人民的名義:解讀歐洲云計算的“隱私革命”
責編:gltian |2020-10-13 16:21:577月份歐盟法院廢止《歐美隱私盾牌》協定之后,歐盟與美國之間的數據主權和隱私保護之爭全面升級,而此間美國對Tiktok的封殺威脅更是讓中美之間的隱私保護、域外云數據監管與網絡安全問題走到了聚光燈下。美國、歐盟、中國的隱私與云數據監管之間的“隱私革命”將如何博弈和演化,這對于全球云計算企業和互聯網公司來說又意味著什么?
法國國家信息學與自由委員會(CNIL)于2020年10月8日裁定(下圖),將個人數據存儲在由一家美國公司甚至一家在美國有業務的歐洲公司運營的任何云上是非法的。
與Tiktok在美國或Facebook在中國的處境不同,歐盟并沒有封殺Azure、AWS或GCP等云服務商。但是,它們只能用于部署不需要存儲歐盟公民個人數據的應用程序。
今年7月份,歐盟法院(CJEU)以美國監控法與歐盟隱私權發生根本性沖突為由,宣布《歐美隱私盾牌》(Shrems II)無效。歐洲數據保護委員會(EDPB)在一份關于Schrems II判決的常見問題中警告說,不會有監管寬限期。
而上周法國CNIL的裁定,可以看作是歐盟法院“Shrems II歐美隱私盾牌”裁決后的“第一槍”。因為歐盟法院的裁決在歐盟的效力相當于美國最高法院裁決,適用于所有歐盟成員國。
如今,法國CNIL已經別無選擇,只能要求將在美國注冊或在美國有業務活動的公司運營的云上存儲的任何個人數據轉移到另一個合規云中,以保證歐盟居民的基本自由。
此前,如果美國當局通過《云計算法》、FISA 和行政命令12333等法律遠程訪問存儲在歐盟中的個人數據,歐盟居民無法上訴。
CNIL建議,為了維護基本自由,個人數據應存儲在完全獨立于美國任何商業活動的司法實體在歐洲運營的云中。CNIL建議Azure、AWS或GCP的技術許可方法,在需要存儲歐盟公民個人數據時在歐盟合法運營。
對于中國云計算服務商和涉及歐盟個人數據的互聯網企業,雖然CNIL沒有發布任何相關內容,但是根據廢除《歐美隱私盾牌》所遵循的監管對等原則,CNIL很可能對存儲在中國云提供商上的個人數據做出類似決定,因為這些數據需要遵循2016年頒布的《中華人民共和國網絡安全法》。
解讀
對于法國CNIL的最新裁決涉及的各利益相關者,讓我們簡單分析如下:
因為Z國家可以請求Y公司提供由X存儲在Y云上的K個人數據,并且由于K不能對Z的這一請求提出上訴,而且由于Y在Z運營業務不能拒絕Z的請求,那么K的基本權利就受到侵犯。在適用對等原則時,如果X存儲大量敏感的K個人數據,則應停止使用Y,這與K數據存儲在歐盟內部還是歐盟之外無關。
緩解
為了避免任何訴訟風險,在云上存儲歐盟居民個人數據的公司應遷移到不受下屬法規管轄的云提供商,這些法規包括但不限于美國的云計算法、FISA、第12333號行政命令,中國的網絡安全法等。
如果是未加密的個人數據,可以安全地將其存儲在下述服務器上:
- 位于歐盟境內,確保沒有外國司法管轄區;
- 由一家“獨立”的歐盟公司控制。
所謂“獨立”的歐盟公司包括但不限于:
- 擁有歐盟多數股東且在美國或中國沒有業務的歐盟公司;
- 歐盟股東占多數的歐盟公司,在美國或中國的業務通過獨立治理的子公司運營。
如果個人數據是加密的,個人數據在某些情況下可以存儲在歐盟以外的服務器上,但用于訪問歐盟居民個人數據的加密密鑰不在美國或中國法律的控制之下。
應當注意,任何無法訪問個人數據的云服務都不在CJEU/CNIL聲明的監管范圍內。例如,擁有服務器的歐盟公司可以在其基礎結構上部署遠程業務流程服務,只要此服務無法訪問服務器上的個人數據,并且本身也不存儲個人數據。
變數
CJEU/CNIL的裁定可能會被法國法院駁回,但CJEU必然會上訴。如果歐盟實施新的隱私盾牌(Privacy Shield)保護法規,那么CJEU/CNIL的裁定結果可能會存在變數。
盡管一些歐盟政府深受跨大西洋社會關系和美歐商業機會的影響,但新的隱私盾牌法規可能會面臨來自公民的更多反對和訴訟。
此外,由于云法、FISA和12333行政命令的性質,除非美國政府放棄其全球監控政策,否則任何授權跨大西洋數據傳輸的歐盟新法律都可能導致“Shrems III”(歐美隱私盾牌III)。
在中國,互聯網治理和數據隱私監管的對應法律是《中華人民共和國網絡安全法》。
在歐盟,由于CJEU的獨立性,各國無法大規模收集數據。
但是,某些歐盟成員國的監視政策有可能違反歐盟以外的其他國家/地區的隱私法。因為歐盟以外的一些國家很可能要求歐盟云提供商不應存儲任何(該國)個人數據。實際上,中國的情況已經如此。
風險
毫無疑問,歐盟正在發生的云計算隱私保護法規“革命”表明,云計算與隱私數據監管/監控的巴爾干化已經成為不可逆轉的趨勢,隱私保護正在成為IT系統設計的新核心。
最安全的設計仍然是將數據存儲在本地獨立公司的服務器上,并且僅使用那些不訪問也不存儲個人數據的全球云服務,這一點同樣適用于那些擁有自有服務器的獨立歐盟公司(在美國或中國沒有業務)。
就像 GDPR沒有立即導致訴訟一樣,CJEU/CNIL的裁定也不會立即導致訴訟。但是,由于隱私對于歐盟公民來說極為重要(GDPR對不尊重隱私的行為處以巨額罰款甚至監禁),且在歐盟的訴訟費用并不高,CJEU的裁定(面對法國國家法院)并非沒有勝算。
此外,長期被被歐盟跨國公司冷落的歐盟本地云計算公司,顯然有較大的動力以不同的方式支持CJEU/CNIL裁定。而且,美國的外交政策(美國優先),已經刺激歐盟對數字主權產生了新的要求。
在這種情況下,對于歐盟公司來說,最安全的方法是增加使用尊重隱私的歐盟云服務,或基于開源軟件在歐盟構建自己的云,以確保完全的可審核性。確保歐盟云服務尊重隱私的一個方法就是要求訪問運營管理程序和審計,而BSO或Rapid.Space等公司已經提供了這些流程。另一種方式是驗證服務的合規性,Gaia-X項目計劃在未來提供這種標準。
清單
一些由歐盟公司提供的開源云軟件:
- OpenNebula
- OpenSVC
- Proxmox
- SlapOS
- XCP-NG
獨立于中美域外法律之外的一些歐盟云提供商:
- Bso
- Hetzner
- Jaguar
- OVH
- Rapid.Space
- Scaleway
一些歐盟云提供商提供其操作管理程序的訪問權限:
- Bso
- Rapid.Space
符合衛生數據法規且擁有歐盟成員國云提供商會員的一些協會:
- AFHADS-https://afhads.fr
參考資料
Schrems_II歐美隱私盾牌:
https://en.wikipedia.org/wiki/Max_Schrems#Schrems_II
歐盟隱私盾牌法規:
https://en.wikipedia.org/wiki/EU%E2%80%93US_Privacy_Shield
中華人民共和國網絡安全法:
http://www.cac.gov.cn/2016-11/07/c_1119867116.htm