以人民的名义:解读欧洲云计算“隐私革命”威胁让隐私保护、域外云数据监管、中美网络安全问题成为焦点。美国、欧盟和中国的隐私和云数据监管之间的“隐私革命”将如何竞争和演变?这对全球云计算公司和互联网公司意味着什么?法国国家信息学和自由委员会(CNIL)于2020年10月8日(下图)裁定,将个人数据存储在由美国公司甚至在美国开展业务的欧洲公司运营的任何云上都是非法的。与美国的Tiktok或中国的Facebook的情况不同,欧盟并未封锁Azure、AWS或GCP等云服务提供商。但是,它们只能用于部署不需要存储欧盟公民个人数据的应用程序。今年7月,欧盟法院(CJEU)以美国监控法与欧盟隐私权存在根本冲突为由,宣布《欧美隐私盾牌》(ShremsII)无效。在关于SchremsII判决的常见问题解答中,欧洲数据保护委员会(EDPB)警告说不会有监管宽限期。法国CNIL上周的裁决可以看作是欧洲法院对“ShremsIIEuropeanPrivacyShield”裁决后的“第一枪”。因为欧洲法院的裁决在欧盟与美国最高法院的裁决具有同等效力,适用于所有欧盟成员国。如今,法国CNIL别无选择,只能要求将在美国注册或在美国开展业务的公司运营的云中存储的任何个人数据转移到另一个合规的云中,以保障欧盟居民的基本自由。此前,如果美国当局通过、FISA和第12333号行政命令等法律远程访问存储在欧盟的个人数据,欧盟居民将无法上诉。CNIL建议,为了维护基本自由,个人数据应存储在由完全独立于美国任何商业活动的司法实体在欧洲运营的云。当需要存储欧盟公民的个人数据时,CNIL推荐Azure、AWS或GCP在欧盟合法运营的技术许可方法。对于涉及欧盟个人数据的中国云计算服务商和互联网公司,CNIL虽然没有发布任何相关内容,但按照监管互惠原则,以及《欧美隐私盾牌》的废除,CNIL很可能将个人数据存储在中国云上提供商。数据也做类似的决定,因为这些数据需要遵循2016年颁布的《中华人民共和国网络安全法》。解读法国CNIL最新裁决涉及的各方利益相关者,我们简单分析如下:因为Z国可以要求Y公司提供X存储在Y云端的K的个人数据,又因为K无法回应Z的请求申诉已备案,由于Y在Z经营业务,Z的请求不能被拒绝,则侵犯了K的基本权利。当适用互惠原则时,如果X存储了大量敏感的K个人数据,则无论K数据存储在欧盟境内还是境外,Y都应停止使用。缓解为避免任何诉讼风险,将欧盟居民的个人数据存储在云端的公司应迁移到不受从属法规约束的云提供商,包括但不限于美国的云计算法案、FISA、行政命令12333,中国网络安全法等。在未加密的个人数据的情况下,它可以安全地存储在以下服务器上:位于欧盟境内,确保不受外国管辖;由“独立”的欧盟公司控制。所谓“独立”的欧盟公司包括但不限于:拥有欧盟大股东且在美国或中国均无业务的欧盟公司;拥有多数欧盟股东的欧盟公司,其在美国或中国的业务通过独立管理的子公司运营。如果个人数据被加密,个人数据在某些情况下可以存储在欧盟以外的服务器上,但用于访问欧盟居民个人数据的加密密钥不受美国或中国法律的控制。需要注意的是,任何无法访问个人数据的云服务都在CJEU/CNIL声明的监管范围之外。例如,拥有服务器的欧盟公司可以在其基础设施上部署远程业务流程服务,只要该服务无权访问服务器上的个人数据并且本身不存储个人数据。变量CJEU/CNIL的裁决可能会被法国法院推翻,但CJEU必须上诉。如果欧盟实施新的隐私盾(PrivacyShield)保护条例,CJEU/CNIL的裁决可能会出现变数。虽然一些欧盟政府深受跨大西洋社会关系和美欧商业机会的影响,但新的隐私保护条例可能会面临更多公民的反对和诉讼。此外,由于云法案、FISA和行政命令12333的性质,任何授权跨大西洋数据传输的新欧盟法律都可能导致“ShremsIII”,除非美国政府放弃其全球监控政策。在中国,互联网治理和数据隐私监管的相应法律是《中华人民共和国网络安全法》。在欧盟,由于CJEU的独立性,各国无法大规模收集数据。然而,一些欧盟成员国的监控政策有可能违反欧盟以外其他国家的隐私法。因为欧盟以外的一些国家可能会要求欧盟云提供商不得存储任何(该国家的)个人数据。事实上,在中国已经是这样了。风险毫无疑问,欧盟在云计算隐私保护法规方面的“革命”表明,云计算与隐私数据监管/监控的巴尔干化已成为不可逆转的趋势,隐私保护正在成为IT系统设计的新核心。最安全的设计仍然是将数据本地存储在独立公司的服务器上,只使用不访问或存储个人数据的全球云服务,同样适用于拥有自己服务器的独立欧盟公司(在美国或在中国没有业务).正如GDPR不会立即导致诉讼一样,CJEU/CNIL的裁决也不会立即导致诉讼。然而,由于隐私对欧盟公民至关重要(GDPR对不尊重隐私的行为处以高额罚款甚至监禁)且欧盟的诉讼成本并不高,因此CJEU的裁决(面向法国国家法院)并不不可能的。此外,长期以来被欧盟跨国公司忽视的欧盟本土云计算企业,显然有更大的动力以不同方式支持CJEU/CNIL的裁决。此外,美国的外交政策(美国优先)刺激了欧盟对数字主权的新需求。在这种情况下,欧盟企业最安全的做法是增加使用尊重隐私的欧盟云服务,或者基于开源软件在欧盟构建自己的云,以确保完全可审计。确保欧盟云服务尊重隐私的一种方法是要求访问运营管理程序和审计,这些流程已经由BSO或Rapid.Space等公司提供。另一种方式是验证服务的合规性,Gaia-X项目计划在未来提供该标准。欧盟公司提供的一些开源云软件列表:OpenNebulaOpenSVCProxmoxSlapOSXCP-NG一些独立于美中治外法权的欧盟云提供商:BsoHetznerJaguarOVHRapid.SpaceScaleway程序:BsoRapid.Space符合健康数据法规和欧盟成员国云提供商会员资格的一些协会:AFHADS-https://afhads.fr请通过安全牛获取授权(微信公众号id:gooann-sectv)]点此阅读作者更多好文
