Cloudflare 與 GDPR 準則

Cloudflare 是一間致力於提供網路安全、效能與可靠性的公司，總部位於美國，營運範圍遍佈全球（其中包括五個歐洲辦事處），可為世界各地各種規模的企業提供廣泛的網路服務。我們幫助客戶加強網站與網際網路應用程式的安全性，提高其業務關鍵應用程式的效能，並消除管理個別不同網路硬體的成本與複雜性。Cloudflare 的全球網路由遍佈全球 300 多個城市的邊緣伺服器提供支援（如這裡所述），該網路奠定了堅實的基礎，讓我們能夠快速為客戶開發並部署產品。

Cloudflare 代表客戶處理的個人資料類型，取決於其所實施的 Cloudflare 服務。對於我們最熱門的應用程式服務和網路服務，Cloudflare 不會儲存客戶內容，我們也無法控制客戶選擇透過我們的全球網路傳輸、路由傳送、交換和快取的資料。在有限的情況下，Cloudflare 產品可用於儲存內容。但是，無論使用哪種 Cloudflare 服務，對於客戶選擇透過 Cloudflare 全球網路傳輸、路由傳送、交換、快取或儲存的資料，客戶均承擔自行遵守適用法律和獨立合約安排的全部責任。

對於我們的應用程式和網路服務，在 Cloudflare 網路上傳輸的資料，絕大部分都保留在 Cloudflare 的邊緣伺服器上。而有關該活動的中繼資料則由我們在美國及歐洲的資料中心代表客戶進行處理。

Cloudflare 會保留我們網路上所發生事件的相關記錄檔資料。部分記錄檔資料會包含客戶網域、網路、網站、應用程式開發介面（API）或應用程式（包括可能適用的 Cloudflare 產品 Cloudflare Zero Trust）的訪客及/或授權使用者的相關資訊。該中繼資料包含極為有限的個人資料，而且通常是 IP 位址的形式。我們於有限時間內在位於美國及歐洲的資料中心代表客戶處理這類資訊。

Cloudflare 將安全性視為確保資料隱私權的一個關鍵要素。自 2010 年 Cloudflare 成立以來，我們已經發佈了許多先進的隱私增強技術，這些技術通常在業界處於領先地位。除了其他功能外，客戶可以藉由這些工具輕鬆使用 Universal SSL 來加密通訊內容；利用 DNS-over-HTTPS、DNS-over-TLS 及 Oblivious HTTP 等新的通訊協定來加密或保護通訊中的中繼資料；並且控制存放其 SSL 金鑰的位置和檢查其流量的位置。

Cloudflare 所維護的安全計畫超過了產業標準。我們的安全計畫包括維護正式的網路安全政策和程序，設立妥當的邏輯和實體存取控制，並在公司和生產環境中實施技術保護措施，例如建立安全設定、安全傳輸和連線，留存記錄，進行監控，以及為個人資料提供適當的加密技術等。

我們目前保有以下驗證：ISO 27001、ISO 27701、ISO 27018、SOC 2 Type II 及 PCI DSS Level 1 合規性。我們還通過了歐洲雲端行為準則和德國的 C5 2020 標準的認證。您可以在這裡進一步瞭解我們的認證及報告。

欲檢視 Cloudflare 為保護個人資料（包括從歐洲經濟區傳輸至美國的個人資料） 而提供的安全措施，請參閱我們標準 DPA 的附件 2。

歐盟的一般資料保護規則（簡稱「GDPR」） 提供了諸多法律機制，針對歐洲資料主體的個人資料自歐洲經濟區（EEA）傳輸至第三國（不屬於 GDPR 涵蓋範圍或被視為已具備妥善資料保護法律的國家）的情況，確保該資料主體能獲得適當的防護措施、可執行的權利、以及有效的法律救濟方式。

這些機制包括：

• 歐盟委員會在評估第三國的法治、對人權和基本自由的尊重及諸多其他因素後，決定該第三國確保提供了妥善的保護；

• 資料控制者或處理者制定了具有約束力的公司規則；

• 資料控制者或處理者制定了歐盟委員會所採用的標準資料保護條款；或者

• 資料控制者或處理者制定了核准的行為準則或核准的認證機制。

當 Cloudflare 在國際上從歐洲經濟區、瑞士或英國傳輸個人資料時，我們依賴的是歐盟執委會的制式化契約條款 (SCC)，包括必要的補充措施，對於向美國傳輸，我們還證明了我們遵循了歐盟-美國資料隱私權架構 (EU-U.S. DPF)、瑞士-美國資料隱私權架構 (Swiss-U.S. DPF) 及/或英國對 EU-U.S. DPF 的擴充。我們的標準資料處理增補合約 (DPA) 會繼續將歐盟 SCC 納入其中，以確保我們有多個法律依據來處理資料。

是。當 Cloudflare 將個人資料從歐洲經濟區、瑞士或英國傳輸至美國時，我們依賴分別依據歐盟-美國資料隱私權架構、瑞士-美國資料隱私權架構和英國對 EU-U.S. DPF 的擴充進行的認證。如果這些認證失效或作廢，Cloudflare 將依賴歐盟制式化契約條款，包括向美國傳輸所需的補充措施。針對來自歐洲經濟區、瑞士或英國的其他國際傳輸，我們也使用制式化契約條款。

2022 年 10 月，美國總統拜登簽署了第 14086 號行政命令(EO14086)，這為美國訊號情報活動引入了新的保障措施，以便讓歐盟-美國資料隱私權架構成為可能。根據 EO14086 提供的保護，歐盟執委會對 EU-U.S. DPF 做出了充分性裁決。重要的是，這些保護同樣適用於所有傳輸 — 無論是根據其中一個 DPF 進行的那些傳輸，還是依據歐盟制式化契約條款進行的那些傳輸（請參閱 EDPB 的《關於在 2023 年 7 月 10 日通過充分性裁決後依據 GDPR 向美國傳輸資料的資訊說明》）。

EO14086 引入的保護包括一些保障措施，用來確保隱私權和公民自由是不可或缺的考量因素，因此，(i) 訊號情報活動只能在「必須」推進有效情報優先順序的情況下進行，以及 (ii) 只能以與有效情報優先順序「相稱」的程度及方式執行。此外，EO14086 還為個人提供了一種多層賠償機制，如果個人聲稱透過美國訊號情報收集的個人資訊的處理方式違反了隱私權，則可獲得獨立且有約束力的複審及賠償。

因為我們認為贏得並維護客戶信任至關重要，Cloudflare 早在「Schrems II」案（編號 C-311/18 資料保護官訴 Facebook Ireland 與 Maximillian Schrems 案件）之前就已經部署了資料保護措施，包括 EDPB 在其 Schrems II 後指引（針對傳輸工具補充措施的 01/2020 號建議案，以確保遵循 2021 年 6 月 18 日通過之歐盟個人資料保護等級）中所建議之許多額外保障措施。

Cloudflare 對於前述的個人資料處理事宜，承諾會抱持公開透明及究責的態度，而且我們的 DPA 會讓上述許多承諾內容具有契約拘束力。2014 年，我們針對 2013 年收到的法律程序發表了我們的第一份透明度報告，並且許下了承諾，除了緊急情況以外，在向任何政府實體提供任何客戶資料前，我們將首先需要進行法律程序，並且每當有法律程序索取客戶的客戶或帳單資訊時，我們會在披露這些資訊前通知我們的客戶，除非受到法律禁止。我們公開表示，我們從未將加密金鑰交給任何政府機構，未曾向任何政府機構提供透過我們網路傳輸的內容，而且也沒有在我們網路上部署執法設備。我們還承諾，如果我們被要求做任何這些事情，我們將「用盡一切法律救濟來保護我們的客戶，以對抗我們認為非法或違憲的要求」。從 Cloudflare 發展歷史的早期開始，我們每年重申這些承諾兩次，甚至在我們的透明度報告中予以詳細闡述。

我們還展示了對公開透明的信念，而且也承諾在必要時透過提起訴訟來保護客戶。2013 年，在電子前沿基金會 (Electronic Frontier Foundation) 的幫助下，我們為保護客戶權利在法律上挑戰了當局發佈的美國國家安全信函 (NSL)（因為其中含有允許政府限制我們向受影響客戶披露 NSL 相關資訊的規定）。Cloudflare 未曾出於回應這一請求而提供任何客戶資訊，但保密規定一直保持效力，直至法院於 2016 年解除相關限制為止。

我們認為政府索取個人資料的請求，如與個人居住國的隱私權法律相互衝突者，應該在法律上受到異議，而這就是我們經常表明的立場。（例如，請參閱我們的透明度報告及白皮書、 Cloudflare 的資料隱私權與執法機關要求相關政策，其中針對政府索取資料請求相關部分。）EDPB 承認，在進行此項評估時，GDPR 可能會造成該等法律衝突情事。我們遵守 GDPR 的承諾意味著，Cloudflare 在回應美國政府的資料請求時，會在提供被列為受 GDPR 規範的資料前，先尋求法律救濟方式。在符合現有美國判例法與法定框架的情況下，Cloudflare 可能會基於該法律衝突情事，訴請美國法院駁回美國主管機關所提出的索取個人資料請求。

我們為客戶提供的標準資料處理增補合約 (DPA) 已納入前述補充措施與保障措施作為契約承諾。您可以在我們的 DPA 的第 7 節中查閱該等契約承諾。最後但同樣重要的是，我們已落實了穩健的安全措施與加密通訊協定，您可以在我們的 DPA 附錄 2 中查看。

除了依據 EO14086 提供的其他保障措施以外，我們將繼續實施這些補充措施和保障措施。

我們將一如既往地繼續監控這一領域的持續發展，並會確保我們持續遵循歐盟 GDPR 第 44 條與第 46 條規定。在這期間，我們會繼續遵守我們依既有 DPA 所為之承諾，我們依據當前 SCC 所為之承諾，以及我們依據資料隱私權架構認證所為之承諾。

我們認為，美國政府索取非美國人民的個人資料，若與該個人居住國的隱私法相衝突（例如歐盟的《GDPR》），就應受到法律挑戰。

《CLOUD》法案並未擴大美國的調查權力。對執法部門獲取有效授權令的嚴格要求保持不變。《CLOUD》法案也適用於存取我們通常不儲存的內容，如上所述。此外，《CLOUD》法案也不會改變美國執法部門尋求取得企業資料的現有做法。需要注意的是，執法部門通常會尋求從能夠有效控制資料的實體（即我們的客戶）而不是雲端提供者那裡取得資料。如果執法部門要求 Cloudflare 提供此類資料，我們會鼓勵他們要求我們的客戶而非我們提供資料。

我們認為，這有助於為 CJEU 在對「Schrems II」裁定（編號 C-311/18 資料保護官訴 Facebook Ireland 與 Maximillian Schrems 案件）的分析中所參照的美國國家安全機構提供額外說明。

第 702 條。「外國情報監視法 (FISA)」第 702 條授權美國政府索取美國境外非美國籍人士的通訊內容以滿足外國情報需要。美國政府依據第 702 條使用與特定外國情報目標相關聯的特定「選擇器」（如電子郵寄地址）來收集通訊內容。因為該權力通常被用來收集通訊內容，所以被要求遵守第 702 條的「電子通訊服務提供者」通常是電子郵件提供者或有權存取通訊內容的其他提供者。

如我們的「透明度報告」中所述，Cloudflare 無法存取 Cloudflare 核心服務的此類傳統的客戶內容。此外，Cloudflare 多年來一直公開承諾，我們從未向任何政府提供透過我們網路傳輸的客戶內容的提要，並且，如果我們被要求做上述任何事情，我們將用盡一切法律救濟來保護我們的客戶，以免受到我們認為非法或違憲的請求。

第 12333 號行政命令。第 12333 號行政命令管轄美國情報機關針對美國境外非美國籍人士的外國情報。第 12333 號行政命令中沒有強制美國公司提供協助的規定。

Cloudflare 許下了長期承諾，除了緊急情況外，向任何政府實體提供任何客戶資料存取權限之前，需要先進行法律程序。因此，我們不會遵守第 12333 號行政命令中的自願性資料請求。此外，Cloudflare 一直是相關運動的領導者，提倡為傳輸途中的資料 (包括內容和中繼資料) 提供額外安全性，以防止個人資料遭受任何形式的窺探。例如，我們於 2014 年推出了 Universal SSL，讓所有 Cloudflare 客戶都能免費使用曾經既昂貴又困難的加密技術。就在產品發佈的當週，我們使加密網路的規模擴大了一倍。由於越來越多的法律試圖將加密作為目標，我們甚至還承諾，我們從未應政府或其他第三方的要求而削弱、破壞或推翻任何加密技術。

當 Cloudflare 在國際上從歐洲經濟區、瑞士或英國傳輸個人資料時，我們依賴的是歐盟制式化契約條款 (SCC)，包括必要的補充措施，對於向美國傳輸，我們還證明了我們遵循了歐盟-美國資料隱私權架構 (EU-U.S. DPF)、瑞士-美國資料隱私權架構 (Swiss-U.S. DPF) 和英國對 EU-U.S. DPF 的擴充。以上描述包含在我們的標準 DPA 中，而後者透過參酌方式納入了我們的自助訂閱協議中。如若個人資料傳輸需要 SCC，則我們的 DPA 會針對該資料將 SCC 納入其中。因此，無需採取任何措施即可確保實施了適當的跨境資料傳輸機制。

當 Cloudflare 在國際上從歐洲經濟區、瑞士或英國傳輸個人資料時，我們依賴的是歐盟制式化契約條款 (SCC)，包括必要的補充措施，對於向美國傳輸，我們還證明了我們遵循了歐盟-美國資料隱私權架構 (EU-U.S. DPF)、瑞士-美國資料隱私權架構 (Swiss-U.S. DPF) 和英國對 EU-U.S. DPF 的擴充。以上描述包含在我們的標準 DPA 中，而後者納入了標準企業訂閱協議 (ESA) 中。因此，無需採取任何措施即可確保實施了適當的跨境資料傳輸機制。

企業客戶如在 2019 年 8 月 8 日或之後與 Cloudflare 簽訂 ESA 且無自訂協議者，則需遵循我們的標準 ESA。企業客戶如持有舊版 ESA，或者自訂 ESA 或自訂 DPA，可能並未記錄跨境資料傳輸機制。這些客戶或任何對 DPA 有問題的其他企業客戶，可以連絡客戶成功經理。

我們體認到，我們有些客戶希望將受 GDPR（或其在英國或瑞士的對應法規）規範的任何個人資料保留在歐盟，而不是傳輸到美國進行處理。為滿足這個需求，我們引進了 Data Localization Suite 幫助企業獲得 Cloudflare 全球網路的效能和安全性優勢，同時更輕鬆地針對其資料之儲存與保護地點，在邊緣設定規則和控制措施。

「資料當地語系化套件」把既有產品與若干新功能放在一起搭售︰

a) Regional Services。Cloudflare 在 100 多個國家/地區的 300 多個城市設有資料中心。結合使用 Regional Services 和 Geo Key Manager 解決方案，客戶能夠選擇儲存 TLS 金鑰和 TLS 終止發生的資料中心位置。透過採用第 3/4 層 DDoS 緩解措施於全球吸收流量，而安全性、效能和可靠性功能（例如 WAF、CDN、DDoS 緩解措施等）則僅在指定的 Cloudflare 資料中心提供。

b) Metadata Boundary。客戶 Metadata Boundary 能確保可用於識別客戶身分的終端使用者流量中繼資料留在歐盟境內。其中包括客戶可看到的一切記錄檔及分析資料。為達成這個目的，必須確保可用於識別客戶身分的終端使用者中繼資料先流經我們邊緣的單一服務，然後再轉送至我們其中一個核心資料中心。當客戶啟用 Metadata Boundary 時，我們的邊緣 (Edge) 就會確保任何能識別客戶身分的記錄檔訊息（即含有該客戶的帳戶 ID）不會被傳送至歐盟境外，而只會傳送至我們位於歐盟境內的核心資料中心。

c) 無金鑰 SSL。無金鑰 SSL 讓客戶可以儲存並管理其自身跟 Cloudflare 搭配使用的 SSL 私密金鑰。客戶可以使用好幾種系統作為其金鑰儲存處，包括硬體安全模組（即「HSM」）、虛擬伺服器、以及裝載於客戶控制的環境中且運行 Unix/Linux 及 Windows 的硬體。

d) Geo key Manager。Cloudflare 擁有真正的國際化客戶群，並且我們也瞭解到，世界各地的客戶對於私密金鑰的放置有不同的監管和法定要求以及不同的風險狀況。秉承這一理念，我們著手設計了一個非常靈活的系統來決定金鑰存放位置。Geo Key Manager 允許客戶限制為僅向特定位置公開其私密金鑰。這類似於無金鑰 SSL，但 Cloudflare 無需在您的基礎架構中執行金鑰伺服器，而是將金鑰伺服器託管到您選擇的位置。

如我們的透明度報告所述，Cloudflare 需要進行有效的法律程序後，才會向政府實體或民事訴訟人提供客戶的個人資訊。除了對任何人造成死亡或嚴重身體傷害危險的緊急情況以外，我們不會基於未走法律程序的要求，將客戶的個人資訊提供給政府官員。

為確保我們的客戶有機會行使其權利，Cloudflare 的政策是在披露資訊之前，向我們的客戶通知索取客戶資訊的傳票或其他法律程序，無論該法律程序來自於政府還是參與民事訴訟的私人當事人，除非受到法律禁止。具體來說，我們的 DPA 承諾，除非受到法律禁止，否則我們會在能夠確定索取我們代表客戶處理的個人資料的第三方法律程序引發法律衝突時 (例如當個人資料由 GDPR 管轄時)，我們會通知相關客戶。客戶收到有關其個人資料的未決法律請求的通知後，可以尋求干預來阻止披露其個人資料。

此外，美國法律為各公司提供相關機制，讓他們能夠對可能導致法律衝突的命令提出異議，例如索取受 GDPR 規範的資料的合法請求。「CLOUD 法案」為提供者提供相關機制，讓他們能向法院提出聲請，要求法院駁回或修改造成法律衝突的合法請求。如果公民受影響的外國政府已與美國簽署 CLOUD 法案協議，該程序亦允許提供者向該國政府揭露該請求的存在。Cloudflare 已承諾對任何導致法律衝突的命令，在法律上提出異議。我們到目前為止尚未收到我們認為會導致該等法律衝突的命令。

2022 年 10 月，美國總統拜登簽署了第 14086 號行政命令，這為美國訊號情報活動引入了新的保障措施，以便讓新的歐盟-美國資料隱私權架構成為可能。在這些保障措施中，有一項是為那些聲稱自己的個人資料被透過訊號情報計畫非法收集的個人建立一種賠償機制。個人可以向美國公民自由保護官員 (CPLO) 提出訴訟，後者可以調查這些訴訟並發佈對情報機構具有約束力的裁決。對於 CPLO 的裁決，可以向新成立的資料保護複審法院 (DPRC) 上訴。

最後，根據 EU-U.S. DPF、英國對 EU-U.S. DPF 的擴充（合稱 DPF）以及 Swiss-U.S. DPF（合稱 DPF），Cloudflare 承諾解決有關我們收集和使用您的個人資訊的 DPF 原則相關的訴訟。如需詳細資訊，請參閱我們的隱私權政策的第 7 節。

我們一直密切留意英國在脫離歐盟後對資料保護相關領域所做的變動。目前，依據英國 2018 年歐盟（退出）法案第 3 節和 2018 年英國資料保護法案（「英國 GDPR」），歐盟 GDPR 已被納入英國法律。根據由英國資訊專員辦公室依據 2018 年英國資料保護法案（「英國增補合約」）的第 119(A) 節發佈的國際資料傳輸增補合約（B1.0 版），Cloudflare 可以依據歐盟 SCC 機制和英國增補合約將英國個人資料傳輸到英國境外。根據我們與客戶達成的協議，Cloudflare 可依賴歐盟 SCC 機制與英國增補合約以及補充措施，否則 Cloudflare 將依賴英國對歐盟-美國資料隱私權架構的擴充（若已獲核准）。