负责就数字问题向政府提供意见和建议的法国委员会已经开始讨论“EUCS”这个棘手的话题,这是欧洲云未来的网络安全标签,目前正在布鲁塞尔进行谈判。她恳求将主权标准重新纳入这个标签中。对于后者来说,保护欧洲人的“敏感和战略数据免受中国和美国的外国干涉”是“迫切需要”。
这是一个技术主题,但仍应引起我们的充分关注。在 CNIL 发布近两个月后,高级数字和邮政委员会 (CSNP) 于 9 月 4 日星期三发布了其对EUCS的意见。几个月来,l“欧盟云服务网络安全认证计划”是一个保证整个欧洲云提供商共同网络安全标准的标签,是欧盟 (EU) 27 个国家之间激烈谈判的主题。
正如 CNIL 去年 7 月所指出的那样,法国议会委员会 CSNP 就数字问题发表不具约束力的意见,要求政府努力重新整合主权标准,即对非欧洲域外法律的豁免权。未来的云网络安全框架。
域外法律豁免意味着什么?
域外法律是指在其境外适用的国家的法律。这个词具体指的是2017年的中国法律,甚至是美国 FISA 法案第 702 条它们分别适用于中国(华为、阿里巴巴、腾讯)或美国(AWS、Azure 或谷歌云)云提供商,无论他们在国内还是国外运营。如果这些公司提出要求,他们就会强迫这些公司与中国或美国情报机构分享欧洲数据。包括这些数据何时托管在欧洲,无论是涉及个人数据、战略公司数据还是政府数据。
为了绕过美国或中国对我们数据的访问,欧洲有一个想法,即在未来适用于云的欧洲标签中插入域外法律豁免权——“高+”级别——就像法国已经在这样做的那样SecNumCloud。这意味着云提供商将不必遵守这些法律来托管最敏感的数据。因此,该规则将把所有美国(AWS、Azure、谷歌云)和中国(华为、阿里巴巴等)云提供商排除在最高级别之外。
议会委员会在展开 EUCS 的政治和经济问题之前回忆道,这不符合美国云计算者的口味:对法国政府的文本进行解释,法国政府可以在布鲁塞尔使用它来进一步说服。
美国的反应
因为,如果该认证最初规定了最高级别的域外法律豁免权(CSNP 将其指定为“高+”),那么在“美国反应”之后,去年情况发生了变化。
另请阅读:EUCS:欧洲是否即将放弃其主权标准?
欧盟委员会回忆称,2023 年 5 月,主导欧洲大部分市场的美国云巨头向白宫抱怨 EUCS(初始版本)将构成“对美国国家安全的威胁”。他们在实质上解释说,EUCS 将使美国云公司处于不利地位,而有利于本地替代方案。四个月后,美国国务卿安东尼·布林肯写信给欧盟委员会,EUCS(带有“高+”)“可以 ”,不多也不少,“在经济和安全方面损害美国和欧盟之间的双边关系»,强调议会委员会。
布鲁塞尔非常重视这一警告。随后,欧洲高管要求 ENISA(欧洲网络安全机构)审查 EUCS,从而导致该计划于 2024 年初推出新的淡化版本(不包含“High +”)。一个版本“最终可能带来难以承受的经济、地缘政治和法律风险»,CSNP 写道。因为如果没有这个具有豁免权的 EUCS,欧洲将能够“摆脱日益依赖美国运营商的局面“,她继续说道。
支持或反对域外法律豁免
在这场辩论中,我们一方面发现有人呼吁纳入“主权”标准,将法国所属欧盟最高层(“高+”)的“治外法权”豁免权纳入其中。
另一方面,国家或公司正在开展相反的活动,以消除这种情况。其中包括美国,担心其获取欧洲公司和政府战略数据的渠道被切断。该国还担心其云冠军企业在欧洲市场被边缘化,因为它们将被排除在托管最具战略性和敏感数据之外。这个阵营还包括欧洲国家“对美国为其提供的安全保障的限制威胁敏感» – 比如那些边界非常接近乌克兰战争的国家,以及所有依赖美国市场的经济部门。
美国/欧盟法律概念的差异
委员会在实质上解释说,问题在于,在这件事上,我们将打击恐怖主义和经济间谍活动混为一谈,并对“美国在打击恐怖主义和国际犯罪方面的合法需求,以及针对欧洲公司旨在使其经济受益的滥用经济情报活动可能产生的风险”。该组织还讨论了美国和欧洲法律在这一领域的概念差异。
一方面,美国会倾向于国家安全,而欧洲则将个人权利放在第一位,数据收集只能“相称且必要的”。如此多的问题可能会使管理两国之间个人数据传输的新规则基础可能无效。后者现在由 2023 年 7 月宣布的“数据隐私框架”组成,取代了 2020 年被欧洲司法宣告无效的“隐私盾”。
另请阅读:欧洲如何将你的个人数据交给美国间谍
«如果欧洲当局认为相称性和必要性原则不适用不按照 GDPR 标准应用,它们可能会质疑 GDPR 的有效性数据隐私框架。此类分歧可能导致协议进一步无效,就像隐私护盾的情况一样。这种风险凸显了固有的挑战两个法律体系之间数据保护标准的统一,尽管与合作伙伴相比,有着根本的不同»,议会委员会写道。
SecNumCloud将会何去何从?
CSNP 提出的另一个问题:SecNumCloud 的未来,这是法法网络安全框架,如今集成了“云服务不受域外范围的非欧洲立法影响的技术和法律标准»,用于存储我们最敏感和战略数据(例如健康数据或部门数据)的存储库。
然而,如果 EUCS 采用比 SecNumCloud 要求更低的版本,因此在没有豁免标准的情况下,法国可能不得不放弃法国标准,转而采用欧洲标准。 “法律上的不确定性仍然存在,但 EUCS 的采用,无论是否集成 High+ 级别,很可能会使 SecNumCloud 框架变得过时。»,委员会写道。因此,退出政府的“以云为中心”的原则,该原则对战略国家或企业数据施加了对这些法律的豁免权——尽管如此,这种保护对欧洲公司来说仍然至关重要。
对于他们中的许多人来说,“EUCS High+ 认证级别对于以不具约束力的方式保护其敏感或战略性非个人数据免受情报机构(尤其是美国机构)合法但不必要的访问至关重要。»,强调了 CSNP。 “这些公司不希望美国云服务提供商被赶出欧洲市场»她继续说道。他们 ”(然而)声称这些运营商无法满足他们的大部分需求»,委员会写道。
CSNP 需要时间和分析才能更好地令人信服
因此,恢复这种域外法律豁免权是“迫切需要保护需要保护其信息资产免受外国干涉的公共和私人组织的敏感和战略数据(无论是否为个人数据)», «欧洲云服务产业出现的条件“,她写道。
在其意见的最后,CSNP 向政府提出了几项建议,政府将继续自由地遵循这些建议。她要求后者“与欧盟委员会采取必要措施因此它暂停任何采用该计划当前版本的决定认证”。她建议“要求反对High+级别的各个欧盟成员国解释他们打算剥夺其这一权利的原因欧洲或表达需要的公司和公共管理部门在自己的国家»。
最后,她要求法国行政部门进行一系列分析,其中一项分析旨在驳斥“高+”级别的 EUCS 将违反 WTO 协议的论点。
因此,她建议分析“欧盟拒绝维持 EUCS 高+类型水平的中期地缘政治后果”,同时也加深了“的主题欧洲对美国云服务行业依赖的后果及其对欧洲经济竞争力的影响”。 CSNP 希望,如此多的因素可以使布鲁塞尔的天平向有豁免权的 EUCS 倾斜,“欧盟技术自主的基本问题(……)»。
