Cloudflare 在数据隐私和个人信息保护方面一直处于行业领先地位,并始终坚定支持跨司法管辖区的数据自由流动。值此数据隐私日(在国际上也称为“数据保护日”)之际,我们很高兴地宣布,Cloudflare 新增了第四项和第五项隐私认证,两者都是全球第一!Cloudflare 是首个宣布通过全新的全球跨境隐私规则(Global CBPR)数据控制者认证和全球处理者隐私认可(Global PRP)审计的组织。这些认证展示我们对全球标准的支持和遵守,确保跨司法管辖区的数据流动始终尊重隐私。认证正式启动时(我们预计是 2025 年晚些时候),已成功通过审计的组织将获得正式认证。
通过参与全球 CBPR 和全球 PRP,我们的隐私验证资格清单进一步扩大:在国际隐私标准 ISO 27701:2019 发布时,我们是首批进行认证的网络安全组织之一,我们还在 2022 年获得了云隐私认证 ISO 27018:2019 。2023 年,我们增加了第三个隐私认证,正在接受欧盟(EU)独立监管机构的审查,并宣布遵守首个官方 GDPR 行为准则——欧盟云行为准则 。
通过所有这些隐私认证,Cloudflare 证明自身满足了全球 39 个司法管辖区的关键官方隐私认证要求,涵盖澳大利亚、奥地利到瑞典、美国等。另外四个司法管辖区(英国、百慕大、毛里求斯和迪拜国际金融中心)正在加入并认可全球 CBPR 认证体系的过程中。这对 Cloudflare 客户而言意义重大,因为这证明我们建立的隐私保护措施已获得全球各国政府的认可。
过去三年,全球各国政府一直在积极制定两项全新的国际隐私标准。2024 年 4 月 30 日是一个重要的里程碑,当天全球 CBPR 体系正式确立。CBPR 是一个自愿加入、具有执行力的国际性问责制体系,旨在促进成员经济体之间符合隐私保护要求的数据流动。该体系通过制定处理一套个人信息的规则,为用户提供基准级别的隐私保护。尽管各参与成员的司法管辖区都有各自的数据保护法律,该体系通过维护用户隐私的方式促进数据的自由流动。
CBPR 体系由全球 CBPR 论坛(Global CBPR Forum)制定。后者是一个澳大利亚、加拿大、日本、韩国、墨西哥、菲律宾、新加坡、中国台湾和美国等国家/地区政府组成的政府间论坛。英国以及百慕大、毛里求斯和迪拜国际金融中心目前是 CBPR 论坛的准成员,这表明他们有意在未来成为正式成员。
过去一年,我们一直在为全球 CBPR 体系的启动进行积极筹备。2024 年 5 月 1 日,即体系建立后的第一天, Cloudflare 就提交了加入的申请。目前,我们已经达成了一个重要的里程碑——成功完成了各项要求的审核。在面向企业的官方认证正式开放(预计在 2025 年晚些时候)时,我们将成为全球首个获得全球 CBPR 体系认证的组织,同时也将获得相关的全球处理者隐私认证。
全球 CBPR 体系列出了 50 项详细要求,任何组织必须满足这些要求才能获得认证。这些要求源自九项全球 CBPR 隐私原则(Global CBPR Privacy Principles),这些原则与经济合作与发展组织(OECD)隐私保护和个人数据跨境流动准则的核心原则保持一致。这 50 项要求涵盖了组织应如何收集、管理和保护其所保管的个人信息。组织必须满足全部 50 项要求才能获得全球 CBPR 认证。这些要求背后的九项原则是:
预防危害 | 通知 | 收集限制 |
个人信息使用 | 选择 | 个人信息的完整性 |
安全保障 | 访问与更正 | 问责制 |
九项全球 CBPR 隐私原则
全球 CBPR 认证涵盖了组织所控制的个人信息的处理,包括客户、员工和求职者的个人资料。对于 Cloudflare 而言,这还包括网络信息——即我们对全球云平台在提供服务过程中如何处理由 Cloudflare 生成的服务器、网络或流量数据的观察记录。
相关的全球处理者隐私认可(PRP)涵盖对该组织代表其他组织(通常是其客户)处理的个人信息的处理。PRP 的 18 项要求与代表其他组织处理信息时最相关的两项隐私原则有关:安全保障和问责制。对于 Cloudflare,这涵盖了根据我们与所有客户签署的数据处理附录(Data Processing Addendum)而进行的数据处理,主要包括经过我们网络传输的客户内容以及由这些数据流生成的客户日志。组织必须全部满足这 18 项要求,才能获得全球 PRP 认证。
如前所述,全球 CBPR 和全球 PRP 的关键要求涵盖了众所周知的数据保护原则,即通知、选择、收集限制(数据最小化)、数据主体访问和更正权,提供适当的安全性,预防危害,个人信息的完整性、问责制和个人信息的使用。涵盖这些原则的要求有数十项,在此我们仅介绍其中几项。
首先来看通知原则。CBPR 中一项较为明显的要求是问题 1:
您是否提供清晰且易于访问的声明,说明管理上述个人信息的实践和政策(即隐私声明)?
在个人信息的收集和使用方面公开透明是隐私和数据保护的一项关键原则,而公开透明是 Cloudflare 的核心承诺之一。通过将个人信息使用相关的实践和政策编制成文档,我们允许个人决定是否提供其信息。因此,在收集信息时,确保隐私声明可用且可见是最佳实践。事实上,有关提供通知的概念在欧盟 GDPR 第 13 条中有明确规定。Cloudflare 满足了这项 CBPR 要求的方式是在网站各页面的页脚提供清晰且易于访问的隐私声明。在通过网页表单等方式收集个人数据时,我们也会提供隐私声明的链接。
问题 8 涉及我们使用个人信息的方式:
对于直接收集或通过代表您的第三方收集的个人信息,您是否按照隐私声明中所述限制其使用。
Cloudflare 一直秉持着这个承诺:所收集的个人信息仅用于提供我们的服务。我们的业务基于为客户提供一系列工具,用于保护其网络应用并使其更快、更安全、更可靠和更私密。我们在隐私政策中承诺,我们将“仅在提供服务所必需或本政策其他规定的情况下共享或披露您的个人信息,除非我们事先通知并给予您同意的机会。”我们还会维护内部文档(遵守 CBPR 的问责原则),来记录我们正在处理的数据以及我们处理数据的目的。
全球 CBPR 和全球PRP 的另一组关键要求与安全保障措施有关。CBPR 要求的问题 27 是:
请描述您已实施的物理、技术和管理保障措施,以保护个人信息免受丢失、未经授权的访问、破坏、使用、修改、披露或其他滥用等风险。
全球 PRP 中的类似要求是问题 2:
请描述贵组织为实施信息安全政策而采取的物理、技术和管理保障措施。
Cloudflare 已根据 ISO/IEC 2700 系列标准实施信息安全计划。Cloudflare 安全计划的详情,包括为保护个人信息而实施的物理、技术和管理保障措施, 记载在 Cloudflare 的客户数据处理附录 附件2(“技术和组织安全措施”)中。
与问责原则相关的问题 46:
对于代表您处理个人信息的个人信息处理者、代理商、承包商或其他服务提供商,您是否建立了相关机制以确保其履行您对个人的义务?
当供应商需要处理我们或我们客户的个人信息时,我们要求其与我们签署数据处理附录。这确保了我们在客户协议中作出的承诺能够传递至供应商,包括安全要求在内,使供应商和我们双方都需要承担相应责任。
我们高度期待预计将于 2025 年晚些时候启动的全球 CBPR 认证。值此数据隐私日,我们很自豪能够再次展示我们对保护个人数据隐私这一普遍认可原则的承诺。
您可以访问 globalcbpr.org 了解关于全球 CBPR 体系、全球 PRP 的更多信息,下载有关要求的完整文档,并获取最新的相关消息。
有关我们的认证的最新信息,请访问我们的信任中心。客户还可以从 Cloudflare 仪表板了解如何下载 Cloudflare 认证和报告的副本。