2020年7月16日，欧洲司法法院使欧盟 - 美国隐私盾构框架无效，抹去了以前允许美国业务在居住在美国的服务器中持有欧盟公民数据的数据保护措施。

数据居住地影响严重。面对法律不确定性，企业面临着法院的风险，命令他们停止将数据转移到美国或其他非欧盟国家。

但是，虽然我们等待法律清楚起见，但很明显，企业可以通过以符合欧盟隐私标准的方式加密欧盟公民的个人数据来满足欧盟标准，无论数据存储在哪里。

在施克里斯案件上的背景

使《隐私保护框架》(Privacy Shield Framework)失效的诉讼由奥地利公民马克斯•施雷姆斯(Max Schrems)提起，他以挑战让欧盟公民数据流向美国的法律而闻名。该案被称为施雷姆斯二世案。

欧盟公民享有其基本权利宪章规定的隐私权。问题在于，当欧盟公民的个人数据存储在美国或由美国公司处理时，美国政府是否可以秘密查看这些数据，以及欧盟公民是否有宪章所保证的任何补救措施。

总之，美国官员可以强迫访问此数据，并且很少有欧盟公民可以做到这一点。

这不是Schrems第一次将猴子扳手扔进跨大西洋数据转移。事实上，刚刚抛出的隐私盾构框架是为了回应Schrems的第一个案例Schrems I，这挑战了早期的协议。

这种影响延伸到美国超越。该决定还会影响欧盟的个人数据流到任何非欧盟国家，从中国到印度到布雷克特后英国。

想了解更多跨大西洋数据流动背后的历史，包括斯诺登泄密事件的影响，请看Lawfare博客:

法律影响概述

这是令人着迷的法律方面，但也很迷人。以下是一些兴趣点：

• 非欧盟国家的公司处理的任何欧盟数据都必须有适当的保障措施、可执行的权利和有效的法律补救措施就像它们被一家欧盟公司持有一样。
• 他们特别指出访问通过“公共当局。”
• 单独的立法，云行为，允许美国执法迫使美国公司即使在美国以外的地方储存时也能提供数据。这对Schrem II案件有影响美国公司可能还不足以让欧盟的欧盟数据保持在欧洲的服务器中。
• 法院允许合同，组织和技术的补救措施。
• 标准合同条款(SCCs)，有时被称为“模范条款”，并没有被废除，所以他们可能足够允许跨大西洋数据传输。但对于他们是否会因施雷姆斯的主张而推迟计划，存在相当大的争议有效无效美国公司。

问题在于美国当局强制获取信息，并对其进行全面监控。美国公司无法改变这些事情，也无法拒绝合法的请求。

但我们会把它留给律师，试图找到工作的漏洞和角度。我们将把它留给立法者试图解决法律。我们将把它留给法院以更好地定义什么是或不可接受的。

我们将专注于技术解决方案。

保护个人数据的技术解决方案

保护欧盟公民个人数据的简单办法是改变信任模式。大多数云服务都是基于“相信我”的基础上运行的——我们称之为完全信任模型。尽管它是默认的，但它远非惟一可用的信任模型，也远非最佳选择。我们已经写了大量关于SaaS信任模型的文章，并在本文中定义了每种模型:

为了满足美国隐私的欧盟标准，美国公司需要向美国监督法律进行一步，这不仅限于收集“严格必要的数据”。如果被迫生成数据的美国公司以加密的形式产生该数据，则欧盟公民的数据受到保护。美国当局仍然可以访问数据，但必须使用其他途径和目标用户或与欧盟当局合作。

下面的解决方案都是为了防止过度监视，这是Schrems II决定的基础。

1.零信任和端到端加密

最私密和安全的模型是零信任模型。使用此模型的公司可以保存客户数据并提供服务，而无需查看客户数据（或至少受保护的特定信息）。

有不同的方法来构建零信任系统，但它是最终的加密（E2EE），获得大部分思维在这里分享。对于E2EE，在离开Web浏览器或移动设备之前，数据被加密，并且仅在接收浏览器或移动设备上解密。促进服务器不会持有键，无法解密流过它们的数据。

在过去几年中，加密已经走了很长的路，重要的是，使用E2EE不再意味着服务是“愚蠢”，或者不能用数据做事。现在有许多技术用于在服务器上的加密数据上运行。通过更强大的移动设备和客户端计算机，处理客户端的数据更加可行。

苹果和谷歌:加密和隐私的例子

两个不同方法的一个例子是谷歌和Apple对照片内容的分类。

通过谷歌，照片被上传到谷歌的服务器上，这些服务器可以看到内容，分析它们，并用与照片相关的单词标记照片。

使用Apple，照片在上传之前加密，没有Apple员工可以查看ICLoud中存储的照片（注意：存在一些例外，如您使用Apple的iCloud Backup）。Apple还对照片进行分类以使它们可搜索，但在客户端设备上执行此操作，因此Apple的服务器不会看到照片内容。

两家公司都提供了相同的功能，但只有一个这样做，同时保留用户隐私。

零信任模型通过保护客户数据遵守隐私法

在零信任模型中，如果公司持有的数据与欧盟公民有关，则无关紧要。如果法律执行迫使数据访问数据，该公司只能提供加密位。至少对于常规执法来说，这是垃圾数据。对于国家安全局的密码破译人员，我们不知道他们的能力，但如果他们有这样的能力，你可以预期他们会被谨慎地使用来保护秘密安全。

这种情况恰好是Lindsay Graham喜欢的立法者担心，当他们谈论数据“变黑”时，当它们产生立法时赚取它的行为。

但大多数“暗”谈话是夸张的或技术误解。数据仍然可以访问。它无法收集en masse。您需要危及设备或目标特定用户，以获取访问数据。这是从大量拖拉网上的方便哭泣，但更多第四修正案和欧盟隐私法友好。

2.信任-但验证和客户持有的加密密钥

所以零信任需要符合这个新栏来处理欧盟公民数据的公司的唯一选择？

一点也不。

实际上，零信任模型，虽然强大，但不是可以保护数据的唯一模型。在商业到商业案例中，一个信任客人验证模型可以使用。我们之前谈过这个：

通过客户持有的加密密钥，给定客户数据的数据库转储将具有保留加密的加密列。SaaS公司必须建立特殊功能，以便在将数据返回到执法部门之前删除数据以解密数据。到目前为止，至少在美国公开知名的美国，法律实施不能强迫代码变更。

作为一种额外的措施，如果业务使用客户持有的加密密钥和客户是欧盟业务，那么它也可以确保其密钥仅存在于欧盟。他们还能够监控对数据的访问，如果某些东西静止，则撤消访问权限。

3.基于加密的访问控制

遵守Privacy Shield的第三个选择是创建一个安全模型，管理员可以确保只有特定的系统和特定位置的人可以访问数据。

IronCore Lab’s GDPR pattern is expressly built to make consumer data private, keep the holders of the data from being the target of compelled access requests, minimize their risks of fines in the case of a data breach, and also to deal with related issues like the Right to Erasure (even across backups).

每个用户的数据都是加密给用户的，但是解密权限被委托给公司。数据尽可能早加密，尽可能晚解密。

在引擎盖下，这使用了叫做的东西变换密码学（代理重新加密的味道），但我们使用它来对数据进行分类，然后添加加密权限，以确定谁可以访问用户数据的哪个部分。

例如，假设一家公司拥有标识消费者的个人信息，包括他们的姓名、电子邮件、电话和邮寄地址。它们还持有包括用户信用卡数据在内的财务信息。在公司内部，财务数据通常比个人数据受到更大的限制。因此，计费系统和会计团队中的特定人员可能被授予对所有用户数据的访问权，而只有居住在欧盟的客户支持团队的成员才被授予对名称和地址信息的访问权。对于其他人，甚至是服务器和数据库管理员，这些数据都是无用的。

现在，您可能认为这不像端到端加密方案一样，因为服务器端计费系统可以访问数据。你是对的。即使大多数数据在客户端中加密并在客户端解密，那也不是E2EE的精神。

我们在这里有什么基于加密的访问控制（CBAC），其中数据充满了描述可以看到数据的人集合的权限。然后我们使用正交访问控制为了能够更改可以访问数据的特定人员/系统而无需触摸数据本身。通过这种方式，我们支持动态商业环境和常见事件，如客户支持代表即将离开公司。

使用这些构建块，我们可以构建数据可以存储在任何地方并复制世界的系统，但管理员可以确保只有特定的系统和特定位置的人可以访问数据。

与以前的场景一样，来自法律实施的压缩访问请求将导致响应于该请求返回的一堆加密数据。

结论

Schrems II的数据居住地影响是严重的。可能标准的合同条款足够好，但似乎是辩论的问题 - 可能是未来的法庭案件。

While all of the legal stuff has yet to fully shake out, it’s clear that businesses could, in fact, meet the standards set forth by the courts by encrypting the personal data of EU citizens in a way that keeps the data opaque to curious administrators and snooping Governments.

再次，这些政府要求仍然可以实现，但他们需要通过合作的国家或直接向数据所有者进行。

自身加密数据是不够的。整个信任模式需要重新审查和重新思考。这可以在不影响所提供的服务的情况下实现。Schrems II是雷击，让公司知道他们现在需要移动它，以使他们的商业与下一个重大隐私裁决保留，然后才能拉出凸实甚至更远。