Data Act vs CLOUD Act: kto naprawdę kontroluje Twoje dane w chmurze?

Europejski Data Act i amerykański CLOUD Act ścierają się w kwestii dostępu do danych przechowywanych w chmurze. Zrozum ten konflikt prawny, jego praktyczne konsekwencje oraz dlaczego jedynie techniczna niemożność dostępu gwarantuje prawdziwą suwerenność.

|

Czas czytania: 6 minut(y)

Data Act vs CLOUD Act: kto naprawdę kontroluje Twoje dane w chmurze?

Przez lata świat funkcjonował na podstawie prostego założenia: dane mają określone miejsce fizycznego przechowywania. Jeśli znajdowały się na serwerze w Dublinie, podlegały prawu irlandzkiemu i europejskiemu. Założenie to legło w gruzach w 2018 roku, gdy Stany Zjednoczone uchwaliły CLOUD Act — ustawę przyznającą amerykańskim organom dostęp do danych kontrolowanych przez amerykańskie firmy, niezależnie od tego, gdzie dane te są fizycznie przechowywane na świecie. Kilka lat później Bruksela odpowiedziała własnym instrumentem ochronnym: Data Act, który jest już w pełni stosowany i który stara się ograniczyć eksterytorialny dostęp organów państw trzecich do danych przechowywanych w Unii Europejskiej.

Oto co te dwa akty prawne rzeczywiście przewidują, gdzie dochodzi do ich kolizji oraz dlaczego jedyną naprawdę solidną ochroną w obliczu tego konfliktu pozostaje techniczna niemożność dostępu.

Amerykański CLOUD Act: dostęp oparty na kontroli, a nie na lokalizacji

CLOUD Act (Clarifying Lawful Overseas Use of Data Act), uchwalony w marcu 2018 roku, znowelizował prawo amerykańskie, dodając przepis 18 U.S. Code § 2713. Nakłada on na każdego dostawcę usług łączności elektronicznej lub przetwarzania danych w chmurze obowiązek zachowania, zabezpieczenia lub ujawnienia treści komunikacji lub wszelkich powiązanych zapisów, jeśli dane te są w jego posiadaniu, pod jego opieką lub kontrolą, niezależnie od tego, czy dane te znajdują się wewnątrz czy poza granicami Stanów Zjednoczonych.

To właśnie ta ostatnia klauzula zmienia wszystko. Przyjętym kryterium nie jest już fizyczna lokalizacja serwera, lecz kontrola sprawowana przez spółkę matkę nad jej spółkami zależnymi. Amerykańska firma prowadząca centra danych w Europie pozostaje zatem objęta amerykańskimi nakazy ujawnienia, nawet w odniesieniu do danych przechowywanych w całości na terytorium Europy.

Europejski Data Act: prawna bariera dla eksterytorialnego dostępu

Rozporządzenie (UE) 2023/2854, zwane Data Act, weszło w życie 11 stycznia 2024 roku i jest w pełni stosowane od 12 września 2025 roku, przy czym niektóre przepisy są stopniowo wdrażane do 2026 i 2027 roku. Jego artykuł 32 bezpośrednio reguluje kwestię międzynarodowego dostępu rządowego do danych.

Tekst ustanawia jasną zasadę: wszelkie orzeczenia lub decyzje sądu lub organu administracyjnego państwa trzeciego zobowiązujące dostawcę usług przetwarzania danych do przekazania lub udostępnienia danych nieosobowych przechowywanych w Unii Europejskiej są uznawane i wykonalne wyłącznie wtedy, gdy opierają się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej (MLA), obowiązującej między państwem wnioskującym a Unią lub między tym państwem a danym państwem członkowskim.

W przypadku braku takiej umowy artykuł 32 przewiduje drugą ścieżkę, lecz ściśle uregulowaną: zagraniczna decyzja może zostać wykonana wyłącznie wtedy, gdy system prawny państwa trzeciego wymaga, aby wniosek był uzasadniony, proporcjonalny i wystarczająco konkretny — na przykład poprzez wyraźne wskazanie związku z określonymi osobami lub naruszeniami — oraz jeżeli umotywowany sprzeciw adresata może być poddany kontroli właściwego sądu tego państwa trzeciego.

Bezpośrednia kolizja prawna

Problem jest natychmiastowy: CLOUD Act wymaga ujawnienia danych na podstawie kontroli sprawowanej przez spółkę matkę, bez warunku proporcjonalności porównywalnego z tym wymaganym przez prawo europejskie. Data Act, przeciwnie, uzależnia uznanie takiego wniosku od istnienia umowy międzynarodowej lub od spełnienia konkretnych wymogów proceduralnych. Amerykańska firma działająca w Europie, wzywana przez organ amerykański do przekazania danych przechowywanych w Unii, znajduje się zatem w kleszczach dwóch sprzecznych zobowiązań prawnych: dostosować się do nakazu amerykańskiego, naruszając prawo Unii, lub przestrzegać Data Act, narażając się na konsekwencje odmowy w Stanach Zjednoczonych.

To napięcie nie jest teoretyczne. Zostało ono już udokumentowane przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w dwóch przełomowych orzeczeniach: Schrems I (2015) i Schrems II (2020). W wyroku Schrems II TSUE stwierdził, że nadzór prowadzony przez Stany Zjednoczone na podstawie sekcji 702 FISA (Foreign Intelligence Surveillance Act) i rozporządzenia wykonawczego 12333 nie spełnia minimalnych gwarancji wymaganych przez prawo Unii w świetle zasady proporcjonalności i nie może być uznany za ograniczony do tego, co jest ściśle niezbędne. Trybunał stwierdził również brak skutecznej drogi sądowej dla osób, których dane dotyczą, z Unii, co stanowi naruszenie art. 47 Karty praw podstawowych. Orzeczenie to unieważniło ramy Tarczy Prywatności, która do tamtej pory regulowała przepływy danych między UE a Stanami Zjednoczonymi.

Ryzyko strukturalne: Harvest Now, Decrypt Later

Poza konfliktem jurysdykcji, na dane przechowywane w infrastrukturach podlegających prawu amerykańskiemu ciąży bardziej podstępne zagrożenie: strategia zwana Harvest Now, Decrypt Later (HNDL). Polega ona na tym, że służby wywiadowcze lub wrogi podmiot państwowy przechwytują i przechowują już dziś zaszyfrowane dane, czekając na wystarczające możliwości obliczeń kwantowych, które pozwolą je odszyfrować w przyszłości.

Strategia ta przekształca każdą przedłużającą się zależność od amerykańskiej infrastruktury chmurowej w odroczone zobowiązanie bezpieczeństwa: to, co jest dziś poufne, może stać się czytelne za dziesięć lub piętnaście lat, bez żadnych dodatkowych działań ze strony atakującego — wystarczy czas i cierpliwość.

Dlaczego jedynie techniczna niemożność stanowi prawdziwą gwarancję

Analiza prawna prowadzi do wniosku podzielanego przez wielu ekspertów ds. zgodności: bez względu na to, jak solidne są ramy prawne Data Act, pozostaje on tekstem, który geopolityczne układy sił i naciski dyplomatyczne mogą obejść, opóźnić lub reinterpretować. Jedyną ochroną, która nie zależy od żadnych przyszłych negocjacji, jest techniczna niemożność wykonania.

Architektura zero knowledge, w której dostawca nie posiada ani nie przechowuje kluczy deszyfrowania, czyni nakaz materialnie bezskutecznym. Nie można być zmuszonym do wydania czegoś, czego się nigdy nie posiadało.

To właśnie ta logika leży u podstaw ekosystemów takich jak Arpokrat:

  • Neutralizacja jurysdykcyjna: infrastruktura jest hostowana w Szwajcarii, pod reżimem federalnej ustawy o ochronie danych (LPD/FADP), poza bezpośrednim zakresem eksterytorialności CLOUD Act
  • Brak przechowywania: architektura zero knowledge pozbawia dostawcę wszelkiej możliwości wydania kluczy lub treści, których nigdy nie posiadał
  • Redukcja śladu tożsamościowego: eliminując obowiązek rejestracji za pomocą numeru telefonu lub adresu e-mail — identyfikatorów, które nadzór oparty na sekcji 702 FISA może łatwo śledzić — użytkownik przestaje być identyfikowalnym abonentem, stając się anonimowym kluczem kryptograficznym

Łańcuch pieczy nie kończy się na szyfrowaniu wiadomości

Kwestia często niedoceniana w analizach zgodności: nie wystarczy szyfrować treści komunikacji, jeśli bazowy system operacyjny — czy to Android, czy iOS — nadal przechwytuje metadane lub dane telemetryczne na poziomie jądra systemu, przesyłając je do serwerów podlegających jurysdykcji amerykańskiej. Ochrona tajemnicy wymaga całkowitego zamknięcia łańcucha pieczy — od treści aż po samą infrastrukturę sprzętową.

Właśnie dlatego suwerenność cyfrowa wymaga również refleksji nad używanym systemem operacyjnym, a nie tylko nad aplikacjami do przesyłania wiadomości. Systemy odgoogleowane, w których moduły takie jak Bluetooth lub geolokalizacja GNSS mogą być wyłączane bezpośrednio na poziomie jądra, eliminują fizyczne wektory ataku, których żadne szyfrowanie aplikacyjne nie jest w stanie zrekompensować.

Kryptografia post-kwantowa — horyzont, który jest już w zasięgu

W obliczu zagrożenia ze strony strategii HNDL, przyjęcie standardów kryptografii post-kwantowej (PQC) staje się koniecznością dla każdego, kto chce zagwarantować poufność wrażliwych danych w długim horyzoncie czasowym — niezależnie od tego, czy chodzi o tajemnice handlowe, korespondencję zawodową czy dane dotyczące zdrowia. Szyfrowanie uznawane dziś za solidne według klasycznych standardów nie gwarantuje, że oprze się możliwościom obliczeniowym komputerów kwantowych spodziewanym w ciągu najbliższych piętnastu lat.


Konflikt między Data Act a CLOUD Act ilustruje szerszą rzeczywistość: suwerenności cyfrowej nie można już budować wyłącznie na tekstach prawnych, bez względu na to, jak solidne by one były. Wymaga ona zamknięcia łańcucha pieczy na każdym poziomie — od protokołu szyfrowania, przez jurysdykcję hostingu, aż po sam system operacyjny. To właśnie to warstwowe podejście, a nie zaufanie opierające się na jednym ramach regulacyjnych, definiuje dziś prawdziwą suwerenność cyfrową przez projekt.