《人工智能资讯周报》探讨人工智能对公共政策、治理和政策建议的影响,探索人工智能对商业、政治和社会的影响,以确定潜在的研究领域,探讨可能的合作研究和机构伙伴关系。本刊着重提供中国人工智能发展动态和对人工智能的思考,同时关注全球范围内人工智能相关研究动态。本刊旨在通过可靠的研究,来帮助企业、研究机构和公民预测和适应技术引领的变化。
摘要:
欧洲云服务网络安全认证计划(EUCS)作为欧盟委员会更广泛数字主权战略的一部分,EUCS旨在通过标准化成员国的网络安全认证,确保云服务遵守欧盟内部预期的高隐私和安全标准。然而,EUCS不仅在欧盟内部引发巨大争议,也引起了大西洋彼岸美国的强烈反对。
欧洲云服务网络安全认证计划(European Cybersecurity Certification Scheme for Cloud Services, EUCS),最初由欧盟网络安全局(ENISA)于2020年12月发布,是一个由欧洲联盟推出的云服务网络安全认证计划,用以统一和提高云服务在整个欧盟范围内的安全性和信任度。作为欧盟委员会更广泛数字主权战略的一部分,EUCS旨在通过标准化成员国的网络安全认证,确保云服务遵守欧盟内部预期的高隐私和安全标准。EUCS主要通过包括提高外来数字运营商法律豁免标准、要求数据信息欧盟本地化、外部云服务商在欧盟创立总部等要求,推动欧盟的数字主权的发展、确保云服务提供商在法律和操作层面与欧盟紧密相连,并且控制外来公司的竞争性并使欧洲本土公司收益。
EUCS源自欧盟于2019年提出的《网络安全法案》(EU Cybersecurity Act)。该法案要求欧盟网络安全局(ENISA) 制定全欧盟范围内的网络安全认证计划来监管云服务提供商。虽然根据《网络安全法案》ECUS将仅是自愿性的认证计划,但根据2023欧盟更新后的网络和信息安全指令 (NIS2)中对于提高欧盟网络安全整体水平的法律措施的标准中,对于“欧盟内云客户仅使用经过 EUCS 认证的云服务”要求来看,潜在的私营部门客户也可能要求 EUCS 认证作为采购要求,从而使该认证成为开展业务的必要前提,对欧洲经济相关的重要实体产生强制性监管作用,2021年6月9日 ,ENISA发布了EUCS候选方案的更新版本,旨在与欧盟的法规、国际标准和行业最佳实践相协调,并提出从现有的国家方案过渡到EUCS的路径,进一步加速了EUCS作为统一标准被落实的进程。
此外,EUCS中的主权分级认证标准也与法国的SecNumCloud计划息息相关。2016年,法国国家信息系统安全局(ANSSI)启动了一项名为SecNumCloud的认证和标签计划,旨在为法国公共部门采购用于托管数据和信息系统的云服务建立最低安全标准。2021年,法国政府发布了《国家使用云计算的原则》(可信云原则),规定每当政府机构需采购处理敏感数据,包括涉及法国公民个人数据的云服务时,必须获得SecNumCloud认证。这些要求也适用于提供基本服务的私营运营商。根据该原则,合格的云服务提供商必须确保其运营不受欧盟外任何国家的监管;同时,这些公司必须承诺将数据存储和处理在欧盟内,并在欧盟内部管理和监督服务。这些组准则都与EUCS草案中的主权标准十分接近,法国也在推动EUCS主权标准提高方面发挥了关键作用。
2023年1月,法国、意大利和西班牙联合起来共同推动进一步提高技术主权要求,并于1月23日拟定联合文件。文件具体描述了三种措施选择:首先,关键服务提供商必须遵守欧盟的豁免要求,提供广泛的保护以防止外国政府访问;其次,分割安全级别中的“高”级为没有豁免标准的“高”级别和有要求的“高+”级别,使得豁免标准将仅应用于特定的需要保护的数据类型,更具针对性;以及创建扩展配置文件,为卫生或军事等特定部门的云使用引入主权标准而不考虑安全级别等方法。2023年5月以来,欧盟委员会法国专员Thierry Breton进一步加强了EUCS草案中对于“+高”一级的主权要求标准的构想:为了达到“高/高+”级别的认证,云服务提供商需要在欧盟成员国设立运营中心和总部以获得“外国法律豁免权“,并且接受欧洲网络信息安全局(ENISA)的过程监督和评估。这要求云服务公司需要确保在欧盟范围内处理和存储的数据。通过数据本地化的要求,EUCS地图避免因数据跨境传输而受到第三国法律的影响,而只按照欧盟的标准受到管理。
但是,EUCS的主权标准建设之路也受到了来自欧盟内部的反对。2023年7月,丹麦、爱沙尼亚、希腊、爱尔兰、立陶宛、波兰、瑞典和荷兰等几个欧盟成员国发表了一份联合的非正式文件,表达了对该计划强烈的担忧和主权要求必要性的质疑。这些国家进一步对欧洲网络安全局(ENISA)在此领域的管辖权提出了质疑,再次重申EUCS相关的问题应被视为政治问题、并由欧洲理事会决定,而非作为监管问题处理。此外,这些国家还建议从认证程序中去除国籍要求,并呼吁进一步研究该计划与《通用数据保护条例》(GDPR)、非个人数据法规和欧盟国际贸易义务的潜在互动,而避免非歧视原则和违反国际贸易要求。2023年12月5日,在欧盟电信理事会的部长级讨论中,以荷兰为主的反对EUCS纳入主权要求的国家再次公开表明了对该最新草案的担忧和批评。
在争议的背景下,2024年3月22日,欧盟在EUCS最终阶段的谈判中对最新的草案删减了主权要求。此外,新草案提出了一种基于认证机构(CAB)验证的“高级”认证的新形式,并取消了“高+”级别。随着最新草案中取消了强硬的主权要求,“高+”级别的认证标准也被放弃,虽然个别欧盟成员国仍被允许可能使用主权要求,但不会影响欧盟市场统一的认证过程。最近的一次欧洲网络安全认证小组(ECCG) 会议于 4 月 15 日举行,旨在审核通过草案并启动计划的落实。但由于法国暂停了草案的审批程序,质疑最新草案是否能够在整个欧盟内统一要求的同时,允许欧盟成员国施加任何国家主权要求,因此ECCG会议被进一步推迟到5月份。目前来看,在短期内实现完全通过EUCS中严格的主权认证标准比较困难,但欧盟内部一直在致力于为该计划纳入其它更为灵活和温和的分级方法。
