Чому Закон США про хмарні технології є проблемою та ризиком для Європи та решти світу: Закон із далекосяжними наслідками

Чому Закон США про хмарні технології є проблемою та ризиком для Європи та решти світу: Закон із далекосяжними наслідками

У цій статті аналізується Закон США про роз'яснення законного використання даних за кордоном (CLOUD) 2018 року та його далекосяжні наслідки для глобального захисту даних, суверенітету даних та міжнародної співпраці. Закон CLOUD надає владі США право вимагати від постачальників послуг зв'язку та хмарних технологій США розкриття даних, що перебувають у їхньому володінні, під їхнім контролем або під їхнім контролем, незалежно від того, де ці дані фізично зберігаються, зокрема за межами США. Таке екстериторіальне охоплення принципово суперечить режимам захисту даних, таким як Загальний регламент Європейського Союзу про захист даних (GDPR), зокрема його правилам щодо міжнародної передачі даних (стаття 48 GDPR).

Аналіз показує, що Закон CLOUD створює значну правову невизначеність для компаній, що працюють по всьому світу та стикаються з суперечливими правовими вимогами. Він підриває довіру до американських постачальників технологій та усталених механізмів передачі даних, що загострилося рішенням Європейського суду у справі Schrems II. За межами Європи закон створює ризики державного стеження, промислового шпигунства та конфліктів з місцевими правовими системами в усьому світі.

Глобальна залежність від основних американських хмарних постачальників (AWS, Microsoft Azure, Google Cloud) є величезною, особливо в Північній Америці та Європі. Водночас такі країни, як Китай та Росія, розвивають закриті цифрові екосистеми з сильними місцевими постачальниками та суворим регулюванням, що зменшує їхню залежність. Інші країни та регіони, включаючи ЄС з такими ініціативами, як Gaia-X та Закон про дані, впроваджують різні стратегії зменшення ризиків, починаючи від законів про локалізацію даних та просування місцевих альтернатив до переговорів щодо двосторонніх угод зі США.

Незважаючи на законну потребу пришвидшити правоохоронну діяльність за кордоном — що є основною метою Закону CLOUD, враховуючи повільність традиційних процедур взаємної правової допомоги, — багато критиків стверджують, що закон не забезпечує належного балансу між ефективним запобіганням злочинності та захистом основних прав та національного суверенітету. Звіт завершується рекомендаціями для бізнесу та політиків щодо подолання цього складного ландшафту.

Підходить для цього:

• Залежить від американської хмари? Битва Німеччини за хмару: як вони планують конкурувати з AWS (Amazon) та Azure (Microsoft)

Закон США про хмарні технології та його вплив на європейський суверенітет даних

Поточна цифровізація та пов'язаний з нею перехід обробки та зберігання даних до хмарних інфраструктур глобальних провайдерів докорінно змінили спосіб функціонування бізнесу та державних адміністрацій. Зокрема, сервіси основних американських гіперскейлерів – Amazon Web Services (AWS), Microsoft Azure та Google Cloud Platform (GCP) – стали невід'ємною частиною цифрової інфраструктури багатьох країн. Цей розвиток пропонує величезний потенціал для ефективності та інновацій, але водночас створює нові та складні виклики для захисту даних, безпеки даних та забезпечення національного суверенітету.

Ця проблема значно загострилася після прийняття в березні 2018 року Закону США про роз'яснення законного використання даних за кордоном (CLOUD). Цей федеральний закон США надає американським правоохоронним та слідчим органам широкі повноваження щодо доступу до даних, що зберігаються та управляються в усьому світі американськими компаніями або компаніями, що перебувають під юрисдикцією США. Основна проблема полягає в явній екстериторіальній сфері дії закону: влада США може вимагати розголошення даних, навіть якщо вони знаходяться на серверах за межами Сполучених Штатів.

Це законодавче положення призводить до прямих та фундаментальних конфліктів із встановленими режимами захисту даних в інших країнах, зокрема із Загальним регламентом Європейського Союзу про захист даних (GDPR). Можливість доступу органів влади США в обхід міжнародно узгоджених процедур взаємної правової допомоги та потенційно без дотримання суворих європейських стандартів захисту даних викликає значні занепокоєння щодо державного стеження, промислового шпигунства та руйнування цифрового суверенітету. Тому Закон CLOUD широко вважається проблематичним та таким, що становить ризик для бізнесу та громадян не лише в Європі, а й у всьому світі.

Ця стаття має на меті надати всебічний та обґрунтований аналіз Закону США про хмарні технології (CLOUD Act) та його глобального впливу. У ній аналізуються основні механізми Закону та його екстериторіальний вимір. Особлива увага приділяється детальному розгляду потенційних конфліктів із Загальним регламентом ЄС про захист даних (GDPR) та наслідкам для європейського суверенітету даних, також у світлі практики Європейського Суду (ЄС), зокрема рішення у справі Schrems II. Крім того, виділяються ризики та потенційні негативні наслідки для країн за межами Європи. У звіті відображається глобальний ландшафт залежності від постачальників хмарних послуг США, визначаються регіони з високою та низькою залежністю, а також проводиться порівняльний аналіз стратегій, які різні країни застосовують для вирішення проблем, що виникають у зв'язку із Законом про хмарні технології (CLOUD Act).

Структура цієї статті відповідає цій меті: після цього вступу, у другому розділі детально пояснюються основні положення та екстериторіальна сфера дії Закону CLOUD. У третьому розділі розглядається конфлікт між Законом CLOUD, GDPR та європейським суверенітетом даних. У четвертому розділі розглядаються глобальні ризики та наслідки за межами Європи. У п'ятому розділі відображається глобальна залежність від постачальників хмарних послуг США, а в шостому розділі порівнюються національні стратегії та відповіді на Закон CLOUD. Синтез висновків та висновок утворюють сьомий розділ, а рекомендації щодо дій наведені у восьмому розділі.

Закон США про хмарні технології: основні положення та екстериторіальна сфера дії

Закон про роз'яснення законного використання даних за кордоном (CLOUD) є важливим законодавчим актом щодо транскордонного доступу органів влади США до даних. Щоб повністю зрозуміти його наслідки, необхідно ретельно вивчити його правову основу, його дію та, особливо, його екстериторіальні претензії.

Правова основа та функціональність

Закон CLOUD було прийнято 23 березня 2018 року як частину комплексного законопроекту про бюджет (Consolidated Appropriations Act, 2018, Public Law 115-141, Division V) і набув чинності негайно. Він не створює абсолютно нової правової бази, а головним чином вносить зміни до чинних законів, зокрема до Закону про збережені комунікації (SCA) 1986 року, який є частиною Закону про конфіденційність електронних комунікацій (ECPA). SCA регулює умови, за яких урядові установи США можуть отримувати доступ до збережених даних електронних комунікацій, що зберігаються постачальниками послуг.

Основні положення Закону CLOUD, кодифікованого, серед іншого, у 18 U.S.C. §§ 2713 та 2523, зобов'язують постачальників послуг електронного зв'язку (ECS) та послуг дистанційного обчислення (RCS), що підпадають під юрисдикцію США, виконувати накази щодо захисту, резервного копіювання або розкриття вмісту електронних повідомлень, а також метаданих або іншої інформації про клієнтів чи абонентів. Це зобов'язання поширюється на дані, що знаходяться у володінні, під наглядом або контролем постачальника. Юрисдикція США також може поширюватися на постачальників, основне місце діяльності яких не знаходиться в США, але які мають достатній зв'язок зі Сполученими Штатами, наприклад, через ділові відносини, філію в США або контракти з клієнтами в США.

Ключовим уточненням, наданим Законом CLOUD, є те, що це зобов’язання розкривати дані застосовується незалежно від того, чи знаходяться відповідні дані в межах Сполучених Штатів чи за їх межами («незалежно від того, чи таке повідомлення, запис чи інша інформація знаходяться в межах Сполучених Штатів чи за їх межами»).

Каталізатором для цього законодавства став, головним чином, юридичний спір «Сполучені Штати проти Microsoft Corp.» (часто званий «справою Microsoft Ireland»). У цій справі Microsoft відмовилася передавати ФБР електронні листи клієнта, що зберігалися на сервері в Ірландії, стверджуючи, що ордери США не мають екстериторіальної дії, а Угода про дотримання вимог безпеки (SCA) не застосовується до даних за межами США. Справа дійшла до Верховного Суду, але була розглянута через прийняття Закону CLOUD, який вирішив юридичне питання на користь уряду.

Важливо наголосити, що, за словами уряду США та організацій, що його підтримують, Закон CLOUD не є ліцензією на масове спостереження або довільний доступ до даних. Накази про доступ (зазвичай ордери на основі «ймовірної причини» або повістки) все одно повинні відповідати вимогам верховенства права законодавства США, бути конкретними та підлягати судовому перегляду. Вони обмежуються даними, які можуть бути релевантними у зв'язку з конкретними кримінальними розслідуваннями («серйозний злочин, включаючи тероризм»). Крім того, Закон CLOUD прямо не створює зобов'язання для постачальників розшифровувати дані, якщо вони володіють ними лише в зашифрованому вигляді та не контролюють ключі.

Екстериторіальна заява та претензія на юрисдикцію

Центральним і найсуперечливішим нововведенням Закону CLOUD є юридичне закріплення екстериторіальної дії наказів США про доступ. Закон уточнює, що зобов'язання передавати дані існує для постачальників, що знаходяться під юрисдикцією США, незалежно від фізичного місця зберігання даних.

Ця позиція ґрунтується на встановленому правовому принципі, згідно з яким держава може зобов'язати компанії, що перебувають під її юрисдикцією, розкривати інформацію, що знаходиться під її контролем, навіть якщо ця інформація зберігається за кордоном. Закон CLOUD кодифікує цей принцип спеціально для даних електронних комунікацій у контексті Закону про контрольно-пропускні засоби.

Ця одностороння претензія на екстериторіальний доступ є основним джерелом міжнародного занепокоєння та правових конфліктів, особливо стосовно Європейського Союзу та його Загального регламенту про захист даних (GDPR). Вона сприймається як порушення суверенітету інших держав та як потенційний обхід встановлених процедур міжнародної правової допомоги.

Виконавчі угоди як альтернатива договорам про взаємну правову допомогу

Окрім уточнення екстериторіальної сфери дії наказів США, Закон CLOUD запроваджує другий важливий механізм: він уповноважує виконавчу владу США (президента або уряд) укладати двосторонні угоди, так звані «Виконавчі угоди», з «кваліфікованими» іноземними урядами.

Заявлена ​​мета цих угод полягає у прискоренні та оптимізації транскордонного доступу до даних з метою кримінального переслідування тяжких злочинів (включаючи тероризм). Вони покликані забезпечити альтернативу або доповнення до традиційних договорів про взаємну правову допомогу (MLAT), процедури яких часто критикують як занадто повільні та бюрократичні, щоб встигати за темпами цифрової злочинності.

Основний механізм цих Виконавчих угод полягає в усуненні правових перешкод («колізій правових норм» або «правових обмежень»), які можуть перешкодити постачальникам виконувати законні накази країни-партнера. Зокрема, така угода дозволить, наприклад, постачальнику з США безпосередньо виконувати наказ Сполученого Королівства, не порушуючи законодавство США (наприклад, обмеження SCA щодо розкриття інформації), і навпаки. Таким чином, органи влади кожної країни могли б використовувати власні національні процедури для запиту даних від постачальника в іншій країні.

США можуть укладати такі угоди лише з державами, які вважаються «кваліфікованими». Це вимагає підтвердження Генеральним прокурором США та Державним секретарем Конгресу того, що відповідна країна-партнер має надійні матеріальні та процесуальні гарантії конфіденційності та громадянських свобод і застосовує їх на практиці. Країна-партнер повинна поважати верховенство права, недискримінацію та захист даних.

На сьогоднішній день США уклали такі Виконавчі угоди з Великою Британією (підписані у 2019 році, діють з жовтня 2022 року) та Австралією (підписані у грудні 2021 року). Переговори з Європейським Союзом були оголошені у 2019 році та тривають, але виявляються складними через складну правову ситуацію (GDPR, Schrems II) та участь 27 держав-членів.

Важливі гарантії щодо цих угод передбачені в самому Законі CLOUD: накази, видані відповідно до такої угоди, не повинні бути спрямовані на осіб США (громадян або постійних жителів) або осіб, які проживають у США. Вони повинні бути конкретними (наприклад, спрямованими на певну особу або обліковий запис) та підлягати незалежному перегляду або нагляду (наприклад, суду).

Юридичні шляхи для постачальників

Закон CLOUD чітко передбачає механізм, за допомогою якого постачальники можуть юридично оскаржувати накази США про доступ за певних умов (так зване «клопотання про скасування або зміну»). Це право існує, якщо постачальник «обґрунтовано вважає», що виконано дві сукупні умови:

• Відповідний клієнт або абонент не є громадянином США та не проживає в США.
• Необхідне розкриття інформації створить «суттєвий ризик» того, що постачальник порушить закони «кваліфікованого іноземного уряду». «Кваліфікований іноземний уряд» – це уряд, з яким США мають Виконавчу угоду відповідно до Закону CLOUD.

Якщо постачальник подає таку апеляцію, компетентний суд США може змінити або скасувати постанову. Однак це відбувається лише тоді, коли суд визначить, що (а) розкриття інформації фактично порушить законодавство іноземної держави, що відповідає вимогам, (б) задоволення апеляції служить інтересам правосуддя, та (в) інтереси правосуддя вимагають цього, враховуючи сукупність обставин.

Щоб оцінити, чого вимагають «інтереси правосуддя», закон перелічує конкретні фактори, які суд повинен зважити («аналіз співчуття»). До них належать, серед іншого: інтереси США та іноземного уряду, ймовірність та характер покарань, з якими постачальник інформації зіткнеться за кордоном, зв’язки особи та постачальника інформації зі США та за кордоном, важливість інформації для розслідування та наявність альтернативних способів отримання інформації.

Однак це законодавче положення викликає питання щодо його практичної ефективності. Зосередження чіткої підстави для оскарження на правових конфліктах з кваліфікованими іноземними урядами (тобто тими, що мають Виконавчу угоду) може послабити позиції постачальників, які прагнуть посилатися на закони країн без такої угоди, таких як GDPR ЄС у його нинішньому вигляді без угоди між ЄС та США. Хоча залишається можливість посилатися на загальні принципи міжнародної ввічливості та загальноправової ввічливості, конкретний правовий механізм є вужчим. Це може спонукати суди США надавати меншої ваги конфліктам із законами держав, які не уклали угоду, або розглядати процес оскарження як менш чітко визначений.

Крім того, практична значущість можливості оскарження загалом обмежена. Тягар доказування лежить на постачальнику, який повинен продемонструвати, що він «обґрунтовано вважає» виконання умов. Навіть якщо колізія правових норм доведена, суд може скасувати постанову, але не зобов'язаний це робити. Рішення ґрунтується на балансуванні розпливчастих правових понять, таких як «інтереси правосуддя» та «сукупність обставин», що надає суду широкі повноваження. Існує ризик того, що інтересам США, особливо у справах правоохоронної діяльності чи безпеки, систематично надаватиметься більша вага, ніж інтересам іноземних держав у сфері захисту даних, особливо якщо не існує двосторонньої угоди, яка б офіційно визнавала ці інтереси. Тому Європейська рада із захисту даних (ЄРЗД) скептично ставиться до цього механізму, наголошуючи, що він лише надає можливість оскарження, а не зобов'язання, і таким чином не забезпечує достатнього захисту прав громадян ЄС.

Підходить для цього:

• Цифрова залежність Європи від США: домінування хмарних технологій, спотворені торговельні баланси та ефекти прив'язки

Зона конфлікту: Закон CLOUD проти GDPR ЄС та суверенітету даних

Екстериторіальна сфера дії Закону США про хмарні технології (CLOUD Act) та пов’язані з ним повноваження щодо доступу для органів влади США призводять до значної напруженості та прямих правових конфліктів із режимом захисту даних Європейського Союзу, зокрема із Загальним регламентом про захист даних (GDPR). Ці конфлікти впливають на основні принципи законодавства ЄС про захист даних та викликають фундаментальні питання щодо суверенітету даних.

Пряме протиріччя GDPR (ст. 6, ст. 48)

Фундаментальний конфлікт виникає через те, що Закон CLOUD дозволяє органам влади США наказувати передачу даних, включаючи персональні дані громадян ЄС, з ЄС до США, без необхідності ґрунтуватися на одній із правових підстав для обробки даних або міжнародної передачі даних, передбачених GDPR.

Особливо актуальним є конфлікт зі статтею 48 GDPR («Передача або розкриття, не дозволені законодавством Союзу»). Ця стаття передбачає, що рішення судів або адміністративних органів третьої країни, які вимагають від контролера або обробника передати або розкрити персональні дані, визнаються або підлягають виконанню лише тоді, коли вони ґрунтуються на міжнародній угоді, такій як Договір про взаємну правову допомогу (MLAT), чинній між третьою країною, що запитує (у цьому випадку США), та Союзом або державою-членом. Наказ, що ґрунтується виключно на Законі CLOUD, без узаконення такою міжнародною угодою, не відповідає цій умові. З точки зору GDPR, він не є дійсною правовою підставою для передачі.

Крім того, така передача не має дійсної правової основи згідно зі статтею 6 GDPR, яка визначає умови законності обробки (включаючи передачу) персональних даних. Європейська рада із захисту даних (EDPB) та Європейський інспектор із захисту даних (EDPS) у своїй спільній оцінці уточнили, що звичайні правові основи тут не застосовуються

• Стаття 6(1)(c) GDPR (виконання юридичного зобов’язання): Ця правова підстава не застосовується, оскільки «юридичне зобов’язання» випливає із Закону CLOUD, тобто із законодавства третьої країни, а не із законодавства Союзу чи законодавства держави-члена, як того вимагає стаття 6(3) GDPR. Виняток існував би лише у випадку, якби наказ США був закріплений у законодавстві ЄС шляхом Багатостороннього адміністративного регламенту про захист даних (MLAT).
• Стаття 6(1)(e) GDPR (виконання завдання, що здійснюється в суспільних інтересах): Ця правова підстава також виключається, оскільки завдання (у цьому випадку виконання постанови США) не визначено ні в законодавстві Союзу, ні в законодавстві держави-члена.
• Стаття 6(1)(f) GDPR (законні інтереси): Хоча постачальник послуг може мати законний інтерес у дотриманні наказу CLOUD Act, щоб уникнути санкцій згідно із законодавством США, Європейський комітет з захисту даних/ЄКЗД вважає, що цей інтерес зазвичай переважують інтереси або основні права та свободи суб’єктів даних (захист їхніх даних). Органи влади стверджують, що в іншому випадку суб’єкти даних можуть бути позбавлені свого захисту згідно з Хартією основних прав ЄС (зокрема, права на ефективний засіб правового захисту, стаття 47).
• Стаття 6(1)(d) GDPR (захист життєво важливих інтересів): Ця правова основа теоретично може застосовуватися у дуже вузько визначених виняткових випадках, наприклад, якщо дані необхідні для запобігання безпосередньої небезпеки для життя чи здоров'я особи. Однак вона не забезпечує підстав для рутинного розкриття даних у контексті правоохоронних заходів.

Таке зіткнення правових норм створює нерозв'язний конфлікт для постачальників, які підпадають під дію як юрисдикції США (і, отже, Закону CLOUD), так і законодавства ЄС (GDPR). Якщо вони виконують наказ Закону CLOUD без підстави MLAT, вони порушують GDPR і ризикують отримати значні штрафи (до 4% від їхнього світового річного обороту), а також цивільні позови. Якщо вони відмовляються розкривати дані, посилаючись на GDPR, вони ризикують отримати санкції згідно із законодавством США.

Оцінка EDSA/EDPS та правова невизначеність

Європейські органи захисту даних, що координуються в рамках Європейської ради з захисту даних (ЄДПБ), та Європейський дослідник з захисту даних (ЄДЗП) зайняли чітку позицію щодо цього конфлікту. У своїй спільній правовій оцінці від липня 2019 року вони дійшли висновку, що Закон CLOUD як такий не є достатньою правовою підставою згідно з GDPR для передачі персональних даних до США.

Вони рішуче наголошують, що постачальники, на яких поширюється законодавство ЄС, не можуть передавати персональні дані органам влади США виключно на підставі прямого наказу згідно із Законом CLOUD. Така передача допустима лише за умови, що вона ґрунтується на визнаній міжнародній угоді, як правило, Угоді про взаємну правову допомогу між ЄС та США або двосторонній Угоді про взаємну правову допомогу між державою-членом та США. Процес угоди про взаємну правову допомогу забезпечує необхідні гарантії верховенства права та залучення судових органів держави, до якої звертаються з проханням.

Можливість, передбачена Законом CLOUD для постачальників послуг, оскаржувати наказ («клопотання про скасування»), вважається Європейською радою з захисту даних та Європейською радою з захисту даних недостатньою гарантією. Вони зазначають, що це лише варіант для постачальника послуг, а не зобов’язання, і що результат такого провадження в суді США є невизначеним і не гарантує захисту прав громадян ЄС відповідно до стандартів ЄС.

Така чітка позиція відповідних європейських органів захисту даних посилює правову невизначеність для компаній, які використовують або пропонують хмарні сервіси США. Вони повинні усвідомлювати, що використання таких сервісів потенційно не відповідає GDPR, якщо постачальник не може гарантувати, що він не розголошуватиме дані з порушенням GDPR на підставі розпорядження Закону CLOUD.

Наслідки закону Schrems II та законів США про стеження

Проблеми Закону CLOUD слід розглядати в контексті ширшої дискусії щодо передачі даних до США та законів про спостереження там, яка набула нового виміру завдяки рішенню Суду ЄС у справі Schrems II від 16 липня 2020 року.

У цьому рішенні Європейський суд (ЄС) визнав угоду між ЄС та США про захист конфіденційності недійсною. Основною причиною цього були широкі повноваження розвідувальних служб США (зокрема, згідно з розділом 702 Закону про спостереження за зовнішньою розвідкою – FISA – та Виконавчим наказом 12333) щодо доступу до персональних даних громадян ЄС, переданих до США. ЄС встановив, що ці права доступу не відповідають вимогам необхідності та пропорційності, передбаченим Хартією основних прав ЄС, і що громадяни ЄС не мають ефективного правового захисту від такого доступу в США.

Хоча Закон CLOUD формально є інструментом правоохоронної діяльності, а не розвідувального спостереження, він підсилює занепокоєння, порушені законом Schrems II. Він встановлює ще один правовий механізм для екстериторіального доступу до даних з боку органів влади США. З європейської точки зору, цьому механізму також бракує необхідної основи верховенства права в законодавстві ЄС (стаття 48 GDPR), якщо тільки він не базується на Багатосторонній угоді про захист даних (MLAT) або майбутній угоді, яка вважається адекватною. Поєднання прав доступу, передбачених законами про спостереження (FISA 702, EO 12333) та Законом CLOUD (правоохоронні органи), створює загальну картину широкого доступу уряду США до даних, що зберігаються американськими постачальниками в усьому світі.

Це має прямі наслідки для використання інших механізмів передачі, таких як Стандартні договірні положення (СДП). Рішення у справі Schrems II зобов'язує експортерів даних, використовуючи СДП для передачі до третіх країн, таких як США, оцінювати в кожному окремому випадку, чи гарантує законодавство та практика країни призначення рівень захисту, який є «суттєво еквівалентним» тому, що гарантується в ЄС. Якщо ні, необхідно вжити додаткових заходів для усунення будь-яких прогалин у захисті. Існування таких законів, як Розділ 702 FISA та Закон CLOUD, надзвичайно ускладнює для компаній демонстрацію того, що законодавство США пропонує такий еквівалентний рівень захисту. Це значно ускладнює юридично дотримання правил використання хмарних сервісів США для обробки персональних даних з ЄС. Закон CLOUD діє як підсилювач проблеми Schrems II, оскільки розширює спектр законних варіантів доступу в США та ще більше підриває аргумент на користь «суттєвої еквівалентності» рівня захисту.

Ерозія європейського суверенітету даних та втрата довіри

Окрім суто правових колізій, Закон CLOUD широко сприймається як загроза цифровому суверенітету Європи. Суверенітет даних стосується права та здатності держав, організацій або окремих осіб здійснювати контроль над своїми даними, зокрема щодо того, де вони зберігаються, як вони обробляються та хто може до них отримати доступ. Закон CLOUD підриває цей принцип, дозволяючи іноземній державі (США) потенційно односторонній доступ до даних, що зберігаються на європейській території або походять від європейських громадян та підприємств, за умови, що ці дані управляються постачальником, що знаходиться під юрисдикцією США.

Можливість такого доступу, який потенційно може відбуватися без дотримання європейських процедур (таких як Угоди про міжнародну правову допомогу) та без відома чи повідомлення відповідних осіб чи компаній, призводить до значної втрати довіри до американських постачальників технологій. Ця недовіра стосується не лише захисту персональних даних, як це визначено в GDPR, але й поширюється на безпеку конфіденційних корпоративних даних, таких як комерційна таємниця, дані досліджень та розробок, фінансова інформація та інтелектуальна власність. Страх промислового шпигунства або ненавмисного витоку критично важливої ​​для конкуренції інформації через доступ уряду є ключовим фактором, що спонукає компанії шукати альтернативи американським постачальникам або впроваджувати додаткові запобіжні заходи.

Відповіді ЄС: Закон про дані та Gaia-X (стан та проблеми)

У відповідь на виклики цифровізації та домінування неєвропейських постачальників технологій, Європейський Союз започаткував різні ініціативи для зміцнення цифрового суверенітету та визначення власного європейського підходу до управління даними. Двома ключовими компонентами є Закон про дані та ініціатива Gaia-X.

Закон ЄС про дані, опублікований в Офіційному журналі в грудні 2023 року та чинний з 12 вересня 2025 року, має на меті підвищення справедливості в економіці даних та покращення доступу до даних та їх використання, зокрема промислових даних. Він покликаний сприяти інноваціям та підвищувати доступність даних. Зокрема, Закон про дані надає користувачам підключених продуктів (наприклад, пристроїв Інтернету речей, інтелектуальних машин) більше контролю над даними, що генеруються цими пристроями, та полегшує перемикання між різними постачальниками хмарних послуг, наприклад, усуваючи бар'єри для зміни постачальників та забороняючи несправедливі договірні положення. Також у контексті Закону CLOUD актуальними є положення, які забезпечують захист від незаконних запитів на передачу даних від органів влади третіх країн, тим самим зміцнюючи суверенітет ЄС щодо даних.

Ініціатива Gaia-X, запущена у 2019 році, переслідує амбітну мету створення федеративної, безпечної та суверенної європейської інфраструктури даних. Gaia-X прагне створити екосистему, в якій дані можуть обмінюватися та оброблятися відповідно до європейських цінностей та стандартів – прозорості, відкритості, безпеки, сумісності та суверенітету даних. Вона покликана запропонувати альтернативу домінуючим гіперскейлерам та зменшити залежність від неєвропейських постачальників.

Однак Gaia-X все ще перебуває на ранній стадії впровадження («фаза нарощування») та стикається зі значними труднощами. Хоча початкові пілотні проекти та варіанти використання існують, такі як Catena-X для автомобільної промисловості та тестові стенди в країнах-партнерах, таких як Японія, широке проникнення на ринок все ще очікується. До перешкод належать технічна складність федеративного підходу, забезпечення справжньої сумісності між різними постачальниками, проблеми управління в рамках Асоціації Gaia-X (організації-впроваджувача) та повільне впровадження, особливо у високорегульованих секторах, таких як охорона здоров'я. Крім того, була висловлена ​​критика щодо того, що початкове бачення суто європейської хмари було розмито включенням великих американських гіперскейлерів до Асоціації Gaia-X, і що проект страждає від надмірної бюрократії. Наразі здається малоймовірним, що Gaia-X зможе безпосередньо конкурувати з AWS, Azure та GCP. Його значення може полягати радше в тому, що він служить основою для стандартів та довіри в межах конкретних європейських просторів даних.

Однак ці європейські ініціативи також виявляють стратегічну невідповідність. З одного боку, Gaia-X та Закон про дані мають на меті зменшити залежність від американських постачальників та посилити контроль над даними в Європі. З іншого боку, Європейська Комісія одночасно веде переговори щодо Виконавчої угоди зі США в рамках Закону CLOUD. Така угода, якщо її буде досягнуто, легалізує та потенційно спростить прямий доступ до даних для органів влади США за певних умов, інституціоналізуючи саме той механізм, який спочатку викликав занепокоєння щодо суверенітету. Це відображає дилему ЄС: одночасно прагнути цифрової автономії та встановити необхідну прагматичну співпрацю з США в правоохоронній сфері на ефективній основі, не ставлячи під загрозу власні високі принципи захисту даних (зокрема, вимоги рішення у справі Schrems II та статтю 48 GDPR). Вирішення цієї суперечності є ключовим викликом для майбутньої трансатлантичної політики щодо даних.

Інтеграція незалежної та перехресної платформи AI-джерела для всіх матчів компанії: xpert.digital

Ki-Gamechanger: Найбільш гнучкі рішення AI-таїлові рішення, що зменшують витрати, покращують свої рішення та підвищують ефективність

Незалежна платформа AI: інтегрує всі відповідні джерела даних компанії

• Ця платформа AI взаємодіє з усіма конкретними джерелами даних
  • Від SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox та багатьох інших систем управління даними
• Швидка інтеграція AI: індивідуальні рішення AI для компаній у години чи дні замість місяців
• Гнучка інфраструктура: хмарна або хостинг у власному центрі обробки даних (Німеччина, Європа, вільний вибір місця розташування)

• Найвища безпека даних: Використання в юридичних фірмах - це безпечні докази
• Використовуйте в широкому спектрі джерел даних компанії
• Вибір власних або різних моделей AI (DE, EU, США, CN)

Виклики, які вирішує наша платформа AI

• Відсутність точності звичайних рішень AI
• Захист даних та безпечне управління конфіденційними даними
• Високі витрати та складність індивідуального розвитку ШІ
• Відсутність кваліфікованого ШІ
• Інтеграція ШІ в існуючі ІТ -системи

Детальніше про це тут:

• Інтеграція AI незалежної та перехресної платформи AI для всіх питань компанії

Глобальні ризики та наслідки за межами Європи

Проблеми, що виникають внаслідок прийняття Закону CLOUD, не обмежуються відносинами між США та Європою. Закон має потенційно далекосяжні наслідки для країн та регіонів усього світу, зокрема щодо урядового стеження, економічного шпигунства, конфліктів з місцевими законами та загальної довіри до глобальної цифрової інфраструктури.

Державний нагляд та громадянські свободи

Закон CLOUD з самого початку зазнав критики з боку організацій, що займаються громадянськими свободами, таких як Фонд електронних кордонів (EFF) та Американський союз громадянських свобод (ACLU). Ключова критика полягає в тому, що закон потенційно підриває гарантії від неналежних обшуків та вилучень з боку уряду (закріплені в Четвертій поправці до Конституції США для громадян США). Зокрема, проблематичною вважається можливість встановлення двосторонніх домовленостей через Виконавчі угоди, які б дозволили іноземним органам влади прямий доступ до даних, що зберігаються в США, та потенційно обходили звичайний судовий розгляд судами США. Крім того, згідно з Законом CLOUD, особи, на яких подаються запити на дані, не обов'язково повинні бути повідомлені про доступ, що обмежує їхнє звернення до засобів правового захисту.

Для осіб за межами США захист, що надається Конституцією США, вже є менш широким. Закон CLOUD спрощує для влади США доступ до їхніх даних, що зберігаються у американських постачальників, незалежно від їхнього місцезнаходження. Це підживлює глобальні побоювання щодо розширення стеження уряду США. Існують побоювання, що механізм Закону CLOUD, зокрема Виконавчі угоди, можуть слугувати моделлю для інших країн, зокрема тих, що мають нижчі стандарти верховенства права та менш надійний захист громадянських свобод. Вже проведено паралель із Законом Китаю про національну розвідку, який також надає китайській владі широкий доступ до корпоративних даних. Це може прискорити глобальні тенденції до посилення державного стеження та контролю над цифровими комунікаціями.

Економічне шпигунство та захист інтелектуальної власності

Права доступу, надані Законом CLOUD, не обмежуються контентом комунікацій або метаданими приватних осіб. Вони також можуть охоплювати висококонфіденційні корпоративні дані, що зберігаються у постачальників хмарних послуг США. Це включає комерційну таємницю, фінансові дані, бази даних клієнтів, прототипи, дані досліджень і розробок, а також іншу інтелектуальну власність (ІВ).

Навіть попри те, що заявленою метою Закону CLOUD є боротьба з серйозними злочинами, існують побоювання, що його широкі права доступу можуть бути зловживані, наприклад, для економічного шпигунства на користь американських компаній або для отримання стратегічних економічних переваг. Сама можливість такого доступу з боку іноземного уряду підриває довіру компаній у всьому світі до безпеки та конфіденційності їхніх критично важливих даних, коли вони зберігаються у американських постачальників. Цей ризик становить значний недолік для багатьох компаній, особливо в технологічно ємних або критично важливих для безпеки галузях, під час використання хмарних сервісів США.

Конфлікти з місцевими правовими системами

Подібно до GDPR ЄС, екстериторіальна сфера дії Закону CLOUD також може суперечити законам про захист даних, зобов'язанням щодо конфіденційності або іншим законодавчим положенням багатьох інших країн. Таким чином, глобально діючі постачальники хмарних послуг, особливо ті, що мають штаб-квартиру або сильну присутність у США, потенційно піддаються дії мережі суперечливих правових зобов'язань.

Існує безліч прикладів країн з власними режимами захисту даних, які потенційно суперечать Закону CLOUD:

• Швейцарія: Переглянутий Федеральний закон про захист даних (revFADP) суттєво базується на GDPR, а також містить правила міжнародної передачі даних, які вимагають належного захисту в країні призначення.
• Бразилія: Lei Geral de Proteção de Dados Pessoais (LGPD) також має екстериторіальну дію та підпорядковує обробку даних бразильських громадян суворим правилам, зокрема для міжнародних передач.
• Індія: Закон про захист цифрових персональних даних (DPDP Act, який часто досі називають PDPB) також містить положення щодо передачі даних і може встановлювати вимоги щодо локалізації певних «критично важливих» даних.
• Китай: Закон про кібербезпеку (CSL) та Закон про захист персональної інформації (PIPL) передбачають суворі правила безпеки даних та транскордонної передачі, а також включають вимоги щодо локалізації даних.
• Росія: Федеральний закон № 152 «Про персональні дані» передбачає зберігання персональних даних громадян Росії на серверах у Росії (локалізація даних).

Ці приклади ілюструють, що Закон CLOUD — це не просто двостороння проблема між США та ЄС, а глобальний виклик узгодженості міжнародних правових систем у цифровому просторі.

Вплив на міжнародну передачу даних та довіру до постачальників технологій з США

Існування Закону CLOUD та пов'язані з ним невизначеності й правові суперечки мають значні наслідки для міжнародних механізмів передачі даних та загальної довіри до постачальників технологій у США.

Цей закон сприяє підриву довіри до усталених інструментів трансатлантичної передачі даних, таких як колишній Щит конфіденційності між ЄС та США або широко використовувані наразі Стандартні договірні положення (SCC). Як зазначено в контексті справи Schrems II, Закон CLOUD ускладнює припущення, що США забезпечують рівень захисту персональних даних, який «по суті еквівалентний» законодавству ЄС.

Це змушує компанії в усьому світі ретельніше переглядати ризики використання хмарних сервісів США. Вони повинні вивчити, чи можуть вони забезпечити дотримання місцевих законів про захист даних під час передачі даних постачальникам із США або їх обробки цими постачальниками. Це дедалі частіше призводить до пошуку альтернативних рішень, таких як використання місцевих або регіональних постачальників хмарних послуг, які не підпадають під юрисдикцію США, або впровадження додаткових технічних та організаційних заходів безпеки (таких як наскрізне шифрування з власним керуванням ключами, псевдонімізація даних або сувора локалізація даних для певних типів даних).

Правова невизначеність, створена Законом CLOUD та аналогічними законами в інших країнах, а також захисні заходи, що випливають з цього, також можуть посилити тенденцію до «балканізації» Інтернету. Це стосується зростаючої фрагментації глобального цифрового простору вздовж національних або регіональних кордонів, що характеризується суворішими вимогами до локалізації даних, різними технічними стандартами та складнішими транскордонними потоками даних. Закон CLOUD виступає ключовим рушієм цієї глобальної тенденції до більшого цифрового суверенітету. Односторонньо закріплюючи екстериторіальний доступ до даних і таким чином потенційно скасовуючи правові системи інших держав, США провокують контрзаходи. Вони проявляються у формі законів про локалізацію даних, державної підтримки локальних хмарних екосистем та посилення національних правил міжнародної передачі даних. Таким чином, Закон CLOUD прискорює, можливо ненавмисно, розвиток від відкритого, глобально мережевого простору даних до більш національно або регіонально контрольованих цифрових територій.

Підходить для цього:

• Незалежні платформи штучного інтелекту як стратегічна альтернатива для європейських компаній

Картування глобальної залежності від постачальників хмарних послуг зі США

Для оцінки сфери застосування Закону CLOUD важливо розуміти частки світового ринку та залежність від основних постачальників хмарних послуг США – Amazon Web Services (AWS), Microsoft Azure та Google Cloud Platform (GCP). Домінування цих гравців на ринку суттєво визначає, скільки компаній та організацій у всьому світі потенційно можуть постраждати від запитів Закону CLOUD.

Ринкові частки гіперскейлерів США (AWS, Azure, GCP)

Численні аналізи ринку підтверджують переважне домінування трьох основних американських гіперскейлерів на світовому ринку послуг хмарної інфраструктури (інфраструктура як послуга, IaaS, та платформа як послуга, PaaS). Разом AWS, Microsoft Azure та GCP контролювали приблизно від 66% до 70% світового доходу в цьому сегменті на кінець 2023 року та на початок 2025 року відповідно (залежно від джерела та точного визначення ринку).

Приблизні частки ринку за четвертий квартал 2024 року можна підсумувати наступним чином (на основі даних з різних джерел; точні цифри можуть дещо відрізнятися, але тенденція є стабільною):

• Amazon Web Services (AWS): приблизно 30-33%. AWS залишається безперечним лідером ринку, а його новаторська роль у хмарних обчисленнях забезпечує йому стабільне лідерство. Однак в останні роки спостерігається незначна тенденція до стагнації або навіть незначного зниження частки ринку, тоді як конкуренти наздоганяють.
• Microsoft Azure: приблизно 21-24%. Azure зарекомендував себе як сильний лідер на другому місці та демонструє постійне зростання, часто завдяки інтеграції з іншими продуктами Microsoft та сильним позиціям у корпоративному секторі.
• Хмарна платформа Google (GCP): приблизно 11-12%. GCP посідає третє місце і також демонструє значне зростання, хоча й з меншої бази. Google активно інвестує в такі сфери, як штучний інтелект та аналітика даних, щоб отримати частку ринку.

Окрім цих трьох гігантів, є й інші важливі гравці, чиї частки ринку значно менші. До них належить Alibaba Cloud, яка, маючи приблизно 4% світової частки ринку, відіграє меншу роль, але домінує на хмарному ринку Китаю. Інші постачальники з глобальною або регіональною спрямованістю включають IBM, Salesforce, Oracle, Tencent Cloud та Huawei Cloud (обидва сильні в Китаї), а також спеціалізовані постачальники.

У наступній таблиці підсумовано оцінені частки світового ринку провідних постачальників хмарної інфраструктури (IaaS/PaaS) на кінець 2024 / початок 2025 року та показано домінування гіперскейлерів з США:

Очікувана частка світового ринку хмарних послуг (IaaS/PaaS) за 4 квартал 2024 року/початок 2025 року

Очікувана частка світового ринку хмарних послуг (IaaS/PaaS) за 4 квартал 2024 року/початок 2025 року – Зображення: Xpert.Digital

Поточні дані щодо світового ринку хмарних послуг IaaS/PaaS у четвертому кварталі 2024 року та на початку 2025 року свідчать про чітке домінування американських гіперскейлерів. AWS займає найбільшу частку ринку – від 30 до 33 відсотків, зі стабільною або незначною тенденцією до зниження. Microsoft Azure йде далі з 21 до 24 відсотків і демонструє подальше зростання. Google Cloud Platform (GCP) займає від 11 до 12 відсотків ринку з позитивною тенденцією. Китайський провайдер Alibaba Cloud підтримує стабільну частку світового ринку приблизно на рівні 4 відсотків. Решта провайдерів, включаючи IBM, Oracle, Tencent та Huawei, разом ділять від 27 до 34 відсотків ринку з різними тенденціями зростання. Загальна позиція американських гіперскейлерів заслуговує на увагу, оскільки вони разом контролюють приблизно від 62 до 69 відсотків світового ринку хмарних послуг і демонструють незначне зростання.

Ці цифри підкреслюють значну глобальну залежність від трьох основних постачальників американських послуг. Таким чином, значна частина світової хмарної інфраструктури потенційно підпадає під юрисдикцію Закону CLOUD.

Регіони/країни з високим рівнем залежності

Залежність від постачальників хмарних послуг зі США різниться географічно, але є дуже високою в багатьох важливих економічних регіонах:

• Північна Америка (особливо США та Канада): Як батьківщина гіперскейлерів та країн з найвищим рівнем проникнення хмарних технологій, залежність тут, природно, найбільша. AWS має особливо сильні ринкові позиції в США. Канада також демонструє значні інвестиції в хмарні технології та штучний інтелект, часто через американські платформи.
• Європа: Незважаючи на занепокоєння щодо GDPR та Закону CLOUD, залежність від AWS, Azure та GCP у Європі залишається надзвичайно високою. Їхня сукупна частка ринку на континенті оцінюється понад 70%. Цікаво, що, згідно з одним аналізом, Azure навіть випереджає AWS у деяких європейських країнах, таких як Нідерланди (за повідомленнями, 67% частки ринку), Польща (49%) та Японія (49%). Великі європейські економіки, такі як Німеччина, Велика Британія та Франція, значно інвестують у хмарні технології та штучний інтелект, причому центральну роль відіграють американські платформи. Ця невідповідність між високою ринковою залежністю та політичним прагненням до цифрового суверенітету є ключовою сферою напруженості.
• Індія: Індійський ринок хмарних послуг демонструє сильні темпи зростання та значну залежність від американських постачальників, зі структурою ринку, подібною до американської: AWS лідирує (приблизно 52%), далі йдуть Azure (приблизно 35%) та GCP (приблизно 13%). Водночас в Індії існує сильна політична воля до цифровізації та зростаюче прагнення до локалізації даних, особливо конфіденційних даних, таких як фінансові дані. Це може сприяти зростанню місцевих постачальників у довгостроковій перспективі.
• Латинська Америка: Використання хмарних технологій зростає в таких країнах, як Бразилія, але в ньому все ще значною мірою домінують глобальні гравці зі США. AWS активно розширюється в регіоні, наприклад, відкриваючи новий регіон у Мексиці. Місцеві закони про захист даних, такі як бразильський LGPD, та конкретні вимоги щодо локалізації даних, наприклад, у фінансовому секторі, можуть вплинути на динаміку ринку, але поки що мало що зробили для зміни фундаментальної залежності.
• Австралія: Як технологічно розвинена країна з тісними політичними та економічними зв'язками зі США, Австралія демонструє високий рівень впровадження хмарних технологій. Існування Виконавчої угоди CLOUD Act між США та Австралією свідчить про прийняття механізмів доступу США та вказує на високий ступінь залежності від американських постачальників.
• Інші регіони (наприклад, Африка, частини Південно-Східної Азії): ринки хмарних технологій все ще розвиваються в багатьох країнах, що розвиваються, та країнах, що розвиваються. Глобальні американські постачальники також часто домінують тут завдяки своїй економії від масштабу та технологічному лідерству. Водночас у цих регіонах також зростає прагнення до цифрового суверенітету та локалізації даних, як демонструють приклади В'єтнаму та Індонезії.

Країни з меншою залежністю та альтернативними екосистемами (Китай, Росія)

На відміну від широко поширеної залежності від гіперскейлерів з США, розвинулися значною мірою незалежні цифрові екосистеми, зокрема в Китаї та Росії, в яких домінують місцеві постачальники.

• Китай: Китайський ринок хмарних послуг є другим за величиною у світі, але він жорстко регулюється та має складний доступ до нього іноземним постачальникам. Вітчизняні технологічні компанії явно домінують: Alibaba Cloud займає частку ринку приблизно 36%, далі йдуть Huawei Cloud з часткою близько 19% та Tencent Cloud з приблизно 15-16% (станом на 2/3 квартал 2024 року). Американські постачальники, такі як AWS або Azure, відіграють лише незначну роль на ринку материкового Китаю. Цей розвиток зумовлений суворим державним регулюванням, зокрема Законом про кібербезпеку (CSL) та Законом про захист персональної інформації (PIPL), які, серед іншого, вимагають локалізації даних та жорстко контролюють транскордонні потоки даних. Китай також реалізує власну амбітну стратегію штучного інтелекту, яка спирається на можливості своїх вітчизняних постачальників хмарних послуг.
• Росія: Подібно до Китаю, але з інших причин (зокрема, західних санкцій та активної державної політики щодо просування цифрового суверенітету), Росія спостерігає зростаючу віддаленість від західних постачальників технологій. На російському ринку хмарних послуг домінують місцеві провайдери, зокрема Yandex Cloud, але також значну роль відіграють такі провайдери, як SberCloud (можливо, зараз працює під іншою назвою, наприклад, Cloud.ru), VK Cloud та державна телекомунікаційна компанія «Ростелеком». Російський закон про захист даних (Федеральний закон № 152) вимагає суворої локалізації персональних даних громадян Росії, що ускладнює використання іноземних хмарних сервісів та надає перевагу місцевим провайдерам. Yandex Cloud прямо рекламує свою відповідність цим місцевим законам, щоб залучити міжнародні компанії, які прагнуть працювати на російському ринку. Урядові програми, такі як «Цифрова економіка Російської Федерації» та платформа «ДержТех», ще більше сприяють використанню вітчизняних хмарних рішень державними установами та підприємствами.
• Європейський Союз (потенціал проти реальності): ЄС опинився в унікальній ситуації. З одного боку, існують чіткі політичні зусилля щодо зменшення залежності від американських постачальників та встановлення власного цифрового суверенітету. Такі ініціативи, як Gaia-X, та законодавчі акти, такі як Закон про дані, спрямовані на це. Існує також низка європейських постачальників хмарних послуг (наприклад, OVHcloud, Deutsche Telekom/T-Systems, IONOS). З іншого боку, як показано вище, фактичне проникнення американських гіперскейлерів на ринок Європи надзвичайно високе. Європейські альтернативи досі не змогли досягти порівнянних ринкових часток, що часто пояснюється економією масштабу та технологічною зрілістю американських пропозицій. Таким чином, ЄС залишається регіоном високої залежності в поєднанні з сильною політичною волею до змін.

Ці приклади показують, що менша залежність від американських гіперскейлерів можлива, але зазвичай це ґрунтується на поєднанні сильного державного регулювання, цілеспрямованої підтримки вітчизняної промисловості та, в деяких випадках, політично мотивованого ринкового протекціонізму.

Скористайтеся перевагами великого, п'ятикратного досвіду Xpert.Digital у комплексному пакеті послуг | Дослідження та розробки, XR, PR та оптимізація цифрової видимості - Зображення: Xpert.Digital

Xpert.digital має глибокі знання в різних галузях. Це дозволяє нам розробити кравці, розроблені стратегії, пристосовані до вимог та проблем вашого конкретного сегменту ринку. Постійно аналізуючи тенденції на ринку та здійснюючи розвиток галузі, ми можемо діяти з передбаченням та пропонувати інноваційні рішення. З поєднанням досвіду та знань ми створюємо додаткову цінність та надаємо своїм клієнтам вирішальну конкурентну перевагу.

Детальніше про це тут:

• Використовуйте 5 -разову компетентність xpert.digital в одній упаковці - від 500 € на місяць

Національні стратегії та відповіді на Закон CLOUD

З огляду на виклики, які ставить перед захистом даних, суверенітетом та правовою визначеністю Закон США про хмарні технології (CLOUD Act), держави в усьому світі розробили різноманітні стратегії для управління пов'язаними з цим ризиками та захисту своїх інтересів. Ці стратегії варіюються від регуляторних заходів та технологічних підходів до міжнародних переговорів.

Порівняння національних підходів

Можна спостерігати кілька основних підходів, які часто поєднуються:

• Локалізація даних: Однією з найпряміших відповідей є запровадження законів, які вимагають фізичного зберігання та обробки певних типів даних — часто персональних даних або інформації, класифікованої як критично важлива — у межах національних кордонів. Яскравими прикладами є Росія з Федеральним законом № 152, Китай з вимогами згідно з його Законом про кібербезпеку та Законом про захист персональних даних, а також, певною мірою, Індія (особливо для платіжних даних). Такі країни, як В'єтнам та Індонезія, також застосовують подібні підходи. Мотиви різноманітні: зміцнення національного суверенітету та контролю над даними, покращення національної безпеки шляхом обмеження доступу іноземних держав, а також економічний протекціонізм для сприяння розвитку вітчизняної ІТ-індустрії. Однак з технологічної та економічної точки зору, сувора локалізація даних часто є неефективною, оскільки вона підриває переваги глобально розподілених хмарних архітектур (такі як масштабованість, резервування та економічна ефективність) та призводить до збільшення витрат для бізнесу. Кількість країн з такими обмеженнями значно зросла за останні роки.
• Зміцнення внутрішнього регулювання та міжнародних стандартів: Багато країн зосереджуються на зміцненні власного законодавства про захист даних, щоб встановити високі стандарти захисту та чітко регулювати умови міжнародної передачі даних. ЄС зі своїм GDPR є піонером у цій галузі. Інші країни наслідували цей приклад або модернізували своє законодавство, часто на основі GDPR, такі як Швейцарія (revFADP), Бразилія (LGPD), Велика Британія (UK GDPR) та Канада (PIPEDA). Метою часто є визнання ЄС країною з «належним рівнем захисту даних» для полегшення потоків даних з Європою. Водночас ці закони служать для захисту прав власних громадян та створюють правову базу, до якої потенційно можна застосувати у разі конфлікту із такими законами, як Закон CLOUD.
• Сприяння місцевим/регіональних постачальникам та екосистемам: Інший підхід полягає у активному просуванні промислової політики вітчизняних або регіональних постачальників хмарних послуг та цифрових екосистем для створення альтернатив домінуючим американським гіперскейлерам та зменшення технологічної залежності. Ініціатива ЄС Gaia-X є прикладом цього, хоча її успіх поки що обмежений. У Китаї та Росії цей підхід у поєднанні з жорстким регулюванням виявився більш успішним і призвів до появи ринків, на яких домінують місцеві постачальники. Проблема полягає в тому, що місцеві постачальники часто не можуть досягти такої ж економії від масштабу, такого ж обсягу інвестицій або такого ж глобального охоплення, як американські гіганти.
• Використання міжнародних угод (виконавчі угоди проти MLAT): Держави можуть спробувати регулювати доступ до даних у правоохоронній діяльності за допомогою міжнародних угод. Сам Закон CLOUD забезпечує механізм виконавчих угод для цієї мети. Такі країни, як Велика Британія та Австралія, обрали цей шлях і уклали двосторонні угоди зі США, які мають на меті забезпечити прискорений, прямий доступ до даних за певних умов. Ці угоди обіцяють підвищення ефективності порівняно з часто повільними традиційними процедурами взаємної правової допомоги (MLAT). Однак інші країни або регіони, такі як ЄС, вагаються укладати таку угоду, частково через побоювання щодо сумісності з їхніми власними високими стандартами захисту даних (GDPR, Schrems II). Вони продовжують покладатися переважно на встановлену процедуру MLAT, яка передбачає більшу участь судових органів запитуваної держави, навіть якщо вона вважається неефективною. Вибір між цими підходами являє собою балансування між ефективністю правоохоронної діяльності та захистом основних прав і суверенітету.
• Технічні та організаційні заходи (ТОМ) компаній: Незалежно від урядових стратегій, самі компанії вживають заходів для зменшення ризиків Закону CLOUD. До них належать використання надійних методів шифрування, в ідеалі з повним контролем клієнта над криптографічними ключами (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), ретельний вибір місця зберігання (наприклад, центри обробки даних у межах ЄС), впровадження суворого контролю доступу, використання методів псевдонімізації або анонімізації, співпраця з місцевими партнерами або системними інтеграторами, які керують даними від імені клієнта, або впровадження гібридних хмарних архітектур, в яких особливо конфіденційні дані залишаються у власному центрі обробки даних компанії (локально).

Тематичні дослідження: ЄС, Швейцарія, Бразилія, Китай, Росія

Застосування цих стратегій можна проілюструвати на прикладах конкретних країн:

• ЄС застосовує багатогранний підхід. Основою є суворе регулювання (GDPR, Закон про дані). Такі ініціативи, як Gaia-X, спрямовані на зміцнення суверенітету, але стикаються з труднощами. Водночас тривають переговори зі США щодо угоди про CLOUD Act, що підкреслює амбівалентність між претензією на суверенітет та необхідністю співпраці. Висока залежність від американських постачальників залишається.
• Швейцарія: Її закон про захист даних (revFADP) тісно узгоджений з GDPR та використовує аналогічні механізми для міжнародної передачі даних (рішення про адекватність, SCC). У відповідь на Schrems II Швейцарія запровадила власну угоду зі США (Швейцарсько-американська угода про конфіденційність даних). Тим не менш, фундаментальний ризик, що створюється Законом CLOUD, залишається, оскільки він потенційно впливає на швейцарські компанії, які користуються послугами США.
• Бразилія: Законом про захист даних (LGPD) було створено комплексний закон про захист даних з екстериторіальною дією та створено незалежний орган із захисту даних (ANPD). Існують спеціальні правила для міжнародної передачі даних та використання хмарних сервісів, зокрема у регульованому фінансовому секторі. Однак точне тлумачення та забезпечення дотримання цих правил, зокрема щодо конфліктів із такими законами, як Закон CLOUD, все ще перебувають на стадії розробки.
• Китай: Він послідовно покладається на державний контроль, сувору локалізацію даних та просування закритого внутрішнього ринку, на якому домінують національні лідери. Захист даних (у сенсі PIPL) також служить державному контролю та національній безпеці.
• Росія: Дотримується аналогічної стратегії цифрового суверенітету шляхом суворої локалізації даних, просування вітчизняних постачальників та посилення технологічного відокремлення від Заходу, що підкріплюється геополітичними факторами.

Технічні та організаційні заходи компаній

Для компаній, які використовують хмарні сервіси США або працюють по всьому світу, впровадження надійних технічних та організаційних заходів має вирішальне значення для мінімізації ризиків. До них належать:

• Прозорість та оцінка ризиків: проактивне спілкування з клієнтами щодо юрисдикційних ризиків та проведення ретельного аналізу ризиків (оцінка впливу передачі даних – TIA) для оцінки чутливості даних та потенційного впливу доступу.
• Ретельний вибір постачальників: вивчення альтернатив американським постачальникам, зокрема європейським або місцевим постачальникам, що не підпадають під юрисдикцію США. Оцінка зобов'язань постачальників щодо дотримання вимог та архітектур безпеки.
• Шифрування та керування ключами: Надійне шифрування використовується як для даних у стані спокою, так і під час передачі. Контроль над криптографічними ключами є критично важливим. Тільки якщо клієнт керує ключами виключно (HYOK), він може ефективно запобігти доступу постачальника (і, таким чином, потенційно влади США). Рішення, де постачальник керує ключами (Bring Your Own Key – BYOK може вводити в оману), не пропонують повного захисту. Однак слід зазначити, що дані для активної обробки в хмарі часто потрібно зберігати розшифрованими в пам'яті, що створює потенційне вікно доступу.
• Контроль доступу та управління: Впровадження суворої політики управління ідентифікацією та доступом (IAM) для обмеження доступу до даних до абсолютного мінімуму. Вивчення того, чи можна запобігти доступу персоналу з певних юрисдикцій (наприклад, США) до даних в інших регіонах (наприклад, ЄС) за допомогою технічних та організаційних заходів.
• Гібридні та мультихмарні стратегії: міграція особливо конфіденційних даних та робочих навантажень до приватної хмари або локальної інфраструктури, тоді як менш критичні програми залишаються у публічній хмарі. Це дозволяє диференційовано керувати ризиками.
• Юридичне структурування: У деяких випадках створення юридично окремих дочірніх компаній у різних юрисдикціях може розглядатися як порушення «контролю» материнської компанії США над даними в інших регіонах. Однак це складний процес, який вимагає ретельного юридичного структурування.
• Відповідь на запити: Розробка чітких внутрішніх процедур для обробки запитів від органів влади. Це включає перевірку законності запиту та готовність оскаржувати накази, якщо вони суперечать місцевому законодавству (наприклад, GDPR).

Однак, слід зазначити, що технічні та організаційні заходи мають свої межі. Доки компанія, що підпадає під юрисдикцію США, зрештою володіє, зберігає або контролює дані чи ключі, необхідні для розшифрування, фундаментальний юридичний ризик бути змушеною передати їх відповідно до Закону CLOUD залишається. Навіть надійне шифрування можна обійти, якщо постачальника можна змусити передати ключі або він має доступ до рівня управління. Суто технічне рішення не може повністю усунути юридичну проблему претензій на суверенітет.

У наступній таблиці наведено порівняльний огляд різних національних стратегій:

Порівняння національних стратегій зменшення ризиків Закону CLOUD

Порівняння національних стратегій щодо зменшення ризиків, пов’язаних із Законом про хмарні технології (CLOUD Act), – зображення: Xpert.Digital

Різні країни та регіони світу розробили різні стратегічні підходи до подолання ризиків, що виникають через Закон США про хмарні технології (CLOUD Act). Стратегія локалізації даних, яка практикується в Китаї, Росії та деяких частинах Індії та В'єтнаму, вимагає суворого зберігання даних всередині країни. Хоча це посилює національний контроль і суверенітет і сприяє розвитку місцевої промисловості, часто виявляється неефективним, дорогим і таким, що стримує інновації, а також обмежує доступ до глобальних послуг.

З іншого боку, ЄС із GDPR, Швейцарія із FADP, Бразилія із LGPD та Велика Британія із GDPR зосереджуються на посиленні власного регулювання з високими стандартами захисту даних, чіткими правилами міжнародної передачі даних та сильними наглядовими органами. Ця стратегія захищає права громадян та створює правову базу для суперечок, але вона безпосередньо не вирішує фундаментальний юрисдикційний конфлікт і покладає важкий тягар вимог до дотримання вимог на компанії.

Деякі регіони активно просувають місцевих постачальників та цифрові екосистеми, як-от ЄС із проектом Gaia-X або Китай і Росія зі своєю промисловою політикою. Ці заходи зменшують залежність від іноземних постачальників та зміцнюють технологічний суверенітет, але часто пов'язані з обмеженою конкурентоспроможністю порівняно з великими міжнародними постачальниками та виявляються тривалими та дорогими.

Велика Британія та Австралія уклали Виконавчі угоди зі США відповідно до Закону CLOUD, тоді як ЄС все ще веде переговори. Ці двосторонні угоди дозволяють правоохоронним органам пришвидшити доступ до даних та забезпечують правову визначеність для постачальників, але можуть обійти національні стандарти захисту даних та узаконити доступ США до даних.

Багато країн неявно дотримуються традиційного процесу MLAT (Договору про взаємну правову допомогу), який пропонує встановлені процедури правової допомоги з сильнішими гарантіями верховенства права, але вважається повільним, бюрократичним та неефективним для цифрових доказів.

Компанії по всьому світу також впроваджують технічні та організаційні заходи, такі як шифрування з власним ключем, суворий контроль доступу, гібридні хмарні рішення та комплексний аналіз ризиків. Хоча ці заходи можуть зменшити ризики та продемонструвати відповідність вимогам, вони часто не вирішують фундаментальну юрисдикційну проблему та є складними та потенційно дорогими для впровадження.

Підходить для цього:

• Інтеграція AI незалежної та перехресної платформи AI для всіх питань компанії

Проблемний закон з далекосяжними наслідками

Аналіз Закону США про хмарні технології (CLOUD Act) та його глобального впливу виявляє складну мережу правових конфліктів, технологічних залежностей, геополітичної напруженості та стратегічних відповідей. Хоча закон був розроблений зі зрозумілою метою підвищення ефективності правоохоронних органів у цифрову епоху, у своєму нинішньому вигляді він виявляється дуже проблематичним і створює значні ризики для окремих осіб, бізнесу та держав у всьому світі.

Короткий виклад основних проблем Закону CLOUD

Основні критичні зауваження та проблемні області можна підсумувати наступним чином:

• Конфлікт з національним суверенітетом та правовими системами: чітке екстериторіальне твердження Закону CLOUD, яке надає органам влади США доступ до даних незалежно від місця їх зберігання, принципово суперечить розуміння суверенітету інших держав та їхніх правових систем. Це стає особливо очевидним у конфлікті з GDPR ЄС, зокрема зі статтею 48, яка пов'язує визнання наказів іноземних урядів з міжнародними угодами.
• Правова невизначеність та колізія норм: Для компаній, що працюють по всьому світу, особливо для постачальників хмарних послуг, закон створює значну правову невизначеність. Вони стикаються з потенційно суперечливими правовими зобов'язаннями – з одного боку, наказом США про розкриття даних, а з іншого боку, законами про захист даних або конфіденційність країни, де зберігаються дані або громадян якої це стосується. Це призводить до дилеми з потенційними санкціями з обох сторін.
• Ерозія довіри: Закон CLOUD значно підриває довіру до постачальників технологій у США. Можливість отримання американськими органами влади доступу до даних шляхом обходу місцевих процедур або без відома постраждалих підживлює недовіру щодо безпеки та конфіденційності даних. Це стосується як персональних даних, так і конфіденційної корпоративної інформації, і посилюється паралельними занепокоєннями щодо законів США про стеження (питання Schrems II).
• Ризики, що виходять за рамки правоохоронної діяльності: Хоча заявленою метою є боротьба з серйозними злочинами, існують побоювання щодо зловживання правами доступу з метою державного спостереження або економічного шпигунства. Ці ризики важко контролювати, і вони сприяють втраті довіри.
• Сприяння глобальній фрагментації: Односторонній підхід Закону CLOUD діє як каталізатор глобальних тенденцій фрагментації в цифровому просторі. Він провокує контрреакції у вигляді законів про локалізацію даних та просування національних цифрових екосистем, що сприяє «балканізації» інтернету та перешкоджає вільному глобальному потоку даних.

Огляд глобального ландшафту залежності

Аналіз частки ринку показує величезну глобальну залежність від трьох основних американських хмарних гіперскейлерів: AWS, Microsoft Azure та GCP. Зокрема, у Північній Америці та Європі вони контролюють понад дві третини ринку послуг хмарної інфраструктури. Така висока концентрація створює широку потенційну поверхню для атаки Закону CLOUD.

На противагу цьому, такі країни, як Китай та Росія, створили значною мірою незалежні цифрові екосистеми завдяки сильному державному регулюванню, сприянню вітчизняним постачальникам та ринковому протекціонізму. Вони демонструють, що менша залежність можлива, хоча часто ціною обмеженого глобального зв'язку та потенційно меншої свободи вибору.

Європейський Союз опинився в неоднозначному становищі: з одного боку, він дуже залежить від постачальників зі США, а з іншого боку, існує сильна політична воля та конкретні ініціативи (Gaia-X, Закон про дані) щодо зміцнення цифрового суверенітету та просування альтернатив. Однак успіх цих зусиль залишається невизначеним.

Перспективи майбутнього розвитку подій

Тенденції, спричинені Законом CLOUD та аналогічними подіями, ймовірно, продовжаться:

• Поширеність законів про локалізацію даних, ймовірно, зростатиме, оскільки все більше країн намагатимуться зберегти контроль над даними на своїй території.
• Зусилля щодо створення регіональних або національних хмарних альтернатив продовжуватимуться, навіть якщо успіх у конкуренції з усталеними гіперскейлерами залишається складним. Ініціативи, подібні до Gaia-X, можуть перетворитися на рамки стандартизації для просторів даних.
• Очікується, що США прагнутимуть подальших виконавчих угод зі стратегічними партнерами для полегшення доступу до даних. Однак переговори з ЄС залишаються складними.
• Правові суперечки щодо міжнародної передачі даних, зокрема в контексті Schrems II та наступних нормативних актів (таких як Рамкова угода про конфіденційність даних між ЄС та США), триватимуть. Питання «належного рівня захисту» у США залишається нагальним.
• Для компаній розробка та впровадження надійних стратегій відповідності та технічних рішень для зниження ризиків (шифрування, гібридні моделі тощо) стає дедалі важливішим для роботи в цьому складному середовищі.

На завершення, слід визнати, що Закон CLOUD вирішує реальну проблему: необхідність для правоохоронних органів своєчасного доступу до доказів, що зберігаються за кордоном, в цифрову епоху. Традиційні процедури MLAT часто є занадто повільними та неефективними. Однак будь-яке стале рішення має знайти спосіб узгодити цю законну потребу правоохоронних органів з фундаментальними правами на захист даних та конфіденційність, а також суверенітетом держав. Закон CLOUD у своєму нинішньому вигляді не забезпечує цього балансу, на думку багатьох міжнародних спостерігачів та зацікавлених сторін. Він являє собою рішення, орієнтоване на США, яке не враховує належним чином проблеми та правові системи інших країн, створюючи таким чином більше проблем, ніж вирішує. Міжнародно скоординоване рішення, засноване на взаємній повазі до правових систем та сильних гарантіях фундаментальних прав, залишається нагальною потребою.

Рекомендації щодо дій

Аналіз Закону CLOUD та його глобального впливу дає конкретні рекомендації щодо дій для європейських компаній та організацій, а також для політичних діячів.

Для європейських компаній та організацій:

• Проведення комплексного аналізу ризиків: Компанії повинні систематично оцінювати свою залежність від постачальників хмарних послуг США. Це включає класифікацію оброблюваних даних за рівнем конфіденційності та аналіз потенційних ризиків у разі доступу до даних з боку органів влади США. Проведення оцінки впливу передачі даних (TIA), як того вимагає контекст Schrems II, є надзвичайно важливим.
• Ретельний вибір постачальників хмарних послуг: доцільно активно розглядати європейських або інших неамериканських постачальників хмарних послуг як альтернативи, що не підпадають під юрисдикцію США або підпадають під менш суворі правила. Постачальників слід оцінювати на основі їхніх договірних зобов'язань щодо запитів Закону CLOUD, їхніх технічних гарантій та сертифікатів відповідності.
• Надійна структура контрактів: контракти з постачальниками хмарних послуг повинні містити чіткі положення щодо обробки даних, місць зберігання, заходів безпеки та обробки офіційних запитів відповідно до статті 28 GDPR.
• Впровадження надійних технічних заходів: використання наскрізного шифрування, де криптографічні ключі залишаються виключно під контролем клієнта (Hold Your Own Key – HYOK), є важливим заходом безпеки. Слід впроваджувати суворий контроль доступу (керування ідентифікацією та доступом) та, де це доречно, методи псевдонімізації або анонімізації.
• Використання гібридних або мультихмарних стратегій: для особливо конфіденційних даних використання приватних хмар або локальних інфраструктур може бути корисним, тоді як менш критичні робочі навантаження можуть залишатися в публічній хмарі. Це дозволяє диференційовано керувати ризиками.
• Отримання конкретної юридичної консультації: З огляду на складну та постійно мінливу правову ситуацію, отримання спеціалізованої юридичної консультації для оцінки конкретних ризиків та розробки життєздатної стратегії дотримання вимог є надзвичайно важливим.

Для осіб, які приймають політичні рішення (особливо в ЄС):

• Зміцнення європейського цифрового суверенітету: Постійне просування ініціатив, таких як Gaia-X, та підтримка розвитку конкурентоспроможних європейських постачальників хмарних послуг необхідні для створення справжніх технологічних альтернатив та зменшення залежності. Закон про дані слід використовувати для забезпечення справедливих ринкових умов та контролю над даними.
• Чітка позиція в міжнародних переговорах: Переговори щодо потенційної Угоди про виконання Закону про хмарні технології (CLOUD Act) між ЄС та США повинні забезпечити повне дотримання високих європейських стандартів захисту даних (GDPR, Хартія основних прав ЄС, положення Schrems II). Це включає надійні гарантії верховенства права, пропорційності, прозорості та ефективного правового захисту суб'єктів даних. Слід закріпити пріоритет встановлених процедур взаємної правової допомоги (MLAT) або еквівалентних гарантій.
• Сприяння глобальним стандартам: ЄС повинен виступати на міжнародному рівні за розробку гармонізованих правил і стандартів для транскордонного доступу державних органів до даних, заснованих на верховенстві права, повазі до основних прав та взаємній повазі між національними правовими системами.
• Освіта та підтримка бізнесу: Політики та регулятори повинні надавати чіткі рекомендації та практичну підтримку бізнесу, щоб допомогти їм оцінити ризики та впровадити заходи щодо дотримання вимог Закону CLOUD та міжнародної передачі даних.

☑ Підтримка МСП у стратегії, порадах, плануванні та впровадженні

☑ Створення або перестановка стратегії AI

☑ Піонерський розвиток бізнесу

Konrad Wolfenstein

Я радий допомогти вам як особистого консультанта.

Ви можете зв’язатися зі мною, заповнивши контактну форму нижче або просто зателефонуйте мені за номером +49 89 674 804 (Мюнхен) .

Я з нетерпінням чекаю нашого спільного проекту.

Xpert.digital - це центр для промисловості з фокусом, оцифруванням, машинобудуванням, логістикою/внутрішньологічною та фотоелектричною.

За допомогою нашого рішення щодо розвитку бізнесу на 360 ° ми підтримуємо відомі компанії від нового бізнесу до після продажу.

Ринкова розвідка, маха, автоматизація маркетингу, розвиток контенту, PR, поштові кампанії, персоналізовані соціальні медіа та виховання свинцю є частиною наших цифрових інструментів.

Ви можете знайти більше на: www.xpert.digital - www.xpert.solar - www.xpert.plus