通用数据保护条例 (GDPR) 和数据保护框架
《通用数据保护条例》(GDPR)是欧盟法律,适用于所有组织,无论其位于何处,只要其在欧洲经济区(EEA;欧盟 27 个成员国以及冰岛、挪威和列支敦士登)内处理人们的个人数据,向他们提供商品或服务或监控他们的行为。 根据 GDPR,组织需要确定处理个人数据的法律依据,通知个人收集了哪些数据以及将如何使用这些数据,尊重个人访问、更正或删除有关他们的信息的请求,采用适当的安全控制措施保护个人数据未授权访问,通知个人和当局数据泄露的情况,任命数据保护官,并在活动开始时而不是事后考虑隐私。 GDPR 还限制将个人数据转移到欧洲经济区以外,除非有保障措施确保接收管辖区提供基本同等的保护。
F5 遵守 GDPR,详情请参阅我们的隐私声明。 F5 作为处理者为其分布式云平台客户(即控制者)提供服务(或作为处理者的客户的子处理者)。 因此,F5 对于我们的每款分布式云产品均遵守第 28 条。 F5 是欧盟-美国数据隐私框架的参与者,欧盟委员会已确定该框架为向美国参与公司转移数据提供了充分的保护,并利用标准合同条款保护为支持目的而转移到全球 SOC 位置的个人数据。 此外,F5 拥有强大的隐私和安全计划,以确保客户能够履行 GDPR 规定的义务。 联系销售代表索取 F5 每年发布的 SOC 2 Type II 报告的副本,该报告可在 NDA 下获得,其中包含一个将其控制措施与 GDPR 下的要求进行映射的表格。
常问问题
F5 为其客户处理哪些个人数据?
对于许多服务,F5 充当提供服务所需的个人数据的“处理者”(而非控制者)。 F5 处理的个人数据的详细信息列于每项服务的隐私声明中。 在https://www.f5.com/company/policies/privacy-notice上,您可以找到有关 F5隐私声明介绍的所有特定于服务的隐私声明链接。
F5 针对个人数据提供哪些具体的安全措施?
F5 及其服务优先保护个人数据并坚持最高的数据隐私标准。 [TJ1] [AC2]特定服务合同(例如,适用于我们最终用户服务协议下提供的服务的特定服务条款)和 F5 的 SOC2 Type II 报告中列出了保护 F5 收集的个人数据的技术和组织控制措施。 F5 全球支持已通过 ISO 27001 认证,F5 分布式云服务也已通过 ISO 27001 认证,同时还通过了 ISO 27017 和 ISO 27018 的扩展认证。 作为 F5 分布式云服务的一级服务提供商,F5 还符合 PCI-DSS 标准。 额外的安全认证适用于特定的 F5 服务和 F5 硬件。 有关数据安全实践的更多详细信息,请访问https://www.f5.com/company/policies/privacy-notice 。
F5 及其客户如何满足 GDPR 第五章的要求以及英国和瑞士法律关于向美国和其他国家传输个人数据的类似要求?
主要营业地点位于欧洲、中东或非洲(统称为 EMEA)的客户通过与 F5 Networks, Ltd. 签订合同获得服务。 F5 Networks 总部位于英国,并依据英国法律注册成立,是 F5 EMEA 地区业务的中心。 欧盟和瑞士当局已经承认英国法律为个人数据提供保护,完全满足 GDPR 第五章和同等瑞士法律的要求。
总部位于亚太地区 (APAC) 的客户与新加坡的 F5 Networks Singapore Pte Ltd. 签订合同。 所有其他客户(包括总部位于北美的客户)均与美国 F5, Inc. 签订合同。 对于所有 F5 服务,数据保护附录 (DPA) (由服务特定条款补充)包括适用于所有合法适用于 F5 的转移的标准合同条款和规定。 这些标准合同条款附有英国政府针对英国转移发布的国际数据传输附录,以及瑞士联邦数据保护和信息专员针对瑞士转移发布的附加语言。 对于相关服务,F5 还拥有欧盟-美国认证 英国对欧盟-美国数据隐私框架的延伸 数据隐私框架以及瑞士-美国 数据隐私框架。
F5 是否通过了数据隐私框架认证?
是的。 对于相关服务,F5 拥有欧盟-美国认证。 数据隐私框架,英国对欧盟-美国的延伸 数据隐私框架以及瑞士-美国 数据隐私框架。
美国做吗? Schrems II 裁决中讨论的《外国情报监视法》(“FISA”)第 702 条和行政命令(EO)12333 是否影响 F5?
不。 这两项美国法律规定是Schrems II裁决的焦点,但对 F5 不会产生影响。 无论如何,由于美国法律在 施雷姆斯二世 欧盟委员会在其决定中确定 根据欧洲议会和理事会关于欧盟-美国个人数据充分保护水平的条例 (EU) 2016/679 于 2023 年 7 月 10 日颁布的实施决定。 数据隐私框架表示,早先对这些条款的担忧已经得到解决。 欧洲数据保护委员会(EDPB)分析了欧盟委员会的决定,并指出(在 2023 年 7 月 10 日通过充分性决定后根据 GDPR 向美国传输数据的信息说明中)“美国政府在国家安全领域实施的所有保障措施(包括补救机制)适用于所有传输到美国的数据,无论使用何种传输工具”(即,无论数据是通过数据隐私框架、标准合同条款还是其他传输工具传输到美国)。
F5 从未收到过数据访问请求或 FISA 702 下的任何其他类型的指令。 许多 F5 服务不属于符合 FISA 702 指令要求的服务类型。 此外,对于几乎所有 F5 服务的客户,F5 不会处理符合目标的数据类型 根据《外国情报监视法》第 702 号指令,该指令适用于有关大规模杀伤性武器扩散的数据、外国势力袭击美国的计划、有关外国间谍秘密活动的情报或《外国情报监视法》所定义的其他“外国情报信息”。
F5 也无法收到根据 EO 12333 提供客户数据的命令,因为根本不存在 EO 12333 命令。 EO 12333 在美国情报界内分配了某些责任,但没有对私营部门施加任何义务。 F5 对传输中的数据进行加密,并使用额外的安全措施来防止上述 2023 年欧洲委员会充分性裁定之前Schrems II法庭所关注的理论拦截活动。
美国如何 2018 年《澄清合法海外使用数据(“CLOUD”)法案》是否会影响美国政府要求访问数据的能力?
CLOUD法案并没有赋予美国政府新的权力去要求在美国开展业务的公司提供数据。 美国政府并未发布“CLOUD Act 命令”,F5 也从未收到过这样的命令。 CLOUD 法案明确指出,当美国政府遵循现有的适当法律程序(例如获得联邦地区法院法官的命令)指示某公司提供其持有、保管或控制的特定数据时,数据所在地不能成为公司质疑该命令的依据(但与该所在地现行法律相冲突仍可能成为依据)。 《CLOUD 法案》自 2020 年Schrems II裁决之前就已生效。 在Schrems II裁决之后,美国对其政府获取数据的规则和实践进行了多项改进。 随后,欧盟委员会评估了这些改进,并确定适用于美国政府数据要求的美国法律现在在 GDPR 的含义范围内提供了足够的保护水平。 看 根据欧洲议会和理事会条例 (EU) 2016/679 于 2023 年 7 月 10 日颁布的实施决定 关于欧盟-美国个人数据保护的充分水平 数据隐私框架。 欧洲数据保护委员会(EDPB)分析了这一决定,并指出(在 2023 年 7 月 10 日通过充分性决定后根据 GDPR 向美国传输数据的信息说明中)“美国政府在国家安全领域实施的所有保障措施(包括补救机制)适用于所有传输到美国的数据,无论使用何种传输工具”(即,无论数据是通过数据隐私框架、标准合同条款还是其他传输工具传输到美国)。
F5 处理政府数据需求的政策是什么?
鉴于 F5 的客户关系性质以及 F5 为客户处理的有限(且通常加密)数据,这种要求极为罕见。 F5 对于任何客户数据需求的政策是:(i) 如果法律允许,及时通知客户,然后配合客户解决问题;或者 (ii) 如果通知客户不合法,则尝试将请求权限重新交给客户。 如果这些努力不能解决问题,F5 将评估该要求的合法性并提出一切合理的质疑(例如上诉),包括遵守该请求是否会违反 GDPR 或其他相关法律。 在此过程中,F5 将请求暂停该要求的效力,直到主管司法机关对其实质做出裁决,包括通过任何上诉程序。 在这种情况下,F5 不会披露任何数据,除非适用的程序规则要求这样做。 如果达到这一点,F5 将仅披露满足原始要求剩余部分所需的最少数据。
客户如何确保 F5 拥有适当的跨境数据传输机制?
F5 服务的每一份客户合同(最终用户服务协议 (EUSA) )均包含服务特定条款,这些条款整合并补充了 F5 的数据保护附录 (DPA) ,其中包含标准合同条款以及受英国或瑞士法律约束的转移的相关附加语言。 在某些情况下,客户和 F5 将签订包含相同保护的不同合同,例如针对特定 F5 支持服务的合同。 客户还可以参考https://www.dataprivacyframework.gov/list ,其中显示 F5 已通过欧盟-美国认证 英国对欧盟-美国数据隐私框架的延伸 数据隐私框架以及瑞士-美国 数据隐私框架。
F5 及其客户如何处理受英国数据保护法约束的个人数据传输?
对于向包括英国在内的“第三国”的 F5 实体进行的传输,F5 及其客户依赖欧盟委员会标准合同条款的国际数据传输附录,该附录可在英国信息专员的网站上查阅,并通过引用纳入 F5 的DPA ,用于受英国法律管辖的相关传输。 此外,对于某些服务,F5 已获得英国对欧盟-美国扩展的认证 数据隐私框架。
