במשך שנים, העולם פעל על פי הנחה פשוטה: לנתונים יש מיקום פיזי. אם הם אוחסנו בשרת בדבלין, הם היו כפופים לחוק האירי והאירופי. הנחה זו קרסה בשנת 2018, כאשר ארצות הברית אימצה את ה-CLOUD Act — חוק המעניק לרשויות האמריקאיות גישה לנתונים הנשלטים על ידי חברות אמריקאיות, ללא קשר למיקומם הפיזי בעולם. מספר שנים לאחר מכן, בריסל השיבה עם מנגנון ההגנה שלה: ה-Data Act, החל כעת במלואו, המנסה להגביל את הגישה החוץ-טריטוריאלית של רשויות ממדינות שלישיות לנתונים המוחזקים באיחוד האירופי.
הנה מה שקובעים שני הטקסטים בפועל, היכן הם מתנגשים, ומדוע ההגנה האמינה היחידה מול סכסוך זה נותרת חוסר האפשרות הטכנית לגישה.
ה-CLOUD Act האמריקאי: גישה המבוססת על שליטה, לא על מיקום
ה-CLOUD Act (Clarifying Lawful Overseas Use of Data Act), שאומץ במרץ 2018, תיקן את החוק האמריקאי בהוספת סעיף 18 U.S. Code § 2713. טקסט זה מחייב כל ספק שירות תקשורת אלקטרונית או עיבוד מחשוב מרחוק לשמר, לאבטח או לחשוף את תוכן התקשורת או כל רשומה הקשורה אליה, כאשר נתונים אלה נמצאים ברשותו, בהחזקתו או בשליטתו — ללא קשר לשאלה אם נתונים אלה מצויים בתחומי ארצות הברית או מחוצה לה.
בדיוק סעיף אחרון זה משנה את הכול. הקריטריון שנבחר אינו עוד המיקום הפיזי של השרת, אלא השליטה שמפעילה החברה האם על החברות הבנות שלה. חברה אמריקאית המפעילה מרכזי נתונים באירופה נותרת אפוא כפופה לדרישות אמריקאיות, אפילו לנתונים המאוחסנים כולם על אדמה אירופית.
ה-Data Act האירופי: מחסום משפטי לגישה חוץ-טריטוריאלית
תקנה (EU) 2023/2854, המכונה Data Act, נכנסה לתוקף ב-11 בינואר 2024 וחלה במלואה מאז 12 בספטמבר 2025, כאשר הוראות מסוימות הוחלות בהדרגה עד 2026 ו-2027. סעיף 32 שלה מסדיר ישירות את שאלת הגישה הממשלתית הבינלאומית לנתונים.
הטקסט קובע כלל ברור: כל החלטה או פסק דין של בית משפט או רשות מינהלית של מדינה שלישית הדורשים מספק שירותי עיבוד נתונים להעביר או לאפשר גישה לנתונים לא-אישיים המוחזקים באיחוד האירופי יוכרו ויהיו אכיפים רק אם הם מבוססים על הסכם בינלאומי, כגון אמנת סיוע משפטי הדדי (MLA), שבתוקף בין המדינה המבקשת לאיחוד, או בין המדינה המבקשת לבין המדינה החברה הנוגעת בדבר.
בהיעדר הסכם כזה, סעיף 32 קובע מסלול שני, אך מוסדר בהחלטיות: ההחלטה הזרה ניתנת לביצוע רק אם מערכת המשפט של המדינה השלישית דורשת שהבקשה תהיה מנומקת, מידתית ומפורטת דיה — למשל, על ידי קביעת קשר ברור לאנשים ספציפיים או לעבירות ספציפיות — ואם ניתן להגיש את ההתנגדות המנומקת של הנמען לביקורת של בית משפט מוסמך באותה מדינה שלישית.
התנגשות משפטית ישירה
הבעיה היא מיידית: ה-CLOUD Act דורש חשיפה המבוססת על השליטה שמפעילה החברה האם, ללא תנאי מידתיות דומה לזה הנדרש על פי החוק האירופי. ה-Data Act, לעומת זאת, מתנה את ההכרה בבקשה כזו בקיומו של הסכם בינלאומי או בערבויות דיוניות מדויקות. חברה אמריקאית הפועלת באירופה, שנדרשת על ידי רשות אמריקאית להעביר נתונים המאוחסנים באיחוד, מוצאת עצמה לכן תקועה בין שתי חובות משפטיות סותרות: לציית לצו האמריקאי תוך הפרת חוק האיחוד, או לכבד את ה-Data Act תוך חשיפה לתוצאות של סירוב בארצות הברית.
מתח זה אינו תיאורטי. הוא כבר תועד על ידי בית הדין לצדק של האיחוד האירופי (CJUE) בשתי החלטות מכריעות, Schrems I (2015) ו-Schrems II (2020). בפסק דין Schrems II, קבע ה-CJUE כי המעקב האמריקאי המתבצע מכוח סעיף 702 של ה-FISA (Foreign Intelligence Surveillance Act) וExecutive Order 12333 אינו עומד בערבויות המינימליות הנדרשות על פי חוק האיחוד מכוח עיקרון המידתיות, ולכן אינו יכול להיחשב כמוגבל למה שנחוץ בהחלט. בית הדין ציין גם את היעדר דרך ערעור שיפוטית אפקטיבית לגבי הגורמים הנוגעים מהאיחוד, בניגוד לסעיף 47 של אמנת הזכויות הבסיסיות. פסיקה זו ביטלה את מסגרת Privacy Shield, שארגנה עד אז את העברות הנתונים בין האיחוד האירופי לארצות הברית.
הסיכון המבני: Harvest Now, Decrypt Later
מעבר לסכסוך השיפוטי, איום מסוכן יותר נחת על נתונים המאוחסנים בתשתיות הכפופות לחוק האמריקאי: האסטרטגיה המכונה Harvest Now, Decrypt Later (HNDL). העיקרון הוא שגורם מודיעיני או גורם מדינתי עוין מיירט ואוחסן כיום נתונים מוצפנים, בציפייה לכוח חישוב קוונטי מספיק כדי לפענח אותם בעתיד.
אסטרטגיה זו הופכת כל תלות ממושכת בתשתית ענן אמריקאית לחוב אבטחה דחוי: מה שסודי היום עשוי להפוך לקריא בעוד עשר או חמש עשרה שנים, ללא שום פעולה נוספת הנדרשת מצד התוקף — רק זמן וסבלנות.
מדוע רק חוסר האפשרות הטכנית מהווה ערובה אמיתית
הניתוח המשפטי מתכנס לכדי מסקנה המשותפת לרבים ממומחי הציות: יהיה המסגרת המשפטית של ה-Data Act מוצקה ככל שתהיה, היא נותרת טקסט שיחסי כוח גיאופוליטיים ולחצים דיפלומטיים יכולים לעקוף, לעכב או לפרש מחדש. ההגנה היחידה שאינה תלויה בשום משא ומתן עתידי היא חוסר האפשרות הטכנית לביצוע.
ארכיטקטורת zero knowledge, שבה הספק אינו מחזיק לא ברשות ולא בהחזקה של מפתחות הפענוח, הופכת צו שיפוטי לחסר תוקף מעשי. לא ניתן להיות מחויב למסור את מה שמעולם לא מוחזק.
זוהי הלוגיקה המבנה את מערכות אקוסיסטם כגון Arpokrat:
- נטרול שיפוטי: התשתית מאוחסנת בשווייץ, תחת משטר חוק הגנת הנתונים הפדרלי (LPD/FADP), מחוץ לתחום ההחלה הישיר של החוץ-טריטוריאליות של ה-CLOUD Act
- היעדר החזקה: ארכיטקטורת zero knowledge שוללת מהספק כל יכולת למסור מפתחות או תכנים שאינם בידיו מעולם
- צמצום הטביעה הזהותית: על ידי ביטול חובת ההרשמה עם מספר טלפון או כתובת דואר אלקטרוני — מזהים שמעקב המבוסס על סעיף 702 של ה-FISA יכול לעקוב אחריהם בקלות — המשתמש חדל להיות מנוי ניתן לזיהוי ומהפך למפתח קריפטוגרפי אנונימי
שרשרת השמירה אינה עוצרת בהצפנת ההודעות
נקודה המוערכת בחסר לעתים קרובות בניתוחי ציות: אין די בהצפנת תוכן תקשורת אם מערכת ההפעלה הבסיסית — בין אם מדובר ב-Android או ב-iOS — ממשיכה ללכוד מטא-נתונים או טלמטריה ברמת הגרעין, לכיוון שרתים הכפופים לשיפוט האמריקאי. הגנת הסוד דורשת סגירה מוחלטת של שרשרת השמירה, מהתוכן ועד לתשתית החומרה עצמה.
מסיבה זו, הריבונות הדיגיטלית כרוכה גם בהרהור על מערכת ההפעלה בה נעשה שימוש, לא רק על אפליקציות המסרים. מערכות מנוקות מ-Google, שבהן מודולים כמו Bluetooth או מיקום גיאוגרפי GNSS ניתנים לביטול ישירות ברמת הגרעין, מבטלות וקטורי תקיפה פיזיים שאף הצפנה ברמת האפליקציה אינה יכולה לפצות עליהם.
הקריפטוגרפיה הפוסט-קוונטית, אופק שכבר בפתח
לאור האיום שמייצגת אסטרטגיית HNDL, אימוץ תקני קריפטוגרפיה פוסט-קוונטית (PQC) הופך לצורך עבור כל מי שמבקש להבטיח את סודיות נתונים רגישים לטווח הארוך — בין אם מדובר בסודות עסקיים, בהתכתבויות מקצועיות או בנתוני בריאות. הצפנה הנחשבת כיום חסינה לפי תקנים קלאסיים אינה מבטיחה שתעמוד ביכולות החישוב הקוונטי הצפויות בחמש עשרה השנים הקרובות.
הסכסוך בין ה-Data Act ל-CLOUD Act ממחיש מציאות רחבה יותר: ריבונות דיגיטלית אינה יכולה עוד להיבנות על טקסטים משפטיים בלבד, יהיו מוצקים ככל שיהיו. היא דורשת סגירה של שרשרת השמירה בכל רמה — מפרוטוקול ההצפנה ועד לשיפוט האחסון, דרך מערכת ההפעלה עצמה. גישה שכבתית זו, במקום הסתמכות על מסגרת רגולטורית אחת בלבד, היא המגדירה כיום ריבונות דיגיטלית אמיתית מתוך תכנון.
