21世纪经济报道 郭美婷 实习生韩雅冰 广州发布
近日,谷歌宣布从2022年底开始,其协作平台google workspace将开始为公共部门和私营组织提供数字主权功能,以控制、限制和监控欧盟的数据传输,附加功能将在2023年交付。
根据欧洲议会在《欧洲数字主权》报告中的定义,“数字主权”指的是欧盟用来推动数字创新的保护性机制和防御性工具。欧洲议会认为,欧盟数字主权既是“欧盟在数字世界的自治权”,也是“形成战略自主与推广欧盟领导力的工具”。随着越来越多的欧盟组织正在将其数据和业务转移到云端,这些组织对隐私安全和数据主权的需求也大大提升。谷歌此次宣布将通过数字主权功能来支持欧盟组织。
google workspace将提供数字主权控制功能
据悉,google workspace是谷歌在订阅基础上提供的一套云计算生产力和协作软件工具和软件。它包含gmail、google 云端硬盘、google chat、google 日历和 google 文档等多个网上应用。
谷歌此次将推出的新工具sovereign controls for google workspace,在谷歌现有的客户端加密、数据区域和访问权限功能之上为公共部门和私营组织提供数字主权功能,以便从2022年底开始控制、限制和监控欧盟进出口传输的数据。新工具将为欧盟地区内和跨欧盟地区工作的单位提供一套全面的功能,来确保其对云数据的主权。
客户端加密功能方面,谷歌表示google workspace已经使用了最新的加密标准来加密其设施之间的所有数据,以保持对客户数据的机密保护和控制。客户通过客户端加密功能,可以在现场、国家边界内或“任何其他边界”内持有的加密密钥来控制他们的数据,且谷歌永远无法访问密钥或密钥持有者。欧盟组织既能选择为所有用户提供客户端加密,也可以创建适用于特定用户、组织单元或共享驱动器的规则。
数据区域功能方面,谷歌宣称客户可以控制数据的存储位置。到2023年底,谷歌将通过扩大区域内数据存储、处理的覆盖范围和国内副本以增强这一功能。负责储存管理功能的workspace管理员能够对数据流进行细粒度控制,而不会妨碍协作功能。
访问权限功能方面,谷歌承诺在2023年底前,客户将可以限制或批准谷歌的访问。这些访问批准工具可以将客户限制在支持欧盟的人员。并且,google的工作人员在客户需要时可以通过远程桌面提供全天候服务。客户也可以通过访问透明度功能生成有关数据访问和操作的日志报告。
google workspace通过推出这些新功能,使其收集的数据服从被收集国的法律和治理,维护欧盟数字主权。谷歌发言人表示:“我们仍致力于为欧洲和全球客户提供强大的技术ag8九游会的解决方案,帮助他们适应并掌握快速发展的监管环境。”“数字主权是我们在欧洲和其他地方不负使命的核心,也是我们的客户现在和未来可以信赖的指导原则。”
欧盟的数字主权保卫战
实际上,2020年7月《欧洲数字主权报告》发布时,欧盟才正式提出了数字主权的概念。数字主权要求对内要促进本土数字企业的发展,研发关键数字技术;对外防御数字巨头对欧洲数字安全的侵犯,打击其在欧洲市场的垄断行为。
同月,欧洲法院对schrems ii案作出判决,欧盟与美国达成的“隐私盾”协议因为违反了欧盟的《通用数据保护条例》被判决无效。作为数据保护机制间桥梁的《隐私盾》协议正式下台。此前,美国企业在欧洲市场提供互联网服务,如需要将用户数据传输回美国本土服务器,只需遵守《标准合同条款》即可。而schrems ii案认定这一协议无效作废。此案件标志着欧盟与美国企业间的跨境数据传输和数据保护合作进入寒冬。
为应对由于本土数字企业发展慢、对美国科技和平台过于依赖而引发的欧盟众多国家的普遍担忧,今年4月23日,欧盟成员国与欧洲议会的谈判代表就欧盟《数字服务法》达成一致。该法案直接针对谷歌、meta、亚马逊等美国大型科技平台,将重新平衡用户、在线中介机构以及公共机构的权利和责任。
《数字服务法》主要涉及到监管平台内服务,包括数据合规、个人信息保护、算法透明度和广告传播等内容。体现欧盟对数字主权的重视程度。欧盟内部市场专员蒂埃里·布雷顿表示,大型在线平台表现出“太大而不在乎”的时代即将结束,《数字服务法》将为大型互联网平台设定与它们自身规模、影响和风险匹配的义务。
近年来,美欧数字主权“战争”不断。2022年1月,因苹果的icloud隐私中继服务涉嫌侵犯欧盟数字主权,欧盟一些移动运营商呼吁禁止此服务;2月,法国国家数据保护机构cnil向一家地方网站发出正式通知,认为其使用谷歌分析来跟踪内容性能和页面访问的行为违反了欧盟《通用数据保护条例》。同样在今年2月向美国证券交易委员会提交的一份文件中,由于不能再与美国交换欧洲用户的数据,meta表示正考虑退出欧洲市场。而欧盟委员沃斯对此表示,meta不可能要挟欧盟放弃数据保护标准,离开欧盟市场只是他们自己的损失。
今年2月,欧洲数据保护委员会(edpb)宣布首次展开一项协调执法行动,在未来几个月,整个欧洲经济区,包括欧洲数据保护监督员 (edps)在内的22个监管机构将对公共部门使用云服务的情况展开调查。调查内容包括云服务是否采取充分的数据保护措施及欧盟数据的出境情况。edpb表示,将在2022年底发布一份关于该调查的分析结果报告。
从推出时间上看,谷歌此次在协作平台google workspace上线的新功能,既是为应对schrems ii案裁决后加剧的个人数据跨境法律风险,也与edpb的相关措施相匹配。
近期,欧美数据管辖争端出现了松动迹象。3月,欧盟委员会主席冯德莱恩与美国总统拜登就在记者会上表示,欧盟与美国就跨大西洋数据传输的新框架达成了原则性协议,承诺建立全新的跨大西洋数据隐私框架。这标志着美欧正在打破数字领域内的尖锐矛盾局面,致力于形成新的跨大西洋数据传输合作方案。但截至目前,关于新的协议尚未有具体信息的披露。