Опубликовано: 4 мая 2025 г. / Обновлено: 21 июля 2025 г. – Автор: Konrad Wolfenstein
Безопасность данных и цифровой суверенитет в Европе: обеспечивают ли инвестиции Microsoft в Европу защиту данных? – Изображение: Xpert.Digital
Почему местоположение сервера не гарантирует безопасность данных
Компания Microsoft недавно объявила о значительных инвестициях в Европу, включая обеспечение безопасности исходного кода в Швейцарии и расширение своей облачной инфраструктуры. Эти действия интерпретируются как ответ на политическую неопределенность и растущую обеспокоенность европейских клиентов. Несмотря на эти усилия, сохраняется фундаментальный конфликт между законодательством США и европейскими правилами защиты данных, что поднимает вопрос о том, может ли размещение серверов в Европе действительно обеспечить достаточную защиту. В этом отчете анализируются гарантии Microsoft для Европы, объясняется правовой конфликт между американским законом CLOUD Act и GDPR, а также рассматривается, почему физическое местоположение данных само по себе не гарантирует безопасность и суверенитет данных.
В связи с этим:
Обновление от 21 июля 2025 г.:
Новые цифровые гарантии Microsoft для Европы
В свете торговых войн, развязанных администрацией Трампа, и внезапных политических решений многие европейские клиенты утратили доверие к цифровым продуктам из США. Microsoft реагирует на это конкретными обязательствами и инвестициями в Европе.
Масштабные инвестиции в инфраструктуру
Компания Microsoft объявила о планах расширения своих мощностей центров обработки данных в Европе примерно на 40 процентов в течение следующих двух лет, доведя их количество до 16 европейских стран. Компания планирует ежегодно инвестировать в это расширение десятки миллиардов долларов. Эти меры призваны не только удовлетворить растущий спрос на облачные сервисы и инфраструктуру искусственного интеллекта, но и укрепить доверие европейских клиентов.
Брэд Смит, главный юрисконсульт и президент Microsoft, в своем блоге подчеркивает тесные экономические связи компании с Европой и заверяет читателей, что Microsoft не уйдет из региона. Европейские центры обработки данных будут работать независимо и управляться гражданами ЕС, соблюдая и реализуя европейские законы.
Швейцарское резервное копирование исходного кода и обеспечение непрерывности бизнеса
Особенно примечательной гарантией является резервное копирование исходного кода Microsoft в Швейцарии. Компания создает резервные копии своего исходного кода в защищенных хранилищах данных в Швейцарии и предоставляет юридически обязательные права доступа европейским партнерам. Эта мера служит планом действий на случай «маловероятного события», когда Microsoft когда-либо будет вынуждена прекратить предоставление своих услуг в Европе.
Microsoft также планирует определить европейских партнеров и внедрить планы действий в чрезвычайных ситуациях для обеспечения непрерывности бизнеса. Это уже реализуется в рамках партнерских соглашений во Франции и Германии с центрами обработки данных Bleu и Delos.
Граница обработки данных в ЕС: ответ Microsoft на опасения по поводу конфиденциальности
Ключевым элементом стратегии Microsoft в Европе является внедрение так называемой «европейской границы данных» для облачной платформы Microsoft.
Комплексное размещение данных на территории ЕС
С января 2024 года европейские клиенты из коммерческого и государственного секторов получили возможность хранить и обрабатывать все свои данные и учетные данные пользователей для основных облачных сервисов Microsoft, включая Microsoft 365, Dynamics 365, Power Platform и Azure, на территории ЕС и ЕФТА. В феврале 2025 года был завершен третий и заключительный этап расширения границ хранения данных в ЕС, включив в них данные Microsoft Professional Services, полученные в ходе взаимодействия с технической поддержкой.
Предлагая это решение, Microsoft идет дальше многих других облачных провайдеров: компания обеспечивает не только локальное хранение и обработку данных клиентов, но и всех персональных данных, включая данные из автоматически генерируемых системных журналов.
Дополнительные параметры безопасности
Microsoft предлагает европейским клиентам несколько вариантов защиты и шифрования данных. К ним относятся функция конфиденциальных вычислений в Azure, которая предотвращает доступ третьих лиц, включая саму Microsoft, к данным клиентов, а также функции «Lockbox» для Azure, Dynamics 365 и Microsoft 365, позволяющие клиентам просматривать и утверждать запросы до того, как Microsoft получит доступ к их данным.
В число других вариантов обеспечения безопасности входят Azure Key Vault и Microsoft Purview Customer Key, которые позволяют клиентам защищать свои данные с помощью технологии шифрования с самостоятельным управлением.
Фундаментальный конфликт: Закон о облачных технологиях против GDPR
Несмотря на все усилия и заверения, сохраняется фундаментальный правовой конфликт, поднимающий вопрос о том, действительно ли данные европейских компаний находятся в безопасности у американских поставщиков.
Экстерриториальная сфера действия Закона CLOUD
Закон CLOUD (Clarifying Lawful Overseas Use of Data Act), вступивший в силу в 2018 году, позволяет правоохранительным органам США обязывать компании, базирующиеся в США, предоставлять доступ к данным независимо от того, где эти данные физически хранятся. Это также относится к данным, хранящимся в ЕС, но управляемым американскими компаниями или их дочерними предприятиями.
Закон обязывает американские интернет-компании и поставщиков ИТ-услуг предоставлять властям США доступ к хранящимся данным, даже если данные хранятся не в США. Хотя затронутые компании имеют право возражать, если владелец данных не является гражданином США и раскрытие данных компанией нарушит законы других стран, это право распространяется только на страны, имеющие соглашение с США в рамках Закона о облачных технологиях (CLOUD Act), которое в настоящее время действует только в Великобритании.
Возражения против GDPR
Европейский общий регламент по защите данных (GDPR) прямо противоречит Закону о защите данных в облаке (CLOUD Act). Статья 48 GDPR запрещает компаниям передавать данные, хранящиеся в пределах ЕС, без соглашения о взаимной правовой помощи. Нарушения этого положения могут караться штрафами в размере до 20 миллионов евро или четырех процентов от годового глобального оборота компании.
Несовместимость между американским законом о облачных сервисах (CLOUD Act) и общим регламентом ЕС по защите данных (GDPR) ставит компании, использующие облачные сервисы, перед безвыходной дилеммой. Им предстоит выбрать между нарушением закона о облачных сервисах и GDPR, причем оба варианта могут повлечь за собой значительные штрафы.
В связи с этим:
Почему местоположение сервера не гарантирует безопасность данных
Вопреки распространенному мнению, сам факт хранения данных на серверах в Германии или ЕС не обеспечивает достаточной защиты от несанкционированного доступа.
Неправильное понимание безопасности данных при выборе местоположения
Убеждение, что данные на серверах в Германии автоматически защищены от доступа извне, считается «опасным заблуждением». Даже если персональные данные хранятся в центрах обработки данных в Европейском Союзе, американский облачный провайдер может быть юридически обязан раскрыть эти данные властям США в рамках уголовного расследования.
Особый риск существует, если головной офис или представитель облачного провайдера находится в США, обработка данных осуществляется через инфраструктуру США, или если американская корпорация имеет прямой или косвенный доступ к данным. В таких случаях существует вероятность того, что власти США могут получить доступ к персональным данным даже без ведома или согласия субъектов данных в Европе.
Угроза интеллектуальной собственности и коммерческой тайне
Проблема выходит далеко за рамки защиты персональных данных. Закон CLOUD создает реальные риски, которые также ставят под угрозу безопасность и конфиденциальность всех типов конфиденциальных данных, включая интеллектуальную собственность, прототипы НИОКР, данные клиентов и частную переписку.
Даже если данные хранятся в центрах обработки данных ЕС, закон CLOUD Act может обязать американские компании передавать эти данные властям США. Это не только подрывает защиту, предоставляемую GDPR и суверенитетом данных ЕС, но и подвергает критически важную деловую информацию, такую как прототипы или стратегические планы, риску несанкционированного доступа.
Из-за потенциальных возможностей доступа со стороны властей США «компании фактически теряют контроль над своими данными и, следовательно, над своей интеллектуальной собственностью», что особенно важно для коммерческой тайны.
Решения для повышения суверенитета данных
В свете описанных проблем возникает вопрос о том, какие меры могут предпринять компании для сохранения суверенитета над своими данными.
Альтернативные облачные провайдеры и технические меры
Эффективная защита от несанкционированного доступа на основе Закона о облачных технологиях (CLOUD Act) гарантируется только в том случае, если все поставщики и субподрядчики работают вне рамок законодательства США, используется исключительно европейская инфраструктура и внедрено сквозное шифрование с контролем ключей исключительно на стороне пользователя.
Поэтому эксперты рекомендуют принимать следующие меры предосторожности при выборе поставщика облачного хранилища или резервного копирования:
- Выбор поставщика услуг, базирующегося в ЕС и не подпадающего под действие Закона о облачных технологиях (CLOUD Act)
- Гарантии суверенитета данных, при которых как сами данные, так и ключи шифрования остаются полностью в пределах ЕС
- Консультации экспертов в области права и комплаенса, специализирующихся на GDPR и защите данных
Альтернативные подходы: Открытый исходный код как стратегия
Швейцария применяет интересный альтернативный подход: в апреле 2023 года был принят Федеральный закон об использовании электронных средств для выполнения государственных задач (EMBAG), который предусматривает, что государственное программное обеспечение должно быть с открытым исходным кодом и что исходный код должен быть раскрыт.
Профессор доктор Маттиас Штюрмер из Бернского университета прикладных наук, который активно поддерживал этот закон, описывает его как «прекрасную возможность для государства, ИТ-индустрии и общества». Этот подход направлен на снижение зависимости государственного сектора от одного поставщика от другого, предоставление компаниям возможности расширять свои цифровые бизнес-решения и потенциальное снижение затрат на ИТ и улучшение качества услуг для налогоплательщиков.
Путь к подлинному цифровому суверенитету
Инвестиции Microsoft в Европу и внедрение европейского механизма контроля за данными являются важными шагами на пути к большей защите суверенитета в отношении данных для европейских компаний и государственных учреждений. Однако они не в полной мере решают фундаментальный правовой конфликт между американским законом CLOUD Act и европейским регламентом GDPR.
Простое хранение данных на европейских серверах не обеспечивает достаточной защиты от потенциального доступа со стороны властей США, если облачный провайдер подчиняется американскому законодательству. Эта ситуация не только ставит под сомнение защиту данных, но и угрожает интеллектуальной собственности и коммерческой тайне европейских компаний.
Таким образом, для достижения подлинного цифрового суверенитета необходимы более комплексные подходы, учитывающие как правовые, так и технические аспекты. К ним относятся использование облачных сервисов, работающих полностью вне рамок законодательства США, последовательное сквозное шифрование с контролем ключей на стороне пользователя, а также потенциально увеличение инвестиций в решения с открытым исходным кодом.
В конечном итоге Европе необходима собственная независимая облачная инфраструктура, которая будет обладать суверенитетом не только с технической, но и с юридической точки зрения. До тех пор компаниям и государственным учреждениям необходимо тщательно обдумывать, какие данные они хранят, где и как, а также каким поставщикам можно доверять.
В связи с этим:
Ваш глобальный партнер по маркетингу и развитию бизнеса
☑️ Язык ведения нашего бизнеса — английский или немецкий
☑️ НОВИНКА: Переписка на вашем родном языке!
Konrad Wolfenstein
Я и моя команда будем рады быть вашими личными консультантами.
Вы можете связаться со мной, заполнив контактную форму здесь , или просто позвонить мне по номеру +49 89 89 674 804 ( Мюнхен) . Мой адрес электронной почты: [email protected]
Я с нетерпением жду начала нашего совместного проекта.
