Data Act против CLOUD Act: кто на самом деле контролирует ваши данные в облаке?

Европейский Data Act и американский CLOUD Act вступают в противостояние по вопросу доступа к данным, хранящимся в облаке. Разбираем это юридическое противоречие, его практические последствия и почему лишь техническая невозможность доступа гарантирует подлинный цифровой суверенитет.

|

Время чтения: 6 минут(ы)

Data Act против CLOUD Act: кто на самом деле контролирует ваши данные в облаке?

На протяжении многих лет мир руководствовался простым допущением: у данных есть физическое место нахождения. Если они хранились на сервере в Дублине, на них распространялось ирландское и европейское право. Это допущение рухнуло в 2018 году, когда США приняли CLOUD Act — закон, предоставляющий американским властям доступ к данным, находящимся под контролем американских компаний, вне зависимости от того, где именно эти данные физически хранятся в мире. Несколько лет спустя Брюссель ответил собственным защитным механизмом: Data Act, ныне полностью вступивший в силу, который призван ограничить экстерриториальный доступ властей третьих стран к данным, хранящимся в Европейском союзе.

Ниже — что на самом деле предусматривают оба документа, где они вступают в прямое противоречие и почему единственной по-настоящему надёжной защитой в условиях этого конфликта остаётся техническая невозможность доступа.

Американский CLOUD Act: доступ, основанный на контроле, а не на местонахождении

CLOUD Act (Clarifying Lawful Overseas Use of Data Act), принятый в марте 2018 года, внёс изменения в американское законодательство, добавив 18 U.S. Code § 2713. Этот раздел обязывает любого поставщика услуг электронной связи или удалённой вычислительной обработки данных сохранять, резервировать или раскрывать содержимое коммуникаций и любые относящиеся к ним записи, если эти данные находятся в его владении, хранении или под его контролем, независимо от того, находятся ли эти данные внутри или за пределами Соединённых Штатов.

Именно эта последняя оговорка меняет всё. Критерием становится не физическое местонахождение сервера, а контроль, который материнская компания осуществляет над своими дочерними структурами. Американская компания, эксплуатирующая центры обработки данных в Европе, остаётся обязанной исполнять американские запросы, даже если данные хранятся исключительно на европейской территории.

Европейский Data Act: правовой барьер против экстерриториального доступа

Регламент (ЕС) 2023/2854, известный как Data Act, вступил в силу 11 января 2024 года и применяется в полном объёме с 12 сентября 2025 года, причём отдельные положения вводятся поэтапно вплоть до 2026 и 2027 годов. Его статья 32 непосредственно регулирует вопрос международного государственного доступа к данным.

Документ устанавливает чёткое правило: любое решение или судебное постановление органа власти или административного органа третьей страны, обязывающее поставщика услуг обработки данных передать или предоставить доступ к неперсональным данным, хранящимся в Европейском союзе, признаётся и подлежит исполнению только при наличии международного соглашения — например, договора о взаимной правовой помощи (MLA), действующего между запрашивающей страной и Союзом либо между этой страной и соответствующим государством-членом.

При отсутствии такого соглашения статья 32 допускает второй путь, однако в строго ограниченных условиях: иностранное решение может быть исполнено лишь в том случае, если правовая система третьей страны требует, чтобы запрос был мотивирован, соразмерен и достаточно конкретен — например, устанавливал чёткую связь с определёнными лицами или конкретными правонарушениями, — а мотивированные возражения адресата могут быть рассмотрены компетентным судом этой третьей страны.

Прямое правовое столкновение

Проблема очевидна: CLOUD Act требует раскрытия данных на основании контроля материнской компании без каких-либо условий соразмерности, сопоставимых с требованиями европейского права. Data Act, напротив, обусловливает признание подобного запроса наличием международного соглашения или конкретных процессуальных гарантий. Американская компания, работающая в Европе и получившая от американских властей требование передать данные, хранящиеся в ЕС, оказывается зажатой между двумя взаимоисключающими правовыми обязательствами: выполнить американский ордер, нарушив право Союза, или соблюсти Data Act, рискуя столкнуться с последствиями отказа в США.

Это противоречие не является теоретическим. Оно уже задокументировано Судом справедливости Европейского союза (CJEU) в двух основополагающих решениях — Schrems I (2015) и Schrems II (2020). В решении по делу Schrems II CJEU констатировал, что американское наблюдение, осуществляемое в рамках Раздела 702 FISA (Foreign Intelligence Surveillance Act) и Исполнительного приказа 12333, не отвечает минимальным гарантиям, предусмотренным правом Союза в соответствии с принципом соразмерности, и потому не может считаться ограниченным тем, что строго необходимо. Суд также указал на отсутствие эффективных средств судебной защиты для затронутых лиц из ЕС, что нарушает статью 47 Хартии основных прав. Это решение аннулировало механизм Privacy Shield, ранее регулировавший трансатлантическую передачу данных между ЕС и США.

Структурный риск: Harvest Now, Decrypt Later

Помимо коллизии юрисдикций, данным, хранящимся в инфраструктурах, подпадающих под действие американского права, угрожает более коварная опасность — стратегия Harvest Now, Decrypt Later (HNDL). Её суть заключается в том, что спецслужба или враждебный государственный актор перехватывает и накапливает уже сегодня зашифрованные данные в ожидании достаточных квантовых вычислительных мощностей, которые позволят расшифровать их в будущем.

Эта стратегия превращает любую длительную зависимость от американской облачной инфраструктуры в отложенный долг безопасности: то, что сегодня является конфиденциальным, может стать читаемым через десять или пятнадцать лет — без каких-либо дополнительных действий со стороны атакующего, лишь с течением времени.

Почему только техническая невозможность является подлинной гарантией

Правовой анализ приводит к выводу, который разделяют многие эксперты в области комплаенса: сколь бы прочным ни был правовой каркас Data Act, он остаётся текстом, который геополитические расстановки сил и дипломатическое давление способны обходить, затягивать или переосмыслять. Единственная защита, не зависящая ни от каких будущих переговоров, — это техническая невозможность исполнения.

Архитектура zero knowledge, при которой поставщик услуг никогда не владеет и не хранит ключи дешифрования, делает любой запрос о выдаче данных фактически неисполнимым. Невозможно быть принуждённым передать то, чем ты никогда не владел.

Именно эта логика лежит в основе таких экосистем, как Arpokrat:

  • Юрисдикционная нейтрализация: инфраструктура размещена в Швейцарии, под действием Федерального закона о защите данных (LPD/FADP), за пределами прямого экстерриториального действия CLOUD Act
  • Отсутствие хранения: архитектура zero knowledge лишает поставщика какой-либо возможности передать ключи или содержимое, которыми он никогда не располагал
  • Сокращение идентификационного следа: отказ от обязательной регистрации по номеру телефона или адресу электронной почты — идентификаторов, которые слежка на основе Раздела 702 FISA легко отслеживает, — превращает пользователя из идентифицируемого абонента в анонимный криптографический ключ

Цепочка хранения не заканчивается шифрованием сообщений

Аспект, который нередко недооценивается в комплаенс-анализе: недостаточно шифровать содержимое коммуникаций, если лежащая в основе операционная система — будь то Android или iOS — продолжает собирать метаданные или телеметрию на уровне ядра, направляя их на серверы, находящиеся в американской юрисдикции. Защита конфиденциальности требует полного закрытия всей цепочки хранения — от содержимого до самой аппаратной инфраструктуры.

Именно поэтому цифровой суверенитет предполагает и осмысленный выбор операционной системы, а не только мессенджеров. Разгуглённые системы, в которых такие модули, как Bluetooth или геолокация GNSS, могут быть отключены непосредственно на уровне ядра, устраняют физические векторы атаки, которые никакое прикладное шифрование не способно компенсировать.

Постквантовая криптография: горизонт, который уже наступает

Перед лицом угрозы, которую представляет стратегия HNDL, принятие стандартов постквантовой криптографии (PQC) становится необходимостью для всех, кто стремится обеспечить долгосрочную конфиденциальность чувствительных данных — будь то коммерческая тайна, деловая переписка или медицинские данные. Шифрование, признанное сегодня надёжным по классическим стандартам, не гарантирует устойчивости к квантовым вычислительным возможностям, которые ожидаются в ближайшие пятнадцать лет.


Противостояние Data Act и CLOUD Act отражает более глубокую реальность: цифровой суверенитет больше нельзя выстраивать исключительно на законодательных текстах, сколь бы прочными они ни были. Он требует закрытия всей цепочки хранения на каждом уровне — от протокола шифрования до юрисдикции размещения, включая саму операционную систему. Именно этот многоуровневый подход, а не доверие, опирающееся на единственную нормативную базу, определяет сегодня подлинный цифровой суверенитет по замыслу.