，亦應至客戶儀表板對已更新的 DPA 表示同意。當您在儀表板時，請前往「配置」標籤，然後選擇「偏好」。請在該處檢視並接受 DPA。

企業客戶如對 DPA 有任何問題，可以聯絡他們的 Customer Success 經理。

我們已經在所有受到 GDPR 規範的新客戶契約中，納入歐盟執委會在 2021 年 6 月 4 日發布的新版 SCC。新版 SCC 包含 18 個月實施緩衝期的落日條款，而我們會在這段時間內為我們的目前客戶實施新版 SCC。

我們一直密切留意英國在脫離歐盟後對資料保護相關領域所做的變動。Cloudflare 會持續運用歐盟 SCC 機制並搭配英國資料傳輸增補合約（該等機制已納入我們的標準 DPA 中），用以將個人資料傳輸至英國與歐洲經濟區境外。請參閱我們的前述指示說明，確保您掌握適當的 DPA 內容。我們會繼續監控該方面的持續進展，並確保我們持續遵循英國與全球的資料保護法規。