人民的名义:解读欧洲云计算的“隐私革命”

7月份欧盟法院废止《欧美隐私盾牌》协定之后,欧盟与美国之间的数据主权和隐私保护之争全面升级,而此间美国对Tiktok的封杀威胁更是让中美之间的隐私保护、域外云数据监管与网络安全问题走到了聚光灯下。美国、欧盟、中国的隐私与云数据监管之间的“隐私革命”将如何博弈和演化,这对于全球云计算企业和互联网公司来说又意味着什么?

法国国家信息学与自由委员会(CNIL)于2020年10月8日裁定(下图),将个人数据存储在由一家美国公司甚至一家在美国有业务的欧洲公司运营的任何云上是非法的。

与Tiktok在美国或Facebook在中国的处境不同,欧盟并没有封杀Azure、AWS或GCP等云服务商。但是,它们只能用于部署不需要存储欧盟公民个人数据的应用程序。

今年7月份,欧盟法院(CJEU)以美国监控法与欧盟隐私权发生根本性冲突为由,宣布《欧美隐私盾牌》(Shrems II)无效。欧洲数据保护委员会(EDPB)在一份关于Schrems II判决的常见问题中警告说,不会有监管宽限期。

而上周法国CNIL的裁定,可以看作是欧盟法院“Shrems II欧美隐私盾牌”裁决后的“第一枪”。因为欧盟法院的裁决在欧盟的效力相当于美国最高法院裁决,适用于所有欧盟成员国。

如今,法国CNIL已经别无选择,只能要求将在美国注册或在美国有业务活动的公司运营的云上存储的任何个人数据转移到另一个合规云中,以保证欧盟居民的基本自由。

此前,如果美国当局通过《云计算法》、FISA 和行政命令12333等法律远程访问存储在欧盟中的个人数据,欧盟居民无法上诉。

CNIL建议,为了维护基本自由,个人数据应存储在完全独立于美国任何商业活动的司法实体在欧洲运营的云中。CNIL建议Azure、AWS或GCP的技术许可方法,在需要存储欧盟公民个人数据时在欧盟合法运营。

对于中国云计算服务商和涉及欧盟个人数据的互联网企业,虽然CNIL没有发布任何相关内容,但是根据废除《欧美隐私盾牌》所遵循的监管对等原则,CNIL很可能对存储在中国云提供商上的个人数据做出类似决定,因为这些数据需要遵循2016年颁布的《中华人民共和国网络安全法》。

解读

对于法国CNIL的最新裁决涉及的各利益相关者,让我们简单分析如下:

因为Z国家可以请求Y公司提供由X存储在Y云上的K个人数据,并且由于K不能对Z的这一请求提出上诉,而且由于Y在Z运营业务不能拒绝Z的请求,那么K的基本权利就受到侵犯。在适用对等原则时,如果X存储大量敏感的K个人数据,则应停止使用Y,这与K数据存储在欧盟内部还是欧盟之外无关。

缓解

为了避免任何诉讼风险,在云上存储欧盟居民个人数据的公司应迁移到不受下属法规管辖的云提供商,这些法规包括但不限于美国的云计算法、FISA、第12333号行政命令,中国的网络安全法等。

如果是未加密的个人数据,可以安全地将其存储在下述服务器上:

  • 位于欧盟境内,确保没有外国司法管辖区;
  • 由一家“独立”的欧盟公司控制。

所谓“独立”的欧盟公司包括但不限于:

  • 拥有欧盟多数股东且在美国或中国没有业务的欧盟公司;
  • 欧盟股东占多数的欧盟公司,在美国或中国的业务通过独立治理的子公司运营。

如果个人数据是加密的,个人数据在某些情况下可以存储在欧盟以外的服务器上,但用于访问欧盟居民个人数据的加密密钥不在美国或中国法律的控制之下。

应当注意,任何无法访问个人数据的云服务都不在CJEU/CNIL声明的监管范围内。例如,拥有服务器的欧盟公司可以在其基础结构上部署远程业务流程服务,只要此服务无法访问服务器上的个人数据,并且本身也不存储个人数据。

变数

CJEU/CNIL的裁定可能会被法国法院驳回,但CJEU必然会上诉。如果欧盟实施新的隐私盾牌(Privacy Shield)保护法规,那么CJEU/CNIL的裁定结果可能会存在变数。

尽管一些欧盟政府深受跨大西洋社会关系和美欧商业机会的影响,但新的隐私盾牌法规可能会面临来自公民的更多反对和诉讼。

此外,由于云法、FISA和12333行政命令的性质,除非美国政府放弃其全球监控政策,否则任何授权跨大西洋数据传输的欧盟新法律都可能导致“Shrems III”(欧美隐私盾牌III)。

在中国,互联网治理和数据隐私监管的对应法律是《中华人民共和国网络安全法》。

在欧盟,由于CJEU的独立性,各国无法大规模收集数据。

但是,某些欧盟成员国的监视政策有可能违反欧盟以外的其他国家/地区的隐私法。因为欧盟以外的一些国家很可能要求欧盟云提供商不应存储任何(该国)个人数据。实际上,中国的情况已经如此。

风险

毫无疑问,欧盟正在发生的云计算隐私保护法规“革命”表明,云计算与隐私数据监管/监控的巴尔干化已经成为不可逆转的趋势,隐私保护正在成为IT系统设计的新核心。

最安全的设计仍然是将数据存储在本地独立公司的服务器上,并且仅使用那些不访问也不存储个人数据的全球云服务,这一点同样适用于那些拥有自有服务器的独立欧盟公司(在美国或中国没有业务)。

就像 GDPR没有立即导致诉讼一样,CJEU/CNIL的裁定也不会立即导致诉讼。但是,由于隐私对于欧盟公民来说极为重要(GDPR对不尊重隐私的行为处以巨额罚款甚至监禁),且在欧盟的诉讼费用并不高,CJEU的裁定(面对法国国家法院)并非没有胜算。

此外,长期被被欧盟跨国公司冷落的欧盟本地云计算公司,显然有较大的动力以不同的方式支持CJEU/CNIL裁定。而且,美国的外交政策(美国优先),已经刺激欧盟对数字主权产生了新的要求。

在这种情况下,对于欧盟公司来说,最安全的方法是增加使用尊重隐私的欧盟云服务,或基于开源软件在欧盟构建自己的云,以确保完全的可审核性。确保欧盟云服务尊重隐私的一个方法就是要求访问运营管理程序和审计,而BSO或Rapid.Space等公司已经提供了这些流程。另一种方式是验证服务的合规性,Gaia-X项目计划在未来提供这种标准。

清单

一些由欧盟公司提供的开源云软件:

  • OpenNebula
  • OpenSVC
  • Proxmox
  • SlapOS
  • XCP-NG

独立于中美域外法律之外的一些欧盟云提供商:

  • Bso
  • Hetzner
  • Jaguar
  • OVH
  • Rapid.Space
  • Scaleway

一些欧盟云提供商提供其操作管理程序的访问权限:

  • Bso
  • Rapid.Space

符合卫生数据法规且拥有欧盟成员国云提供商会员的一些协会:

  • AFHADS-https://afhads.fr

参考资料

Schrems_II欧美隐私盾牌:

https://en.wikipedia.org/wiki/Max_Schrems#Schrems_II

欧盟隐私盾牌法规:
https://en.wikipedia.org/wiki/EU%E2%80%93US_Privacy_Shield

中华人民共和国网络安全法:
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

上一篇:腾讯 iOA 零信任安全技术实践

下一篇:德国软件巨头Software AG遭遇勒索软件攻击