Vartotojų duomenų ir privatumo skandalas: „Microsoft“ atstovų žodžiai sukrėtė Prancūzijos politiku

Šį teiginį patvirtino „Microsoft“ Prancūzijos padalinio atstovai Antonas Carniaux ir Pierre’as Lagarde’as per savo pasirodymą Prancūzijos Senate. Jie pripažino, kad įmonė neturi teisės atmesti teisiškai pagrįsto reikalavimo iš JAV vyriausybės dėl prieigos prie duomenų, net jei šie saugomi Europoje. 

Paklaustas, ar gali užtikrinti, kad JAV valdžia nepasieks Prancūzijos piliečių duomenų be vietinės vyriausybės leidimo, Carniaux atsakė: „Ne, to garantuoti negaliu, bet galiu patikinti, kad iki šiol taip dar nebuvo atsitikę.“

JAV įstatymas „Cloud Act“, įsigaliojęs 2018 metais, suteikia Amerikos valdžiai teisinę teisę reikalauti duomenų, saugomų bet kurioje pasaulio vietoje, jei juos valdo JAV įmonė. Tai reiškia, kad net jei Vokietijos ar Prancūzijos verslų informacija saugoma serveriuose Europoje, „Microsoft“ vis tiek privalės ją pateikti, jei gaus tinkamai pagrįstą prašymą iš JAV.

Ši situacija tampa itin paradoksali žinant, kad 2025 metų vasarį „Microsoft“ baigė projektą „EU Data Boundary“, kurio tikslas buvo užtikrinti, jog europiečių duomenys liktų Europos teritorijoje. 

Panašiai elgiasi ir kiti debesijos paslaugų teikėjai, pavyzdžiui, „AWS“ planuoja iki 2040 metų investuoti 7,8 milijardo eurų į „AWS European Sovereign Cloud“, pirmasis regionas turėtų pradėti veikti Brandenburge jau 2025 metais. Tačiau šios pastangos gali tapti bevertės, jei įstatyminė jurisdikcija išlieka JAV pusėje.

Kaip paaiškina bendrovės „Civo“ vadovas Markas Boostas, nesvarbu, kur fiziškai yra serveriai, jei valdymas ir teisinė kontrolė priklauso JAV jurisdikcijai. Vietiniai padaliniai ar „pasitikėjimu grįsti“ partneriai šios situacijos nekeičia. Taigi, sprendimas statyti serverius Europoje negarantuoja duomenų nepriklausomybės, jei pati įmonė yra JAV įstatymų taikymo zonoje.

Ši problema būdinga ne vien „Microsoft“. Ji taikoma visiems debesijos paslaugų teikėjams, įsikūrusiems JAV. Įdomu tai, kad tiek „Microsoft“, tiek „Google“ ir „AWS“ aktyviai palaikė „Cloud Act“ jo įgyvendinimo metu. 

Todėl dabartinė padėtis jiems nėra nei netikėta, nei neprognozuojama. „AWS“ savo komentare pažymėjo, kad šis įstatymas taikomas visoms įmonėms, veikiančioms JAV, įskaitant ir europines, jei jos bendradarbiauja su Amerikos rinka. Taip pat paminėta, kad įstatymas galiotų ir tokioms įmonėms kaip Prancūzijos „OVHcloud“.

Carniaux liudijimai neatsirado be konteksto. Prancūzijos nacionalinė platforma „Health Data Hub“, kuri centralizuoja medicininius piliečių duomenis, nuo pat savo veiklos pradžios 2019 metais veikė „Microsoft Azure“ infrastruktūroje. Tai sukėlė aštrią kritiką iš privatumo šalininkų ir ekspertų bendruomenės. Prancūzijos duomenų apsaugos tarnyba CNIL jau 2020 metais rekomendavo, kad jautrūs sveikatos duomenys būtų saugomi tik pas tiekėjus, kurie nepatenka į JAV teisėsaugos sritį.

Nors sveikatos ministrai vėliau žadėjo perkelti platformą į europinę infrastruktūrą, realūs pokyčiai įvyko tik 2024 metais, kai buvo priimtas įstatymas „SREN“. Jis numato, kad institucijos, tvarkančios jautrius duomenis, privalo rinktis tik tuos paslaugų teikėjus, kurie užtikrina skaitmeninę suverenitetą. Tai reiškia, kad „Microsoft“ šių reikalavimų jau neatitinka, o „Health Data Hub“ laukia migracija.

Europa kuria savas alternatyvas

Atsakydama į augančius iššūkius, Europa sparčiai plėtoja savo nepriklausomą debesijos infrastruktūrą. Europos Komisija planuoja iki 2030 metų patrigubinti Europos duomenų apdorojimo pajėgumus ir suteikti pirmenybę europiniams tiekėjams viešuosiuose pirkimuose. Du pagrindiniai projektai, „Gaia-X“ ir „EuroStack“ siekia sukurti savarankišką ir nuo JAV nepriklausomą debesijos sistemą.

Tarp 2023 ir 2025 metų Europos Sąjunga padidino investicijas į debesijos ir puslaidininkių infrastruktūrą 40 procentų, bendros investicijos pasiekė 45 milijardus eurų.

Ekspertų teigimu, absoliutus duomenų suverenitetas įmanomas tik dviem atvejais, kai paslaugos tiekėjas nepriklauso JAV jurisdikcijai arba kai tik klientas valdo duomenų šifravimo raktus. Kiti sprendimai, tokie kaip serverių buvimas Europoje ar bendradarbiavimas su vietiniais partneriais, negarantuoja apsaugos nuo „Cloud Act“ taikymo.

Tai reiškia, kad tiek įmonės, tiek valstybinės institucijos Europoje turi labai rimtai svarstyti, ar jos nori tęsti bendradarbiavimą su JAV debesijos gigantais. Kuo svarbesni tampa skaitmeniniai duomenys, tuo aktualesnis tampa klausimas ar esame pasiruošę aukoti skaitmeninį suverenumą dėl patogumo naudotis „Microsoft 365“ ar „Azure“?

Atsakymą į šį klausimą turės rasti kiekviena institucija ir organizacija atskirai, ypač dabar, kai Europos šalys griežtina duomenų apsaugos reikalavimus, o tokie įstatymai kaip Prancūzijos „SREN“ ima formuoti naujas žaidimo taisykles.