Cloudflare 通过了新的《欧盟云行为准则》隐私验证,证明其符合 GDPR 要求,从而增强了云服务的可信度
全球各地的互联网隐私法各不相同,近年来有很多关于跨境数据传输的文章。许多法规要求在个人信息在全球范围内流动之前采取充分的保护措施,例如欧洲《通用数据保护条例》(GDPR)。该法律为组织必须如何谨慎处理个人信息设定了很高的标准,并且在起草法规时,立法者预计到了个人数据的跨境传输:该法规的第五章专门涵盖了这些传输。
虽然个人信息存储位置的透明度很重要,但如何处理个人信息以及如何保证其安全也至关重要。在 Cloudflare,我们坚信保护全球个人信息的隐私,并且我们为客户就如何以及在何处处理其数据提供了工具和选择。简而言之,无论我们的客户选择在全球范围内传输数据,还是将数据保留在一个国家/地区,我们都要求以相同、安全和谨慎的方式处理和保护数据。
今天,我们自豪地宣布,我们已成功完成了评估之旅,并获得了《欧盟云行为准则》合规标志,这表明我们遵守了 GDPR,在全球范围内保护了云中的个人数据。
除了保存位置,个人信息的处理方式也很重要
GDPR 立法者还预计,组织也希望以一致、透明和安全的方式处理和保护个人信息。第 40 条称为“行为准则”,开头如下:
“成员国、监管当局、理事会和委员会应鼓励制定行为准则,以促进本条例的适当应用,同时考虑到各处理部门的具体特点和微型、小型和中型企业的具体需要。”
使用行为准则来证明遵守隐私法的历史也比较悠久。与 GDPR 一样,开创性的 1995 年欧盟数据保护指令(正式名称为 95/46/EC 号指令)也包括向国家当局提交社区守则草案,并由欧盟官方机构正式批准这些守则的规定。
GDPR 官方行为准则
自 2016 年 GDPR 通过以来,足足五年时间,第一部行为准则才得到正式批准。最终,2021 年 5 月,由欧盟所有国家数据保护机构代表组成的欧洲数据保护委员会批准了《欧盟云服务提供商数据保护行为准则》,简称《欧盟云行为准则》,这是第一份官方 GDPR 行为准则。《欧盟云行为准则》由比利时监管机构代表 SCOPE Europe 提交给董事会,该组织多年来一直合作制定该准则,其中包括欧盟委员会、云计算社区成员和欧洲数据保护机构。
该准则是云服务购买方和提供方的框架。购买方可以通过简单明了的方式了解云服务提供商将如何处理个人信息。云服务提供商要接受独立评估,向云服务购买方证明他们将以安全、规范的方式处理个人信息。就《欧盟云行为准则》,只有在获得正式批准后,符合准则的云服务购买者才能知道云提供商处理客户个人信息的方式符合 GDPR 的规定。
准则涵盖的内容
该规范明确规定了云服务提供商执行 GDPR 第 28 条(“处理者”)及相关条款的要求。该框架涵盖数据保护政策以及技术和组织安全措施。其中一些章节涉及提供商的条款和条件、保密和记录保存、客户的审计权利、如何处理潜在的数据泄露,以及提供商如何处理子处理(即第三方与主数据处理者一起分包处理个人数据)等等。
该框架还涵盖了如何在国际范围内合法传输个人数据,尽管《欧盟云行为准则》涵盖了确保以合法合规的方式进行传输,但该准则本身并不是第三国传输的“保障”或工具。未来的准则更新可能会增加一个模块,但截至 2023 年 3 月,该模块仍在制定中。
让我们深入了解《欧盟云行为准则》的一些要求,以及它如何证明符合 GDPR
示例一
准则中的一项要求是制定书面程序来协助客户进行“数据保护影响评估”。根据 GDPR,这些是:
“...对设想的个人数据保护处理操作的影响进行评估。”- GDPR 第 35.1 条
因此,云服务提供商应该制定书面流程来支持客户进行自己的评估。在为客户提供支持的过程中,服务提供商也展示了他们对 GDPR 严格数据保护标准的承诺。Cloudflare 满足了这一要求,并通过发布用于处理个人数据的子处理者的详细信息以及引导客户查看 Cloudflare 仪表板中提供的审核报告来进一步支持透明度。
GDPR 中还提到了数据保护影响评估背景下的行为准则:
“在评估所执行的处理操作的影响时,应适当考虑遵守批准的行为准则……特别是为了数据保护影响评估的目的。” - GDPR 第 35.8 条
因此,在准备影响评估时,云客户应考虑服务提供商是否遵守批准的行为准则。这是客户和云提供商从使用行为准则中受益的另一种方式!
示例二
该准则要求的另一个例子是,当云服务提供商提供加密功能时,应有效实施这些功能。该要求进一步阐明,应通过采用强大和可信的加密技术、考虑最先进的技术以及充分防止对客户个人数据的滥用访问来实现这一点。加密对于保护云中的个人数据至关重要;没有加密,或加密被削弱或过时,隐私和安全就无从谈起。因此,云服务提供商适当使用和审查加密,有助于满足 GDPR 的要求,保护客户的个人数据。
在 Cloudflare,我们对自己的辉煌往绩感到特别自豪:我们免费向所有客户提供有效的加密。我们帮助客户了解加密,最重要的是,我们自己使用强大且值得信赖的加密算法和技术来保护客户个人数据。我们拥有一个正式的研究团队,包括学术研究人员和密码学家,他们设计和部署最先进的加密协议,旨在提供有效的保护,防止主动和被动攻击,包括公共当局可用的已知资源;我们使用值得信赖的公钥认证机构和基础设施。就在这个月,我们宣布后量子加密应该是免费的,因此我们将永远免费提供它。
更多信息
该准则包含 87 项声明(称为控制措施)中描述的要求。您可以在 https://eucoc.cloud/en/home 上了解有关《欧盟云行为准则》的更多信息,下载该准则的完整副本,并随时掌握最新消息。
为什么这对 Cloudflare 客户很重要
Cloudflare 于去年 5 月加入了欧盟云行为准则大会。大会成员需要进行评估,包括宣布指定的云服务符合欧盟云准则,并在完成经认可的监督机构 SCOPE Europe 的独立评估流程后,获得《欧盟云行为准则》合规标志。
Cloudflare 已完成评估流程,并通过了 47 项云服务的验证。
符合《欧盟云行为准则》的 Cloudflare 服务:
经验证,服务符合《欧盟云行为准则》,
验证 ID:2023LVL02SCOPE4316。
若需要了解更多信息,请访问 https://eucoc.cloud/en/public-register
但我们不会止步于此……
《欧盟云行为准则》是最新的隐私验证,将添加到我们不断增长的隐私认证列表中。两年前,Cloudflare 是业内首批获得新 ISO 隐私认证 ISO/IEC 27701:2019 的组织之一,也是第一家获得该认证的互联网性能和安全公司。去年,Cloudflare 获得了与个人数据处理相关的第二项国际隐私标准 ISO/IEC 27018:2019 认证。最近,今年 1 月,Cloudflare 与第三方审计师 Schellman 完成了我们的年度 ISO 审计;我们的新证书(涵盖 ISO 27001:2013、ISO 27018:2019 和 ISO 27701:2019)现已可供客户从 Cloudflare 仪表板下载。
还有更多即将推出!正如我们在一月份的数据隐私日博客中提到的那样,我们正密切关注新兴的全球跨境隐私规则 (CBPR) 认证的进展。这项拟议的单一全球认证足以让参与公司在全球参与国家之间安全地传输个人数据,并且已经得到北美和亚洲多个政府的支持,在这方面看起来非常有前景。
Cloudflare 认证
了解现有客户如何从 Cloudflare 仪表板下载 Cloudflare 认证和报告副本;新客户也可向销售代表索取这些副本。
有关我们认证和报告的最新信息,请访问我们的信任中心。