負責就數位問題向政府提供意見和建議的法國委員會已經開始討論「EUCS」這個棘手的話題,這是歐洲雲端未來的網路安全標籤,目前正在布魯塞爾進行談判。她懇求將主權標準重新納入這個標籤中。對後者來說,保護歐洲人的「敏感和戰略數據免受中國和美國的外國干涉」是「迫切需要」。
這是一個技術主題,但仍應引起我們的充分關注。在 CNIL 發布近兩個月後,高級數位和郵政委員會 (CSNP) 於 9 月 4 日星期三發布了其對EUCS的意見。幾個月來,l“歐盟雲端服務網路安全認證計劃”是一個保證整個歐洲雲端供應商共同網路安全標準的標籤,是歐盟 (EU) 27 個國家之間激烈談判的主題。
正如 CNIL 去年 7 月所指出的那樣,法國議會委員會 CSNP 就數位問題發表不具約束力的意見,要求政府努力重新整合主權標準,即對非歐洲域外法律的豁免權。
域外法律豁免意味著什麼?
域外法律是指在其境外適用的國家的法律。這個字具體指的是2017年的中國法律,甚至是美國 FISA 法案第 702 條它們分別適用於中國(華為、阿里巴巴、騰訊)或美國(AWS、Azure 或Google雲端)雲端供應商,無論他們在國內或國外運作。如果這些公司提出要求,他們就會強迫這些公司與中國或美國情報機構分享歐洲數據。包括這些資料何時託管在歐洲,無論是涉及個人資料、策略公司資料或政府資料。
為了繞過美國或中國對我們數據的訪問,歐洲有一個想法,即在未來適用於雲端的歐洲標籤中插入域外法律豁免權——「高+」等級——就像法國已經在這樣做的那樣SecNumCloud。這意味著雲端提供者將不必遵守這些法律來託管最敏感的資料。因此,該規則將把所有美國(AWS、Azure、Google雲端)和中國(華為、阿里巴巴等)雲端供應商排除在最高層級之外。
議會委員會在展開 EUCS 的政治和經濟問題之前回憶道,這不符合美國雲端運算者的口味:對法國政府的文本進行解釋,法國政府可以在布魯塞爾使用它來進一步說服。
美國的反應
因為,如果該認證最初規定了最高級別的域外法律豁免權(CSNP 將其指定為“高+”),那麼在“美國反應”之後,去年情況發生了變化。
另請閱讀:EUCS:歐洲是否即將放棄其主權標準?
歐盟委員會回憶稱,2023 年 5 月,主導歐洲大部分市場的美國雲巨頭向白宮抱怨 EUCS(初始版本)將構成“對美國國家安全的威脅」。他們在實質上解釋說,EUCS 將使美國雲端公司處於不利地位,而有利於本地替代方案。四個月後,美國國務卿安東尼·布林肯寫信給歐盟委員會,EUCS(帶有“高+”)“可以 ”,不多也不少,「在經濟和安全方面損害美國和歐盟之間的雙邊關係»,強調議會委員會。
布魯塞爾非常重視這項警告。隨後,歐洲高層要求 ENISA(歐洲網路安全機構)審查 EUCS,從而導致該計劃於 2024 年初推出新的淡化版本(不包含「High +」)。一個版本“最終可能帶來難以承受的經濟、地緣政治和法律風險»,CSNP 寫道。因為如果沒有這個具有豁免權的EUCS,歐洲將很難“擺脫日益依賴美國業者的局面“,她繼續說。
支持或反對域外法律豁免
在這場辯論中,我們一方面發現那些主張納入「主權」標準的人,透過將歐盟最高級別(「高+」)的「域外法」豁免權納入其中,法國是其中的一部分。
另一方面,國家或公司正在進行相反的活動,以消除這種情況。其中包括美國,擔心其獲取歐洲公司和政府戰略數據的管道被切斷。該國還擔心其雲端冠軍企業在歐洲市場被邊緣化,因為它們將被排除在託管最具策略性和敏感資料之外。這個陣營還包括歐洲國家“對限制美國為其提供的安全保障的威脅敏感» – 例如那些邊界非常接近烏克蘭戰爭的國家,以及所有依賴美國市場的經濟部門。
美國/歐盟法律概念的差異
委員會在實質上解釋說,問題在於,在這件事上,我們將打擊恐怖主義和經濟間諜活動混為一談,並對「兩者之間的混淆」表示遺憾。美國在打擊恐怖主義和國際犯罪方面的合法需求,以及針對歐洲公司旨在使其經濟受益的濫用經濟情報活動可能產生的風險」。該組織還討論了美國和歐洲法律在這一領域的概念差異。
一方面,美國會傾向國家安全,而歐洲則將個人權利放在第一位,資料收集只能「相稱且必要的」。如此多的問題可能會使管理兩國之間個人資料傳輸的新規則基礎可能無效。後者現在由 2023 年 7 月宣布的「資料隱私框架」組成,取代了 2020 年被歐洲司法宣告無效的「隱私權盾」。
另請閱讀:歐洲如何將你的個人資料交給美國間諜
«如果歐洲當局認為相稱性和必要性原則不適用不按照 GDPR 標準應用,它們可能會質疑 GDPR 的有效性數據隱私框架。此類分歧可能導致協議進一步無效,就像隱私護盾的情況一樣。這種風險凸顯了固有的挑戰兩個法律體系之間資料保護標準的統一,儘管與合作夥伴相比,有著根本的不同»,議會委員會寫道。
SecNumCloud將會何去何從?
CSNP 提出的另一個問題:SecNumCloud 的未來,這是法法網路安全框架,如今整合了“雲端服務不受域外非歐洲立法影響的技術和法律標準»,用於儲存我們最敏感和策略性資料(例如健康資料或部門資料)的儲存庫。
然而,如果 EUCS 採用比 SecNumCloud 要求更低的版本,因此在沒有豁免標準的情況下,法國可能不得不放棄法國標準,轉而採用歐洲標準。 “法律上的不確定性仍然存在,但 EUCS 的採用,無論是否整合 High+ 級別,很可能會使 SecNumCloud 框架變得過時。»,委員會寫道。因此,退出政府的「以雲端為中心」的原則,該原則對戰略國家或企業資料施加了對這些法律的豁免權——儘管如此,這種保護對歐洲公司來說仍然至關重要。
對於他們中的許多人來說,“EUCS High+ 認證等級對於以不具約束力的方式保護其敏感或策略性非個人資料免受情報機構(尤其是美國機構)合法但不必要的存取至關重要。»,強調了 CSNP。 “這些公司不希望美國雲端服務供應商被趕出歐洲市場»她繼續說。他們 ”(然而)聲稱這些業者無法滿足他們的大部分需求»,委員會寫道。
CSNP 需要時間和分析才能更好地令人信服
因此,恢復這種域外法律豁免權是“迫切需要保護需要保護其資訊資產免受外國干涉的公共和私人組織的敏感和戰略數據,無論是個人數據還是非個人數據», «歐洲雲端服務產業出現的條件“,她寫道。
在其意見的最後,CSNP 向政府提出了幾項建議,政府將繼續自由地遵循這些建議。她要求後者“與歐盟委員會採取必要措施因此它暫停任何採用該計劃當前版本的決定認證」。她建議“要求反對High+級別的各個歐盟成員國解釋他們打算剝奪其這項權利的原因歐洲或表達需求的公司和公共管理部門在自己的國家»。
最後,她要求法國行政部門進行一系列分析,其中一項分析旨在駁斥「高+」級別的 EUCS 將違反 WTO 協議的論點。
因此,她建議分析“歐盟拒絕維持 EUCS 高+類型水準的中期地緣政治後果”,同時也加深了“的主題歐洲對美國雲端服務業依賴的後果及其對歐洲經濟競爭力的影響」。 CSNP 希望,如此多的因素可以使布魯塞爾的天平向有豁免權的 EUCS 傾斜,“歐盟技術自主的基本問題(…)»。
