12 月 22 日,乔·拜登签署了一项法律,将美国情报机构大规模获取欧洲人的电子邮件和电话对话的可能性延长至 2024 年 4 月。一项法案甚至计划扩大其范围。在欧洲,只有极少数政客对此表示担忧。其中包括 Philippe Latombe,01net.com 采访他:旺代省代表对这项法律对我们数字主权造成的后果感到震惊。
«总结一下,我们很糟糕”。六天时间里,FISA 第 702 条《外国情报监视法》正式延长几个月。旺代省现代代表菲利普·拉通贝 (Philippe Latombe) 有机会重返乔·拜登 12 月 22 日签署的这项法律。正是这份文本让美国情报机构能够大量收集参与国家安全事务的外国人的电子邮件、电话交谈和文件。正如我们几天前向您解释的那样2008年通过的FISA法允许中央情报局、联邦调查局和国家安全局监视甚至监视许多欧洲人。
因为它导致了不同的“虐待》,包括对美国公民进行间谍活动,而且该法案即将于 12 月 31 日到期,702 条款在大西洋彼岸引起了众多批评。在法国和欧洲?并非如此,除了少数例外 - 其中例外菲利普·拉托姆贝。经过多次辩论,国会无法就如何改革这一文本达成一致,最终于 12 月 14 日投票支持将该制度延长几个月,并于 12 月 22 日由乔·拜登签署。
谁必须遵守 FISA 法?
故事结束?还是不行。因为改革项目之一《外国情报监视法案改革和重新授权法案》(FRRA) 提出,不是进一步保护美国和欧洲公民,扩大本法的范围。菲利普·拉托姆贝 (Philippe Latombe) 回忆道,根据美国的治外法权,“美国公司或雇用美国公民的公司,(提供电子通信服务或云运营商等远程IT服务,编者注),可能被迫回应美国情报机构的要求”。即使后者在欧洲开展活动。这也包括欧洲公司的美国子公司,尽管,先验地,只涉及子公司。 “但这还没有真正由美国法院做出裁决»,承认来自旺代的当选官员。
让我们以“谷歌,一家美国公司。即使它使用欧洲的数据中心,通过那里的数据也可以根据 FISA 访问(美国情报机构,编者注)”。即使它涉及影响个人主权和私人生活(例如健康)的敏感数据。相反,“如果数据中心属于法国公司 Thalès,且该公司没有雇用任何美国人,那么该公司就不受 FISA 的约束,即使它使用 Google 作为许可软件层», 议员解释。
云运营商之后,设备制造商?
但由于文本改革项目之一(FISA 改革和重新授权法案 (FRRA))的第 504 条,这种区别将被打破,根据 12 月 27 日查阅的国会网站,该项目尚未进行投票。沟通义务将扩展到其他公司 -不再仅限于云运营商,也适用于设备制造商,副官大惊。
正如所指出的,文本01网几天前,将添加到必须响应美国机构要求的公司名单中,“用于或可能用于传输或存储此类(电子)通信的设备”的供应商以及有权访问这些设备的供应商......这将涉及提供 WiFi 的公司,例如咖啡馆、酒店、联合办公空间。但 ”也交叉连接», 旺代代表担心。交叉连接是不同设备制造商提供的一项技术,它允许通过专用电缆连接(例如托管机架和云或电信服务)实现快速可靠的连接。这些交叉连接,“使得分担数据中心客户的成本成为可能,有时还可以从水下电缆中受益,但迄今为止尚未违反 FISA 法律”。如果第504条通过的话,情况还会如此吗?
“这不是捕获流量,而是拦截一切”
为了澄清问题,议员通过向政府书面提问程序向数字事务部长让-诺埃尔·巴罗(Jean-Noël Barrot)提出了问题。 “跟踪并获得官方回应“,他解释道。也因为“这提出了一个真正的主权问题»。 «如果我们仔细阅读第 504 条,像 Equinix 这样的数据中心(根据美国法律)可能会被迫安装信标、拦截模块,而提供交叉连接链路的设备制造商可能会被 FISA 强制要求安装拦截模块。这并不是要捕获交通量并可能发现某些东西。这是关于拦截一切»,他分析道。
«SecNumCloud认证有什么后果? “,被选中的人问道。该认证由 Anssi(国家信息系统安全局)授予某些提供最大安全保证的云提供商,是政府策略在数字主权方面。该框架的 3.2 版通常强制要求服务提供商仅适用欧洲法律,并排除任何美国域外法律,因此不再适用 FISA 法律。
然而,如果新的第 504 条获得通过,这一排除将受到质疑。因为“Equinix 的数据中心是交叉连接的,所有获得 SecNumCloud 认证的公司都在使用 Equinix。因此,这是否携带(是否无效,编者注) 获得 SecNumCloud 3.2 资格?» 议员问道。除了 Equinix 之外,他的书面问题中还提到了其他公司,例如 Data4 和 DRT/Interxion。
美国国会延长了 FISA 第 702 条的期限,并延长了第 504 条的期限。这带来了真正的主权问题,并且肯定是 SecNumCloud 未来的修改。我今天向数字事务部长提出的问题。@NumSpotCloud @OVHcloud @云寺 @C_MorinDesailly pic.twitter.com/mMzLAjGsz9
— 菲利普·拉托姆贝 (@platombe)2023 年 12 月 22 日
同样的问题也会出现在欧洲的 SecNumCloud 中,即欧盟CS(«欧洲云服务网络安全认证计划 »),目前正在洽谈中。
电信设备也受影响?
他补充道,将交叉连接纳入 FISA 法律并不是唯一的问题。像思科这样的电信设备制造商呢?
«如今,大多数企业和管理部门不再使用传统的铜线电话网络。他们现在使用 IP 电话,即网络电话。对于思科来说,提供这些服务的运营商是美国的,因此他们将受到 504 法规的约束。», 估计议员希望他的问题得到正式答复。这段文字,“这是一颗真正的炸弹。我们需要能够在做出决定之前得出后果。»,他很震惊。
立即审查新的隐私盾?
这部法律是否也对数据隐私框架,去年七月签署的美国和欧洲之间新的跨大西洋数据协议,尽管存在争议? «委员会签署了文本,并解释说,通常情况下,FISA 会向下修订。但不仅没有向下修改,而且在 702 部分上是相同的”——明白了,延长至2024年4月19日。”但它也会在 504 上得到加强。理论上,这将导致立即审查柴油颗粒过滤器“,议员说。
在意大利,负责数字化转型的意大利国务卿阿莱西奥·布蒂 (Alessio Butti) 也对 FISA 法律适用于存储在国家数据中心(部分由谷歌、微软和甲骨文管理)的数据感到震惊。作为回应,负责“国家战略极”(意大利政府公共云基础设施项目的名称)的 Emanuele Ianetti 向他解释说,无论如何,敏感数据都受到加密保护,我们的同事报告说启动杂志,12月6日。
“加密不是最终的解决方案”
这加密这是否是逃避美国机构监视的一种方式?菲利普·拉托姆贝回答说,并非如此。总理也提出了这一论点,以 Olvid 消息为例– Philippe Latombe 强调说,其数据通过亚马逊服务器。 “但加密并不是最终的解决方案。加密才刚刚开始提供保护。但这还不够,因为我们总能破译。您只需要投入一些计算能力即可。事实上,加密有点像在你的公寓里放一扇装甲门。回来比较困难,但我们还是可以回来»,议员总结道。
那么面对FISA法以及第504条的可能适用,我们应该做什么呢? “我们需要就 EUCS(欧洲版本的 SecNumCloud,目前正在谈判中)达成一致。我们必须制定(美国)域外规则的豁免条款””,菲利普·拉托姆贝说道。 “问题是欧洲不太关心。然而,一旦你做出了错误的举动,它就消失了。”。请理解:如果我们接受此类访问,将很难返回。然而,这位议员认为,到目前为止,欧盟委员会对这个问题还不太关心,并提出了这样的想法,即几个月内不会有任何改变,因为“未来的欧洲选举、委员会的重组……以及未来的美国总统选举”。简短的, ”总而言之,我们很糟糕»。
