评估云可信度的技术和法律标准

评估云可信度的技术和法律标准 NIGELCORY|2024年4月 如果没有在云可信度方面的合作，全球数据和技术治理将面临挑战。政策制定者应避免基于国籍的简单评估，而应基于法律和技术标准制定更全面的评估。 KEYTKEAWAYS 自创建云服务以来，人们一直存在对信任云服务的担忧，但最近对政府强制访问云公司的数据和服务的担忧导致了基于国籍的误导性下意识反应。 仅关注公司的国籍，而不考虑公司或其母国如何对云可信度做出贡献或减损，这对增强云网络安全和数据隐私并创建开放和竞争的云市场几乎没有作用。 中国在云可信度评估方面迫在眉睫，但范围更广。七国集团和志同道合的国家的政策记录好坏参半，这些政策既破坏了云，又为更合作的云可信度方法提供了基础。 七国集团、经合组织和其他地方的政策制定者应该建立评估云可信度的技术和法律标准，而不是依赖模糊的国家安全和情报问题。 如果各国在国防、情报、执法和贸易等方面相互信任，但他们不信任彼此的云公司，那么他们应该如何在其他技术问题上与第三国合作？ 一套多样化的法律和技术标准为公司及其东道国提供了一个明确的目标。对云可信度的担忧是全球性的，而不仅仅是欧盟，美国和中国的问题。 itif.org CONTENTS 钥匙外卖1 Introduction3 受信任的云对全球数据、网络安全和技术治理至关重要7 国家案例研究8 澳大利亚的关键基础设施法案以及一家有问题的公司如何塑造它8 哥斯达黎加的可信供应商法令以布达佩斯公约为标准评估5G可信性9 捷克共和国使用欧盟和北约成员资格以及其他标准来评估 5G可信性10 欧盟云网络安全制度及其主权要求10 法国的歧视性云“主权”要求11 德国的《信息安全法》使用了几种非技术标准来评估可信性12 印度不断发展的云网络安全认证计划及其目标努力中文硬件、软件和数据12 韩国前所未有的公共部门云限制13 罗马尼亚使用战略伙伴关系作为评估5G可信性的标准14 英国的调查权力法案破坏了云的可信性14 美国有问题的清洁网络和云倡议 中的数据本地化扩展FedRAMP15 评估可信的技术和法律标准—和不可信—云服务提供者15 国际标准是云网络安全和可信性的基础16 云网络安全认证是关键的共同点和冲突18 映射和工作以协调技术控制和标准、审计和云 认证要求20 政府对数据的访问：评估法律框架和发生了什么实践23 透明度报告关于政府要求数据提供关键透明度和云数据可信性25 政府对云服务的运营控制26 与网络安全机构的合作展示了云可信度27 评估地缘政治风险和云可信度的法律标准28 经合组织与信任秘书处的数据自由流动应成为可信云讨论的论坛30 结论31 尾注33 INTRODUCTION 自创建云服务以来，人们就一直存在对信任云服务的担忧。1日益紧张的地缘政治局势，加上云在数据隐私、网络和国家安全方面的关键作用，正促使世界各地的政策制定者应对云服务带来的众多挑战。然而，许多政策制定者依赖于误导的、下意识的评估，将本地所有权等同于可信性。2只关注公司的国籍，而不考虑公司或其母国如何对云的可信性做出贡献或减损，无助于增强云网络安全和数据隐私，并创造一个开放和竞争激烈的云市场 。此外，它破坏了志同道合的国家之间的贸易，网络安全和国家安全合作-例如G7成员（加拿大，欧盟，法国，德国，意大利，日本，英国，美国），澳大利亚，新加坡，日本，韩国和印度-暗示他们不信任贸易伙伴的云公司。尽管人们越来越担心中国对其云和科技公司的控制，但在七国集团和志同道合的合作伙伴中，仍缺乏解决云可信度这一根本问题的努力。如果没有志同道合的国家之间的合作努力来解决云可信度问题，建立可信的数据流和治理将是一项挑战。 长期以来，政策制定者一直担心政府迫使云公司出于各种目的交出数据，例如监视，执法和政治镇压。旨在解决这一问题的关键举措包括欧洲联盟-美国跨大西洋数据隐私框架及其先前的协议。最近，政策制定者将重点转移到外国对手对云公司向政府和关键基础设施部门提供的运营工作负载的潜在控制上，特别是在发生重大网络事件或冲突时。例如，U.S.网络和国家安全官员担心，在战争发生时，中国可能会“轻弹开关”，关闭或中断政府和商业服务的与中国连接的云和信息技术（IT）服务。 这表明了一个最终的情景，即美国选择技术主权来推动建立一个没有中国的生态系统，而不是采用基于风险的方法，使用有针对性的缓解措施来解决潜在问题，例如创造一个安全的环境来管理风险(e.Procedre，管理良好的更新，网络通信的可见性和监控，推动设备使用开放的软件堆栈，以便软件可以互换等。).中国已经在推动一个仅限中国的技术体系。不同的是，美国和其他志同道合的国家极大地支持并受益于开放的全球数字经济。如果美国和其他所有人都在推动自己的技术体系，那么每个人都会失去对贸易、创新、网络安全合作以及建立可信数据和技术治理的负面影响。 由于云政策存在问题，让美国、欧盟和其他七国集团国家以及澳大利亚、韩国和印度等其他贸易和安全合作伙伴在云可信度方面进行合作将是一项挑战。美国正在考虑扩大数据本地化要求，作为联邦政府机构用于采购云服务的联邦风险和授权管理计划(FedRAMP)云网络安全认证系统的一部分。法国和其他欧盟成员国也希望数据本地化以及其他有问题的“主权要求”，例如本地所有权和控制权，作为欧盟云网络安全制度的一部分。韩国迫使公司使用专用(而不是混合或。 pblic)必须在本地存储数据,且仅使用本地人员、加密算法和设备认证的云服务。澳大利亚开创了一个先例，即使是中国也没有赋予其信号情报机构（也是领先的网络安全机构）权力来控制云提供商，以及在某些情况下迫使公司安装软件的权力，而没有给公司明确的途径寻求对决定或法律上诉的途径进行独立审查。同样，联合王国禁止公司公布他们收到的数据请求或采取某些行动，也不提供关于其对公司提出的请求数量和类型的透明度报告。这种受限制和不透明的过程正是引发了人们对中国访问数据方法的担忧。 无论是在中国、法国还是美国，数据本地化都是一种错误的政策——即使在政府数据和服务方面也是如此。本地化并不能改善数据隐私或安全性。数据的安全性主要取决于用于保护数据的技术和物理控制。 七国集团和志同道合的国家有法律、法规、倡议和协议，这些也为建立评估云可信度的通用方法奠定了基础。爱沙尼亚正在推动“可信赖的连通性”，这是根据共同利益，民主价值观以及高监管和社会标准与合作伙伴开展业务的目标。4美国，德国，澳大利亚和其他28个国家/地区已经通过了关于5G的布拉格提案，这些提案是关于在全球范围内规划，建设，启动和运营5G基础设施时的风险的一系列技术和非技术建议的建议，以及在其他地方，共同认可标准安排（CCRA，涉及超过31个国家）是为数不多的全球认可的相互认可计划（在多个国家/地区有认可的实验室），包括多个国家/地区在内的主要云数据认证 云可信度评估应涉及技术和法律标准。使用一流技术控制和国际技术标准，发布有关政府数据请求的透明度报告以及与当地网络安全机构合作的公司正在展示各种数据点，这些数据点可以积极定义云可信度。同样，各国是否有相关数据、网络安全和隐私法律、法规以及云网络安全实践和认证，都是评估公司本国政府行为的数据点。 云可信性不是一个纯粹的技术问题，因为政治和安全因素，例如公司的母国政府的行为，也定义了云公司在其中运营的安全环境。9特别是，政策制定者担心中国潜在的广泛，任意和不透明的访问数据和控制其技术公司的能力。但是，政策制定者应避免 如果他们想证明他们在数据隐私和安全方面与中国不同且更好，并为世界其他国家应该瞄准的目标设定基准，就可以反映中国的做法。评估地缘政治风险的法律标准应该是具体和详细的。政策制定者可以将国际安全、执法、贸易和网络安全协议作为数据点，以证明云公司母国政府的可信度，例如，各国是否加入了相关的多边网络和执法协议和倡议，如《布达佩斯公约》和《经合组织可信政府获取数据倡议》。评估云公司与本国政府的关系也是公平的。例如，德国的《信息技术法2.0》评估了一个国家对云的潜在控制，以及它是否是安全防御协议的一部分，即北大西洋公约组织（NATO）。 G7、OECD和其他政策制定者应该建立一套具体的标准来评估云可信度，而不是依赖模糊的国家安全和情报问题 ，这些问题往往缺乏明确性，无法解决公司和国家应该做什么。这种方法可能被滥用于保护主义目的和其他议程。一份积极而详细的标准清单为公司及其东道国提供了一个明确的目标，因为对云可信度的担忧是全球性的，而不仅仅是欧盟、美国和中国的问题。 云可信度方面的合作比政府采购和关键基础设施要广泛得多，并提高了重大的经济，贸易和技术利益，因为限制性云措施很容易影响更广泛的数字经济。 七国集团、经合组织和其他志同道合的国家应该建立具体的积极和消极标准来评估云的可信度，而不是依赖模糊的国家安全和情报问题。 本报告首先详细说明了为什么可信云上的合作是网络安全最佳实践和技术在外交事务中日益增长的作用的基础，因为如果国家在其他情况下相互信任-例如国防-情报，执法和贸易-不要信任各自的云公司，他们应该如何在数据治理和网络安全等相关问题上与第三国合作？然后，该报告分析了国家案例研究，以强调建设性和有问题的政策，这些政策在考虑志同道合的国家应如何共同努力制定云可信性标准时具有指导意义，并希望在这样做时引导各国重新考虑有问题的政策。然后，该报告分析了评估云可信度时要考虑的一系列技术和法律标准。这包括使用和开发新的技术标准;映射技术控制，标准，审核和云认证要求;政府访问和对数据和云服务的运营控制的关键问题;以及与当地网络安全机构的合作等。 建议摘要： ▪政策制定者应使用国际技术标准来提供详细和通用的定义、概念、用例和标准，以评估云可信度，并解决与云网络安全、信任和风险相关的问题。 ▪政策制定者应进行跨云网络安全制度的映射练习，以识别和使用通用的技术控制和标准。这将允许讨论如何在不同系统之间建立一致性和互操作性，以及理想的相互承认，以便在一个国家接受审计的公司可以利用这一点来证明在其他国家的合规性。这将降低监管合规性，改善云网络安全和云市场的竞争。 ▪来自志同道合国家的政府应评估一个国家是否拥有独立的司法和法治制度，以评估国内和域外政府访问云公司持有的数据的风险。结合对一个国家的隐私、网络安全和监控法律的评估，这提供了一个全面的图景，说明政府权力在政府访问云公司持有的数据方面是否存在限制。 ▪云公司和政府在政府数据请求中及其周围的透明度和开放性建立了信任。政策制定者应该树立正确的榜样，确保国家安全和其他法律不会阻止公司报告政府的数据请求。政策制定者应与云公司合作，为透明度报告开发通用模板，这些报告提供有关请求的数量和类型以及对世界各地政府数据请求的响应。 ▪政策制定者应将国际安全、国防、数据隐私、执法和网络安全协议作为积极的法律和地缘政治标准，以评估云提供商的母国是否应被视为可信的。这些协议解决了有关政府在云服务方面的行为的核心问题，并提供了有关遵守法律规范，原则和习俗的明确证据，云供应商受到法律约束。 ▪政策制定者应制定共同标准，并提高透明度，以确定公司与其母国政府之间是否存在明确和可证明的法律和业务分离或相互依存关系。 ▪政策制定者应将与当地网络安全当局的合作视为可信赖的云公司的一个明显特征。同样，各国是否有建设性和有意义的网络安全合作和协议，应该是评估云公司母国相对于其家庭云公司是否可信赖的一个考虑因素。 ▪七国集团国家应创建一个关于可信云标准的专门工作流，作为新成立的基于经合组织的数据自由流动与信任倡议秘书处的一部分。 可信云对全球数据、网络安全和技术治理至关重要 云在全球数字经济中发挥着至关重要的作用，影响更广泛的问题，如 可信数据流、治理和数字贸易。随着地缘政治紧张局势和关键基础设施部门向云的迁移，云可信度变得越来越重要。例如，随着各国考虑将合法拦截要求从传统电信服务扩展到云服务，并制定针对云的新法律和法规，将云作为最新情报和国家安全法律的一部