CLOUD Act vs GDPR: Почему данные европейских компаний юридически доступны властям США
05 сентября 2025
CLOUD Act vs GDPR
Что такое CLOUD Act и почему это важно
Принятый в 2018 году американский закон CLOUD Act (Clarifying Lawful Overseas Use of Data) кардинально изменил правила игры в области международного хранения данных. Согласно документу Министерства юстиции США, этот закон обязывает провайдеров электронных коммуникационных услуг под американской юрисдикцией "сохранять, создавать резервные копии и раскрывать содержание коммуникаций... находящихся во владении, хранении или контроле такого провайдера, независимо от того, находится ли такая информация внутри или за пределами Соединенных Штатов".
Ключевой момент: юрисдикция определяется не местом хранения данных, а контролем над ними. Как отмечает юридическая фирма Hogan Lovells: "Юрисдикция следует за владением". Если американская компания управляет дата-центром во Франкфурте, данные остаются под американской юрисдикцией.
Публичное признание Microsoft: конец иллюзий
Переломный момент наступил в июне 2025 года во время слушаний во французском Сенате. Антон Карньо, директор по правовым вопросам Microsoft France, под присягой заявил:
Карньо далее пояснил: "Если запрос данных от властей США является 'правильно сформулированным' и юридически обоснованным согласно американскому законодательству, Microsoft будет обязана передать данные".
Важно: это признание касается не только Microsoft. Поскольку CLOUD Act применяется ко всем поставщикам под американской юрисдикцией, правовые обязательства идентичны для Amazon Web Services (AWS), Google Cloud и Oracle Cloud.
Фундаментальный конфликт с европейским правом
GDPR и статья 48
Общий регламент по защите данных (GDPR) в статье 48 устанавливает жёсткое правило: решения судов третьих стран, требующие передачи персональных данных, могут быть признаны только если они основаны на международном соглашении (MLAT).
Европейский совет по защите данных (EDPB) заявил: "Поставщики услуг под действием законодательства ЕС не могут юридически основывать передачу персональных данных в США только на запросе CLOUD Act". Нарушение грозит штрафами до 4% от глобального годового оборота.
Решение Schrems II и его последствия
16 июля 2020 года Суд ЕС вынес историческое решение, признав недействительным соглашение Privacy Shield. Суд постановил, что американские программы слежки "не ограничены тем, что является строго необходимым и пропорциональным" согласно требованиям Хартии основных прав ЕС.
Иллюзия "суверенных облаков"
Американские технологические гиганты активно продвигают решения "суверенные облака": Microsoft предлагает проект "Bleu" во Франции, Oracle развивает "EU Sovereign Cloud". Эти сервисы обещают хранение данных исключительно в ЕС.
Пока головная компания остаётся американской, вся структура подпадает под действие CLOUD Act.
Практические рекомендации
1. Классификация данных
- Проведите Transfer Impact Assessment (TIA)
- Категоризируйте данные по уровню чувствительности
- Оцените юрисдикционные риски провайдеров
2. Технические меры защиты
- Шифрование HYOK: Управление ключами исключительно на стороне клиента
- Конфиденциальные вычисления: Данные зашифрованы даже во время обработки
- Zero Trust архитектура: Минимизация поверхности атаки
3. Стратегическая диверсификация
- Используйте EU-native провайдеров для критичных данных
- Внедрите гибридную мультиоблачную архитектуру
- Требуйте контрактные гарантии уведомления о запросах властей
Заключение
Свидетельство Microsoft окончательно развеяло иллюзии о защите европейских данных от американской юрисдикции техническими мерами или контрактными обещаниями.
Для европейских организаций это означает стратегический выбор: принять риски использования американских сервисов или инвестировать в создание суверенной цифровой инфраструктуры. В эпоху, когда данные стали критически важным активом, это вопрос сохранения контроля над собственным цифровым будущим.
Автор статьи
Аналитический центр Академии BEPS
Академия BEPS рекомендует:
