必须定义 EUCS(数据主机认证)的文本的最新版本不再包括域外法律豁免的条件 — — 巴黎捍卫的这一条件,实际上排除了美国云服务提供商获取敏感数据或战略的权利。欧洲主权的损失?
无论是或否,欧洲是否会在其云主机认证(EUCS)中施加外国域外法律的豁免权?报道称,这不是谈判正在采取的道路政治报4月3日,路透社4 月 4 日,以及语境,本周五,4 月 5 日。几个月来,欧洲人一直在就未来 EUCS 的轮廓进行谈判(“欧盟云服务网络安全认证计划),这是一个保证欧洲云提供商和云计算服务通用网络安全标准的标签。该认证由欧洲网络安全法规(或“网络安全法案”)规定,适用于未来的数据主机,这些主机可能必须处理或存储被视为敏感的数据,例如来自部委或国家的健康数据或信息策略。而在这次讨论中,是否包含“主权”标准的问题也被激烈讨论。
这确实是争论的焦点:我们是否应该在最高级别上施加“域外法”豁免权——这不是一个将其施加于所有人的问题,而只是针对最后一个级别的问题?该术语指的是美国(或其他)立法,这些立法强制 AWS 或 Azure 等美国云提供商在美国情报机构提出要求时与他们共享其在美国和国外(包括欧洲)托管的数据……对于包括法国在内的一些国家来说,未来的 EUCS 认证必须提供最高级别的对这些特定法律的豁免权。
为什么巴黎要给予域外法律豁免权?
而最新版本的EUCS响应了这一要求,提供了四个级别的安全性。在最后一项最高标准中,巴黎数月来一直在争取恢复目前的 SecNumCloud 3.2 标准,该标准相当于法法两国的 EUCS,其中包括不受域外(美国)法律豁免的条件。这个想法是强制实施第四级认证,仅针对最敏感的数据选择该认证,不适用美国法律,例如国际汽联法,于 2023 年底更新。
尽管有一项跨大西洋条约允许将个人数据从欧洲传输到美国 -«数据隐私框架» 或 DPF 去年 7 月正式发布并取代了被欧盟法院宣布无效的隐私保护盾——维权人士认为,它不足以保护欧洲人免受中央情报局和联邦调查局等美国情报机构的侵害。因此,强制要求云者不受此类法律的约束,以使外国无法访问敏感或战略数据。
回忆道,第四级是去年五月提出的语境在他的网站上。具体来说,它要求任何云提供商都位于欧洲。他还必须证明他不受任何域外法律的约束。毫不奇怪,美国科技游说团体 CCIA Europe 并不支持它,因为这些规则实际上排除了美国云巨头以及 AWS、微软 Azure 或谷歌云等世界领先企业。
第四级被删除并由透明度义务取代
相反,在谈判者中,其他人则主张既不强制将数据中心选在欧洲,也不主张域外法律豁免。据德国媒体报道,法国感受到潮流的转变,在三月初试图展示教学法,回顾这些主权标准仅适用于最后一级的认证,因此仅适用于最敏感的项目或数据每日镜报三月初。
没有成功:根据发布的版本语境3月22日起,干脆删除4级。其他三个级别仅受透明度义务的约束,这将允许公司或管理部门在充分了解适合他们的云服务的情况下进行选择。具体来说,细节路透社,云提供商应提供有关其存储和处理客户数据的位置的信息。他们还将被迫列出强加给他们的法律。
欧洲主权支持者错失良机
如果这个版本最终被采用,那么对于欧洲主权的支持者来说,这将是一个错失的机会。一些人认为,该文本将使欧洲更加依赖美国云巨头,包括其最敏感的数据。事实上,强加治外法权可能有利于欧洲云提供商,这些提供商目前在三大云领导者面前苦苦挣扎——四分之三的云市场掌握在微软的亚马逊网络服务(AWS)手中。 Azure 和谷歌云。
这是多家法国和欧洲公司(例如 OVHCloud、Orange、空客,甚至 EDF)的观点,他们在 11 月 17 日写道:“超过三分之一的公司已经投资了主权云解决方案,并且几乎一半的公司计划在不久的将来这样做,这表明组织愿意解决主权问题”。 Hexatrust 协会主席 Jean-Noël De Galzain 也有同样的经历,该协会汇集了法国网络安全和“可信云”公司。后者是去年二月在《纽约时报》专栏中发表的一篇专栏文章的作者。论坛报,写道,通过停止对抗美国的治外法权并放弃欧洲数据本地化的要求,“欧洲可能会通过进一步锁定自己在技术和经济上对美国 GAFAM 的依赖,从而切断自己保持自治的可能性,并阻止替代性欧洲云和信任行业的出现(……)»。
因为即使法国强制实施 SecNumCloud 3.2 标准来托管敏感数据,这种法国-法国认证最终也将被 EUCS 取代——如果该版本(没有治外法权豁免条件)最终被采用,EUCS 可能会不那么严格。一切都还没有决定:认证小组的专家将在十天左右开会。
另请阅读:欧洲如何将你的个人数据交给美国间谍
