必須定義 EUCS(資料主機認證)的文本的最新版本不再包括域外法律豁免的條件 — — 巴黎捍衛的這一條件,實際上排除了美國雲端服務提供者獲取敏感資料或策略的權利。歐洲主權的損失?
無論是或否,歐洲是否會在其雲端主機認證(EUCS)中施加外國域外法律的豁免權?報道稱,這不是談判正在採取的道路政治報4月3日,路透社4 月 4 日,以及情境,本週五,4 月 5 日。幾個月來,歐洲人一直在就未來 EUCS 的輪廓進行談判(“歐盟雲端服務網路安全認證計劃),這是一個保證歐洲雲端供應商和雲端運算服務通用網路安全標準的標籤。此認證由歐洲網路安全法規(或稱「網路安全法案」)規定,適用於未來的數據主機,這些主機可能必須處理或儲存被視為敏感的數據,例如來自部會或國家的健康數據或資訊策略。而在這次討論中,是否包含「主權」標準的問題也被激烈討論。
這確實是爭論的焦點:我們是否應該在最高級別上施加「域外法」豁免權——這不是一個將其施加於所有人的問題,而只是針對最後一個級別的問題?這個術語指的是美國(或其他)立法,這些立法強制 AWS 或 Azure 等美國雲端供應商在美國情報機構提出要求時與他們共享其在美國和國外(包括歐洲)託管的資料…對於包括法國在內的一些國家來說,未來的EUCS 認證必須提供最高級別的這些特定法律的豁免權。
為什麼巴黎要給予域外法律豁免權?
而最新版本的EUCS則回應了這項要求,提供了四個等級的安全性。在最後一項最高標準中,巴黎數月來一直在爭取恢復目前的 SecNumCloud 3.2 標準,該標準相當於法法兩國的 EUCS,其中包括不受域外(美國)法律豁免的條件。這個想法是強制實施第四級認證,僅針對最敏感的數據選擇該認證,不適用美國法律,例如國際汽聯法,於 2023 年底更新。
儘管有一項跨大西洋條約允許將個人資料從歐洲傳輸到美國 -«資料隱私框架» 或 DPF 去年 7 月正式發布並取代了被歐盟法院宣布無效的隱私保護盾——維權人士認為,它不足以保護歐洲人免受中央情報局和聯邦調查局等美國情報機構的侵害。因此,強制要求雲者不受此類法律的約束,以使外國無法存取敏感或戰略資料。
回憶道,第四級是去年五月提出的情境在他的網站上。具體來說,它要求任何雲端提供者都位於歐洲。他還必須證明他不受任何域外法律的約束。毫不奇怪,美國科技遊說團體 CCIA Europe 並不支援它,因為這些規則實際上排除了美國雲端巨頭以及 AWS、微軟 Azure 或谷歌雲端等世界領先企業。
第四級被刪除並由透明度義務取代
相反,在談判者中,其他人則主張既不強制將資料中心選在歐洲,也不主張域外法律豁免。根據德國媒體報道,法國感受到潮流的轉變,在三月初試圖展示教學法,回顧這些主權標準僅適用於最後一級的認證,因此僅適用於最敏感的項目或數據每日鏡報三月初。
沒有成功:根據發布的版本情境3月22日起,乾脆刪除4級。其他三個層級僅受透明度義務的約束,這將允許公司或管理部門在充分了解適合他們的雲端服務的情況下進行選擇。具體來說,細節路透社,雲端提供者應提供有關其儲存和處理客戶資料的位置的資訊。他們也將被迫列出強加給他們的法律。
歐洲主權支持者錯失良機
如果這個版本最終被採用,那麼對於歐洲主權的支持者來說,這將是一個錯失的機會。有些人認為,該文本將使歐洲更加依賴美國雲端巨頭,包括其最敏感的數據。事實上,強加治外法權可能有利於歐洲雲端供應商,這些供應商目前在三大雲端領導者面前苦苦掙扎——四分之三的雲端市場掌握在微軟的亞馬遜網路服務(AWS)手中。谷歌雲。
這是多家法國和歐洲公司(例如 OVHCloud、Orange、空客,甚至 EDF)的觀點,他們在 11 月 17 日寫道:「超過三分之一的公司已經投資了主權雲端解決方案,幾乎一半的公司計劃在不久的將來這樣做,這表明組織願意解決主權問題」。 Hexatrust 協會主席 Jean-Noël De Galzain 也有同樣的經歷,該協會匯集了法國網路安全和「可信任雲端」公司。後者是去年二月在《紐約時報》專欄中發表的一篇專欄文章的作者。論壇報,寫道,通過停止對抗美國的治外法權並放棄歐洲數據本地化的要求,“歐洲可能會透過進一步鎖定自己在技術和經濟上對美國 GAFAM 的依賴,從而切斷自己保持自治的可能性,並阻止替代性歐洲雲和信任行業的出現(…)»。
因為即使法國強制實施 SecNumCloud 3.2 標準來託管敏感數據,這種法國-法國認證最終也將被 EUCS 取代——如果該版本(沒有治外法權豁免條件)最終被採用,EUCS 可能會不那麼嚴格。一切都還沒決定:認證小組的專家將在十天左右開會。
另請閱讀:歐洲如何將你的個人資料交給美國間諜
