США могут получить данные из облаков в ЕС — говорят эксперты
2026-02-23
Юристы Кёльнского университета установили, что американские спецслужбы могут требовать выдачи данных от своих облачных операторов, даже если данные эти хранятся на территории ЕС. Этот факт ставит под вопрос цифровую автономию Европы. Что это значит для ЕС и Украины?
Новое юридическое заключение, подготовленное экспертами Кёльнского университета по заказу Министерства внутренних дел Германии вскрывает крайне неприятный для Европы факт: американские спецслужбы могут получить доступ к данным, даже если они хранятся в дата-центрах на территории ЕС.
Такие механизмы заложены в законы Cloud Act и FISA 702, которые фактически размывают границы юрисдикций и ставят под сомнение идею цифрового суверенитета других стран. Для европейских компаний это важный сигнал о том, что текущая модель зависимости от американских облаков несёт системные риски, которые уже невозможно игнорировать. Детали исследования стали публичным в рамках запроса по закону IFG и усилили напряжённость дискуссии о цифровом суверенитете ЕС.
Локация не имеет значения
Ключевой вывод отчёта в том, что положения Stored Communications Act, дополненные Cloud Act, а также раздел 702 FISA позволяют спецслужбам США требовать раскрытия данных у облачных провайдеров вне зависимости от того, где физически расположены серверы. Определяющим фактором является не местонахождение дата-центра, а корпоративный контроль над инфраструктурой. Если американская материнская компания сохраняет управление, то и данные, размещённые в ЕС и формально обслуживаемые локальными «дочками», могут быть затребованы государственными органами США.
Эксперты также указывают, что американская юрисдикция может затрагивать и европейские компании, не входящие в структуру американских корпораций, если они имеют существенные деловые связи с США. В результате риск прямого или косвенного доступа к данным распространяется на широкий круг операторов внутреннего рынка ЕС.
Технические методы защиты, такие как шифрование, не гарантируют юридической неприкосновенности данных. Американское процессуальное право требует сохранять потенциально значимые сведения до начала судебного разбирательства, а отказ выполнить требования о выдаче информации может повлечь штрафы или уголовную ответственность для провайдера.
В ЕС регуляторы, опираясь на положения GDPR, могут запрещать передачу данных органам третьих стран, однако действующий EU-US Data Privacy Framework остаётся юридически непрочным. Заключение подчёркивает, что глобальный масштаб действия американского права вступает в прямое противоречие с европейскими стандартами защиты данных, что делает развитие собственных облачных альтернатив стратегически необходимым.
Отдельный раздел посвящён корпоративным сервисам, включая Microsoft 365. По мнению авторов анализа, соблюдение требований GDPR при их использовании остаётся возможным, поскольку экстерриториальные полномочия США сами по себе не говорят о ненадёжности провайдера. Однако организации обязаны строго выполнять требования по комплаенсу и проводить оценку воздействия на защиту данных при повышенных рисках. При этом часть экспертов считает такой вывод слишком оптимистичным.
Что это значит для Украины
Для нашей страны влияние Cloud Act превращается в практический риск, особенно в условиях войны и частичной релокации цифровых сервисов за рубеж. Закон позволяет властям США требовать данные у облачных провайдеров, находящихся под американской юрисдикцией, независимо от места хранения. Это означает, что даже если украинские компании размещают данные в европейских регионах гиперскейлеров, критическая информация формально остаётся доступной для американских госструктур.
Такая ситуация вызывает юридическую коллизию и вступает в прямое противоречие с украинским законодательством о защите персональных данных и обязательствами по гармонизации с GDPR. Страна движется в сторону европейской модели, но используемые инфраструктуры могут оставаться под действием зарубежной юрисдикции, неподконтрольной ни Киеву ни Брюсселю, что явно противоречит общему подходу к защите данных. В условиях войны вопрос обретает дополнительный аспект, поскольку потенциальны доступ третьей страны к данным о населении, логистике, финансах или оборонных процессах становится элементом национальной безопасности.
Именно поэтому в Украине формируется запрос на локальные суверенные облака, работающие строго по принципам украинского и европейского права и исключающие влияние внешних государств. Крупные провайдеры развивают сервисы с ориентацией на стандарты GDPR и международные модели вроде VMware Sovereign Cloud, продвигая идею хранения критически важных массивов внутри страны.
Так или иначе, представленное заключение демонстрирует глубокий конфликт между европейскими нормами защиты данных и фактическими полномочиями США, который невозможно устранить простым переносом серверов на европейскую территорию или обычными техническими мерами. Пока американские законы позволяют требовать данные у компаний, находящихся под контролем или влиянием США, европейские организации будут действовать в условиях юридической неопределённости.
В результате главным стратегическим приоритетом для ЕС и Украины становится создание собственных облачных экосистем и инструментов, обеспечивающих реальный цифровой суверенитет и минимизацию внешних правовых рисков.