Google کنترل‌های Workspace بیشتری را برای کاربران در اروپا تبلیغ می‌کند

گوگل بسته ای از کنترل های اضافی را برای کاربران بسته عملکرد خود، Google Workspace (از G Suite) در اروپا اعلام کرده است – که تا پایان امسال و سال آینده منتشر خواهد شد.

می‌گوید که این کنترل اضافی به سازمان‌ها – اعم از دولتی و خصوصی – این امکان را می‌دهد تا با اعلام فرصت‌های ورودی در یک پست وبلاگ، «انتقال داده‌ها به اتحادیه اروپا و از اتحادیه اروپا را از پایان سال 2022 کنترل، محدود و نظارت کنند».

به نظر می رسد این اقدام با هدف پرداختن به افزایش خطر قانونی مربوط به صادرات داده های شخصی – به دنبال یک تصمیم حقوقی قابل توجه اتحادیه اروپا در جولای 2020 – است که خطر استفاده منطقه ای از خدمات ابری در ایالات متحده را مختل می کند.

در اوایل سال جاری، تعدادی از آژانس‌های حفاظت از داده‌ها یک اقدام اجرایی هماهنگ را با تمرکز بر استفاده از خدمات ابری بخش عمومی آغاز کردند – به منظور بررسی اینکه آیا اقدامات حفاظتی کافی از داده‌ها وجود دارد، از جمله زمانی که داده‌ها به خارج از واحد صادر می‌شوند. و هیئت حفاظت از داده اروپا (EDPB) که رهبری این اقدام را بر عهده دارد، باید قبل از پایان سال 2022 یک گزارش “وضعیت هنر” منتشر کند – مطابق با جدول زمانی گوگل برای معرفی (برخی از) کنترل های جدید.

علاوه بر این، در ماه‌های اخیر تصمیماتی توسط آژانس‌های حفاظت از داده‌ها مبنی بر ناسازگاری برخی استفاده از ابزارهایی مانند Google Analytics با قوانین حفظ حریم خصوصی بلوک گرفته شده است.

Google ویژگی‌های اضافی ورودی را که مصرف‌کنندگان در اروپا دریافت خواهند کرد، مانند «کنترل مستقل برای گوگل فضای کاری “- در چیزی که به نظر می رسد پژواک آگاهانه مفهومی است که قانونگذاران اتحادیه اروپا دوست دارند آن را “حاکمیت دیجیتال” بنامند.

قانونگذاران اتحادیه اروپا از این عبارت استفاده می کنند تا نشان دهند که منطقه در حال به دست آوردن خودمختاری در زمینه زیرساخت های دیجیتال است – که بیشتر آن توسط شرکت های فناوری ایالات متحده تامین می شود. اما در اینجا به نظر می رسد که گوگل در تلاش است تا یک نسخه جایگزین از “حاکمیت” ایجاد کند، و پیشنهاد می کند که اقدامات فنی و پیکربندی های کاربر به تنهایی می تواند استقلال کافی برای اتحادیه اروپا فراهم کند، حتی اگر خود این فناوری هنوز توسط غول آمریکایی عرضه می شود. در این بلوک به خرید ابزار خود ادامه خواهد داد.

سازمان‌های اروپایی در حال انتقال بیشتر و بیشتر عملیات و داده‌ها به فضای ابری هستند تا امکان همکاری، افزایش ارزش کسب‌وکار و حرکت به سمت عملیات ترکیبی را فراهم کنند. با این حال، راه‌حل‌های ابری که زیربنای این قابلیت‌های قدرتمند هستند باید الزامات حیاتی سازمان برای امنیت، حریم خصوصی و حاکمیت دیجیتال را برآورده کنند. در این پست وبلاگ آمده است: “ما اغلب از سیاستمداران و رهبران تجاری در اتحادیه اروپا می شنویم که تضمین حاکمیت داده های ابری آنها از طریق منطقه ای سازی و کنترل اضافی بر دسترسی اداری در این چشم انداز در حال تحول بسیار مهم است.”

“امروز ما Sovereign Controls برای Google Workspace را اعلام کردیم که فرصت‌هایی را برای حاکمیت دیجیتالی سازمان‌ها، چه در بخش دولتی و چه در بخش خصوصی، برای کنترل، محدود کردن و نظارت بر انتقال داده‌ها به و از اتحادیه اروپا، از پایان سال 2022، با فرصت‌های اضافی در سال 2023 فراهم می‌کند. این تعهد بر اساس قابلیت‌های رمزگذاری مشتری موجود، مناطق داده و کنترل دسترسی ما است.

اکنون گوگل چه ویژگی های اضافی را اعلام می کند؟ به نظر می رسد که یک افزونه برای رمزگذاری سمت مشتری وجود خواهد داشت که گوگل تابستان گذشته برای Workspace اعلام کرد.

گوگل می‌گوید: «سازمان‌ها می‌توانند از رمزگذاری گسترده مشتری در بین همه کاربران خود استفاده کنند یا خط‌مشی‌هایی ایجاد کنند که برای کاربران خاص، واحدهای سازمانی یا درایوهای مشترک اعمال می‌شود». رمزگذاری مشتری اکنون برای Google Drive، Docs، Spreadsheets و Presentations به صورت عمومی در دسترس است و برنامه‌هایی برای گسترش عملکرد به Gmail، Google Calendar و Meet تا پایان سال 2022 وجود دارد.

گوگل همچنین از گسترش کنترل‌های مکان داده‌ها خبر می‌دهد – اگرچه بازه زمانی آن برای این بهبود کندتر است و انتظار می‌رود «تا پایان سال 2023» برسد.

وی نوشت: “منطقه های داده اکنون به مشتریان ما اجازه می دهند تا مکان ذخیره سازی داده های تحت پوشش خود را در حالت استراحت کنترل کنند” و افزود: “ما این قابلیت را تا پایان سال 2023 از طریق پوشش گسترده ذخیره سازی و پردازش داده ها در منطقه بهبود خواهیم داد.” یک کپی در کشور.”

همچنین کنترل‌های دسترسی بیشتری برای برآورده کردن آنچه Google به عنوان «استانداردهای در حال تکامل حاکمیت دیجیتال» ارائه می‌کند، وجود خواهد داشت.

می گوید که این کنترل های دسترسی ورودی به مشتریان اجازه می دهد:

• از طریق تأییدیه‌های دسترسی، دسترسی به پشتیبانی Google را محدود و/یا تأیید کنید.
• از طریق مدیریت دسترسی، پشتیبانی مشتری را به کارکنان پشتیبانی مستقر در اتحادیه اروپا محدود کنید.
• در صورت نیاز، با زیرساخت دسکتاپ مجازی از راه دور، پشتیبانی شبانه روزی را از تیم مهندسی Google ارائه دهید.
• گزارش های “جامع” برای دسترسی به داده ها و اقدامات از طریق ویژگی Access Transparency ایجاد کنید.

اما باز هم، این کنترل های اضافی تا پایان سال 2023 انجام نمی شود.

گوگل در اینجا از ابتدا شروع نکرد – پس از ردیابی “کنترل های حاکمیت داده” دریافتی برای مصرف کنندگان اتحادیه اروپا در پاییز گذشته، زمانی که در مورد ارائه خدمات ابری تحت “شرایط اروپایی” نیز صحبت کرد.

اگرچه، البته، تنظیم کننده های بلوک باید ارزیابی کنند که آیا آنچه ارائه می دهد استانداردهای قانونی لازم برای جریان قانونی جریان داده های مورد نظر را برآورده می کند یا خیر.

Google معمولاً ادعا می‌کند که کار ترکیبی الزام قانونی را برای “حفظ کنترل بر داده‌ها در هر کجا که باشد” پیچیده می‌کند – قبل از اینکه رویکرد خود را برای “معماری مبتنی بر ابر” پیشنهاد کند (بیان می‌کند که Google Workspace به طور کامل در داخل مرورگر بدون نیاز به کش یا حافظه پنهان کار می‌کند. نرم افزار نصب شده بر روی دستگاه های کارمندان “) همراه با رویکرد زمینه گرا (“اعتماد صفر”) برای امنیت که با محدودیت های جغرافیایی کاربران و دستگاه ها کار می کند، به علاوه کنترل هایی برای مدیران که به آنها اجازه می دهد مرزهایی را برای اشتراک گذاری و تعریف قوانین حاکم بر کاربر تعیین کنند. ارتباطات می تواند به مشتریان خود کمک کند تا از این آب های قانونی مشکل عبور کنند، در حالی که به ویژگی های اصلی مشترک نرم افزار اجازه می دهد تا کار کنند.

استفاده اتحادیه اروپا از خدمات ابری توسط شرکت‌های مستقر در ایالات متحده چندین سال است که در ابهامات حقوقی پوشانده شده است، آخرین مورد در ژوئیه 2020، زمانی که دادگاه عالی اتحادیه توافقنامه انتقال سپر حریم خصوصی اتحادیه اروپا و ایالات متحده را به دلیل برخورد مرگبار بین قوانین نظارتی ایالات متحده لغو کرد. و حقوق حریم خصوصی اتحادیه اروپا

برای چهار سالی که وجود دارد، Privacy Shield صادرات داده‌ها از اتحادیه اروپا به ایالات متحده را با یک سیستم خودگواهی ساده‌سازی کرده است تا به اروپایی‌ها اجازه دهد داده‌های شخصی را صادر کنند. اما این رژیم با ابطال دیوان دادگستری اروپا در جولای 2020 پایان یافت.

اگرچه دادگاه صادرات داده ها را به طور کامل ممنوع نکرد، اما پیچیدگی استفاده از سایر مکانیسم های انتقال (مانند بندهای قراردادی استاندارد) را افزایش داد – با توضیح اینکه آژانس های حفاظت از داده های منطقه ای موظف به مداخله و توقف انتقال داده ها هستند، در صورتی که معتقدند اطلاعات اروپا به مقصدی می‌رود که در معرض خطر است. (EDPB متعاقباً دستورالعمل هایی را در مورد به اصطلاح “اقدامات اضافی” منتشر کرد که می تواند به افزایش استاندارد حفاظت، مانند رمزگذاری قوی کمک کند.)

این واقعیت که سپر حریم خصوصی اتحادیه اروپا-ایالات متحده از CJEU حذف شد، روشن کرده است که ایالات متحده مقصدی پرخطر برای داده های اتحادیه اروپا است – بنابراین خدمات ابری مستقر در ایالات متحده از آن زمان تاکنون در چارچوب بوده است.

و در حالی که حکم دادگاه بلافاصله دستور توقف جریان داده ها را دنبال نکرد، آژانس های اتحادیه اروپا در ماه های اخیر اقدامات و اقدامات خود را برای انتقال داده ها افزایش داده اند. به عنوان مثال، ناظر حفاظت از داده‌های اروپا در اوایل سال جاری به دلیل یک وب‌سایت رزرو تست COVID-19 (که از Google Analytics استفاده می‌کند و شامل یک کد Stripe است) به پارلمان اروپا وارد شد.

سایر تصمیمات بعدی توسط ناظران داده مشکل مشابهی با استفاده از ابزارهای خاص Google دارند.

حکم دیوان عدالت اداری پس از افشای اسنودن در سال 2013 توسط ادوارد اسنودن، افشاگر NSA – که جزئیات برنامه های نظارت انبوه دولت ایالات متحده را با استفاده از خدمات تجاری دیجیتال منتشر کرد – افشاگری هایی که منجر به فسخ قرارداد قبلی اتحادیه اروپا و ایالات متحده برای انتقال داده ها، بندر امن، شد. در سال 2015 در یک دادخواست قبلی.

بنابراین، در حالی که اتحادیه اروپا و ایالات متحده توافقی سیاسی برای جایگزینی سپر حریم خصوصی در ماه مارس اعلام کردند، سومین تلاش برای پر کردن شکاف قانونی مشابه بدون شک با چالش جدیدی در دادگاه روبرو خواهد شد. و شانس بقای Privacy Shield 2.0 از ارزیابی CJEU اندک به نظر می رسد، زیرا نتوانست اصلاح قابل توجهی در قانون نظارت ایالات متحده ایجاد کند (که به نظر نمی رسد روی میز باشد).

همه این‌ها باعث می‌شود تا استراتژی Google – ارائه بسته‌ای از اقدامات فنی و سازمانی به مشتریان خود در اتحادیه اروپا (مانند رمزگذاری مشتری، محلی‌سازی داده‌ها و سایر کنترل‌های سفارشی، مانند پشتیبانی فنی در اتحادیه اروپا) – موجه به نظر برسد. سعی کنید راهی برای اطمینان و اطمینان از جریان داده های تجاری مهم در چشم تنظیم کننده های اتحادیه اروپا، بدون توجه به هرگونه معامله سیاسی روی کاغذ بیابید. (اگرچه پست وبلاگ او همچنین اشاره می کند که Google Cloud “محافظت” ارائه شده توسط چارچوب جدید انتقال داده اتحادیه اروپا را “پس از اجرا” در دسترس قرار می دهد (رویدادی که احتمالاً هنوز چند ماه از آن می گذرد). .)

ما همچنان متعهد به تجهیز مشتریان خود در اروپا و سراسر جهان به راه‌حل‌های فنی قدرتمندی هستیم که به آنها کمک می‌کند تا خود را با چشم‌انداز نظارتی در حال تغییر وفق دهند و در راس آن قرار بگیرند. ما Google Workspace را طراحی و ساخته‌ایم تا بر روی یک پایه ایمن کار کند و فرصت‌هایی برای محافظت از کاربران، محافظت از داده‌ها و اطلاعات محرمانه آنها فراهم کند. “حاکمیت دیجیتال در قلب ماموریت فعلی ما در اروپا و جاهای دیگر است و یک اصل راهنما است که مشتریان می توانند در حال حاضر و در آینده روی آن حساب کنند.”

در مورد اعلامیه غول فناوری، دکتر لوکاس اولجنیکیک محقق مستقل و مشاور امنیت سایبری مستقر در اروپا، آخرین پیشرفت را به عنوان یک “تکامل جالب محصول و خدمات” توصیف می کند، که او آن را تقریباً به طور قطع با انگیزه قوانین و سیاست اتحادیه اروپا ارزیابی می کند.

«به نظر می‌رسد که مستقیماً از توصیه‌های EDPB پشتیبانی می‌کند، که همچنین تحلیل قبلی من را منعکس می‌کند. به ویژه، پشتیبانی برای استفاده از تنظیمات فنی و سازمانی خاص، “او پیشنهاد می کند. “در مورد جنبه فنی، پردازش باید با رمزگذاری توسط مشتری پشتیبانی شود، به گونه ای که کلیدها هرگز از محل یک شرکت واقع در اتحادیه اروپا خارج نشوند. قابلیت رمزگذاری روی کلاینت قبلاً توسط Workspace ارائه شده است. امروزه، هنوز هم می توان آن را کمی دست و پا گیر دانست – و مشخص نیست که آیا کنترل های جدید چیزی را آسان تر می کند یا خیر. بیایید امیدوار باشیم. با این حال، چیزی که جدید به نظر می رسد این کنترل همه کاره است.

وی با بیان اینکه «گسترش مراکز داده در کشور یک پیشرفت قابل انتظار است، اما یک پیشرفت اضافی است که از تصمیم ECJ حمایت می‌کند» و افزود: آنچه هنوز وجود ندارد، استفاده آسان و مدیریت دسترسی به داده‌های قابل استفاده است. مانند داده‌های Google Docs. به عنوان مثال، امروزه فهرست کردن تمام اسناد به اشتراک گذاشته شده برای حذف برخی از تنظیمات اشتراک گذاری آسان نیست. انتظار اینکه مردم این فایل را پس از یک فایل برای فایل های فردی بسازند، در مقیاس بزرگ قابل استفاده نیست. این باید ساده شود، نه بر اساس یک فایل. به نظر می رسد که – شاید! – آیا گزینه کنترل دسترسی جدید می تواند در اینجا کمک کند؟ نحوه عملکرد آن در عمل باید دید.”