文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

人民的名义:解读欧洲云计算的“隐私革命”

2024-12-03 18:40

关注

[[345883]]

法国国家信息学与自由委员会(CNIL)于2020年10月8日裁定(下图),将个人数据存储在由一家美国公司甚至一家在美国有业务的欧洲公司运营的任何云上是非法的。

与Tiktok在美国或Facebook在中国的处境不同,欧盟并没有封杀Azure、AWS或GCP等云服务商。但是,它们只能用于部署不需要存储欧盟公民个人数据的应用程序。

今年7月份,欧盟法院(CJEU)以美国监控法与欧盟隐私权发生根本性冲突为由,宣布《欧美隐私盾牌》(Shrems II)无效。欧洲数据保护委员会(EDPB)在一份关于Schrems II判决的常见问题中警告说,不会有监管宽限期。

而上周法国CNIL的裁定,可以看作是欧盟法院“Shrems II欧美隐私盾牌”裁决后的“第一枪”。因为欧盟法院的裁决在欧盟的效力相当于美国最高法院裁决,适用于所有欧盟成员国。

如今,法国CNIL已经别无选择,只能要求将在美国注册或在美国有业务活动的公司运营的云上存储的任何个人数据转移到另一个合规云中,以保证欧盟居民的基本自由。

此前,如果美国当局通过《云计算法》、FISA 和行政命令12333等法律远程访问存储在欧盟中的个人数据,欧盟居民无法上诉。

CNIL建议,为了维护基本自由,个人数据应存储在完全独立于美国任何商业活动的司法实体在欧洲运营的云中。CNIL建议Azure、AWS或GCP的技术许可方法,在需要存储欧盟公民个人数据时在欧盟合法运营。

对于中国云计算服务商和涉及欧盟个人数据的互联网企业,虽然CNIL没有发布任何相关内容,但是根据废除《欧美隐私盾牌》所遵循的监管对等原则,CNIL很可能对存储在中国云提供商上的个人数据做出类似决定,因为这些数据需要遵循2016年颁布的《中华人民共和国网络安全法》。

解读

对于法国CNIL的最新裁决涉及的各利益相关者,让我们简单分析如下:

因为Z国家可以请求Y公司提供由X存储在Y云上的K个人数据,并且由于K不能对Z的这一请求提出上诉,而且由于Y在Z运营业务不能拒绝Z的请求,那么K的基本权利就受到侵犯。在适用对等原则时,如果X存储大量敏感的K个人数据,则应停止使用Y,这与K数据存储在欧盟内部还是欧盟之外无关。

缓解

为了避免任何诉讼风险,在云上存储欧盟居民个人数据的公司应迁移到不受下属法规管辖的云提供商,这些法规包括但不限于美国的云计算法、FISA、第12333号行政命令,中国的网络安全法等。

如果是未加密的个人数据,可以安全地将其存储在下述服务器上:

所谓“独立”的欧盟公司包括但不限于:

如果个人数据是加密的,个人数据在某些情况下可以存储在欧盟以外的服务器上,但用于访问欧盟居民个人数据的加密密钥不在美国或中国法律的控制之下。

应当注意,任何无法访问个人数据的云服务都不在CJEU/CNIL声明的监管范围内。例如,拥有服务器的欧盟公司可以在其基础结构上部署远程业务流程服务,只要此服务无法访问服务器上的个人数据,并且本身也不存储个人数据。

变数

CJEU/CNIL的裁定可能会被法国法院驳回,但CJEU必然会上诉。如果欧盟实施新的隐私盾牌(Privacy Shield)保护法规,那么CJEU/CNIL的裁定结果可能会存在变数。

尽管一些欧盟政府深受跨大西洋社会关系和美欧商业机会的影响,但新的隐私盾牌法规可能会面临来自公民的更多反对和诉讼。

此外,由于云法、FISA和12333行政命令的性质,除非美国政府放弃其全球监控政策,否则任何授权跨大西洋数据传输的欧盟新法律都可能导致“Shrems III”(欧美隐私盾牌III)。

在中国,互联网治理和数据隐私监管的对应法律是《中华人民共和国网络安全法》。

在欧盟,由于CJEU的独立性,各国无法大规模收集数据。

但是,某些欧盟成员国的监视政策有可能违反欧盟以外的其他国家/地区的隐私法。因为欧盟以外的一些国家很可能要求欧盟云提供商不应存储任何(该国)个人数据。实际上,中国的情况已经如此。

风险

毫无疑问,欧盟正在发生的云计算隐私保护法规“革命”表明,云计算与隐私数据监管/监控的巴尔干化已经成为不可逆转的趋势,隐私保护正在成为IT系统设计的新核心。

最安全的设计仍然是将数据存储在本地独立公司的服务器上,并且仅使用那些不访问也不存储个人数据的全球云服务,这一点同样适用于那些拥有自有服务器的独立欧盟公司(在美国或中国没有业务)。

就像 GDPR没有立即导致诉讼一样,CJEU/CNIL的裁定也不会立即导致诉讼。但是,由于隐私对于欧盟公民来说极为重要(GDPR对不尊重隐私的行为处以巨额罚款甚至监禁),且在欧盟的诉讼费用并不高,CJEU的裁定(面对法国国家法院)并非没有胜算。

此外,长期被被欧盟跨国公司冷落的欧盟本地云计算公司,显然有较大的动力以不同的方式支持CJEU/CNIL裁定。而且,美国的外交政策(美国优先),已经刺激欧盟对数字主权产生了新的要求。

在这种情况下,对于欧盟公司来说,最安全的方法是增加使用尊重隐私的欧盟云服务,或基于开源软件在欧盟构建自己的云,以确保完全的可审核性。确保欧盟云服务尊重隐私的一个方法就是要求访问运营管理程序和审计,而BSO或Rapid.Space等公司已经提供了这些流程。另一种方式是验证服务的合规性,Gaia-X项目计划在未来提供这种标准。

清单

一些由欧盟公司提供的开源云软件:

独立于中美域外法律之外的一些欧盟云提供商:

一些欧盟云提供商提供其操作管理程序的访问权限:

符合卫生数据法规且拥有欧盟成员国云提供商会员的一些协会:

·AFHADS-https://afhads.fr

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文   

 

来源:51CTO专栏内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯