Cloudflare 通過了新的《歐盟雲端行為準則》隱私驗證,證明其符合 GDPR 要求,從而增強了雲端服務的可信度
全球各地的網際網路隱私法各不相同,近年來有很多關於跨境資料傳輸的文章。許多法規要求在個人資訊在全球範圍內流動之前採取充分的保護措施,例如歐洲《一般資料保護規定》(GDPR)。該法律為組織必須如何謹慎處理個人資訊設定了很高的標準,並且在起草法規時,立法者預計到了個人資料的跨境傳輸:該法規的第五章專門涵蓋了這些傳輸。
雖然個人資訊儲存位置的透明度很重要,但如何處理個人資訊以及如何保證其安全也至關重要。在 Cloudflare,我們堅信保護全球個人資訊的隱私,並且我們為客戶就如何以及在何處處理其資料提供了工具和選擇。簡而言之,無論我們的客戶選擇在全球範圍內傳輸資料,還是將資料保留在一個國家/地區,我們都要求以相同、安全和謹慎的方式處理和保護資料。
今天,我們自豪地宣布,我們已成功完成了評估之旅,並獲得了《歐盟雲端行為準則》合規標誌,這表明我們遵守了 GDPR,在全球範圍內保護了雲端的個人資料。
除了儲存位置,個人資訊的處理方式也很重要
GDPR 立法者還預計,組織也希望以一致、透明和安全的方式處理和保護個人資訊。第 40 條稱為「行為準則」,開頭如下:
「成員國、監管當局、理事會和委員會應鼓勵制定行為準則,以促進本條例的適當應用,同時考慮到各處理部門的具體特點和微型、小型和中型企業的具體需要。」
使用行為準則來證明遵守隱私法的歷史也比較悠久。與 GDPR 一樣,開創性的 1995 年歐盟資料保護指令(正式名稱為 95/46/EC 號指令)也包括向國家當局提交社群守則草案,並由歐盟官方機構正式核准這些守則的規定。
GDPR 官方行為準則
自 2016 年 GDPR 通過以來,足足五年時間,第一部行為準則才得到正式批准。最終,2021 年 5 月,由歐盟所有國家資料保護機構代表組成的歐洲資料保護委員會核准了《歐盟雲端服務提供者資料保護行為準則》,簡稱《歐盟雲端行為準則》,這是第一份官方 GDPR 行為準則。《歐盟雲端行為準則》由比利時監管機構代表 SCOPE Europe 提交給董事會,該組織多年來一直合作制定該準則,其中包括歐盟委員會、雲端運算社群成員和歐洲資料保護機構。
該準則是雲端服務購買者和提供者的框架。購買者可以透過簡單明瞭的方式瞭解雲端服務提供者將如何處理個人資訊。雲端服務提供者要接受獨立評估,向雲端服務購買者證明他們將以安全、規範的方式處理個人資訊。就《歐盟雲端行為準則》,只有在獲得正式核准後,符合準則的雲端服務購買者才能知道雲端提供者處理客戶個人資訊的方式符合 GDPR 的規定。
準則涵蓋的內容
該規範明確規定了雲端服務提供者執行 GDPR 第 28 條(「處理者」)及相關條款的要求。該框架涵蓋資料保護原則以及技術和組織安全措施。其中一些章節涉及提供者的條款和條件、保密和記錄保存、客戶的稽核權利、如何處理潛在的資料外洩,以及提供者如何處理子處理(即第三方與主資料處理者一起分包處理個人資料)等等。
該框架還涵蓋了如何在國際範圍內合法傳輸個人資料,儘管《歐盟雲端行為準則》涵蓋了確保以合法合規的方式進行傳輸,但該準則本身並不是第三國傳輸的「保障」或工具。未來的準則更新可能會增加一個模組,但截至 2023 年 3 月,該模組仍在制定中。
讓我們深入瞭解《歐盟雲端行為準則》的一些要求,以及它如何證明符合 GDPR
範例一
準則中的一項要求是制定書面程序來協助客戶進行「資料保護影響評估」。根據 GDPR,這些是:
「...對設想的個人資料保護處理操作的影響進行評估。」- GDPR 第 35.1 條
因此,雲端服務提供者應該制定書面流程來支援客戶進行自己的評估。在為客戶提供支援的過程中,服務提供者也展示了他們對 GDPR 嚴格資料保護標準的承諾。Cloudflare 滿足了這一要求,並透過發佈用於處理個人資料的子處理者的詳細資訊以及引導客戶查看 Cloudflare 儀表板中提供的稽核報告來進一步支援透明度。
GDPR 中還提到了資料保護影響評估背景下的行為準則:
「在評估所執行的處理操作的影響時,應適當考慮遵守核准的行為準則……特別是為了資料保護影響評估的目的。」 - GDPR 第 35.8 條
因此,在準備影響評估時,雲端客戶應考慮服務提供者是否遵守核准的行為準則。這是客戶和雲端提供者從使用行為準則中受益的另一種方式!
範例二
該準則要求的另一個範例是,當雲端服務提供者提供加密功能時,應有效實作這些功能。該要求進一步闡明,應透過採用強大和可信的加密技術、考慮最先進的技術以及充分防止對客戶個人資料的濫用存取來實現這一點。加密對於保護雲端的個人資料至關重要;沒有加密,或加密被削弱或過時,隱私和安全就無從談起。因此,雲端服務提供者適當使用和審查加密,有助於滿足 GDPR 的要求,保護客戶的個人資料。
在 Cloudflare,我們對自己的輝煌往績感到特別自豪:我們免費向所有客戶提供有效的加密。我們協助客戶瞭解加密,最重要的是,我們自己使用強大且值得信賴的加密演算法和技術來保護客戶個人資料。我們擁有一個正式的研究團隊,包括學術研究人員和密碼學家,他們設計和部署最先進的加密通訊協定,旨在提供有效的保護,防止主動和被動攻擊,包括公共當局可用的已知資源;我們使用值得信賴的公開金鑰認證機構和基礎架構。就在這個月,我們宣佈後量子加密應該是免費的,因此我們將永遠免費提供它。
更多資訊
該準則包含 87 項聲明(稱為控制措施)中描述的要求。您可以在 https://eucoc.cloud/en/home 上瞭解有關《歐盟雲端行為準則》的更多資訊,下載該準則的完整復本,並隨時掌握最新消息。
為什麼這對 Cloudflare 客戶很重要
Cloudflare 於去年 5 月加入了歐盟雲端行為準則大會。大會成員需要進行評估,包括宣佈指定的雲端服務符合歐盟雲端準則,並在完成經認可的監督機構 SCOPE Europe 的獨立評估流程後,獲得《歐盟雲端行為準則》合規標誌。
Cloudflare 已完成評估流程,並通過了 47 項雲端服務的驗證。
符合《歐盟雲端行為準則》的 Cloudflare 服務:
經驗證,服務符合《歐盟雲端行為準則》,
驗證 ID:2023LVL02SCOPE4316。
若需要瞭解更多資訊,請造訪 https://eucoc.cloud/en/public-register
但我們不會止步於此……
《歐盟雲端行為準則》是最新的隱私驗證,將新增到我們不斷增長的隱私認證清單中。兩年前,Cloudflare 是業內首批獲得新 ISO 隱私認證 ISO/IEC 27701:2019 的組織之一,也是第一家獲得該認證的網際網路效能和安全公司。去年,Cloudflare 獲得了與個人資料處理相關的第二項國際隱私標準 ISO/IEC 27018:2019 認證。最近,今年 1 月,Cloudflare 與第三方稽核師 Schellman 完成了我們的年度 ISO 稽核;我們的新憑證(涵蓋 ISO 27001:2013、ISO 27018:2019 和 ISO 27701:2019)現已可供客戶從 Cloudflare 儀表板下載。
還有更多即將推出!正如我們在一月份的資料隱私日部落格中提到的那樣,我們正密切關注新興的全球跨境隱私規則 (CBPR) 認證的進展。這項擬議的單一全球認證足以讓參與公司在全球參與國家之間安全地傳輸個人資料,並且已經得到北美和亞洲多個政府的支援,在這方面看起來非常有前景。
Cloudflare 認證
瞭解現有客戶如何從 Cloudflare 儀表板下載 Cloudflare 認證和報告復本;新客戶也可向銷售代表索取這些復本。
有關我們認證和報告的最新資訊,請造訪我們的信任中心。