你不需要隐私保护来保存欧盟数据

这里有三种技术方法来处理没有它的欧盟数据

2020年7月16日,欧洲法院宣布欧盟-美国隐私保护框架无效,取消了此前允许美国企业将欧盟公民数据保存在美国服务器上的数据保护措施。

数据驻留的影响是严重的。面对法律上的不确定性,企业面临着被法院下令停止向美国或其他非欧盟国家传输数据的风险。

然而,在我们等待法律澄清的同时,很明显,企业可以通过加密欧盟公民的个人数据,以符合欧盟隐私标准的方式,达到欧盟标准,而不管数据存储在哪里。

施雷姆斯案的背景

欧盟公民享有基本权利宪章规定的隐私权。问题在于,当欧盟公民的个人数据存储在美国或由美国公司处理时,美国政府是否可以秘密查看这些数据,以及欧盟公民是否有任何补救措施,如其章程所保证的那样。

简言之,美国官员可以强制获取这些数据,而欧盟公民对此无能为力。

这并不是施雷姆斯第一次在跨大西洋数据传输中使用扳手。事实上,刚刚推出的隐私保护框架是针对Schrems的第一个案例Schrems I提出的,Schrems I对先前的协议提出了质疑。

其影响远不止美国。这一决定还影响了从欧盟到任何非欧盟国家(从中国到印度,再到脱欧后的英国)的个人数据流动。

欲了解更多有关跨大西洋数据流背后的历史,包括斯诺登事件的影响,请浏览以下Lawfare博客:

法律影响摘要

  • 非欧盟国家的公司处理的任何欧盟数据必须适当的保障、可执行的权利和有效的法律补救如果由欧盟的一家公司持有的话。
  • 他们特别要求“公共当局。”
  • 一项单独的立法,云法案,允许美国执法部门强制美国公司提供数据访问权限,即使数据存储在美国境外。这对Schrem II案有影响对于一家美国公司来说,仅仅将欧盟数据保存在位于欧洲的服务器上可能是不够的.
  • 法院允许采取合同、组织和技术补救措施。
  • 标准合同条款(SCC),有时被称为“示范条款”,并没有被废除,所以它们被废除了可以足以允许跨大西洋的数据传输。但对于他们是否会坚持下去,还有相当一部分争论,施雷姆斯认为他们会坚持下去实际上对美国公司无效.

问题在于美国当局的强制进入和广泛的拉网式监视。美国公司无法改变这些事情,也无法拒绝合法的要求。

但我们会让律师去寻找漏洞和角度。我们将由立法者来修改法律。我们会让法庭更好地定义什么是可以接受的,什么是不可以接受的。

我们将专注于技术解决方案。

保护个人数据的技术解决方案

为了满足欧盟在美国的隐私标准,美国公司需要绕开美国的监控法律,美国的监控法律不仅限于收集“绝对必要”的数据。如果被迫提供数据的美国公司以加密形式提供这些数据,那么欧盟公民的数据就受到保护。美国当局仍然可以获得这些数据,但必须使用其他途径和目标用户,或与欧盟当局合作。

下面的解决方案都可以防止过度监控,这是Schrems II决定的基础。

1.零信任和端到端加密

构建一个零信任系统有不同的方法,但是端到端加密(E2EE)在这里获得了大部分的思想共享。使用E2EE,数据在离开web浏览器或移动设备之前被加密,并且仅在接收浏览器或移动设备上被解密。服务器不持有密钥,无法解密流经它们的数据。

密码学在过去几年中取得了长足的进步,重要的是,使用E2EE不再意味着该服务“愚蠢”或不能处理数据。现在有许多技术可以在服务器上对加密数据进行操作。随着移动设备和客户端计算机功能的增强,在客户端处理数据变得更加可行。

苹果和谷歌:加密和隐私的例子

通过Google,这些照片被上传到Google的服务器上,这些服务器可以看到这些照片的内容,对其进行分析,并用与照片相关的文字标记这些照片。

对于苹果来说,照片在上传之前是经过加密的,没有苹果员工可以查看储存在iCloud中的照片(注意:有些例外是存在的,比如使用苹果的iCloud备份)。苹果还对照片进行分类,使其可搜索,但这是在客户端设备上进行的,这样苹果的服务器就看不到照片内容。

两家公司都提供相同的功能,但只有一家公司在保护用户隐私的同时提供了相同的功能。

零信任模型通过保护客户数据遵守隐私法

这种情况正是像林赛·格雷厄姆(lindsaygraham)这样的立法者所担心的,当他们谈论数据“变暗”时,以及当他们制定类似的立法时赢取它的行为.

但大多数“走向黑暗”的说法都是夸张或技术上的误解。数据仍然可以访问。只是不能集中收集。您需要对设备进行破坏,或者向特定用户提供访问数据的授权。这与大范围的数据收集的便利性相去甚远,但远不止如此第四修正案友好和欧盟隐私法友好。

2.信任但验证和客户持有的加密密钥

一点也不。

事实上,零信任模型虽然强大,但并不是唯一能够保护数据的模型。在企业对企业的案例中信任但验证模型可以使用。我们之前讨论过:

使用客户持有的加密密钥,给定客户数据的数据库转储将具有保持加密的加密列。SaaS公司必须构建特殊功能,允许在将数据返回给执法部门之前对数据进行解密。到目前为止,至少在美国,就公众所知,执法部门还不能强迫修改法规。

作为额外的措施,如果一个企业使用的是客户持有的加密密钥,而客户是欧盟企业,那么它还可以确保其密钥仅存储在欧盟。他们还可以监控对数据的访问,如果有什么不对劲的话可以撤销访问。

3.基于密码的访问控制

IronCore Lab的GDPR模式专门构建用于使消费者数据私有化,防止数据持有者成为强制访问请求的目标,在数据泄露的情况下将其罚款风险降至最低,以及处理相关问题,如擦除权(甚至跨备份)。

每个用户的数据都被加密给用户,但解密权限被委派回公司。数据尽可能早地加密,尽可能晚地解密。

在引擎盖下面用了一种叫做转换加密(代理重新加密的一种风格),但我们使用它对数据进行分类,然后向其添加加密权限,以确定谁可以访问用户数据的哪些部分。

例如,假设一家公司持有标识消费者的个人信息,包括他们的姓名、电子邮件、电话和邮寄地址。它们还保存包括用户信用卡数据在内的财务信息。与个人数据相比,财务数据在公司内部受到更多的限制是很常见的。因此,计费系统和会计团队中的特定人员可能被授予访问所有用户数据的权限,而只有居住在欧盟的客户支持团队成员才被授予访问姓名和地址信息的权限。对于其他人,甚至服务器和数据库管理员来说,这些数据都是无用的。

现在您可能认为这听起来不像是一个端到端加密方案,因为服务器端计费系统可以访问数据。你说得对。这不符合E2EE的精神,即使大多数数据在客户端加密,在客户端解密。

我们这里的是基于密码的访问控制(CBAC),其中数据被赋予描述可以查看数据的人员集的权限。然后我们使用正交存取控制能够在不必接触数据本身的情况下更改可以访问数据的特定人员/系统。通过这种方式,我们支持动态业务环境和常见事件,如客户支持代表离开公司。

有了这些积木,我们就可以建立一个系统,在这个系统中,数据可以存储在任何地方,也可以复制到世界各地,但是管理员可以确保只有特定系统和特定位置的人员才能访问数据.

与前面的场景一样,来自执法部门的强制访问请求将导致返回一堆加密数据以响应请求。

结论

虽然所有的法律内容还没有完全摆脱,但很明显,企业可以通过加密欧盟公民的个人数据,使数据对好奇的管理者和窥探政府保持不透明,从而达到法院规定的标准。

同样,这些政府请求仍然可以满足,但是它们需要通过合作国家或直接向数据所有者提出。

仅仅加密数据是不够的。整个信任模型需要重新审视和思考。这可以在不影响所提供服务的情况下实现。Schrems II是一个闪电,它让公司知道他们需要现在就移动它,以使他们的业务与下一个重要的隐私保护条例隔离开来,然后再把地毯拉得更远。

咸杂烩

提示,技巧,指针和观点建立安全…

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。IronCore实验室首席执行官。

咸杂烩

关于构建安全、可测试、可维护应用程序的提示、技巧、指针和观点。IronCore实验室关于安全和隐私的想法和观察。

作者

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。IronCore实验室首席执行官。

咸杂烩

关于构建安全、可测试、可维护应用程序的提示、技巧、指针和观点。IronCore实验室关于安全和隐私的想法和观察。

中等是一个开放的平台,1.7亿读者可以在这个平台上发现有见地的动态思维。在这里,专家和未被发现的声音一样潜入任何主题的核心,并带来新的想法表面。了解更多

关注作者、出版物和与你相关的主题,你会在主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,或者有观点要表达,欢迎回家。在任何主题上发表你的想法都很简单和自由。开始写博客

获取媒体应用程序

一个按钮,上面写着'下载到应用商店',如果点击它会引导你到iOS应用商店
一个按钮,上面写着“获取它,谷歌播放”,如果点击它将导致你到谷歌播放商店