人民的名義:解讀歐洲云計(jì)算的“隱私革命”
責(zé)編:gltian |2020-10-13 16:21:577月份歐盟法院廢止《歐美隱私盾牌》協(xié)定之后,歐盟與美國(guó)之間的數(shù)據(jù)主權(quán)和隱私保護(hù)之爭(zhēng)全面升級(jí),而此間美國(guó)對(duì)Tiktok的封殺威脅更是讓中美之間的隱私保護(hù)、域外云數(shù)據(jù)監(jiān)管與網(wǎng)絡(luò)安全問題走到了聚光燈下。美國(guó)、歐盟、中國(guó)的隱私與云數(shù)據(jù)監(jiān)管之間的“隱私革命”將如何博弈和演化,這對(duì)于全球云計(jì)算企業(yè)和互聯(lián)網(wǎng)公司來說又意味著什么?
法國(guó)國(guó)家信息學(xué)與自由委員會(huì)(CNIL)于2020年10月8日裁定(下圖),將個(gè)人數(shù)據(jù)存儲(chǔ)在由一家美國(guó)公司甚至一家在美國(guó)有業(yè)務(wù)的歐洲公司運(yùn)營(yíng)的任何云上是非法的。
與Tiktok在美國(guó)或Facebook在中國(guó)的處境不同,歐盟并沒有封殺Azure、AWS或GCP等云服務(wù)商。但是,它們只能用于部署不需要存儲(chǔ)歐盟公民個(gè)人數(shù)據(jù)的應(yīng)用程序。
今年7月份,歐盟法院(CJEU)以美國(guó)監(jiān)控法與歐盟隱私權(quán)發(fā)生根本性沖突為由,宣布《歐美隱私盾牌》(Shrems II)無效。歐洲數(shù)據(jù)保護(hù)委員會(huì)(EDPB)在一份關(guān)于Schrems II判決的常見問題中警告說,不會(huì)有監(jiān)管寬限期。
而上周法國(guó)CNIL的裁定,可以看作是歐盟法院“Shrems II歐美隱私盾牌”裁決后的“第一槍”。因?yàn)闅W盟法院的裁決在歐盟的效力相當(dāng)于美國(guó)最高法院裁決,適用于所有歐盟成員國(guó)。
如今,法國(guó)CNIL已經(jīng)別無選擇,只能要求將在美國(guó)注冊(cè)或在美國(guó)有業(yè)務(wù)活動(dòng)的公司運(yùn)營(yíng)的云上存儲(chǔ)的任何個(gè)人數(shù)據(jù)轉(zhuǎn)移到另一個(gè)合規(guī)云中,以保證歐盟居民的基本自由。
此前,如果美國(guó)當(dāng)局通過《云計(jì)算法》、FISA 和行政命令12333等法律遠(yuǎn)程訪問存儲(chǔ)在歐盟中的個(gè)人數(shù)據(jù),歐盟居民無法上訴。
CNIL建議,為了維護(hù)基本自由,個(gè)人數(shù)據(jù)應(yīng)存儲(chǔ)在完全獨(dú)立于美國(guó)任何商業(yè)活動(dòng)的司法實(shí)體在歐洲運(yùn)營(yíng)的云中。CNIL建議Azure、AWS或GCP的技術(shù)許可方法,在需要存儲(chǔ)歐盟公民個(gè)人數(shù)據(jù)時(shí)在歐盟合法運(yùn)營(yíng)。
對(duì)于中國(guó)云計(jì)算服務(wù)商和涉及歐盟個(gè)人數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè),雖然CNIL沒有發(fā)布任何相關(guān)內(nèi)容,但是根據(jù)廢除《歐美隱私盾牌》所遵循的監(jiān)管對(duì)等原則,CNIL很可能對(duì)存儲(chǔ)在中國(guó)云提供商上的個(gè)人數(shù)據(jù)做出類似決定,因?yàn)檫@些數(shù)據(jù)需要遵循2016年頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。
解讀
對(duì)于法國(guó)CNIL的最新裁決涉及的各利益相關(guān)者,讓我們簡(jiǎn)單分析如下:
因?yàn)閆國(guó)家可以請(qǐng)求Y公司提供由X存儲(chǔ)在Y云上的K個(gè)人數(shù)據(jù),并且由于K不能對(duì)Z的這一請(qǐng)求提出上訴,而且由于Y在Z運(yùn)營(yíng)業(yè)務(wù)不能拒絕Z的請(qǐng)求,那么K的基本權(quán)利就受到侵犯。在適用對(duì)等原則時(shí),如果X存儲(chǔ)大量敏感的K個(gè)人數(shù)據(jù),則應(yīng)停止使用Y,這與K數(shù)據(jù)存儲(chǔ)在歐盟內(nèi)部還是歐盟之外無關(guān)。
緩解
為了避免任何訴訟風(fēng)險(xiǎn),在云上存儲(chǔ)歐盟居民個(gè)人數(shù)據(jù)的公司應(yīng)遷移到不受下屬法規(guī)管轄的云提供商,這些法規(guī)包括但不限于美國(guó)的云計(jì)算法、FISA、第12333號(hào)行政命令,中國(guó)的網(wǎng)絡(luò)安全法等。
如果是未加密的個(gè)人數(shù)據(jù),可以安全地將其存儲(chǔ)在下述服務(wù)器上:
- 位于歐盟境內(nèi),確保沒有外國(guó)司法管轄區(qū);
- 由一家“獨(dú)立”的歐盟公司控制。
所謂“獨(dú)立”的歐盟公司包括但不限于:
- 擁有歐盟多數(shù)股東且在美國(guó)或中國(guó)沒有業(yè)務(wù)的歐盟公司;
- 歐盟股東占多數(shù)的歐盟公司,在美國(guó)或中國(guó)的業(yè)務(wù)通過獨(dú)立治理的子公司運(yùn)營(yíng)。
如果個(gè)人數(shù)據(jù)是加密的,個(gè)人數(shù)據(jù)在某些情況下可以存儲(chǔ)在歐盟以外的服務(wù)器上,但用于訪問歐盟居民個(gè)人數(shù)據(jù)的加密密鑰不在美國(guó)或中國(guó)法律的控制之下。
應(yīng)當(dāng)注意,任何無法訪問個(gè)人數(shù)據(jù)的云服務(wù)都不在CJEU/CNIL聲明的監(jiān)管范圍內(nèi)。例如,擁有服務(wù)器的歐盟公司可以在其基礎(chǔ)結(jié)構(gòu)上部署遠(yuǎn)程業(yè)務(wù)流程服務(wù),只要此服務(wù)無法訪問服務(wù)器上的個(gè)人數(shù)據(jù),并且本身也不存儲(chǔ)個(gè)人數(shù)據(jù)。
變數(shù)
CJEU/CNIL的裁定可能會(huì)被法國(guó)法院駁回,但CJEU必然會(huì)上訴。如果歐盟實(shí)施新的隱私盾牌(Privacy Shield)保護(hù)法規(guī),那么CJEU/CNIL的裁定結(jié)果可能會(huì)存在變數(shù)。
盡管一些歐盟政府深受跨大西洋社會(huì)關(guān)系和美歐商業(yè)機(jī)會(huì)的影響,但新的隱私盾牌法規(guī)可能會(huì)面臨來自公民的更多反對(duì)和訴訟。
此外,由于云法、FISA和12333行政命令的性質(zhì),除非美國(guó)政府放棄其全球監(jiān)控政策,否則任何授權(quán)跨大西洋數(shù)據(jù)傳輸?shù)臍W盟新法律都可能導(dǎo)致“Shrems III”(歐美隱私盾牌III)。
在中國(guó),互聯(lián)網(wǎng)治理和數(shù)據(jù)隱私監(jiān)管的對(duì)應(yīng)法律是《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。
在歐盟,由于CJEU的獨(dú)立性,各國(guó)無法大規(guī)模收集數(shù)據(jù)。
但是,某些歐盟成員國(guó)的監(jiān)視政策有可能違反歐盟以外的其他國(guó)家/地區(qū)的隱私法。因?yàn)闅W盟以外的一些國(guó)家很可能要求歐盟云提供商不應(yīng)存儲(chǔ)任何(該國(guó))個(gè)人數(shù)據(jù)。實(shí)際上,中國(guó)的情況已經(jīng)如此。
風(fēng)險(xiǎn)
毫無疑問,歐盟正在發(fā)生的云計(jì)算隱私保護(hù)法規(guī)“革命”表明,云計(jì)算與隱私數(shù)據(jù)監(jiān)管/監(jiān)控的巴爾干化已經(jīng)成為不可逆轉(zhuǎn)的趨勢(shì),隱私保護(hù)正在成為IT系統(tǒng)設(shè)計(jì)的新核心。
最安全的設(shè)計(jì)仍然是將數(shù)據(jù)存儲(chǔ)在本地獨(dú)立公司的服務(wù)器上,并且僅使用那些不訪問也不存儲(chǔ)個(gè)人數(shù)據(jù)的全球云服務(wù),這一點(diǎn)同樣適用于那些擁有自有服務(wù)器的獨(dú)立歐盟公司(在美國(guó)或中國(guó)沒有業(yè)務(wù))。
就像 GDPR沒有立即導(dǎo)致訴訟一樣,CJEU/CNIL的裁定也不會(huì)立即導(dǎo)致訴訟。但是,由于隱私對(duì)于歐盟公民來說極為重要(GDPR對(duì)不尊重隱私的行為處以巨額罰款甚至監(jiān)禁),且在歐盟的訴訟費(fèi)用并不高,CJEU的裁定(面對(duì)法國(guó)國(guó)家法院)并非沒有勝算。
此外,長(zhǎng)期被被歐盟跨國(guó)公司冷落的歐盟本地云計(jì)算公司,顯然有較大的動(dòng)力以不同的方式支持CJEU/CNIL裁定。而且,美國(guó)的外交政策(美國(guó)優(yōu)先),已經(jīng)刺激歐盟對(duì)數(shù)字主權(quán)產(chǎn)生了新的要求。
在這種情況下,對(duì)于歐盟公司來說,最安全的方法是增加使用尊重隱私的歐盟云服務(wù),或基于開源軟件在歐盟構(gòu)建自己的云,以確保完全的可審核性。確保歐盟云服務(wù)尊重隱私的一個(gè)方法就是要求訪問運(yùn)營(yíng)管理程序和審計(jì),而BSO或Rapid.Space等公司已經(jīng)提供了這些流程。另一種方式是驗(yàn)證服務(wù)的合規(guī)性,Gaia-X項(xiàng)目計(jì)劃在未來提供這種標(biāo)準(zhǔn)。
清單
一些由歐盟公司提供的開源云軟件:
- OpenNebula
- OpenSVC
- Proxmox
- SlapOS
- XCP-NG
獨(dú)立于中美域外法律之外的一些歐盟云提供商:
- Bso
- Hetzner
- Jaguar
- OVH
- Rapid.Space
- Scaleway
一些歐盟云提供商提供其操作管理程序的訪問權(quán)限:
- Bso
- Rapid.Space
符合衛(wèi)生數(shù)據(jù)法規(guī)且擁有歐盟成員國(guó)云提供商會(huì)員的一些協(xié)會(huì):
- AFHADS-https://afhads.fr
參考資料
Schrems_II歐美隱私盾牌:
https://en.wikipedia.org/wiki/Max_Schrems#Schrems_II
歐盟隱私盾牌法規(guī):
https://en.wikipedia.org/wiki/EU%E2%80%93US_Privacy_Shield
中華人民共和國(guó)網(wǎng)絡(luò)安全法:
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!
- 美國(guó)網(wǎng)絡(luò)司令部繼續(xù)投資開發(fā)網(wǎng)攻發(fā)起平臺(tái)JCAP
- 關(guān)稅大棒下的地緣政治博弈:APT組織瞄準(zhǔn)中非命運(yùn)共同體
- 權(quán)威認(rèn)證!Fortinet再奪Gartner SASE平臺(tái)魔力象限領(lǐng)導(dǎo)者
- 供應(yīng)商失職致嚴(yán)重網(wǎng)絡(luò)攻擊,客戶起訴索賠27億元
- 《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)風(fēng)險(xiǎn)分類分級(jí)指南2025年》筑起網(wǎng)絡(luò)安全防線