他山之石 | 欧盟拟对云服务提供商施加外资准入要求
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
当地时间2023年5月10日消息,欧洲网络安全认证小组(European Cybersecurity Certification Group,ECCG)宣布将对新的《欧盟云服务网络安全认证计划草案》(Draft EU Cybersecurity Certification Scheme for Cloud Services,以下简称“《计划草案》”)展开审查。
《计划草案》由欧盟网络安全机构(European Network and Information Security Agency,ENISA)提出,涉及欧盟认证计划(EU certification scheme,EUCS),旨在为云服务的网络安全提供背书,以确定欧盟境内政府及企业选择云服务供应商的标准。
欧盟云服务网络安全认证计划是《欧盟网络安全法》(EU Cybersecurity Act)下的自愿认证。然而,根据修订后的《网络和信息安全指令》(Networks and Information Security Directive,NIS2),被视为必要或重要的实体可能将强制性适用。
《欧盟网络安全法》设置了三个类别的认证,即“basic”、“substantial”和“high”,《计划草案》则创建了“high+”类别,要求此等级别的云服务提供商(cloud service provider,以下简称“CSP”)的总部需位于欧盟境内,且不可由境外实体实现有效控制。
《计划草案》通过后,如亚马逊、谷歌、微软等非欧盟云服务提供商(non-European Union cloud service provider,以下简称“non-EU CSP”)欲申请认证,则需与总部位于欧盟的企业设立合资企业,且non-EU CSP只能持有合资企业的少数股权,旨在避免欧盟以外的实体对欧盟境内CSP进行有效控制(effective control)。
根据《计划草案》,除非客户同意等有限的例外情况,“high+”类别下的云服务必须在欧盟境内运营和维护,所有该等云服务的客户数据必须在欧盟境内存储和处理。此外,有权访问欧盟数据的员工必须依据特定标准进行筛选,且必须身处欧盟的27个成员国域内。
值得注意的是,《计划草案》要求欧盟法律优先于non-EU CSP所适用的其他的非欧盟法律。针对特别敏感的数据,如果违规行为可能对公共安全、人类生命健康或知识产权保护产生负面影响,将受到更严格的规制。
随着ChatGPT等通用人工智能的大规模应用,云服务的需求随之上涨。欧盟发布《计划草案》旨在减少非欧盟干预力量对欧盟云服务市场产生破坏。如《计划草案》通过,在欧盟云服务市场占有一定份额的亚马逊、谷歌、微软等美国科技巨头将可能受到波及。
信息来源:
[1] Euractiv, EU cloud certification headed for tiered approach on sovereignty criteria:
https://www.euractiv.com/section/cybersecurity/news/eu-cloud-certification-headed-for-tiered-approach-on-sovereignty-criteria/
[2] Reuters, EU draft rules propose tougher cybersecurity labelling rules for Amazon, Google, Microsoft:
https://www.reuters.com/technology/eu-draft-rules-propose-tougher-cybersecurity-labelling-rules-amazon-google-2023-05-09/
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 张媛媛