คณะกรรมาธิการฝรั่งเศสที่รับผิดชอบในการให้ความคิดเห็นและข้อเสนอแนะแก่รัฐบาลในเรื่องดิจิทัลได้หยิบยกประเด็นยุ่งยากของ "EUCS" ซึ่งเป็นป้ายกำกับความปลอดภัยทางไซเบอร์ในอนาคตสำหรับคลาวด์ของยุโรปที่กำลังเจรจาในกรุงบรัสเซลส์ เธอร้องขอให้ใส่เกณฑ์อธิปไตยลงในป้ายกำกับนี้อีกครั้ง ประการหลัง ถือเป็น “ความจำเป็นที่จำเป็นในการปกป้องข้อมูลที่ละเอียดอ่อนและเชิงกลยุทธ์” ของชาวยุโรป “ต่อต้านการแทรกแซงจากต่างประเทศ” จากจีนและสหรัฐอเมริกา
มันเป็นเรื่องทางเทคนิคที่ควรดึงดูดความสนใจของเราอย่างเต็มที่ เกือบสองเดือนหลังจาก CNIL คณะกรรมการดิจิทัลและไปรษณีย์ระดับสูง (CSNP) เผยแพร่เมื่อวันพุธที่ 4 กันยายนความเห็นต่อ EUCS- เป็นเวลาหลายเดือนl'« โครงการรับรองความปลอดภัยทางไซเบอร์ของสหภาพยุโรปสำหรับบริการคลาวด์ »ซึ่งเป็นป้ายที่รับประกันมาตรฐานความปลอดภัยทางไซเบอร์ทั่วไปทั่วยุโรปสำหรับผู้ให้บริการคลาวด์ ตกเป็นประเด็นของการเจรจาที่ดุเดือดระหว่าง 27 ประเทศในสหภาพยุโรป (EU)
และตามที่ CNIL ได้โต้แย้งไปแล้วเมื่อเดือนกรกฎาคมปีที่แล้ว CSNP ซึ่งเป็นคณะกรรมาธิการรัฐสภาฝรั่งเศสซึ่งออกความคิดเห็นที่ไม่มีผลผูกพันในเรื่องดิจิทัล ขอให้รัฐบาลทำงานเพื่อบูรณาการเกณฑ์อธิปไตยอีกครั้ง กล่าวคือ การคุ้มกันต่อกฎหมายนอกอาณาเขตที่ไม่ใช่ของยุโรป ใน กรอบความปลอดภัยทางไซเบอร์บนคลาวด์แห่งอนาคต
อ่านเพิ่มเติม:คลาวด์: CNIL เรียกร้องให้นำเกณฑ์อธิปไตยกลับมาใช้ใหม่ใน EUCS ซึ่งเป็นกรอบการทำงานด้านความปลอดภัยทางไซเบอร์ในอนาคต
ความคุ้มกันจากกฎหมายนอกอาณาเขตหมายถึงอะไร?
กฎหมายนอกอาณาเขตเป็นกฎหมายของประเทศที่ใช้นอกเขตแดนของตน คำนี้หมายถึงกฎหมายจีนปี 2560 หรือแม้แต่อย่างชัดเจนมาตรา 702 ของพระราชบัญญัติ FISA ของสหรัฐอเมริกาซึ่งใช้ตามลำดับกับผู้ให้บริการระบบคลาวด์ของจีน (Huawei, Alibaba, Tencent) หรืออเมริกัน (AWS, Azure หรือ Google Cloud) ไม่ว่าจะดำเนินการในประเทศของตนหรือในต่างประเทศ พวกเขาบังคับให้บริษัทเหล่านี้แบ่งปันข้อมูลยุโรปกับหน่วยข่าวกรองของจีนหรืออเมริกัน หากพวกเขาร้องขอ รวมถึงเวลาที่ข้อมูลนี้ถูกโฮสต์ในยุโรป ไม่ว่าจะเป็นข้อมูลส่วนบุคคล ข้อมูลเชิงกลยุทธ์ของบริษัท หรือรัฐบาล
เพื่อหลีกเลี่ยงการเข้าถึงข้อมูลของเราของอเมริกาหรือจีน ยุโรปจึงมีความคิดที่จะแทรกการยกเว้นต่อกฎหมายนอกอาณาเขต – ระดับ “สูง+” ลงในฉลากของยุโรปในอนาคตซึ่งจะนำไปใช้กับระบบคลาวด์ เหมือนกับที่ฝรั่งเศสกำลังทำเช่นนี้กับ SecNumCloud. ซึ่งหมายความว่าผู้ให้บริการระบบคลาวด์จะต้องไม่อยู่ภายใต้กฎหมายเหล่านี้ในการโฮสต์ข้อมูลที่ละเอียดอ่อนที่สุด ดังนั้นกฎนี้จะแยกออกจากผู้ให้บริการระบบคลาวด์ของอเมริกา (AWS, Azure, Google Cloud) และจีน (Huawei, Alibaba ฯลฯ) ทั้งหมดจากระดับสูงสุด
คณะกรรมการรัฐสภาเล่าในความเห็นของตนว่านี่ไม่ใช่รสนิยมของคนอเมริกัน ก่อนที่จะเปิดเผยประเด็นทางการเมืองและเศรษฐกิจของ EUCS: คำอธิบายข้อความที่มีไว้สำหรับรัฐบาลฝรั่งเศสซึ่งสามารถนำไปใช้ในกรุงบรัสเซลส์เพื่อโน้มน้าวใจเพิ่มเติม
ปฏิกิริยาของชาวอเมริกัน
เพราะหากในเบื้องต้น การรับรองนี้กำหนดให้มีภูมิคุ้มกันต่อกฎหมายนอกอาณาเขตในระดับสูงสุด (ซึ่ง CSNP กำหนดให้เป็น “High+”) สถานการณ์จะเปลี่ยนไปในปีที่แล้ว หลังจาก “ปฏิกิริยาของอเมริกา”
อ่านเพิ่มเติม:EUCS: ยุโรปจวนจะละทิ้งเกณฑ์อธิปไตยของตนหรือไม่?
ในเดือนพฤษภาคม 2023 คณะกรรมาธิการเล่าว่า บริษัทคลาวด์ยักษ์ใหญ่ของอเมริกาซึ่งครองตลาดส่วนใหญ่ในยุโรปได้ร้องเรียนต่อทำเนียบขาวเกี่ยวกับ EUCS (ในเวอร์ชันเริ่มต้น) ซึ่งจะประกอบด้วย "ภัยคุกคามต่อความมั่นคงแห่งชาติของสหรัฐอเมริกา- EUCS จะเสียเปรียบบริษัทคลาวด์ของอเมริกาและหันมาใช้ทางเลือกในท้องถิ่นแทน ซึ่งพวกเขาอธิบายไว้ในเนื้อหา สี่เดือนต่อมา Antony Blinken รัฐมนตรีต่างประเทศสหรัฐฯ เขียนถึงคณะกรรมาธิการยุโรปว่า EUCS (มี “สูง +”) “สามารถ "ไม่มากไม่น้อย,“ทำลายความสัมพันธ์ทวิภาคีระหว่างสหรัฐอเมริกาและสหภาพยุโรป ทั้งในด้านเศรษฐกิจและความมั่นคง» เน้นย้ำคณะกรรมาธิการรัฐสภา
คำเตือนนี้เกิดขึ้นอย่างจริงจังในกรุงบรัสเซลส์ ผู้บริหารชาวยุโรปจึงขอให้ ENISA (หน่วยงานความปลอดภัยทางไซเบอร์ของยุโรป) ทบทวน EUCS ซึ่งนำไปสู่รูปแบบการลดระดับใหม่ของโครงการนี้เมื่อต้นปี 2567 (โดยไม่มี "สูง +") รุ่นที่”ในที่สุดก็สามารถแบกรับความเสี่ยงที่ไม่สามารถทนทานได้ในลักษณะทางเศรษฐกิจ ภูมิศาสตร์การเมือง และกฎหมาย» เขียน CSNP เพราะหากไม่มี EUCS ที่ไม่มีภูมิคุ้มกัน ยุโรปจะสามารถ “ออกจากสถานการณ์ที่ต้องพึ่งพาผู้ประกอบการชาวอเมริกันมากขึ้น“เธอพูดต่อ
ข้อดีหรือต่อต้านการคุ้มกันต่อกฎหมายนอกอาณาเขต
ในการอภิปรายนี้ ในด้านหนึ่ง เราพบผู้ที่ร้องขอให้รวมเกณฑ์ "อธิปไตย" โดยการบูรณาการความคุ้มกันกับ "กฎหมายนอกอาณาเขต" สำหรับระดับสูงสุดของ EUCS ("สูง +") ซึ่งเป็นส่วนหนึ่งของฝรั่งเศส
อ่านเพิ่มเติม:เฟรเดริก เปียรุชชี อดีตผู้จัดการของอัลสตอม: “คิดให้รอบคอบก่อนที่จะใช้เครื่องมือดิจิทัลของอเมริกา”
ในทางกลับกัน ประเทศหรือบริษัทกำลังรณรงค์ในทางตรงกันข้ามเพื่อยกเลิกเงื่อนไขนี้ ซึ่งรวมถึงสหรัฐอเมริกาที่กังวลเกี่ยวกับการเข้าถึงข้อมูลเชิงกลยุทธ์ของบริษัทในยุโรปและรัฐบาลถูกตัดขาด ประเทศยังกังวลเกี่ยวกับการที่แชมป์ระบบคลาวด์ของตนถูกกีดกันในตลาดยุโรป เนื่องจากพวกเขาจะถูกแยกออกจากการโฮสต์ข้อมูลเชิงกลยุทธ์และละเอียดอ่อนที่สุด ค่ายนี้ยังรวมถึงประเทศแถบยุโรปด้วย”อ่อนไหวต่อการคุกคามของการจำกัดการรับประกันความปลอดภัยที่สหรัฐอเมริกาจัดเตรียมไว้» – เช่นเดียวกับผู้ที่มีพรมแดนใกล้ชิดกับสงครามในยูเครนและภาคเศรษฐกิจทั้งหมดที่ขึ้นอยู่กับตลาดอเมริกา
ความแตกต่างในแนวคิดทางกฎหมายของสหรัฐฯ/สหภาพยุโรป
ปัญหาคือว่าในเรื่องนี้เรากำลังผสมการต่อสู้กับการก่อการร้ายและการจารกรรมทางเศรษฐกิจ คณะกรรมาธิการอธิบายในเนื้อหาซึ่งเสียใจกับความสับสนระหว่าง "ความต้องการที่ถูกต้องตามกฎหมายของสหรัฐอเมริกาในการต่อสู้กับการก่อการร้ายและอาชญากรรมระหว่างประเทศ และความเสี่ยงที่อาจเกิดขึ้นจากกิจกรรมข่าวกรองทางเศรษฐกิจที่ไม่เหมาะสมต่อบริษัทในยุโรปที่มุ่งสร้างประโยชน์ให้กับเศรษฐกิจของพวกเขา- องค์กรยังหารือถึงความแตกต่างในแนวความคิดของกฎหมายอเมริกันและยุโรปในด้านนี้
ในด้านหนึ่ง สหรัฐฯ มักจะให้ความสำคัญกับความมั่นคงของชาติ ในขณะที่ยุโรปให้ความสำคัญกับสิทธิส่วนบุคคลเป็นอันดับแรก โดยที่การรวบรวมข้อมูลทำได้เพียงเท่านั้น "ได้สัดส่วนและจำเป็น- มีประเด็นมากมายที่อาจทำให้กฎเกณฑ์ใหม่ที่ใช้ควบคุมการถ่ายโอนข้อมูลส่วนบุคคลระหว่างทั้งสองประเทศอาจไม่ถูกต้อง ส่วนหลังนี้ประกอบด้วย “กรอบการทำงานความเป็นส่วนตัวของข้อมูล” ที่ประกาศในเดือนกรกฎาคม พ.ศ. 2566 แทนที่ “การคุ้มครองความเป็นส่วนตัว” ที่ความยุติธรรมของยุโรปใช้ไม่ได้ในปี พ.ศ. 2563
อ่านเพิ่มเติม:ยุโรปมอบข้อมูลส่วนบุคคลของคุณให้กับสายลับอเมริกันอย่างไร
-หากทางการยุโรปพิจารณาว่าหลักการของสัดส่วนและความจำเป็นไม่ได้ไม่ได้นำไปใช้ตามมาตรฐาน GDPR ซึ่งอาจท้าทายความถูกต้องของข้อมูลกรอบความเป็นส่วนตัว ความขัดแย้งดังกล่าวอาจส่งผลให้ข้อตกลงเป็นโมฆะต่อไปเช่นเดียวกับกรณีของ Privacy Shield ความเสี่ยงนี้เน้นย้ำถึงความท้าทายที่มีอยู่ในตัวการประสานกันของมาตรฐานการปกป้องข้อมูลระหว่างสองระบบกฎหมายซึ่งแม้ว่ามากกว่าหุ้นส่วนมีความแตกต่างโดยพื้นฐาน» เขียนคณะกรรมาธิการรัฐสภา
SecNumCloud จะเป็นอย่างไร?
ปัญหาอีกประการหนึ่งที่ CSNP หยิบยกขึ้นมา: อนาคตของ SecNumCloud กรอบงานความปลอดภัยทางไซเบอร์ของฝรั่งเศส-ฝรั่งเศสซึ่งปัจจุบันผสานรวม “เกณฑ์ทางเทคนิคและกฎหมายสำหรับความคุ้มกันของบริการคลาวด์ต่อกฎหมายที่ไม่ใช่ของยุโรปที่มีขอบเขตนอกอาณาเขต» พื้นที่เก็บข้อมูลที่ใช้สำหรับข้อมูลที่ละเอียดอ่อนและเป็นกลยุทธ์ที่สุดของเรา เช่น ข้อมูลด้านสุขภาพหรือข้อมูลกระทรวง
อย่างไรก็ตาม หาก EUCS ถูกนำมาใช้ในเวอร์ชันที่มีความต้องการน้อยกว่า SecNumCloud ดังนั้น หากไม่มีเกณฑ์ภูมิคุ้มกัน ฝรั่งเศสอาจจะต้องละทิ้งมาตรฐานของฝรั่งเศสและหันไปใช้มาตรฐานยุโรปแทน -ความไม่แน่นอนทางกฎหมายยังคงมีอยู่ แต่มีความเป็นไปได้สูงที่การนำ EUCS มาใช้ ไม่ว่าจะรวมระดับ High+ หรือไม่ก็ตาม จะทำให้กรอบงาน SecNumCloud ล้าสมัย» เขียนคณะกรรมาธิการ ดังนั้น ออกจากหลักคำสอน "คลาวด์ที่ศูนย์กลาง" ของรัฐบาลซึ่งกำหนดให้มีภูมิคุ้มกันต่อกฎหมายเหล่านี้สำหรับรัฐเชิงกลยุทธ์หรือข้อมูลองค์กร - การป้องกันยังถือว่าจำเป็นสำหรับบริษัทในยุโรป
สำหรับหลายๆคนนั้น “การที่ระดับการรับรอง EUCS High+ มีความสำคัญอย่างยิ่งในการปกป้องข้อมูลที่ละเอียดอ่อนหรือข้อมูลเชิงกลยุทธ์ที่ไม่ใช่ข้อมูลส่วนบุคคลในลักษณะที่ไม่มีผลผูกพันต่อการเข้าถึงทางกฎหมายแต่ไม่พึงประสงค์โดยหน่วยข่าวกรอง โดยเฉพาะอย่างยิ่งในอเมริกา» ขีดเส้นใต้ CSNP -บริษัทเหล่านี้ไม่ต้องการให้ผู้ให้บริการคลาวด์ในอเมริกาถูกขับออกจากตลาดยุโรป» เธอพูดต่อ พวกเขา "อ้างว่า (อย่างไรก็ตาม) ว่าผู้ปฏิบัติงานเหล่านี้ไม่สามารถสนองความต้องการส่วนใหญ่ได้» เขียนคณะกรรมาธิการ
CSNP ต้องใช้เวลาและการวิเคราะห์เพื่อโน้มน้าวใจได้ดียิ่งขึ้น
การคืนสถานะความคุ้มกันต่อกฎหมายนอกอาณาเขตนี้จึงเป็น “ความจำเป็นที่จำเป็นในการปกป้องข้อมูลที่ละเอียดอ่อนและเชิงกลยุทธ์ ไม่ว่าจะเป็นส่วนบุคคลหรือไม่ก็ตามขององค์กรภาครัฐและเอกชนซึ่งจำเป็นต้องรักษาทรัพย์สินข้อมูลของตนจากการแทรกแซงจากต่างประเทศ-เงื่อนไขสำหรับการเกิดขึ้นของอุตสาหกรรมบริการคลาวด์ของยุโรป» เธอเขียน
ในตอนท้ายของความเห็น CSNP ได้กล่าวถึงข้อเสนอแนะหลายประการต่อรัฐบาล ซึ่งจะยังคงปฏิบัติตามได้อย่างอิสระ เธอขอให้คนหลัง “ดำเนินการตามขั้นตอนที่จำเป็นกับคณะกรรมาธิการยุโรปเพื่อที่จะระงับการตัดสินใจใด ๆ ที่จะนำโครงร่างเวอร์ชันปัจจุบันมาใช้การรับรอง- เธอแนะนำ”ขอให้ประเทศสมาชิกสหภาพยุโรปต่างๆ ที่ไม่เห็นด้วยกับระดับ High+ อธิบายเหตุผลว่าทำไมพวกเขาถึงตั้งใจที่จะกีดกันพวกเขาบริษัทและหน่วยงานภาครัฐที่แสดงความต้องการในยุโรปหรือในประเทศของตน-
สุดท้ายนี้ เธอขอให้ผู้บริหารชาวฝรั่งเศสดำเนินการวิเคราะห์ชุดหนึ่ง ซึ่งหนึ่งในนั้นมีเป้าหมายที่จะบ่อนทำลายข้อโต้แย้งซึ่งประกอบด้วยการกล่าวว่า EUCS ที่มีระดับ High+ จะขัดแย้งกับข้อตกลง WTO
เธอจึงแนะนำให้วิเคราะห์ “ผลที่ตามมาทางภูมิรัฐศาสตร์ระยะกลางจากการที่สหภาพยุโรปปฏิเสธที่จะรักษาระดับประเภท High+ ใน EUCS"แต่ยังต้องเจาะลึกเรื่อง"ผลที่ตามมาของการพึ่งพายุโรปต่ออุตสาหกรรมบริการคลาวด์ของอเมริกา และผลกระทบต่อความสามารถในการแข่งขันของเศรษฐกิจยุโรป- มีองค์ประกอบมากมายที่ CSNP หวังว่าจะสามารถยกระดับในกรุงบรัสเซลส์เพื่อสนับสนุน EUCS ที่มีความคุ้มกัน "ปัญหาสำคัญ (…) ของความเป็นอิสระทางเทคโนโลยีสำหรับสหภาพยุโรป-
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : ความคิดเห็นที่ n°2024-05 วันที่ 4 กันยายน 2024 เกี่ยวกับประเด็นทางการเมืองและเศรษฐกิจของโครงการ EUCS
