亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

7月份歐盟法院廢止《歐美隱私盾牌》協(xié)定之后，歐盟與美國之間的數(shù)據(jù)主權和隱私保護之爭全面升級，而此間美國對Tiktok的封殺威脅更是讓中美之間的隱私保護、域外云數(shù)據(jù)監(jiān)管與網(wǎng)絡安全問題走到了聚光燈下。美國、歐盟、中國的隱私與云數(shù)據(jù)監(jiān)管之間的“隱私革命”將如何博弈和演化，這對于全球云計算企業(yè)和互聯(lián)網(wǎng)公司來說又意味著什么？

法國國家信息學與自由委員會（CNIL）于2020年10月8日裁定(下圖)，將個人數(shù)據(jù)存儲在由一家美國公司甚至一家在美國有業(yè)務的歐洲公司運營的任何云上是非法的。

與Tiktok在美國或Facebook在中國的處境不同，歐盟并沒有封殺Azure、AWS或GCP等云服務商。但是，它們只能用于部署不需要存儲歐盟公民個人數(shù)據(jù)的應用程序。

今年7月份，歐盟法院（CJEU）以美國監(jiān)控法與歐盟隱私權發(fā)生根本性沖突為由，宣布《歐美隱私盾牌》（Shrems II）無效。歐洲數(shù)據(jù)保護委員會(EDPB)在一份關于Schrems II判決的常見問題中警告說，不會有監(jiān)管寬限期。

而上周法國CNIL的裁定，可以看作是歐盟法院“Shrems II歐美隱私盾牌”裁決后的“第一槍”。因為歐盟法院的裁決在歐盟的效力相當于美國最高法院裁決，適用于所有歐盟成員國。

如今，法國CNIL已經(jīng)別無選擇，只能要求將在美國注冊或在美國有業(yè)務活動的公司運營的云上存儲的任何個人數(shù)據(jù)轉(zhuǎn)移到另一個合規(guī)云中，以保證歐盟居民的基本自由。

此前，如果美國當局通過《云計算法》、FISA 和行政命令12333等法律遠程訪問存儲在歐盟中的個人數(shù)據(jù)，歐盟居民無法上訴。

CNIL建議，為了維護基本自由，個人數(shù)據(jù)應存儲在完全獨立于美國任何商業(yè)活動的司法實體在歐洲運營的云中。CNIL建議Azure、AWS或GCP的技術許可方法，在需要存儲歐盟公民個人數(shù)據(jù)時在歐盟合法運營。

對于中國云計算服務商和涉及歐盟個人數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)，雖然CNIL沒有發(fā)布任何相關內(nèi)容，但是根據(jù)廢除《歐美隱私盾牌》所遵循的監(jiān)管對等原則，CNIL很可能對存儲在中國云提供商上的個人數(shù)據(jù)做出類似決定，因為這些數(shù)據(jù)需要遵循2016年頒布的《中華人民共和國網(wǎng)絡安全法》。

解讀

對于法國CNIL的最新裁決涉及的各利益相關者，讓我們簡單分析如下：

因為Z國家可以請求Y公司提供由X存儲在Y云上的K個人數(shù)據(jù)，并且由于K不能對Z的這一請求提出上訴，而且由于Y在Z運營業(yè)務不能拒絕Z的請求，那么K的基本權利就受到侵犯。在適用對等原則時，如果X存儲大量敏感的K個人數(shù)據(jù)，則應停止使用Y，這與K數(shù)據(jù)存儲在歐盟內(nèi)部還是歐盟之外無關。

緩解

為了避免任何訴訟風險，在云上存儲歐盟居民個人數(shù)據(jù)的公司應遷移到不受下屬法規(guī)管轄的云提供商，這些法規(guī)包括但不限于美國的云計算法、FISA、第12333號行政命令，中國的網(wǎng)絡安全法等。

如果是未加密的個人數(shù)據(jù)，可以安全地將其存儲在下述服務器上：

• 位于歐盟境內(nèi)，確保沒有外國司法管轄區(qū);
• 由一家“獨立”的歐盟公司控制。

所謂“獨立”的歐盟公司包括但不限于：

• 擁有歐盟多數(shù)股東且在美國或中國沒有業(yè)務的歐盟公司;
• 歐盟股東占多數(shù)的歐盟公司，在美國或中國的業(yè)務通過獨立治理的子公司運營。

如果個人數(shù)據(jù)是加密的，個人數(shù)據(jù)在某些情況下可以存儲在歐盟以外的服務器上，但用于訪問歐盟居民個人數(shù)據(jù)的加密密鑰不在美國或中國法律的控制之下。

應當注意，任何無法訪問個人數(shù)據(jù)的云服務都不在CJEU/CNIL聲明的監(jiān)管范圍內(nèi)。例如，擁有服務器的歐盟公司可以在其基礎結構上部署遠程業(yè)務流程服務，只要此服務無法訪問服務器上的個人數(shù)據(jù)，并且本身也不存儲個人數(shù)據(jù)。

變數(shù)

CJEU/CNIL的裁定可能會被法國法院駁回，但CJEU必然會上訴。如果歐盟實施新的隱私盾牌（Privacy Shield）保護法規(guī)，那么CJEU/CNIL的裁定結果可能會存在變數(shù)。

盡管一些歐盟政府深受跨大西洋社會關系和美歐商業(yè)機會的影響，但新的隱私盾牌法規(guī)可能會面臨來自公民的更多反對和訴訟。

此外，由于云法、FISA和12333行政命令的性質(zhì)，除非美國政府放棄其全球監(jiān)控政策，否則任何授權跨大西洋數(shù)據(jù)傳輸?shù)臍W盟新法律都可能導致“Shrems III”（歐美隱私盾牌III）。

在中國，互聯(lián)網(wǎng)治理和數(shù)據(jù)隱私監(jiān)管的對應法律是《中華人民共和國網(wǎng)絡安全法》。

在歐盟，由于CJEU的獨立性，各國無法大規(guī)模收集數(shù)據(jù)。

但是，某些歐盟成員國的監(jiān)視政策有可能違反歐盟以外的其他國家/地區(qū)的隱私法。因為歐盟以外的一些國家很可能要求歐盟云提供商不應存儲任何（該國）個人數(shù)據(jù)。實際上，中國的情況已經(jīng)如此。

風險

毫無疑問，歐盟正在發(fā)生的云計算隱私保護法規(guī)“革命”表明，云計算與隱私數(shù)據(jù)監(jiān)管/監(jiān)控的巴爾干化已經(jīng)成為不可逆轉(zhuǎn)的趨勢，隱私保護正在成為IT系統(tǒng)設計的新核心。

最安全的設計仍然是將數(shù)據(jù)存儲在本地獨立公司的服務器上，并且僅使用那些不訪問也不存儲個人數(shù)據(jù)的全球云服務，這一點同樣適用于那些擁有自有服務器的獨立歐盟公司（在美國或中國沒有業(yè)務）。

就像 GDPR沒有立即導致訴訟一樣，CJEU/CNIL的裁定也不會立即導致訴訟。但是，由于隱私對于歐盟公民來說極為重要（GDPR對不尊重隱私的行為處以巨額罰款甚至監(jiān)禁），且在歐盟的訴訟費用并不高，CJEU的裁定（面對法國國家法院）并非沒有勝算。

此外，長期被被歐盟跨國公司冷落的歐盟本地云計算公司，顯然有較大的動力以不同的方式支持CJEU/CNIL裁定。而且，美國的外交政策（美國優(yōu)先），已經(jīng)刺激歐盟對數(shù)字主權產(chǎn)生了新的要求。

在這種情況下，對于歐盟公司來說，最安全的方法是增加使用尊重隱私的歐盟云服務，或基于開源軟件在歐盟構建自己的云，以確保完全的可審核性。確保歐盟云服務尊重隱私的一個方法就是要求訪問運營管理程序和審計，而BSO或Rapid.Space等公司已經(jīng)提供了這些流程。另一種方式是驗證服務的合規(guī)性，Gaia-X項目計劃在未來提供這種標準。

清單

一些由歐盟公司提供的開源云軟件：

• OpenNebula
• OpenSVC
• Proxmox
• SlapOS
• XCP-NG

獨立于中美域外法律之外的一些歐盟云提供商：

• Bso
• Hetzner
• Jaguar
• OVH
• Rapid.Space
• Scaleway

一些歐盟云提供商提供其操作管理程序的訪問權限：

• Bso
• Rapid.Space

符合衛(wèi)生數(shù)據(jù)法規(guī)且擁有歐盟成員國云提供商會員的一些協(xié)會：

• AFHADS-https://afhads.fr

參考資料

Schrems_II歐美隱私盾牌：

https://en.wikipedia.org/wiki/Max_Schrems#Schrems_II

歐盟隱私盾牌法規(guī)：
https://en.wikipedia.org/wiki/EU%E2%80%93US_Privacy_Shield

中華人民共和國網(wǎng)絡安全法：
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm