Proč je americký cloudový akt problém a riziko pro Evropu a zbytek světa: Zákon s důsledek daleko k dispozici

Proč je americký cloudový akt problém a riziko pro Evropu a zbytek světa: Zákon s důsledek daleko k dispozici

Tento článek analyzuje americký objasňující zákonný zákon o zámořském použití dat (cloudu) od roku 2018 a jeho rozsáhlé důsledky pro globální ochranu údajů, suverenitu dat a mezinárodní spolupráci. Úřady Cloud ACT povolují zveřejňování údajů od amerických komunikačních a cloudových poskytovatelů služeb, kteří jsou v držení, péči nebo kontrole, bez ohledu na fyzické umístění údajů, které zahrnují mimo USA. Tento extrateritoriální rozsah se zásadně srazí s režimy ochrany údajů, jako je obecná nařízení o ochraně údajů (GDPR) Evropské unie, zejména s pravidly pro mezinárodní převody údajů (čl. 48 GDPR).

Analýza ukazuje, že cloudový zákon vytváří značnou právní nejistotu pro celosvětově provozní společnosti, které čelí protichůdným právním požadavkům. Podkopává důvěru v americké poskytovatele technologií a zavádí mechanismy pro přenos dat, což byl problém, který byl zpřísněn rozsudkem Schremase II Evropského soudního soudu. Kromě Evropy zákon nese rizika státního dohledu, ekonomické špionáže a konfliktu s místními právními systémy po celém světě.

Globální závislost na velkých poskytovatech cloudu v USA (AWS, Microsoft Azure, Google Cloud) je obrovská, zejména v Severní Americe a Evropě. Současně země jako Čína a Rusko vyvíjejí uzavřené digitální ekosystémy se silnými místními poskytovateli a přísnou regulací, což snižuje jejich závislost. Ostatní národy a regiony, včetně EU s iniciativami, jako jsou GAIA-X a zákon o datech, sledují různé strategie snižování rizik, které sahají od zákonů o lokalizaci dat po podporu místních alternativ k vyjednávání o bilaterálních dohodách s USA.

Navzdory legitimní potřebě urychlit vymáhání práva - hlavní obavy zákona o cloudu s ohledem na tradiční postup pro pomalost - zákon z pohledu mnoha kritiků řeší vyrovnávací akt mezi účinným bojem proti trestné činnosti a ochranou základních práv a národní suverenity. Zpráva zakončuje doporučeními pro akce pro společnosti a politické rozhodnutí -tvůrci pro navigaci v této složité krajině.

Vhodné pro:

• V závislosti na americkém cloudu? Německý boj o cloud: Jak soutěžit s AWS (Amazon) a Azure (Microsoft)

Zákon o cloudu USA a jeho účinky na evropské údaje svrchovanost

Postupující digitalizace a související posun zpracování a skladování dat na cloudové infrastruktury globálních poskytovatelů se zásadně změnily, jak společnosti a veřejné správy jednají. Služby Great amerických hyperscaler-Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform (GCP) se staly nedílnou součástí digitální infrastruktury mnoha zemí. Tento vývoj obsahuje obrovský potenciál efektivity a inovace, ale zároveň vytváří nové a složité výzvy pro ochranu údajů, zabezpečení dat a udržování národní suverenity.

Významné zpřísnění tohoto problému bylo provedeno přijetím amerického objasňujícího zákonného zákona o zámořském použití údajů (cloudu) v březnu 2018. Tento federální zákon USA přiznává americké orgány pro vymáhání práva a vyšetřovací orgány za přístup k rozsáhlým pravomocí, které jsou uloženy a spravovány americkými společnostmi nebo společnostmi podle amerického soudního řízení. Hlavní problém spočívá v explicitním extrateritoriálním dosahu zákona: USA úřady mohou požádat o zveřejnění údajů, i když jsou na serverech mimo USA.

Toto právní předpisy vede k přímým a základním konfliktům s zavedenými režimy ochrany údajů jiných zemí, zejména obecné nařízení o ochraně údajů (GDPR) Evropské unie. Možnost přístupu amerických úřadů s obchvatem mezinárodních postupů právní pomoci a potenciálně bez dodržování přísných evropských standardů ochrany údajů vyvolává významné obavy ohledně státního dohledu, ekonomické špionáže a vyloučení digitální svrchovanosti. Cloudový zákon je proto široce považován za problematický a jako riziko pro společnosti a občany nejen v Evropě, ale na celém světě.

Tento článek sleduje cíl poskytnout komplexní a dobře založený analýza amerického cloudového zákona a jeho globální účinky. Analyzuje základní mechanismy zákona a jeho extrateritoriální dimenzi. Zvláštní důraz je kladen na podrobné zkoumání potenciálu pro konflikt s EU GDPR a výsledné důsledky pro evropskou svrchovanost údajů, také s ohledem na judikaturní právo Evropského soudního dvora (ECJ), zejména rozsudek Schrems II. Kromě toho jsou zkoumána rizika a potenciální negativní důsledky pro země mimo Evropu. Zpráva mapuje globální prostředí závislosti na amerických poskytovatelích cloudu, identifikuje regiony s vysokou a nízkou závislostí a porovnává strategie, které sledují různé země, aby řídily výzvy způsobené zákonem o cloudu.

Struktura článku sleduje tento cíl: Po tomto úvodu jsou ve druhé kapitole podrobně vysvětleny hlavní ustanovení a extrateritoriální dosah cloudového zákona. Třetí kapitola je věnována konfliktní zóně mezi cloudovým zákonem, GDPR a evropskou datovou suverenitou. Kapitola čtvrtá zkoumá globální rizika a důsledky mimo Evropu. Pátá kapitola mapuje globální závislost na amerických poskytovatelích cloudu, zatímco šestá kapitola porovnává národní strategie a reakce s cloudovým zákonem. Syntéza výsledků a závěr tvoří sedmou kapitolu, po které následuje doporučení k akci v osmé kapitole.

Zákon o cloudu USA: Jádro stanovení a dosah extrateritoriálního dosahu

Objasňující zákonné zákon o zámořském použití dat (cloudu) představuje významnou legislativu v oblasti přeshraničního přístupu k údajům americkými úřady. Aby bylo možné plně porozumět jeho účinkům, je nezbytné přesné zvážení jeho právních nadací, jeho fungování a zejména jeho extrateritoriálních nároků.

Právní nadace a funkčnost

Zákon o cloudu byl vydán dne 23. března 2018 v rámci komplexního rozpočtového zákona (konsolidovaný zákon o prostředcích, 2018, veřejné právo 115-141, divize V) a okamžitě vstoupil v platnost. Nepředstavuje zcela nový právní základ, ale mění především stávající zákony, zejména zákon o uložené komunikaci (SCA) z roku 1986, který je součástí zákona o ochraně osobních údajů elektronických komunikací (ECPA). SCA reguluje podmínky, za kterých mají americké úřady přístupné uložené elektronické komunikační údaje, které jsou drženy poskytovateli služeb.

Jádro zákona o cloudu kodifikuje v 18 USC § 2713 a § 2523, zavázává poskytovatele „elektronických komunikačních služeb“ (EC) a „vzdálených výpočetních služeb“ (RCS), které podléhají jurisdikci Spojených států, aby dodržovaly příkazy k zálohování nebo zveřejňovaly elektronickou komunikaci a z metadata nebo jiných informací nebo předplatitelů. Tato povinnost se vztahuje na údaje, které jsou v „držení, vazbě nebo pod kontrolou“ („držení, vazba nebo kontrola“) poskytovatele. Americká jurisdikce může také zaznamenávat poskytovatele, kteří nemají sídlo v USA, ale například prostřednictvím obchodních vztahů má pobočka v USA nebo smlouvy s americkými zákazníky dostatečné spojení se Spojenými státy.

Zásadní objasnění, které cloudový zákon přináší, je to, že tato povinnost je předat do údajů bez ohledu na to, zda jsou dotyčná data uložena uvnitř nebo vně Spojených států („bez ohledu na to, zda je taková komunikace, záznam nebo jiné informace umístěna ve Spojených státech“).

Spouštění této legislativy byl rozhodující pro právní spor Spojené státy v. Microsoft Corp. (často označovaný jako „případ Microsoft Ireland“). V tomto případě Microsoft odmítl předat e -maily zákazníkovi FBI, který byl uložen na serveru v Irsku z důvodu, že americké války neměly extrateritoriální účinek a že SCA se nevztahuje na data mimo USA. Případ se dostal k Nejvyššímu soudu, ale již se nestalo („moot“) přijetím cloudového zákona, protože rozhodl o právní otázce ve smyslu vlády.

Je důležité zdůraznit, že podle americké vlády a podpůrných organizací není cloudový zákon licenci pro hromadný dohled nebo libovolný přístup k údajům. Přístupové ujednání (obvykle zaručují založené na „pravděpodobných příčinách“ nebo předvolání) musí nadále splňovat právní stát amerického práva, být konkrétní a podléhají soudní kontrole. Jsou omezeny na údaje, které by mohly být relevantní v souvislosti s konkrétním vyšetřováním trestního řízení („závažný zločin, včetně terorismu“). Cloud zákon výslovně nevytváří žádnou povinnost pro poskytovatele dešifrovat data, pokud je mají pouze v šifrované formě a nekontrolují klíče.

Vyžádání extrateritoriální žádosti a jurisdikce

Ústřední a nejkontroverznější inovace zákona o cloudu je zákonné ukotvení extrateritoriálního dosahu přístupových opatření USA. Zákon objasňuje, že existuje povinnost odevzdat údaje pro poskytovatele podle americké jurisdikce bez ohledu na fyzické umístění údajů.

Tato pozice je založena na zavedeném právním principu, že stát, který je podřízen své jurisdikci, může zavázat informace o vzdání se informací, které jsou pod jeho kontrolou, i když jsou tyto informace uloženy v zahraničí. Cloud akt konkrétně kóduje tento princip pro data elektronické komunikace v souvislosti s SCA.

Právě tento jednostranný nárok na mimoteritoriální přístup je hlavním zdrojem mezinárodních obav a právních konfliktů, zejména ve vztahu k Evropské unii a jejím obecným nařízením o ochraně údajů (GDPR). Vnímá se jako zásah do svrchovanosti jiných zemí a jako potenciální obcházení zavedených mezinárodních postupů právní pomoci.

Výkonné dohody jako alternativa k dohodám o právní pomoci

Kromě objasnění extrateritoriálního dosahu amerických ujednání zavádí zákon o cloudu druhý důležitý mechanismus: povoluje americký výkonný výkonný (prezident nebo vláda), dvoustranné dohody, tzv. „Výkonné dohody“ s „kvalifikovanými“ zahraničními vládami.

Vyhlášeným cílem této dohody je urychlit a umožnit přístup k trestnímu stíhání za závažné trestné činy („závažný zločin, včetně terorismu“). Měli by nabídnout alternativu nebo doplnění tradičních dohod o právní pomoci (vzájemné právní asistenční smlouvy, MLAT), jejichž postupy jsou často kritizovány jako příliš pomalé a byrokratické, aby udržely krok s rychlostí digitálního zločinu.

Hlavním mechanismem těchto výkonných dohodnutí je eliminovat právní překážky („Konflikty právních předpisů“ nebo „právní omezení“), které by mohly zabránit poskytovatelům dodržovat legitimní uspořádání partnerské země. Konkrétně taková dohoda by například umožnila americkému poskytovateli splnit příkaz ze Spojeného království přímo, aniž by porušil americké právo (např. Omezení SCA pro zveřejňování) a naopak. Úřady každé země by tedy mohly použít své vlastní národní postupy k požádání o údaje od poskytovatele v druhé zemi.

Spojené státy však mohou tyto dohody uzavřít pouze se státy, které jsou považovány za „kvalifikované“. Předpokladem je certifikace generálního prokurátora amerického (ministra spravedlnosti) a ministra zahraničí (ministryně zahraničí) ve srovnání s Kongresem, že dotyčná partnerská země má robustní materiální a procedurální ochranné mechanismy pro soukromí a svobodu buržoatu. Partnerská země musí respektovat právní stát, nediskriminaci a ochranu údajů.

Dosud Spojené státy dokončily takové výkonné dohody se Spojeným královstvím (podepsané v roce 2019, platné od října 2022) a Austrálie (podepsáno prosinec 2021). Jednání s Evropskou unií byla vyhlášena v roce 2019 a probíhají, ale jsou obtížná kvůli složité právní situaci (GDPR, Schrems II) a účasti 27 členských států.

Důležitá opatření na ochranu těchto dohod jsou uvedena v samotném cloudovém zákoně: příkazy, které jsou na základě takové dohody, nesmí zacílit na americké lidi (občané nebo lidé s neustálým pobytem) nebo na lidi, kteří jsou ve Spojených státech. Musíte být konkrétní (např. Zacílení na konkrétní osobu, účet) a podléhá nezávislému přezkumu nebo dohledu (např. Jídlo).

Možnosti oznámení pro poskytovatele

Cloudový zákon výslovně stanoví mechanismus, s nímž mohou poskytovatelé za určitých podmínek (tzv. „Návrh na zrušení nebo úpravu“) může za určitých podmínek napadnout. Toto právo existuje, pokud poskytovatel „věří přiměřeně“ („přiměřeně věří“), že jsou splněny dvě kumulativní podmínky:

• Postižený zákazník nebo předplatitel není americká osoba a ve Spojených státech nemá bydliště.
• Požadované zveřejnění by vytvořilo „materiální riziko“, že poskytovatel porušuje zákony „kvalifikované zahraniční vlády“. „Kvalifikovaná zahraniční vláda“ je taková, s níž Spojené státy dokončily výkonnou agreement v rámci zákona o cloudu.

Pokud poskytovatel předloží takovou soutěž, může odpovědný americký soud změnit nebo zrušit příkaz. K tomu však dochází pouze tehdy, pokud soud rozhodne, že a) zveřejnění by skutečně porušilo zákon kvalifikovaného zahraničního státu (b) udělení napadení „zájmů soudnictví“ („zájmy spravedlnosti“) slouží a (c) zájmy soudnictví vyžadují, což vyžaduje, aby se zohlednilo „celkové okolnosti“ („celkové okolnosti“).

Pro posouzení toho, co vyžadují „zájmy soudnictví“, zákon uvádí konkrétní faktory, které musí soud zvážit („komunitní analýza“). To zahrnuje mimo jiné zájmy Spojených států a zahraniční vlády, pravděpodobnost a typ trestu, který by ohrožoval poskytovatele v zahraničí, spojení dotyčné osoby a poskytovateli v USA a zahraničí, význam informací pro určení a dostupnost alternativních způsobů zadávání zakázek.

Toto právní nařízení však vyvolává otázky o jejich praktické účinnosti. Výslovný důvod pro soutěž o právní konflikty s kvalifikovanými zahraničními vládami (tj. Ti s výkonnou dohodou) by mohlo oslabit postavení poskytovatelů, kteří se chtějí spoléhat na zákony zemí bez takové dohody, jako je například EU GDPR v současném státě, bez dohody EU-USA. Zbývá se použít k spolehlivému spoléhání se na obecné zásady mezinárodní zdvořilosti a vyvážení zájmů („doručení obecného práva“), ale konkrétní právní mechanismus je blíž. To by mohlo přimět americké soudy k měření konfliktů s zákony o nearigagementu stavy menší váhy nebo považovat proces soutěže za méně jasně definovaný.

Kromě toho je praktický význam možnosti napadení obecně omezený. Důkazní břemeno spočívá v poskytovateli, což musí prokázat, že „věří přiměřeně“, že podmínky jsou splněny. I když je prokázán právní konflikt, soud může příkaz zrušit, ale nemusí. Rozhodnutí je založeno na vážení neurčitých právních termínů, jako jsou „zájmy soudnictví“ a „celé okolnosti“, které dávají soudu širokou škálu uvážení. Existuje riziko, že zájmy USA, zejména v oblasti vymáhání práva nebo bezpečnostních otázek, jsou systematicky váženy vyšší než zájmy na ochranu zahraničních údajů, zejména pokud neexistuje dvoustranná dohoda, která tyto zájmy formálně uznává. Evropský výbor pro ochranu údajů (EDSA) se proto zaměřuje na tento mechanismus skeptický a zdůrazňuje, že je to pouze způsob, jak napadnout, nenabízí žádnou povinnost, a proto není dostatečný bezpečnost pro práva občanů EU.

Vhodné pro:

• Digitální závislost na USA: dominance cloudu, zkreslené obchodní rozvahy a účinky uzamčení

Konfliktní zóna: Cloud Act vs. EU GDPR a datová svrchovanost

Extrateritoriální dosah zákona o cloudu USA a související přístupové pravomoci pro americké úřady vedou ke značnému napětí a přímým právním konfliktům s režimem ochrany údajů Evropské unie, zejména obecné nařízení o ochraně údajů (GDPR). Tyto konflikty se týkají základních principů zákona o ochraně údajů EU a vyvolávají základní otázky týkající se svrchovanosti dat.

Přímá kolize s GDPR (čl. 6, čl. 48)

Základní konflikt vyplývá ze skutečnosti, že úřady Cloud ACT umožňují přenos údajů, které zahrnují osobní údaje z občanů EU--z EU do USA, aniž by bylo nutně založeno na jednom z právních základu pro zpracování údajů nebo mezinárodní přenosu údajů poskytnutých v GDPR.

Konflikt s článkem 48 GDPR je zvláště důležitý („přenos nebo zveřejnění, které nejsou podle zákona o odboru povoleny“). Tento článek stanoví, že rozhodnutí soudů nebo správních orgánů třetí země, která zavázala odpovědného nebo objednávky procesoru přenášet nebo zveřejňovat osobní údaje, jsou uznána nebo vymahatelná, pouze pokud jsou založena na mezinárodním právu - jako je právní pomoc (MLAT) - což je v platnosti mezi třetí zemí (zde USA) a Síně nebo členským státem. Uspořádání založené pouze na zákoně o cloudu, aniž by bylo legitimizováno takovou mezinárodní dohodou, tento stav nesplňuje. Z pohledu GDPR to není platný právní základ pro převod.

Kromě toho neexistuje žádný takový přenos na platný právní základ v souladu s článkem 6 GDPR, který definuje podmínky pro zákonnost zpracování (včetně přenosu) osobních údajů. Evropský výbor pro ochranu údajů (EDSA) a Evropský úředník pro ochranu údajů (EDSB) ve svém společném hodnocení objasnili, že obvyklé právní základny zde nepoužijí:

• Umění. 6 odst. 1 písm. C) GDPR (splnění právní povinnosti): Tento právní základ není použitelný, protože „právní závazek“ pochází z cloudového zákona, tj. Z zákona třetího státu, a nikoli ze zákona nebo práva členského státu, jak vyžaduje čl. 6 (3) GDPR. Existovala by výjimkou, pouze pokud by americké uspořádání bylo v právu EU zakotveno MLAT.
• Umění. 6 odst. 1 písm. E) GDPR (vnímání úkolu ve veřejném zájmu): Tento právní základ rovněž vylučuje, protože úkol (zde dodržování amerického ujednání) není stanoven v odborovém právu ani v právu členského státu.
• Umění. 6 odst. 1 písm. F) GDPR (udržování legitimních zájmů): Poskytovatel by mohl mít legitimní zájem o dodržování cloudového zákona, aby se zabránilo sankcím podle amerického práva. Podle EDSA/EDSB je však tento zájem pravidelně předpovídán zájmy nebo základními právy a základními svobodami subjektů údajů (ochrana jejich údajů). Úřady tvrdí, že postižení by mohly být jinak okradeny o jejich ochranu podle EU základních práv Charta (zejména právo na účinné právní opravné prostředky, čl. 47).
• Umění. 6 odst. 1 písm. D) GDPR (ochrana životně důležitých zájmů): Tento právní základ by mohl být teoreticky použitelný ve velmi úzce omezených výjimečných případech, například pokud jsou údaje vyžadovány k odvrácení okamžitého nebezpečí pro tělo a život člověka. V souvislosti s opatřeními v oblasti vymáhání práva však nenabízí základ pro rutinní výdaje.

Tato kolize právních norem vytváří nerozlučný konflikt pro poskytovatele, kteří podléhají jak americké jurisdikci (a tím i zákon o cloudu), tak právní předpisy EU (GDPR). Sledujte uspořádání Cloud Act bez základny MLAT, porušujte GDPR a rizikové vysoké pokuty (až 4% globálního ročního prodeje) a soudního řízení občanského práva. Pokud odmítnete zveřejnit, s citováním GDPR, rizikové sankce podle amerického práva.

Hodnocení pomocí EDSA/EDSB a právní nejistoty

Evropské orgány pro ochranu údajů, koordinované v EDSA a EDSB, zaznamenaly v této konfliktní situaci jasné stanovisko. Ve svém společném právním posouzení v červenci 2019 dospěli k závěru, že Cloud působí jako takový podle GDPR pro přenos osobních údajů do USA dostatečným právním základem.

Zdůrazňují, že poskytovatelé, kteří podléhají právu EU, nesmí americkým úřadům předávat osobní údaje pouze na základě přímého ujednání podle zákona o cloudu. Takový přenos je povolen pouze v případě, že je založen na uznávané mezinárodní dohodě, obvykle založené na MLAT EU-USA nebo na dvoustranném MLAT mezi členským státem a USA. Proces MLAT zaručuje nezbytné právní stát a integraci soudních orgánů požadovaného státu.

Možnost pro poskytovatele zamýšlené v cloudovém zákoně napadl dohodu („pohyb na zrušení“) je hodnocen společností EDSA a EDSB jako nedostatečný ochranný mechanismus. Poukazují na to, že se jedná pouze o možnost pro poskytovatele, nikoli povinnost, a že výsledek takového postupu před americkým soudem není jistý a nezaručuje ochranu občanů EU podle standardů EU.

Tento jasný postoj příslušných evropských orgánů pro ochranu údajů zpřísňuje právní nejistotu pro společnosti, které nám používají nebo nabízejí cloudové služby. Musíte si být vědomi skutečnosti, že využití takových služeb není potenciálně nevyhovující, pokud poskytovatel nemůže zaručit, že nezveřejňuje údaje na základě dohody o cloudu a zároveň porušuje GDPR.

Důsledky zákonů o monitorování Schrems II a USA

Problém zákona o cloudu je třeba pozorovat v souvislosti s širší debatou o přenosu údajů do USA a zákonů o dohledu, který dosáhl nové dimenze od rozsudku ECJ ze společnosti Schrems II ze dne 16. července 2020.

V tomto rozsudku ECJ prohlásil dohodu o ochraně soukromí EU-USA neplatnou. Hlavním důvodem to byly dalekosáhlé pravomoci amerických zpravodajských služeb (zejména podle oddílu 702 zahraničního zpravodajského dohledu nad zákonem-fisa-fisa a výkonným příkazem 12333) k přístupu k osobním údajům od občanů EU, které jsou přenášeny do USA. ECJ zjistil, že tyto možnosti přístupu nesplňují požadavky základních práv EU v potřebě a proporcionalitě a že občané EU nejsou k dispozici pro účinnou právní ochranu proti takovému přístupu v USA.

Ačkoli Cloud Act je formálně nástrojem vymáhání práva a nikoli zpravodajským dohledem, zvyšuje obavy, které vznesl Schrems II. Zřizuje další právní mechanismus pro extrateritoriální přístup k údajům americkými úřady. Z evropského hlediska také tento mechanismus (pokud není založen na MLAT nebo budoucnosti, jako přiměřenou dohodu) také chybí nezbytné právní stát v právu EU (čl. 48 GDPR). Kombinace přístupových práv z dozorových zákonů (FISA 702, EO 12333) a Cloud Act (donucovací orgány) vytváří celkový obraz dalekosáhlých možností přístupu ke státním přístupu k údajům, které jsou celosvětově uloženy poskytovateli USA.

To má přímý dopad na použití jiných přenosových mechanismů, jako jsou standardní ustanovení o smlouvě (standardní smluvní klauzule, SCC). Rozsudek Schrems II zavazuje vývozce údajů, aby při používání SCC pro převody do třetích zemí, jako jsou USA, v jednotlivých případech používají převody, ať už v jednotlivých případech zajišťuje úroveň ochrany, která je v EU „v podstatě stejná“. Pokud tomu tak není, musí být přijata další opatření (doplňková opatření), aby se uzavřely jakékoli mezery v ochraně. Existence zákonů, jako je FISA oddíl 702 a Cloud Act, ztěžují společnostem prokázat, že americké právo nabízí takovou ekvivalentní úroveň ochrany. Díky tomu je pravicové využití cloudových služeb USA výrazně obtížnější pro zpracování osobních údajů z EU. Cloudový akt vypadá jako zesilovač problému SchreMs II, protože rozšiřuje spektrum zákonných možností přístupu v USA a dále podkopává argument pro „významnou ekvivalenci“ úrovně ochrany.

Hoast evropských údajů a ztráty důvěry

Kromě čistě právních konfliktů je cloudový akt široce vnímán jako hrozba pro digitální suverenitu Evropy. Data svrchovanost popisuje právo a schopnost států, organizací nebo jednotlivců ovládat jejich data, zejména tam, kde lze uložit, jak může zpracovat a kdo k němu má přístup. Zákon o cloudu podkopává tento princip tím, že umožňuje cizí moci (Spojené státy) potenciálně přístup k údajům, které jsou uloženy na evropském území nebo pocházejí od evropských občanů a společností, za předpokladu, že tato údaje jsou spravovány poskytovatelem pod americkým legálním.

Možnost takového přístupu, který může být bez dodržování evropských postupů (jako jsou MLAT) a bez znalostí nebo oznámení o datech nebo společnostech, které mohou být poskytnuty nebo oznámení, vede k významné ztrátě důvěry v americké poskytovatele technologií. Tato nedůvěra nejen ovlivňuje ochranu osobních údajů ve smyslu GDPR, ale také se rozšiřuje na bezpečnost citlivých údajů společnosti, jako jsou obchodní tajemství, údaje o výzkumu a vývoji, finanční informace a duševní vlastnictví. Obava obchodní špionáže nebo nežádoucí odvodnění konkurenčních informací prostřednictvím přístupu vlády je nezbytným faktorem, který způsobuje, že společnosti hledají alternativy k americkým poskytovatelům nebo přijímají další ochranná opatření.

Odpovědi EU: Data Act a GAIA-X (stav a výzvy)

V reakci na výzvy digitalizace a dominanci poskytovatelů neevropských technologií zahájila Evropská unie různé iniciativy na posílení digitální suverenity a definování vlastního evropského způsobu při řešení údajů. Dva centrální stavební bloky jsou zákon o datech a iniciativa GAIA-X.

Zákon o datech EU, který byl zveřejněn v oficiálním časopise v prosinci 2023 a bude použitelný od 12. září 2025, si klade za cíl zvýšit spravedlnost v datovém průmyslu a zlepšit přístup a využívání údajů, zejména průmyslových údajů. Účelem je podporovat inovace a zvýšit dostupnost dat. Konkrétně zákon o datech uživatelů síťových produktů (např. Zařízení IoT, inteligentní stroje) poskytuje větší kontrolu nad údaji generovanými těmito zařízeními a usnadňuje změnu mezi různými poskytovateli cloudu, například snížením překážek pro změnu poskytovatelů a zakazováním nevhodných smluvních klauzulí. Ustanovení, že ochranná opatření proti nelegálním požadavkům na přenos údajů úřadů země třetích zemí by měla také poskytovat relevantní v souvislosti s cloudovým zákonem, a tím posílit konferenci o datové konferenci EU.

Iniciativa GAIA-X, která byla zahájena v roce 2019, usiluje o ambiciózní cíl vytvoření fédové, bezpečné a suverénní evropské datové infrastruktury. Účelem společnosti GAIA-X je vytvořit ekosystém, ve kterém jsou údaje podle evropských hodnot a průhlednosti standardů, otevřenosti, zabezpečení, interoperability a datová svrchovanost sdílena a zpracovávána. Říká se, že nabízí alternativu k dominantním hyperscalerům a snižuje závislost na neevropských poskytovatelích.

Gaia-X je však stále v rané fázi implementace („fáze rampu“) a čelí významným výzvám. V partnerských zemích, jako je Japonsko, existují první pilotní projekty a případy aplikací, jako je Catena-X pro automobilový průmysl nebo testovací postele, ale stále existuje široká škála pronikání na trhu. Překážky zahrnují technickou složitost federovaného přístupu, zajištění skutečné interoperability mezi různými poskytovateli, otázky řízení v rámci Asociace GAIA-X (sponzorující organizace) a pomalé adopce, zejména ve vysoce regulovaných odvětvích, jako je zdravotnictví. Rovněž existovala kritika, že původní vize čistě evropského cloudu byla oslabena integrací velkých amerických hyperscales ve sdružení Gaia-X a že projekt trpěl nadměrnou byrokracií. V současné době je nepravděpodobné, že GAIA-X může vybudovat přímou konkurenci s AWS, Azure a GCP. Jeho význam by mohl být více kvůli rámci pro standardy a důvěru pro konkrétní evropské datové místnosti (datové prostory).

Tyto evropské iniciativy však také odhalují strategickou nekonzistenci. Na jedné straně se Gaia-X a zákon o datech pokoušejí snížit závislost na amerických poskytovatelích a posílit kontrolu nad údaji v Evropě. Na druhé straně Evropská komise vyjednává paralelně se Spojenými státy o výkonném souhlasu v rámci zákona o cloudu. Taková dohoda by, pokud by k ní došlo, legalizovala přímý přístup k údajům americkými orgány za určitých podmínek a potenciálně zjednodušil-i.e. Přesně mechanismus, který původně vyvolával obavy o suverenitu. To odráží dilema EU o úsilí o digitální autonomii současně a na efektivním základě trestního stíhání pragmatické spolupráce s USA v trestním stíhání, aniž by odhalila své vlastní zásady ochrany údajů (zejména požadavky od úsudku a čl. 48 GDPR). Rozpuštění tohoto napětí je ústřední výzvou pro budoucí transatlantickou datovou politiku.

Ki-Gamechanger: Nejflexibilnější řešení platformy AI na platformě AI, která snižují náklady, zlepšují jejich rozhodnutí a zvyšují efektivitu

Nezávislá platforma AI: Integruje všechny relevantní zdroje dat společnosti

• Tato platforma AI interaguje se všemi specifickými zdroji dat
  • Z SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox a mnoho dalších systémů správy dat
• Rychlá integrace AI: Řešení AI na míru na míru na míru nebo dny místo měsíců
• Flexibilní infrastruktura: cloudové nebo hostování ve vašem vlastním datovém centru (Německo, Evropa, svobodný výběr umístění)

• Nejvyšší zabezpečení dat: Používání v právnických firmách je bezpečný důkaz
• Používejte napříč širokou škálou zdrojů firemních dat
• Výběr vašich vlastních nebo různých modelů AI (DE, EU, USA, CN)

Výzvy, které naše platforma AI řeší

• Nedostatek přesnosti konvenčních řešení AI
• Ochrana dat a zabezpečení správy citlivých dat
• Vysoké náklady a složitost individuálního vývoje AI
• Nedostatek kvalifikované AI
• Integrace AI do stávajících IT systémů

Více o tom zde:

• AI integrace nezávislé platformy AI pro všechny společnosti pro všechny společnosti pro všechny společnosti

Globální rizika a důsledky mimo Evropu

Problémy vznesené zákonem o cloudu se neomezují pouze na vztah mezi USA a Evropou. Zákon má potenciálně dalekosáhlý účinky na země a regiony po celém světě, zejména s ohledem na monitorování státu, ekonomické špionáže, konflikty s místními zákony a obecnou důvěru v globální digitální infrastrukturu.

Státní dohled a buržoazní svobody

Cloudový zákon od začátku přilákal kritiku organizací pro občanská práva, jako je elektronická Frontier Foundation (EFF) a Americká unie občanských svobod (ACLU). Jedním z hlavních bodů kritiky je, že zákon potenciálně podkopává ochranné mechanismy proti nevhodným státním vyhledáváním a záchvatům (zakotvené ve 4. dalším článku americké ústavy pro občany USA). Zejména možnost vytvoření dvoustranných předpisů prostřednictvím výkonných dohod, které umožňují přímý přístup k údajům zahraničních orgánů k údajům v USA a možná se zabývat obvyklou soudní kontrolou amerických jídel, je považována za problematickou. Kromě toho nemusí být nutně informováni o přístupu podle zákona o cloudu, který omezuje možnosti pro vnímání zákonných nápravných opatření.

Pro lidi mimo USA je ochrana před americkou ústavou stejně nižší. Zákon o cloudu usnadňuje americkým úřadům přístup k jejich údajům uloženým v amerických poskytovatelích bez ohledu na místo. To vyvolává obavy po celém světě ohledně rozšíření státního dohledu Spojenými státy. Existují obavy, že mechanismus zákona o cloudu, zejména výkonného souhlasí, by mohl sloužit jako model pro jiné státy, dokonce i pro ty, kteří mají nižší právní stát a méně výraznou ochranu buržoazních svobod. Paralelně s čínským národním zpravodajským zákonem, který čínské úřady také udělovaly daleko -narušila přístupová práva k údajům od společností, již byla vypracována. To by mohlo podpořit globální trendy směrem ke zvýšenému dohledu nad státním dohledem a kontrolou digitální komunikace.

Hospodářská špionáž a ochrana duševního vlastnictví

Přístupové síly podle zákona o cloudu nejsou omezeny na komunikační obsah nebo metadata od soukromých osob. Můžete také zaznamenávat vysoce citlivá data společnosti uložená poskytovateli cloudu USA. To zahrnuje obchodní tajemství, finanční data, databáze zákazníků, prototypy, údaje o výzkumu a vývoji, jakož i jiné duševní vlastnictví (duševní vlastnictví, IP).

I když vysvětleným účelem zákona o cloudu je bojovat proti závažnému trestnému činu, existuje obavy, že dalekosáhlé možnosti přístupu by mohly být zneužívány, například pro účely obchodní špionáže ve prospěch amerických společností nebo získání strategických ekonomických výhod. Pouhá možnost takového přístupu moci zahraniční vlády podkopává důvěru společností po celém světě do bezpečnosti a důvěrnosti svých kritických údajů, pokud leží s americkými poskytovateli. Toto riziko je významnou nevýhodou při využívání amerických cloudových služeb pro mnoho společností, zejména v technologicky náročných nebo kritických odvětvích.

Konflikty s místními právními systémy

Podobně jako v případě EU GDPR se může extrateritoriální nárok na cloudový zákon také setkat se zákony o ochraně údajů, povinnostmi důvěrnosti nebo jinými právními ustanoveními mnoha jiných zemí. Globální poskytovatelé cloudu, zejména ti, kteří mají sídlo nebo silnou přítomnost v USA, jsou proto potenciálně vystaveni síti protichůdných zákonných závazků.

Příklady zemí s vlastními režimy ochrany údajů, které jsou potenciálně v konfliktu s cloudovým zákonem, jsou četné:

• Švýcarsko: Revidovaný federální zákon o ochraně údajů (REVFADP) je silně založen na GDPR a také obsahuje pravidla pro mezinárodní převody dat, která vyžadují odpovídající ochranu v cílové zemi.
• Brazílie: Lei Geral de Proteção de Dados Pessoais (LGPD) má také extrateritoriální účinky a podrobuje zpracování údajů brazilským občanům přísným pravidlem, včetně pro mezinárodní převody.
• Indie: Zákon o ochraně digitálních osobních údajů (zákon DPDP, často stále označovaný jako PDPB) také obsahuje ustanovení o převodech dat a může poskytovat požadavky na lokalizaci pro určitá „kritická“ údaje.
• Čína: Zákon o kybernetické bezpečnosti (CSL) a zákon o ochraně osobních údajů (PIPPL) viz přísná pravidla pro zabezpečení dat a převody křížových přenosů a zahrnují požadavky na lokalizaci dat.
• Rusko: Zákon o federaci č. 152 „O osobních údajích“ předepisuje ukládání osobních údajů od ruských občanů na serverech v Rusku (lokalizace dat).

Tyto příklady objasňují, že cloudový zákon není jen dvoustranným problémem mezi USA a EU, ale je také globální výzvou pro soudržnost mezinárodních právních systémů v digitálním prostoru.

Účinky na mezinárodní převody dat a důvěra v americké poskytovatele technologií

Existence zákona o cloudu a související nejistoty a právní konflikty mají významný dopad na mezinárodní mechanismy přenosu dat a obecnou důvěru v americké poskytovatele technologií.

Zákon přispívá k erozi důvěry v zavedené nástroje pro transatlantický datový provoz, jako je bývalý Shield pro ochranu osobních údajů EU-USA nebo v současné době silně používané standardní ustanovení o smlouvě (SCC). Jak je vysvětleno v kontextu Schrems II, cloudový akt komplikuje, že ve Spojených státech existuje zákon EU „v podstatě ekvivalentní“ ochranou pro osobní údaje.

To nutí společnosti po celém světě, aby přehodnotily rizika při používání cloudových služeb USA. Musíte zkontrolovat, zda a jak můžete zajistit soulad s místními zákony o ochraně údajů, pokud máte údaje přenášené americkým poskytovatelům nebo je nechat zpracovat. To stále více vede k prozkoumání alternativních řešení, jako je použití místních nebo regionálních cloudových poskytovatelů, kteří nepodléhají americké jurisdikci, nebo k provádění dalších technických a organizačních ochranných opatření (jako je šifrování end-to-end s vlastní správou klíčů, pseudonymizace dat nebo přísná lokalizace dat pro určité typy dat).

Právní nejistota vytvořená cloudovým zákonem a podobnými zákony jiných zemí a výsledná ochranná opatření by také mohla zvýšit tendenci k „balkánizaci“ internetu. Jedná se o rostoucí fragmentaci globálního digitálního prostoru podél národních nebo regionálních hranic, které se vyznačují přísnějšími požadavky na lokalizaci dat, různými technickými standardy a obtížnými toky dat křížových přenosů. Cloud Act zde působí jako nezbytný řidič tohoto globálního trendu směrem k digitální suverenitě. Jednotranným tím, že ukotvení extrateritoriálního přístupu k datům ukotvuje, a tím potenciálně přenášejícím právní systémy jiných států vyvolávají protiopatření. Tyto se projevují ve formě zákonů o lokalizaci dat, státního financování místních cloudových ekosystémů a zpřísnění národních převodů dat. Cloudový akt tak zrychluje, možná neúmyslně, vývoj mimo otevřený, globálně propojený datový prostor po více národní nebo regionální kontrolovaná digitální území.

Vhodné pro:

• Nezávislé platformy AI jako strategická alternativa pro evropské společnosti

Mapování globální závislosti na amerických poskytovatelích cloudu

Aby bylo možné posoudit rozsah zákona o cloudu, pochopení globálních tržních podílů a výsledných závislostí na velkých amerických cloudových poskytovatelích-Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform (GCP)-je nezbytné. Dominance na trhu těchto aktérů významně určuje, kolik společností a organizací by mohly potenciálně ovlivnit cloudové činy po celém světě.

Akcie trhu amerických hyperscalers (AWS, Azure, GCP)

Četné tržní analýzy potvrzují ohromnou dominanci tří velkých amerických hyperscales na globálním trhu pro cloudové infrastrukturní služby (infrastruktura-as-a-service, IAA a platforma-jako-a-service, PAAS). Společně AWS, Microsoft Azure a GCP na konci roku 2023 a začátkem roku 2025 (v závislosti na zdroji a přesné definici trhu) kontrolovaly podíl přibližně 66% až 70% globálního prodeje v tomto segmentu.

Přibližné podíly na trhu za čtvrtý čtvrtletí 2024 lze shrnout následovně (na základě údajů z různých zdrojů se přesná čísla mohou mírně lišit, ale trend je konzistentní):

• Amazon Web Services (AWS): cca. 30-33%. AWS je stále jasným lídrem na trhu, jehož průkopnická role v cloud computingu zajišťuje pokračující náskok. V posledních letech však existuje mírná tendence ke stagnaci nebo dokonce mírným poklesem podílu na trhu, zatímco konkurence dohání.
• Microsoft Azure: cca. 21-24%. Azure se etabloval jako silné číslo dvě a má neustálý růst, často vedený integrací s jinými produkty společnosti Microsoft a silnou pozici v sektoru společnosti.
• Google Cloud Platform (GCP): cca. 11-12%. GCP je číslo tři a také vykazuje významný růst, i když z menšího základu. Google silně investuje do oblastí, jako je AI a analýza dat, aby získal tržní podíly.

Kromě těchto tří obrů existují i ​​další relevantní aktéři, jejichž tržní podíly jsou výrazně nižší. To zahrnuje cloud Alibaba, který hraje menší roli na asi 4% po celém světě, ale dominuje cloudovému trhu v Číně. Mezi další poskytovatele s globálními nebo regionálními priority patří IBM, Salesforce, Oracle, Tencent Cloud a Huawei Cloud (silné v Číně) a specializované poskytovatele.

Následující tabulka shrnuje odhadované podíly na globálním trhu předních poskytovatelů cloudové infrastruktury (IAAS / PAAS) na konci roku 2024 / začátkem roku 2025 a ilustruje dominanci amerických hyprees:

Odhadované podíly na globálním cloudovém trhu (IAAS/PAAS) Q4 2024/začátkem roku 2025

Současné údaje o globálním cloudovém trhu pro IAAS/PAAS ve čtvrtém čtvrtletí roku 2024 a na začátku roku 2025 ukazují jasnou dominanci amerických hyperscales. AWS tvrdí, že největší podíl na trhu s 30 až 33 procenty, přičemž lze pozorovat stabilní až mírně klesající trend. Microsoft Azure následuje s 21 až 24 procenty a uvádí další růst. Google Cloud Platform (GCP) zajišťuje 11 až 12 procent trhu s pozitivní vývojovou tendencí. Čínský poskytovatel Alibaba Cloud má stabilní podíl na globálním trhu kolem 4 procent. Ostatní poskytovatelé, včetně IBM, Oracle, Tencent a Huawei, sdílejí 27 až 34 procent trhu s různými trendy rozvoje. Celková pozice amerického hyperscaleru je pozoruhodná, která společně ovládají kolem 62 až 69 procent globálního cloudového trhu a zaznamenávají mírný růst.

Tato čísla podtrhují značnou globální závislost na třech hlavních poskytovatelích USA. Většina globální cloudové infrastruktury proto potenciálně podléhá jurisdikci zákona o cloudu.

Regiony/země s vysokou závislostí

Závislost na amerických poskytovatelích cloudu je geograficky odlišná, ale v mnoha důležitých ekonomických regionech velmi vysoká:

• Severní Amerika (zejména USA a Kanada): Jako domov Hyperscaler as nejvyšší pronikání do oblaku je zde závislost přirozeně největší. AWS má v USA obzvláště silnou pozici na trhu. Kanada také ukazuje vysoké investice do cloudu a AI, často prostřednictvím amerických platforem.
• Evropa: Navzdory obavám ohledně zákona o GDPR a cloudu je závislost na AWS, Azure a GCP v Evropě extrémně vysoká. Váš kombinovaný podíl na trhu na kontinentu se odhaduje na více než 70%. Je zajímavé, že v některých evropských zemích, jako je Nizozemsko (údajně 67%podíl na trhu), Polsko (49%) a také v Japonsku (49%), a to i v Japonsku (49%), se podle analýzy dokonce zdá být před AWS. Velké evropské ekonomiky, jako je Německo, Velká Británie a Francie, investují masivně do cloudových technologií a umělé inteligence, přičemž americké platformy hrají ústřední roli. Tento nesoulad mezi vysokou závislostí na trhu a politickou snahou o digitální suverenitu představuje centrální oblast napětí.
• Indie: Indický trh s cloudem ukazuje vysokou dynamiku růstu a silnou závislost na amerických poskytovatelích, jejichž struktura trhu v USA vede: AWS (přibližně 52%) před Azure (přibližně 35%) a GCP (přibližně 13%). Současně existuje silná politická vůle pro digitalizaci a stále více úsilí o lokalizaci údajů, zejména pro citlivá data, jako jsou finanční data. To by mohlo z dlouhodobého hlediska podpořit růst místních poskytovatelů.
• Latinská Amerika: Využití cloudu v zemích, jako je Brazílie, roste, ale je také silně ovládána globálními americkými hráči. AWS se aktivně rozšiřuje v regionu, například s novým regionem v Mexiku. Místní zákony o ochraně údajů, jako je brazilská LGPD a specifické požadavky na lokalizaci dat, například ve finančním sektoru, by mohly ovlivnit dynamiku trhu, ale zatím nezměnily základní závislost.
• Austrálie: Jako technologicky vysoce rozvinutá země s úzkým politickým a ekonomickým pouta se Spojenými státy má Austrálie vysoké adopci v oblasti cloudu. Existence výkonného zákona o cloudu souhlasí mezi Spojenými státy a Austrálií naznačuje přijetí amerických přístupových mechanismů a navrhuje vysokou závislost na amerických poskytovatelích.
• Jiné regiony (např. Afrika, části jihovýchodní Asie): cloudové trhy se staví pouze v mnoha rozvíjejících se a rozvíjejících se zemích. Globální poskytovatelé USA zde také často dominují kvůli jejich výhodám v měřítku a jejich technologické výhodě. Současně se v těchto regionech také zvyšuje úsilí o digitální svrchovanost a lokalizaci dat, jak ukazují příklady z Vietnamu nebo Indonésie.

Země s menší závislostí a alternativními ekosystémy (Čína, Rusko)

Na rozdíl od rozsáhlé závislosti na amerických hyperscalerech, zejména nezávislých digitálních ekosystémech, se vyvinuly, zejména v Číně a Rusku, kterým dominují místní poskytovatelé.

• Čína: Čínský cloudový trh je druhým největším na světě, ale je silně regulován a je obtížné přístup pro zahraniční poskytovatele. Dominance je jasně u domácích skupin technologií: Alibaba Cloud má tržní podíl asi 36%, následovaný cloudem Huawei s cca. 19% a Tencent Cloud s cca. 15-16% (stojan Q2/Q3 2024). Američtí poskytovatelé, jako jsou AWS nebo Azure, hrají pouze podřízenou roli na čínském pevninském trhu. Tento vývoj je financován z přísné regulace státu, zejména zákonem o kybernetické bezpečnosti (CSL) a zákonem o ochraně osobních údajů (PIPL), který mimo jiné předepisuje požadavky na lokalizaci dat a zváží tok dat křížového zaručení. Čína také sleduje svou vlastní ambiciózní strategii v oblasti umělé inteligence, která staví na kapacitách poskytovatelů domácích cloudů.
• Rusko: Podobně jako Čína, i když z jiných důvodů (zejména západní sankce a aktivní státní politika na podporu digitální suverenity), se v Rusku uskutečnilo rostoucí oddělení poskytovatelů západních technologií. Na ruském cloudovém trhu dominují místní poskytovatelé, především Yandex Cloud, ale také poskytovatelé, jako je SberCloud (nyní možná jméno, například jménem, ​​např. Cloud.ru), VK Cloud a státem kontrolovaná telekomunikační skupina Rostelecom hrají důležitou roli. Ruský zákon o ochraně údajů (zákon Föderales č. 152) stanoví přísnou lokalizaci údajů pro osobní údaje od ruských občanů, což ztěžuje používání zahraničních cloudových služeb a propaguje místní poskytovatele. Yandex Cloud výslovně inzeruje s dodržováním těchto místních zákonů, aby přilákal mezinárodní společnosti, které chtějí pracovat na ruském trhu. Státní programy jako „Digitální ekonomika Ruské federace“ a platforma „GoStoch“ také podporují používání domácích cloudových řešení úřady a společnostmi.
• Evropská unie (potenciál vs. realita): EU je ve zvláštní situaci. Na jedné straně existují jasné politické úsilí o snížení závislosti na amerických poskytovatelích a budování vlastní digitální suverenity. Iniciativy, jako jsou GAIA-X a legislativní činy, jako je zákon o datech, se zaměřují tímto směrem. Existuje také řada evropských poskytovatelů cloudů (např. Ovhcloud, Deutsche Telekom/T-Systems, IONOS). Na druhé straně je skutečná pronikání trhu amerických hyperscales v Evropě, jak je uvedeno výše, extrémně vysoká. Evropské alternativy dosud nebyly schopny dosáhnout srovnatelných tržních podílů, které jsou často přičítány měřítkům nevýhod a technologické zralosti amerických nabídek. EU tedy zůstává oblastí vysoké závislosti se silnou politickou vůlí.

Tyto příklady ukazují, že nižší závislost na amerických hyperscalerech je možná, ale jsou většinou založena na kombinaci silné státní regulace, cílené propagaci domácích průmyslových odvětví a někdy také politicky motivovaného odstavení trhu.

Xpert.Digital má hluboké znalosti z různých odvětví. To nám umožňuje vyvíjet strategie šité na míru, které jsou přesně přizpůsobeny požadavkům a výzvám vašeho konkrétního segmentu trhu. Neustálou analýzou tržních trendů a sledováním vývoje v oboru můžeme jednat s prozíravostí a nabízet inovativní řešení. Kombinací zkušeností a znalostí vytváříme přidanou hodnotu a poskytujeme našim zákazníkům rozhodující konkurenční výhodu.

Více o tom zde:

• Využijte 5x odborných znalostí Xpert.Digital v jednom balíčku – již od 500 EUR měsíčně

Národní strategie a reakce na zákon o cloudu

S ohledem na výzvy, které americký cloudový zákon o ochraně údajů, svrchovanosti a právní jistoty, státy vyvinuly různé strategie po celém světě pro řízení souvisejících rizik a ochrana jejich zájmů. Tyto strategie sahají od regulačních opatření po technologické přístupy k mezinárodním jednání.

Porovnání národních přístupů

Lze pozorovat několik základních přístupů, které jsou často kombinovány:

• Lokalizace dat: Jednou z nejpřímějších reakcí je zavedení zákonů, které stanoví, že některé typy dat - často osobní údaje nebo jako kriticky klasifikované informace - musí být fyzicky uloženy a zpracovávány fyzicky v rámci národních hranic. Prominentní příklady tohoto jsou Rusko s federálním zákonem č. 152, Čína s požadavky podle zákona o kybernetické bezpečnosti a PIPPL a částečně Indií (zejména pro údaje o platbách). Takové přístupy také sledují země, jako je Vietnam a Indonésie. Motivy jsou rozmanité: posílení národní suverenity a kontroly nad údaji, zlepšení národní bezpečnosti prostřednictvím obtížného přístupu k zahraničním mocnostem, ale také ekonomickým protekcionismem na podporu domácího IT průmyslu. Technologicky a ekonomicky je však přísná lokalizace dat často neefektivní, protože podkopává výhody celosvětově distribuovaných cloudových architektur (jako je škálovatelnost, redundance, efektivita nákladů) a vede k vyšším nákladům společnosti. Počet zemí s takovými omezeními se v posledních letech výrazně zvýšil.
• Posílení vaší vlastní regulace a mezinárodní standardy: Mnoho zemí se spoléhá na posílení vlastních právních předpisů o ochraně údajů, aby stanovilo vysoké ochranné standardy a jasně regulovalo podmínky pro mezinárodní převody údajů. EU s GDPR je zde průkopníkem. Ostatní země sledovaly nebo modernizovaly své zákony, často založené na GDPR, jako je Švýcarsko (REVFADP), Brazílie (LGPD), Velká Británie (Velká Británie GDPR) nebo Kanada (Pipeda). Cílem je často uznávat EU jako zemi s „přiměřenou úrovní ochrany údajů“, aby se usnadnil tok dat s Evropou. Současně tyto zákony slouží k ochraně práv vlastních občanů a k vytvoření právního rámce, který lze potenciálně prosazovat zákony, jako je cloudový akt v případě konfliktu.
• Propagace místních/regionálních poskytovatelů a ekosystémů: Dalším přístupem je aktivní financování průmyslové politiky domácích nebo regionálních cloudových poskytovatelů a digitálních ekosystémů s cílem vytvořit alternativy k dominantním americkým hyperscalerům a snížit technologickou závislost. Příkladem je iniciativa EU GAIA-X, i když váš úspěch byl dosud omezený. V Číně a Rusku je tento přístup v kombinaci se silnou regulací úspěšnější a vedl k trhům, kterým dominují místní poskytovatelé. Výzvou je, že místní poskytovatelé často nedosahují stejných efektů měřítka, stejný objem investic nebo stejný globální rozsah jako američtí obři.
• Použití mezinárodních dohod (výkonné dohody vs. MLATS): Státy se mohou pokusit regulovat přístup údajů v rámci vymáhání práva prostřednictvím mezinárodních dohod. Samotný cloudový zákon nabízí mechanismus výkonných dohod. Země, jako je Spojené království a Austrálie, si vybraly tuto cestu a uzavřely dvoustranné dohody se Spojenými státy, které by za určitých podmínek měly umožnit zrychlený a přímý přístup k údajům. Tyto dohody slibují zvýšení efektivity ve srovnání s často pomalými tradičními postupy právní pomoci (MLAT). Jiné země nebo regiony, jako je EU, však váhají uzavřít takovou dohodu, mimo jiné kvůli obavám z kompatibility s jejich vlastními vysokými standardy ochrany údajů (GDPR, Schrems II). Nadále se spoléhají především na zavedený proces MLAT, který stanoví silnější integraci soudních orgánů požadovaného státu, i když je považován za neefektivní. Volba mezi těmito cestami představuje vyrovnávací akt mezi účinností v oblasti vymáhání práva a ochranou základních práv a svrchovanosti.
• Technická a organizační opatření (TOMS) společností: Bez ohledu na státní strategie společnosti přijímají opatření ke snížení rizik cloudového zákona. To zahrnuje použití silných metod šifrování, v ideálním případě pod jedinou kontrolou zákazníka pomocí kryptografických klíčů (přiveďte si vlastní klíč, držte vlastní klíčovou hydrok), pečlivý výběr umístění úložiště (např. Datové centrum v rámci EU), implementaci kontroly přístupu, nebo je třeba provést údaje, nebo je třeba provést údaje, nebo je třeba provést údaje, nebo je třeba provést údaje, nebo je třeba provést údaje, nebo je třeba provést údaje, nebo je to, co je pro implementaci, nebo je provést údaje o něm. Hybridní cloudové architektury, ve kterých zůstává zvláště citlivá data ve vašem vlastním datovém centru (on-premise).

Případové studie: EU, Švýcarsko, Brazílie, Čína, Rusko

Použití těchto strategií lze ilustrovat v příkladech konkrétních zemí:

• EU: Pronásleduje přístup k vícenásobnému. Základní tvoří silnou regulaci (GDPR, Data Act). Iniciativy, jako je GAIA-X, by měly posílit suverenitu, ale musí bojovat s výzvami. Současně se jedná o jednání o cloudovém zákonu souhlasí se Spojenými státy, což ukazuje na ambivalenci mezi nárokem na suverenitu a potřebou spolupráce. Vysoká závislost na amerických poskytovatelích zůstává.
• Švýcarsko: Váš zákon o ochraně údajů (REVFADP) úzce založil na GDPR a používá podobné mechanismy pro mezinárodní převody (usnesení přiměřenosti, SCC). V reakci na Schrems II, Švýcarsko realizovalo svou vlastní dohodu s USA (Swiss-US Data Ochrana pro ochranu osobních údajů). Základní riziko cloudového zákona však zůstává, protože švýcarské společnosti, které využívají americké služby, jsou potenciálně ovlivněny.
• Brazílie: S LGPD vytvořil a vytvořil nezávislý úřad pro ochranu údajů (ANPD) komplexní zákon o ochraně údajů s extrateritoriálním efektem. Existují konkrétní pravidla pro mezinárodní převody a využívání cloudových služeb, zejména v regulovaném finančním sektoru. Přesná interpretace a vymáhání, také s ohledem na konflikty se zákony, jako je Cloud Act, je stále ve vývoji.
• Čína: Neustále se spoléhá na státní kontrolu, přísnou lokalizaci dat a na podporu izolovaného domácího trhu, kterému dominují národní šampióni. Ochrana údajů (ve smyslu PIPL) také slouží ke kontrole státu a národní bezpečnosti.
• Rusko: Provádí podobnou strategii digitální suverenity prostřednictvím přísné lokalizace dat, propagace domácích poskytovatelů a rostoucího technologického oddělení ze Západu, posílenou geopolitickými faktory.

Technická a organizační opatření společností

Pro společnosti, které používají americké cloudové služby nebo jednají po celém světě, je provádění robustních technických a organizačních opatření zásadní pro minimalizaci rizik. Patří sem:

• Posouzení transparentnosti a rizik: Proaktivní komunikace se zákazníky prostřednictvím rizik jurisdikce a provádění důkladných analýz rizik (hodnocení dopadu přenosu dat - TIAS) za účelem vyhodnocení citlivosti dat a potenciálních účinků přístupu.
• Pečlivý výběr poskytovatelů: Zkoumání alternativ k poskytovatelům USA, zejména evropských nebo místních poskytovatelů, kteří nepodléhají soudnictví USA. Hodnocení závazků dodržování předpisů a bezpečnostní architektury poskytovatelů.
• Šifrování a správa klíčů: Použití silného šifrování pro data „v klidu“ a „v tranzitu“. Zásadní je ovládání kryptografických klíčů. Pouze pokud zákazník spravuje klíče výhradně (HYOK), může účinně zabránit přístupu poskytovatele (a tedy potenciálně americkými úřady). Řešení, ve kterých poskytovatel spravuje klíče (přineste si vlastní klíč - BYOK může být zde zavádějící), nenabízejí úplnou ochranu. Je však třeba poznamenat, že data pro aktivní zpracování v cloudu musí být často dešifrovány v RAM, což představuje potenciální přístupové okno.
• Řízení přístupu a správa: Implementace přísných pokynů pro správu identity a přístupu (IAM), které omezují přístup k datům na naprosto nezbytné. Zkoumání, zda přístup personálu z určitých jurisdikcí (např. USA) lze zabránit technicky a organizačně.
• Hybridy a strategie více-cloudu: Přesun zvláště citlivých dat a pracovní vytížení do soukromého cloudu nebo infrastruktury na premise, zatímco méně kritické aplikace zůstávají ve veřejném cloudu. To umožňuje diferencované řízení rizika.
• Právní strukturování: V některých případech lze založení legálně samostatných dceřiných společností v různých jurisdikcích zvážit, aby se prolomila „kontrola“ americké mateřské společnosti prostřednictvím údajů v jiných regionech. To je však složité a vyžaduje pečlivý právní design.
• Reakce na dotazy: Vývoj jasných vnitřních procesů pro řešení úřadů. To zahrnuje zkoumání zákonnosti žádosti a ochotu napadnout příkazy, pokud jsou v rozporu s místními zákony (např. GDPR).

Je však třeba poznamenat, že technická a organizační opatření dosahují svých limitů. Dokud společnost, která je předmětem americké jurisdikce, má v konečném důsledku „držení, vazba nebo kontrola“ základní právní riziko zveřejnění podle zákona o cloudu zůstává. Dokonce i silné šifrování lze zabránit, pokud může být poskytovatel nucen publikovat klíče nebo má přístup k úrovni řízení. Čistě technické řešení nemůže plně eliminovat právní problém suverénních nároků.

Následující tabulka nabízí srovnávací přehled o různých národních strategiích:

Srovnání národních strategií ke snížení cloudových rizik

Různé země a regiony po celém světě vyvinuly různé strategické přístupy k řešení rizik amerického cloudového zákona. Strategie solokace dat, jako je praktikována v Číně, Rusku, částečně v Indii a Vietnamu, stanoví přísné ukládání údajů v Německu. Ačkoli to zvyšuje národní kontrolu a svrchovanost a podporuje místní průmysl, ale často se ukáže jako neefektivní, nákladné a inovativní a omezuje přístup k globálním službám.

EU s GDPR, Švýcarskem s FADP, Brazílií s LGPD a Velkou Británií s britským GDPR, na druhé straně se zaměřuje na posílení svých vlastních předpisů s vysokými standardy ochrany údajů, jasná pravidla pro mezinárodní převody dat a silné dozorčí orgány. Tato strategie chrání práva občanů a vytváří právní rámec pro případy konfliktů, ale nevyřeší základní konflikt jurisdikce přímo a zatěžuje společnosti s vysokým požadavkem na dodržování předpisů.

Některé regiony aktivně propagují místní poskytovatele a digitální ekosystémy, jako je EU s projektem Gaia X nebo Čínou a Ruskem s průmyslovou politikou. Tato opatření snižují závislost na zahraničních poskytovatelích a posilují technologickou suverenitu, ale často jsou spojena s omezenou konkurenceschopností vůči velkým mezinárodním poskytovatelům a ukázala se jako zdlouhavá a nákladná.

Velká Británie a Austrálie uzavřely výkonné dohody v rámci Cloud Act s USA, zatímco EU je stále v jednáních. Tyto dvoustranné dohody umožňují zrychlený přístup údajů pro orgány činné v trestním řízení a vytvářejí právní jistotu pro poskytovatele, ale mohou zvládnout národní standardy ochrany a legitimizovat nám přístup k údajům.

Mnoho zemí implicitně dodržuje tradiční proces MLAT (vzájemná legální pomoc), který nabízí zavedené postupy právní pomoci se silnějším právním státem, ale je považováno za pomalé, byrokratické a neúčinné pro digitální důkazy.

Společnosti po celém světě také provádějí technická a organizační opatření, jako je šifrování klíčů, přísné kontroly přístupu, hybridní cloudová řešení a komplexní analýzy rizik. Tato opatření mohou snížit rizika a prokázat dodržování předpisů, ale často nevyřeší základní právní problém a jsou složité a potenciálně nákladné při provádění.

Vhodné pro:

• AI integrace nezávislé platformy AI pro všechny společnosti pro všechny společnosti pro všechny společnosti

Problematický zákon s daleko -narušující důsledky

Analýza zákona o cloudu v USA a jeho globálních účincích odhaluje komplexní síť právních konfliktů, technologických závislostí, geopolitických napětí a strategických reakcí. Zákon, i když s pochopitelným cílem účinnějšího trestního stíhání v digitálním věku, je ve své současné podobě, je velmi problematický a pro jednotlivce, společnosti a země po celém světě nese značná rizika.

Shrnutí základních problémů zákona o cloudu

Ústřední kritiku a problémové oblasti lze shrnout takto:

• Kolize s národní suverenitou a právními systémy: výslovný extrateritoriální nárok zákona o cloudu, který americké úřady poskytly přístup k údajům bez ohledu na umístění skladování, se zásadně srazí se svrchovaným porozuměním jiných zemích a jejich právních systémech. To je zvláště jasné v konfliktu s EU GDPR, zejména článku 48, který staví na uznání zahraničních orgánů.
• Právní nejistota a „konflikt zákonů“: Pro globální společnosti, zejména poskytovatele cloudu, zákon vytváří značnou právní nejistotu. Vidí se potenciálně protichůdné zákonné povinnosti- na jedné straně na jedné straně na druhé straně americké uspořádání, na druhé straně, na druhé straně zákon o ochraně údajů nebo důvěrnosti země, ve které jsou údaje uloženy nebo jsou ovlivněny její občané. To vede k dilematu s potenciálními sankcemi na obou stranách.
• Eroze důvěry: Cloud ACT značně podkopává důvěru v americké poskytovatele technologií. Možnost přístupu amerických úřadů, obcházením místních postupů nebo bez znalostí postižených, vyvolává nedůvěru ohledně bezpečnosti a důvěrnosti údajů. To platí jak pro osobní údaje, tak i citlivé informace o společnosti a je posíleno paralelními obavami o americké monitorování zákonů (problémy Schrems II).
• Rizika nad rámec vymáhání práva: Ačkoli deklarovaným účelem je bojovat proti závažnému zločinu, existují obavy ohledně zneužití přístupových práv pro účely státního dohledu nebo ekonomické špionáže. Tato rizika je obtížné kontrolovat a přispívat ke ztrátě důvěry.
• Propagace globální fragmentace: Jednotlivý přístup cloudového zákona působí jako katalyzátor globálních fragmentačních tendencí v digitálním prostoru. Vyvolává protiopatření ve formě zákonů o lokalizaci dat a propagaci národních digitálních ekosystémů, které podporují „balkanizaci“ internetu a brání bezplatnému globálnímu toku dat zdarma.

Přehled krajiny globální závislosti

Analýza podílů na trhu ukazuje masivní globální závislost na třech velkých amerických cloudových hyperscalerech AWS, Microsoft Azure a GCP. Zejména v Severní Americe a Evropě kontrolují dvě třetiny trhu pro cloudové infrastrukturní služby. Tato vysoká koncentrace vytváří široký potenciální útok pro cloudový akt.

Naproti tomu země, jako je Čína a Rusko, které zavedly převážně nezávislé digitální ekosystémy prostřednictvím silné státní regulace, propagace domácích poskytovatelů a raketoplánu na trhu. Ukazují, že menší závislost je možná, i když často za cenu omezené globální konektivity a potenciálně nižší svobody volby.

Evropská unie je v ambivalentním postavení: Na jedné straně existuje velmi vysoká faktická závislost na amerických poskytovatelích, na druhé straně existuje silná politická vůle a konkrétní iniciativy (GAIA-X, Data Act), aby posílila digitální suverenitu a podporovala alternativy. Úspěch tohoto úsilí je však stále nejistý.

Výhled na budoucí vývoj

Trendy iniciované zákonem o cloudu a podobný vývoj by měly pokračovat:

• Šíření zákonů o lokalizaci dat se pravděpodobně zvýší, protože stále více zemí se snaží udržet kontrolu nad údaji na svém území.
• Úsilí o budování regionálních nebo národních cloudových alternativ bude pokračovat, i když úspěch v konkurenci se zavedenými hyperscalery zůstává obtížný. Iniciativy, jako je GAIA-X, by se mohly spíše vyvinout do standardizačního rámce pro datové místnosti.
• Očekává se, že Spojené státy se pokusí splnit další výkonné dohody se strategickými partnery, aby usnadnily přístup k datům. Jednání s EU zůstává složitá.
• Právní spory o mezinárodních převodech údajů, zejména v souvislosti s Schremem II a jeho nástupnickými předpisy (jako je rámec ochrany osobních údajů EU-USA). Otázka „přiměřené úrovně ochrany“ v USA zůstává virulentní.
• Pro společnosti je vývoj a implementace robustních strategií dodržování předpisů a technických řešení pro snižování rizik (šifrování, hybridní modely atd.), Aby bylo možné jednat v tomto složitém prostředí.

Závěrem je třeba uznat, že cloudový zákon se zabývá skutečným problémem: potřeba orgánů činných v trestním řízení, aby byly schopny získat přístup k důkazům, které jsou uloženy přes hranice v digitálním věku. Tradiční metody MLAT jsou často příliš pomalé a neefektivní. Každé udržitelné řešení však musí najít způsob, jak sladit tuto legitimní potřebu vymáhání práva se základními právy na ochranu údajů a soukromí, jakož i s suverenitou států. Cloudový akt ve své současné podobě nedělá spravedlnost v tomto vyváženém aktu z pohledu mnoha mezinárodních pozorovatelů a postižených. Představuje řešení zaměřené na USA, které adekvátně nezohledňuje obavy a právní systémy jiných zemí, a tak vytváří více problémů, než řeší. Naléhavý úkol zůstává mezinárodně koordinované řešení založené na vzájemném respektu k právním systémům a silné záruky základních práv.

Doporučení k akci

Analýza zákona o cloudu a jeho globální účinky vede k konkrétním doporučením pro jednání pro evropské společnosti a organizace, jakož i pro tvůrce politického rozhodnutí.

Pro evropské společnosti a organizace:

• Implementace komplexních analýz rizik: Společnosti by měly systematicky vyhodnotit svou závislost na poskytovatelích cloudů USA. To zahrnuje klasifikaci zpracovaných údajů založených na citlivosti a analýzu potenciálních rizik v případě přístupu k datům americkými úřady. Implementace důsledků přenosu dat (TIAS), jak je to vyžadováno v souvislosti se Schrems II, je nezbytná.
• Pečlivý výběr poskytovatelů cloudu: Je vhodné zkontrolovat aktivní evropské nebo jiné neamerické poskytovatele cloudu jako alternativy, které nepodléhají americkému soudnictví. Poskytovatelé by měli být posouzeni na základě jejich smluvních závazků týkajících se žádostí o cloudové zákony, jejich technických ochranných opatřeních a osvědčení o dodržování předpisů.
• Robustní návrh smlouvy: Smlouvy s poskytovateli cloudu by měly obsahovat jasná předpisy pro zpracování dat, umístění úložiště, bezpečnostní opatření a pro jednání s úřady v souladu s článkem 28 GDPR.
• Implementace silných technických opatření: Použití šifrování end-to-end, ve kterém kryptografické klíče zůstávají výhradně pod kontrolou zákazníka (držíte vlastní klíč-hyokok), je důležitým ochranným opatřením. Přísné kontroly přístupu (správa identity a přístupu) a tam, kde by měly být implementovány rozumné, pseudonymizace nebo anonymizační techniky.
• Použití hybridních nebo multi-cloudových strategií: Pro obzvláště citlivé údaje může být užitečné použití soukromých mraků nebo infrastruktur na místě, zatímco méně kritická pracovní zátěž může zůstat ve veřejném cloudu. To umožňuje diferencované řízení rizika.
• Pozorování konkrétního právního poradenství: S ohledem na komplexní a neustále se rozvíjející právní situaci je nezbytný shromáždění specializované právní poradenství v hodnocení konkrétních rizik a rozvoj strategie udržitelného dodržování předpisů.

Pro politické rozhodnutí -tvůrci (zejména v EU):

• Posílení evropské digitální suverenity: K vytvoření skutečných technologických alternativ a snížení závislosti je nezbytná konzistentní propagace iniciativ, jako je GAIA-X a podpora struktury konkurenčních evropských poskytovatelů evropských cloudů. Zákon o datech by měl být použit k zajištění spravedlivých tržních podmínek a kontroly nad údaji.
• Jasný přístup v mezinárodních jednáních: Při jednáních o možné aktivní dohodě EU-USA je třeba zajistit, aby vysoké evropské standardy ochrany údajů (GDPR, EU Fundamental Rights Charta, požadavky ze Schrems II) zůstaly bez omezení. To zahrnuje robustní záruky pro právní stát, proporcionalitu, transparentnost a účinnou právní ochranu pro postižené. Priorita zavedených postupů právní pomoci (MLAT) nebo ekvivalentních ochranných mechanismů by měla být ukotvena.
• Propagace globálních standardů: Na mezinárodní úrovni by EU měla pracovat pro rozvoj koordinovaných pravidel a standardů pro přístup k křížovým datům orgány na základě právního státu, respektování základních práv a vzájemného respektu k národním právním systémům.
• Vzdělávání a podpora ekonomiky: Političtí tvůrci rozhodování a dozorčí orgány by měli společnosti poskytovat jasné pokyny a praktickou podporu společnostem, které vám pomohou vyhodnotit rizika a provádění opatření dodržování předpisů při řešení zákona o cloudu a mezinárodních převodech údajů.

☑️ Podpora MSP ve strategii, poradenství, plánování a implementaci

☑ Vytváření nebo přepracování strategie AI

☑️ Pioneer Business Development

 

Rád posloužím jako váš osobní poradce.

Můžete mě kontaktovat vyplněním kontaktního formuláře níže nebo mi jednoduše zavolejte na číslo +49 89 89 674 804 (Mnichov) .

Těším se na náš společný projekt.

 

 

Xpert.Digital je centrum pro průmysl se zaměřením na digitalizaci, strojírenství, logistiku/intralogistiku a fotovoltaiku.

S naším 360° řešením pro rozvoj podnikání podporujeme známé společnosti od nových obchodů až po poprodejní služby.

Market intelligence, smarketing, automatizace marketingu, vývoj obsahu, PR, e-mailové kampaně, personalizovaná sociální média a péče o potenciální zákazníky jsou součástí našich digitálních nástrojů.

Více se dozvíte na: www.xpert.digital - www.xpert.solar - www.xpert.plus