Упродовж багатьох років світ функціонував на основі простого припущення: дані мають фізичне місце зберігання. Якщо вони знаходилися на сервері в Дубліні, то підпадали під дію ірландського та європейського права. Це припущення зруйнувалося у 2018 році, коли Сполучені Штати ухвалили CLOUD Act — закон, що надає американським органам влади доступ до даних, якими керують американські компанії, незалежно від того, де ці дані фізично зберігаються у світі. Кілька років потому Брюссель відповів власним захисним інструментом: Data Act, що нині повністю набрав чинності і намагається обмежити екстериторіальний доступ органів влади третіх країн до даних, що зберігаються в Європейському Союзі.
Нижче наведено, що насправді передбачають ці два документи, де вони вступають у суперечність і чому єдиним справді надійним захистом від цього конфлікту залишається технічна неможливість доступу.
Американський CLOUD Act: доступ, заснований на контролі, а не на місцезнаходженні
CLOUD Act (Clarifying Lawful Overseas Use of Data Act), ухвалений у березні 2018 року, вніс зміни до американського законодавства, доповнивши його статтею 18 U.S. Code § 2713. Цей текст зобов’язує будь-якого постачальника послуг електронного зв’язку або дистанційної комп’ютерної обробки даних зберігати, захищати або розкривати вміст повідомлення чи будь-який пов’язаний із ним запис, якщо ці дані перебувають у його володінні, під його охороною або контролем, незалежно від того, знаходяться ці дані всередині чи за межами Сполучених Штатів.
Саме це останнє положення змінює все. Критерієм є вже не фізичне місцезнаходження сервера, а контроль, який материнська компанія здійснює над своїми дочірніми структурами. Таким чином, американська компанія, що управляє центрами обробки даних у Європі, залишається підпорядкованою американським запитам, навіть якщо дані зберігаються виключно на території Європи.
Європейський Data Act: юридичний бар’єр для екстериторіального доступу
Регламент (ЄС) 2023/2854, відомий як Data Act, набрав чинності 11 січня 2024 року і повністю застосовується з 12 вересня 2025 року, при цьому окремі положення розподілені до 2026 і 2027 років. Його стаття 32 безпосередньо регулює питання міжнародного урядового доступу до даних.
Документ встановлює чітке правило: будь-яке рішення або вирок суду чи адміністративного органу третьої країни, що вимагає від постачальника послуг обробки даних передати або надати доступ до неперсональних даних, що зберігаються в Європейському Союзі, визнається та підлягає виконанню лише за наявності міжнародної угоди, наприклад договору про взаємну правову допомогу (MLA), що діє між країною-заявником та Союзом або між цією країною та відповідною державою-членом.
За відсутності такої угоди стаття 32 передбачає другий шлях, але з суворими обмеженнями: іноземне рішення може бути виконане лише в тому разі, якщо правова система третьої країни вимагає, щоб запит був обґрунтованим, пропорційним і достатньо конкретним — наприклад, встановлюючи чіткий зв’язок із певними особами або конкретними правопорушеннями, — і якщо мотивована заперечення адресата може бути подана на розгляд компетентного суду цієї третьої країни.
Пряме юридичне зіткнення
Проблема є очевидною: CLOUD Act вимагає розкриття даних на підставі контролю материнської компанії, без умови пропорційності, порівнянної з тією, що вимагається європейським правом. Data Act, навпаки, обумовлює визнання такого запиту наявністю міжнародної угоди або конкретних процесуальних гарантій. Американська компанія, що діє в Європі і отримала від американського органу влади вимогу передати дані, що зберігаються в ЄС, опиняється між двома суперечливими правовими зобов’язаннями: виконати американський мандат, порушивши право Союзу, або дотриматися Data Act, ризикуючи зазнати наслідків відмови в Сполучених Штатах.
Ця напруга не є теоретичною. Вона вже була задокументована Судом справедливості Європейського Союзу (CJEU) у двох ключових рішеннях — Schrems I (2015) та Schrems II (2020). В рішенні у справі Schrems II CJEU постановив, що американське спостереження, яке здійснюється на підставі Розділу 702 FISA (Foreign Intelligence Surveillance Act) та Виконавчого наказу 12333, не відповідає мінімальним гарантіям, що вимагаються правом Союзу згідно з принципом пропорційності, і тому не може вважатися обмеженим тим, що є суворо необхідним. Суд також зазначив відсутність ефективного судового захисту для осіб, яких стосується ЄС, що є порушенням статті 47 Хартії основних прав. Це рішення визнало недійсною систему Privacy Shield, яка до того часу регулювала передачу даних між ЄС і Сполученими Штатами.
Структурний ризик: Harvest Now, Decrypt Later
Окрім конфлікту юрисдикцій, на дані, що зберігаються в інфраструктурах, підпорядкованих американському праву, нависає більш прихована загроза: стратегія під назвою Harvest Now, Decrypt Later (HNDL). Принцип полягає в тому, що розвідувальна служба або ворожий державний актор перехоплює та зберігає вже сьогодні зашифровані дані, очікуючи на достатні квантові обчислювальні потужності для їх розшифрування в майбутньому.
Ця стратегія перетворює будь-яку тривалу залежність від американської хмарної інфраструктури на відкладений борг безпеки: те, що сьогодні є конфіденційним, може стати доступним для читання через десять або п’ятнадцять років, без будь-яких додаткових дій з боку зловмисника — лише час і терпіння.
Чому лише технічна неможливість є справжньою гарантією
Юридичний аналіз приводить до висновку, якого дотримуються численні експерти з відповідності: яким би міцним не був правовий каркас Data Act, він залишається документом, який геополітичні відносини сил і дипломатичний тиск можуть обійти, затримати або переінтерпретувати. Єдиний захист, що не залежить від жодних майбутніх переговорів, — це технічна неможливість виконання.
Архітектура zero knowledge, за якої постачальник ніколи не має у своєму розпорядженні та під своєю охороною ключів дешифрування, робить будь-який запит матеріально нездійсненним. Не можна бути змушеним видати те, чим ніколи не володів.
Саме ця логіка лежить в основі таких екосистем, як Arpokrat:
- Юрисдикційна нейтралізація: інфраструктура розміщена у Швейцарії, під режимом федерального закону про захист даних (LPD/FADP), поза прямою сферою дії екстериторіальності CLOUD Act
- Відсутність зберігання: архітектура zero knowledge позбавляє постачальника будь-якої можливості передати ключі або вміст, яким він ніколи не володіє
- Зменшення ідентифікаційного сліду: усуваючи обов’язкову реєстрацію за номером телефону або адресою електронної пошти — ідентифікаторів, які спостереження на підставі Розділу 702 FISA може легко відстежувати, — користувач перестає бути ідентифікованим абонентом і стає анонімним криптографічним ключем
Ланцюг зберігання не закінчується шифруванням повідомлень
Аспект, який часто недооцінюється в аналізах відповідності: недостатньо шифрувати вміст повідомлення, якщо базова операційна система — Android чи iOS — продовжує збирати метадані або телеметрію на рівні ядра, надсилаючи їх на сервери, підпорядковані американській юрисдикції. Захист таємниці вимагає повного закриття ланцюга зберігання — від вмісту до самої матеріальної інфраструктури.
Саме тому цифровий суверенітет передбачає також роздуми щодо операційної системи, а не лише щодо застосунків для обміну повідомленнями. Дегуглізовані системи, де такі модулі, як Bluetooth або геолокація GNSS, можуть бути відключені безпосередньо на рівні ядра, усувають фізичні вектори атак, які жодне прикладне шифрування не може компенсувати.
Постквантова криптографія: горизонт, що вже наближається
Перед лицем загрози, яку становить стратегія HNDL, впровадження стандартів постквантової криптографії (PQC) стає необхідністю для всіх, хто прагне гарантувати конфіденційність чутливих даних у довгостроковій перспективі — будь то комерційні таємниці, ділове листування чи медичні дані. Шифрування, яке сьогодні вважається надійним за класичними стандартами, не гарантує стійкості до квантових обчислювальних потужностей, що очікуються протягом наступних п’ятнадцяти років.
Конфлікт між Data Act та CLOUD Act ілюструє ширшу реальність: цифровий суверенітет більше не може будуватися виключно на законодавчих текстах, якими б міцними вони не були. Він вимагає повного закриття ланцюга зберігання на кожному рівні — від протоколу шифрування до юрисдикції розміщення, включно з самою операційною системою. Саме цей багаторівневий підхід, а не довіра, що спирається на єдину нормативну базу, визначає сьогодні справжній цифровий суверенітет за задумом.
