在一份新聞稿中,我們的隱私權衛士對與 EUCS(未來歐洲雲端供應商的網路安全基準)相關的最新歐洲談判表示擔憂。當局建議重新引入域外法律豁免標準——事實上,該標準排除了美國該領域的三大領導者:AWS、Azure 和Google雲端。
這是一個“保障基本權利和自由»,以及 7 月 19 日所發表的立場文件。在一份意見中,我們隱私的守護者CNIL對歐洲雲端認證專案(雲端運算),稱為「EUCS」感到震驚。在布魯塞爾談判的最新版本中,我'«歐盟雲端服務網路安全認證計劃»,未來雲端的技術網路安全要求將不允許「防止外國當局存取敏感數據» 法國和歐洲人的數據,例如來自各部會的數據或衛生數據,對 CNIL 表示遺憾。
然而,這是其目標之一:定義一套 27 項標準來保護此類數據免受“問候» 外部各方,無論是外國或駭客。最終,可能必須處理或儲存此類資料的雲端提供者將必須被貼上「EUCS」標籤。
分歧的核心:域外法律的豁免
問題是,自 2020 年以來,歐盟 (EU) 27 個國家未能就歐洲網路安全法規(或《網路安全法案》)規定的這項認證達成協議。法國等一些國家希望 EUCS 最高層禁止外國及其特工部門對託管資料進行任何干擾(任何觀點)。為此,最初的版本包含了與歐洲主權相關的條件,即域外法律(主要是美國法律)的豁免權。此類立法(例如《外國情報監視法案》或《雲端法案》)迫使在美國設有子公司或母公司的公司與中央情報局或聯邦調查局等情報機構共享其託管的數據,包括在國外(因此在歐洲) )。
透過插入這項條件,歐洲人實際上向美國該領域的領導者,即AWS(亞馬遜)、Azure(微軟)和谷歌雲端關閉了大門,因為後者確實受到這些域外法律的約束。然而,在最後討論的版本中,域外法律豁免被取消, «即使是最高認證級別,甚至是可選的»,對 CNIL 表示遺憾。
另請閱讀:EUCS:歐洲是否即將放棄其主權標準?
然而,如果這個版本(無豁免權)獲得批准,這意味著“參與者將(不再擁有)一個具體的框架來保證在此類處理的背景下保護歐洲公民的基本權利和自由»,國家委員會指出。其他維權人士、某些歐洲公司,甚至巴黎也持有同樣的觀點,他們認為,如果沒有這個條件,我們的敏感資料將無法充分保護。
「法律、經濟、科技、產業」問題
為了自由的守護者,「缺乏包括「豁免」標準在內的水平在法律、經濟、技術和工業層面造成了問題」。如果沒有這個條件,首先就不可能「推動歐洲雲端產品的發展» 因為政府和公司不會被迫選擇不受域外法律約束的雲端服務商——換句話說,他們可能不會選擇歐洲供應商。對後者來說,這足以構成一個錯失的機會,因為後者本來可以進入高端市場並掌權。然而,CNIL 寫道,正是透過公共採購和美國 FedRAMP 等計劃,美國產業的三位領導者已經佔據主導地位。
法國線上文件儲存與分享公司 Leviia 的共同創辦人 William Méauzoone 也持相同的觀點。對於總經理來說,「認證必須包含針對非歐洲立法的嚴格的豁免和主權標準」。目標是“不僅保護敏感數據,還能激發法國企業在雲端的創新與競爭力»,他寫信給01網。
CNIL 指出,取消這項條件也將遇到法律問題。如今,由於法國的「雲端為中心」原則,雲端提供者必須尊重法國對最敏感資料的這種豁免條件。
然而,隨著未來歐洲認證將取代國家標籤,法國是否會被迫降低其要求?在法國,獲得國家SecNumCloud認證,交付由國家資訊系統安全局 (ANSSI) 制定,對政府或健康資料等最敏感的資料施加這種豁免權。 CNIL 認為,歐洲的情況也一定如此。這大型健康資料庫、犯罪資料甚至與未成年人有關的資料應由«服務提供者完全受歐洲法律管轄並提供足夠的保護水平「,她相信。
法國和法國的這一建議被添加到許多(法國)主張維持 EUCS 中主權標準的聲音中,這是避免將我們的數據放在銀盤上的一種方式……美國雲巨頭可以訪問。未來的談判是否會在新的歐盟委員會重組後恢復談判中跟進?
