Заява Microsoft загострила дискусію щодо цифрового суверенітету ЄС

Ця історія почалася ще влітку, коли в залі Сенату Франції обговорювалися питання хмарних технологій в галузі забезпечення цифрового суверенітету. В одному з виступів пролунала фраза, яку можна вважати поворотною для всього європейського IT-ринку. Представники Microsoft відкрито заявили, що компанія «не може гарантувати» повного захисту даних європейських клієнтів від запитів американської влади. Ця заява пролунала не кулуарно чи в інтерв’ю, а під присягою, на офіційних парламентських слуханнях. Вона миттєво стала сигналом для політиків і бізнесу: доки основні хмарні потужності Європи належать американським корпораціям, контроль над даними зрештою залишається за Вашингтоном.

Хто володіє даними? Добре питання!

Формально йдеться про рідкісні й суворо регламентовані випадки, коли запит проходить судове підтвердження. Але сама можливість передачі даних під тиском американського закону перекреслює ідею повного цифрового суверенітету. Для європейських компаній, особливо в держсекторі, це означає: жодні контракти про «локалізацію» чи обіцянки зберігання даних на серверах в ЄС не дають повної гарантії незалежності.

Нагадаємо, що CLOUD Act — це американський закон, ухвалений у 2018 році після серії скандалів довкола серверів американських хмарних компаній, коли ФБР намагалося отримати дані американських громадян, які зберігалися за межами США. Суть закону проста й водночас радикальна: американські правоохоронні органи можуть вимагати дані у будь-яких компаній, зареєстрованих у США, незалежно від того, де фізично розташовані їхні сервери. Тобто сама належність компанії до американської юрисдикції стає ключем до доступу.

Варто зазначити, що навіть самі американські хмарні оператори (особливо гіперскейлери — найбільші серед них) зовсім не в захваті від цього закону, розуміючи всю складність взаємодії з великими клієнтами з інших юрисдикцій і дотримання місцевих законів про захист даних. Та ж Microsoft неодноразово намагалася обмежити дію акта. Під керівництвом юристів компанія оскаржувала «надмірні» запити аж до Верховного суду США й нерідко вигравала, домагаючись точніших формулювань та юридичної чіткості. Але принципового впливу CLOUD Act це не скасовує. AWS та Google займають аналогічну позицію: вони відхиляють абстрактні запити, але в разі юридично коректної та обґрунтованої вимоги — зобов’язані надати дані.

Водночас у момент самого ухвалення закону його підтримали всі великі гравці Кремнієвої долини, включно з уже згаданою трійкою. Для них він став компромісом із владою: зрозумілі правила в обмін на передбачуваність. Але для Європи новий закон перетворився на постійну загрозу втрати контролю над власними даними.

Незручні питання — неприємні відповіді

Французький Сенат став першим парламентом у Європі, який офіційно порушив питання про те, чи може держава довіряти критично важливі дані іноземним провайдерам. На слуханнях юристи Microsoft намагалися підкреслити: компанія ретельно перевіряє кожне звернення, відхиляє необґрунтовані запити й вимагає, щоб американська влада насамперед зверталася безпосередньо до клієнта. 

Раніше, до речі, AWS опублікувала роз'яснення щодо CLOUD Act, наголосивши, що закон «не дає американській владі автоматичного доступу до даних», а кожна передача інформації вимагає рішення незалежного федерального судді.

Але коли сенатори запитали, чи може Microsoft під присягою підтвердити, що дані французьких громадян не опиняться в американської влади без згоди уряду Франції, відповідь була гранично чесною: «Ні, я не можу цього гарантувати, але, знову ж таки, такого ніколи раніше не траплялося», — повідомив Антон Карньо, директор із суспільних зв’язків і правових питань французького підрозділу Microsoft.

Це одразу викликала хвилю обговорень. Європейські гравці, включно з OVHcloud, негайно відреагували, заявивши, що «питання цифрового суверенітету більше не можна ігнорувати». Компанія при цьому підкреслила, що вибудувала юридичну й організаційну структуру так, щоб її європейські підрозділи були відокремлені від американського бізнесу. Але навіть такі заходи не знімають питання повністю: доки компанія має присутність у США, теоретично вона теж підпадає під дію CLOUD Act. У результаті французькі слухання стали не лише юридичним прецедентом, а й політичним сигналом: залежність від американських гіперскейлерів у питаннях даних несумісна з поняттям суверенітету.

З цього приводу Марк Буст, CEO британського хмарного провайдера Civo зауважив: «Лише один рядок свідчень підтвердив, що американські гіперскейлери не можуть гарантувати суверенітет даних у Європі».
 

Для бізнесу наслідки цього спору виходять далеко за межі юридичних формулювань. На кону стоїть не лише питання приватності. Йдеться про конкурентоспроможність і навіть національну безпеку. Якщо дані стратегічних компаній чи держустанов можуть бути передані іноземному уряду за його законом, це ставить під сумнів незалежність цілих галузей.

Реальні приклади вже є. Випадок зі шотландською поліцією, коли конфіденційні матеріали опинилися за межами юрисдикції, показав: ризики не теоретичні. Тепер визнання Microsoft зробило їх офіційними. Це означає, що для керівників європейських компаній вибір хмарного провайдера більше не є лише питанням ціни та SLA. Це вибір між швидкістю впровадження інновацій і контролем над критично важливими даними.

Водночас створення власних хмарних екосистем потребує часу, інвестицій і політичної волі. Європейські провайдери, такі як OVHcloud, Hetzner, Ionos та інші, активно просувають ідею «європейської суверенної хмари». Але масштаб інвестицій американських корпорацій поки що недосяжний для гравців із ЄС. Це породжує парадокс: Європа усвідомлює залежність і ризики, але найближчими роками продовжуватиме спиратися на інфраструктуру США, паралельно розвиваючи альтернативу у вигляді власних суверенних хмар.

Стратегічний виклик для Європи

Визнання Microsoft стало своєрідною «точкою неповернення» в європейській дискусії про цифровий суверенітет. Якщо раніше цей термін залишався радше політичною декларацією, то тепер він набуває конкретного виміру: питання не в тому, де фізично розташовані сервери, а в тому, хто юридично контролює дані й здатний диктувати правила доступу до них.

Для бізнесу це означає, що тема хмарної інфраструктури виходить за рамки IT-стратегії й стає частиною корпоративного управління ризиками. Керівники європейських компаній повинні враховувати не лише продуктивність чи вартість хмарних сервісів, а й політико-правові контексти. В іншому разі компанії можуть опинитися в ситуації, коли критично важлива інформація — комерційна, клієнтська чи державна — може бути передана третій стороні без їхньої згоди.

Європа вже стоїть на роздоріжжі. З одного боку, американські гіперскейлери пропонують масштаб, інновації та екосистеми, які локальні гравці не можуть швидко відтворити. З іншого — зростає тиск на уряди й бізнес прискорити створення суверенних рішень. Цей процес неминуче супроводжуватиметься зростанням інвестицій у локальні дата-центри, консорціуми європейських IT-компаній й державні ініціативи на кшталт GAIA-X, Structura-X чи IPCEI-CIS. Головне питання полягає в темпах розвитку. Американські корпорації, чудово розуміючи настрої в Європі, вже запускають програми з «посилення локалізації», схеми «юридичного відокремлення» філій, обіцянки прозорості. Але це більше нагадує стратегію утримання ринку, ніж забезпечення реальної незалежності для європейських клієнтів.

Таким чином, зізнання Microsoft — це стратегічний виклик, який вимагає від ЄС перегляду цифрової політики. Рішення, що приймаються сьогодні, визначать на довгі роки — залишиться Європа споживачем чужої хмарної інфраструктури чи зможе сформувати незалежний цифровий контур. Від цього вибору, очевидно, залежатиме не лише IT-безпека, а й конкурентоспроможність європейської економіки загалом.