12 月 22 日,喬·拜登簽署了一項法律,將美國情報機構大規模獲取歐洲人的電子郵件和電話對話的可能性延長至 2024 年 4 月。一項法案甚至計劃擴大其範圍。在歐洲,只有極少數政治人物對此表示擔憂。其中包括 Philippe Latombe,01net.com 採訪他:旺代省代表對這項法律對我們數位主權造成的後果感到震驚。
«總結一下,我們很糟糕」。六天時間裡,FISA 第 702 條《外國情報監視法》正式延長數月。旺代省現代代表菲利普·拉通貝 (Philippe Latombe) 有機會重返喬·拜登 12 月 22 日簽署的這項法律。正是這份文本讓美國情報機構能夠大量收集參與國家安全事務的外國人的電子郵件、電話交談和文件。正如我們幾天前向您解釋的2008年通過的FISA法案允許中央情報局、聯邦調查局和國家安全局監視甚至監視許多歐洲人。
因為它導致了不同的“虐待》,包括對美國公民進行間諜活動,而且該法案即將於 12 月 31 日到期,702 條款在大西洋彼岸引起了許多批評。在法國和歐洲?並非如此,除了少數例外 - 其中例外菲利普·拉托姆貝。經過多次辯論,國會無法就如何改革這一文本達成一致,最終於 12 月 14 日投票支持將該制度延長數月,並於 12 月 22 日由喬·拜登簽署。
誰必須遵守 FISA 法?
故事結束?還是不行。因為改革計畫之一《外國情報監視法案改革和重新授權法案》(FRRA) 提出,不是進一步保護美國和歐洲公民,擴大本法的範圍。菲利普·拉托姆貝 (Philippe Latombe) 回憶道,根據美國的治外法權,“美國公司或僱用美國公民的公司,(提供電子通訊服務或雲端運營商等遠端IT服務,編者註),可能被迫回應美國情報機構的要求」。即使後者在歐洲開展活動。這也包括歐洲公司的美國子公司,儘管,先驗地,只涉及子公司。 “但這還沒有真正由美國法院做出裁決»,承認來自旺代的當選官員。
讓我們以“Google,一家美國公司。即使它使用歐洲的資料中心,透過那裡的資料也可以根據 FISA 存取(美國情報機構,編者註)」。即使它涉及影響個人主權和私人生活(例如健康)的敏感數據。相反,“如果資料中心屬於法國公司 Thalès,而該公司沒有僱用任何美國人,那麼該公司當時就不受 FISA 的約束,即使它使用 Google 作為授權軟體層», 議員解釋。
雲端運營商之後,設備製造商?
但由於文本改革項目之一(FISA 改革和重新授權法案 (FRRA))的第 504 條,這種區別將被打破,根據 12 月 27 日查閱的國會網站,該項目尚未進行投票。溝通義務將擴展到其他公司 -不再僅限於雲端運營商,也適用於設備製造商,副官大驚小怪。
正如所指出的,文本01網幾天前,將添加到必須響應美國機構要求的公司名單中,「用於或可能用於傳輸或儲存此類(電子)通訊的設備」的供應商,以及有權存取這些設備的供應商……這將涉及提供 WiFi 的公司,例如咖啡館、酒店、共同工作空間。但 ”也交叉連接», 旺代代表擔心。交叉連接是不同設備製造商提供的技術,它允許透過專用電纜連接(例如託管機架和雲端或電信服務)實現快速可靠的連接。這些交叉連接,“使資料中心客戶分擔成本成為可能,有時可以從水下電纜中受益,但迄今尚未違反 FISA 法律」。如果第504條通過的話,情況還會如此嗎?
“這不是捕獲流量,而是攔截一切”
為了澄清問題,議員透過向政府書面提問程序向數位事務部長讓-諾埃爾·巴羅(Jean-Noël Barrot)提出了問題。 “跟踪並獲得官方回應“,他解釋道。也因為「這提出了一個真正的主權問題»。 «如果我們仔細閱讀第 504 條,像 Equinix 這樣的資料中心(根據美國法律)可能會被迫安裝信標、攔截模組,而提供交叉連接連結的設備製造商可能會被 FISA 強制要求安裝攔截模組。這並不是要捕獲交通量並可能發現某些東西。這是關於攔截一切»,他分析道。
«SecNumCloud認證有什麼後果? 「,被選中的人問道。此認證由 Anssi(國家資訊系統安全局)授予某些提供最大安全保證的雲端供應商,是政府策略在數字主權方面。該框架的 3.2 版通常強制要求服務提供者僅適用歐洲法律,並排除任何美國域外法律,因此不再適用 FISA 法律。
然而,如果新的第 504 條獲得通過,這項排除將受到質疑。因為「Equinix 的資料中心是交叉連接的,所有獲得 SecNumCloud 認證的公司都在使用 Equinix。因此,這是否攜帶(是否無效,編者註) 取得 SecNumCloud 3.2 資格?» 議員問。除了 Equinix 之外,他的書面問題中還提到了其他公司,例如 Data4 和 DRT/Interxion。
美國國會延長了 FISA 第 702 條的期限,並延長了第 504 條的期限。這帶來了真正的主權問題,並且肯定是 SecNumCloud 未來的修改。我今天向數位事務部長提出的問題。@NumSpotCloud @OVHcloud @雲寺 @C_MorinDesailly pic.twitter.com/mMzLAjGsz9
— 菲利普‧拉托姆貝 (@platombe)2023 年 12 月 22 日
同樣的問題也會出現在歐洲的 SecNumCloud 中,即歐盟CS(«歐洲雲端服務網路安全認證計畫 »),目前正在洽談中。
電信設備也受影響?
他補充道,將交叉連接納入 FISA 法律並不是唯一的問題。像思科這樣的電信設備製造商呢?
«如今,大多數企業和管理部門不再使用傳統的銅線電話網路。他們現在使用 IP 電話,即網路電話。對於思科來說,提供這些服務的營運商是美國的,因此他們將受到 504 法規的約束。», 估計議員希望他的問題得到正式答覆。這段文字,「這是一顆真正的炸彈。我們需要能夠在做出決定之前得出後果。»,他很震驚。
立即審查新的隱私權盾?
這部法律是否也對資料隱私框架,去年七月簽署的美國和歐洲之間新的跨大西洋數據協議,儘管存在爭議? «委員會簽署了文本,並解釋說,通常情況下,FISA 會向下修訂。但不僅沒有向下修改,而且在 702 部分上是相同的”——明白了,延長至2024年4月19日。但它也會在 504 上得到加強。柴油顆粒過濾器“,議員說。
在義大利,負責數位轉型的義大利國務卿阿萊西奧·布蒂 (Alessio Butti) 也對 FISA 法律適用於儲存在國家資料中心(部分由Google、微軟和甲骨文管理)的資料感到震驚。作為回應,負責「國家戰略極」(義大利政府公共雲基礎設施項目的名稱)的 Emanuele Ianetti 向他解釋說,無論如何,敏感數據都受到加密保護,我們的同事報告說啟動磁鐵,12月6日。
“加密不是最終的解決方案”
這加密這是否是逃避美國機構監視的一種方式?菲利普·拉托姆貝回答說,並非如此。總理也提出了這個論點,以 Olvid 訊息為例– Philippe Latombe 強調說,其數據通過亞馬遜伺服器。 “但加密並不是最終的解決方案。加密才剛開始提供保護。但這還不夠,因為我們總是能破解。您只需要投入一些運算能力。事實上,加密有點像在你的公寓裡放一扇裝甲門。回來比較困難,但我們還是可以回來»,議員總結。
那麼面對FISA法以及第504條的可能適用,我們該做什麼呢? “我們需要就EUCS(歐洲版本的SecNumCloud,目前正在談判中)達成協議。我們必須制定(美國)域外規則的豁免條款””,菲利普·拉托姆貝說。 “問題是歐洲不太關心。然而,一旦你做出了錯誤的舉動,它就消失了。」。請理解:如果我們接受此類訪問,將很難返回。然而,這位議員認為,到目前為止,歐盟委員會對這個問題還不太關心,並提出了這樣的想法,即幾個月內不會有任何改變,因為“未來的歐洲選舉、委員會的重組…以及未來的美國總統選舉」。簡短的, ”總而言之,我們很糟糕»。
