Зашто је амерички CLOUD закон проблем и ризик за Европу и остатак света: Закон са далекосежним последицама

Зашто је амерички CLOUD закон проблем и ризик за Европу и остатак света: Закон са далекосежним последицама

Овај чланак анализира амерички Закон о разјашњавању законите употребе података у иностранству (CLOUD) из 2018. године и његове далекосежне последице по глобалну заштиту података, суверенитет података и међународну сарадњу. Закон CLOUD овлашћује америчке власти да захтевају од америчких добављача комуникационих и cloud услуга да открију податке које поседују, чувају или контролишу, без обзира на то где се подаци физички чувају – укључујући и ван САД. Овај екстериторијални домет је у суштини у супротности са режимима заштите података као што је Општа уредба о заштити података (GDPR) Европске уније, посебно са њеним правилима о међународном преносу података (члан 48 GDPR-а).

Анализа показује да Закон CLOUD ствара значајну правну несигурност за глобално пословајуће компаније које се суочавају са супротстављеним законским захтевима. Он поткопава поверење у америчке добављаче технологије и успостављене механизме преноса података, проблем који је погоршала пресуда Европског суда правде у случају Schrems II. Ван Европе, закон представља ризик од владиног надзора, индустријске шпијунаже и сукоба са локалним правним системима широм света.

Глобална зависност од главних америчких добављача услуга у облаку (AWS, Microsoft Azure, Google Cloud) је огромна, посебно у Северној Америци и Европи. Истовремено, земље попут Кине и Русије развијају затворене дигиталне екосистеме са јаким локалним добављачима и строгом регулацијом, што смањује њихову зависност. Друге нације и региони, укључујући ЕУ са иницијативама попут Gaia-X и Закона о подацима, спроводе различите стратегије за ублажавање ризика, од закона о локализацији података и промоцији локалних алтернатива до преговарања о билатералним споразумима са САД.

Упркос легитимној потреби за убрзањем спровођења закона преко границе – што је основни циљ Закона CLOUD, с обзиром на спорост традиционалних поступака узајамне правне помоћи – многи критичари тврде да закон не успева да задовољавајуће уравнотежи ефикасну превенцију криминала са заштитом основних права и националног суверенитета. Извештај се завршава препорукама за предузећа и креаторе политике о сналажењу у овом сложеном окружењу.

У вези са овим:

• Зависни од америчког облака? Немачка се бори за облак: Како планирају да се такмиче са AWS (Amazon) и Azure (Microsoft)

Амерички CLOUD закон и његов утицај на европски суверенитет података

Текућа дигитализација и повезано померање обраде и складиштења података на облачне инфраструктуре глобалних провајдера фундаментално су променили начин на који послују предузећа и јавне администрације. Конкретно, услуге главних америчких хиперскалера – Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP) – постале су саставни део дигиталне инфраструктуре многих земаља. Овај развој нуди огроман потенцијал за ефикасност и иновације, али истовремено ствара нове и сложене изазове за заштиту података, безбедност података и очување националног суверенитета.

Овај проблем је значајно погоршан усвајањем америчког Закона о разјашњавању законите употребе података у иностранству (CLOUD) у марту 2018. године. Овај амерички савезни закон даје америчким агенцијама за спровођење закона и истражним агенцијама широка овлашћења за приступ подацима које чувају и којима управљају широм света америчке компаније или компаније под јурисдикцијом САД. Кључни проблем лежи у експлицитном екстратериторијалном делокругу закона: америчке власти могу захтевати објављивање података чак и ако се они налазе на серверима ван Сједињених Држава.

Ова законска одредба доводи до директних и фундаменталних сукоба са утврђеним режимима заштите података у другим земљама, а посебно са Општом уредбом о заштити података (GDPR) Европске уније. Могућност приступа од стране америчких власти, заобилазећи међународно договорене процедуре узајамне правне помоћи и потенцијално без поштовања строгих европских стандарда заштите података, изазива значајну забринутост у вези са владиним надзором, индустријском шпијунажом и ерозијом дигиталног суверенитета. Закон CLOUD се стога широко сматра проблематичним и представља ризик за предузећа и грађане не само у Европи већ и широм света.

Овај чланак има за циљ да пружи свеобухватну и добро утемељену анализу америчког Закона о облаку (CLOUD Act) и његовог глобалног утицаја. Анализира основне механизме Закона и његову екстериторијалну димензију. Посебан фокус је стављен на детаљно испитивање потенцијалних сукоба са Општом уредбом ЕУ о заштити података (GDPR) и резултирајућим импликацијама по европски суверенитет података, такође у светлу судске праксе Европског суда правде (ECJ), посебно пресуде у случају Schrems II. Поред тога, истакнути су ризици и потенцијалне негативне последице за земље ван Европе. Извештај мапира глобални пејзаж зависности од америчких добављача услуга у облаку, идентификује регионе са високом и ниском зависношћу и упоредно анализира стратегије које различите земље спроводе како би се суочиле са изазовима које представља Закон о облаку.

Структура овог чланка прати овај циљ: Након овог увода, друго поглавље детаљно објашњава основне одредбе и екстериторијални обим Закона CLOUD. Треће поглавље се бави сукобом између Закона CLOUD, GDPR-а и европског суверенитета података. Четврто поглавље испитује глобалне ризике и импликације ван Европе. Пето поглавље мапира глобалну зависност од америчких добављача услуга у облаку, док шесто поглавље упоређује националне стратегије и одговоре на Закон CLOUD. Синтеза налаза и закључак чине седмо поглавље, након чега следе препоруке за деловање у осмом поглављу.

Амерички CLOUD закон: Основне одредбе и екстериторијални обим

Закон о разјашњавању законите употребе података у иностранству (CLOUD) представља значајан законски пропис у вези са прекограничним приступом подацима од стране америчких власти. Да би се у потпуности разумеле његове импликације, неопходно је пажљиво испитати његову правну основу, његово функционисање, а посебно његове екстратериторијалне захтеве.

Правни основ и функционалност

Закон CLOUD је донет 23. марта 2018. године, као део свеобухватног закона о буџету (Consolidated Appropriations Act, 2018, Public Law 115-141, Division V) и одмах је ступио на снагу. Он не ствара потпуно нови правни оквир, већ првенствено мења постојеће законе, посебно Закон о сачуваним комуникацијама (SCA) из 1986. године, који је део Закона о приватности електронских комуникација (ECPA). SCA регулише услове под којима агенције владе САД могу приступити сачуваним подацима о електронским комуникацијама које поседују добављачи услуга.

Суштина Закона CLOUD, кодификованог, између осталог, у 18 U.S.C. §§ 2713 и 2523, обавезује пружаоце услуга електронске комуникације (ECS) и услуга удаљеног рачунарства (RCS) који подлежу јурисдикцији САД да се придржавају налога за обезбеђивање, прављење резервних копија или откривање садржаја електронских комуникација, као и метаподатака или других информација о купцима или претплатницима. Ова обавеза се односи на податке који су у поседу, чувању или контроли пружаоца услуга. Јурисдикција САД може се проширити и на пружаоце услуга чије главно седиште није у САД, али који имају довољну везу са Сједињеним Државама, на пример, путем пословних односа, филијале у САД или уговора са купцима у САД.

Кључно појашњење које пружа Закон CLOUD јесте да се ова обавеза откривања података примењује без обзира на то да ли се предметни подаци налазе унутар или ван Сједињених Држава („без обзира на то да ли се таква комуникација, запис или друге информације налазе унутар или ван Сједињених Држава“).

Катализатор за овај закон био је првенствено правни спор Сједињене Америчке Државе против Мајкрософта (често називан „случај Мајкрософт Ирска“). У овом случају, Мајкрософт је одбио да преда имејлове клијента сачуване на серверу у Ирској ФБИ-ју, тврдећи да амерички налози немају екстериторијално дејство и да се Споразум о безбедносној усаглашености (SCA) не примењује на податке ван САД. Случај је стигао до Врховног суда, али је покренут због усвајања Закона CLOUD, који је одлучио правно питање у корист владе.

Важно је нагласити да, према влади САД и организацијама које га подржавају, Закон CLOUD не представља дозволу за масовни надзор или произвољни приступ подацима. Налози за приступ (обично налози засновани на „вероватном узроку“ или судски позиви) и даље морају бити у складу са захтевима владавине права америчког закона, бити специфични и подложни судској ревизији. Ограничени су на податке који би могли бити релевантни у вези са одређеним кривичним истрагама („тешки злочини, укључујући тероризам“). Штавише, Закон CLOUD експлицитно не ствара обавезу за добављаче да дешифрују податке ако их поседују само у шифрованом облику и не контролишу кључеве.

Екстериторијална пријава и захтев за надлежност

Централна и најконтроверзнија иновација Закона CLOUD је правно учвршћивање екстериторијалног делокруга америчких налога за приступ подацима. Закон разјашњава да обавеза предаје података постоји за добављаче под јурисдикцијом САД, без обзира на физичку локацију где се подаци чувају.

Овај став се заснива на утврђеном правном принципу да држава може да примора компаније под својом јурисдикцијом да открију информације које су под њеном контролом, чак и ако се те информације чувају у иностранству. Закон CLOUD кодификује овај принцип посебно за податке електронских комуникација у контексту Закона о контроли ризика (SCA).

Ова једнострана претензија на екстериторијални приступ је главни извор међународне забринутости и правних сукоба, посебно у вези са Европском унијом и њеном Општом уредбом о заштити података (GDPR). Доживљава се као кршење суверенитета других држава и као потенцијално заобилажење утврђених процедура међународне правне помоћи.

Извршни споразуми као алтернатива уговорима о међусобној правној помоћи

Поред разјашњења екстериторијалног делокруга америчких наредби, Закон CLOUD уводи други важан механизам: Он овлашћује извршну власт САД (председника или владу) да закључује билатералне споразуме, такозване „Извршне споразуме“, са „квалификованим“ страним владама.

Наведени циљ ових споразума је убрзање и поједностављење прекограничног приступа подацима у сврху гоњења тешких кривичних дела (укључујући тероризам). Њихова намена је да пруже алтернативу или допуну традиционалним уговорима о међусобној правној помоћи (MLAT), чије се процедуре често критикују као превише споре и бирократске да би пратиле брзину дигиталног криминала.

Основни механизам ових Извршних споразума јесте уклањање правних препрека („сукоби закона“ или „правна ограничења“) које би могле спречити добављаче да се придржавају законитих налога земље партнера. Конкретно, такав споразум би омогућио, на пример, добављачу из САД да директно поступи у складу са налогом Уједињеног Краљевства без кршења закона САД (нпр. ограничења у вези са откривањем података из Закона о контроли саобраћаја), и обрнуто. Власти сваке земље би стога могле да користе сопствене националне процедуре за захтевање података од добављача у другој земљи.

САД могу закључивати такве споразуме само са државама које се сматрају „квалификованим“. Ово захтева потврду од стране државног тужиоца САД и државног секретара Конгресу да дотична земља партнер има робусне материјалне и процедуралне заштите за приватност и грађанске слободе и да их примењује у пракси. Земља партнер мора поштовати владавину права, недискриминацију и заштиту података.

До данас, САД су закључиле такве Извршне споразуме са Уједињеним Краљевством (потписан 2019. године, на снази од октобра 2022. године) и Аустралијом (потписан у децембру 2021. године). Преговори са Европском унијом најављени су 2019. године и у току су, али се показују тешким због сложене правне ситуације (GDPR, Schrems II) и учешћа 27 држава чланица.

Важне заштитне мере за ове споразуме предвиђене су у самом Закону CLOUD: Налози издати у складу са таквим споразумом не смеју бити усмерени на лица САД (држављане или сталне становнике) или лица која бораве у САД. Морају бити специфични (нпр. усмерени на одређену особу или налог) и подложни независном преиспитивању или надзору (нпр. од стране суда).

Правни путеви за добављаче

Закон CLOUD експлицитно предвиђа механизам којим добављачи могу легално да оспоре налоге за приступ САД под одређеним условима (тзв. „предлог за поништење или измену“). Ово право постоји ако добављач „разумно верује“ да су испуњена два кумулативна услова:

• Дотични купац или претплатник није држављанин САД и не борави у САД.
• Потребно откривање би створило „материјални ризик“ да би добављач прекршио законе „квалификоване стране владе“. „Квалификована страна влада“ је она са којом САД имају Извршни споразум према Закону CLOUD.

Ако добављач поднесе такву жалбу, надлежни суд САД може изменити или поништити налог. Међутим, то се дешава само ако суд утврди да (а) би откривање заиста кршило закон стране државе која испуњава услове, (б) усвајање жалбе служи интересима правде и (ц) интереси правде то захтевају, узимајући у обзир укупност околности.

Да би се проценило шта захтевају „интереси правде“, закон наводи конкретне факторе које суд мора да процени („анализа саосећања“). То укључује, између осталог: интересе САД и стране владе, вероватноћу и природу казни са којима би се пружалац услуга суочио у иностранству, везе појединца и пружаоца услуга са САД и иностранством, значај информација за истрагу и доступност алтернативних начина за добијање информација.

Међутим, ова законска одредба поставља питања у вези са њеном практичном ефикасношћу. Фокусирање експлицитног основа за жалбу на правне сукобе са квалификованим страним владама (тј. онима са Извршним споразумом) могло би ослабити позицију пружалаца услуга који желе да се позову на законе земаља без таквог споразума, као што је Општа уредба о заштити података о заштити података ЕУ у њеном садашњем облику без споразума између ЕУ и САД. Иако остаје могућност позивања на опште принципе међународне љубазности и љубазности обичајног права, специфичан правни механизам је ужи. Ово би могло да наведе америчке судове да дају мању тежину сукобима са законима држава које нису потписале споразум или да процес жалбе посматрају као мање јасно дефинисан.

Штавише, практична релевантност опције жалбе је генерално ограничена. Терет доказивања је на пружаоцу услуга, који мора да докаже да „разумно верује“ да су услови испуњени. Чак и ако се докаже сукоб закона, суд може поништити налог, али није обавезан да то учини. Одлука се заснива на балансирању нејасних правних концепата као што су „интереси правде“ и „укупност околности“, што суду даје широку дискрецију. Постоји ризик да ће се интересима САД, посебно у питањима спровођења закона или безбедности, систематски давати већа тежина него интересима страних странаца у области заштите података, посебно ако не постоји билатерални споразум који формално признаје ове интересе. Европски одбор за заштиту података (EDPB) стога са скептицизмом посматра овај механизам, наглашавајући да он само пружа могућност жалбе, а не обавезу, и стога не нуди довољну заштиту права грађана ЕУ.

У вези са овим:

• Дигитална зависност Европе од САД: Доминација у облаку, поремећени трговински биланси и ефекти закључавања

Зона сукоба: Закон о облачним технологијама наспрам ЕУ GDPR-а и суверенитета података

Екстериторијални обим америчког Закона о облачним подацима и повезана овлашћења за приступ америчких власти доводе до значајних тензија и директних правних сукоба са режимом заштите података Европске уније, посебно са Општом уредбом о заштити података (GDPR). Ови сукоби утичу на основне принципе закона ЕУ о заштити података и покрећу фундаментална питања о суверенитету података.

Директна супротност са GDPR-ом (чл. 6, чл. 48)

Основни сукоб произилази из чињенице да Закон CLOUD дозвољава америчким властима да наложе пренос података – укључујући личне податке грађана ЕУ – из ЕУ у САД, без потребе да се тај налог нужно заснива на једном од правних основа за обраду података или међународни пренос података предвиђених GDPR-ом.

Сукоб са чланом 48 GDPR-а („Пренос или откривање података који нису дозвољени правом Уније“) је посебно релевантан. Овај члан предвиђа да се одлуке судова или управних органа треће земље које захтевају од контролора или обрађивача да пренесе или открије личне податке признају или извршне само ако се заснивају на међународном споразуму – као што је Уговор о узајамној правној помоћи (MLAT) – који је на снази између треће земље која подноси захтев (овде, САД) и Уније или државе чланице. Налог заснован искључиво на Закону CLOUD, без легитимације таквим међународним споразумом, не испуњава овај услов. Из перспективе GDPR-а, он не представља валидан правни основ за пренос.

Штавише, такав пренос нема валидан правни основ према члану 6 Опште уредбе о заштити података, који утврђује услове за законитост обраде (укључујући пренос) личних података. Европски одбор за заштиту података (EDPB) и Европски супервизор за заштиту података (EDPS) су у својој заједничкој процени појаснили да се уобичајени правни основи овде не примењују

• Члан 6(1)(ц) Опште уредбе о заштити података (поштовање законске обавезе): Овај правни основ се не примењује јер „законска обавеза“ произилази из Закона CLOUD, тј. из закона треће земље, а не из права Уније или закона државе чланице, како је прописано чланом 6(3) Опште уредбе о заштити података. Изузетак би постојао само ако би налог САД био утврђен у праву ЕУ путем Мултилатералне административне уредбе о заштити података (MLAT).
• Члан 6(1)(е) GDPR-а (обављање задатка у јавном интересу): Овај правни основ је такође искључен, јер задатак (овде, поштовање налога САД) није дефинисан у праву Уније или у праву државе чланице.
• Члан 6(1)(ф) GDPR-а (легитимни интереси): Иако добављач може имати легитиман интерес да се придржава налога из CLOUD закона како би избегао санкције према америчком закону, EDPB/EDPS сматра да тај интерес редовно надмашују интереси или основна права и слободе носилаца података (заштита њихових података). Надлежни органи тврде да би у супротном, носиоци података могли бити лишени заштите према Повељи ЕУ о основним правима (посебно права на делотворан правни лек, члан 47).
• Члан 6(1)(д) Опште уредбе о заштити података (заштита виталних интереса): Овај правни основ би теоретски могао бити применљив у веома уско дефинисаним изузетним случајевима, на пример, ако су подаци потребни да би се спречила непосредна опасност по живот или здравље особе. Међутим, он не пружа основу за рутинско откривање података у контексту мера спровођења закона.

Овај сукоб правних норми ствара нерешив конфликт за добављаче који подлежу и јурисдикцији САД (а самим тим и Закону CLOUD) и законодавству ЕУ (GDPR). Ако се придржавају налога Закона CLOUD без основа за MLAT, крше GDPR и ризикују значајне казне (до 4% свог глобалног годишњег промета), као и грађанске тужбе. Ако одбију да открију податке, позивајући се на GDPR, ризикују санкције према закону САД.

Процена од стране EDSA/EDPS и правна несигурност

Европски органи за заштиту података, координисани у оквиру EDPB-а, и EDPS су заузели јасан став о овом сукобу. У својој заједничкој правној процени из јула 2019. године, закључили су да CLOUD Act, као такав, не представља довољан правни основ према GDPR-у за пренос личних података у САД.

Они наглашавају да добављачи који подлежу закону ЕУ не смеју да преносе личне податке властима САД искључиво на основу директног налога према Закону CLOUD. Такав пренос је дозвољен само ако је заснован на признатом међународном споразуму, обично на Уговору о међусобној правној помоћи између ЕУ и САД или билатералном Уговору о међусобној правној помоћи између државе чланице и САД. Процес Уговора о међусобној правној помоћи обезбеђује неопходне гаранције владавине права и учешће правосудних органа државе којој је упућен захтев.

Могућност предвиђена Законом CLOUD да добављачи оспоре налог („предлог за поништење“) сматрају се недовољном заштитном мером од стране Европског савета за заштиту података (EDPB) и EDPB-а. Они истичу да је то само опција за добављача, а не обавеза, и да је исход таквог поступка пред судом у САД неизвестан и не нуди гаранцију заштите права грађана ЕУ према стандардима ЕУ.

Овај јасан став релевантних европских органа за заштиту података погоршава правну несигурност за компаније које користе или нуде америчке услуге у облаку. Морају бити свесни да је коришћење таквих услуга потенцијално неусклађено са GDPR-ом ако добављач не може да гарантује да неће открити податке кршећи GDPR на основу налога Закона о CLOUD-у.

Импликације Шремса II и америчких закона о надзору

Проблеми Закона CLOUD морају се посматрати у контексту шире дебате о преносу података у САД и тамошњим законима о надзору, која је достигла нову димензију пресудом Европског суда правде у случају Schrems II од 16. јула 2020. године.

У овој пресуди, Европски суд правде (ЕСП) прогласио је споразум о заштити приватности између ЕУ и САД неважећим. Главни разлог за то била су далекосежна овлашћења америчких обавештајних агенција (посебно према члану 702 Закона о надзору страних обавештајних служби – FISA – и Извршној наредби 12333) за приступ личним подацима грађана ЕУ који се преносе у САД. ЕСП је утврдио да ова права приступа не испуњавају захтеве нужности и сразмерности према Повељи ЕУ о основним правима и да грађани ЕУ немају ефикасну правну заштиту од таквог приступа у САД.

Иако је Закон CLOUD формално инструмент спровођења закона, а не обавештајног надзора, он појачава забринутост коју је изнео Шремс II. Он успоставља још један правни механизам за екстериторијални приступ подацима од стране америчких власти. Из европске перспективе, овом механизму такође недостаје неопходна основа владавине права у праву ЕУ (члан 48 GDPR-а), осим ако се не заснива на Мултилатералном споразуму о заштити података (MLAT) или будућем споразуму који се сматра адекватним. Комбинација права приступа из закона о надзору (FISA 702, EO 12333) и Закона CLOUD (спровођење закона) ствара свеобухватну слику далекосежног приступа америчке владе подацима које глобално чувају амерички добављачи.

Ово има директне импликације на коришћење других механизама преноса, као што су Стандардне уговорне клаузуле (SCC). Пресуда у случају Schrems II обавезује извознике података, када користе SCC за преносе у треће земље, као што су САД, да од случаја до случаја процене да ли закон и пракса земље одредишта гарантују ниво заштите који је „суштински еквивалентан“ оном гарантованом у ЕУ. Ако не, морају се предузети додатне мере како би се затвориле све празнине у заштити. Постојање закона као што су FISA одељак 702 и CLOUD закон изузетно отежава компанијама да докажу да амерички закон нуди такав еквивалентан ниво заштите. Ово значајно компликује правно усклађено коришћење америчких cloud сервиса за обраду личних података из ЕУ. CLOUD закон делује као појачавач проблема Schrems II, јер проширује опсег легалних опција приступа у САД и додатно поткопава аргумент за „суштинску еквиваленцију“ нивоа заштите.

Ерозија европског суверенитета података и губитак поверења

Поред чисто правних сукоба, Закон CLOUD се широко доживљава као претња дигиталном суверенитету Европе. Суверенитет података односи се на право и способност држава, организација или појединаца да врше контролу над својим подацима, посебно у погледу тога где се чувају, како се обрађују и ко може да им приступи. Закон CLOUD поткопава овај принцип тако што дозвољава страној сили (САД) потенцијално једнострани приступ подацима који се чувају на европској територији или потичу од европских грађана и предузећа, под условом да тим подацима управља добављач под јурисдикцијом САД.

Могућност таквог приступа, који се потенцијално дешава без поштовања европских процедура (као што су споразуми о међуправној правној помоћи) и без знања или обавештавања појединаца или компанија о којима је реч, доводи до значајног губитка поверења у америчке добављаче технологије. Ово неповерење се не односи само на заштиту личних података како је дефинисано Општом уредбом о заштити података (GDPR), већ се протеже и на безбедност осетљивих корпоративних података, као што су пословне тајне, подаци о истраживању и развоју, финансијске информације и интелектуална својина. Страх од индустријске шпијунаже или ненамерног цурења информација критичних за конкуренцију путем владиног приступа је кључни фактор који подстиче компаније да траже алтернативе америчким добављачима или да примене додатне мере заштите.

Одговори ЕУ: Закон о подацима и Gaia-X (статус и изазови)

Као одговор на изазове дигитализације и доминацију неевропских добављача технологије, Европска унија је покренула разне иницијативе за јачање дигиталног суверенитета и дефинисање сопственог европског приступа управљању подацима. Две кључне компоненте су Закон о подацима и иницијатива Gaia-X.

Закон ЕУ о подацима, објављен у Службеном гласнику у децембру 2023. године и примењив од 12. септембра 2025. године, има за циљ повећање праведности у економији података и побољшање приступа и коришћења података, посебно индустријских података. Његова намена је промоција иновација и повећање доступности података. Конкретно, Закон о подацима даје корисницима повезаних производа (нпр. IoT уређаја, паметних машина) већу контролу над подацима које генеришу ови уређаји и олакшава прелазак између различитих добављача услуга у облаку, на пример, уклањањем препрека за промену добављача и забраном неправедних уговорних клаузула. Такође, релевантне у контексту Закона CLOUD су одредбе које пружају заштитне мере од незаконитих захтева за пренос података од стране власти трећих земаља, чиме се јача суверенитет ЕУ у погледу података.

Иницијатива Gaia-X, покренута 2019. године, тежи амбициозном циљу стварања федеративне, безбедне и суверене европске инфраструктуре података. Gaia-X има за циљ да успостави екосистем у коме се подаци могу делити и обрађивати у складу са европским вредностима и стандардима – транспарентношћу, отвореношћу, безбедношћу, интероперабилношћу и суверенитетом података. Намера јој је да понуди алтернативу доминантним хиперскалерима и смањи зависност од неевропских добављача.

Међутим, Gaia-X је још увек у раној фази имплементације („фаза убрзавања“) и суочава се са значајним изазовима. Иако постоје почетни пилот пројекти и случајеви употребе, као што је Catena-X за аутомобилску индустрију и тестни простори у партнерским земљама попут Јапана, широко распрострањено тржиште је још увек у току. Препреке укључују техничку сложеност федеративног приступа, обезбеђивање истинске интероперабилности између различитих добављача, проблеме управљања унутар Gaia-X удружења (организације која имплементира) и споро усвајање, посебно у високо регулисаним секторима попут здравства. Штавише, изражене су критике да је оригинална визија чисто европског облака разводњена укључивањем великих америчких хиперскалера у Gaia-X удружење и да пројекат пати од прекомерне бирократије. Тренутно се чини мало вероватним да Gaia-X може директно да се такмичи са AWS, Azure и GCP. Његов значај може бити више у томе што служи као оквир за стандарде и поверење унутар специфичних европских простора података.

Међутим, ове европске иницијативе такође откривају стратешку недоследност. С једне стране, Gaia-X и Закон о подацима имају за циљ смањење зависности од америчких добављача и јачање контроле над подацима у Европи. С друге стране, Европска комисија истовремено преговара о Извршном споразуму са САД у оквиру Закона CLOUD. Такав споразум, ако се постигне, легализовао би и потенцијално поједноставио директан приступ подацима од стране америчких власти под одређеним условима – институционализујући управо механизам који је првобитно покренуо забринутост око суверенитета. Ово одражава дилему ЕУ: да истовремено тежи дигиталној аутономији и успостави неопходну прагматичну сарадњу са САД у спровођењу закона на ефикасној основи, без угрожавања сопствених високих принципа заштите података (посебно захтева пресуде Schrems II и члана 48 GDPR-а). Решавање ове тензије је кључни изазов за будућу трансатлантску политику података.

Интеграција независне и унакрсне AI платформе за све пословне потребе - Слика: Xpert.Digital

AI мењач правила игре: Најфлексибилнија AI платформа - Решења по мери која смањују трошкове, побољшавају ваше одлуке и повећавају ефикасност

Независна AI платформа: Интегрише све релевантне изворе података компаније

• Ова AI платформа интерагује са свим специфичним изворима података
  • Од SAP-а, Microsoft-а, Jira-е, Confluence-а, Salesforce-а, Zoom-а, Dropbox-а и многих других система за управљање подацима
• Брза интеграција вештачке интелигенције: Прилагођена решења за вештачку интелигенцију за предузећа за сате или дане, уместо месеци
• Флексибилна инфраструктура: базирана на облаку или хостинг у вашем сопственом дата центру (Немачка, Европа, слободан избор локације)

• Максимална безбедност података: његова употреба у адвокатским канцеларијама је непобитан доказ
• Примена у широком спектру извора података предузећа
• Избор сопствених или различитих AI модела (Немачка, ЕУ, САД, Кина)

Изазови које наша вештачка интелигенција решава

• Недостатак компатибилности конвенционалних вештачких интелигенција
• Заштита података и безбедно управљање осетљивим подацима
• Високи трошкови и сложеност индивидуалног развоја вештачке интелигенције
• Недостатак квалификованих стручњака за вештачку интелигенцију
• Интеграција вештачке интелигенције у постојеће ИТ системе

Више информација овде:

• Интеграција независне и међусобно повезане платформе за све пословне потребе засноване на вештачкој интелигенцији

Глобални ризици и импликације ван Европе

Проблеми које је покренуо Закон CLOUD нису ограничени само на однос између САД и Европе. Закон има потенцијално далекосежне импликације за земље и регионе широм света, посебно у погледу владиног надзора, економске шпијунаже, сукоба са локалним законима и општег поверења у глобалну дигиталну инфраструктуру.

Државни надзор и грађанске слободе

Закон CLOUD се од самог почетка суочио са критикама организација за грађанске слободе као што су Фондација за електронске границе (EFF) и Америчка унија за грађанске слободе (ACLU). Кључна критика је да закон потенцијално поткопава заштитне мере против непримерених владиних претреса и заплена (утврђене у Четвртом амандману на Устав САД за грађане САД). Посебно се сматра проблематичном могућност успостављања билатералних аранжмана путем Извршних споразума, који би омогућили страним властима директан приступ подацима који се чувају у САД и потенцијално заобишли уобичајену судску ревизију од стране америчких судова. Штавише, према Закону CLOUD, појединци који су предмет захтева за податке нису нужно обавезни да буду обавештени о приступу, што ограничава њихово коришћење правних лекова.

За појединце ван САД, заштита коју пружа Устав САД је већ мање опсежна. Закон CLOUD олакшава америчким властима приступ њиховим подацима који се чувају код америчких добављача, без обзира на локацију. Ово подстиче глобалне страхове од ширења надзора америчке владе. Постоји забринутост да би механизам Закона CLOUD, посебно Извршни споразуми, могли да послуже као модел за друге земље, укључујући оне са нижим стандардима владавине права и мање робусном заштитом грађанских слобода. Већ је повучена паралела са кинеским Законом о националној обавештајној служби, који такође даје кинеским властима далекосежан приступ корпоративним подацима. Ово би могло да убрза глобалне трендове ка повећаном владином надзору и контроли дигиталних комуникација.

Економска шпијунажа и заштита интелектуалне својине

Права приступа додељена Законом CLOUD нису ограничена на садржај комуникације или метаподатке приватних лица. Она потенцијално могу обухватити и веома осетљиве корпоративне податке који се чувају код америчких добављача услуга у облаку. То укључује пословне тајне, финансијске податке, базе података купаца, прототипове, податке о истраживању и развоју и другу интелектуалну својину (ИС).

Иако је наведена сврха Закона о облаку борба против тешког криминала, постоји забринутост да би његова далекосежна права приступа могла бити злоупотребљена, на пример, за економску шпијунажу у име америчких компанија или ради стицања стратешких економских предности. Сама могућност таквог приступа стране владе поткопава поверење компанија широм света у безбедност и поверљивост њихових критичних података када се они чувају код америчких добављача. Овај ризик представља значајан недостатак за многе компаније, посебно у технолошки интензивним или безбедносно критичним индустријама, када користе америчке клауд услуге.

Сукоби са локалним правним системима

Слично као и код Опште уредбе о заштити података (GDPR) ЕУ, екстериторијални обим Закона CLOUD такође може бити у сукобу са законима о заштити података, обавезама поверљивости или другим законским одредбама бројних других земаља. Глобално послујући добављачи услуга у облаку, посебно они са седиштем или снажним присуством у САД, стога су потенцијално изложени мрежи сукобљених законских обавеза.

Постоје бројни примери земаља са сопственим режимима заштите података који су потенцијално у супротности са Законом CLOUD:

• Швајцарска: Ревидирани Савезни закон о заштити података (revFADP) је снажно заснован на GDPR-у и такође садржи правила за међународни пренос података који захтевају адекватну заштиту у земљи одредишта.
• Бразил: Леи Герал де Протецао де Дадос Пессоаис (ЛГПД) такође има екстериторијални ефекат и подвргава обраду података бразилских грађана строгим правилима, укључујући и међународне трансфере.
• Индија: Закон о заштити дигиталних личних података (DPDP Act, често се још увек назива PDPB) такође садржи одредбе о преносу података и може прописати захтеве за локализацију одређених „критичних“ података.
• Кина: Закон о сајбер безбедности (CSL) и Закон о заштити личних података (PIPL) прописују строга правила за безбедност података и прекогранични пренос и укључују захтеве за локализацију података.
• Русија: Савезни закон бр. 152 „О личним подацима“ налаже чување личних података руских грађана на серверима у Русији (локализација података).

Ови примери илуструју да Закон CLOUD није само билатерални проблем између САД и ЕУ, већ глобални изазов кохерентности међународних правних система у дигиталном простору.

Утицај на међународни пренос података и поверење у америчке добављаче технологије

Постојање Закона CLOUD и повезане неизвесности и правни спорови имају значајне импликације на механизме међународног преноса података и опште поверење у америчке добављаче технологије.

Закон доприноси ерозији поверења у успостављене инструменте за трансатлантски пренос података, као што су бивши Штит приватности ЕУ-САД или тренутно широко коришћене Стандардне уговорне клаузуле (SCC). Као што је наведено у контексту Шремса II, Закон CLOUD отежава претпоставку да САД пружају ниво заштите личних података који је „у суштини еквивалентан“ праву ЕУ.

Ово приморава компаније широм света да пажљивије поново процене ризике коришћења америчких услуга у облаку. Морају да испитају да ли и како могу да обезбеде усклађеност са својим локалним законима о заштити података приликом преноса података америчким добављачима или њихове обраде од стране америчких добављача. То све више доводи до истраживања алтернативних решења, као што је коришћење локалних или регионалних добављача услуга у облаку који нису подложни јурисдикцији САД или имплементација додатних техничких и организационих мера заштите (као што су енкрипција од почетка до краја са власничким управљањем кључевима, псеудонимизација података или строга локализација података за одређене типове података).

Правна несигурност коју је створио Закон CLOUD и слични закони у другим земљама, као и резултирајуће заштитне мере, такође би могле појачати тренд ка „балканизацији“ интернета. Ово се односи на све већу фрагментацију глобалног дигиталног простора дуж националних или регионалних граница, коју карактеришу строжи захтеви за локализацију података, различити технички стандарди и тежи прекогранични проток података. Закон CLOUD делује као кључни покретач овог глобалног тренда ка већем дигиталном суверенитету. Једностраним утврђивањем екстериторијалног приступа подацима и тиме потенцијалним надјачавањем правних система других држава, САД провоцирају контрамере. Оне се манифестују у облику закона о локализацији података, владине подршке локалним екосистемима облака и пооштравања националних правила за међународни пренос података. Закон CLOUD стога убрзава, можда ненамерно, развој од отвореног, глобално умреженог простора података ка дигиталним територијама које су више национално или регионално контролисане.

У вези са овим:

• Независне платформе за вештачку интелигенцију као стратешка алтернатива за европске компаније

Мапирање глобалне зависности од америчких добављача услуга у облаку

Да би се проценио обим Закона CLOUD, неопходно је разумети глобалне тржишне уделе и резултујуће зависности од главних америчких добављача услуга у облаку – Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP). Доминација ових играча на тржишту значајно одређује колико компанија и организација широм света би потенцијално могло бити погођено захтевима Закона CLOUD.

Тржишни удељи америчких хиперскалера (AWS, Azure, GCP)

Бројне анализе тржишта потврђују огромну доминацију три главна америчка хиперскалера на глобалном тржишту услуга облачне инфраструктуре (Инфраструктура као услуга, IaaS, и Платформа као услуга, PaaS). Заједно, AWS, Microsoft Azure и GCP контролисали су приближно 66% до 70% глобалних прихода у овом сегменту крајем 2023. и почетком 2025. године, респективно (у зависности од извора и прецизне дефиниције тржишта).

Приближни тржишни удели за четврти квартал 2024. године могу се сумирати на следећи начин (на основу података из различитих извора; тачне бројке могу се мало разликовати, али је тренд конзистентан):

• Amazon Web Services (AWS): приближно 30-33%. AWS остаје јасни лидер на тржишту, а његова пионирска улога у cloud computing-у обезбеђује му континуирано вођство. Међутим, последњих година постоји блага тенденција ка стагнацији или чак благом паду тржишног удела, док конкуренција сустиже.
• Мајкрософт Азуре: приближно 21-24%. Азуре се етаблирао као снажан број два и доживљава континуирани раст, често вођен интеграцијом са другим Мајкрософтовим производима и снажном позицијом у пословном сектору.
• Google Cloud Platform (GCP): приближно 11-12%. GCP је број три и такође показује значајан раст, иако са мање базе. Google улаже велика средства у области као што су вештачка интелигенција и аналитика података како би стекао тржишни удео.

Поред ова три гиганта, постоје и други релевантни играчи чији су тржишни удели знатно мањи. Ту спада и Alibaba Cloud, који са приближно 4% глобалног тржишног удела игра мању улогу, али доминира тржиштем облака у Кини. Остали добављачи са глобалним или регионалним фокусом укључују IBM, Salesforce, Oracle, Tencent Cloud и Huawei Cloud (оба јака у Кини), као и специјализовани добављачи.

Следећа табела сумира процењене глобалне тржишне уделе водећих добављача cloud инфраструктуре (IaaS/PaaS) за крај 2024. / почетак 2025. године и илуструје доминацију америчких хиперскалера:

Процењени удео на глобалном тржишту облака (IaaS/PaaS) за четврти квартал 2024./почетком 2025. године

Процењени удео на глобалном тржишту облака (IaaS/PaaS) за четврти квартал 2024./почетком 2025. – Слика: Xpert.Digital

Тренутни подаци о глобалном IaaS/PaaS тржишту облака у четвртом кварталу 2024. и почетком 2025. године показују јасну доминацију америчких хиперскалера. AWS држи највећи тржишни удео са 30 до 33 процента, са стабилним до благо опадајућим трендом. Microsoft Azure следи са 21 до 24 процента и бележи даљи раст. Google Cloud Platform (GCP) обезбеђује 11 до 12 процената тржишта са позитивним трендом. Кинески провајдер Alibaba Cloud одржава стабилан глобални тржишни удео од приближно 4 процента. Преостали провајдери, укључујући IBM, Oracle, Tencent и Huawei, заједно деле 27 до 34 процента тржишта са различитим трендовима раста. Укупна позиција америчких хиперскалера је вредна пажње, јер заједно контролишу приближно 62 до 69 процената глобалног тржишта облака и бележе благи раст.

Ове бројке наглашавају значајну глобалну зависност од три главна америчка добављача. Велики део светске cloud инфраструктуре је стога потенцијално подложан јурисдикцији CLOUD Act-а.

Региони/земље са високом зависношћу

Зависност од америчких добављача услуга у облаку варира географски, али је веома висока у многим важним економским регионима:

• Северна Америка (посебно САД и Канада): Као дом хиперскалера и са највећом пенетрацијом облака, зависност је овде природно највећа. AWS има посебно јаку тржишну позицију у САД. Канада такође показује велика улагања у облак и вештачку интелигенцију, често путем америчких платформи.
• Европа: Упркос забринутости у вези са GDPR-ом и CLOUD Act-ом, ослањање на AWS, Azure и GCP у Европи остаје изузетно високо. Њихов комбиновани тржишни удео на континенту процењује се на преко 70%. Занимљиво је да, према једној анализи, Azure чак изгледа испред AWS-а у неким европским земљама, као што су Холандија (наводно 67% тржишног удела), Пољска (49%) и Јапан (49%). Велике европске економије попут Немачке, Уједињеног Краљевства и Француске улажу велика средства у облачне технологије и вештачку интелигенцију, при чему америчке платформе играју централну улогу. Ова нескладност између високе зависности од тржишта и политичке тежње ка дигиталном суверенитету представља кључно подручје напетости.
• Индија: Индијско тржиште облака показује снажан замах раста и велико ослањање на америчке провајдере, са тржишном структуром сличном оној у САД: AWS води (око 52%), затим следе Azure (око 35%) и GCP (око 13%). Истовремено, у Индији постоји снажна политичка воља за дигитализацијом и све већа тежња за локализацијом података, посебно за осетљиве податке као што су финансијски подаци. Ово би могло дугорочно да подстакне раст локалних провајдера.
• Латинска Америка: Употреба облака расте у земљама попут Бразила, али и даље у великој мери доминирају глобални амерички играчи. AWS се активно шири у региону, на пример са новим регионом у Мексику. Локални закони о заштити података, као што је бразилски LGPD и специфични захтеви за локализацију података, као што је у финансијском сектору, могли би утицати на динамику тржишта, али до сада нису много учинили да промене фундаменталну зависност.
• Аустралија: Као технолошки напредна земља са блиским политичким и економским везама са САД, Аустралија показује висок степен усвајања облака. Постојање Извршног споразума о Закону о облаку између САД и Аустралије сугерише прихватање механизама приступа из САД и указује на висок степен зависности од америчких добављача.
• Остали региони (нпр. Африка, делови Југоисточне Азије): Тржишта облака се и даље развијају у многим земљама у развоју. Глобални амерички добављачи често доминирају и овде, због своје економије обима и технолошке предности. Истовремено, тежња ка дигиталном суверенитету и локализацији података такође расте у овим регионима, као што показују примери из Вијетнама и Индонезије.

Земље са мањом зависношћу и алтернативним екосистемима (Кина, Русија)

За разлику од широко распрострањене зависности од америчких хиперскалера, развили су се углавном независни дигитални екосистеми, посебно у Кини и Русији, којима доминирају локални провајдери.

• Кина: Кинеско тржиште облака је друго по величини на свету, али је строго регулисано и тешко му је приступити страним добављачима. Домаће технолошке компаније јасно доминирају: Alibaba Cloud држи тржишни удео од приближно 36%, затим следе Huawei Cloud са око 19% и Tencent Cloud са приближно 15-16% (закључно са другим/трећим кварталом 2024. године). Амерички добављачи попут AWS или Azure играју само мању улогу на тржишту континенталне Кине. Овај развој је вођен строгом владином регулацијом, посебно Законом о сајбер безбедности (CSL) и Законом о заштити личних података (PIPL), који, између осталог, прописују захтеве за локализацију података и строго контролишу прекограничне токове података. Кина такође спроводи сопствену амбициозну стратегију вештачке интелигенције, која се заснива на могућностима својих домаћих добављача облака.
• Русија: Слично Кини, али из различитих разлога (посебно западних санкција и активне владине политике промоције дигиталног суверенитета), Русија је доживела све веће одвајање од западних технолошких добављача. Руским тржиштем облака доминирају локални добављачи, пре свега Yandex Cloud, али и добављачи попут SberCloud (сада могуће послује под другим именом, нпр. Cloud.ru), VK Cloud и државне телекомуникационе компаније Rostelecom играју значајну улогу. Руски закон о заштити података (Савезни закон бр. 152) налаже строгу локализацију података за личне податке руских грађана, што отежава коришћење страних услуга облака и фаворизује локалне добављаче. Yandex Cloud експлицитно оглашава своју усклађеност са овим локалним законима како би привукао међународне компаније које желе да послују на руском тржишту. Владини програми као што су „Дигитална економија Руске Федерације“ и платформа „GosTech“ додатно промовишу коришћење домаћих решења у облаку од стране владиних агенција и предузећа.
• Европска унија (Потенцијал наспрам стварности): ЕУ се налази у јединственој ситуацији. С једне стране, постоје јасни политички напори да се смањи зависност од америчких провајдера и да се успостави сопствени дигитални суверенитет. Иницијативе попут Gaia-X и законодавни акти попут Закона о подацима усмерени су у том правцу. Постоји и низ европских провајдера услуга у облаку (нпр. OVHcloud, Deutsche Telekom/T-Systems, IONOS). С друге стране, као што је горе приказано, стварна тржишна пенетрација америчких хиперскалера у Европи је изузетно висока. Европске алтернативе до сада нису успеле да постигну упоредиве тржишне уделе, што се често приписује економији обима и технолошкој зрелости америчких понуда. ЕУ стога остаје регион високе зависности, уз снажну политичку вољу за променама.

Ови примери показују да је мања зависност од америчких хиперскалера могућа, али то се обично заснива на комбинацији јаке владине регулације, циљане подршке домаћим индустријама и, у неким случајевима, политички мотивисаног тржишног протекционизма.

Искористите предности Xpert.Digital-овог опсежног, петоструког стручног знања у свеобухватном пакету услуга | Истраживање и развој, XR, односи с јавношћу и оптимизација дигиталне видљивости - Слика: Xpert.Digital

Xpert.Digital поседује дубинско знање у различитим индустријама. То нам омогућава да развијемо прилагођене стратегије прецизно усклађене са захтевима и изазовима вашег специфичног тржишног сегмента. Континуираном анализом тржишних трендова и праћењем развоја у индустрији, можемо деловати проактивно и понудити иновативна решења. Комбинација искуства и стручности ствара додатну вредност и пружа нашим клијентима одлучујућу конкурентску предност.

Више информација овде:

• Искористите предности 5 области стручности компаније Xpert.Digital у једном пакету – већ од 500 евра месечно

Националне стратегије и одговори на Закон CLOUD

С обзиром на изазове које амерички Закон о облаку (CLOUD Act) представља за заштиту података, суверенитет и правну сигурност, државе широм света су развиле различите стратегије за управљање повезаним ризицима и заштиту својих интереса. Ове стратегије се крећу од регулаторних мера и технолошких приступа до међународних преговора.

Поређење националних приступа

Може се уочити неколико основних приступа, који се често комбинују:

• Локализација података: Један од најдиректнијих одговора је увођење закона који налажу да се одређене врсте података – често лични подаци или информације класификоване као критичне – морају физички чувати и обрађивати унутар националних граница. Истакнути примери укључују Русију са Савезним законом бр. 152, Кину са захтевима према Закону о сајбер безбедности и Закону о заштити података о неправилностима у раду (PIPL), и, донекле, Индију (посебно за податке о плаћању). Земље попут Вијетнама и Индонезије такође следе сличне приступе. Мотиви су вишеструки: јачање националног суверенитета и контроле над подацима, побољшање националне безбедности ограничавањем приступа страним силама, а такође и економски протекционизам ради промоције домаће ИТ индустрије. Међутим, са технолошке и економске перспективе, строга локализација података је често неефикасна, јер поткопава предности глобално дистрибуираних облачних архитектура (као што су скалабилност, редундантност и исплативост) и доводи до већих трошкова за предузећа. Број земаља са таквим ограничењима значајно се повећао последњих година.
• Јачање домаћих прописа и међународних стандарда: Многе земље се фокусирају на јачање сопственог законодавства о заштити података како би успоставиле високе стандарде заштите и јасно регулисале услове за међународни пренос података. ЕУ, са својом GDPR-ом, је пионир у овој области. Друге земље су следиле тај пример или модернизовале своје законе, често засноване на GDPR-у, као што су Швајцарска (revFADP), Бразил (LGPD), Уједињено Краљевство (UK GDPR) и Канада (PIPEDA). Циљ је често да ЕУ призна земљу као земљу са „адекватним нивоом заштите података“ како би се олакшао проток података са Европом. Истовремено, ови закони служе заштити права сопствених грађана и стварају правни оквир који се потенцијално може позвати у случају сукоба са законима као што је CLOUD Act.
• Промовисање локалних/регионалних добављача и екосистема: Други приступ је активна индустријска политика промоције домаћих или регионалних добављача услуга у облаку и дигиталних екосистема како би се створиле алтернативе доминантним америчким хиперскалерима и смањила технолошка зависност. Иницијатива ЕУ Gaia-X је пример за то, иако је њен успех до сада био ограничен. У Кини и Русији, овај приступ, у комбинацији са јаком регулацијом, био је успешнији и довео је до тржишта којима доминирају локални добављачи. Изазов је у томе што локални добављачи често не могу да постигну исту економију обима, исти обим инвестиција или исти глобални досег као амерички гиганти.
• Употреба међународних споразума (Извршни споразуми наспрам MLAT-ова): Државе могу покушати да регулишу приступ подацима у спровођењу закона путем међународних споразума. Сам CLOUD закон пружа механизам извршних споразума за ову сврху. Земље попут Уједињеног Краљевства и Аустралије изабрале су овај пут и закључиле билатералне споразуме са САД, који имају за циљ да омогуће убрзан, директан приступ подацима под одређеним условима. Ови споразуми обећавају повећање ефикасности у поређењу са често спорим традиционалним поступцима међусобне правне помоћи (MLAT). Међутим, друге земље или региони, попут ЕУ, оклевају да закључе такав споразум, делимично због забринутости око компатибилности са сопственим високим стандардима заштите података (GDPR, Schrems II). Они се и даље првенствено ослањају на успостављени MLAT процес, који предвиђа веће учешће правосудних органа државе којој је упућен захтев, иако се сматра неефикасним. Избор између ових приступа представља балансирање између ефикасности у спровођењу закона и заштите основних права и суверенитета.
• Техничке и организационе мере (TOM) од стране компанија: Без обзира на владине стратегије, саме компаније предузимају мере за ублажавање ризика Закона о облаку (CLOUD Act). То укључује употребу јаких метода шифровања, идеално са искључивом контролом клијента над криптографским кључевима (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), пажљив избор локације за складиштење (нпр. центри података унутар ЕУ), имплементацију строгих контрола приступа, употребу техника псеудонимизације или анонимизације, сарадњу са локалним партнерима или систем интеграторима који управљају подацима у име клијента или имплементацију хибридних cloud архитектура у којима посебно осетљиви подаци остају у сопственом центру података компаније (на лицу места).

Студије случаја: ЕУ, Швајцарска, Бразил, Кина, Русија

Примена ових стратегија може се илустровати на примерима конкретних земаља:

• ЕУ следи вишеслојни приступ. Основу чини строга регулатива (GDPR, Закон о подацима). Иницијативе попут Gaia-X имају за циљ јачање суверенитета, али се суочавају са изазовима. Истовремено, у току су преговори са САД о споразуму о CLOUD Act-у, што истиче амбивалентност између захтева за суверенитетом и потребе за сарадњом. Велика зависност од америчких добављача и даље постоји.
• Швајцарска: Њен закон о заштити података (revFADP) је уско усклађен са GDPR-ом и користи сличне механизме за међународни пренос података (одлуке о адекватности, SCC). Као одговор на Schrems II, Швајцарска је имплементирала сопствени споразум са САД (Швајцарско-амерички оквир за заштиту података). Ипак, основни ризик који представља CLOUD Act остаје, јер су швајцарске компаније које користе америчке услуге потенцијално погођене.
• Бразил: Законом о заштити података (LGPD) створен је свеобухватни закон о заштити података са екстериторијалним дејством и успостављен је независни орган за заштиту података (ANPD). Постоје посебна правила за међународни пренос података и коришћење услуга у облаку, посебно у регулисаном финансијском сектору. Међутим, прецизно тумачење и спровођење, такође и у погледу сукоба са законима као што је Закон о CLOUD-у, још увек су у фази развоја.
• Кина: Доследно се ослања на државну контролу, строгу локализацију података и промоцију затвореног домаћег тржишта којим доминирају национални шампиони. Заштита података (у смислу PIPL-а) такође служи државној контроли и националној безбедности.
• Русија: Следи сличну стратегију дигиталног суверенитета кроз строгу локализацију података, промоцију домаћих добављача и све веће технолошко одвајање од Запада, појачано геополитичким факторима.

Техничке и организационе мере компанија

За компаније које користе америчке клауд сервисе или послују глобално, имплементација робусних техничких и организационих мера је кључна за минимизирање ризика. Оне укључују:

• Транспарентност и процена ризика: Проактивна комуникација са клијентима о јурисдикцијским ризицима и спровођење темељних анализа ризика (Процене утицаја преноса података – TIA) ради процене осетљивости података и потенцијалног утицаја приступа.
• Пажљив избор добављача: Испитивање алтернатива америчким добављачима, посебно европским или локалним добављачима који нису под јурисдикцијом САД. Евалуација обавеза добављача у погледу усклађености и безбедносних архитектура.
• Шифровање и управљање кључевима: Јака енкрипција се користи за податке и у стању мировања и у транзиту. Контрола над криптографским кључевима је кључна. Само ако купац искључиво управља кључевима (HYOK), може ефикасно спречити приступ од стране провајдера (а самим тим и потенцијално од стране америчких власти). Решења где провајдер управља кључевима (Bring Your Own Key – BYOK може бити обмањујући овде) не нуде потпуну заштиту. Међутим, треба напоменути да се подаци за активну обраду у облаку често морају чувати дешифровани у меморији, што представља потенцијални прозор за приступ.
• Контроле приступа и управљање: Спровођење строгих политика управљања идентитетом и приступом (IAM) ради ограничавања приступа подацима на апсолутни минимум. Испитивање да ли се приступ особља из одређених јурисдикција (нпр. САД) подацима у другим регионима (нпр. ЕУ) може спречити техничким и организационим мерама.
• Хибридне и мултиклауд стратегије: Мигрирање посебно осетљивих података и радних оптерећења у приватни облак или локалну инфраструктуру, док мање критичне апликације остају у јавном облаку. Ово омогућава диференцирано управљање ризицима.
• Правно структурирање: У неким случајевима, оснивање правно одвојених подружница у различитим јурисдикцијама може се сматрати начином за прекид „контроле“ матичне компаније из САД над подацима у другим регионима. Међутим, ово је сложено и захтева пажљиво правно структурирање.
• Одговарање на упите: Развијање јасних интерних процеса за решавање упита од стране власти. Ово укључује проверу законитости упита и спремност за оспоравање налога ако су у супротности са локалним законима (нпр. GDPR).

Међутим, мора се напоменути да техничке и организационе мере имају своја ограничења. Све док компанија која подлеже јурисдикцији САД у крајњој линији поседује, чува или контролише податке или кључеве неопходне за дешифровање, основни правни ризик од приморавања да их преда према Закону CLOUD остаје. Чак се и јака енкрипција може заобићи ако се провајдер може приморати да преда кључеве или има приступ управљачком нивоу. Чисто техничко решење не може у потпуности елиминисати правни проблем захтева за суверенитетом.

Следећа табела даје упоредни преглед различитих националних стратегија:

Поређење националних стратегија за ублажавање ризика Закона о облачним технологијама

Поређење националних стратегија за ублажавање ризика Закона о облачним технологијама – Слика: Xpert.Digital

Различите земље и региони широм света развили су различите стратешке приступе за решавање ризика које представља амерички CLOUD Act. Стратегија локализације података, каква се примењује у Кини, Русији и деловима Индије и Вијетнама, налаже строго домаће складиштење података. Иако ово повећава националну контролу и суверенитет и подстиче локалну индустрију, често се показује неефикасним, скупим и гушећим за иновације, и ограничава приступ глобалним услугама.

С друге стране, ЕУ са GDPR-ом, Швајцарска са FADP-ом, Бразил са LGPD-ом и Велика Британија са GDPR-ом фокусирају се на јачање сопствених прописа високим стандардима заштите података, јасним правилима за међународни пренос података и снажним надзорним органима. Ова стратегија штити права грађана и ствара правни оквир за спорове, али не решава директно основни јурисдикцијски сукоб и ставља тешко оптерећење захтева за усклађеност са прописима на компаније.

Неки региони активно промовишу локалне добављаче и дигиталне екосистеме, као што су ЕУ са пројектом Gaia-X или Кина и Русија са својим индустријским политикама. Ове мере смањују зависност од страних добављача и јачају технолошки суверенитет, али су често повезане са ограниченом конкурентношћу у односу на велике међународне добављаче и показују се као дуготрајне и скупе.

Велика Британија и Аустралија су закључиле извршне споразуме са САД у складу са Законом CLOUD, док ЕУ још увек преговара. Ови билатерални споразуми омогућавају убрзан приступ подацима за агенције за спровођење закона и пружају правну сигурност добављачима, али могу заобићи националне стандарде заштите података и легитимисати приступ САД подацима.

Многе земље се имплицитно придржавају традиционалног процеса MLAT (Уговор о узајамној правној помоћи), који нуди утврђене процедуре правне помоћи са јачим гаранцијама владавине права, али се сматра спорим, бирократским и неефикасним за дигиталне доказе.

Компаније широм света такође примењују техничке и организационе мере као што су енкрипција са сопственим кључем, строге контроле приступа, хибридна облачна решења и свеобухватне анализе ризика. Иако ове мере могу ублажити ризике и показати усклађеност, оне често не успевају да реше фундаментални проблем надлежности и сложене су и потенцијално скупе за имплементацију.

У вези са овим:

• Интеграција независне и међусобно повезане платформе за све пословне потребе засноване на вештачкој интелигенцији

Проблематичан закон са далекосежним последицама

Анализа америчког Закона о облачним технологијама и његовог глобалног утицаја открива сложену мрежу правних сукоба, технолошких зависности, геополитичких тензија и стратешких одговора. Иако је замишљен са разумљивим циљем ефикаснијег спровођења закона у дигиталном добу, закон се, у свом садашњем облику, показао веома проблематичним и представља значајне ризике за појединце, предузећа и државе широм света.

Резиме кључних проблема Закона CLOUD

Главне критике и проблематична подручја могу се сумирати на следећи начин:

• Сукоб са националним суверенитетом и правним системима: Експлицитна екстериторијална тврдња Закона CLOUD, која америчким властима даје приступ подацима без обзира на локацију њиховог складиштења, у суштини се сукобљава са схватањем суверенитета које имају друге државе и њихови правни системи. Ово постаје посебно јасно у сукобу са Општом уредбом о заштити података (GDPR) ЕУ, посебно са чланом 48, који повезује признавање налога страних влада са међународним споразумима.
• Правна несигурност и сукоб закона: За глобално послујуће компаније, посебно за добављаче услуга у облаку, закон ствара значајну правну несигурност. Оне се суочавају са потенцијално супротстављеним правним обавезама – с једне стране, налогом САД за откривање података, а с друге стране, законима о заштити података или поверљивости земље у којој се подаци чувају или чији су грађани погођени. То доводи до дилеме са потенцијалним санкцијама са обе стране.
• Ерозија поверења: Закон CLOUD значајно поткопава поверење у америчке добављаче технологије. Могућност да америчке власти приступе подацима заобилажењем локалних процедура или без знања оних који су погођени подстиче неповерење у погледу безбедности и поверљивости података. Ово се односи и на личне податке и на осетљиве корпоративне информације, а погоршава га паралелна забринутост у вези са америчким законима о надзору (питање Шремс II).
• Ризици који превазилазе спровођење закона: Иако је наведена сврха борба против тешког криминала, постоји забринутост због злоупотребе права приступа у сврху државног надзора или економске шпијунаже. Ове ризике је тешко контролисати и доприносе губитку поверења.
• Промовисање глобалне фрагментације: Једнострани приступ Закона CLOUD делује као катализатор за трендове глобалне фрагментације у дигиталном простору. Он изазива контрареакције у облику закона о локализацији података и промоцији националних дигиталних екосистема, што подстиче „балканизацију“ интернета и омета слободан глобални проток података.

Преглед глобалног пејзажа зависности

Анализа тржишног удела открива огромну глобалну зависност од три главна америчка хиперскалера облака: AWS, Microsoft Azure и GCP. Посебно у Северној Америци и Европи, они контролишу преко две трећине тржишта услуга облачне инфраструктуре. Ова висока концентрација ствара широку потенцијалну површину за напад за CLOUD Act.

Насупрот томе, земље попут Кине и Русије су успоставиле углавном независне дигиталне екосистеме кроз јаку државну регулацију, промоцију домаћих добављача и тржишни протекционизам. Оне показују да је мања зависност могућа, иако често по цену ограничене глобалне повезаности и потенцијално мање слободе избора.

Европска унија се налази у амбивалентној позицији: с једне стране, у великој мери зависи од америчких добављача, док с друге стране постоји снажна политичка воља и конкретне иницијативе (Gaia-X, Закон о подацима) за јачање дигиталног суверенитета и промоцију алтернатива. Међутим, успех ових напора остаје неизвестан.

Изгледи за будући развој догађаја

Трендови које је покренуо Закон CLOUD и слични догађаји ће се вероватно наставити:

• Распрострањеност закона о локализацији података ће вероватно расти како све више земаља покушава да одржи контролу над подацима на својој територији.
• Напори за изградњу регионалних или националних cloud алтернатива ће се наставити, иако је успех у конкуренцији са успостављеним хиперскалерима и даље тежак. Иницијативе попут Gaia-X могле би да се развију у оквире за стандардизацију простора података.
• Очекује се да ће САД тражити даље извршне споразуме са стратешким партнерима како би се олакшао приступ подацима. Међутим, преговори са ЕУ остају сложени.
• Правни спорови око међународног преноса података, посебно у контексту Schrems II и његових наследних прописа (као што је Оквир за заштиту података између ЕУ и САД), наставиће се. Питање „адекватног нивоа заштите“ у САД остаје хитно питање.
• За компаније, развој и имплементација робусних стратегија усклађености и техничких решења за смањење ризика (шифровање, хибридни модели итд.) постаје све важније како би могле да послују у овом сложеном окружењу.

Закључно, мора се признати да се Закон CLOUD бави стварним проблемом: потребом агенција за спровођење закона да благовремено приступе доказима који се чувају преко граница у дигиталном добу. Традиционалне процедуре MLAT су често преспоре и неефикасне. Међутим, свако одрживо решење мора пронаћи начин да помири ову легитимну потребу спровођења закона са основним правима на заштиту података и приватност, као и са суверенитетом држава. Закон CLOUD, у свом садашњем облику, не успева да постигне ову равнотежу, према мишљењу многих међународних посматрача и заинтересованих страна. Он представља решење усмерено на САД које не узима адекватно у обзир забринутости и правне системе других земаља, стварајући тако више проблема него што их решава. Међународно координисано решење засновано на међусобном поштовању правних система и снажним гаранцијама основних права остаје хитна потреба.

Препоруке за деловање

Анализа Закона CLOUD и његовог глобалног утицаја даје конкретне препоруке за деловање европским компанијама и организацијама, као и доносиоцима политичких одлука.

За европске компаније и организације:

• Спровођење свеобухватних анализа ризика: Компаније би требало систематски да процене своју зависност од америчких добављача услуга у облаку. То укључује класификацију обрађених података према осетљивости и анализу потенцијалних ризика у случају приступа података од стране америчких власти. Спровођење процена утицаја преноса података (TIAs), како је захтевано у контексту Schrems II, је неопходно.
• Пажљив избор добављача услуга у облаку: Препоручљиво је активно размотрити европске или друге добављаче услуга у облаку ван САД као алтернативе које не подлежу јурисдикцији САД или подлежу мање строгим прописима. Добављаче треба процењивати на основу њихових уговорних обавеза у вези са захтевима Закона CLOUD, њихових техничких мера заштите и њихових сертификата о усклађености.
• Робустан дизајн уговора: Уговори са добављачима услуга у облаку треба да садрже јасне одредбе о обради података, локацијама складиштења, безбедносним мерама и руковању званичним захтевима, у складу са чланом 28 GDPR-а.
• Имплементација јаких техничких мера: Употреба енкрипције од краја до краја, где криптографски кључеви остају искључиво под контролом клијента („Hold Your Own Key – HYOK“), важна је безбедносна мера. Требало би да се имплементирају строге контроле приступа (Identity and Access Management) и, где је то прикладно, технике псеудонимизације или анонимизације.
• Коришћење хибридних или вишеоблачних стратегија: За посебно осетљиве податке, коришћење приватних облака или локалних инфраструктура може бити корисно, док мање критична радна оптерећења могу остати у јавном облаку. Ово омогућава диференцирано управљање ризицима.
• Добијање конкретног правног савета: С обзиром на сложену и стално променљиву правну ситуацију, неопходно је добити специјализовани правни савет за процену специфичних ризика и развој одрживе стратегије усклађености.

За доносиоце политичких одлука (посебно у ЕУ):

• Јачање европског дигиталног суверенитета: Доследно промовисање иницијатива попут Gaia-X и подржавање развоја конкурентних европских добављача услуга у облаку неопходни су за стварање правих технолошких алтернатива и смањење зависности. Закон о подацима требало би да се користи како би се осигурали фер тржишни услови и контрола над подацима.
• Јасан став у међународним преговорима: Преговори о потенцијалном Извршном споразуму о CLOUD Act између ЕУ и САД морају осигурати да се високи европски стандарди заштите података (GDPR, Повеља ЕУ о основним правима, одредбе Schrems II) у потпуности поштују. То укључује снажне гаранције владавине права, пропорционалности, транспарентности и ефикасне правне заштите за носиоце података. Требало би да се обезбеди приоритет утврђених процедура узајамне правне помоћи (MLAT) или еквивалентних заштитних мера.
• Промовисање глобалних стандарда: ЕУ би требало да се залаже на међународном нивоу за развој усклађених правила и стандарда за прекогранични приступ подацима од стране јавних органа, заснованих на владавини права, поштовању основних права и међусобном поштовању националних правних система.
• Образовање и подршка предузећима: Доносиоци политика и регулатори треба да пруже јасне смернице и практичну подршку предузећима како би им помогли да процене ризике и спроведу мере усклађености у вези са Законом CLOUD и међународним преносом података.

☑️ Подршка малим и средњим предузећима у стратегији, консултацијама, планирању и имплементацији

☑️ Креирање или преусмеравање стратегије вештачке интелигенције

☑️ Пионирски развој пословања

Konrad Wolfenstein

Било би ми драго да вам будем лични саветник.

Можете ме контактирати попуњавањем контакт форме испод или ме једноставно позовите на +49 89 89 674 804 (Минхен) .

Радујем се нашем заједничком пројекту.

Xpert.Digital је центар за индустрију фокусиран на дигитализацију, машинство, логистику/интралогистику и фотонапонске системе.

Са нашим решењем за развој пословања од 360°, пружамо подршку реномираним компанијама, од нових пословања до постпродајних услуга.

Тржишна интелигенција, маркетиншки маркетинг, маркетиншка аутоматизација, развој садржаја, односи с јавношћу, мејлинг кампање, персонализоване друштвене мреже и неговање потенцијалних клијената су део наших дигиталних алата.

Више информација можете пронаћи на: www.xpert.digital - www.xpert.solar - www.xpert.plus