Безпека даних та цифровий суверенітет у Європі: Чи безпечні інвестиції Microsoft у Європі для даних? – Зображення: Xpert.Digital
Чому місце розташування сервера не гарантує безпеку даних
Нещодавно Microsoft оголосила про значні інвестиції в Європі, включаючи забезпечення безпеки вихідного коду у Швейцарії та розширення своєї хмарної інфраструктури. Ці дії інтерпретуються як відповідь на політичну невизначеність та зростаюче занепокоєння серед європейських клієнтів. Незважаючи на ці зусилля, залишається фундаментальний конфлікт між законодавством США та європейськими правилами захисту даних, що ставить питання про те, чи дійсно розташування сервера в Європі може забезпечити достатній захист. У цьому звіті аналізуються гарантії Microsoft для Європи, пояснюється правова колізія між Законом США про хмарні технології та GDPR, а також досліджується, чому саме фізичне розташування даних не гарантує їхньої безпеки та суверенітету.
Підходить для цього:
Оновлення від 21 липня 2025 року:
Нові цифрові гарантії Microsoft для Європи
У світлі торговельних війн, що велися за часів адміністрації Трампа, та раптових політичних рішень багато європейських клієнтів втратили довіру до цифрових продуктів зі США. Microsoft реагує конкретними зобов'язаннями та інвестиціями в Європі.
Широкі інвестиції в інфраструктуру
Компанія Microsoft оголосила про плани розширити потужності своїх центрів обробки даних у Європі приблизно на 40 відсотків протягом наступних двох років, поширивши їх загалом на 16 європейських країн. Компанія планує щорічно інвестувати десятки мільярдів доларів у це розширення. Ці заходи спрямовані не лише на задоволення зростаючого попиту на хмарні сервіси та інфраструктуру штучного інтелекту, але й на зміцнення довіри європейських клієнтів.
Бред Сміт, головний юрисконсульт і президент Microsoft, у своєму блозі наголошує на тісних економічних зв'язках компанії з Європою та запевняє читачів, що Microsoft не виведе компанію з регіону. Європейські центри обробки даних працюватимуть незалежно та керуватимуться громадянами ЄС, поважаючи та впроваджуючи європейські закони.
Резервне копіювання вихідного коду та безперервність бізнесу у Швейцарії
Одним із особливо вартих уваги гарантій є резервне копіювання вихідного коду Microsoft у Швейцарії. Компанія створює резервні копії свого вихідного коду в безпечних сховищах даних у Швейцарії та надає юридично обов'язкові права доступу європейським партнерам. Цей захід слугує резервним планом на випадок «малоймовірної події», коли Microsoft коли-небудь буде змушена припинити свої послуги в Європі.
Microsoft також планує визначити європейських партнерів та впровадити плани дій у надзвичайних ситуаціях, щоб гарантувати безперервність бізнесу. Це вже реалізується через партнерства у Франції та Німеччині з центрами обробки даних Bleu та Delos.
Кордон даних ЄС: відповідь Microsoft на проблеми конфіденційності
Ключовим компонентом стратегії Microsoft у Європі є впровадження так званої «кордона даних ЄС» для хмари Microsoft.
Комплексне зберігання даних у межах ЄС
З січня 2024 року європейські клієнти в комерційному та державному секторах можуть зберігати та обробляти всі свої дані та облікові дані користувачів для основних хмарних сервісів Microsoft, включаючи Microsoft 365, Dynamics 365, Power Platform та сервіси Azure, в межах ЄС та регіону ЄАВТ. У лютому 2025 року було завершено третій і останній етап встановлення меж даних у ЄС, який розширив межі, включивши дані професійних послуг Microsoft, отримані в результаті взаємодії зі службою технічної підтримки.
З цією пропозицією Microsoft йде на крок далі, ніж багато інших постачальників хмарних послуг: компанія забезпечує не лише локальне зберігання та обробку даних клієнтів, але й усіх персональних даних, включаючи дані з автоматично згенерованих системних журналів.
Додаткові опції безпеки
Microsoft пропонує європейським клієнтам кілька варіантів захисту та шифрування їхніх даних. Серед них – конфіденційні обчислення в Azure, які запобігають доступу третіх сторін, зокрема самої Microsoft, до даних клієнтів, а також функції «Lockbox» для Azure, Dynamics 365 та Microsoft 365, які дозволяють клієнтам переглядати та затверджувати запити, перш ніж Microsoft отримає доступ до їхніх даних.
Інші варіанти безпеки включають Azure Key Vault та Microsoft Purview Customer Key, які дозволяють клієнтам захистити свої дані за допомогою технології самокерованого шифрування.
Фундаментальний конфлікт: Закон CLOUD проти GDPR
Незважаючи на всі зусилля та запевнення, залишається фундаментальний правовий конфлікт, що ставить питання про те, чи дійсно дані європейських компаній захищені американськими постачальниками.
Екстериторіальна сфера дії Закону CLOUD
Закон CLOUD (Clarifying Lawful Overseas Use of Data Act, Закон про роз'яснення законного використання даних за кордоном), який набув чинності у 2018 році, дозволяє правоохоронним органам США зобов'язувати компанії, що базуються в США, надавати доступ до даних, незалежно від того, де ці дані фізично зберігаються. Це також стосується даних, що зберігаються в ЄС, але управляються американськими компаніями або їхніми дочірніми компаніями.
Закон зобов'язує американські інтернет-компанії та постачальників ІТ-послуг надавати владі США доступ до збережених даних, навіть якщо ці дані не зберігаються в США. Хоча компанії, яких це стосується, мають право заперечувати, якщо власник даних не є громадянином США, і компанія порушить закони інших країн, розкриваючи дані, це право поширюється лише на країни, які мають угоду про CLOUD Act зі США, яка наразі застосовується лише до Великої Британії.
Заперечення проти GDPR
Загальний регламент ЄС про захист даних (GDPR) прямо суперечить Закону CLOUD. Стаття 48 GDPR забороняє компаніям передавати дані, що зберігаються в ЄС, без угоди про взаємну правову допомогу. Порушення цього положення може каратися штрафами до 20 мільйонів євро або чотирьох відсотків від світового річного обороту компанії.
Ця несумісність між Законом США про хмарні технології (CLOUD Act) та Загальним регламентом ЄС про захист даних (GDPR) ставить компанії, що використовують хмарні сервіси, перед неможливим вибором. Вони стикаються з вибором: порушити або Закон про хмарні технології (CLOUD Act), або GDPR, що може призвести до значних штрафів.
Підходить для цього:
Чому місце розташування сервера не гарантує безпеку даних
Всупереч поширеній думці, сам факт зберігання даних на серверах у Німеччині чи ЄС не забезпечує достатнього захисту від доступу ззовні.
Хибне уявлення про безпеку даних через вибір місця розташування
Переконання, що дані на серверах у Німеччині автоматично захищені від доступу ззовні, вважається «небезпечною помилкою». Навіть якщо персональні дані зберігаються в центрах обробки даних у Європейському Союзі, постачальник хмарних послуг у США може бути юридично зобов’язаний розкрити ці дані владі США в рамках кримінального розслідування.
Особливий ризик існує, зокрема, якщо постачальник хмарних послуг має штаб-квартиру або працює в США, обробка даних відбувається через інфраструктуру США або американська корпорація має прямий чи непрямий доступ до даних. У таких випадках існує ймовірність того, що органи влади США можуть отримати доступ до персональних даних, навіть без відома чи згоди суб’єктів даних у Європі.
Загроза інтелектуальній власності та комерційній таємниці
Це питання виходить далеко за рамки захисту персональних даних. Закон CLOUD створює реальні ризики, які також ставлять під загрозу безпеку та конфіденційність усіх типів конфіденційних даних, включаючи інтелектуальну власність, прототипи досліджень та розробок, дані клієнтів та приватне спілкування.
Навіть якщо дані зберігаються в центрах обробки даних ЄС, Закон CLOUD може зобов'язати американські компанії передавати ці дані владі США. Це не лише підриває захист GDPR та суверенітету даних ЄС, але й наражає критично важливу бізнес-інформацію, таку як прототипи чи стратегічні плани, на ризик несанкціонованого доступу.
Через потенційні можливості доступу влади США, «компанії де-факто втрачають контроль над своїми даними, а отже, і над своєю інтелектуальною власністю», що особливо важливо для комерційної та ділової таємниці.
Рішення для більшого суверенітету даних
З огляду на описані проблеми виникає питання, які заходи можуть вжити компанії для збереження суверенітету своїх даних.
Альтернативні постачальники хмарних послуг та технічні заходи
Ефективний захист від доступу на основі Закону CLOUD гарантується лише за умови, що всі постачальники та субпостачальники послуг працюють поза законодавством США, використовується виключно європейська інфраструктура та впроваджено наскрізне шифрування з виключно користувацьким контролем ключів.
Тому експерти рекомендують вживати таких запобіжних заходів під час вибору хмарного сховища або постачальника послуг резервного копіювання:
- Вибір постачальника послуг, що базується в ЄС, на якого не поширюється дія Закону CLOUD
- Гарантії суверенітету даних, коли як дані, так і ключі шифрування повністю залишаються в межах ЄС.
- Консультації з питань юриспруденції та комплаєнсу, що спеціалізуються на GDPR та захисті даних
Альтернативні підходи: Відкритий вихідний код як стратегія
Швейцарія обирає цікавий альтернативний підхід: у квітні 2023 року було прийнято Федеральний закон про використання електронних засобів для виконання урядових завдань (EMBAG), який передбачає, що урядове програмне забезпечення має бути з відкритим вихідним кодом, а вихідний код має бути розкритий.
Професор доктор Маттіас Штюрмер з Бернського університету прикладних наук, який ініціював цей закон, описує його як «чудову можливість для держави, ІТ-індустрії та суспільства». Цей підхід спрямований на зменшення залежності від постачальника для державного сектору, надання компаніям можливості розширювати свої цифрові бізнес-рішення та потенційно призвести до зниження витрат на ІТ та покращення послуг для платників податків.
Шлях до справжнього цифрового суверенітету
Інвестиції Microsoft у Європі та впровадження кордону даних ЄС є важливими кроками до більшого суверенітету даних для європейських компаній та державних установ. Однак вони не повністю вирішують фундаментальний правовий конфлікт між Законом США про хмарні технології (CLOUD Act) та європейським GDPR.
Просте зберігання даних на європейських серверах не забезпечує достатнього захисту від потенційного доступу з боку влади США, якщо постачальник хмарних послуг підпадає під дію законодавства США. Така ситуація не лише ставить під сумнів захист даних, але й загрожує інтелектуальній власності та комерційній таємниці європейських компаній.
Тому справжній цифровий суверенітет вимагає більш комплексних підходів, що враховують як правові, так і технічні аспекти. До них належать використання хмарних сервісів, що працюють повністю поза межами законодавства США, послідовне наскрізне шифрування з контролем ключів на стороні користувача та потенційне збільшення інвестицій у рішення з відкритим кодом.
Зрештою, Європі потрібна власна незалежна хмарна інфраструктура, яка є не лише технічно, а й юридично незалежною. До того часу компанії та державні установи повинні ретельно обмірковувати, які дані вони зберігають, де і як, а також яким постачальникам вони можуть довіряти.
Підходить для цього:
Ваш глобальний партнер з маркетингу та розвитку бізнесу
☑ Наша ділова мова - англійська чи німецька
☑ Нове: листування на вашій національній мові!
Konrad Wolfenstein
Я радий бути доступним вам та моїй команді як особистого консультанта.
Ви можете зв’язатися зі мною, заповнивши тут контактну форму або просто зателефонуйте мені за номером +49 89 674 804 (Мюнхен) . Моя електронна адреса: Вольфенштейн ∂ xpert.digital
Я з нетерпінням чекаю нашого спільного проекту.
