Защо Законът за облачните технологии в САЩ е проблем и риск за Европа и останалата част от света: Закон с дългосрочни последици

Защо Законът за облачните технологии в САЩ е проблем и риск за Европа и останалата част от света: Закон с дългосрочни последици

Тази статия анализира Закона на САЩ за изясняване на законното използване на данни в чужбина (CLOUD) от 2018 г. и неговите дългосрочни последици за глобалната защита на данните, суверенитета на данните и международното сътрудничество. Законът CLOUD дава правомощия на американските власти да изискват от американските доставчици на комуникационни и облачни услуги да разкриват данни, които са в тяхно притежание, съхранение или контрол, независимо къде данните се съхраняват физически – включително извън САЩ. Този екстериториален обхват е в коренно противоречие с режимите за защита на данните, като Общия регламент относно защитата на данните (GDPR) на Европейския съюз, по-специално неговите правила относно международния трансфер на данни (член 48 от GDPR).

Анализът показва, че Законът CLOUD създава значителна правна несигурност за глобално опериращите компании, изправени пред противоречиви законови изисквания. Той подкопава доверието в американските доставчици на технологии и установените механизми за пренос на данни, проблем, изострен от решението на Европейския съд по делото Schrems II. Извън Европа законът крие рискове от правителствено наблюдение, индустриален шпионаж и конфликти с местните правни системи по целия свят.

Глобалната зависимост от големите американски доставчици на облачни услуги (AWS, Microsoft Azure, Google Cloud) е огромна, особено в Северна Америка и Европа. В същото време страни като Китай и Русия развиват затворени цифрови екосистеми със силни местни доставчици и строга регулация, което намалява тяхната зависимост. Други държави и региони, включително ЕС с инициативи като Gaia-X и Закона за данните, следват различни стратегии за смекчаване на риска, вариращи от закони за локализиране на данни и насърчаване на местни алтернативи до договаряне на двустранни споразумения със САЩ.

Въпреки легитимната необходимост от ускоряване на трансграничното правоприлагане – основна цел на Закона CLOUD, предвид бавността на традиционните процедури за взаимна правна помощ – много критици твърдят, че законът не успява да балансира задоволително ефективното предотвратяване на престъпления със защитата на основните права и националния суверенитет. Докладът завършва с препоръки към бизнеса и политиците за справяне с този сложен пейзаж.

Свързано с това:

• Зависимост от американския облак? Битката на Германия за облака: Как планират да се конкурират с AWS (Amazon) и Azure (Microsoft)

Законът CLOUD на САЩ и неговото въздействие върху европейския суверенитет на данните

Продължаващата дигитализация и свързаното с нея изместване на обработката и съхранението на данни към облачните инфраструктури на глобални доставчици промениха коренно начина, по който функционират предприятията и публичните администрации. По-специално, услугите на големите американски хиперскалери – Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP) – се превърнаха в неразделна част от цифровата инфраструктура на много страни. Това развитие предлага огромен потенциал за ефективност и иновации, но едновременно с това създава нови и сложни предизвикателства за защитата на данните, сигурността на данните и опазването на националния суверенитет.

Този проблем беше значително изострен от приемането на Закона за изясняване на законното използване на данни в чужбина (CLOUD) в САЩ през март 2018 г. Този федерален закон на САЩ предоставя на американските правоприлагащи и разследващи органи широки правомощия за достъп до данни, съхранявани и управлявани по целия свят от американски компании или компании под юрисдикцията на САЩ. Основният проблем се състои в изричния екстериториален обхват на закона: американските власти могат да изискват предоставянето на данни, дори ако те се намират на сървъри извън Съединените щати.

Тази законова разпоредба води до преки и фундаментални конфликти с установените режими за защита на данните в други страни, най-вече с Общия регламент относно защитата на данните (ОРЗД) на Европейския съюз. Възможността за достъп от страна на властите на САЩ, заобикаляйки международно договорените процедури за взаимна правна помощ и потенциално без спазване на строгите европейски стандарти за защита на данните, поражда значителни опасения относно правителственото наблюдение, индустриалния шпионаж и ерозията на цифровия суверенитет. Поради това Законът CLOUD се счита за проблематичен и представляващ риск за бизнеса и гражданите не само в Европа, но и по целия свят.

Тази статия има за цел да предостави цялостен и добре обоснован анализ на Закона CLOUD в САЩ и неговото глобално въздействие. Тя анализира основните механизми на Закона и неговото екстериториално измерение. Особен акцент е поставен върху подробното разглеждане на потенциалните конфликти с Общия регламент относно защитата на данните (GDPR) на ЕС и произтичащите от това последици за европейския суверенитет на данните, също и в светлината на съдебната практика на Съда на Европейския съюз (ЕС), особено решението по делото Schrems II. Освен това са подчертани рисковете и потенциалните отрицателни последици за страни извън Европа. Докладът картографира глобалния пейзаж на зависимостта от американските доставчици на облачни услуги, идентифицира региони с висока и ниска зависимост и сравнително анализира стратегиите, които различните страни следват, за да се справят с предизвикателствата, породени от Закона CLOUD.

Структурата на тази статия следва следната цел: След това въведение, втората глава обяснява подробно основните разпоредби и екстериториалния обхват на Закона CLOUD. Третата глава разглежда конфликта между Закона CLOUD, GDPR и европейския суверенитет на данните. Четвърта глава разглежда глобалните рискове и последици извън Европа. Петата глава картографира глобалната зависимост от американските доставчици на облачни услуги, докато шестата глава сравнява националните стратегии и реакции към Закона CLOUD. Синтез на констатациите и заключение съставляват седмата глава, последвани от препоръки за действие в осмата глава.

Законът на САЩ за облачни технологии: Основни разпоредби и екстериториален обхват

Законът за изясняване на законното използване на данни в чужбина (CLOUD) представлява важно законодателство относно трансграничния достъп до данни от страна на властите на САЩ. За да се разберат напълно неговите последици, е от съществено значение внимателно да се разгледа правното му основание, действието му и особено екстериториалните му претенции.

Правно основание и функционалност

Законът CLOUD беше приет на 23 март 2018 г. като част от всеобхватен законопроект за бюджета (Consolidated Appropriations Act, 2018, Public Law 115-141, Division V) и влезе в сила незабавно. Той не създава изцяло нова правна рамка, а предимно изменя съществуващите закони, по-специално Закона за съхранените комуникации (SCA) от 1986 г., който е част от Закона за поверителност на електронните комуникации (ECPA). SCA урежда условията, при които държавните агенции на САЩ могат да имат достъп до съхранени данни за електронни комуникации, съхранявани от доставчици на услуги.

Същността на Закона CLOUD, кодифициран, наред с други места, в 18 U.S.C. §§ 2713 и 2523, задължава доставчиците на електронни комуникационни услуги (ECS) и услуги за отдалечени изчисления (RCS), попадащи под юрисдикцията на САЩ, да спазват заповедите за осигуряване, архивиране или разкриване на съдържанието на електронните съобщения, както и метаданни или друга информация за клиенти или абонати. Това задължение се отнася за данни, които са във владение, под пазенето или контрола на доставчика. Юрисдикцията на САЩ може да се разпростре и върху доставчици, чието основно място на дейност не е в САЩ, но които имат достатъчна връзка със Съединените щати, например чрез бизнес отношения, клон в САЩ или договори с клиенти в САЩ.

Ключовото уточнение, предоставено от Закона CLOUD, е, че това задължение за разкриване на данни се прилага независимо от това дали въпросните данни се намират в или извън Съединените щати („независимо от това дали такава комуникация, запис или друга информация се намира в или извън Съединените щати“).

Катализаторът за това законодателство беше предимно правният спор „Съединени щати срещу Microsoft Corp.“ (често наричан „делото Microsoft Ireland“). В този случай Microsoft отказа да предаде на ФБР имейлите на клиент, съхранявани на сървър в Ирландия, с аргумента, че заповедите за арест на САЩ нямат екстериториален ефект и Споразумението за съответствие със сигурността (SCA) не се прилага за данни извън САЩ. Делото стигна до Върховния съд, но беше повдигнато от приемането на Закона CLOUD, който реши правния въпрос в полза на правителството.

Важно е да се подчертае, че според правителството на САЩ и подкрепящите го организации, Законът CLOUD не представлява лиценз за масово наблюдение или произволен достъп до данни. Заповедите за достъп (обикновено заповеди, основани на „вероятна причина“ или призовки) все пак трябва да отговарят на изискванията за върховенство на закона на законодателството на САЩ, да бъдат конкретни и да подлежат на съдебен контрол. Те са ограничени до данни, които биха могли да бъдат от значение във връзка с конкретни наказателни разследвания („тежки престъпления, включително тероризъм“). Освен това, Законът CLOUD изрично не създава задължение за доставчиците да декриптират данни, ако ги притежават само в криптирана форма и не контролират ключовете.

Екстериториално заявление и претенция за юрисдикция

Централното и най-противоречиво нововъведение на Закона CLOUD е правното закрепване на екстериториалния обхват на заповедите за достъп на САЩ. Законът пояснява, че задължението за предаване на данни съществува за доставчиците под юрисдикцията на САЩ, независимо от физическото местоположение, където се съхраняват данните.

Тази позиция се основава на установения правен принцип, че дадена държава може да задължи компании под нейна юрисдикция да разкриват информация, която е под неин контрол, дори ако тази информация се съхранява в чужбина. Законът CLOUD кодифицира този принцип специално за данните от електронните съобщения в контекста на Закона за контрол на клиентите (SCA).

Това едностранно искане за екстериториален достъп е основният източник на международна загриженост и правни конфликти, особено по отношение на Европейския съюз и неговия Общия регламент относно защитата на данните (ОРЗД). То се възприема като посегателство върху суверенитета на други държави и като потенциално заобикаляне на установените процедури за международна правна помощ.

Изпълнителни споразумения като алтернатива на договорите за взаимна правна помощ

В допълнение към изясняването на екстериториалния обхват на заповедите на САЩ, Законът CLOUD въвежда втори важен механизъм: Той упълномощава изпълнителната власт на САЩ (президент или правителство) да сключва двустранни споразумения, т. нар. „Изпълнителни споразумения“, с „квалифицирани“ чуждестранни правителства.

Заявената цел на тези споразумения е да се ускори и рационализира трансграничният достъп до данни с цел наказателно преследване на тежки престъпления (включително тероризъм). Те са предназначени да предоставят алтернатива или допълнение към традиционните договори за взаимопомощ (MLAT), чиито процедури често са критикувани като твърде бавни и бюрократични, за да са в крак със скоростта на цифровите престъпления.

Основният механизъм на тези изпълнителни споразумения е да се премахнат правните пречки („стълкновения на закони“ или „правни ограничения“), които биха могли да попречат на доставчиците да спазват законни разпореждания от страната партньор. По-конкретно, такова споразумение би позволило например на доставчик от САЩ директно да спазва разпореждане от Обединеното кралство, без да нарушава законодателството на САЩ (напр. ограниченията за разкриване на информация по SCA) и обратно. По този начин властите на всяка държава биха могли да използват свои собствени национални процедури, за да изискват данни от доставчика в другата държава.

САЩ могат да сключват такива споразумения само с държави, считани за „квалифицирани“. Това изисква удостоверение от главния прокурор на САЩ и държавния секретар пред Конгреса, че въпросната държава партньор разполага със солидни материалноправни и процедурни гаранции за неприкосновеност на личния живот и гражданските свободи и ги прилага на практика. Държавата партньор трябва да зачита върховенството на закона, недискриминацията и защитата на данните.

Към днешна дата САЩ са сключили такива изпълнителни споразумения с Обединеното кралство (подписано през 2019 г., в сила от октомври 2022 г.) и Австралия (подписано през декември 2021 г.). Преговорите с Европейския съюз бяха обявени през 2019 г. и все още продължават, но се оказват трудни поради сложната правна ситуация (GDPR, Schrems II) и участието на 27 държави членки.

Важни предпазни мерки за тези споразумения са предвидени в самия Закон CLOUD: Заповедите, издадени по силата на такова споразумение, не трябва да са насочени към лица от САЩ (граждани или постоянно пребиваващи) или лица, пребиваващи в САЩ. Те трябва да бъдат конкретни (напр. насочени към конкретно лице или акаунт) и да подлежат на независим преглед или надзор (напр. от съд).

Правни пътища за доставчиците

Законът CLOUD изрично предвижда механизъм, чрез който доставчиците могат законно да оспорват заповеди за достъп на САЩ при определени условия (т.нар. „предложение за отмяна или изменение“). Това право съществува, ако доставчикът „разумно смята“, че са изпълнени две кумулативни условия:

• Въпросният клиент или абонат не е лице от САЩ и не пребивава в САЩ.
• Необходимото разкриване би създало „съществен риск“ доставчикът да наруши законите на „квалифицирано чуждестранно правителство“. „Квалифицирано чуждестранно правителство“ е такова, с което САЩ имат изпълнително споразумение съгласно Закона CLOUD.

Ако доставчикът подаде такава жалба, компетентният съд на САЩ може да измени или отмени заповедта. Това обаче се случва само ако съдът прецени, че (а) разкриването действително би нарушило закона на отговарящата на условията чужда държава, (б) уважаването на жалбата е в интерес на правосъдието и (в) интересите на правосъдието го изискват, като се вземат предвид всички обстоятелства в съвкупност.

За да се оцени какво изискват „интересите на правосъдието“, законът изброява конкретни фактори, които съдът трябва да прецени („анализ на състраданието“). Те включват, наред с други: интересите на САЩ и чуждестранното правителство, вероятността и естеството на санкциите, с които доставчикът би се сблъскал в чужбина, връзките на лицето и доставчика със САЩ и чужбина, значението на информацията за разследването и наличието на алтернативни средства за получаване на информацията.

Тази законова разпоредба обаче повдига въпроси относно практическата ѝ ефективност. Фокусирането на изричното основание за оспорване върху правни конфликти с квалифицирани чуждестранни правителства (т.е. тези с изпълнително споразумение) би могло да отслаби позицията на доставчиците, които се стремят да се позоват на законите на държави без такова споразумение, като например GDPR на ЕС в сегашния му вид без споразумение между ЕС и САЩ. Макар че остава възможността за позоваване на общи принципи на международната учтивост и общото право, специфичният правен механизъм е по-тесен. Това би могло да изкуши американските съдилища да придават по-малка тежест на конфликтите със законите на държави, които не са сключили споразумение, или да разглеждат процеса на оспорване като по-малко ясно дефиниран.

Освен това, практическото значение на възможността за обжалване като цяло е ограничено. Тежестта на доказване е върху доставчика, който трябва да докаже, че „разумно смята“, че условията са изпълнени. Дори ако се докаже стълкновение на закони, съдът може да отмени заповедта, но не е задължен да го направи. Решението се основава на балансиране на неясни правни понятия като „интереси на правосъдието“ и „съвкупност от обстоятелствата“, което предоставя на съда широка свобода на действие. Съществува риск интересите на САЩ, особено по въпросите на правоприлагането или сигурността, систематично да получават по-голяма тежест от чуждестранните интереси за защита на данните, особено ако не съществува двустранно споразумение, което официално признава тези интереси. Поради това Европейският комитет по защита на данните (ЕКЗД) гледа на този механизъм със скептицизъм, подчертавайки, че той просто предоставя възможност за обжалване, а не задължение, и по този начин не предлага достатъчна защита на правата на гражданите на ЕС.

Свързано с това:

• Цифрова зависимост на Европа от САЩ: доминация в облачните технологии, нарушени търговски баланси и ефекти на блокиране

Конфликтна зона: Законът CLOUD срещу GDPR на ЕС и суверенитетът на данните

Екстериториалният обхват на Закона CLOUD на САЩ и свързаните с него правомощия за достъп на американските власти водят до значително напрежение и преки правни конфликти с режима за защита на данните на Европейския съюз, по-специално с Общия регламент относно защитата на данните (ОРЗД). Тези конфликти засягат основните принципи на законодателството на ЕС за защита на данните и повдигат фундаментални въпроси относно суверенитета на данните.

Пряко противоречие с GDPR (чл. 6, чл. 48)

Основният конфликт произтича от факта, че Законът CLOUD позволява на властите в САЩ да разпореждат прехвърлянето на данни – включително лични данни на граждани на ЕС – от ЕС към САЩ, без това разпореждане непременно да се основава на едно от правните основания за обработка на данни или международно прехвърляне на данни, предвидени в GDPR.

Особено актуален е конфликтът с член 48 от GDPR („Прехвърляне или разкриване, неразрешено съгласно правото на Съюза“). Този член постановява, че решения на съдилища или административни органи на трета държава, които изискват от администратор или обработващ лични данни да прехвърли или разкрие лични данни, се признават или подлежат на изпълнение само ако се основават на международно споразумение – като например Договор за взаимопомощ (MLAT) – в сила между третата държава, отправила искането (тук САЩ) и Съюза или държава членка. Разпореждане, основано единствено на Закона CLOUD, без да е легитимирано от такова международно споразумение, не отговаря на това условие. От гледна точка на GDPR, то не представлява валидно правно основание за прехвърлянето.

Освен това, подобно прехвърляне не е валидно правно основание съгласно член 6 от GDPR, който определя условията за законосъобразност на обработването (включително прехвърлянето) на лични данни. Европейският комитет по защита на данните (EDPB) и Европейският надзорен орган по защита на данните (EDPS) са пояснили в съвместната си оценка, че обичайните правни основания не се прилагат тук

• Член 6(1)(в) от GDPR (спазване на правно задължение): Това правно основание не е приложимо, тъй като „правното задължение“ произтича от Закона CLOUD, т.е. от правото на трета държава, а не от правото на Съюза или правото на държава членка, както се изисква от член 6(3) от GDPR. Изключение би съществувало само ако заповедта на САЩ беше закрепена в правото на ЕС чрез Многостранен административен регламент за защита на данните (MLAT).
• Член 6(1)(д) от GDPR (изпълнение на задача, осъществявана в обществен интерес): Това правно основание също е изключено, тъй като задачата (тук спазване на заповедта на САЩ) не е определена в правото на Съюза или в правото на държава членка.
• Член 6(1)(f) от GDPR (законни интереси): Въпреки че доставчик може да има законен интерес да спазва разпореждане по CLOUD Act, за да избегне санкции съгласно законодателството на САЩ, EDPB/ENOSD счита, че този интерес редовно е надвишаван от интересите или основните права и свободи на субектите на данни (защита на техните данни). Властите твърдят, че в противен случай субектите на данни биха могли да бъдат лишени от защитата си съгласно Хартата на основните права на ЕС (по-специално правото на ефективни правни средства за защита, член 47).
• Член 6(1)(d) от GDPR (защита на жизненоважни интереси): Това правно основание теоретично би могло да бъде приложимо в много тясно определени изключителни случаи, например ако данните са необходими за предотвратяване на непосредствена опасност за живота или здравето на дадено лице. То обаче не предоставя основа за рутинно разкриване на данни в контекста на мерки за правоприлагане.

Този сблъсък на правни норми създава неразрешим конфликт за доставчиците, подчинени както на юрисдикцията на САЩ (и следователно на Закона CLOUD), така и на законодателството на ЕС (GDPR). Ако те спазват разпореждане по Закона CLOUD без основание MLAT, те нарушават GDPR и рискуват значителни глоби (до 4% от годишния си глобален оборот), както и граждански дела. Ако откажат да разкрият данни, позовавайки се на GDPR, рискуват санкции съгласно законодателството на САЩ.

Оценка от EDSA/ЕНОЗД и правна несигурност

Европейските органи за защита на данните, координирани в рамките на Европейския съвет по защита на данните (ЕКЗД), и ЕНОЗД заеха ясна позиция по този конфликт. В съвместната си правна оценка от юли 2019 г. те заключиха, че Законът CLOUD като такъв не представлява достатъчно правно основание съгласно GDPR за прехвърляне на лични данни към САЩ.

Те категорично подчертават, че доставчиците, подчинени на правото на ЕС, не могат да прехвърлят лични данни на властите на САЩ единствено въз основа на пряка заповед съгласно Закона CLOUD. Такова прехвърляне е допустимо само ако се основава на признато международно споразумение, обикновено споразумението за правна помощ между ЕС и САЩ или двустранно споразумение за правна помощ между държава членка и САЩ. Процесът на споразумение за правна помощ осигурява необходимите гаранции за върховенство на закона и участието на съдебните органи на замолената държава.

Възможността, предвидена в Закона CLOUD, доставчиците да оспорват заповед („модификация за отмяна“) се счита от Европейския съвет по защита на данните (ЕКЗД) и ЕКЗД за недостатъчна гаранция. Те посочват, че това е просто опция за доставчика, а не задължение, и че резултатът от подобно производство пред съд в САЩ е несигурен и не предлага гаранция за защита на правата на гражданите на ЕС съгласно стандартите на ЕС.

Тази ясна позиция от съответните европейски органи за защита на данните изостря правната несигурност за компаниите, които използват или предлагат американски облачни услуги. Те трябва да са наясно, че използването на такива услуги е потенциално несъответстващо на GDPR, ако доставчикът не може да гарантира, че няма да разкрие данни в нарушение на GDPR въз основа на разпореждане по Закона за облачни услуги (CLOUD Act).

Последици от Schrems II и законите за наблюдение в САЩ

Проблемите на Закона CLOUD трябва да се разглеждат в контекста на по-широкия дебат относно трансфера на данни към САЩ и законите за наблюдение там, който достигна ново измерение чрез решението на Съда на ЕС по делото Schrems II от 16 юли 2020 г.

В това решение Европейският съд (ЕС) обяви споразумението между ЕС и САЩ за Щит за личните данни за невалидно. Основната причина за това бяха широкообхватните правомощия на разузнавателните агенции на САЩ (по-специално съгласно член 702 от Закона за наблюдение на външното разузнаване – FISA – и Изпълнителна заповед 12333) за достъп до лични данни на граждани на ЕС, прехвърлени в САЩ. ЕС установи, че тези права на достъп не отговарят на изискванията за необходимост и пропорционалност съгласно Хартата на основните права на ЕС и че гражданите на ЕС не разполагат с ефективна правна защита срещу такъв достъп в САЩ.

Въпреки че Законът CLOUD формално е инструмент за правоприлагане, а не за разузнавателно наблюдение, той засилва опасенията, повдигнати от Schrems II. Той установява друг правен механизъм за екстериториален достъп до данни от страна на американските власти. От европейска гледна точка, на този механизъм също липсва необходимата основа на върховенството на закона в правото на ЕС (член 48 от GDPR), освен ако не се основава на Многостранно споразумение за защита на данните (MLAT) или бъдещо споразумение, считано за адекватно. Комбинацията от права за достъп от законите за наблюдение (FISA 702, EO 12333) и Закона CLOUD (правоприлагане) създава цялостна картина на широкообхватния достъп на правителството на САЩ до данни, съхранявани в световен мащаб от американски доставчици.

Това има преки последици за използването на други механизми за трансфер, като например Стандартни договорни клаузи (СДК). Решението по делото Schrems II задължава износителите на данни, когато използват СДК за трансфери към трети страни като САЩ, да оценяват за всеки отделен случай дали законът и практиките на страната получател гарантират ниво на защита, което е „съществено еквивалентно“ на гарантираното в ЕС. Ако не, трябва да се предприемат допълнителни мерки за отстраняване на евентуални пропуски в защитата. Съществуването на закони като раздел 702 от FISA и Закона CLOUD прави изключително трудно за компаниите да докажат, че законодателството на САЩ предлага такова еквивалентно ниво на защита. Това значително усложнява правно съответстващото използване на американски облачни услуги за обработка на лични данни от ЕС. Законът CLOUD действа като усилвател на проблема Schrems II, тъй като разширява обхвата на законните възможности за достъп в САЩ и допълнително подкопава аргумента за „съществена еквивалентност“ на нивото на защита.

Ерозия на европейския суверенитет на данните и загуба на доверие

Отвъд чисто правните конфликти, Законът CLOUD е широко възприеман като заплаха за дигиталния суверенитет на Европа. Суверенитетът на данните се отнася до правото и способността на държави, организации или лица да упражняват контрол върху своите данни, особено по отношение на това къде се съхраняват, как се обработват и кой има достъп до тях. Законът CLOUD подкопава този принцип, като позволява на чужда сила (САЩ) потенциално едностранен достъп до данни, съхранявани на европейска територия или произхождащи от европейски граждани и предприятия, при условие че тези данни се управляват от доставчик под юрисдикцията на САЩ.

Възможността за такъв достъп, потенциално осъществен без спазване на европейските процедури (като например споразуменията за правна помощ) и без знанието или уведомяването на засегнатите лица или компании, води до значителна загуба на доверие в американските доставчици на технологии. Това недоверие се отнася не само до защитата на личните данни, както е определено в GDPR, но се простира и до сигурността на чувствителни корпоративни данни, като търговски тайни, данни за научноизследователска и развойна дейност, финансова информация и интелектуална собственост. Страхът от индустриален шпионаж или неволното изтичане на конкурентно критична информация чрез достъп на правителството е ключов фактор, който подтиква компаниите да търсят алтернативи на американските доставчици или да прилагат допълнителни предпазни мерки.

Отговори на ЕС: Закон за данните и Gaia-X (състояние и предизвикателства)

В отговор на предизвикателствата на цифровизацията и доминирането на неевропейските доставчици на технологии, Европейският съюз стартира различни инициативи за укрепване на цифровия суверенитет и определяне на собствен европейски подход към управлението на данните. Два ключови компонента са Законът за данните и инициативата Gaia-X.

Законът на ЕС за данните, публикуван в Официален вестник през декември 2023 г. и приложим от 12 септември 2025 г., има за цел да повиши справедливостта в икономиката на данните и да подобри достъпа до и използването на данни, особено промишлени данни. Той е предназначен да насърчи иновациите и да увеличи наличността на данни. По-конкретно, Законът за данните предоставя на потребителите на свързани продукти (напр. IoT устройства, интелигентни машини) по-голям контрол върху данните, генерирани от тези устройства, и улеснява превключването между различни доставчици на облачни услуги, например чрез премахване на пречките пред смяната на доставчици и забрана на несправедливи договорни клаузи. В контекста на Закона CLOUD са от значение и разпоредбите, които осигуряват гаранции срещу незаконни искания за прехвърляне на данни от органи на трети държави, като по този начин укрепват суверенитета на ЕС върху данните.

Инициативата Gaia-X, стартирана през 2019 г., преследва амбициозната цел за създаване на федерална, сигурна и суверенна европейска инфраструктура за данни. Gaia-X има за цел да създаде екосистема, в която данните могат да се споделят и обработват в съответствие с европейските ценности и стандарти – прозрачност, откритост, сигурност, оперативна съвместимост и суверенитет на данните. Тя е предназначена да предложи алтернатива на доминиращите хиперскалери и да намали зависимостта от неевропейски доставчици.

Въпреки това, Gaia-X все още е в ранна фаза на внедряване („фаза на нарастване“) и е изправена пред значителни предизвикателства. Макар че съществуват първоначални пилотни проекти и случаи на употреба, като Catena-X за автомобилната индустрия и тестови платформи в страни партньори като Япония, широкото навлизане на пазара все още предстои. Пречките включват техническата сложност на федеративния подход, осигуряването на истинска оперативна съвместимост между различните доставчици, проблеми с управлението в рамките на Асоциацията Gaia-X (организацията, която прилага), и бавното приемане, особено в силно регулирани сектори като здравеопазването. Освен това бяха изразени критики, че първоначалната визия за чисто европейски облак е била разводнена от включването на големи американски хиперскалери в Асоциацията Gaia-X и че проектът страда от прекомерна бюрокрация. В момента изглежда малко вероятно Gaia-X да може директно да се конкурира с AWS, Azure и GCP. Неговото значение може да се крие повече в това да служи като рамка за стандарти и доверие в рамките на специфични европейски пространства за данни.

Тези европейски инициативи обаче разкриват и стратегическо несъответствие. От една страна, Gaia-X и Законът за данните целят да намалят зависимостта от американски доставчици и да засилят контрола върху данните в Европа. От друга страна, Европейската комисия едновременно с това договаря Изпълнително споразумение със САЩ съгласно Закона CLOUD. Подобно споразумение, ако бъде постигнато, би легализирало и потенциално би опростило директния достъп до данни от страна на американските власти при определени условия – институционализирайки именно механизма, който първоначално е предизвикал опасения относно суверенитета. Това отразява дилемата на ЕС: едновременно да се стреми към цифрова автономия и да установи необходимото прагматично сътрудничество със САЩ в областта на правоприлагането на ефикасна основа, без да се прави компромис със собствените му високи принципи за защита на данните (по-специално изискванията на решението по делото Schrems II и член 48 от GDPR). Разрешаването на това напрежение е ключово предизвикателство за бъдещата трансатлантическа политика за данните.

Интеграция на независима и междуизточникова AI платформа за всички бизнес нужди - Изображение: Xpert.Digital

AI Game Changer: Най-гъвкавата AI платформа - Специализирани решения, които намаляват разходите, подобряват вашите решения и повишават ефективността

Независима платформа с изкуствен интелект: Интегрира всички съответни източници на фирмени данни

• Тази платформа с изкуствен интелект взаимодейства с всички специфични източници на данни
  • От SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox и много други системи за управление на данни
• Бърза интеграция на ИИ: Специализирани ИИ решения за бизнеса за часове или дни, вместо за месеци
• Гъвкава инфраструктура: облачна или хостинг във вашия собствен център за данни (Германия, Европа, свободен избор на местоположение)

• Максимална сигурност на данните: използването му в адвокатските кантори е неопровержимо доказателство
• Разгръщане в широк спектър от корпоративни източници на данни
• Избор на собствени или различни модели на изкуствен интелект (Германия, ЕС, САЩ, Китай)

Предизвикателства, които нашата AI платформа решава

• Липса на съответствие с конвенционалните решения с изкуствен интелект
• Защита на данните и сигурно управление на чувствителни данни
• Високи разходи и сложност на индивидуалното разработване на ИИ
• Недостиг на квалифицирани специалисти по изкуствен интелект
• Интегриране на изкуствен интелект в съществуващи ИТ системи

Повече информация тук:

• Интеграция на независима и междуизточникова платформа с изкуствен интелект за всички бизнес нужди

Глобални рискове и последици извън Европа

Проблемите, повдигнати от Закона CLOUD, не се ограничават само до отношенията между САЩ и Европа. Законът има потенциално широкообхватни последици за държави и региони по целия свят, особено по отношение на правителственото наблюдение, икономическия шпионаж, конфликтите с местните закони и общото доверие в глобалната цифрова инфраструктура.

Държавно наблюдение и граждански свободи

Законът CLOUD е изправен пред критики от организации за граждански свободи, като например Фондацията за електронни граници (EFF) и Американския съюз за граждански свободи (ACLU), още от самото начало. Ключова критика е, че законът потенциално подкопава гаранциите срещу неправомерни правителствени претърсвания и изземвания (залегнали в Четвъртата поправка на Конституцията на САЩ за американските граждани). По-специално, възможността за установяване на двустранни споразумения чрез изпълнителни споразумения, които биха позволили на чуждестранни органи директен достъп до данни, съхранявани в САЩ, и потенциално биха заобиколили обичайния съдебен контрол от американските съдилища, се счита за проблематична. Освен това, съгласно Закона CLOUD, лицата, обект на искания за данни, не са длъжни непременно да бъдат уведомявани за достъпа, което ограничава възможността им за правна защита.

За лица извън САЩ защитата, предоставяна от Конституцията на САЩ, вече е по-малко обширна. Законът CLOUD улеснява американските власти да имат достъп до данните си, съхранявани при американски доставчици, независимо от местоположението им. Това подхранва глобалните опасения относно разширяването на наблюдението от страна на правителството на САЩ. Съществуват опасения, че механизмът на Закона CLOUD, по-специално Изпълнителните споразумения, би могъл да послужи като модел за други страни, включително тези с по-ниски стандарти за върховенство на закона и по-слаба защита на гражданските свободи. Вече е направен паралел с китайския Закон за националното разузнаване, който също така предоставя на китайските власти широк достъп до корпоративни данни. Това би могло да ускори глобалните тенденции към засилено правителствено наблюдение и контрол върху цифровите комуникации.

Икономически шпионаж и защита на интелектуалната собственост

Правата за достъп, предоставени съгласно Закона CLOUD, не се ограничават до комуникационното съдържание или метаданните на частни лица. Те могат потенциално да обхващат и високочувствителни корпоративни данни, съхранявани при американски доставчици на облачни услуги. Това включва търговски тайни, финансови данни, клиентски бази данни, прототипи, данни за научноизследователска и развойна дейност и друга интелектуална собственост (ИС).

Въпреки че заявената цел на Закона CLOUD е борбата със сериозните престъпления, съществуват опасения, че неговите широкообхватни права за достъп биха могли да бъдат злоупотребени, например за икономически шпионаж от името на американски компании или за получаване на стратегически икономически предимства. Самата възможност за такъв достъп от чуждестранно правителство подкопава доверието на компаниите по целия свят в сигурността и поверителността на техните критични данни, когато те се съхраняват при американски доставчици. Този риск представлява значителен недостатък за много компании, особено в технологично интензивните или критично важни за сигурността индустрии, когато използват американски облачни услуги.

Конфликти с местните правни системи

Подобно на Общия регламент относно защитата на данните (GDPR) на ЕС, екстериториалният обхват на Закона CLOUD може да противоречи и на законите за защита на данните, задълженията за поверителност или други законови разпоредби на редица други държави. Следователно, глобално опериращите доставчици на облачни услуги, особено тези със седалище или силно присъствие в САЩ, са потенциално изложени на мрежа от противоречиви законови задължения.

Има многобройни примери за държави със собствени режими за защита на данните, които потенциално са в противоречие със Закона CLOUD:

• Швейцария: Ревизираният Федерален закон за защита на данните (revFADP) е силно базиран на GDPR и съдържа също така правила за международно прехвърляне на данни, които изискват адекватна защита в страната на местоназначение.
• Бразилия: Lei Geral de Proteção de Dados Pessoais (LGPD) също има извънтериториален ефект и подчинява обработката на данни на бразилски граждани на строги правила, включително за международни трансфери.
• Индия: Законът за защита на цифровите лични данни (DPDP Act, често наричан още PDPB) също съдържа разпоредби относно трансфера на данни и може да налага изисквания за локализация на определени „критични“ данни.
• Китай: Законът за киберсигурност (CSL) и Законът за защита на личната информация (PIPL) предвиждат строги правила за сигурност на данните и трансгранични трансфери и включват изисквания за локализиране на данни.
• Русия: Федерален закон № 152 „За личните данни“ предвижда съхранението на лични данни на руски граждани на сървъри в Русия (локализация на данни).

Тези примери показват, че Законът CLOUD не е просто двустранен проблем между САЩ и ЕС, а глобално предизвикателство за съгласуваността на международните правни системи в цифровото пространство.

Въздействие върху международния трансфер на данни и доверието в американските доставчици на технологии

Съществуването на Закона CLOUD и свързаните с него несигурности и правни спорове имат значителни последици за механизмите за международен трансфер на данни и общото доверие в американските доставчици на технологии.

Законът допринася за ерозията на доверието в установените инструменти за трансатлантически трансфер на данни, като например бившия Щит за личните данни между ЕС и САЩ или широко използваните в момента Стандартни договорни клаузи (СДК). Както е посочено в контекста на Schrems II, Законът CLOUD затруднява допускането, че САЩ осигуряват ниво на защита на личните данни, което е „по същество еквивалентно“ на правото на ЕС.

Това принуждава компаниите по целия свят да преоценят по-внимателно рисковете от използването на американски облачни услуги. Те трябва да проучат дали и как могат да осигурят спазване на местните закони за защита на данните, когато прехвърлят данни към или обработват от американски доставчици. Това все повече води до проучване на алтернативни решения, като например използване на местни или регионални доставчици на облачни услуги, които не са обект на юрисдикцията на САЩ, или прилагане на допълнителни технически и организационни предпазни мерки (като например криптиране от край до край със собствено управление на ключове, псевдонимизация на данни или стриктна локализация на данни за определени типове данни).

Правната несигурност, създадена от Закона CLOUD и подобни закони в други страни, и произтичащите от него защитни мерки, биха могли също да засилят тенденцията към „балканизация“ на интернет. Това се отнася до нарастващата фрагментация на глобалното цифрово пространство по национални или регионални граници, характеризираща се с по-строги изисквания за локализация на данни, различни технически стандарти и по-трудни трансгранични потоци от данни. Законът CLOUD действа като ключов двигател на тази глобална тенденция към по-голям цифров суверенитет. Като едностранно утвърждават екстериториален достъп до данни и по този начин потенциално отменят правните системи на други държави, САЩ провокират контрамерки. Те се проявяват под формата на закони за локализация на данни, правителствена подкрепа за местните облачни екосистеми и затягане на националните правила за международен трансфер на данни. Следователно Законът CLOUD ускорява, може би неволно, развитието от отворено, глобално мрежово пространство за данни към по-национално или регионално контролирани цифрови територии.

Свързано с това:

• Независимите платформи с изкуствен интелект като стратегическа алтернатива за европейските компании

Картографиране на глобалната зависимост от американските доставчици на облачни услуги

За да се оцени обхватът на Закона CLOUD, е от съществено значение да се разберат глобалните пазарни дялове и произтичащите от това зависимости от основните доставчици на облачни услуги в САЩ – Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP). Пазарното господство на тези играчи значително определя колко компании и организации по света биха могли потенциално да бъдат засегнати от исканията на Закона CLOUD.

Пазарни дялове на американските хиперскалери (AWS, Azure, GCP)

Многобройни пазарни анализи потвърждават огромното господство на трите основни американски хиперскалера на световния пазар за услуги за облачна инфраструктура (Инфраструктура като услуга, IaaS, и Платформа като услуга, PaaS). Заедно AWS, Microsoft Azure и GCP контролираха приблизително 66% до 70% от глобалните приходи в този сегмент съответно в края на 2023 г. и началото на 2025 г. (в зависимост от източника и точното определение на пазара).

Приблизителните пазарни дялове за четвъртото тримесечие на 2024 г. могат да бъдат обобщени, както следва (въз основа на данни от различни източници; точните цифри може леко да варират, но тенденцията е постоянна):

• Amazon Web Services (AWS): приблизително 30-33%. AWS остава безспорен лидер на пазара, като пионерската му роля в облачните изчисления му осигурява устойчиво лидерство. През последните години обаче се наблюдава лека тенденция към стагнация или дори лек спад на пазарния дял, докато конкуренцията наваксва.
• Microsoft Azure: приблизително 21-24%. Azure се е утвърдил като силно второ място и отбелязва непрекъснат растеж, често воден от интеграция с други продукти на Microsoft и силна позиция в корпоративния сектор.
• Google Cloud Platform (GCP): приблизително 11-12%. GCP е номер три и също показва значителен растеж, макар и от по-малка база. Google инвестира сериозно в области като изкуствен интелект и анализ на данни, за да спечели пазарен дял.

Освен тези три гиганта, има и други важни играчи, чиито пазарни дялове са значително по-малки. Те включват Alibaba Cloud, която с приблизително 4% глобален пазарен дял играе по-малка роля, но доминира на пазара на облачни услуги в Китай. Други доставчици с глобален или регионален фокус включват IBM, Salesforce, Oracle, Tencent Cloud и Huawei Cloud (и двете силни в Китай), както и специализирани доставчици.

Следната таблица обобщава прогнозните световни пазарни дялове на водещите доставчици на облачна инфраструктура (IaaS/PaaS) за края на 2024 г. / началото на 2025 г. и илюстрира доминацията на американските хиперскалери:

Очаквани дялове на световния пазар на облачни услуги (IaaS/PaaS) за четвъртото тримесечие на 2024 г./началото на 2025 г

Очаквани дялове на световния пазар на облачни услуги (IaaS/PaaS) за четвъртото тримесечие на 2024 г./началото на 2025 г. – Изображение: Xpert.Digital

Актуалните данни за световния пазар на IaaS/PaaS облачни услуги през четвъртото тримесечие на 2024 г. и началото на 2025 г. показват ясно господство на американските хиперскалери. AWS държи най-големия пазарен дял от 30 до 33 процента, със стабилна до леко намаляваща тенденция. Microsoft Azure следва с 21 до 24 процента и отбелязва по-нататъшен растеж. Google Cloud Platform (GCP) осигурява 11 до 12 процента от пазара с положителна тенденция. Китайският доставчик Alibaba Cloud поддържа стабилен световен пазарен дял от приблизително 4 процента. Останалите доставчици, включително IBM, Oracle, Tencent и Huawei, заедно споделят 27 до 34 процента от пазара с различни тенденции на растеж. Общата позиция на американските хиперскалери е забележителна, тъй като те колективно контролират приблизително 62 до 69 процента от световния пазар на облачни услуги и отбелязват лек растеж.

Тези цифри подчертават значителната глобална зависимост от трите основни американски доставчици. Следователно голяма част от световната облачна инфраструктура потенциално е обект на юрисдикцията на Закона CLOUD.

Региони/държави с висока степен на зависимост

Зависимостта от американските доставчици на облачни услуги варира географски, но е много висока в много важни икономически региони:

• Северна Америка (особено САЩ и Канада): Като дом на хиперскалерите и с най-високо проникване на облачни услуги, зависимостта е естествено най-голяма тук. AWS има особено силна пазарна позиция в САЩ. Канада също показва високи инвестиции в облачни услуги и изкуствен интелект, често чрез американски платформи.
• Европа: Въпреки опасенията относно GDPR и CLOUD Act, зависимостта от AWS, Azure и GCP в Европа остава изключително висока. Техният комбиниран пазарен дял на континента се оценява на над 70%. Интересното е, че според един анализ, Azure дори изглежда изпреварва AWS в някои европейски страни, като например Холандия (според съобщенията 67% пазарен дял), Полша (49%) и Япония (49%). Големи европейски икономики като Германия, Обединеното кралство и Франция инвестират сериозно в облачни технологии и изкуствен интелект, като американските платформи играят централна роля. Това несъответствие между високата пазарна зависимост и политическия стремеж към дигитален суверенитет представлява ключова област на напрежение.
• Индия: Индийският пазар на облачни услуги показва силен растеж и силна зависимост от американски доставчици, с пазарна структура, подобна на тази в САЩ: AWS води (около 52%), следван от Azure (около 35%) и GCP (около 13%). В същото време в Индия има силна политическа воля за дигитализация и нарастващ стремеж към локализация на данни, особено за чувствителни данни като финансови данни. Това би могло да насърчи растежа на местните доставчици в дългосрочен план.
• Латинска Америка: Използването на облачни услуги нараства в страни като Бразилия, но остава силно доминирано от глобални играчи от САЩ. AWS активно се разширява в региона, например с нов регион в Мексико. Местните закони за защита на данните, като бразилския LGPD и специфичните изисквания за локализиране на данни, например във финансовия сектор, биха могли да повлияят на пазарната динамика, но досега не са направили много, за да променят фундаменталната зависимост.
• Австралия: Като технологично напреднала страна с тесни политически и икономически връзки със САЩ, Австралия демонстрира високо ниво на приемане на облачни технологии. Съществуването на Изпълнително споразумение CLOUD Act между САЩ и Австралия предполага приемане на механизмите за достъп на САЩ и показва висока степен на зависимост от американските доставчици.
• Други региони (напр. Африка, части от Югоизточна Азия): Пазарите на облачни услуги все още се развиват в много развиващи се страни. Глобалните американски доставчици често доминират и тук, поради икономиите си от мащаба и технологичното си лидерство. В същото време стремежът към дигитален суверенитет и локализация на данните също се засилва в тези региони, както показват примерите от Виетнам и Индонезия.

Държави с по-ниска зависимост и алтернативни екосистеми (Китай, Русия)

За разлика от широко разпространената зависимост от американските хиперскалери, са се развили до голяма степен независими цифрови екосистеми, особено в Китай и Русия, които са доминирани от местни доставчици.

• Китай: Китайският пазар на облачни услуги е вторият по големина в света, но е силно регулиран и е труден за достъп от чуждестранни доставчици. Местните технологични компании очевидно доминират: Alibaba Cloud държи пазарен дял от приблизително 36%, следван от Huawei Cloud с около 19% и Tencent Cloud с приблизително 15-16% (към второто/третото тримесечие на 2024 г.). Американските доставчици като AWS или Azure играят само малка роля на пазара в континентален Китай. Това развитие се обуславя от строга правителствена регулация, по-специално Закона за киберсигурност (CSL) и Закона за защита на личната информация (PIPL), които, наред с други неща, налагат изисквания за локализиране на данни и строго контролират трансграничните потоци от данни. Китай също така следва своя собствена амбициозна стратегия за изкуствен интелект, която се основава на възможностите на местните си доставчици на облачни услуги.
• Русия: Подобно на Китай, но по различни причини (особено западни санкции и активна правителствена политика за насърчаване на цифровия суверенитет), Русия наблюдава нарастващо откъсване от западните доставчици на технологии. Руският пазар на облачни услуги е доминиран от местни доставчици, най-вече Yandex Cloud, но също така доставчици като SberCloud (който вероятно вече работи под друго име, например Cloud.ru), VK Cloud и държавната телекомуникационна компания Rostelecom играят значителна роля. Руският закон за защита на данните (Федерален закон № 152) изисква стриктно локализиране на личните данни на руските граждани, което затруднява използването на чуждестранни облачни услуги и облагодетелства местните доставчици. Yandex Cloud изрично рекламира спазването на тези местни закони, за да привлече международни компании, които искат да работят на руския пазар. Правителствени програми като „Цифрова икономика на Руската федерация“ и платформата „GosTech“ допълнително насърчават използването на местни облачни решения от държавни агенции и предприятия.
• Европейски съюз (Потенциал срещу Реалност): ЕС се намира в уникална ситуация. От една страна, има ясни политически усилия за намаляване на зависимостта от американски доставчици и за установяване на собствен дигитален суверенитет. Инициативи като Gaia-X и законодателни актове като Закона за данните са насочени в тази посока. Съществуват и редица европейски доставчици на облачни услуги (напр. OVHcloud, Deutsche Telekom/T-Systems, IONOS). От друга страна, както е показано по-горе, реалното пазарно проникване на американските хиперскалери в Европа е изключително високо. Европейските алтернативи досега не са успели да постигнат сравними пазарни дялове, което често се дължи на икономии от мащаба и технологичната зрялост на американските предложения. По този начин ЕС остава регион с висока зависимост, съчетан със силна политическа воля за промяна.

Тези примери показват, че е възможна по-малка зависимост от американските хипермащабни компании, но това обикновено се основава на комбинация от силна държавна регулация, целенасочена подкрепа за местните индустрии и в някои случаи политически мотивиран пазарен протекционизъм.

Възползвайте се от обширния, петкратен опит на Xpert.Digital в цялостен пакет от услуги | R&D, XR, PR и оптимизация на дигиталната видимост - Изображение: Xpert.Digital

Xpert.Digital притежава задълбочени познания в различни индустрии. Това ни позволява да разработваме персонализирани стратегии, прецизно съобразени с изискванията и предизвикателствата на вашия специфичен пазарен сегмент. Чрез непрекъснат анализ на пазарните тенденции и наблюдение на развитието в индустрията, ние можем да действаме проактивно и да предлагаме иновативни решения. Комбинацията от опит и експертиза генерира добавена стойност и осигурява на нашите клиенти решаващо конкурентно предимство.

Повече информация тук:

• Възползвайте се от 5-те области на експертиза на Xpert.Digital в един пакет – от само 500 евро/месец

Национални стратегии и отговори на Закона CLOUD

Предвид предизвикателствата, които Законът на САЩ за облачните технологии (CLOUD Act) поставя пред защитата на данните, суверенитета и правната сигурност, държавите по света са разработили разнообразни стратегии за управление на свързаните с тях рискове и защита на своите интереси. Тези стратегии варират от регулаторни мерки и технологични подходи до международни преговори.

Сравнение на националните подходи

Могат да се наблюдават няколко основни подхода, които често се комбинират:

• Локализация на данни: Един от най-директните отговори е въвеждането на закони, които налагат определени видове данни – често лични данни или информация, класифицирана като критична – да се съхраняват и обработват физически в рамките на националните граници. Известни примери включват Русия с Федерален закон № 152, Китай с изискванията съгласно Закона за киберсигурност и Закона за защита на личните данни (PIPL) и до известна степен Индия (особено за данни за плащания). Държави като Виетнам и Индонезия също следват подобни подходи. Мотивите са многобройни: укрепване на националния суверенитет и контрол върху данните, подобряване на националната сигурност чрез ограничаване на достъпа от чуждестранни сили, както и икономически протекционизъм за насърчаване на местната ИТ индустрия. От технологична и икономическа гледна точка обаче стриктната локализация на данните често е неефективна, тъй като подкопава предимствата на глобално разпределените облачни архитектури (като мащабируемост, излишък и икономическа ефективност) и води до по-високи разходи за бизнеса. Броят на държавите с такива ограничения се е увеличил значително през последните години.
• Укрепване на вътрешното регулиране и международните стандарти: Много държави се фокусират върху укрепването на собственото си законодателство за защита на данните, за да установят високи стандарти за защита и ясно да регулират условията за международен трансфер на данни. ЕС, със своя GDPR, е пионер в тази област. Други държави са последвали примера или са модернизирали своите закони, често въз основа на GDPR, като например Швейцария (revFADP), Бразилия (LGPD), Обединеното кралство (UK GDPR) и Канада (PIPEDA). Целта често е да бъде призната от ЕС като държава с „адекватно ниво на защита на данните“, за да се улесни потокът от данни с Европа. В същото време тези закони служат за защита на правата на собствените им граждани и създават правна рамка, която потенциално може да бъде използвана в случай на конфликт със закони като Закона CLOUD.
• Насърчаване на местни/регионални доставчици и екосистеми: Друг подход е активното насърчаване чрез индустриална политика на местни или регионални доставчици на облачни услуги и цифрови екосистеми, за да се създадат алтернативи на доминиращите американски хипермащабиращи компании и да се намали технологичната зависимост. Инициативата Gaia-X на ЕС е пример за това, въпреки че успехът ѝ досега е ограничен. В Китай и Русия този подход, съчетан със силна регулация, е по-успешен и води до пазари, доминирани от местни доставчици. Предизвикателството е, че местните доставчици често не могат да постигнат същите икономии от мащаба, същия обем на инвестициите или същия глобален обхват като американските гиганти.
• Използване на международни споразумения (Изпълнителни споразумения срещу MLAT): Държавите могат да се опитат да регулират достъпа до данни в правоприлагането чрез международни споразумения. Самият Закон CLOUD предоставя механизма на изпълнителни споразумения за тази цел. Държави като Обединеното кралство и Австралия са избрали този път и са сключили двустранни споразумения със САЩ, които са предназначени да позволят ускорен, директен достъп до данни при определени условия. Тези споразумения обещават повишаване на ефективността в сравнение с често бавните традиционни процедури за взаимопомощ (MLAT). Други държави или региони, като ЕС, обаче се колебаят да сключат такова споразумение, отчасти поради опасения относно съвместимостта със собствените си високи стандарти за защита на данните (GDPR, Schrems II). Те продължават да разчитат предимно на установения процес на MLAT, който предвижда по-голямо участие на съдебните органи на замолената държава, въпреки че се счита за неефективен. Изборът между тези подходи представлява балансиращ акт между ефективността в правоприлагането и защитата на основните права и суверенитета.
• Технически и организационни мерки (TOM) от компаниите: Независимо от правителствените стратегии, самите компании предприемат мерки за смекчаване на рисковете от Закона CLOUD. Те включват използването на силни методи за криптиране, в идеалния случай с единствен контрол върху криптографските ключове от страна на клиента (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), внимателния избор на място за съхранение (напр. центрове за данни в рамките на ЕС), прилагането на строг контрол на достъпа, използването на техники за псевдонимизация или анонимизация, сътрудничество с местни партньори или системни интегратори, които управляват данните от името на клиента, или внедряването на хибридни облачни архитектури, при които особено чувствителните данни остават в собствения център за данни на компанията (на място).

Казуси: ЕС, Швейцария, Бразилия, Китай, Русия

Прилагането на тези стратегии може да бъде илюстрирано с примери от конкретни държави:

• ЕС следва многостранен подход. Основата е строга регулация (GDPR, Закон за данните). Инициативи като Gaia-X целят да укрепят суверенитета, но са изправени пред предизвикателства. Едновременно с това се водят преговори със САЩ относно споразумение по Закона CLOUD, което подчертава противоречието между претенцията за суверенитет и необходимостта от сътрудничество. Високата зависимост от американските доставчици остава.
• Швейцария: Законът ѝ за защита на данните (revFADP) е тясно съгласуван с GDPR и използва подобни механизми за международен трансфер на данни (решения за адекватност, SCC). В отговор на Schrems II, Швейцария въведе собствено споразумение със САЩ (Рамка за поверителност на данните между Швейцария и САЩ). Въпреки това, основният риск, породен от Закона CLOUD, остава, тъй като швейцарските компании, използващи услуги от САЩ, са потенциално засегнати.
• Бразилия: Със Закона за защита на данните (LGPD) беше създаден всеобхватен закон за защита на данните с екстериториално действие и независим орган за защита на данните (ANPD). Съществуват специфични правила за международни трансфери на данни и използването на облачни услуги, особено в регулирания финансов сектор. Прецизното тълкуване и прилагане обаче, включително по отношение на конфликти със закони като Закона CLOUD, все още са в процес на разработка.
• Китай: Той последователно разчита на държавен контрол, стриктна локализация на данните и насърчаване на затворен вътрешен пазар, доминиран от национални шампиони. Защитата на данните (в смисъл на PIPL) също служи на държавния контрол и националната сигурност.
• Русия: Следва подобна стратегия за дигитален суверенитет чрез стриктна локализация на данни, насърчаване на местни доставчици и нарастващо технологично отделяне от Запада, подсилено от геополитически фактори.

Технически и организационни мерки на компаниите

За компании, които използват облачни услуги от САЩ или работят в световен мащаб, прилагането на надеждни технически и организационни мерки е от решаващо значение за минимизиране на риска. Те включват:

• Прозрачност и оценка на риска: Проактивна комуникация с клиентите относно юрисдикционните рискове и провеждане на задълбочени анализи на риска (Оценки на въздействието на трансфера на данни – TIAs) за оценка на чувствителността на данните и потенциалното въздействие на достъпа.
• Внимателен подбор на доставчици: Разглеждане на алтернативи на американските доставчици, особено европейски или местни доставчици, които не са обект на юрисдикцията на САЩ. Оценка на ангажиментите за съответствие на доставчиците и архитектурите за сигурност.
• Криптиране и управление на ключове: Силно криптиране се използва както за данни в покой, така и по време на пренос. Контролът върху криптографските ключове е от решаващо значение. Само ако клиентът управлява ключовете изключително (HYOK), той може ефективно да предотврати достъпа от доставчика (и следователно потенциално от американските власти). Решения, при които доставчикът управлява ключовете („Bring Your Own Key – BYOK може да бъде подвеждащ тук“) не предлагат пълна защита. Трябва да се отбележи обаче, че данните за активна обработка в облака често трябва да се съхраняват декриптирани в паметта, което представлява потенциален прозорец за достъп.
• Контрол на достъпа и управление: Прилагане на строги политики за управление на самоличността и достъпа (IAM) за ограничаване на достъпа до данни до абсолютния минимум. Проучване дали достъпът на персонал от определени юрисдикции (напр. САЩ) до данни в други региони (напр. ЕС) може да бъде предотвратен чрез технически и организационни мерки.
• Хибридни и мултиоблачни стратегии: Мигриране на особено чувствителни данни и натоварвания към частен облак или локална инфраструктура, докато по-малко критичните приложения остават в публичния облак. Това позволява диференцирано управление на риска.
• Правно структуриране: В някои случаи създаването на правно отделни дъщерни дружества в различни юрисдикции може да се счита за нарушаване на „контрола“ на компанията майка в САЩ върху данните в други региони. Това обаче е сложно и изисква внимателно правно структуриране.
• Отговаряне на запитвания: Разработване на ясни вътрешни процеси за обработка на запитвания от властите. Това включва проверка на законосъобразността на запитването и готовност за оспорване на заповеди, ако те противоречат на местните закони (напр. GDPR).

Трябва обаче да се отбележи, че техническите и организационните мерки имат своите граници. Докато компания, подчинена на юрисдикцията на САЩ, в крайна сметка притежава, съхранява или контролира данните или ключовете, необходими за декриптиране, основният правен риск от принуждаване да ги предаде съгласно Закона CLOUD остава. Дори силното криптиране може да бъде заобиколено, ако доставчикът може да бъде принуден да предаде ключовете или има достъп до нивото на управление. Чисто техническо решение не може напълно да елиминира правния проблем с претенциите за суверенитет.

Следната таблица предоставя сравнителен преглед на различните национални стратегии:

Сравнение на националните стратегии за смекчаване на рисковете, свързани със Закона за облачни технологии (CLOUD Act)

Сравнение на националните стратегии за смекчаване на рисковете, свързани със Закона за облачни технологии – Изображение: Xpert.Digital

Различни държави и региони по света са разработили различни стратегически подходи за справяне с рисковете, породени от американския Закон за облачните технологии (CLOUD Act). Стратегията за локализиране на данни, практикувана в Китай, Русия и части от Индия и Виетнам, налага строго вътрешно съхранение на данни. Макар че това увеличава националния контрол и суверенитет и насърчава местната индустрия, често се оказва неефективно, скъпо и задушава иновациите, а също така ограничава достъпа до глобални услуги.

ЕС с GDPR, Швейцария с FADP, Бразилия с LGPD и Обединеното кралство с GDPR, от друга страна, се фокусират върху укрепване на собствените си регулации с високи стандарти за защита на данните, ясни правила за международен трансфер на данни и силни надзорни органи. Тази стратегия защитава правата на гражданите и създава правна рамка за спорове, но не разрешава директно основния юрисдикционен конфликт и налага тежка тежест на изискванията за съответствие върху компаниите.

Някои региони активно насърчават местните доставчици и цифровите екосистеми, като например ЕС с проекта Gaia-X или Китай и Русия с техните индустриални политики. Тези мерки намаляват зависимостта от чуждестранни доставчици и укрепват технологичния суверенитет, но често са свързани с ограничена конкурентоспособност спрямо големите международни доставчици и се оказват продължителни и скъпи.

Обединеното кралство и Австралия сключиха изпълнителни споразумения със САЩ съгласно Закона CLOUD, докато ЕС все още води преговори. Тези двустранни споразумения позволяват ускорен достъп до данни за правоприлагащите органи и осигуряват правна сигурност за доставчиците, но могат да заобиколят националните стандарти за защита на данните и да легитимират достъпа на САЩ до данни.

Много държави имплицитно се придържат към традиционния процес на MLAT (Договор за взаимна правна помощ), който предлага установени процедури за правна помощ с по-силни гаранции за върховенство на закона, но се счита за бавен, бюрократичен и неефективен за цифрови доказателства.

Компании по целия свят също така внедряват технически и организационни мерки, като например криптиране със собствен ключ, строг контрол на достъпа, хибридни облачни решения и цялостни анализи на риска. Въпреки че тези мерки могат да смекчат рисковете и да демонстрират съответствие, те често не успяват да решат основния юрисдикционен проблем и са сложни и потенциално скъпи за прилагане.

Свързано с това:

• Интеграция на независима и междуизточникова платформа с изкуствен интелект за всички бизнес нужди

Проблематичен закон с дългосрочни последици

Анализът на Закона за облачните технологии в САЩ и неговото глобално въздействие разкрива сложна мрежа от правни конфликти, технологични зависимости, геополитическо напрежение и стратегически реакции. Въпреки че е замислен с разбираемата цел за по-ефективно правоприлагане в дигиталната ера, законът в сегашния си вид се оказва силно проблематичен и представлява значителни рискове за отделни лица, предприятия и държави по целия свят.

Обобщение на основните проблеми на Закона CLOUD

Основните критики и проблемни области могат да бъдат обобщени, както следва:

• Конфликт с националния суверенитет и правните системи: Изричното твърдение за екстериториалност на Закона CLOUD, което предоставя на властите на САЩ достъп до данни, независимо от мястото им на съхранение, коренно противоречи на разбирането за суверенитет, което имат други държави и техните правни системи. Това става особено ясно в конфликта с GDPR на ЕС, особено с член 48, който свързва признаването на заповеди на чуждестранни правителства с международни споразумения.
• Правна несигурност и стълкновение на закони: За глобално опериращите компании, особено за доставчиците на облачни услуги, законът създава значителна правна несигурност. Те са изправени пред потенциално противоречиви правни задължения – от една страна, заповедта на САЩ за разкриване на данни, а от друга страна, законите за защита на данните или поверителността на страната, където се съхраняват данните или чиито граждани са засегнати. Това води до дилема с потенциални санкции и от двете страни.
• Ерозия на доверието: Законът CLOUD значително подкопава доверието в американските доставчици на технологии. Възможността американските власти да имат достъп до данни чрез заобикаляне на местните процедури или без знанието на засегнатите лица поражда недоверие по отношение на сигурността и поверителността на данните. Това се отнася както за личните данни, така и за чувствителната корпоративна информация и се изостря от паралелни опасения относно законите на САЩ за наблюдение (въпросът Schrems II).
• Рискове извън правоприлагането: Въпреки че заявената цел е борба със сериозните престъпления, съществуват опасения относно злоупотребата с правата за достъп за целите на държавно наблюдение или икономически шпионаж. Тези рискове са трудни за контролиране и допринасят за загуба на доверие.
• Насърчаване на глобалната фрагментация: Едностранният подход на Закона CLOUD действа като катализатор за глобалните тенденции на фрагментация в дигиталното пространство. Той провокира контрареакции под формата на закони за локализация на данни и насърчаване на национални дигитални екосистеми, което насърчава „балканизацията“ на интернет и възпрепятства свободния глобален поток от данни.

Преглед на глобалния пейзаж на зависимостта

Анализът на пазарния дял разкрива огромна глобална зависимост от трите основни американски облачни хиперскалера: AWS, Microsoft Azure и GCP. Особено в Северна Америка и Европа те контролират над две трети от пазара на услуги за облачна инфраструктура. Тази висока концентрация създава широка потенциална повърхност за атака на CLOUD Act.

За разлика от това, страни като Китай и Русия са изградили до голяма степен независими цифрови екосистеми чрез силно държавно регулиране, насърчаване на местните доставчици и пазарен протекционизъм. Те показват, че по-малка зависимост е възможна, макар и често с цената на ограничена глобална свързаност и потенциално по-малка свобода на избор.

Европейският съюз се намира в противоречива позиция: от една страна, той е силно зависим от американските доставчици, докато от друга страна, има силна политическа воля и конкретни инициативи (Gaia-X, Закон за данните) за укрепване на цифровия суверенитет и насърчаване на алтернативи. Успехът на тези усилия обаче остава несигурен.

Перспективи за бъдещи развития

Тенденциите, предизвикани от Закона CLOUD и подобни развития, вероятно ще продължат:

• Разпространението на законите за локализация на данни вероятно ще се увеличи, тъй като все повече държави се опитват да запазят контрол върху данните на своята територия.
• Усилията за изграждане на регионални или национални облачни алтернативи ще продължат, въпреки че успехът в конкуренцията с утвърдените хиперскалери остава труден. Инициативи като Gaia-X биха могли да се развият в рамки за стандартизация на пространствата от данни.
• Очаква се САЩ да се стремят към допълнителни изпълнителни споразумения със стратегически партньори, за да улеснят достъпа до данни. Преговорите с ЕС обаче остават сложни.
• Правните спорове около международния трансфер на данни, особено в контекста на Schrems II и неговите последващи регламенти (като например Рамката за поверителност на данните между ЕС и САЩ), ще продължат. Въпросът за „адекватното ниво на защита“ в САЩ остава належащ проблем.
• За компаниите, разработването и внедряването на надеждни стратегии за съответствие и технически решения за намаляване на риска (криптиране, хибридни модели и др.) става все по-важно, за да могат да работят в тази сложна среда.

В заключение, трябва да се признае, че Законът CLOUD разглежда реален проблем: необходимостта правоприлагащите органи да имат навременен достъп до доказателства, съхранявани през граница, в дигиталната ера. Традиционните процедури за MLAT често са твърде бавни и неефективни. Всяко устойчиво решение обаче трябва да намери начин да съгласува тази легитимна нужда от правоприлагане с основните права за защита на данните и неприкосновеност на личния живот, както и с суверенитета на държавите. Законът CLOUD, в сегашния си вид, не успява да постигне този баланс, според много международни наблюдатели и заинтересовани страни. Той представлява решение, ориентирано към САЩ, което не отчита адекватно опасенията и правните системи на други държави, като по този начин създава повече проблеми, отколкото решава. Международно координирано решение, основано на взаимно уважение към правните системи и силни гаранции за основните права, остава неотложна необходимост.

Препоръки за действие

Анализът на Закона CLOUD и неговото глобално въздействие дава конкретни препоръки за действие както за европейските компании и организации, така и за вземащите политически решения.

За европейски компании и организации:

• Провеждане на цялостни анализи на риска: Компаниите трябва систематично да оценяват зависимостта си от доставчици на облачни услуги от САЩ. Това включва класифициране на обработваните данни според чувствителността и анализ на потенциалните рискове в случай на достъп до данни от страна на властите на САЩ. Извършването на оценки на въздействието върху трансфера на данни (TIAs), както се изисква в контекста на Schrems II, е от съществено значение.
• Внимателен подбор на доставчици на облачни услуги: Препоръчително е активно да се обмислят европейски или други доставчици на облачни услуги извън САЩ като алтернативи, които не са обект на юрисдикцията на САЩ или са обект на по-малко строги разпоредби. Доставчиците трябва да бъдат оценявани въз основа на техните договорни ангажименти по отношение на исканията по Закона CLOUD, техните технически гаранции и техните сертификати за съответствие.
• Надежден дизайн на договорите: Договорите с доставчиците на облачни услуги следва да съдържат ясни разпоредби относно обработката на данни, местата за съхранение, мерките за сигурност и обработката на официални заявки, в съответствие с член 28 от GDPR.
• Внедряване на силни технически мерки: Използването на криптиране от край до край, при което криптографските ключове остават изключително под контрола на клиента (Hold Your Own Key – HYOK), е важна мярка за сигурност. Следва да се прилагат строги контроли на достъпа (Управление на самоличността и достъпа) и, където е уместно, техники за псевдонимизация или анонимизация.
• Използване на хибридни или мултиоблачни стратегии: За особено чувствителни данни използването на частни облаци или локални инфраструктури може да бъде полезно, докато по-малко критичните натоварвания могат да останат в публичния облак. Това позволява диференцирано управление на риска.
• Получаване на специфични правни съвети: С оглед на сложната и постоянно променяща се правна ситуация, получаването на специализирани правни съвети за оценка на специфични рискове и разработване на жизнеспособна стратегия за съответствие е от съществено значение.

За политическите лица, вземащи решения (особено в ЕС):

• Укрепване на европейския дигитален суверенитет: Последователното насърчаване на инициативи като Gaia-X и подкрепата за развитието на конкурентни европейски доставчици на облачни услуги са необходими за създаването на истински технологични алтернативи и намаляване на зависимостта. Законът за данните следва да се използва за осигуряване на справедливи пазарни условия и контрол върху данните.
• Ясна позиция в международните преговори: Преговорите за потенциално споразумение за изпълнение на CLOUD Act между ЕС и САЩ трябва да гарантират пълното спазване на високите европейски стандарти за защита на данните (GDPR, Хартата на основните права на ЕС, разпоредбите на Schrems II). Това включва солидни гаранции за върховенство на закона, пропорционалност, прозрачност и ефективна правна защита на субектите на данни. Следва да се закрепи приоритетът на установените процедури за взаимопомощ (MLAT) или еквивалентни гаранции.
• Насърчаване на глобални стандарти: ЕС следва да се застъпва на международно ниво за разработването на хармонизирани правила и стандарти за трансграничен достъп до данни от страна на публичните органи, основани на върховенството на закона, зачитането на основните права и взаимното уважение между националните правни системи.
• Образование и подкрепа за бизнеса: Политиците и регулаторните органи трябва да предоставят ясни насоки и практическа подкрепа на бизнеса, за да им помогнат да оценят рисковете и да приложат мерки за съответствие при работа със Закона CLOUD и международния трансфер на данни.

☑️ Подкрепа за МСП в стратегията, консултирането, планирането и внедряването

☑️ Създаване или пренасочване на стратегията за ИИ

☑️ Pioneer Business Development

Konrad Wolfenstein

С удоволствие бих служел като ваш личен съветник.

Можете да се свържете с мен, като попълните формата за контакт по-долу или просто ми се обадите на +49 89 89 674 804 (Мюнхен) .

Очаквам с нетърпение нашия съвместен проект.

Xpert.Digital е индустриален център, фокусиран върху дигитализацията, машиностроенето, логистиката/интралогистиката и фотоволтаиката.

С нашето 360° решение за бизнес развитие, ние подкрепяме известни компании от нов бизнес до следпродажбено обслужване.

Пазарно разузнаване, маркетинг, маркетингова автоматизация, разработване на съдържание, PR, имейл кампании, персонализирани социални медии и подхранване на лийдове са част от нашите дигитални инструменти.

Можете да намерите повече информация на: www.xpert.digital - www.xpert.solar - www.xpert.plus