Cloudflare 与 GDPR 规范

Cloudflare 是一家提供安全、性能和可靠性服务的公司，总部位于美国，业务覆盖全球（包括在欧洲的五个办事处），为所有规模、所有地区的企业提供广泛的网络服务。我们帮助提高客户网站和互联网应用程序的安全性，增强其关键业务应用程序的性能，并消除管理个别网络硬件的成本和复杂性。Cloudflare 的全球网络由遍布全球的 300 多个城市的边缘服务器提供支持（参见此处），以此为基础，我们能够快速为客户开发和部署产品。

Cloudflare 代表客户处理的个人数据的类型取决于所实施的 Cloudflare 服务。对于我们最受欢迎的应用服务和网络服务，Cloudflare 不存储客户内容，也无法控制客户选择通过我们的全球网络传输、路由、切换和缓存的数据。在有限的情况下，Cloudflare 产品可用于存储内容。但是，无论使用哪种 Cloudflare 服务，对于客户选择通过 Cloudflare Anycast 网络传输、路由、交换、缓存或存储的数据，客户均承担自行遵守适用法律和其独立合同安排的全部责任。

对于应用和网络服务，Cloudflare 网络上传输的绝大部分数据都保留在 Cloudflare 的边缘服务器上。与这些活动相关的元数据由我们位于美国和欧洲的主要数据中心代表客户进行处理。

Cloudflare就我们网络上的事件维护日志数据。其中一些日志数据将包含有关客户的域、网络、网站、应用程序编程接口 (API) 或应用程序（包括可能适用的 Cloudflare 产品 Cloudflare Zero Trust）的访问者和/或授权用户的信息。这类元数据包含极其有限的个人数据，大部分情况下是 IP 地址的形式。我们在有限的时间内在位于美国和欧洲的主要数据中心代表客户处理这类信息。

Cloudflare 将安全性视为确保数据隐私的一个关键要素。自 2010 年 Cloudflare 成立以来，我们已经发布了许多先进的隐私增强技术，这些技术通常在业界处于领先地位。其中，客户可使用 Universal SSL 轻松加密通信内容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及 Oblivious HTTP 等新协议来加密或保护通信中的元数据；控制存放其 SSL 密钥或其流量进行检查的位置。

Cloudflare 维持超过行业标准的安全计划。该安全计划包括维护正式的安全策略和程序，设立妥当的逻辑和物理访问控制，并在公司和生产环境中实施技术保护措施，例如建立安全配置、安全传输和连接，记录日志，进行监控，以及为个人数据实施适当的加密技术。

我们目前维护以下认证：ISO 27001、ISO 27701、ISO 27018、SOC 2 Type II 和 PCI DSS Level 1 合规。我们还通过了《欧洲云行为准则》和德国《C5 2020》标准的认证。您可以在此处进一步了解我们的认证和报告。

要查看 Cloudflare 为保护个人数据（包括从欧洲经济区［“EEA“］传输到美国的个人数据）而实施的安全举措，请参阅我们标准 DPA 的附件 2。

欧盟《通用数据保护条例》（“GDPR”） 提供了诸多法律机制，确保将个人数据从 EEA 传输至第三国/地区（不在 GDPR 适用范围内或不被视为已制定充分数据保护法律的国家/地区）的欧洲数据主体获得适当的保障、可强制执行的权利和有效的法律救济。

这些机制包括：

• 欧盟委员会在评估第三国的法治、对人权和基本自由的尊重及诸多其他因素后，确定该第三国确保提供了妥善的保护；

• 数据控制者或处理者制定了具有约束力的公司规则；

• 数据控制者或处理者制定了欧盟委员会所采用的标准数据保护条款；或者

• 数据控制者或处理者制定了核准的行为准则或核准的认证机制。

当 Cloudflare 从欧洲经济区、瑞士或英国跨国传输个人数据时，我们依赖于欧盟标准合同条款(“SCC”)，包括必要的补充措施，或者，对于传输到美国的情况，我们也已证明我们遵守欧盟-美国数据隐私框架、瑞士-美国数据隐私框架以及欧盟-美国数据隐私框架的英国延伸。我们的标准数据处理附加协议(“DPA”)将继续采用欧盟 SCC，以确保我们有多个数据处理法律依据。

是的。当 Cloudflare 将个人数据从欧洲经济区、瑞士或英国传输到美国时，我们分别依赖于我们在欧盟-美国数据隐私框架、瑞士-美国数据隐私框架和欧盟-美国数据隐私框架英国延伸下的认证。如果这些认证过期或被失效，在向美国传输数据时，Cloudflare 将依赖于欧盟标准合同条款，包括必要的补充措施。对于从欧洲经济区、瑞士或英国进行的跨国数据传输，我们还使用标准合同条款。

2022 年 10 月，美国总统拜登签署了 14086 号行政命令 （“EO14086”），为美国信号情报活动引入了新的保护措施，旨在使“欧盟-美国数据隐私框架”成为可能。根据 EO14086 提供的保护措施，欧洲委员会对“欧盟-美国数据隐私框架”做出了足够性认定。重要的是，这些保护措施同样适用于所有的数据传输，无论是根据数据隐私框架之一进行的传输，还是根据欧盟标准合同条款进行的传输（请参阅 EDPB 的“关于在 2023 年 7 月 10 日足够性决定通过后根据 GDPR 向美国进行数据传输的信息说明”）。

EO14086 引入的保护措施包括确保隐私和公民自由作为重要考虑因素的安全措施，即 (i) 信号情报活动只能在推进经过验证的情报优先事项的“必要”情况下进行，以及 (ii) 只能按照与经过验证的情报优先事项“相称”的程度和方式进行。EO14086 还为个人提供了多层补救机制，以便通过美国信号情报收集的个人信息被以违反其隐私权的方式处理时，个人提出的申诉能得到独立和有约束力的审查和补救。

因为我们相信赢得和保持客户的信任是至关重要的，Cloudflare 在“Schrems II”案件（案件 C-311/18，数据保护专员诉 Facebook Ireland 和 Maximillian Schrems）之前很久就已经实施了数据保护措施，包括欧洲数据保护委员会在 Schrems II 案后发布的指导意见（01/2020 建议：关于补充传输工具以确保遵守 2021 年 6 月 18 日采用的欧盟个人数据保护水平的措施）中推荐的许多额外保障措施。

Cloudflare 对上述个人数据处理的透明度和问责制有着坚定的承诺，我们的 DPA 使其中许多承诺在合同上具有约束力。我们在 2014 年发布第一份透明度报告，披露了在 2013 年期间收到的法律程序，并在当时承诺，除紧急情况以外，向任何政府实体提供任何客户数据前均要求法律程序，并向收到任何法律程序索取客户或账单信息时，我们都会在披露这些信息前通知我们的客户，除非法律禁止这样做。我们公开表示，我们从未将加密密钥交给任何政府机构，未曾向任何政府机构提供通过我们网络传输的内容，也没有在我们网络上部署执法设备。我们还承诺，如果我们被要求做任何这些事情，我们将“用尽一切法律救济来保护我们的客户，以对抗我们认为非法或违宪的请求”。自成立以来，Cloudflare 每年两次在透明度报告中重申这些承诺，甚至对其进行扩展。

我们还展示了对公开透明的信念，以及我们在必要时通过提起诉讼来保护客户的承诺。2013 年，在电子前沿基金会（Electronic Frontier Foundation）的帮助下，我们为保护客户权利在法律上挑战了以行政方式签发的美国国家安全信函（NSL），因为其中的规定允许政府限制我们向受影响的客户披露有关 NSL 的信息。Cloudflare 未曾按照这一请求提供任何客户信息，但保密规定一直有效，直至法院于 2016 年解除相关限制为止。

我们经常表明这一立场：即任何政府对个人数据的要求如果与个人居住国/地区的隐私法律相冲突，就应该受到法律质疑。（例如，请查看我们的透明度报告和我们的白皮书：Cloudflare 有关数据隐私和政府执法机构数据要求的政策。）EDPB 在此项评估中承认 GDPR 可能会造成这种冲突。我们承诺遵守 GDPR 意味着，Cloudflare 在响应美国政府的数据请求时，会在生成被确定为受 GDPR 约束的数据之前寻求法律救济。按照现有美国判例法和法定框架，Cloudflare 可能会基于这样的法律冲突请求美国法院驳回美国当局的个人数据请求。

我们为客户提供的标准数据处理附录(“DPA”)包含上述补充措施和保障措施，作为合同承诺。您可以在 DPA 的第 7 节中查阅这些合同承诺。最后，同样重要的是，我们已部署了强大的安全措施和加密协议，详情请参阅我们 DPA 的附件 2。

除了 EO14086 提出的额外保障措施，我们将继续采取这些补充措施和保障措施。

与往常一样，我们将继续关注该领域的当前事态发展，并将确保始终遵守欧盟 GDPR 的 44 条与 46 条。在此期间，我们将继续履行当前 DPA 下的承诺，当前 SCC 下的承诺，以及我们在数据隐私框架认证下的承诺。

我们认为，如果美国政府有关获取非美国人的个人数据的要求与该个人居住国家的隐私法(如欧盟的GDPR)相冲突，则该等要求在法律上应该受到挑战。

CLOUD 法案没有扩大美国的调查权力。执法部门获得有效搜查令的严格要求没有改变。CLOUD 法案也适用于对我们上述通常不存储的内容的访问。此外，CLOUD 法案没有改变现有美国执法部门寻求访问企业数据时的做法。需要注意的是，执法部门通常会寻求从有效控制数据的实体（即我们的客户），而不是云提供商那里获取数据。如果执法部门要求 Cloudflare 提供此类数据，我们会鼓励他们向我们的客户而不是我们请求数据。

我们认为，对于 CJEU 在其有关“Schrems II”决定(案件 C-311/18，数据保护专员诉 Facebook Ireland 和 Maximillian Schrems)的分析中引用的美国国家安全机构，提供额外解释将会有所帮助。

第 702 条。《外国情报监视法》（FISA）第 702 条授权美国政府为外国情报目的而要求获取美国境外非美国籍人士的通信内容。美国政府利用第 702 条，通过特定的 “选择器”，如电子邮件地址，收集与特定外国情报目标有关的通信内容。因为该权力通常被用来收集通信内容，所以被要求遵守第 702 条的“电子通信服务提供商”通常是电子邮件提供商或有权访问通信内容的其他提供商。

正如我们在透明度报告中所述，Cloudflare 无法获得这类传统客户在 Cloudflare 核心服务中的内容。此外，Cloudflare 多年来一直公开承诺，我们从未向任何政府提供通过我们网络传输的客户内容，并且，如果我们被要求这样做，我们将穷尽一切法律救济措施，以保护我们的客户免予我们认为非法或违宪的要求。

第 12333 号行政令。第 12333 号行政令管辖美国情报机关针对美国境外非美国籍人士的外国情报收集。第 12333 号行政令中没有强制美国公司提供协助的规定。

Cloudflare 许下了长期承诺，在紧急情况之外向任何政府实体提供任何客户数据访问权限之前，需要先进行法律程序。因此，我们不会遵守第 12333 号行政令中的自愿性数据请求。此外，Cloudflare 一直是相关运动的领导者，倡导为传输途中的数据（包括内容和元数据）提供额外安全性，以防止个人数据遭受任何形式的窥探。例如，我们于 2014 年推出了 Universal SSL，让所有 Cloudflare 客户都能免费使用曾经既昂贵又困难的加密技术。就在产品发布的当周，我们使加密网络的规模扩大了一倍。由于越来越多的法律企图将加密作为目标，我们甚至还承诺，我们从未应政府或其他第三方的要求而削弱、破坏或推翻任何加密技术。

当 Cloudflare 从欧洲经济区、瑞士或英国跨国传输个人数据时，我们依赖于欧盟标准合同条款(“SCC”)，包括必要的补充措施，或者，对于传输到美国的情况，我们也已证明我们遵守欧盟-美国数据隐私框架、瑞士-美国数据隐私框架以及欧盟-美国数据隐私框架的英国延伸。这些陈述包含在我们的标准 DPA中，该协议已通过引用纳入我们的自助服务订阅协议中。在个人数据转移需要使用标准合同条款(SCC)的情况下，我们的数据处理协议(DPA)将为这些数据包含 SCC。因此，无需采取任何行动来确保适当的跨境数据传输机制就位。

当 Cloudflare 从欧洲经济区、瑞士或英国跨国传输个人数据时，我们依赖于欧盟标准合同条款(“SCC”)，包括必要的补充措施，或者，对于传输到美国的情况，我们也已证明我们遵守欧盟-美国数据隐私框架、瑞士-美国数据隐私框架以及欧盟-美国数据隐私框架的英国延伸。这些陈述包含在我们的标准 DPA中，该协议已通过引用纳入我们的自助服务订阅协议(“ESA”)中。因此，无需采取任何行动来确保适当的跨境数据传输机制就位。

如果 Enterprise 客户在 2019 年 8 月 8 日或之后与 Cloudflare 签订 ESA，并且没有定制协议，则受我们标准 ESA 的约束。对于使用较早版本 ESA 或定制 ESA 或 DPA 的 Enterprise 客户，跨境数据传输机制可能未纳入文档中。这些客户或其他对其 DPA 有疑问的 Enterprise 客户可以联系他们的 Customer Success 经理。

我们认识到，我们的一些客户希望受 GDPR（或其英国或瑞士等效法规）保护的个人数据保留在欧盟境内，而不被转移到美国进行处理。为此，我们引入了 Data Localization Suite，帮助企业获得 Cloudflare 全球网络的性能和安全性优势，同时更轻松地在边缘设置规则和控制措施，轻松决定存储和保护数据的位置。

数据本地化套件将与一些具有新功能的现有产品捆绑推出：

a) Regional Services。Cloudflare 在 100 多个国家/地区的 300 多个城市设有数据中心。结合使用 Regional Services 和 Geo Key Manager 解决方案，客户能够选择存储 TLS 密钥及 TLS 终止发生的数据中心位置。可在全球范围内吸收流量，应用 L3/L4 DDoS 缓解措施，而安全、性能和可靠性功能（例如 WAF、CDN、DDoS 缓解措施等）则仅在指定的 Cloudflare 数据中心应用。

b) Metadata Boundary。客户 Metadata Boundary 确保将可用于识别客户的终端用户流量元数据留在欧盟。这包括客户能够看到的所有日志和分析。要做到这一点，我们确保能够识别客户的终端用户元数据流经我们位于边缘的单一服务，然后才转发到我们的其中一个核心数据中心。当为客户启用 Metadata Boundary 时，我们的边缘确保任何能够识别该客户的日志消息（即，包含该客户的帐户 ID）不会被发送到欧盟之外。此类消息只会被发送到我们在欧盟的核心数据中心。

c) Keyless SSL。客户可借助 Keyless SSL 存储并管理自己用于 Cloudflare 的 SSL 私钥。客户可以使用多种系统来运行其密钥库，包括硬件安全性模块（HSM）、虚拟服务器，以及在客户控制环境下运行 Unix/Linux 及 Windows 的硬件。

d) Geo key Manager。Cloudflare 拥有真正的国际化客户群，并且我们也了解到，世界各地的客户对于私钥的放置有不同的监管和法定要求以及不同的风险状况。基于这一理念，我们着手设计了一个非常灵活的系统来决定密钥存放位置。Geo Key Manager 允许客户限制为仅向特定位置暴露其私钥。它类似于 Keyless SSL，但 Cloudflare 无需在您的基础设施中运行密钥服务器，而是将密钥服务器托管到您选择的位置。

如我们的《透明度报告》中所概述那样，Cloudflare 在向政府机构或民事诉讼当事人提供我们客户的个人信息之前，要求有效的法律程序。除非在危及任何人生命或重大身体伤害的紧急情况下，否则我们不会在没有法律程序的情况下向政府官员提供我们客户的个人信息。

为确保我们的客户有机会行使其权利，Cloudflare 的政策是在披露信息之前，将索取客户信息的传票或其他法律程序通知给我们的客户，无论该法律程序来自于政府还是参与民事诉讼的私人当事人，除非受到法律禁止。具体来说，我们的 DPA 承诺，除非受到法律禁止，否则我们会在能够确定索取我们代表客户处理的个人数据的第三方法律程序引发法律冲突时（例如当个人数据由 GDPR 管辖时），我们会通知相关客户。客户收到有关其个人数据的未决法律请求的通知后，可以寻求干预来阻止披露其个人数据。

此外，美国法律为公司提供了相关的机制来质疑可能构成法律冲突的命令，例如对受 GDPR 约束的数据的法律请求。例如，《澄清海外合法使用数据法案》(CLOUD) 提供了一个机制，以便提供商向法院请求撤销或修改造成此类法律冲突的法律请求。该程序还允许提供商向其公民受到影响的外国政府披露此类请求的存在，条件是该政府与美国签署了 CLOUD 法案协议。Cloudflare 已承诺对构成此类法律冲突的任何命令提出法律质疑。迄今为止，我们还没有收到我们认为构成此类冲突的命令。

2022 年 10 月，美国总统拜登签署了 14086 号行政命令 ，为美国信号情报活动引入了新的保护措施，旨在使“欧盟-美国数据隐私框架”成为可能。其中一个保障措施是创建一种补救机制，以便个人在其个人数据被通过信号情报计划非法收集时提出申诉。个人可以向美国公民自由保护官（“CPLO”）提出投诉，CPLO 可以调查这些投诉，并对做出对情报机构具有约束力的决定。有关 CPLO 的决定，可以上诉至新成立的数据保护审查法院（“DPRC”）。

最后，根据欧盟-美国数据隐私框架、欧盟-美国数据隐私框架英国延伸及瑞士-美国数据隐私框架，Cloudflare 承诺解决涉及我们收集和使用您的个人信息的 DPF 原则相关投诉。更多信息，请参阅我们的隐私政策第 7 节。

我们一直密切关注英国自脱欧以来在数据保护方面进行的改革。目前，欧盟的 GDPR 已通过英国《欧盟（退出）法案 2018》第 3 条和英国《数据保护法 2018》（"UK GDPR"）纳入英国法律。根据英国信息专员办公室根据英国《数据保护法 2018》第 119(A) 条发布的国际数据传输附录（版本 B1.0）（“英国附录”），Cloudflare 可以依赖于欧盟 SCC 机制和英国附录，将英国个人数据传输到英国境外。根据我们与客户的协议，Cloudflare 依赖于欧盟 SCC 机制和英国附录，以及补充措施，或者（在获得批准后）欧盟-美国数据隐私框架的英国延伸。