Почему американский закон CLOUD Act представляет собой проблему и риск для Европы и остального мира: закон с далеко идущими последствиями

Почему американский закон CLOUD Act представляет собой проблему и риск для Европы и остального мира: закон с далеко идущими последствиями

В данной статье анализируется принятый в США в 2018 году Закон о разъяснении законного использования данных за рубежом (CLOUD Act) и его далеко идущие последствия для глобальной защиты данных, суверенитета данных и международного сотрудничества. Закон CLOUD Act наделяет власти США правом требовать от американских поставщиков услуг связи и облачных услуг раскрытия данных, находящихся в их распоряжении, хранении или под их контролем, независимо от того, где данные физически хранятся, в том числе за пределами США. Эта экстерриториальная позиция принципиально противоречит режимам защиты данных, таким как Общий регламент защиты данных Европейского союза (GDPR), в частности, его правилам в отношении международной передачи данных (статья 48 GDPR).

Анализ показывает, что закон CLOUD Act создает значительную правовую неопределенность для компаний, работающих по всему миру и сталкивающихся с противоречивыми правовыми требованиями. Он подрывает доверие к американским поставщикам технологий и устоявшимся механизмам передачи данных, что усугубилось решением Европейского суда по делу Schrems II. За пределами Европы закон создает риски государственного наблюдения, промышленного шпионажа и конфликтов с местными правовыми системами по всему миру.

Глобальная зависимость от крупных американских облачных провайдеров (AWS, Microsoft Azure, Google Cloud) огромна, особенно в Северной Америке и Европе. В то же время такие страны, как Китай и Россия, развивают закрытые цифровые экосистемы с сильными местными провайдерами и строгим регулированием, что снижает их зависимость. Другие страны и регионы, включая ЕС с такими инициативами, как Gaia-X и Закон о данных, применяют различные стратегии снижения рисков, начиная от законов о локализации данных и продвижения местных альтернатив до заключения двусторонних соглашений с США.

Несмотря на законную необходимость ускорения трансграничного правоприменения — ключевую цель Закона CLOUD, учитывая медлительность традиционных процедур взаимной правовой помощи, — многие критики утверждают, что закон не обеспечивает удовлетворительного баланса между эффективной профилактикой преступности и защитой основных прав и национального суверенитета. В заключение доклада приводятся рекомендации для бизнеса и политиков по вопросам ориентации в этой сложной ситуации.

В связи с этим:

• Зависимость от облачных сервисов США? Битва Германии за облачные технологии: как они планируют конкурировать с AWS (Amazon) и Azure (Microsoft)

Закон США о облачных технологиях (CLOUD Act) и его влияние на суверенитет данных в Европе

Продолжающаяся цифровизация и связанный с ней переход к обработке и хранению данных в облачной инфраструктуре глобальных провайдеров коренным образом изменили способы функционирования бизнеса и государственных администраций. В частности, услуги крупнейших американских гипермасштабируемых компаний – Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP) – стали неотъемлемой частью цифровой инфраструктуры многих стран. Это развитие открывает огромный потенциал для повышения эффективности и внедрения инноваций, но одновременно создает новые и сложные проблемы для защиты данных, обеспечения безопасности данных и защиты национального суверенитета.

Эта проблема значительно усугубилась после принятия в марте 2018 года в США Закона о разъяснении законного использования данных за рубежом (CLOUD Act). Этот федеральный закон США предоставляет американским правоохранительным и следственным органам широкие полномочия по доступу к данным, хранящимся и управляемым по всему миру американскими компаниями или компаниями, находящимися под юрисдикцией США. Основная проблема заключается в явно экстерриториальном характере закона: власти США могут потребовать раскрытия данных, даже если они хранятся на серверах за пределами Соединенных Штатов.

Данное правовое положение приводит к прямым и фундаментальным конфликтам с существующими режимами защиты данных в других странах, прежде всего с Общим регламентом защиты данных Европейского союза (GDPR). Возможность доступа к данным со стороны властей США в обход согласованных на международном уровне процедур взаимной правовой помощи и потенциально без соблюдения строгих европейских стандартов защиты данных вызывает серьезные опасения по поводу государственного надзора, промышленного шпионажа и подрыва цифрового суверенитета. Поэтому Закон CLOUD широко рассматривается как проблематичный и представляющий риск для бизнеса и граждан не только в Европе, но и во всем мире.

Цель данной статьи — предоставить всесторонний и обоснованный анализ американского Закона о облачных технологиях (CLOUD Act) и его глобального влияния. В ней анализируются основные механизмы Закона и его экстерриториальное измерение. Особое внимание уделяется детальному изучению потенциальных конфликтов с Общим регламентом ЕС по защите данных (GDPR) и вытекающим из этого последствиям для европейского суверенитета над данными, в том числе в свете прецедентного права Европейского суда (ЕС), особенно решения по делу Schrems II. Кроме того, освещаются риски и потенциальные негативные последствия для стран за пределами Европы. В отчете описывается глобальная картина зависимости от американских облачных провайдеров, определяются регионы с высокой и низкой зависимостью и проводится сравнительный анализ стратегий, которые различные страны реализуют для решения проблем, связанных с Законом о облачных технологиях.

Структура данной статьи соответствует этой цели: после введения во второй главе подробно излагаются основные положения и экстерриториальная сфера действия Закона о облачных технологиях (CLOUD Act). В третьей главе рассматривается конфликт между Законом о облачных технологиях, GDPR и европейским суверенитетом над данными. В четвертой главе анализируются глобальные риски и последствия за пределами Европы. В пятой главе описывается глобальная зависимость от американских поставщиков облачных услуг, а в шестой главе сравниваются национальные стратегии и меры реагирования на Закон о облачных технологиях. В седьмой главе приводится обобщение результатов и заключение, за которым следуют рекомендации к действию в восьмой главе.

Закон США о облачных технологиях: основные положения и экстерриториальная сфера действия

Закон о разъяснении законного использования данных за рубежом (CLOUD Act) представляет собой важный законодательный акт, касающийся трансграничного доступа властей США к данным. Для полного понимания его последствий необходимо тщательно изучить его правовую основу, принципы действия и, особенно, его экстерриториальные полномочия.

Правовая основа и функциональность

Закон CLOUD был принят 23 марта 2018 года в рамках комплексного бюджетного законопроекта (Закон о консолидированных ассигнованиях 2018 года, Публичный закон 115-141, Раздел V) и вступил в силу немедленно. Он не создает совершенно новую правовую основу, а в основном вносит поправки в существующие законы, в частности, в Закон о хранении электронных коммуникаций (Stored Communications Act, SCA) 1986 года, который является частью Закона о конфиденциальности электронных коммуникаций (Electronic Communications Privacy Act, ECPA). SCA регулирует условия, при которых государственные учреждения США могут получать доступ к хранящимся данным электронных коммуникаций, находящимся у поставщиков услуг.

Основная часть Закона о облачных технологиях (CLOUD Act), кодифицированного, среди прочего, в статьях 2713 и 2523 раздела 18 Свода законов США, обязывает поставщиков услуг электронных коммуникаций (ECS) и услуг удаленных вычислений (RCS), подпадающих под юрисдикцию США, выполнять распоряжения о защите, резервном копировании или раскрытии содержимого электронных коммуникаций, а также метаданных или другой информации о клиентах или абонентах. Это обязательство распространяется на данные, находящиеся во владении, хранении или под контролем поставщика. Юрисдикция США может также распространяться на поставщиков, чье основное место деятельности находится за пределами США, но которые имеют достаточную связь с Соединенными Штатами, например, через деловые отношения, филиал в США или контракты с клиентами из США.

Ключевое уточнение, содержащееся в Законе CLOUD, заключается в том, что это обязательство по раскрытию данных распространяется независимо от того, находятся ли данные внутри или за пределами Соединенных Штатов («независимо от того, находятся ли такие сообщения, записи или другая информация внутри или за пределами Соединенных Штатов»).

Катализатором этого законодательства стал, прежде всего, юридический спор между Соединенными Штатами и корпорацией Microsoft (часто называемый «делом Microsoft в Ирландии»). В этом деле Microsoft отказалась передать ФБР электронные письма клиента, хранящиеся на сервере в Ирландии, утверждая, что ордера США не имеют экстерриториального действия, а Соглашение о соблюдении требований безопасности (SCA) не распространяется на данные за пределами США. Дело дошло до Верховного суда, но было прекращено после принятия Закона о облачных технологиях (CLOUD Act), который решил юридический вопрос в пользу правительства.

Важно подчеркнуть, что, по мнению правительства США и поддерживающих его организаций, Закон о облачных технологиях (CLOUD Act) не является разрешением на массовое наблюдение или произвольный доступ к данным. Запросы на доступ (как правило, ордера, основанные на «вероятной причине» или повестки в суд) должны по-прежнему соответствовать требованиям верховенства права США, быть конкретными и подлежать судебному пересмотру. Они ограничиваются данными, которые могут иметь отношение к конкретным уголовным расследованиям («тяжкие преступления, включая терроризм»). Кроме того, Закон о облачных технологиях прямо не обязывает поставщиков услуг расшифровывать данные, если они владеют ими только в зашифрованном виде и не контролируют ключи.

Экстерриториальное применение и претензия на юрисдикцию

Главное и наиболее спорное нововведение Закона CLOUD заключается в юридическом закреплении экстерриториального характера распоряжений США о доступе к данным. Закон уточняет, что обязанность передавать данные существует для поставщиков услуг, находящихся под юрисдикцией США, независимо от физического местоположения, где хранятся данные.

Эта позиция основана на устоявшемся правовом принципе, согласно которому государство может принуждать компании, находящиеся под его юрисдикцией, к раскрытию информации, находящейся под его контролем, даже если эта информация хранится за границей. Закон CLOUD кодифицирует этот принцип специально для данных электронных коммуникаций в контексте Закона о защите персональных данных.

Это одностороннее требование экстерриториального доступа является основным источником международной озабоченности и правовых конфликтов, особенно в отношении Европейского союза и его Общего регламента по защите данных (GDPR). Оно воспринимается как посягательство на суверенитет других государств и как потенциальное обход установленных международных процедур правовой помощи.

Исполнительные соглашения как альтернатива договорам о взаимной правовой помощи

Помимо уточнения экстерриториальной сферы действия распоряжений США, закон CLOUD вводит второй важный механизм: он уполномочивает исполнительную власть США (президента или правительство) заключать двусторонние соглашения, так называемые «исполнительные соглашения», с «квалифицированными» иностранными правительствами.

Заявленная цель этих соглашений — ускорить и упростить трансграничный доступ к данным для целей преследования за тяжкие преступления (включая терроризм). Они призваны стать альтернативой или дополнением к традиционным договорам о взаимной правовой помощи (ДВП), процедуры которых часто критикуются за чрезмерную медлительность и бюрократичность, неспособные угнаться за темпами развития цифровой преступности.

Основной механизм этих исполнительных соглашений заключается в устранении правовых препятствий («коллизий права» или «правовых ограничений»), которые могут помешать поставщикам услуг выполнять законные распоряжения из страны-партнера. В частности, такое соглашение позволило бы, например, американскому поставщику услуг напрямую выполнять распоряжение из Соединенного Королевства, не нарушая законодательство США (например, ограничения SCA на раскрытие информации), и наоборот. Таким образом, власти каждой страны могли бы использовать свои собственные национальные процедуры для запроса данных у поставщика услуг в другой стране.

США могут заключать такие соглашения только с государствами, признанными «соответствующими требованиям». Для этого требуется подтверждение от Генерального прокурора США и Государственного секретаря Конгрессу о том, что соответствующая страна-партнер имеет надежные материальные и процессуальные гарантии защиты частной жизни и гражданских свобод и применяет их на практике. Страна-партнер должна соблюдать верховенство права, принцип недискриминации и защиту данных.

На сегодняшний день США заключили подобные исполнительные соглашения с Великобританией (подписано в 2019 году, вступило в силу в октябре 2022 года) и Австралией (подписано в декабре 2021 года). Переговоры с Европейским союзом были объявлены в 2019 году и продолжаются до сих пор, но оказываются сложными из-за сложной правовой ситуации (GDPR, дело Шремса II) и участия 27 государств-членов.

Важные гарантии для таких соглашений предусмотрены самим Законом CLOUD: распоряжения, издаваемые в рамках такого соглашения, не должны быть направлены против граждан США или лиц, проживающих в США. Они должны быть конкретными (например, направленными против конкретного лица или счета) и подлежать независимой проверке или надзору (например, со стороны суда).

Правовые пути для поставщиков услуг

Закон CLOUD прямо предусматривает механизм, с помощью которого провайдеры могут на законных основаниях оспаривать решения США о доступе при определенных условиях (так называемое «ходатайство об отмене или изменении»). Это право существует, если провайдер «обоснованно полагает», что выполнены два совокупных условия:

• Указанный клиент или подписчик не является гражданином США и не проживает в США.
• Требование о раскрытии информации создаст «существенный риск» нарушения поставщиком законодательства «квалифицированного иностранного правительства». «Квалифицированное иностранное правительство» — это правительство, с которым у США заключено исполнительное соглашение в соответствии с Законом CLOUD.

Если поставщик услуг подает такую ​​апелляцию, компетентный суд США может изменить или отменить постановление. Однако это происходит только в том случае, если суд установит, что (а) раскрытие информации фактически нарушит законодательство соответствующего иностранного государства, (б) удовлетворение апелляции отвечает интересам правосудия и (в) интересы правосудия требуют этого, учитывая совокупность обстоятельств.

Для оценки того, что требуют «интересы правосудия», закон перечисляет конкретные факторы, которые суд должен учитывать («анализ сострадания»). К ним относятся, среди прочего: интересы США и иностранного правительства, вероятность и характер наказаний, с которыми поставщик услуг столкнется за границей, связи лица и поставщика услуг с США и за рубежом, важность информации для расследования и наличие альтернативных способов получения информации.

Однако это правовое положение вызывает вопросы относительно его практической эффективности. Сосредоточение явного основания для оспаривания на правовых конфликтах с соответствующими иностранными правительствами (т. е., имеющими исполнительное соглашение) может ослабить позиции поставщиков услуг, стремящихся ссылаться на законы стран, не имеющих такого соглашения, например, на GDPR ЕС в его нынешней форме без соглашения между ЕС и США. Хотя возможность применения общих принципов международной вежливости и общего права остается, конкретный правовой механизм является более узким. Это может побудить суды США уделять меньше внимания конфликтам с законами государств, не являющихся участниками соглашения, или рассматривать процесс оспаривания как менее четко определенный.

Кроме того, практическая значимость возможности обжалования, как правило, ограничена. Бремя доказывания лежит на поставщике услуг, который должен продемонстрировать, что он «обоснованно считает», что условия выполнены. Даже если будет доказан коллизионный характер закона, суд может отменить решение, но не обязан это делать. Решение основывается на балансе расплывчатых правовых понятий, таких как «интересы правосудия» и «совокупность обстоятельств», что предоставляет суду широкие полномочия. Существует риск того, что интересам США, особенно в вопросах правоохранительной деятельности или безопасности, будет систематически отдаваться больший вес, чем интересам защиты данных со стороны иностранных государств, особенно если не существует двустороннего соглашения, формально признающего эти интересы. Поэтому Европейский совет по защите данных (EDPB) относится к этому механизму со скептицизмом, подчеркивая, что он предоставляет лишь возможность обжалования, а не обязанность, и, следовательно, не обеспечивает достаточной защиты прав граждан ЕС.

В связи с этим:

• Цифровая зависимость Европы от США: доминирование облачных технологий, искаженный торговый баланс и эффект «закрепления»

Зона конфликта: Закон о облачных технологиях (CLOUD Act) против Общего регламента ЕС по защите данных (GDPR) и суверенитета данных

Экстерриториальный характер американского закона CLOUD Act и связанные с ним полномочия американских властей по доступу к данным приводят к значительным противоречиям и прямым правовым конфликтам с режимом защиты данных Европейского союза, в частности с Общим регламентом по защите данных (GDPR). Эти конфликты затрагивают основные принципы законодательства ЕС о защите данных и поднимают фундаментальные вопросы о суверенитете данных.

Прямое противоречие GDPR (ст. 6, ст. 48)

Основной конфликт возникает из-за того, что закон CLOUD Act позволяет властям США отдавать распоряжения о передаче данных, включая персональные данные граждан ЕС, из ЕС в США, без обязательного наличия у такого распоряжения одного из правовых оснований для обработки данных или международной передачи данных, предусмотренных GDPR.

Конфликт со статьей 48 GDPR («Передача или раскрытие данных, не разрешенные законодательством Европейского союза») особенно актуален. Эта статья предусматривает, что решения судов или административных органов третьей страны, требующие от контролера или обработчика данных передачи или раскрытия персональных данных, признаются или подлежат исполнению только в том случае, если они основаны на международном соглашении – таком как Договор о взаимной правовой помощи (MLAT) – действующем между запрашивающей третьей страной (в данном случае, США) и Союзом или государством-членом. Распоряжение, основанное исключительно на Законе CLOUD, без легитимизации таким международным соглашением, не соответствует этому условию. С точки зрения GDPR, оно не является действительным правовым основанием для передачи данных.

Кроме того, такая передача не имеет законного основания в соответствии со статьей 6 GDPR, которая устанавливает условия законности обработки (включая передачу) персональных данных. Европейский совет по защите данных (EDPB) и Европейский надзорный орган по защите данных (EDPS) в своей совместной оценке уточнили, что обычные правовые основания здесь не применяются

• Статья 6(1)(c) GDPR (соблюдение юридического обязательства): Данное юридическое основание неприменимо, поскольку «юридическое обязательство» вытекает из Закона CLOUD, то есть из права третьей страны, а не из права Союза или права государства-члена, как того требует статья 6(3) GDPR. Исключение существовало бы только в том случае, если бы распоряжение США было закреплено в праве ЕС Многосторонним административным регламентом по защите данных (MLAT).
• Статья 6(1)(e) GDPR (выполнение задачи, осуществляемой в общественных интересах): это правовое основание также исключается, поскольку задача (в данном случае, соблюдение постановления США) не определена в праве Союза или в праве государства-члена.
• Статья 6(1)(f) GDPR (законные интересы): Хотя у поставщика услуг может быть законный интерес в соблюдении предписания CLOUD Act во избежание санкций в соответствии с законодательством США, Европейский совет по защите данных/Европейский инспектор по защите данных считает, что этот интерес регулярно перевешивается интересами или основными правами и свободами субъектов данных (защита их данных). Власти утверждают, что в противном случае субъекты данных могут быть лишены защиты в соответствии с Хартией основных прав ЕС (в частности, права на эффективное средство правовой защиты, статья 47).
• Статья 6(1)(d) GDPR (защита жизненно важных интересов): Теоретически это правовое основание может быть применимо в очень узко определенных исключительных случаях, например, если данные необходимы для предотвращения непосредственной опасности для жизни или здоровья человека. Однако оно не является основанием для обычного раскрытия данных в контексте правоохранительных мер.

Это столкновение правовых норм создает неразрешимый конфликт для поставщиков услуг, подпадающих под юрисдикцию как США (и, следовательно, под действие Закона CLOUD), так и законодательства ЕС (GDPR). Если они выполняют предписание Закона CLOUD без основания в рамках МАТ, они нарушают GDPR и рискуют получить существенные штрафы (до 4% от своего глобального годового оборота), а также гражданские иски. Если они отказываются раскрывать данные, ссылаясь на GDPR, им грозят санкции в соответствии с законодательством США.

Оценка ситуации со стороны EDSA/EDPS и правовая неопределенность

Европейские органы по защите данных, координирующие свою деятельность в рамках Европейского совета по защите данных (EDPB), и Европейский инспектор по защите данных (EDPS) заняли четкую позицию по этому конфликту. В своей совместной правовой оценке от июля 2019 года они пришли к выводу, что Закон CLOUD сам по себе не является достаточным правовым основанием в соответствии с GDPR для передачи персональных данных в США.

Они категорически подчеркивают, что поставщики услуг, подпадающие под действие законодательства ЕС, не могут передавать персональные данные властям США исключительно на основании прямого распоряжения в соответствии с Законом CLOUD. Такая передача допустима только в том случае, если она основана на признанном международном соглашении, как правило, на Договоре о взаимной правовой помощи между ЕС и США или на двустороннем Договоре о взаимной правовой помощи между государством-членом и США. Процесс заключения Договора о взаимной правовой помощи обеспечивает необходимые гарантии верховенства права и участие судебных органов запрашиваемого государства.

Возможность, предусмотренная в Законе CLOUD, для поставщиков услуг оспаривать решение («ходатайство об отмене»), по мнению Европейского совета по защите данных (EDPB), является недостаточной гарантией. Они указывают, что это всего лишь вариант для поставщика услуг, а не обязанность, и что исход таких разбирательств в американском суде неопределен и не гарантирует защиту прав граждан ЕС в соответствии со стандартами ЕС.

Эта четкая позиция соответствующих европейских органов по защите данных усугубляет правовую неопределенность для компаний, которые используют или предлагают облачные сервисы США. Им следует помнить, что использование таких сервисов потенциально может противоречить GDPR, если поставщик не может гарантировать, что не будет раскрывать данные в нарушение GDPR на основании постановления CLOUD Act.

Последствия дела Шремса II и законов США о слежке

Проблемы, связанные с законом CLOUD Act, следует рассматривать в контексте более широкой дискуссии о передаче данных в США и действующих там законах о слежке, которая вышла на новый уровень благодаря решению Европейского суда по делу Schrems II от 16 июля 2020 года.

В этом решении Европейский суд (ЕС) признал соглашение между ЕС и США о защите конфиденциальности (Privacy Shield) недействительным. Основной причиной этого стали широкие полномочия американских разведывательных агентств (в частности, в соответствии со статьей 702 Закона о наблюдении за иностранной разведкой – FISA – и Указом Президента № 12333) по доступу к персональным данным граждан ЕС, переданным в США. ЕС установил, что эти права доступа не соответствуют требованиям необходимости и соразмерности, предусмотренным Хартией основных прав ЕС, и что граждане ЕС не имеют эффективной правовой защиты от такого доступа в США.

Хотя закон CLOUD Act формально является инструментом правоохранительной деятельности, а не разведывательного наблюдения, он усиливает опасения, высказанные в деле Schrems II. Он устанавливает еще один правовой механизм для экстерриториального доступа к данным со стороны властей США. С европейской точки зрения, этому механизму также не хватает необходимой правовой основы в законодательстве ЕС (статья 48 GDPR), если только он не основан на Многостороннем соглашении о защите данных (MLAT) или будущем соглашении, которое будет признано адекватным. Сочетание прав доступа, вытекающих из законов о наблюдении (FISA 702, EO 12333), и закона CLOUD Act (правоохранительная деятельность) создает общую картину широкомасштабного доступа правительства США к данным, хранящимся по всему миру американскими поставщиками.

Это имеет прямые последствия для использования других механизмов передачи данных, таких как стандартные договорные положения (СДП). Решение по делу Schrems II обязывает экспортеров данных, использующих СДП для передачи данных в третьи страны, такие как США, оценивать в каждом конкретном случае, гарантируют ли законодательство и практика страны назначения уровень защиты, «существенно эквивалентный» уровню защиты, гарантированному в ЕС. В противном случае необходимо принять дополнительные меры для устранения любых пробелов в защите. Наличие таких законов, как раздел 702 FISA и закон CLOUD Act, значительно затрудняет для компаний демонстрацию того, что законодательство США предлагает такой эквивалентный уровень защиты. Это существенно осложняет законное использование облачных сервисов США для обработки персональных данных из ЕС. Закон CLOUD Act усиливает проблему, возникшую в деле Schrems II, поскольку расширяет спектр законных вариантов доступа в США и еще больше подрывает аргумент в пользу «существенной эквивалентности» уровня защиты.

Подрыв европейского суверенитета в области данных и потеря доверия

Помимо чисто юридических конфликтов, Закон о цифровых технологиях (CLOUD Act) широко воспринимается как угроза цифровому суверенитету Европы. Суверенитет данных подразумевает право и возможность государств, организаций или отдельных лиц осуществлять контроль над своими данными, в частности, в отношении того, где они хранятся, как обрабатываются и кто может получить к ним доступ. Закон о цифровых технологиях подрывает этот принцип, предоставляя иностранной державе (США) потенциально односторонний доступ к данным, хранящимся на территории Европы или исходящим от европейских граждан и предприятий, при условии, что эти данные обрабатываются поставщиком, находящимся под юрисдикцией США.

Возможность такого доступа, потенциально осуществляемого без соблюдения европейских процедур (таких как соглашения о взаимной правовой помощи) и без ведома или уведомления соответствующих лиц или компаний, приводит к значительной потере доверия к американским поставщикам технологий. Это недоверие касается не только защиты персональных данных, как это определено в GDPR, но и безопасности конфиденциальных корпоративных данных, таких как коммерческая тайна, данные исследований и разработок, финансовая информация и интеллектуальная собственность. Страх перед промышленным шпионажем или непреднамеренной утечкой критически важной для конкуренции информации через государственный доступ является ключевым фактором, побуждающим компании искать альтернативы американским поставщикам или внедрять дополнительные меры защиты.

Ответы ЕС: Закон о данных и Gaia-X (текущее состояние и проблемы)

В ответ на вызовы цифровизации и доминирование неевропейских поставщиков технологий Европейский союз запустил ряд инициатив по укреплению цифрового суверенитета и определению собственного европейского подхода к управлению данными. Двумя ключевыми компонентами являются Закон о данных и инициатива Gaia-X.

Закон ЕС о данных, опубликованный в Официальном журнале в декабре 2023 года и вступающий в силу с 12 сентября 2025 года, направлен на повышение справедливости в экономике данных и улучшение доступа к данным и их использования, особенно промышленных данных. Он призван стимулировать инновации и расширять доступность данных. В частности, Закон о данных предоставляет пользователям подключенных устройств (например, устройств IoT, интеллектуальных машин) больший контроль над данными, генерируемыми этими устройствами, и упрощает переход между различными поставщиками облачных услуг, например, устраняя барьеры для смены поставщиков и запрещая несправедливые договорные положения. Также в контексте Закона об облачных услугах важны положения, обеспечивающие защиту от незаконных запросов на передачу данных со стороны властей третьих стран, тем самым укрепляя суверенитет ЕС в области данных.

Инициатива Gaia-X, запущенная в 2019 году, преследует амбициозную цель создания федеративной, безопасной и суверенной европейской инфраструктуры данных. Gaia-X стремится создать экосистему, в которой данные могут обмениваться и обрабатываться в соответствии с европейскими ценностями и стандартами – прозрачностью, открытостью, безопасностью, совместимостью и суверенитетом данных. Она призвана предложить альтернативу доминирующим гипермасштабным компаниям и снизить зависимость от неевропейских поставщиков.

Однако Gaia-X все еще находится на ранней стадии внедрения («фаза наращивания») и сталкивается со значительными проблемами. Хотя существуют первоначальные пилотные проекты и примеры использования, такие как Catena-X для автомобильной промышленности и испытательные полигоны в странах-партнерах, таких как Япония, широкое проникновение на рынок все еще не достигнуто. К препятствиям относятся техническая сложность федеративного подхода, обеспечение подлинной совместимости между различными поставщиками, проблемы управления внутри Ассоциации Gaia-X (организации-исполнителя) и медленное внедрение, особенно в высокорегулируемых секторах, таких как здравоохранение. Кроме того, высказывалась критика в адрес того, что первоначальная концепция чисто европейского облака была размыта включением крупных американских гипермасштабируемых компаний в Ассоциацию Gaia-X, и что проект страдает от чрезмерной бюрократии. В настоящее время представляется маловероятным, что Gaia-X сможет напрямую конкурировать с AWS, Azure и GCP. Его значимость, возможно, заключается скорее в том, чтобы служить основой для стандартов и доверия в конкретных европейских пространствах данных.

Однако эти европейские инициативы также выявляют стратегическую непоследовательность. С одной стороны, Gaia-X и Закон о данных направлены на снижение зависимости от американских поставщиков и усиление контроля над данными в Европе. С другой стороны, Европейская комиссия одновременно ведет переговоры с США об исполнительном соглашении в рамках Закона о облачных технологиях (CLOUD Act). Такое соглашение, если оно будет достигнуто, легализует и потенциально упростит прямой доступ к данным для властей США при определенных условиях, институционализируя именно тот механизм, который первоначально вызвал опасения по поводу суверенитета. Это отражает дилемму ЕС: одновременно добиваться цифровой автономии и налаживать необходимое прагматическое сотрудничество с США в правоохранительной деятельности на эффективной основе, не поступаясь при этом собственными высокими принципами защиты данных (в частности, требованиями решения по делу Schrems II и статьи 48 GDPR). Разрешение этого противоречия является ключевой задачей для будущей трансатлантической политики в области данных.

Интеграция независимой платформы искусственного интеллекта, использующей данные из разных источников, для удовлетворения всех бизнес-потребностей. — Изображение: Xpert.Digital

Искусственный интеллект меняет правила игры: самая гибкая платформа ИИ — индивидуальные решения, которые снижают затраты, улучшают качество принимаемых решений и повышают эффективность

Независимая платформа искусственного интеллекта: интегрирует все соответствующие источники данных компании

• Эта платформа искусственного интеллекта взаимодействует со всеми конкретными источниками данных
  • От SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox и многих других систем управления данными
• Быстрая интеграция ИИ: индивидуальные решения на основе ИИ для бизнеса, разрабатываемые за считанные часы или дни, а не месяцы
• Гибкая инфраструктура: облачные решения или размещение в собственном центре обработки данных (Германия, Европа, свободный выбор местоположения)

• Максимальная защита данных: неопровержимое доказательство ее эффективности в юридических фирмах
• Развертывание в самых разнообразных корпоративных источниках данных
• Выбор собственной или различных моделей ИИ (Германия, ЕС, США, Китай)

Задачи, которые решает наша платформа искусственного интеллекта

• Несоответствие традиционных решений в области искусственного интеллекта требованиям рынка
• Защита данных и безопасное управление конфиденциальными данными
• Высокие затраты и сложность разработки отдельных систем искусственного интеллекта
• Нехватка квалифицированных специалистов в области искусственного интеллекта
• Интеграция ИИ в существующие ИТ-системы

Более подробная информация здесь:

• Интеграция ИИ в независимую платформу, использующую данные из разных источников, для удовлетворения всех бизнес-потребностей

Глобальные риски и последствия за пределами Европы

Проблемы, вызванные Законом о облачных технологиях (CLOUD Act), не ограничиваются отношениями между США и Европой. Закон может иметь далеко идущие последствия для стран и регионов по всему миру, особенно в отношении государственного надзора, экономического шпионажа, конфликтов с местным законодательством и общего доверия к глобальной цифровой инфраструктуре.

Государственный надзор и гражданские свободы

Закон CLOUD с самого начала подвергался критике со стороны организаций по защите гражданских свобод, таких как Electronic Frontier Foundation (EFF) и Американский союз гражданских свобод (ACLU). Ключевая критика заключается в том, что закон потенциально подрывает гарантии защиты от неправомерных правительственных обысков и изъятий (закрепленные в Четвертой поправке к Конституции США для граждан США). В частности, проблематичной считается возможность заключения двусторонних соглашений посредством исполнительных соглашений, которые позволили бы иностранным властям получить прямой доступ к данным, хранящимся в США, и потенциально обойти обычный судебный контроль со стороны американских судов. Кроме того, согласно Закону CLOUD, лица, в отношении которых запрашиваются данные, не обязательно должны быть уведомлены о доступе, что ограничивает их возможности в отношении правовой защиты.

Для лиц, находящихся за пределами США, защита, предоставляемая Конституцией США, уже и так менее обширна. Закон CLOUD упрощает доступ американских властей к их данным, хранящимся у американских провайдеров, независимо от местоположения. Это усиливает глобальные опасения по поводу расширения государственного надзора со стороны США. Существуют опасения, что механизм Закона CLOUD, особенно исполнительные соглашения, могут послужить моделью для других стран, включая те, где стандарты верховенства права ниже, а защита гражданских свобод менее надежна. Уже проведена параллель с китайским Законом о национальной разведке, который также предоставляет китайским властям широкий доступ к корпоративным данным. Это может ускорить глобальные тенденции к усилению государственного надзора и контроля над цифровыми коммуникациями.

Экономический шпионаж и защита интеллектуальной собственности

Права доступа, предоставляемые в соответствии с Законом о облачных технологиях (CLOUD Act), не ограничиваются содержанием сообщений или метаданными частных лиц. Они потенциально могут также охватывать особо конфиденциальные корпоративные данные, хранящиеся у американских облачных провайдеров. Это включает в себя коммерческую тайну, финансовые данные, базы данных клиентов, прототипы, данные исследований и разработок, а также другую интеллектуальную собственность (ИС).

Несмотря на заявленную цель Закона о облачных технологиях (CLOUD Act) — борьба с серьезными преступлениями, существуют опасения, что его широкие права доступа могут быть использованы не по назначению, например, для экономического шпионажа в интересах американских компаний или для получения стратегических экономических преимуществ. Сама возможность такого доступа со стороны иностранного правительства подрывает доверие компаний по всему миру к безопасности и конфиденциальности их критически важных данных, хранящихся у американских поставщиков. Этот риск представляет собой существенный недостаток для многих компаний, особенно в технологически интенсивных или критически важных с точки зрения безопасности отраслях, при использовании американских облачных сервисов.

Конфликты с местными правовыми системами

Подобно Регламенту ЕС о защите данных (GDPR), экстерриториальная сфера действия Закона о облачных технологиях (CLOUD Act) также может противоречить законам о защите данных, обязательствам по соблюдению конфиденциальности или другим правовым положениям многих других стран. Таким образом, глобальные поставщики облачных услуг, особенно те, штаб-квартира которых находится в США или которые имеют сильное присутствие в этой стране, потенциально подвержены влиянию сети противоречащих друг другу правовых обязательств.

Существует множество примеров стран, имеющих собственные режимы защиты данных, которые потенциально противоречат Закону CLOUD:

• Швейцария: Пересмотренный Федеральный закон о защите данных (revFADP) в значительной степени основан на GDPR и также содержит правила для международной передачи данных, требующие надлежащей защиты в стране назначения.
• Бразилия: Lei Geral de Proteção de Dados Pessoais (LGPD) также имеет экстерриториальное действие и подчиняет обработку данных бразильских граждан строгим правилам, в том числе для международных переводов.
• Индия: Закон о защите персональных данных в цифровой среде (Закон о защите персональных данных в цифровой среде, часто по-прежнему называемый Законом о защите персональных данных в цифровой среде) также содержит положения о передаче данных и может устанавливать требования к локализации для определенных «критически важных» данных.
• Китай: Закон о кибербезопасности (CSL) и Закон о защите персональных данных (PIPL) устанавливают строгие правила обеспечения безопасности данных и трансграничной передачи, а также включают требования к локализации данных.
• Россия: Федеральный закон № 152 «О персональных данных» обязывает хранить персональные данные российских граждан на серверах в России (локализация данных).

Эти примеры показывают, что закон CLOUD Act — это не просто двусторонняя проблема между США и ЕС, а глобальный вызов согласованности международных правовых систем в цифровом пространстве.

Влияние на международную передачу данных и доверие к американским поставщикам технологий

Существование Закона CLOUD и связанные с ним неопределенности и юридические споры имеют существенные последствия для механизмов международной передачи данных и общего доверия к американским поставщикам технологий.

Закон способствует подрыву доверия к устоявшимся инструментам трансатлантической передачи данных, таким как бывший «Защитный механизм конфиденциальности» между ЕС и США или широко используемые в настоящее время стандартные договорные положения (СДП). Как отмечалось в контексте дела Schrems II, закон CLOUD Act затрудняет предположение о том, что США обеспечивают уровень защиты персональных данных, «по сути эквивалентный» законодательству ЕС.

Это вынуждает компании по всему миру более тщательно пересматривать риски использования облачных сервисов США. Им необходимо изучить, могут ли они и каким образом обеспечить соблюдение местных законов о защите данных при передаче данных американским провайдерам или их обработке ими. Это все чаще приводит к поиску альтернативных решений, таких как использование местных или региональных облачных провайдеров, не подпадающих под юрисдикцию США, или внедрение дополнительных технических и организационных мер защиты (например, сквозное шифрование с управлением собственными ключами, псевдонимизация данных или строгая локализация данных для определенных типов данных).

Правовая неопределенность, созданная Законом о облачных технологиях (CLOUD Act) и аналогичными законами в других странах, а также вытекающие из этого защитные меры, могут также усилить тенденцию к «балканизации» интернета. Это относится к растущей фрагментации глобального цифрового пространства по национальным или региональным границам, характеризующейся более строгими требованиями к локализации данных, различными техническими стандартами и более сложными трансграничными потоками данных. Закон о облачных технологиях является ключевым фактором этой глобальной тенденции к большей цифровой суверенитету. Односторонне закрепляя экстерриториальный доступ к данным и, таким образом, потенциально отменяя правовые системы других государств, США провоцируют контрмеры. Они проявляются в виде законов о локализации данных, государственной поддержки местных облачных экосистем и ужесточения национальных правил международной передачи данных. Таким образом, Закон о облачных технологиях ускоряет, возможно, непреднамеренно, движение от открытого, глобально связанного пространства данных к цифровым территориям, контролируемым на национальном или региональном уровне.

В связи с этим:

• Независимые платформы искусственного интеллекта как стратегическая альтернатива для европейских компаний

Составление карты глобальной зависимости от американских облачных провайдеров

Для оценки масштабов действия Закона о облачных технологиях (CLOUD Act) необходимо понимание глобальных рыночных долей и, как следствие, зависимости от основных американских поставщиков облачных услуг – Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP). Доминирование этих игроков на рынке в значительной степени определяет, сколько компаний и организаций по всему миру потенциально могут пострадать от требований Закона о облачных технологиях.

Доли рынка американских гипермасштабируемых компаний (AWS, Azure, GCP)

Многочисленные анализы рынка подтверждают подавляющее доминирование трех крупнейших американских гипермасштабируемых компаний на мировом рынке услуг облачной инфраструктуры (инфраструктура как услуга, IaaS, и платформа как услуга, PaaS). Вместе AWS, Microsoft Azure и GCP контролировали примерно 66%–70% мировой выручки в этом сегменте на конец 2023 года и начало 2025 года соответственно (в зависимости от источника и точного определения рынка).

Приблизительные доли рынка за четвертый квартал 2024 года можно суммировать следующим образом (на основе данных из различных источников; точные цифры могут незначительно отличаться, но тенденция остается неизменной):

• Amazon Web Services (AWS): примерно 30-33%. AWS остается явным лидером рынка, ее новаторская роль в облачных вычислениях обеспечивает ей устойчивое лидерство. Однако в последние годы наблюдается небольшая тенденция к стагнации или даже незначительному снижению доли рынка, в то время как конкуренты догоняют.
• Microsoft Azure: приблизительно 21-24%. Azure зарекомендовала себя как сильный второй игрок на рынке и демонстрирует непрерывный рост, часто обусловленный интеграцией с другими продуктами Microsoft и прочными позициями в корпоративном секторе.
• Google Cloud Platform (GCP): примерно 11-12%. GCP занимает третье место и также демонстрирует значительный рост, хотя и с меньшей базы. Google активно инвестирует в такие области, как искусственный интеллект и анализ данных, чтобы увеличить свою долю рынка.

Помимо этих трех гигантов, существуют и другие значимые игроки, чья доля рынка значительно меньше. К ним относится Alibaba Cloud, которая, занимая примерно 4% мирового рынка, играет меньшую роль, но доминирует на облачном рынке Китая. Другие поставщики с глобальной или региональной ориентацией включают IBM, Salesforce, Oracle, Tencent Cloud и Huawei Cloud (обе компании занимают сильные позиции в Китае), а также специализированных поставщиков.

В приведенной ниже таблице обобщены оценочные глобальные рыночные доли ведущих поставщиков облачной инфраструктуры (IaaS/PaaS) на конец 2024 года / начало 2025 года и проиллюстрировано доминирование крупных американских компаний, предоставляющих облачные услуги:

Оценка доли мирового рынка облачных услуг (IaaS/PaaS) в 4 квартале 2024 года/начале 2025 года

Оценка доли мирового рынка облачных услуг (IaaS/PaaS) в 4 квартале 2024 года/начале 2025 года – Изображение: Xpert.Digital

Текущие данные по мировому рынку облачных услуг IaaS/PaaS за четвертый квартал 2024 года и начало 2025 года показывают явное доминирование американских гипермасштабных компаний. AWS занимает наибольшую долю рынка — от 30 до 33 процентов, демонстрируя стабильную или незначительно снижающуюся тенденцию. За ней следует Microsoft Azure с долей от 21 до 24 процентов, демонстрирующая дальнейший рост. Google Cloud Platform (GCP) занимает от 11 до 12 процентов рынка, также демонстрируя положительную динамику. Китайский провайдер Alibaba Cloud сохраняет стабильную глобальную долю рынка около 4 процентов. Остальные провайдеры, включая IBM, Oracle, Tencent и Huawei, вместе занимают от 27 до 34 процентов рынка с различными тенденциями роста. Общая позиция американских гипермасштабных компаний заслуживает внимания, поскольку они совместно контролируют примерно от 62 до 69 процентов мирового рынка облачных услуг и демонстрируют незначительный рост.

Эти цифры подчеркивают значительную глобальную зависимость от трех крупнейших американских провайдеров. Таким образом, большая часть мировой облачной инфраструктуры потенциально подпадает под действие Закона об облачных технологиях (CLOUD Act).

Регионы/страны с высокой зависимостью

Зависимость от американских облачных провайдеров варьируется в зависимости от региона, но очень высока во многих важных экономических регионах:

• Северная Америка (особенно США и Канада): Будучи родиной гипермасштабных компаний и обладая самым высоким уровнем проникновения облачных технологий, зависимость здесь, естественно, наиболее высока. AWS занимает особенно сильные рыночные позиции в США. Канада также демонстрирует высокие инвестиции в облачные технологии и искусственный интеллект, часто через американские платформы.
• Европа: Несмотря на опасения по поводу GDPR и Закона о облачных технологиях (CLOUD Act), зависимость от AWS, Azure и GCP в Европе остается чрезвычайно высокой. Их совокупная доля рынка на континенте оценивается более чем в 70%. Интересно, что, согласно одному анализу, Azure даже опережает AWS в некоторых европейских странах, таких как Нидерланды (по сообщениям, 67% доли рынка), Польша (49%) и Япония (49%). Крупнейшие европейские экономики, такие как Германия, Великобритания и Франция, активно инвестируют в облачные технологии и искусственный интеллект, при этом американские платформы играют центральную роль. Это несоответствие между высокой зависимостью от рынка и политическим стремлением к цифровому суверенитету представляет собой ключевую область напряженности.
• Индия: Индийский рынок облачных услуг демонстрирует сильный рост и значительную зависимость от американских провайдеров, структура рынка схожа с американской: лидирует AWS (около 52%), за ней следуют Azure (около 35%) и GCP (около 13%). В то же время в Индии существует сильная политическая воля к цифровизации и растущее стремление к локализации данных, особенно конфиденциальных данных, таких как финансовые данные. Это может способствовать росту местных провайдеров в долгосрочной перспективе.
• Латинская Америка: Использование облачных технологий растет в таких странах, как Бразилия, но по-прежнему в значительной степени контролируется глобальными американскими игроками. AWS активно расширяется в регионе, например, открывая новый регион в Мексике. Местные законы о защите данных, такие как бразильский LGPD, и специфические требования к локализации данных, например, в финансовом секторе, могут влиять на динамику рынка, но пока мало что сделали для изменения фундаментальной зависимости.
• Австралия: Будучи технологически развитой страной с тесными политическими и экономическими связями с США, Австралия демонстрирует высокий уровень внедрения облачных технологий. Наличие исполнительного соглашения по Закону об облачных технологиях (CLOUD Act) между США и Австралией свидетельствует о принятии американских механизмов доступа и указывает на высокую степень зависимости от американских поставщиков.
• Другие регионы (например, Африка, некоторые части Юго-Восточной Азии): Рынки облачных услуг все еще находятся в стадии развития во многих развивающихся странах. Глобальные американские провайдеры часто доминируют здесь благодаря эффекту масштаба и технологическому лидерству. В то же время в этих регионах усиливается стремление к цифровому суверенитету и локализации данных, как показывают примеры Вьетнама и Индонезии.

Страны с меньшей зависимостью и альтернативными экосистемами (Китай, Россия)

В отличие от широко распространенной зависимости от крупных американских компаний, в Китае и России, где доминируют местные поставщики, развились в значительной степени независимые цифровые экосистемы.

• Китай: Китайский рынок облачных услуг является вторым по величине в мире, но он жестко регулируется и труднодоступен для иностранных провайдеров. Явно доминируют отечественные технологические компании: Alibaba Cloud занимает примерно 36% рынка, за ней следуют Huawei Cloud с примерно 19% и Tencent Cloud с примерно 15-16% (по состоянию на 2-й/3-й квартал 2024 года). Американские провайдеры, такие как AWS или Azure, играют лишь незначительную роль на рынке материкового Китая. Это развитие обусловлено строгим государственным регулированием, в частности, Законом о кибербезопасности (CSL) и Законом о защите персональных данных (PIPL), которые, помимо прочего, устанавливают требования к локализации данных и жестко контролируют трансграничные потоки данных. Китай также реализует собственную амбициозную стратегию в области искусственного интеллекта, которая опирается на возможности своих отечественных облачных провайдеров.
• Россия: Подобно Китаю, но по другим причинам (в частности, из-за западных санкций и активной государственной политики по продвижению цифрового суверенитета), в России наблюдается растущее отрыв от западных поставщиков технологий. Российский рынок облачных услуг доминируют местные провайдеры, в первую очередь Yandex Cloud, но значительную роль играют также такие компании, как SberCloud (возможно, теперь работающая под другим названием, например, Cloud.ru), VK Cloud и государственная телекоммуникационная компания «Ростелеком». Российское законодательство о защите персональных данных (Федеральный закон № 152) обязывает к строгой локализации персональных данных российских граждан, что затрудняет использование зарубежных облачных сервисов и благоприятствует местным провайдерам. Yandex Cloud открыто рекламирует свое соответствие этим местным законам, чтобы привлечь международные компании, стремящиеся работать на российском рынке. Государственные программы, такие как «Цифровая экономика Российской Федерации» и платформа «ГосТех», еще больше способствуют использованию отечественных облачных решений государственными учреждениями и предприятиями.
• Европейский Союз (потенциал против реальности): ЕС находится в уникальной ситуации. С одной стороны, предпринимаются явные политические усилия по снижению зависимости от американских провайдеров и установлению собственного цифрового суверенитета. Инициативы, такие как Gaia-X, и законодательные акты, такие как Закон о данных, направлены в этом направлении. Существует также ряд европейских облачных провайдеров (например, OVHcloud, Deutsche Telekom/T-Systems, IONOS). С другой стороны, как показано выше, фактическое проникновение американских гипермасштабных провайдеров на европейский рынок чрезвычайно велико. Европейским альтернативам до сих пор не удалось достичь сопоставимых рыночных долей, что часто объясняется эффектом масштаба и технологической зрелостью американских предложений. Таким образом, ЕС остается регионом высокой зависимости в сочетании с сильной политической волей к переменам.

Эти примеры показывают, что меньшая зависимость от крупных американских компаний возможна, но обычно это достигается за счет сочетания жесткого государственного регулирования, целенаправленной поддержки отечественных отраслей и, в некоторых случаях, политически мотивированного рыночного протекционизма.

Воспользуйтесь обширным пятисторонним опытом Xpert.Digital в рамках комплексного пакета услуг | НИОКР, XR, PR и оптимизация цифровой видимости - Изображение: Xpert.Digital

Компания Xpert.Digital обладает глубокими знаниями в различных отраслях. Это позволяет нам разрабатывать индивидуальные стратегии, точно соответствующие требованиям и задачам вашего конкретного сегмента рынка. Благодаря постоянному анализу рыночных тенденций и мониторингу отраслевых разработок мы можем действовать на опережение и предлагать инновационные решения. Сочетание опыта и экспертных знаний создает добавленную стоимость и обеспечивает нашим клиентам решающее конкурентное преимущество.

Более подробная информация здесь:

• Воспользуйтесь преимуществами 5 областей экспертизы Xpert.Digital в одном пакете – всего от 500 евро в месяц

Национальные стратегии и меры реагирования на Закон CLOUD

Учитывая проблемы, которые закон США о защите облачных сервисов (CLOUD Act) создает для защиты данных, суверенитета и правовой определенности, государства по всему миру разработали различные стратегии для управления связанными с этим рисками и защиты своих интересов. Эти стратегии варьируются от нормативных мер и технологических подходов до международных переговоров.

Сравнение национальных подходов

Можно выделить несколько основных подходов, которые часто комбинируются:

• Локализация данных: одним из наиболее прямых ответов является введение законов, обязывающих физически хранить и обрабатывать определенные типы данных — часто персональные данные или информацию, классифицируемую как критически важную, — в пределах национальных границ. Яркими примерами являются Россия с Федеральным законом № 152, Китай с требованиями в рамках Закона о кибербезопасности и Закона о защите персональных данных, а также, в некоторой степени, Индия (особенно в отношении платежных данных). Страны, такие как Вьетнам и Индонезия, также придерживаются аналогичных подходов. Мотивы многообразны: укрепление национального суверенитета и контроля над данными, повышение национальной безопасности путем ограничения доступа иностранных держав, а также экономический протекционизм для стимулирования развития отечественной ИТ-индустрии. Однако с технологической и экономической точки зрения строгая локализация данных часто неэффективна, поскольку она подрывает преимущества глобально распределенных облачных архитектур (таких как масштабируемость, избыточность и экономическая эффективность) и приводит к увеличению затрат для бизнеса. Число стран с такими ограничениями значительно возросло в последние годы.
• Укрепление внутреннего регулирования и международных стандартов: Многие страны сосредоточены на укреплении собственного законодательства о защите данных, чтобы установить высокие стандарты защиты и четко регулировать условия международной передачи данных. ЕС со своим GDPR является пионером в этой области. Другие страны последовали их примеру или модернизировали свои законы, часто основываясь на GDPR, например, Швейцария (revFADP), Бразилия (LGPD), Великобритания (UK GDPR) и Канада (PIPEDA). Цель часто состоит в том, чтобы быть признанными ЕС как страна с «адекватным уровнем защиты данных» для облегчения потоков данных в Европу. В то же время эти законы служат для защиты прав собственных граждан и создают правовую основу, которая потенциально может быть использована в случае конфликта с такими законами, как Закон CLOUD.
• Продвижение местных/региональных поставщиков и экосистем: Другой подход заключается в активном промышленном содействии развитию отечественных или региональных поставщиков облачных услуг и цифровых экосистем с целью создания альтернатив доминирующим американским гипермасштабным компаниям и снижения технологической зависимости. Примером этого является инициатива ЕС Gaia-X, хотя ее успех пока ограничен. В Китае и России этот подход в сочетании с жестким регулированием оказался более успешным и привел к доминированию местных поставщиков на рынках. Проблема заключается в том, что местные поставщики часто не могут достичь той же экономии за счет масштаба, того же объема инвестиций или того же глобального охвата, что и американские гиганты.
• Использование международных соглашений (исполнительные соглашения против соглашений о взаимной правовой помощи): Государства могут пытаться регулировать доступ к данным в правоохранительной деятельности посредством международных соглашений. Сам закон CLOUD предусматривает механизм исполнительных соглашений для этой цели. Такие страны, как Великобритания и Австралия, выбрали этот путь и заключили двусторонние соглашения с США, которые призваны обеспечить ускоренный прямой доступ к данным при определенных условиях. Эти соглашения обещают повышение эффективности по сравнению с часто медленными традиционными процедурами взаимной правовой помощи (соглашениями о взаимной правовой помощи). Однако другие страны или регионы, такие как ЕС, не решаются заключать подобные соглашения, отчасти из-за опасений по поводу их совместимости с собственными высокими стандартами защиты данных (GDPR, Schrems II). Они продолжают в основном полагаться на установленный процесс соглашений о взаимной правовой помощи, который предусматривает более широкое участие судебных органов запрашиваемого государства, хотя он и считается неэффективным. Выбор между этими подходами представляет собой баланс между эффективностью правоохранительной деятельности и защитой основных прав и суверенитета.
• Технические и организационные меры (ТОМ) со стороны компаний: независимо от стратегий правительства, компании сами принимают меры по снижению рисков, связанных с Законом о облачных технологиях. К ним относятся использование надежных методов шифрования, в идеале с полным контролем клиента над криптографическими ключами (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), тщательный выбор места хранения (например, центры обработки данных в ЕС), внедрение строгих мер контроля доступа, использование методов псевдонимизации или анонимизации, сотрудничество с местными партнерами или системными интеграторами, которые управляют данными от имени клиента, или внедрение гибридных облачных архитектур, в которых особо конфиденциальные данные остаются в собственном центре обработки данных компании (локально).

Примеры из практики: ЕС, Швейцария, Бразилия, Китай, Россия

Применение этих стратегий можно проиллюстрировать на примерах конкретных стран:

• ЕС придерживается многостороннего подхода. В основе лежит жесткое регулирование (GDPR, Закон о данных). Такие инициативы, как Gaia-X, направлены на укрепление суверенитета, но сталкиваются с проблемами. Одновременно ведутся переговоры с США о соглашении в рамках Закона о облачных технологиях (CLOUD Act), что подчеркивает двойственность между претензиями на суверенитет и необходимостью сотрудничества. Сохраняется высокая зависимость от американских поставщиков.
• Швейцария: Ее закон о защите данных (revFADP) тесно связан с GDPR и использует аналогичные механизмы для международной передачи данных (решения о достаточности защиты, стандартные договорные положения). В ответ на решение по делу Schrems II Швейцария заключила собственное соглашение с США (Швейцарско-американская рамочная программа защиты данных). Тем не менее, фундаментальный риск, связанный с законом CLOUD Act, сохраняется, поскольку швейцарские компании, использующие услуги США, потенциально могут быть затронуты.
• Бразилия: Законом о защите персональных данных (LGPD) был принят всеобъемлющий закон о защите данных с экстерриториальным действием, а также создан независимый орган по защите данных (ANPD). Существуют специальные правила для международной передачи данных и использования облачных сервисов, особенно в регулируемом финансовом секторе. Однако точное толкование и применение закона, в том числе в отношении противоречий с такими законами, как Закон об облачных сервисах (CLOUD Act), все еще находятся в стадии разработки.
• Китай: Он последовательно опирается на государственный контроль, строгую локализацию данных и продвижение закрытого внутреннего рынка, где доминируют национальные лидеры. Защита данных (в смысле защиты персональных данных) также служит государственному контролю и национальной безопасности.
• Россия проводит аналогичную стратегию цифрового суверенитета посредством строгой локализации данных, продвижения отечественных поставщиков и усиления технологического отрыва от Запада, подкрепляемого геополитическими факторами.

Технические и организационные меры компаний

Для компаний, использующих облачные сервисы США или работающих по всему миру, внедрение надежных технических и организационных мер имеет решающее значение для минимизации рисков. К ним относятся:

• Прозрачность и оценка рисков: Проактивное информирование клиентов о рисках, связанных с юрисдикцией, и проведение тщательного анализа рисков (оценка воздействия передачи данных – TIA) для оценки конфиденциальности данных и потенциального влияния доступа к ним.
• Тщательный отбор поставщиков: изучение альтернатив американским поставщикам, особенно европейским или местным поставщикам, не подпадающим под юрисдикцию США. Оценка обязательств поставщиков в отношении соответствия нормативным требованиям и архитектуры безопасности.
• Шифрование и управление ключами: для данных, находящихся в состоянии покоя и передаваемых, используется надежное шифрование. Контроль над криптографическими ключами имеет решающее значение. Только если клиент управляет ключами самостоятельно (BYOK), он может эффективно предотвратить доступ со стороны провайдера (и, следовательно, потенциально со стороны властей США). Решения, в которых провайдер управляет ключами (BYOK – здесь это может вводить в заблуждение), не обеспечивают полной защиты. Следует, однако, отметить, что данные для активной обработки в облаке часто необходимо хранить в расшифрованном виде в оперативной памяти, что представляет собой потенциальную возможность для доступа.
• Контроль доступа и управление: Внедрение строгих политик управления идентификацией и доступом (IAM) для ограничения доступа к данным до абсолютного минимума. Изучение возможности предотвращения доступа персонала из определенных юрисдикций (например, США) к данным в других регионах (например, ЕС) с помощью технических и организационных мер.
• Гибридные и мультиоблачные стратегии: миграция особо конфиденциальных данных и рабочих нагрузок в частное облако или локальную инфраструктуру, в то время как менее важные приложения остаются в публичном облаке. Это позволяет осуществлять дифференцированное управление рисками.
• Правовая структура: В некоторых случаях создание юридически обособленных дочерних компаний в разных юрисдикциях может рассматриваться как способ разорвать «контроль» американской материнской компании над данными в других регионах. Однако это сложный процесс, требующий тщательной юридической структуры.
• Реагирование на запросы: Разработка четких внутренних процедур обработки запросов от органов власти. Это включает в себя проверку законности запроса и готовность оспаривать решения, если они противоречат местному законодательству (например, GDPR).

Однако следует отметить, что технические и организационные меры имеют свои ограничения. До тех пор, пока компания, подпадающая под юрисдикцию США, в конечном итоге владеет, хранит или контролирует данные или ключи, необходимые для расшифровки, сохраняется фундаментальный юридический риск быть принужденной к их передаче в соответствии с Законом о облачных технологиях (CLOUD Act). Даже надежное шифрование можно обойти, если поставщика можно заставить передать ключи или он имеет доступ к уровню управления. Чисто техническое решение не может полностью устранить юридическую проблему претензий на суверенитет.

В приведенной ниже таблице представлен сравнительный обзор различных национальных стратегий:

Сравнение национальных стратегий по снижению рисков, связанных с Законом CLOUD

Сравнение национальных стратегий по смягчению рисков, связанных с Законом об облачных технологиях (CLOUD Act) – Изображение: Xpert.Digital

В разных странах и регионах мира разработаны различные стратегические подходы к решению проблем, связанных с американским законом CLOUD Act. Стратегия локализации данных, применяемая в Китае, России, а также в некоторых частях Индии и Вьетнама, предусматривает строгое хранение данных внутри страны. Хотя это усиливает национальный контроль и суверенитет и способствует развитию местной промышленности, зачастую это оказывается неэффективным, дорогостоящим, препятствует инновациям и ограничивает доступ к глобальным услугам.

ЕС с GDPR, Швейцария с FADP, Бразилия с LGPD и Великобритания с GDPR, с другой стороны, сосредоточены на укреплении собственных правил с высокими стандартами защиты данных, четкими правилами международной передачи данных и сильными надзорными органами. Эта стратегия защищает права граждан и создает правовую основу для разрешения споров, но она не решает напрямую фундаментальный конфликт юрисдикций и возлагает тяжелое бремя требований по соблюдению законодательства на компании.

Некоторые регионы активно продвигают местных поставщиков и цифровые экосистемы, например, ЕС с проектом Gaia-X или Китай и Россия со своей промышленной политикой. Эти меры снижают зависимость от иностранных поставщиков и укрепляют технологический суверенитет, но часто связаны с ограниченной конкурентоспособностью по сравнению с крупными международными поставщиками и оказываются длительными и дорогостоящими.

Великобритания и Австралия заключили исполнительные соглашения с США в рамках Закона CLOUD, в то время как ЕС все еще ведет переговоры. Эти двусторонние соглашения позволяют правоохранительным органам получить ускоренный доступ к данным и обеспечивают правовую определенность для поставщиков услуг, но могут обходить национальные стандарты защиты данных и легитимизировать доступ США к данным.

Многие страны негласно придерживаются традиционного процесса MLAT (Договора о взаимной правовой помощи), который предлагает устоявшиеся процедуры правовой помощи с более сильными гарантиями верховенства права, но считается медленным, бюрократическим и неэффективным для цифровых доказательств.

Компании по всему миру также внедряют технические и организационные меры, такие как шифрование с использованием собственных ключей, строгий контроль доступа, гибридные облачные решения и комплексный анализ рисков. Хотя эти меры могут снизить риски и продемонстрировать соответствие требованиям, они часто не решают фундаментальную проблему юрисдикции и являются сложными и потенциально дорогостоящими в реализации.

В связи с этим:

• Интеграция ИИ в независимую платформу, использующую данные из разных источников, для удовлетворения всех бизнес-потребностей

Проблемный закон с далеко идущими последствиями

Анализ американского закона CLOUD Act и его глобального влияния выявляет сложную сеть правовых конфликтов, технологических зависимостей, геополитической напряженности и стратегических ответных мер. Хотя закон был разработан с понятной целью повышения эффективности правоприменения в цифровую эпоху, в его нынешнем виде он оказывается крайне проблематичным и представляет значительные риски для отдельных лиц, предприятий и государств по всему миру.

Краткое изложение основных проблем Закона CLOUD

Основные критические замечания и проблемные области можно суммировать следующим образом:

• Конфликт с национальным суверенитетом и правовыми системами: Явное экстерриториальное толкование Закона CLOUD, предоставляющее властям США доступ к данным независимо от места их хранения, в корне противоречит пониманию суверенитета, которым обладают другие государства и их правовые системы. Это особенно очевидно в конфликте с Общим регламентом по защите данных ЕС (GDPR), особенно со статьей 48, которая связывает признание распоряжений иностранных правительств с международными соглашениями.
• Правовая неопределенность и коллизия законов: для компаний, работающих по всему миру, особенно для поставщиков облачных услуг, законодательство создает значительную правовую неопределенность. Они сталкиваются с потенциально противоречащими друг другу правовыми обязательствами – с одной стороны, с распоряжением США о раскрытии данных, а с другой – с законами о защите данных или конфиденциальности страны, где хранятся данные или граждане которой затронуты. Это приводит к дилемме с потенциальными санкциями с обеих сторон.
• Подрыв доверия: Закон CLOUD значительно подрывает доверие к американским поставщикам технологий. Возможность доступа американских властей к данным путем обхода местных процедур или без ведома затронутых лиц подпитывает недоверие к безопасности и конфиденциальности данных. Это относится как к персональным данным, так и к конфиденциальной корпоративной информации, и усугубляется параллельными опасениями относительно законов США о слежке (проблема Шремса II).
• Риски, выходящие за рамки правоохранительной деятельности: Хотя заявленная цель — борьба с серьезными преступлениями, существуют опасения по поводу злоупотребления правами доступа в целях государственного наблюдения или экономического шпионажа. Эти риски трудно контролировать, и они способствуют потере доверия.
• Содействие глобальной фрагментации: односторонний подход Закона о облачных технологиях (CLOUD Act) выступает катализатором глобальных тенденций фрагментации в цифровом пространстве. Он провоцирует контрреакции в виде законов о локализации данных и продвижения национальных цифровых экосистем, что способствует «балканизации» интернета и препятствует свободному глобальному потоку данных.

Обзор глобальной ситуации с зависимостями

Анализ рыночной доли выявляет масштабную глобальную зависимость от трех крупнейших американских облачных провайдеров: AWS, Microsoft Azure и GCP. В частности, в Северной Америке и Европе они контролируют более двух третей рынка услуг облачной инфраструктуры. Такая высокая концентрация создает широкую потенциальную поверхность для атак на Закон об облачных технологиях (CLOUD Act).

В противоположность этому, такие страны, как Китай и Россия, создали в значительной степени независимые цифровые экосистемы благодаря жесткому государственному регулированию, поддержке отечественных поставщиков и рыночному протекционизму. Они демонстрируют, что меньшая зависимость возможна, хотя зачастую и ценой ограниченной глобальной связи и потенциально меньшей свободы выбора.

Европейский союз находится в двойственном положении: с одной стороны, он сильно зависит от американских поставщиков услуг, а с другой — существует сильная политическая воля и конкретные инициативы (Gaia-X, Data Act) по укреплению цифрового суверенитета и продвижению альтернатив. Однако успех этих усилий остается неопределенным.

Прогноз дальнейшего развития событий

Тенденции, вызванные Законом CLOUD и аналогичными событиями, скорее всего, сохранятся:

• Вероятно, распространенность законов о локализации данных возрастет, поскольку все больше стран стремятся сохранить контроль над данными, находящимися на их территории.
• Усилия по созданию региональных или национальных альтернатив облачным сервисам будут продолжаться, несмотря на то, что добиться успеха в конкуренции с устоявшимися гипермасштабными компаниями по-прежнему сложно. Такие инициативы, как Gaia-X, могут перерасти в стандартизационные структуры для облачных пространств.
• Ожидается, что США будут добиваться заключения дополнительных соглашений с стратегическими партнерами для упрощения доступа к данным. Однако переговоры с ЕС остаются сложными.
• Правовые споры, касающиеся международной передачи данных, особенно в контексте дела Шремса II и последующих нормативных актов (таких как Рамочное соглашение ЕС-США о защите данных), будут продолжаться. Вопрос об «адекватном уровне защиты» в США остается актуальной проблемой.
• Для компаний разработка и внедрение надежных стратегий обеспечения соответствия нормативным требованиям и технических решений по снижению рисков (шифрование, гибридные модели и т. д.) приобретает все большее значение для работы в этой сложной среде.

В заключение следует признать, что Закон CLOUD решает реальную проблему: необходимость для правоохранительных органов своевременно получать доступ к хранящимся за рубежом доказательствам в цифровую эпоху. Традиционные процедуры MLAT часто слишком медленны и неэффективны. Однако любое устойчивое решение должно найти способ согласовать эту законную потребность правоохранительных органов с фундаментальными правами на защиту данных и неприкосновенность частной жизни, а также суверенитетом государств. По мнению многих международных наблюдателей и заинтересованных сторон, Закон CLOUD в его нынешнем виде не обеспечивает этот баланс. Он представляет собой решение, ориентированное на США, которое не учитывает должным образом проблемы и правовые системы других стран, создавая тем самым больше проблем, чем решая. Международно скоординированное решение, основанное на взаимном уважении правовых систем и надежных гарантиях фундаментальных прав, остается насущной необходимостью.

Рекомендации к действию

Анализ Закона CLOUD и его глобального влияния позволяет сформулировать конкретные рекомендации для европейских компаний и организаций, а также для лиц, принимающих политические решения.

Для европейских компаний и организаций:

• Проведение всестороннего анализа рисков: Компаниям следует систематически оценивать свою зависимость от американских облачных провайдеров. Это включает классификацию обрабатываемых данных по степени конфиденциальности и анализ потенциальных рисков в случае доступа к данным со стороны властей США. Проведение оценок воздействия на передачу данных (TIA), как того требует закон Шремса II, имеет важное значение.
• Тщательный выбор поставщиков облачных услуг: целесообразно активно рассматривать европейских или других поставщиков облачных услуг, не являющихся резидентами США, в качестве альтернативы, поскольку они не подпадают под юрисдикцию США или регулируются менее строгими правилами. Оценивать поставщиков следует на основе их договорных обязательств в отношении требований Закона об облачных технологиях (CLOUD Act), используемых ими технических средств защиты и сертификатов соответствия.
• Надежная структура договора: Договоры с поставщиками облачных услуг должны содержать четкие положения об обработке данных, местах хранения, мерах безопасности и обработке официальных запросов в соответствии со статьей 28 GDPR.
• Внедрение надежных технических мер: важной мерой безопасности является использование сквозного шифрования, при котором криптографические ключи остаются исключительно под контролем клиента (Hold Your Own Key – HYOK). Необходимо внедрить строгий контроль доступа (управление идентификацией и доступом) и, при необходимости, методы псевдонимизации или анонимизации.
• Использование гибридных или мультиоблачных стратегий: для особо конфиденциальных данных может быть выгодно использовать частные облака или локальную инфраструктуру, в то время как менее критичные рабочие нагрузки могут оставаться в публичном облаке. Это позволяет осуществлять дифференцированное управление рисками.
• Получение специализированной юридической консультации: Ввиду сложной и постоянно меняющейся правовой ситуации, получение специализированной юридической консультации для оценки конкретных рисков и разработки жизнеспособной стратегии соблюдения нормативных требований имеет важное значение.

Для лиц, принимающих политические решения (особенно в ЕС):

• Укрепление европейского цифрового суверенитета: последовательное продвижение таких инициатив, как Gaia-X, и поддержка развития конкурентоспособных европейских поставщиков облачных услуг необходимы для создания подлинных технологических альтернатив и снижения зависимости. Закон о данных должен использоваться для обеспечения справедливых рыночных условий и контроля над данными.
• Четкая позиция на международных переговорах: Переговоры о потенциальном исполнительном соглашении между ЕС и США по Закону CLOUD должны гарантировать полное соблюдение высоких европейских стандартов защиты данных (GDPR, Хартия основных прав ЕС, положения дела Шремса II). Это включает в себя надежные гарантии верховенства права, соразмерности, прозрачности и эффективной правовой защиты субъектов данных. Приоритет установленных процедур взаимной правовой помощи (MLAT) или эквивалентных гарантий должен быть закреплен.
• Содействие внедрению глобальных стандартов: ЕС должен выступать на международном уровне за разработку согласованных правил и стандартов трансграничного доступа государственных органов к данным, основанных на верховенстве права, уважении основных прав и взаимном уважении между национальными правовыми системами.
• Обучение и поддержка бизнеса: Политики и регулирующие органы должны предоставлять четкие указания и практическую поддержку предприятиям, чтобы помочь им оценить риски и внедрить меры по соблюдению требований Закона о облачных технологиях (CLOUD Act) и в отношении международной передачи данных.

☑️ Поддержка малых и средних предприятий в области стратегии, консалтинга, планирования и реализации проектов

☑️ Создание или корректировка стратегии в области ИИ

☑️ Развитие новаторского бизнеса

Konrad Wolfenstein

Я с удовольствием стану вашим личным консультантом.

Вы можете связаться со мной, заполнив форму обратной связи ниже, или просто позвонить мне по номеру +49 89 89 674 804 (Мюнхен) .

Я с нетерпением жду начала нашего совместного проекта.

Xpert.Digital — это центр для предприятий, специализирующийся на цифровизации, машиностроении, логистике/внутрипроизводственной логистике и фотовольтаике.

С помощью нашего комплексного решения для развития бизнеса мы поддерживаем известные компании на всех этапах, от привлечения новых клиентов до послепродажного обслуживания.

Анализ рынка, маркетинговый маркетинг, автоматизация маркетинга, разработка контента, PR, почтовые рассылки, персонализированные кампании в социальных сетях и работа с потенциальными клиентами — все это входит в число наших цифровых инструментов.

Более подробную информацию можно найти по ссылкам: www.xpert.digital - www.xpert.solar - www.xpert.plus