ในการแถลงข่าว ผู้พิทักษ์ความเป็นส่วนตัวของเรากังวลเกี่ยวกับการเจรจายุโรปล่าสุดที่เชื่อมโยงกับ EUCS ซึ่งเป็นเกณฑ์มาตรฐานความปลอดภัยทางไซเบอร์ของยุโรปในอนาคตสำหรับผู้ให้บริการระบบคลาวด์ ผู้มีอำนาจแนะนำให้นำเกณฑ์การคุ้มกันจากกฎหมายนอกอาณาเขตกลับมาใช้ใหม่ ซึ่งเป็นเกณฑ์ที่ในความเป็นจริงแล้วไม่รวมผู้นำอเมริกันสามคนในภาคส่วนนี้: AWS, Azure และ Google Cloud
มันเป็นคำถามของ "การคุ้มครองสิทธิและเสรีภาพขั้นพื้นฐาน» และรายงานแสดงจุดยืนซึ่งเผยแพร่เมื่อวันที่ 19 กรกฎาคม ในความเห็น CNIL ซึ่งเป็นผู้พิทักษ์ความเป็นส่วนตัวของเรา รู้สึกตื่นตระหนกกับโครงการรับรองระบบคลาวด์ของยุโรป (การประมวลผลแบบคลาวด์) ที่เรียกว่า "EUCS" ในฉบับล่าสุดที่มีการเจรจาในกรุงบรัสเซลส์ฉัน"โครงการรับรองความปลอดภัยทางไซเบอร์ของสหภาพยุโรปสำหรับบริการคลาวด์-ข้อกำหนดด้านความปลอดภัยทางไซเบอร์ทางเทคนิคในอนาคตสำหรับระบบคลาวด์จะไม่อนุญาต“เพื่อป้องกันไม่ให้หน่วยงานต่างประเทศเข้าถึงข้อมูลที่ละเอียดอ่อน» ของชาวฝรั่งเศสและชาวยุโรป เช่น ข้อมูลจากกระทรวงหรือข้อมูลด้านสุขภาพ ต่างเสียใจกับ CNIL
อย่างไรก็ตาม นี่เป็นวัตถุประสงค์ประการหนึ่ง: เพื่อกำหนดชุดมาตรฐาน 27 ประการเพื่อปกป้องข้อมูลประเภทนี้จาก “ขอแสดงความนับถือ» ภายนอก ไม่ว่าจะเป็นรัฐต่างประเทศหรือแฮกเกอร์ท้ายที่สุดแล้ว ผู้ให้บริการระบบคลาวด์ซึ่งอาจต้องประมวลผลหรือจัดเก็บข้อมูลประเภทนี้ จะต้องมีป้ายกำกับว่า “EUCS”
หัวใจของความไม่ลงรอยกัน: การยกเว้นจากกฎหมายนอกอาณาเขต
ปัญหาคือตั้งแต่ปี 2020 เป็นต้นมา 27 รัฐของสหภาพยุโรป (EU) ไม่สามารถตกลงเกี่ยวกับการรับรองนี้ได้ ซึ่งกำหนดโดยกฎระเบียบของยุโรปว่าด้วยความปลอดภัยทางไซเบอร์ (หรือ "พระราชบัญญัติความปลอดภัยทางไซเบอร์") บางประเทศเช่นฝรั่งเศสต้องการให้ EUCS ระดับสูงสุดห้ามการแทรกแซง (มุมมองใด ๆ ) โดยต่างประเทศและบริการลับของพวกเขาในข้อมูลที่โฮสต์ เมื่อต้องการทำเช่นนี้ ฉบับเริ่มแรกได้รวมเงื่อนไขที่เชื่อมโยงกับอธิปไตยของยุโรป กล่าวคือ การยกเว้นจากกฎหมายนอกอาณาเขต (ส่วนใหญ่เป็นชาวอเมริกัน) กฎหมายประเภทนี้ เช่น พระราชบัญญัติ FISA หรือพระราชบัญญัติคลาวด์ บังคับให้บริษัทที่มีบริษัทย่อยหรือบริษัทแม่ในสหรัฐอเมริกาแบ่งปันข้อมูลที่พวกเขาโฮสต์กับหน่วยข่าวกรอง เช่น CIA หรือ FBI รวมถึงในต่างประเทศ (และในยุโรปด้วยเหตุนี้) ).
อ่านเพิ่มเติม:หน่วยสืบราชการลับของอเมริกาจะสามารถสอดแนมเราอย่างเงียบ ๆ ได้จนถึงเดือนเมษายน 2567
ด้วยการใส่เงื่อนไขนี้ ที่จริงแล้วชาวยุโรปกำลังปิดประตูให้กับผู้นำอเมริกันในภาคส่วนนี้ ได้แก่ AWS (Amazon), Azure (Microsoft) และ Google Cloud เพราะอย่างหลังอยู่ภายใต้กฎหมายนอกอาณาเขตเหล่านี้จริงๆ อย่างไรก็ตาม ในเวอร์ชันล่าสุดที่กล่าวถึงความคุ้มกันจากกฎหมายนอกอาณาเขตถูกลบออก-แม้ในระดับการรับรองสูงสุด และแม้กระทั่งบนพื้นฐานทางเลือก» แสดงความเสียใจต่อ CNIL
อ่านเพิ่มเติม:EUCS: ยุโรปจวนจะละทิ้งเกณฑ์อธิปไตยของตนหรือไม่?
อย่างไรก็ตาม หากเวอร์ชันนี้ (ไม่มีภูมิคุ้มกัน) ได้รับการอนุมัติ นั่นหมายความว่า “ผู้แสดงจะ (ไม่มี) กรอบการทำงานที่เป็นรูปธรรมเพื่อรับประกันการคุ้มครองสิทธิและเสรีภาพขั้นพื้นฐานสำหรับพลเมืองยุโรปในบริบทของการประมวลผลดังกล่าว» คณะกรรมการแห่งชาติตั้งข้อสังเกต มุมมองที่แบ่งปันโดยนักปกป้องสิทธิ์คนอื่นๆ บริษัทในยุโรปบางแห่ง และแม้แต่ปารีสที่เชื่อว่าหากไม่มีเงื่อนไขนี้ ข้อมูลที่ละเอียดอ่อนของเราจะไม่ได้รับการปกป้องอย่างเพียงพอ
ปัญหา “กฎหมาย เศรษฐกิจ เทคโนโลยี และอุตสาหกรรม”
เพื่อผู้พิทักษ์อิสรภาพ”การไม่มีระดับรวมถึงเกณฑ์ "ภูมิคุ้มกัน" ทำให้เกิดปัญหาในระดับกฎหมาย เศรษฐกิจ เทคโนโลยี และอุตสาหกรรม- หากไม่มีเงื่อนไขนี้ ประการแรกจะเป็นไปไม่ได้”เพิ่มข้อเสนอระบบคลาวด์ของยุโรป» เนื่องจากฝ่ายบริหารและบริษัทต่างๆ จะไม่ถูกบังคับให้เลือกระบบคลาวด์ที่ไม่อยู่ภายใต้กฎหมายนอกอาณาเขต หรืออีกนัยหนึ่ง พวกเขาอาจไม่เลือกซัพพลายเออร์ในยุโรป เพียงพอที่จะถือเป็นการพลาดโอกาสสำหรับคนรุ่นหลังที่สามารถเคลื่อนตัวในตลาดสูงและอยู่ในอำนาจได้ อย่างไรก็ตาม CNIL เขียนว่าผู้นำทั้งสามของภาคส่วนอเมริกามีความโดดเด่นผ่านการจัดซื้อจัดจ้างสาธารณะและโครงการต่างๆ เช่น FedRAMP ในสหรัฐอเมริกา
มุมมองนี้แบ่งปันโดย William Méauzoone ผู้ร่วมก่อตั้ง Leviia บริษัทจัดเก็บและแบ่งปันไฟล์ออนไลน์ของฝรั่งเศส สำหรับผู้จัดการทั่วไป”การรับรองจำเป็นต้องมีเกณฑ์ความคุ้มกันและอำนาจอธิปไตยที่เข้มงวด โดยขัดต่อกฎหมายที่ไม่ใช่ของยุโรป- มีวัตถุประสงค์เพื่อ “ไม่เพียงแต่ปกป้องข้อมูลที่ละเอียดอ่อนเท่านั้น แต่ยังกระตุ้นนวัตกรรมและความสามารถในการแข่งขันของบริษัทฝรั่งเศสในระบบคลาวด์อีกด้วย» เขาเขียนถึง01net.com-
การยกเลิกเงื่อนไขนี้จะประสบปัญหาทางกฎหมายด้วย CNIL ตั้งข้อสังเกต ปัจจุบัน ผู้ให้บริการระบบคลาวด์ต้องเคารพเงื่อนไขภูมิคุ้มกันในฝรั่งเศส เนื่องจากหลักคำสอน "คลาวด์เป็นศูนย์กลาง" ของรัฐในเรื่องข้อมูลที่ละเอียดอ่อนที่สุด
อ่านเพิ่มเติม:การโฮสต์ข้อมูลด้านสุขภาพ: ข้อมูลของเราจะได้รับการปกป้องที่ดีขึ้นในไม่ช้านี้หรือไม่
อย่างไรก็ตาม ด้วยการรับรองของยุโรปในอนาคตซึ่งจะมาแทนที่ฉลากระดับชาติ ฝรั่งเศสจะถูกบังคับให้ลดข้อกำหนดลงหรือไม่ ในฝรั่งเศส มีการส่งมอบการรับรอง SecNumCloud ระดับประเทศโดยสำนักงานความมั่นคงระบบสารสนเทศแห่งชาติ (ANSSI) กำหนดภูมิคุ้มกันนี้สำหรับข้อมูลที่ละเอียดอ่อนที่สุด เช่น ข้อมูลของรัฐบาลหรือสุขภาพ และจะต้องเหมือนกันในยุโรป” CNIL ให้เหตุผลในสาระสำคัญ ที่ฐานข้อมูลด้านสุขภาพขนาดใหญ่ ข้อมูลการกระทำผิด หรือแม้แต่ข้อมูลที่เกี่ยวข้องกับผู้เยาว์ ควรได้รับการประมวลผลและโฮสต์โดย-ผู้ให้บริการอยู่ภายใต้กฎหมายยุโรปโดยเฉพาะและเสนอการคุ้มครองในระดับที่เพียงพอ“เธอเชื่อ
คำแนะนำแบบฝรั่งเศส-ฝรั่งเศสนี้ถูกเพิ่มเข้าไปในเสียง (ฝรั่งเศส) จำนวนมากที่สนับสนุนการรักษาเกณฑ์อธิปไตยใน EUCS ซึ่งเป็นวิธีหลีกเลี่ยงการวางข้อมูลของเราไว้บนแผ่นเสียงเงิน... สามารถเข้าถึงได้โดยยักษ์ใหญ่ด้านคลาวด์ในอเมริกา จะมีการติดตามผลในระหว่างการเจรจาในอนาคต ซึ่งจะกลับมาดำเนินการอีกครั้งเมื่อมีการจัดตั้งคณะกรรมาธิการยุโรปชุดใหม่หรือไม่
อ่านเพิ่มเติม:ข้อมูลด้านสุขภาพของเรามีความเสี่ยงหรือไม่? รายการใหม่ของเรา Clic Droit ถอดรหัส EHDS
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : ข่าวประชาสัมพันธ์ CNIL ลงวันที่ 19 กรกฎาคม 2024
