Cloudflare 承諾遵守 GDPR

Cloudflare 是一家網路安全、效能與可靠性公司，總部位於美國，營運範圍遍佈全球（其中包括五個歐洲辦事處），為世界各地各種規模的企業提供廣泛的網路服務。我們幫助客戶加強網站與網際網路應用程式的安全性，提高其業務關鍵應用程式的效能，並消除管理個別不同網路硬體的成本與複雜性。Cloudflare 的全球網路 由遍佈全球 200 多個邊緣伺服器提供支援（如這裡所述），該網路奠定了堅實的基礎，讓我們能夠快速為客戶開發並部署產品。

Cloudflare 無法存取或控制客戶選擇透過我們的全球網路傳輸、路由傳送、交換和快取的資料。在有限的情況下，Cloudflare 產品可用於儲存內容。但是，無論使用哪種 Cloudflare 服務，對於客戶選擇透過 Cloudflare 全球網路傳輸、路由、交換、快取或儲存的資料，客戶均承擔自行遵守適用法律和獨立合約安排的全部責任。

Cloudflare 代表客戶處理的個人資料類型，取決於其所實施的 Cloudflare 服務。在 Cloudflare 網路上傳輸的資料，絕大部分都保留在 Cloudflare 的邊緣伺服器上，而跟該活動相關的中繼資料則由我們位於美國及歐洲的主要資料中心代表客戶進行處理。Cloudflare 會保留我們網路上所發生事件的相關記錄檔資料。部分記錄檔資料會包含客戶網域、網路、網站、應用程式開發介面（API）或應用程式（包括可能適用的 Cloudflare 產品 Cloudflare Zero Trust）的訪客及/或授權使用者的相關資訊。該中繼資料包含極為有限的個人資料，而且通常是 IP 位址的形式。我們會透過位於美國及歐洲的主要資料中心，在有限期間內代表客戶處理該類別的資訊。

Cloudflare 將安全性視為確保資料隱私的一個關鍵要素。自 2010 年 Cloudflare 成立以來，我們已經發佈了許多先進的隱私增強技術，這些技術通常在業界處於領先地位。除了其他功能外，客戶可以藉由這些工具輕鬆使用 Universal SSL 來加密通訊內容，利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 來加密通訊中的中繼資料，並且控制存放其 SSL 金鑰的位置和檢查其流量的位置。

Cloudflare 所維護的安全計畫超過了產業標準。我們的安全計畫包括維護正式的網路安全政策和程序，設立妥當的邏輯和實體存取控制，並在公司和生產環境中實施技術保護措施，例如建立安全設定、安全傳輸和連線，留存記錄，進行監控，以及為個人資料提供適當的加密技術等。

我們目前保有以下驗證：ISO 27001、ISO 27701、ISO 27018、 SOC 2 Type II 及 PCI DSS Level 1 合規性。您可以在這裡進一步瞭解我們的認證及報告。

欲檢視 Cloudflare 為保護個人資料（包括從歐洲經濟區傳輸至美國的個人資料） 而提供的安全措施，請參閱我們標準 DPA 的附件 2。

歐盟的一般資料保護規則（簡稱「GDPR」） 提供了諸多法律機制，針對歐洲資料主體的個人資料自歐洲經濟區（EEA）傳輸至第三國（不屬於 GDPR 涵蓋範圍或被視為已具備妥善資料保護法律的國家）的情況，確保該資料主體能獲得適當的防護措施、可執行的權利、以及有效的法律救濟方式。

這些機制包括：

• 歐盟委員會在評估第三國的法治、對人權和基本自由的尊重及諸多其他因素後，決定該第三國確保提供了妥善的保護；

• 資料控制者或處理者制定了具有約束力的公司規則；

• 資料控制者或處 理者制定了歐盟委員會所採用的標準資料保護條款；或者

• 資料控制者或處理者制定了核准的行為準則或核准的認證機制。

Cloudflare 援引歐洲執委會的制式化契約條款（簡稱「SCC」）加上相關補充措施， 作為把個人資料自 EEA 傳輸至美國的法律機制。Cloudflare 過去亦曾援引隱私權保護盾（Privacy Shield）所取得之適足性認定。但歐盟法院（CJEU）在 2020年 7 月的 Schrems II 案（編號 C-311/18 資料保護官訴 Facebook Ireland 與 Maximillian Schrems 案件） 中廢止了歐盟美國隱私權保護盾協定。隱私權保護盾的廢止並不會改變 Cloudflare 為我們代表客戶處理的個人資料所提供的強大資料隱私保護，而且我們會繼續遵循我們在取得隱私權保護盾認證時所承諾的資料保護原則。歐洲執委會與美國商務部在 2022 年 3 月建立了全新的跨太西洋資料隱私權框架（Trans-Atlantic Data Privacy Framework），針對自 EEA 傳輸資料到美國的相關事宜進行規範。我們會密切注意相關進度，並且會在有更多相關實施細節時，判斷我們是否會援引該框架以及援引的方式。

我們相信贏得和維繫客戶信任至關重要，所以在 Schrems II 案發生之前，Cloudflare 便已實施了資料保護措施。2014 年，我們針對 2013 年收到的法律程序發表了我們的第一份透明度報告，並且許下了承諾，除了緊急情況以外，在向任何政府實體提供任何客戶資料前，我們將首先需要進行法律程序，並且每當有法律程序索取客戶的客戶或帳單資訊時，我們會在披露這些資訊前通知我們的客戶，除非受到法律禁止。我們公開表示，我們從未將加密金鑰交給任何政府機構，未曾向任何政府機構提供透過我們網路傳輸的內容的提要，而且也沒有在我們網路上部署執法設備。我們還承諾，如果我們被要求做任何這些事情，我們將「用盡一切法律救濟來保護我們的客戶，以免受到我們認為非法或違憲的請求」。從 Cloudflare 發展歷史的早期開始，我們每年重申這些承諾兩次，甚至在我們的透明度報告中予以詳細闡述。

我們還展示了對公開透明的信念，而且也承諾在必要時透過提起訴訟來保護客戶。2013 年，在電子前沿基金會 (Electronic Frontier Foundation) 的幫助下，我們為保護客戶權利在法律上挑戰了當局發佈的美國國家安全信函 (NSL)（因為其中含有允 許政府限制我們向受影響客戶披露 NSL 相關資訊的規定）。Cloudflare 未曾出於回應這一請求而提供任何客戶資訊，但保密規定一直保持效力，直至法院於 2016 年解除相關限制為止。

我們認為政府索取個人資料的請求，如與個人居住國的隱私權法律相互衝突者，應該在法律上受到異議，而這就是我們經常表明的立場。（例如，請參閱我們的透明度報告及白皮書、 Cloudflare 的資料隱私權與執法機關要求相關政策，其中針對政府索取資料請求相關部分。）EDPB 承認，在進行此項評估時，GDPR 可能會造成該等法律衝突情事。我們遵守 GDPR 的承諾意味著，Cloudflare 在回應美國政府的資料請求時，會在提供被列為受 GDPR 規範的資料前，先尋求法律救濟方式。在符合現有美國判例法與法定框架的情況下，Cloudflare 可能會基於該法律衝突情事，訴請美國法院駁回美國主管機關所提出的索取個人資料請求。

我們為客戶更新了我們的標準資料處理增補合約（簡稱「DPA」），目前已額外納入前述補充措施與防護措施作為契約承諾。您可以在我們的 DPA 的第 7 節中查閱該等契約承諾。

我們認為，美國政府索取非美國人民的個人資料，若與該個人居住國的隱私法相衝突（例如歐盟的《GDPR》），就應受到法律挑戰。

《CLOUD》法案並未擴大美國的調查權力。對執法部門獲取有效授權令的嚴格要求保持不變。《CLOUD》法案也適用於存取我們通常不儲存的內容，如上所述。此外，《CLOUD》法案也不會改變美國執法部門尋求取得企業資料的現有做法。需要注意的是，執法部門通常會尋求從能夠有效控制資料的實體（即我們的客戶）取得資料，而不是向雲端提供者取得。

Cloudflare 會持續為資料受 GDPR 規範的客戶提供 SCC 加上補充措施。我們會密切注意這方面的進度以及替代傳輸機制的相關發展。

據我們瞭解，考慮到 Schrems II 案，客戶正在尋求其他保障，以確保受 GDPR 約束並傳輸至美國的資料得到 GDPR 的充分保護。上文中已探討了這些額外保護措施。

由於 CJEU 在其對 Schrems II 案的分析中已把許多美國國家安全權限納入考量，因此我們發覺到一些涉及該等權限對美國資料處理者的適用問題。為說明該等權限與資料傳輸是否相關或如何相關，需要對 CJEU 所參照的權限另外進行說明。第 702 條。「外國情報監視法 (FISA)」第 702 條即授權美國政府得基於外國情報目的，向美國境外非美國籍人士索取其通訊內容。美國政府利用第 702 條規定，透過與特定外國情報目標相關聯的特定「選擇器」（如電子郵件地址）來蒐集通訊內容。因為該權限通常被用於蒐集通訊內容，所以被要求遵守第 702 條的「電子通訊服務提供者」通常是電子郵件提供者或其他具有通訊內容存取權限的提供者。

如我們的透明度報告中所述，Cloudflare 無法就 Cloudflare 核心服務存取該類別的傳統客戶內容。此外，Cloudflare 多年來不斷公開承諾，我們從未向任何政府提供透過我們網路傳輸資料的客戶內容饋送，而且如果我們受到任何該等政府要求者，我們會竭盡一切法律救濟方式，保護我們的客戶，避免客戶受到我們認為非法或違憲的請求

第 12333 號行政命令。第 12333 號行政命令針對美國情報機關對美國境外非美國籍人士的外國情報蒐集作業進行規範。第 12333 號行政命令中沒有強制美國公司提供協助的規定。

Cloudflare 許下了長期承諾，除了緊急情況外，向任何政府實體提供任何客戶資料存取權限之前，需要先進行法律程序。因此，我們不會遵守第 12333 號行政命令中的自願性資料請求。此外，Cloudflare 一直是相關運動的領導者，提倡為傳輸途中的資料 (包括內容和中繼資料) 提供額外安全性，以防止個人資料遭受任何形式的窺探。例如，我們於 2014 年推出了 Universal SSL，讓所有 Cloudflare 客戶都能免費使用曾經既昂貴又困難的加密技術。就在產品發佈的當週，我們使加密網路的規模擴大了一倍。由於越來越多的法律試圖將加密作為目標，我們甚至還承諾，我們從未應政府或其他第三方的要求而削弱、破壞或推翻任何加密技術。

Cloudflare已訂立了歐洲資料保護委員會（EDPB）在其指引（針對傳輸工具補充措施的 01/2020 號建議案，以確保2021年6月18日通過之歐盟個人資料保護等級之確實遵守）中所建議之許多額外防護措施。Cloudflare 對於前述的個人資料處理事宜，承諾會抱持公開透明及究責的態度，而且我們已更新了我們的 DPA ，讓我們的許多承諾內容具有契約拘束力。我們也會持續公布我們的透明度報告。最後但同樣重要的是，我們已落實了穩健的安全措施與加密協定，您可以在我們的 DPA 附錄 2 中查看。

我們不斷持續監控該方面的發展，並且會確保我們持續遵循歐盟 GDPR 第44條與第46條規定。在這期間，我們會持續遵守我們依既有 DPA 所為之承諾，以及我們依據當前SCC所為之承諾。

我們的自助服務訂閱協議透過參酌方式，納入我們的標準 DPA。在我們代表自助客戶處理的個人資料係受到 GDPR 規範的情況下，我們的 DPA 亦針對該等資料，納入歐盟的制式化契約條款。因此，無需採取任何措施即可確保制式化契約條款的實施。我們的 DPA 亦包含前述的其他防護措施。

儘管 DPA 係以參酌方式納入，不過我們已在客戶儀表板上提供我們的標準 DPA。當您在儀表板時，請前往「配置」標籤，然後選擇「偏好」，以檢視並接受 DPA。

我們的標 準企業訂閱協議（下稱「ESA」） 茲透過參酌方式，納入我們的標準 DPA，因此，客戶不需要採取任何行動。在我們代表客戶處理的個人資料屬於 GDPR 規範範圍的情況下，我們的 DPA 亦納入歐盟制式化契約條款。我們的標準 DPA 亦納入前述額外防護措施。

企業客戶如在 2019 年 8 月 8 日或之後跟 Cloudflare 簽訂 ESA，而且無客製協議者，就會受到我們標準 ESA 的規範拘束。不過企業客戶如持有舊版 ESA 或客製 ESA 或客製 DPA 者，可能不會具備 2021 年歐盟制式化契約條款。我們正在跟這些客戶進行聯繫，確保他們擁有最新的契約文字內容。這些客戶可以對客戶儀表板所提供的標準 DPA 表示同意，該 DPA 包含了 2021 年歐盟制式化契約條款以及我們的額外保護措施規定。客戶如先前仰賴 Cloudflare 的歐盟美國隱私權保護盾認證與瑞士美國隱私權保護盾認證者，亦應至客戶儀表板對已更新的 DPA 表示同意。當您在儀表板時，請前往「配置」標籤，然後選擇「偏好」。請在該處檢視並接受 DPA。

企業客戶如對 DPA 有任何問題，可以聯絡他們的 Customer Success 經理。

我們已經在所有受到 GDPR 規範的新客戶契約中，納入歐盟執委會在 2021 年 6 月 4 日發布的新版 SCC。新版 SCC 包含 18 個月實施緩衝期的落日條款，而我們會在這段時間內為我們的目前客戶實施新版 SCC。

我們體認到，我們有些客戶希望把受 GDPR 規範的任何個人資料保留在歐盟，而不是傳輸到美國進行處理。為滿足這個需求，我們引進了 Data Localization Suite 幫助企業獲得 Cloudflare 全球網路的效能和安全性優勢，同時更輕鬆地針對其資料之保存與及保護地點，在邊緣設定規則和控制措施。

Data Localisation Suite 把既有產品與若干新功能放在一起搭售。

• Regional Services. Cloudflare 在 100 多個國家/地區的 200 多個城市設有資料中心。結合使用 Regional Services 和 Geo Key Manager 解決方案，客戶能夠選擇儲存 TLS 金鑰和 TLS 終止發生的資料中心位置。透過採用 L3/L4 DDoS 緩解措施於全球吸收流量，而安全性、效能和可靠性功能 (例如 WAF、CDN、DDoS 緩解措施等) 則僅在指定的 Cloudflare 資料中心提供。

• 中繼資料邊界。客戶中繼資料邊界能確保可用於識別客戶身分的最終使用者流量中繼資料留在歐盟境內。其中包括客戶可看到的一切記錄檔及分析資料。為達成這個目的，必須確保可用於識別客戶身分的最終使用者中繼資料先流經我們邊緣的單一服務，然後再轉送至我們其中一個核心資料中心。當客戶啟用中繼資料邊界時，我們的邊緣（Edge）就會確保任何能識別客戶身分的記錄檔訊息（即含有該客戶的帳戶ID）不會被傳送至歐盟境外，而只會傳送至我們位於歐盟境內的核心資料中心。

• Keyless SSL。 Keyless SSL 讓客戶可以儲存並管理其自身跟 Cloudflare 搭配使用的 SSL 私密金鑰。客戶可以使用好幾種系統作為其金鑰儲存處，包括硬體安全模組（即「HSM」）、虛擬伺服器、以及裝載於客戶控制的環境中且運行 Unix/Linux 及 Windows 的硬體。

• Geo key Manager。 Cloudflare 擁有真正的國際化客戶群，並且我們也瞭解到，世界各地的客戶對於私密金鑰的放置有不同的監管和法定要求以及不同的風險狀況。秉承這一理念，我們著手設計了一個非常靈活的系統來決定金鑰存放位置。Geo Key Manager 允許客戶限制為僅向特定位置公開其私密金鑰。這類似於無密鑰 SSL，但 Cloudflare 無需在您的基礎結構中執行金鑰伺服器，而是將金鑰伺服器託管到您選擇的位置。

如我們的透明度報告所述，除非有緊急情況，否則 Cloudflare 需要進行有效的法律程序後，才會向政府實體或民事訴訟人提供客戶的個人資訊。我們不會基於未走法律程序的請求，將客戶的個人資訊提供給政府官員。

為確保我們的客戶有機會行使其權利，Cloudflare 的政策是在披露資訊之前，向我們的客戶通知索取客戶資訊的傳票或其他法律程序，無論該法律程序來自於政府還是參與民事訴訟的私人當事人，除非受到法律禁止。具體來說，我們的 DPA 承諾，除非受到法律禁止，否則我們會在能夠確定索取我們代表客戶處理的個人資料的第三方法律程序引發法律衝突時 (例如當個人資料由 GDPR 管轄時)，我們會通知相關客戶。客戶收到有關其個人資料的未決法律請求的通知後，可以尋求干預來阻止披露其個人資料。

此外，美國法律為各公司提供相關機制，讓他們能夠對可能導致法律衝突的命令提出異議，例如索取受 GDPR 規範的資料的合法請求。「CLOUD 法案」 為提供者提供相關機制，讓他們能向法院提出聲請，要求法院駁回或修改造成法律衝突的合法請求。如果公民受影響的外國政府已與美國簽署 CLOUD 法案協議，該程序亦允許提供者向該國政府揭露該請求的存在。Cloudflare 已承諾對任何導致法律衝突的命令，在法律上提出異議。我們到目前為止尚未收到我們認為會導致該等法律衝突的命令。

我們一直密切留意英國在脫離歐盟後對資料保護相關領域所做的變動。Cloudflare 會持續運用歐盟 SCC 機制並搭配英國資料傳輸增補合約（該等機制已納入我們的標準 DPA 中），用以將個人資料傳輸至英國與歐洲經濟區境外。請參閱我們的前述指示說明，確保您掌握適當的 DPA 內容。我們會繼續監控該方面的持續進展，並確保我們持續遵循英國與全球的資料保護法規。