itif. org评估云可信度的技术和法律标准NIGEL CORY|2024 年 4 月如果没有在云可信度方面的合作 ， 全球数据和技术治理将面临挑战。政策制定者应避免基于国籍的简单评估 ， 而应基于法律和技术标准制定更全面的评估。KEY TKEAWAYS 自创建云服务以来 ， 人们一直存在对信任云服务的担忧 ， 但最近对政府强制访问云公司的数据和服务的担忧导致了基于国籍的误导性下意识反应。 仅关注公司的国籍 ， 而不考虑公司或其母国如何对云可信度做出贡献或减损 ， 这对增强云网络安全和数据隐私并创建开放和竞争的云市场几乎没有作用。 中国在云可信度评估方面迫在眉睫 ， 但范围更广。七国集团和志同道合的国家的政策记录好坏参半 ， 这些政策既破坏了云 ， 又为更合作的云可信度方法提供了基础。 七国集团、经合组织和其他地方的政策制定者应该建立评估云可信度的技术和法律标准 ， 而不是依赖模糊的国家安全和情报问题。 如果各国在国防、情报、执法和贸易等方面相互信任 ， 但他们不信任彼此的云公司 ， 那么他们应该如何在其他技术问题上与第三国合作 ？ 一套多样化的法律和技术标准为公司及其东道国提供了一个明确的目标。对云可信度的担忧是全球性的 ， 而不仅仅是欧盟 ， 美国和中国的问题。 信息技术与创新基金会 | 2024 年 4 月PAGE 页2CONTENTS钥匙外卖...........................................................................................................................................................1Introduction 3受信任的云对全球数据、网络安全和技术治理至关重要 7国家案例研究 8澳大利亚的关键基础设施法案以及一家有问题的公司如何塑造它 8哥斯达黎加的可信供应商法令以布达佩斯公约为标准评估 5G 可信性 9捷克共和国使用欧盟和北约成员资格以及其他标准来评估5G 可信性 10欧盟云网络安全制度及其主权要求 10法国的歧视性云 “主权 ”要求.................................................................................................................11德国的《信息安全法》使用了几种非技术标准来评估可信性 12印度不断发展的云网络安全认证计划及其目标努力中文硬件、软件和数据 12韩国前所未有的公共部门云限制 ...........................................................................................................13罗马尼亚使用战略伙伴关系作为评估 5G 可信性的标准 14英国的调查权力法案破坏了云的可信性 14美国有问题的清洁网络和云倡议中的数据本地化扩展FedRAMP ..............................................................................................................15评估可信的技术和法律标准—和不可信—云服务提供者 15国际标准是云网络安全和可信性的基础 16云网络安全认证是关键的共同点和冲突 .................................................................................................18映射和工作以协调技术控制和标准、审计和云认证要求 ................................................................................................................................................20政府对数据的访问 ： 评估法律框架和发生了什么实践 23透明度报告关于政府要求数据提供关键透明度和云数据可信性 25政府对云服务的运营控制 26与网络安全机构的合作展示了云可信度....................................................................................................27评估地缘政治风险和云可信度的法律标准 28经合组织与信任秘书处的数据自由流动应成为可信云讨论的论坛 30结论 31尾注 33 信息技术与创新基金会 | 2024 年 4 月PAGE 页3INTRODUCTION自创建云服务以来，人们就一直存在对信任云服务的担忧。 1 日益紧张的地缘政治局势，加上云在数据隐私、网络和国家安全方面的关键作用，正促使世界各地的政策制定者应对云服务带来的众多挑战。然而，许多政策制定者依赖于误导的、下意识的评估，将本地所有权等同于可信性。 2 只关注公司的国籍，而不考虑公司或其母国如何对云的可信性做出贡献或减损，无助于增强云网络安全和数据隐私，并创造一个开放和竞争激烈的云市场。此外，它破坏了志同道合的国家之间的贸易，网络安全和国家安全合作 - 例如 G7 成员 （ 加拿大，欧盟，法国，德国，意大利，日本，英国，美国 ），澳大利亚，新加坡，日本，韩国和印度 - 暗示他们不信任贸易伙伴的云公司。尽管人们越来越担心中国对其云和科技公司的控制，但在七国集团和志同道合的合作伙伴中，仍缺乏解决云可信度这一根本问题的努力。如果没有志同道合的国家之间的合作努力来解决云可信度问题，建立可信的数据流和治理将是一项挑战。长期以来，政策制定者一直担心政府迫使云公司出于各种目的交出数据，例如监视，执法和政治镇压。旨在解决这一问题的关键举措包括欧洲联盟 - 美国跨大西洋数据隐私框架及其先前的协议。最近，政策制定者将重点转移到外国对手对云公司向政府和关键基础设施部门提供的运营工作负载的潜在控制上，特别是在发生重大网络事件或冲突时。例如，U.S.网络和国家安全官员担心，在战争发生时，中国可能会 “轻弹开关 ”，关闭或中断政府和商业服务的与中国连接的云和信息技术 （ IT ） 服务。这表明了一个最终的情景，即美国选择技术主权来推动建立一个没有中国的生态系统，而不是采用基于风险的方法，使用有针对性的缓解措施来解决潜在问题，例如创造一个安全的环境来管理风险 (e.Procedre， 管理良好的更新，网络通信的可见性和监控，推动设备使用开放的软件堆栈，以便软件可以互换等。).中国已经在推动一个仅限中国的技术体系。不同的是，美国和其他志同道合的国家极大地支持并受益于开放的全球数字经济。如果美国和其他所有人都在推动自己的技术体系，那么每个人都会失去对贸易、创新、网络安全合作以及建立可信数据和技术治理的负面影响。由于云政策存在问题，让美国、欧盟和其他七国集团国家以及澳大利亚、韩国和印度等其他贸易和安全合作伙伴在云可信度方面进行合作将是一项挑战。美国正在考虑扩大数据本地化要求，作为联邦政府机构用于采购云服务的联邦风险和授权管理计划 (FedRAMP) 云网络安全认证系统的一部分。法国和其他欧盟成员国也希望数据本地化以及其他有问题的 “主权要求 ”，例如本地所有权和控制权，作为欧盟云网络安全制度的一部分。韩国迫使公司使用专用 (而不是混合或。 信息技术与创新基金会 | 2024 年 4 月PAGE 页4pblic) 必须在本地存储数据, 且仅使用本地人员、加密算法和设备认证的云服务。澳大利亚开创了一个先例，即使是中国也没有赋予其信号情报机构 （ 也是领先的网络安全机构 ） 权力来控制云提供商，以及在某些情况下迫使公司安装软件的权力，而没有给公司明确的途径寻求对决定或法律上诉的途径进行独立审查。同样，联合王国禁止公司公布他们收到的数据请求或采取某些行动，也不提供关于其对公司提出的请求数量和类型的透明度报告。这种受限制和不透明的过程正是引发了人们对中国访问数据方法的担忧。无论是在中国、法国还是美国 ， 数据本地化都是一种错误的政策 — — 即使在政府数据和服务方面也是如此。本地化并不能改善数据隐私或安全性。数据的安全性主要取决于用于保护数据的技术和物理控制。七国集团和志同道合的国家有法律、法规、倡议和协议，这些也为建立评估云可信度的通用方法奠定了基础。爱沙尼亚正在推动 “可信赖的连通性 ”，这是根据共同利益，民主价值观以及高监管和社会标准与合作伙伴开展业务的目标。 4 美国 ，德国，澳大利亚和其他 28 个国家 / 地区已经通过了关于 5G 的布拉格提案，这些提案是关于在全球范围内规划，建设，启动和运营 5G 基础设施时的风险的一系列技术和非技术建议的建议，以及在其他地方，共同认可标准安排 （ CCRA，涉及超过 31 个国家 ） 是为数不多的全球认可的相互认可计划 （ 在多个国家 / 地区有认可的实验室 ），包括多个国家 / 地区在内的主要云数据认证云可信度评估应涉及技术和法律标准。使用一流技术控制和国际技术标准，发布有关政府数据请求的透明度报告以及与当地网络安全机构合作的公司正在展示各种数据点，这些数据点可以积极定义云可信度。同样，各国是否有相关数据、网络安全和隐私法律、法规以及云网络安全实践和认证，都是评估公司本国政府行为的数据点。云可信性不是一个纯粹的技术问题 ， 因为政治和安全因素 ， 例如公司的母国政府的行为 ， 也定义了云公司在其中运营的安全环境。 9 特别是 ， 政策制定者担心中国潜在的广泛 ， 任意和不透明的访问数据和控制其技术公司的能力。但是 ， 政策制定者应避免 信息技术与创新基金会 | 2024 年 4 月PAGE 页5如果他们想证明他们在数据隐私和安全方面与中国不同且更好，并为世界其他国家应该瞄准的目标设定基准，就可以反映中国的做法。评估地缘政治风险的法律标准应该是具体和详细的。政策制定者可以将国际安全、执法、贸易和网络安全协议作为数据点，以证明云公司母国政府的可信度，例如，各国是否加入了相关的多边网络和执法协议和倡议，如《布达佩斯公约》和《经合组织可信政府获取数据倡议》。评估云公司与本国政府的关系也是公平的。例如，德国的《信息技术法 2.0 》评估了一个国家对云的潜在控制，以及它是否是安全防御协议的一部分，即北大西洋公约组织 （ NATO ） 。G7 、 OECD 和其他政策制定者应该建立一套具体的标准来评估云可信度，而不是依赖模糊的国家安全和情报问题，这些问题往往缺乏明确性，无法解决公司和国家应该做什么。这种方法可能被滥用于保护主义目的和其他议程。一份积极而详细的标准清单为公司及其东道国提供了一个明确的目标，因为对云可信度的担忧是全球性的，而不仅仅是欧盟、美国和中国的问题。云可信度方面的合作比政府采购和关键基础设施要广泛得多 ， 并提高了重大的经济 ， 贸易和技术利益 ， 因为限制性云措施很容易影响更广泛的数字经济。七国集团、经合组织和其他志同道合的国家应该建立具体的积极和消极标准来评估云的可信度 ， 而不是依赖模糊的国家安全和情报问题。本报告首先详细说明了为什么可信云上的合作是网络安全最佳实践和技术在外交事务中日益增长的作用的基础，因为如果国家在其他情况下相互信任 - 例如国防 -情报，执法和贸易 - 不要信任各自的云公司，他们应该如何在数据治理和网络安全等相关问题上与第三国合作 ？ 然后，该报告分析了国家案例研究，以强调建设性和有问题的政策，这些政策在考虑志同道合的国家应如何共同努力制定云可信性标准时具有指导意义，并希望在这样做时引导各国重新考虑有问题的政策。然后，该报告分析了评估云可信度时要考虑的一系列技术和法律标准。这包括使用和开发新的技术标准; 映射技术控制，标准，审核和云认证要求