Публикувано на: 4 май 2025 г. / Актуализирано на: 21 юли 2025 г. – Автор: Konrad Wolfenstein
Сигурност на данните и дигитален суверенитет в Европа: Сигурни ли са инвестициите на Microsoft в Европа по отношение на данните? – Изображение: Xpert.Digital
Защо местоположението на сървъра не гарантира сигурността на данните
Наскоро Microsoft обяви значителни инвестиции в Европа, включително осигуряване на изходния код в Швейцария и разширяване на облачната си инфраструктура. Тези действия се тълкуват като отговор на политическата несигурност и нарастващите опасения сред европейските клиенти. Въпреки тези усилия, остава фундаментален конфликт между законодателството на САЩ и европейските разпоредби за защита на данните, което повдига въпроса дали местоположението на европейски сървър наистина може да осигури достатъчна защита. Този доклад анализира уверенията на Microsoft за Европа, обяснява правния конфликт между американския CLOUD Act и GDPR и разглежда защо физическото местоположение на данните само по себе си не гарантира сигурността и суверенитета на данните.
Свързано с това:
Актуализация от 21 юли 2025 г.:
Новите дигитални гаранции на Microsoft за Европа
В светлината на търговските войни, водени по време на администрацията на Тръмп, и внезапните политически решения, много европейски клиенти загубиха доверие в дигиталните продукти от САЩ. Microsoft реагира с конкретни ангажименти и инвестиции в Европа.
Обширни инвестиции в инфраструктура
Microsoft обяви планове за разширяване на капацитета на центровете си за данни в Европа с приблизително 40 процента през следващите две години, разширявайки го до общо 16 европейски държави. Компанията планира да инвестира десетки милиарди долари годишно в това разширение. Тези мерки са предназначени не само да отговорят на нарастващото търсене на облачни услуги и инфраструктура с изкуствен интелект, но и да укрепят доверието на европейските клиенти.
Брад Смит, главен юрисконсулт и президент на Microsoft, подчертава в публикацията си в блога си тесните икономически връзки на компанията с Европа и уверява читателите, че Microsoft няма да се оттегли от региона. Европейските центрове за данни ще работят независимо и ще се управляват от граждани на ЕС, като се спазват и прилагат европейските закони.
Швейцарско архивиране на изходния код и осигуряване на непрекъснатост на бизнеса
Едно особено забележително условие е архивирането на изходния код на Microsoft в Швейцария. Компанията създава резервни копия на своя изходен код в защитени съоръжения за съхранение на данни в Швейцария и предоставя правно обвързващи права за достъп на европейски партньори. Тази мярка служи като план за действие в случай на „малко вероятно събитие“, при което Microsoft някога ще бъде принудена да прекрати услугите си в Европа.
Microsoft също така планира да идентифицира европейски партньори и да внедри планове за действие при извънредни ситуации, за да гарантира непрекъснатостта на бизнеса. Това вече се прилага чрез партньорства във Франция и Германия с центровете за данни Bleu и Delos.
Границата на данните в ЕС: Отговорът на Microsoft на опасенията за поверителност
Ключов компонент от стратегията на Microsoft в Европа е внедряването на така наречената „граница на данните в ЕС“ за Microsoft Cloud.
Цялостно съхранение на данни в рамките на ЕС
От януари 2024 г. европейските клиенти в търговския и публичния сектор могат да съхраняват и обработват всички свои данни и потребителски идентификационни данни за основните облачни услуги на Microsoft – включително услугите на Microsoft 365, Dynamics 365, Power Platform и Azure – в рамките на ЕС и региона на ЕАСТ. През февруари 2025 г. беше завършена третата и последна фаза на границата на данните в ЕС, като границата се разшири, за да включва данни за професионалните услуги на Microsoft от взаимодействията с техническа поддръжка.
С това предложение Microsoft отива крачка напред от много други доставчици на облачни услуги: Компанията позволява не само локално съхранение и обработка на клиентски данни, но и на всички лични данни, включително данни от автоматично генерирани системни регистрационни файлове.
Допълнителни опции за сигурност
Microsoft предлага на европейските клиенти няколко опции за защита и криптиране на техните данни. Те включват „Поверително изчисление в Azure“, което предотвратява достъпа на трети страни – включително самата Microsoft – до клиентските данни, и функции „Lockbox“ за Azure, Dynamics 365 и Microsoft 365, които позволяват на клиентите да преглеждат и одобряват заявки, преди Microsoft да получи достъп до техните данни.
Други опции за сигурност включват Azure Key Vault и Microsoft Purview Customer Key, които позволяват на клиентите да защитят данните си със самоконтролирана технология за криптиране.
Основният конфликт: Законът CLOUD срещу GDPR
Въпреки всички усилия и уверения, остава фундаментален правен конфликт, който повдига въпроса дали данните на европейските компании са наистина защитени при американските доставчици.
Екстериториалният обхват на Закона CLOUD
Законът CLOUD (Clarifying Lawful Overseas Use of Data Act), който влезе в сила през 2018 г., позволява на правоприлагащите органи на САЩ да задължават компании, базирани в САЩ, да предоставят достъп до данни, независимо къде се съхраняват физически данните. Това важи и за данни, съхранявани в ЕС, но управлявани от американски компании или техни дъщерни дружества.
Законът задължава американските интернет компании и доставчици на ИТ услуги да предоставят на американските власти достъп до съхраняваните данни, дори ако данните не се съхраняват в САЩ. Въпреки че засегнатите компании имат право да възразят, ако собственикът на данните не е гражданин на САЩ и компанията би нарушила законите на други държави, като разкрие данните, това право се отнася само за държави, които имат споразумение CLOUD Act със САЩ, което в момента се прилага само за Обединеното кралство.
Възражението срещу GDPR
Европейският Общият регламент относно защитата на данните (ОРЗД) пряко противоречи на Закона CLOUD. Член 48 от ОРЗД забранява на компаниите да прехвърлят данни, съхранявани в рамките на ЕС, без споразумение за взаимна правна помощ. Нарушенията на тази разпоредба могат да бъдат наказвани с глоби до 20 милиона евро или четири процента от годишния оборот на компанията в световен мащаб.
Тази несъвместимост между американския CLOUD Act и Общия регламент относно защитата на данните (GDPR) на ЕС поставя компаниите, използващи облачни услуги, пред невъзможна дилема. Те са изправени пред избора да нарушат или CLOUD Act, или GDPR, като и двете могат да доведат до значителни санкции.
Свързано с това:
Защо местоположението на сървъра не гарантира сигурността на данните
Противно на общоприетото схващане, самият факт, че данните се съхраняват на сървъри в Германия или ЕС, не осигурява достатъчна защита срещу достъп отвън.
Погрешното схващане за сигурността на данните чрез избор на местоположение
Убеждението, че данните на сървърите в Германия са автоматично защитени от чуждестранен достъп, се счита за „опасно погрешно схващане“. Дори ако лични данни се съхраняват в центрове за данни в Европейския съюз, доставчик на облачни услуги в САЩ може да бъде законово задължен да разкрие тези данни на американските власти като част от наказателни разследвания.
Специфичен риск съществува, по-специално, ако доставчикът на облачни услуги е със седалище или оперира в САЩ, обработката на данни се извършва чрез американска инфраструктура или американска корпорация има пряк или непряк достъп до данните. В такива случаи съществува възможност американските власти да получат достъп до лични данни, дори без знанието или съгласието на субектите на данни в Европа.
Заплаха за интелектуалната собственост и търговските тайни
Проблемът далеч надхвърля защитата на личните данни. Законът CLOUD представлява реални рискове, които застрашават сигурността и поверителността на всички видове чувствителни данни, включително интелектуална собственост, прототипи за научноизследователска и развойна дейност, данни за клиенти и лични комуникации.
Дори ако данните се съхраняват в центрове за данни на ЕС, Законът CLOUD може да задължи американските компании да ги предадат на американските власти. Това не само подкопава защитата на GDPR и суверенитета на данните на ЕС, но и излага критична бизнес информация, като прототипи или стратегически планове, на риск от неоторизиран достъп.
Поради потенциалните възможности за достъп на американските власти, „компаниите де факто губят контрол върху своите данни и по този начин върху своята интелектуална собственост“, което е особено критично за търговските и бизнес тайни.
Решения за по-голям суверенитет на данните
В светлината на описаните проблеми възниква въпросът какви мерки могат да предприемат компаниите, за да запазят суверенитета си върху данните.
Алтернативни доставчици на облачни услуги и технически мерки
Ефективната защита срещу достъп, основана на Закона CLOUD, е гарантирана само ако всички доставчици и поддоставчици на услуги работят извън законодателството на САЩ, използва се изключително европейска инфраструктура и се прилага криптиране от край до край с изключително управление на ключовете от страна на потребителя.
Поради това експертите препоръчват да се вземат следните предпазни мерки при избора на доставчик на облачно съхранение или архивиране:
- Избор на доставчик, базиран в ЕС, който не е предмет на Закона CLOUD
- Гаранции за суверенитет на данните, при които както данните, така и ключовете за криптиране остават изцяло в рамките на ЕС
- Консултации с експерти по право и съответствие, специализирани в GDPR и защита на данните
Алтернативни подходи: Отвореният код като стратегия
Швейцария предприема интересен алтернативен подход: През април 2023 г. беше приет Федералният закон за използването на електронни средства за изпълнение на правителствени задачи (EMBAG), който постановява, че правителственият софтуер трябва да бъде с отворен код и че изходният код трябва да бъде разкрит.
Професор д-р Матиас Щюрмер от Университета по приложни науки в Берн, който е вносител на този закон, го описва като „чудесна възможност за държавата, ИТ индустрията и обществото“. Подходът има за цел да намали зависимостта от доставчици за публичния сектор, да даде възможност на компаниите да разширят своите дигитални бизнес решения и потенциално да доведе до по-ниски ИТ разходи и по-добри услуги за данъкоплатците.
Пътят към истински дигитален суверенитет
Инвестициите на Microsoft в Европа и прилагането на границата на данните в ЕС са важни стъпки към по-голям суверенитет на данните за европейските компании и публични институции. Те обаче не решават напълно фундаменталния правен конфликт между американския CLOUD Act и европейския GDPR.
Самото съхраняване на данни на европейски сървъри не осигурява достатъчна защита срещу евентуален достъп от страна на американските власти, ако доставчикът на облачни услуги е подчинен на законодателството на САЩ. Тази ситуация не само поставя под въпрос защитата на данните, но и заплашва интелектуалната собственост и търговските тайни на европейските компании.
Следователно истинският дигитален суверенитет изисква по-всеобхватни подходи, които отчитат както правните, така и техническите аспекти. Те включват използването на облачни услуги, които функционират изцяло извън обхвата на законодателството на САЩ, последователно криптиране от край до край с контрол на ключовете от страна на потребителя и потенциално увеличени инвестиции в решения с отворен код.
В крайна сметка Европа се нуждае от собствена независима облачна инфраструктура, която е не само технически, но и правно суверенна. Дотогава компаниите и публичните институции трябва внимателно да обмислят какви данни съхраняват, къде и как – и на кои доставчици могат да се доверят.
Свързано с това:
Вашият глобален партньор по маркетинг и бизнес развитие
☑️ Нашият бизнес език е английски или немски
☑️ НОВО: Кореспонденция на родния ви език!
Konrad Wolfenstein
Аз и моят екип с удоволствие ще бъдем на ваше разположение като ваш личен съветник.
Можете да се свържете с мен, като попълните формата за контакт тук или просто ми се обадите на +49 89 89 674 804 ( Мюнхен) . Моят имейл адрес е: [email protected]
Очаквам с нетърпение нашия съвместен проект.
