法國隱私監管機構 CNIL 在聲明中表示,計畫中的歐盟雲端服務認證計畫 EUCS 中的資料保護保障措施需要改進。陳述週五(7 月 19 日)晚間發布。
這些擔憂加劇了法國政府對這項姍姍來遲的計劃的疑慮,該計劃旨在確保在歐盟市場銷售的資訊通信技術套餐免受網路攻擊,但該計劃一直受到延誤的困擾。
法國資料保護機構表示,“在目前的狀態下,歐洲雲端服務認證計劃不再允許提供者證明他們保護儲存的資料免遭外國勢力訪問”,並與法國自己的國內體系進行了對比。
它補充說:“CNIL 呼籲通過重新引入此類保證來提高該認證中的個人資料保護水平。”
CNIL 表示,對於最敏感的資訊(有關醫療保健、犯罪或兒童),歐盟託管的資料不應面臨歐盟以外當局未經授權存取的風險。
僵局
近年來,EUCS的主權要求演變成一場政治鬥爭。
早在 2019 年 12 月,歐盟委員會就要求歐洲網路安全機構 Enisa 準備認證,作為《網路安全法》下的二級立法。
在談判規則草案時,法國試圖將非歐盟雲端公司排除在運作最安全系統之外。
這將使歐盟的計畫更加類似於自己的國家雲端證書 SecNumCloud,但考慮到主要供應商(包括 AWS 和微軟)都是美國公司,也會產生重大影響。
法國的提議遭到多個歐盟國家和業界的強烈抵制,他們認為這是保護主義舉措,此後尚未達成任何協議。
歐洲網路安全認證小組——一個由各國網路安全認證機構代表組成的專家小組——仍在等待歐盟委員會就成員國是否可以在歐盟的基礎上添加額外的主權規則提供指導,看起來他們可能會這樣做。
準備文本草案的會議,原定計劃委員會發言人告訴歐洲新聞台,7 月中旬的會議沒有舉行,目前沒有安排新的會議。
如果專家批准,委員會將在發布實施法案之前啟動公眾諮詢,該法案將在 18 個月後生效。持續的拖延使得根據現任委員會的授權達成協議的可能性不大,該授權將於 10 月底到期。
自 2019 年以來提出的另外兩項證書中,只有一項針對基線 ICT 產品獲得批准;另一個關於 5G 的項目仍在進行中。
