当地时间5月8日,欧洲网络安全认证小组(ECCG)宣称将对新的《欧盟云服务网络安全认证计划草案》(以下简称“草案”)展开审查。审查将于5月26日召开的ENISA网络安全认证会议上进行。

草案将根据欧盟网络安全法案创建新的认证子类别“high+”,要求云服务数据需在欧盟存储和处理,欧盟以外的任何实体不得直接或间接、单独或共同对申请云服务认证的CSP(云服务提供商)拥有有效控制

草案内容

1、亚马逊、谷歌、微软等非欧盟云服务提供商,只能通过与总部位于欧盟的企业进行合作,获得欧盟网络安全标签并处理敏感数据。这些公司的云服务必须在欧盟运营和维护,所有云服务的客户数据都必须在欧盟存储和处理,欧盟法律优先于有关云服务提供商的非欧盟法律。

2、参与该合资企业的美国科技巨头只能持有少数股权,且有权访问欧盟数据的员工必须位于欧盟,并根据特定标准进行筛选。

3、针对特别敏感的个人和非个人数据,如果违规行为可能对公共安全、人类生命健康或知识产权保护产生负面影响,将受到更严格的规制。

要点

控制

一个国家的人工智能计算能力涉及制定基准供需措施和预测等方面,目的是确保投资能够反映未来人工智能的需求及变化。

欧盟《网络安全法》提供了三个级别的认证:“基本”、“实质”和“高”(basic, substantial and high)。最初的想法是把主权要求放在高层,但草案提出了创建“high+”类别的建议。

“high”和“high+”级别之间最显着的差异是对云公司的合法控制。“high+”要求云服务“仅由位于欧盟的公司运营,欧盟以外的任何实体都无法有效控制CSP,以降低非欧盟权力干涉和破坏欧盟法规和价值观的风险。”

欧盟法律的首要地位

草案引入了额外的保障措施,使欧盟数据不受可能与欧盟或成员国国内法相冲突的域外第三国管辖。

对于所有级别的认证,草案要求合同必须受欧盟国家的法律管辖,并且只有欧盟法院/法庭和仲裁机构对合同有关的纠纷具有管辖权。

“high”认证级别要求,①云服务在其全球风险评估中包括与域外适用的非欧盟立法相关的风险,至少涵盖对客户数据或衍生数据中的商业敏感信息和商业秘密的潜在访问。②此外,云服务提供商必须将剩余风险告知客户,并根据客户的要求提供所有相关信息,以便他们自行风险评估。③该级别还要求服务提供商在与客户签订的合同中规定,它将只考虑根据欧盟法律或成员国国内法发出的调查请求。

“high+”级别的额外要求是,④供应商应采取技术和组织措施,排除其他司法管辖区的调查请求,只考虑根据欧盟法律发出的调查请求。

数据本地化

“high”及以上的认证级别需要采取数据本地化措施,范围涵盖从售前、运营到维护、退出的与云服务提供商有关的整个生命周期。对于“high”认证级别,云服务提供商必须在其合同中至少将一个项下的数据处理活动定位在欧盟。

“High+”更进一步,要求所有数据处理活动都在欧盟进行,除非客户同意一些有限的例外情况。同时云服务提供商必须列出在欧盟以外执行的所有例外活动。

在以上两种情况下,云服务提供商若要构建和维护其数字基础设施,将不得不依赖位于欧盟境内的可信服务提供商。

内部控制

对于“high”和“high+”,草案要求直接或间接访问客户数据(包括支持操作)的员工位于欧盟,并由通过特殊筛选或由审查的欧盟员工加以监督。在受监督访问的情况下,访问必须使用安全解决方案进行,监督员可以借此授权或禁止个人行为并实时要求解释。

草案涉及欧洲云服务网络安全认证计划(EUCS),目的是为云服务的网络安全提供担保,并确定欧盟各国政府和公司如何为其业务选择供应商。

这突显了欧盟对非欧盟国家干预的担忧,但易引发美国科技巨头的批评,因为这可能会让他们被欧洲市场拒之门外。美国商会(U.S.Chamber of Commerce)此前曾表示,该计划将美国公司置于不平等的地位。而欧盟表示,这些举措对保护欧盟的数据权利和隐私十分必要。

*参考来源:Euractiv、Reuters

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。