디지털 서비스법(DSA)

주요 사업장이 유럽, 중동 또는 아프리카(총칭하여 EMEA)에 있는 고객은 F5 Networks, Ltd.와의 계약을 통해 서비스를 받습니다. 영국에 본사를 두고 영국 법률에 따라 설립된 F5 Networks는 F5의 EMEA 운영의 중심지입니다. EU와 스위스 당국은 영국 법률이 개인 데이터 보호를 제공하고 GDPR 제5장 및 동등한 스위스 법률의 요구 사항을 완전히 충족한다는 것을 인정했습니다. 

아시아 태평양(APAC) 지역에 본사를 둔 고객은 싱가포르에 있는 F5 Networks Singapore Pte Ltd.와 계약을 맺습니다. 다른 모든 고객(북미에 본사를 둔 고객 포함)은 미국에 있는 F5, Inc.와 계약을 맺습니다. 모든 F5 서비스에 대해 서비스별 약관 에 의해 보완된 데이터 보호 추가 조항(DPA) 에는 표준 계약 조항과 F5에 대한 모든 법적 적용 가능한 전송에 적용되는 규정이 포함되어 있습니다. 이 표준 계약 조항에는 영국 정부가 발행한 영국 내 데이터 전송에 관한 국제 데이터 전송 부록과 스위스 연방 데이터 보호 및 정보 위원이 발행한 스위스 내 데이터 전송에 관한 추가 언어가 함께 제공됩니다. 관련 서비스에 대해 F5는 또한 EU-US 인증을 유지하고 있습니다. 데이터 개인 정보 보호 프레임워크, EU-US에 대한 영국 확장 데이터 개인정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.

예. F5는 관련 서비스에 대해 EU-U.S. 인증을 유지 관리합니다. 데이터 개인 정보 보호 프레임워크, EU-U.S. 협정의 영국 확장 버전 데이터 개인 정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.

아니요. 슈렘스 II 판결의 초점이었던 이 두 가지 미국 법률 조항은 F5에 영향을 미치지 않습니다. 어떤 경우든 Schrems II 판결에 따른 미국 법률의 개선으로 인해 유럽 위원회는 유럽 의회 및 이사회 규정(EU) 2016/679에 따라 2023년 7월 10일 시행 결정에서 EU-US 협정에 따른 개인 데이터 보호의 적정 수준에 대해 결정했습니다. 데이터 개인정보 보호 프레임워크 이전에 해당 조항에 대해 제기되었던 우려는 해결되었습니다. 유럽 데이터 보호 위원회(EDPB)는 유럽 위원회의 결정을 분석하고( 2023년 7월 10일 적정성 결정 채택 후 GDPR에 따라 미국으로 전송되는 데이터에 대한 정보 참고 자료에서) "미국 정부가 국가 안보 분야에서 도입한 모든 보호 조치(구제 메커니즘 포함)는 사용된 전송 도구에 관계없이 미국으로 전송되는 모든 데이터에 적용됩니다"(즉, 데이터가 데이터 개인 정보 보호 프레임워크, 표준 계약 조항 또는 다른 전송 도구를 통해 미국으로 전송되는지 여부에 관계없이).

F5는 FISA 702에 따라 데이터 접근 요청이나 다른 종류의 지침을 받은 적이 없습니다. 많은 F5 서비스는 FISA 702 지침의 대상이 될 수 없는 서비스 유형입니다. 또한 F5 서비스의 거의 모든 고객의 경우 F5는 타겟팅이 가능한 유형의 데이터를 처리하지 않습니다. FISA 702 지침에 따라 대량 살상 무기 확산, 미국에 대한 외국의 공격 계획, 외국 스파이의 비밀 활동에 대한 정보 또는 FISA 의미 내의 기타 "외국 정보"에 대한 데이터에 적용됩니다.

F5는 EO 12333에 따라 고객 데이터를 제출하라는 명령을 받을 수 없습니다. EO 12333 명령이라는 것이 존재하지 않기 때문입니다. 행정명령 12333은 미국 정보 커뮤니티 내에 특정한 책임을 할당하지만, 민간 부문에는 어떠한 의무도 부과하지 않습니다. F5는 전송 중인 데이터를 암호화하고, 2023년 유럽 위원회 적정성 결정 이전에 슈렘스 II 법원이 우려했던 이론적인 가로채기 활동으로부터 보호하기 위해 추가적인 보안 조치를 사용합니다.

CLOUD법은 미국 정부에 미국에서 사업을 하는 기업에 데이터를 요구할 수 있는 새로운 권한을 부여하지 않았습니다. 미국 정부는 "CLOUD Act 명령"을 내리지 않으며 F5는 한 번도 명령을 받은 적이 없습니다. CLOUD법은 미국 정부가 적절한 기존 법적 절차(예: 연방 지방 법원 판사의 명령을 받아)에 따라 회사에 해당 회사가 소유, 보관 또는 관리하는 특정 데이터를 제공하도록 지시하는 경우, 해당 데이터의 위치가 회사가 명령에 이의를 제기하는 근거가 될 수 없다는 점을 명확히 했습니다(단, 해당 위치에서 시행 중인 법률과 충돌하는 경우는 여전히 근거가 될 수 있음). CLOUD법은 2020년 슈렘스 2세 판결 이전부터 시행되어 왔습니다. 슈렘스 2세 판결 이후 미국은 정부의 데이터 접근과 관련된 규칙과 관행을 다양하게 개선했습니다. 그런 다음 유럽 위원회는 이러한 개선 사항을 평가하고 미국 정부의 데이터 요구에 적용되는 미국법이 이제 GDPR의 의미 내에서 적절한 수준의 보호를 제공한다고 결정했습니다. 보다 유럽 의회 및 이사회 규정(EU) 2016/679에 따른 2023년 7월 10일 시행 결정 EU-US 개인 정보 보호의 적정 수준에 대해 데이터 개인 정보 보호 프레임워크 . 유럽 데이터 보호 위원회(EDPB)는 이 결정을 분석하고( 2023년 7월 10일 적정성 결정 채택 후 GDPR에 따라 미국으로 전송되는 데이터에 대한 정보 참고 자료에서) "미국 정부가 국가 안보 분야에서 시행한 모든 보호 조치(구제 메커니즘 포함)는 사용된 전송 도구에 관계없이 미국으로 전송되는 모든 데이터에 적용됩니다"(즉, 데이터가 데이터 개인 정보 보호 프레임워크, 표준 계약 조항 또는 다른 전송 도구를 통해 미국으로 전송되는지 여부에 관계없이).

F5의 고객 관계의 특성과 F5가 고객을 위해 처리하는 제한적인(그리고 일반적으로 암호화된) 데이터를 고려할 때 이러한 요구는 매우 드뭅니다. 고객 데이터에 대한 모든 요구에 대한 F5의 정책은 (i) 법적으로 허용되는 경우 즉시 고객에게 통지한 다음 고객의 해결에 협조하거나 (ii) 고객 통지가 불법인 경우 요청 권한을 고객에게 재지정하려고 시도하는 것입니다. 이러한 노력으로도 문제가 해결되지 않으면 F5는 요구의 합법성을 평가하고 이에 대해 모든 합리적인 이의를 제기합니다(예: 항소). 여기에는 요청을 준수하는 것이 GDPR 또는 기타 관련 법률을 위반하는지 여부가 포함됩니다. 이 과정에서 F5는 항소 절차를 포함하여 유능한 사법 당국이 그 이유에 대해 결정을 내릴 때까지 청구의 효력을 정지해 달라고 요청할 것입니다. F5는 해당 절차 규칙에 따라 요구되지 않는 한 그러한 상황에서 어떠한 데이터도 공개하지 않습니다. 해당 지점에 도달하면 F5는 원래 요구 사항 중 나머지를 준수하는 데 필요한 최소한의 데이터만 공개하게 됩니다.

F5 서비스에 대한 모든 고객 계약( 최종 사용자 서비스 계약(EUSA) )에는 F5의 데이터 보호 추가 조항(DPA) 을 통합 및 보완하는 서비스별 약관이 포함되어 있습니다. DPA에는 영국 또는 스위스 법에 따른 전송에 대한 관련 추가 언어와 함께 표준 계약 조항이 포함됩니다. 어떤 경우에는 고객과 F5가 동일한 보호 조치를 통합한 별도의 계약을 맺게 됩니다. 여기에는 특정 F5 지원 서비스 계약이 포함됩니다. 고객은 F5가 EU-US 인증을 받았음을 보여주는 https://www.dataprivacyframework.gov/list 도 참조할 수 있습니다. 데이터 개인 정보 보호 프레임워크, EU-US에 대한 영국 확장 데이터 개인정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.

영국을 포함한 "제3국"에 있는 F5 기관으로의 전송의 경우, F5와 그 고객은 영국 정보 위원회 웹사이트에서 확인할 수 있고 영국 법률에 따라 관리되는 관련 전송에 대한 F5 DPA 에 참조로 포함된 EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 추가 조항을 따릅니다. 또한, 특정 서비스의 경우 F5는 EU-US에 대한 영국 확장에 따라 인증을 받았습니다. 데이터 개인정보 보호 프레임워크.