在一份新闻稿中,我们的隐私卫士对与 EUCS 相关的最新欧洲谈判表示担忧,EUCS 是未来欧洲云提供商的网络安全基准。该机构建议重新引入域外法律豁免标准——事实上,该标准排除了美国该领域的三大领导者:AWS、Azure 和谷歌云。
这是一个“保护基本权利和自由»,以及 7 月 19 日发表的立场文件。在一份意见中,我们隐私的守护者CNIL对欧洲云认证项目(云计算),称为“EUCS”感到震惊。在布鲁塞尔谈判的最新版本中,我'«欧盟云服务网络安全认证计划»,未来云的技术网络安全要求将不允许“防止外国当局访问敏感数据» 法国和欧洲人的数据,例如来自各部委的数据或卫生数据,对 CNIL 表示遗憾。
然而,这是其目标之一:定义一套 27 项标准来保护此类数据免受“问候» 外部,无论是外国还是黑客。最终,可能必须处理或存储此类数据的云提供商将必须被贴上“EUCS”标签。
分歧的核心:域外法律的豁免
问题是,自 2020 年以来,欧盟 (EU) 27 个国家未能就欧洲网络安全法规(或《网络安全法案》)规定的这项认证达成一致。法国等一些国家希望 EUCS 最高层禁止外国及其特工部门对托管数据进行任何干扰(任何观点)。为此,最初的版本包含了一个与欧洲主权相关的条件,即域外法律(主要是美国法律)的豁免权。此类立法(例如《外国情报监视法案》或《云法案》)迫使在美国拥有子公司或母公司的公司与中央情报局或联邦调查局等情报机构(包括国外(因此也包括欧洲))共享其托管的数据。 )。
通过插入这一条件,欧洲人实际上向美国该领域的领导者,即AWS(亚马逊)、Azure(微软)和谷歌云关闭了大门,因为后者确实受到这些域外法律的约束。然而,在最后讨论的版本中,域外法律豁免权被取消, «即使是最高认证级别,甚至是可选的»,对 CNIL 表示遗憾。
另请阅读:EUCS:欧洲是否即将放弃其主权标准?
然而,如果这个版本(无豁免权)获得批准,这意味着“参与者将(不再拥有)一个具体的框架来保证在此类处理的背景下保护欧洲公民的基本权利和自由»,国家委员会指出。其他维权人士、某些欧洲公司,甚至巴黎也持有同样的观点,他们认为,如果没有这个条件,我们的敏感数据将无法得到充分保护。
“法律、经济、技术、产业”问题
为了自由的守护者,“缺乏包括“豁免”标准在内的水平在法律、经济、技术和工业层面造成了问题”。如果没有这个条件,首先就不可能“推动欧洲云产品的发展» 因为政府和公司不会被迫选择不受域外法律约束的云服务商——换句话说,他们可能不会选择欧洲供应商。对于后者来说,这足以构成一个错失的机会,因为后者原本可以进入高端市场并掌权。然而,CNIL 写道,正是通过公共采购和美国 FedRAMP 等计划,美国行业的三位领导者已经占据主导地位。
法国在线文件存储和共享公司 Leviia 的联合创始人 William Méauzoone 也持有同样的观点。对于总经理来说,“认证必须包含针对非欧洲立法的严格的豁免和主权标准”。目标是“不仅保护敏感数据,还能激发法国企业在云端的创新和竞争力»,他写信给01网。
CNIL 指出,取消这一条件还将遇到法律问题。如今,由于法国的“云为中心”原则,云提供商必须尊重法国对最敏感数据的这种豁免条件。
然而,随着未来欧洲认证将取代国家标签,法国是否会被迫降低其要求?在法国,获得国家SecNumCloud认证,交付由国家信息系统安全局 (ANSSI) 制定,对政府或健康数据等最敏感的数据施加这种豁免权。 CNIL 认为,欧洲的情况也一定如此。这大型健康数据库、犯罪数据甚至与未成年人有关的数据应由«服务提供商完全受欧洲法律管辖并提供足够的保护水平“,她相信。
法国和法国的这一建议被添加到许多(法国)主张维持 EUCS 中主权标准的声音中,这是避免将我们的数据放在银盘上的一种方式……美国云巨头可以访问。未来的谈判是否会在新的欧盟委员会重组后恢复谈判中跟进?
