Cloudflare GDPR 合规承诺

Cloudflare 是一家提供安全、性能和可靠性服务的公司，总部位于美国，业务覆盖全球（包括在欧洲的五个办事处），为所有规模、所有地区的企业提供广泛的网络服务。我们帮助提高客户网站和互联网应用程序的安全性，增强其关键业务应用程序的性能，并消除管理个别网络硬件的成本和复杂性。Cloudflare 的全局网络由遍布全球的超过 200 个边缘服务器提供支持（参见此处），以此为基础，我们能够快速为客户开发和部署产品。

Cloudflare 无法访问或控制客户选择通过我们的全球网络传输、路由、交换和缓存的数据。在有限的情况下，Cloudflare 产品可用于存储内容。但是，无论使用哪种 Cloudflare 服务，对于客户选择通过 Cloudflare Anycast 网络传输、路由、交换、缓存或存储的数据，客户均承担自行遵守适用法律和独立合同安排的全部责任。

Cloudflare 代表客户处理的个人数据的类型取决于所实施的 Cloudflare 服务。Cloudflare 网络上传输的绝大部分数据都保留在 Cloudflare 的边缘服务器上，而与此活动相关的元数据由我们位于美国和欧洲的主要数据中心代表客户进行处理。

Cloudflare 维护我们网络上事件的日志数据。其中一些日志数据将包含有关客户的域、网络、网站、应用程序编程接口 (API) 或应用程序（包括可能适用的 Cloudflare 产品 Cloudflare Zero Trust）的访问者和/或授权用户的信息。这类元数据包含极其有限的个人数据，通常是 IP 地址的形式。我们在有限的时间内在位于美国和欧洲的主要数据中心代表客户处理这类信息。

Cloudflare 将安全性视为确保数据隐私的一个关键要素。自 2010 年 Cloudflare 成立以来，我们已经发布了许多先进的隐私增强技术，这些技术通常在业界处于领先地位。除了其他功能外，客户可以借助这些工具来轻松使用 Universal SSL 来加密通信内容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 来加密通信中的元数据，并且控制存放其 SSL 密钥的位置和检查其流量的位置。

Cloudflare 维持超过行业标准的安全计划。该安全计划包括维护正式的安全策略和程序，设立妥当的逻辑和物理访问控制，并在公司和生产环境中实施技术保护措施，例如建立安全配置、安全传输和连接，记录日志，进行监控，以及为个人数据实施适当的加密技术。

我们目前维护以下认证：ISO 27001、ISO 27701、ISO 27018、SOC 2 Type II 和 PCI DSS Level 1 合规。您可以在此处进一步了解我们的认证和报告。

要查看 Cloudflare 为保护个人数据（包括从欧洲经济区［“EEA“］传输到美国的个人数据）而实施的安全举措，请参阅我们标准 DPA 的附件 2。

欧盟《通用数据保护条例》（“GDPR”） 提供了诸多法律机制，确保将个人数据从 EEA 传输至第三国/地区（不在 GDPR 适用范围内或不被视为已制定充分数据保护法律的国家/地区）的欧洲数据主体获得适当的保障、可强制执行的权利和有效的法律救济。

这些机制包括：

• 欧盟委员会在评估第三国的法治、对人权和基本自由的尊重及诸多其他因素后，确定该第三国确保提供了妥善的保护；

• 数据控制者或处理者制定了具有约束力的公司规则；

• 数据控制者或处理者制定了欧盟委员会所采用的标准数据保护条款；或者

• 数据控制者或处理者制定了核准的行为准则或核准的认证机制。

Cloudflare 援引欧盟委员会标准合同条款（“SCC”） 及补充措施作为将个人数据从 EEA 传输至美国的法律机制。在过去，Cloudflare 也曾援引授予“隐私保护盾”(Privacy Shield) 的充分性决定。但是，欧盟法院（“CJEU”）在 2020 年 7 月的 Schrems II 案（案例 C-311/18，数据保护专员诉 Facebook Ireland 和 Maximillian Schrems）中废止了“欧盟-美国隐私保护盾”协定。“隐私保护盾”的废止并不会改变 Cloudflare 为我们代表客户处理的个人数据所提供的强大数据隐私保护，我们将继续遵循我们根据“隐私保护盾”认证时所承诺的数据保护原则。

2022 年 3 月，欧盟委员会和美国商务部达成新的《跨大西洋数据隐私框架》，管理从 EEA 到美国的数据传输。我们正在密切关注相关进展，待掌握更多实施详情后再决定是否和如何援引该框架。

我们相信赢得和维系客户信任至关重要，所以在 Schrems II 案发生之前，Cloudflare 便已实施了数据保护措施。2014 年，我们针对 2013 年收到的法律程序发表了我们的第一份透明度报告，并且许下了承诺，在紧急情况以外向任何政府实体提供任何客户数据前，我们将首先需要进行法律程序，并且每当有法律程序索取客户的客户或账单信息时，我们会在披露这些信息前通知我们的客户，除非受到法律禁止。我们公开表示，我们从未将加密密钥交给任何政府机构，未曾向任何政府机构提供通过我们网络传输的内容的提要，而且也没有在我们网络上部署执法设备。我们还承诺，如果我们被要求做任何这些事情，我们将“用尽一切法律救济来保护我们的客户，以免受到我们认为非法或违宪的请求”。从 Cloudflare 发展历史的早期开始，我们每年两次重申这些承诺，甚至在我们的透明度报告中就此进行了详细阐述。

我们还展示了对公开透明的信念，以及我们在必要时通过提起诉讼来保护客户的承诺。2013 年，在电子前沿基金会（Electronic Frontier Foundation）的帮助下，我们为保护客户权利在法律上挑战了以行政方式签发的美国国家安全信函（NSL），因为其中的规定允许政府限制我们向受影响的客户披露有关 NSL 的信息。Cloudflare 未曾按照这一请求提供任何客户信息，但保密规定一直有效，直至法院于 2016 年解除相关限制为止。

我们经常表明这一立场：即任何政府对个人数据的要求如果与个人居住国/地区的隐私法律相冲突，就应该受到法律质疑。（例如，请查看我们的透明度报告和我们的白皮书：Cloudflare 有关数据隐私和政府执法机构数据要求的政策。）EDPB 在此项评估中承认 GDPR 可能会造成这种冲突。我们承诺遵守 GDPR 意味着，Cloudflare 在响应美国政府的数据请求时，会在生成被确定为受 GDPR 约束的数据之前寻求法律救济。按照现有美国判例法和法定框架，Cloudflare 可能会基于这样的法律冲突请求美国法院驳回美国当局的个人数据请求。

我们已经更新了面向客户的标准数据处理附录（“DPA”），将上述额外的补充措施和保障措施作为合同承诺纳入。您可以在 DPA 的第 7 节中查阅这些合同承诺。

我们认为，如果美国政府有关获取非美国人的个人数据的要求与该个人居住国家的隐私法(如欧盟的GDPR)相冲突，则该等要求在法律上应该受到挑战。

CLOUD 法案没有扩大美国的调查权力。执法部门获得有效搜查令的严格要求没有改变。CLOUD 法案也适用于对我们上述通常不存储的内容的访问。此外，CLOUD 法案没有改变现有美国执法部门寻求访问企业数据时的做法。需要注意的是，执法部门通常会寻求从有效控制数据的实体（即我们的客户），而不是云提供商那里获取数据。

Cloudflare 将继续为数据受 GDPR 约束的客户提供 SCC 和补充措施。我们正在密切关注这一领域以及替代传输机制方面的发展。

我们了解到，考虑到 Schrems II 案，客户正在寻求其他保障，以确保受 GDPR 约束并传输到美国的数据得到 GDPR 的充分保护。上文中已探讨了这些额外保护措施。

由于 CJEU 在对 Schrems II 案的分析中考虑了许多美国国家安全权力，因此我们已经发现了有关将这些权力应用于美国数据处理者的一些问题。为说明这些权力与数据传输是否相关或如何相关，需要对 CJEU 援引的权力进行一些额外解释。

第 702 条。《外国情报监视法》（“FISA”） 第 702 条授权美国政府为外国情报目的而要求获取美国境外非美国籍人士的通信内容。美国政府利用第 702 条，通过特定的“选择器”，如电子邮件地址，收集与特定外国情报目标有关的通信内容。因为该权力通常被用来收集通信内容，所以被要求遵守第 702 条的“电子通信服务提供商”通常是电子邮件提供商或有权访问通信内容的其他提供商。

正如我们在透明度报告中所述，Cloudflare 无法获得这类传统客户在 Cloudflare 核心服务中的内容。此外，Cloudflare 多年来一直公开承诺，我们从未向任何政府提供通过我们网络传输的客户内容，并承诺，如果我们被要求这样做，我们将穷尽一切法律救济措施，以保护我们的客户免予我们认为非法或违宪（

第 12333 号行政令）的要求。第 12333 号行政令管辖美国情报机关针对美国境外非美国籍人士的外国情报收集。第 12333 号行政令中没有强制美国公司 提供协助的规定。

Cloudflare 许下了长期承诺，在紧急情况之外向任何政府实体提供任何客户数据访问权限之前，需要先进行法律程序。因此，我们不会遵守第 12333 号行政令中的自愿性数据请求。此外，Cloudflare 一直是相关运动的领导者，倡导为传输途中的数据（包括内容和元数据）提供额外安全性，以防止个人数据遭受任何形式的窥探。例如，我们于 2014 年推出了 Universal SSL，让所有 Cloudflare 客户都能免费使用曾经既昂贵又困难的加密技术。就在产品发布的当周，我们使加密网络的规模扩大了一倍。由于越来越多的法律企图将加密作为目标，我们甚至还承诺，我们从未应政府或其他第三方的要求而削弱、破坏或推翻任何加密技术。

Cloudflare 业已按照 EDPB 在其指 南中推荐的做法，采取多种额外保护措施（EDPB 于 2020 年 1 月建议，采取多种措施作为传输工具的补充，以确保符合欧盟对个人数据的保护水平要求；Cloudflare 已于 2021 年 6 月 18 日采纳此建议）。Cloudflare 在处理上述个人数据的过程中，一直坚定不移地致力于做到公开透明、尽心尽责，并且我们已经更新了 DPA，将许多承诺都纳入了我们的合同之中，使其具有了一定的合同效力。我们还继续发布我们的透明度报告。最后，同样重要的是，我们已部署了强大的安全措施和加密协议，详情请参阅我们 DPA 的附件 2。

与往常一样，我们将继续关注该领域的发展近况，并确保始终遵守欧盟 GDPR 的第 44 与 46 条。在这期间，我们将继续履行现有 DPA 和现行 SCC 下的承诺。

我们的《自助订阅协议》通过引用 纳入我们的标准《数据处理附录》(DPA)。并且，如果我们代表自助客户处理的个人数据受《通用数据保护条例》(GDPR) 管辖，我们的 DPA 将针对此类数据纳入欧盟标准合同条款。因此，无需采取任何措施来确保标准合同条款到位。我们的 DPA 也包含上述额外保障措施。

尽管 DPA 通过引用方式纳入，但我们也在客户仪表板中提供了我们的标准 DPA。当您处于仪表板中时，请前往“配置”选项卡，然后进入“首选项”，即可查看和接受 DPA。

我们的标准《Enterprise 订阅协议》（“ESA”） 通过引用纳入我们的标准 DPA。因此，这些客户无需采取任何措施。如果我们代表客户处理的个人数据受 GDPR 管辖，则我们的 DPA 也会纳入欧盟标准合同条款。我们的标准 DPA 也包含上述额外 保障措施。

如果 Enterprise 客户在 2019 年 8 月 8 日或之后与 Cloudflare 签订 ESA，并且没有定制协议，则受我们标准 ESA 的约束。然而，如果 Enterprise 客户持有我们的旧版 ESA 或定制 ESA 或定制 DPA，则可能尚未落实 2021 年欧盟标准合同条款。我们将联系这些客户，确保他们采用最新的合同条款。这些客户可能同意使用客户仪表板中提供的标准 DPA，因为其中包含 2021 年欧盟标准条款和我们的额外安全保护措施。如果客户以前曾援引 Cloudflare 的欧盟-美国和瑞士-美国隐私保护盾认证，则还应同意使用我们在客户仪表板中提供的更新版 DPA。当您处于仪表板中时，请前往“配置”选项卡，然后进入“首选项”。请在该处查看并接受 DPA。

如果 Enterprise 客户对其 DPA 有任何疑问，可联系其 Customer Success 经理。

我们已将欧盟委员会于 2021 年 6 月 4 日发布的新 SCC 纳入所有受 GDPR 约束的新客户合同中。新的 SCC 包含 18 个月的缓冲期以允许实施，我们将在这段时间内为我们的当前客户实施新的 SCC。

我们意识到，某些客户希望将受 GDPR 约束的任何个人数据都保留在欧盟，而不是传输到美国进行处理。为此，我们引入了 Data Localization Suite，帮助企业获得 Cloudflare 全球网络的性能和安全性优势，同时更轻松地在边缘设置规则和控制措施，轻松决定存储和保护数据的位置。

Data Localization Suite 将和具有新功能的一些现有产品捆绑推出：

• Regional Services。 Cloudflare 在 100 多个国家/地区的 200 多个城市设有数据中心。结合使用 Regional Services 和 Geo Key Manager 解决方案，客户能够选择存储 TLS 密钥并 TLS 终止发生的数据中心位置。通过应用 L3/L4 DDoS 缓解措施来在全球吸收流量，而安全性、性能和可靠性功能（例如 WAF、CDN、DDoS 缓解措施等）则仅在指定的 Cloudflare 数据中心提供。

• 元数据边界。客户元数据边界确保将可用于识别客户的终端用户流量元数据留在欧盟。这包括客户能够看到的所有日志和分析。要做到这一点，必须确保能够识别客户的终端用户元数据在被转发到我们的其中一个核心数据中心之前，都将通过我们边缘层的单一服务。当为客户启用元数据边界时，我们的边缘层能够确保任何能够识别该客户的日志消息（即，包含该客户的帐户 ID）不会被发送到欧盟之外。此类消息只会被发送到我们在欧盟的核心数据中心。

• Keyless SSL。 客户可借助 Keyless SSL 存储并管理自己用于 Cloudflare 的 SSL 私钥。客户可以使用多种系统来运行其 密钥库，包括硬件安全性模块（HSM）、虚拟服务器，以及在客户控制环境下运行 Unix/Linux 及 Windows 的硬件。

• Geo key Manager。 Cloudflare 拥有真正的国际化客户群，并且我们也了解到，世界各地的客户对于私钥的放置有不同的监管和法定要求以及不同的风险状况。基于这一理念，我们着手设计了一个非常灵活的系统来决定密钥存放位置。Geo Key Manager 允许客户限制为仅向特定位置公开其私钥。它类似于 Keyless SSL，但 Cloudflare 无需在您的基础设施中运行密钥服务器，而是将密钥服务器托管到您选择的位置。

如我们的透明度报告所述，除非有紧急情况，否则 Cloudflare 需要进行有效的法律程序后，才会向政府实体或民事诉讼人提供客户的个人信息。我们不会基于未走法律程序的请求，将客户的个人信息提供给政府官员。

为确保我们的客户有机会行使其权利，Cloudflare 的政策是在披露信息之前，将索取客户信息的传票或其他法律程序通知给我们的客户，无论该法律程序来自于政府还是参与民事诉讼的私人当事人，除非受到法律禁止。具体来说，我们的 DPA 承诺，除非受到法律禁止，否则我们会在能够确定索取我们代表客户处理的个人数据的第三方法律程序引发法律冲突时（例如当个人数据由 GDPR 管辖时），我们会通知相关客户。客户收到有关其个人数据的未决法律请求的通知后，可以寻求干预来阻止披露其个人数据。

此外，美国法律为公司提供了相关的机制来质疑可能构成法律冲突的命令，例如对受 GDPR 约束的数据的法律请求。例如，《澄清海外合法使用数据法案》(CLOUD) 提供了一个机制，以便提供商向法院请求撤销或修改造成此类法律冲突的法律请求。该程序还允许提供商向其公民受到影响的外国政府披露此类请求的存在，条件是该政府与美国签署了 CLOUD 法案协议。Cloudflare 已承诺对构成此类法律冲突的任何命令提出法律质疑。迄今为止，我们还没有收到我们认为构成此类冲突的命令。

我们一直密切关注英国自脱欧以来在数据保护方面进行的改革。Cloudflare 将继续利用纳入标准 DPA 中的欧盟 SCC 机制以及英国数据传输附录，在英国和 EEA 之外传输个人数据。请参阅我们的上述说明，确保您已应用相应的 DPA。我们将继续关注该领域不断发展的形势，并确保始终遵守英国和全球数据保护条例。