Признание Microsoft обострило дискуссию о цифровом суверенитете ЕС

Эта история началась еще летом нынешнего года, когда в зале Сената Франции, обсуждались вопросы облачных технологий в обеспечении цифрового суверенитета. В одном из выступлений прозвучала фраза, которую можно считать поворотной для всего европейского ИТ-рынка. Представители Microsoft открыто заявили, что компания «не может гарантировать» полной защиты данных европейских клиентов от запросов американских властей. Это заявление прозвучало не в кулуарах и не в интервью, а под присягой, на официальных парламентских слушаниях. Оно мгновенно стало сигналом для политиков и бизнеса: пока основные облачные мощности Европы принадлежат американским корпорациям, контроль над данными в конечном счёте остаётся за Вашингтоном.

Кто владеет данными? Хороший вопрос!

Формально речь идёт о редких и строго регламентированных случаях, когда запрос проходит судебное подтверждение. Но сама возможность передачи данных под давлением американского закона перечёркивает идею полного цифрового суверенитета. Для европейских компаний, особенно в госсекторе, это означает: никакие контракты о «локализации» или обещания о хранении данных на серверах в ЕС не дают полной гарантии независимости.

Напомним, что CLOUD Act — это американский закон, принятый в 2018 году после серии скандалов вокруг серверов американских облачных, когда ФБР пыталось получить данные американских граждани, хранившиеся за пределами США. Суть закона проста и одновременно радикальна: американские правоохранительные органы могут требовать данные у любых компаний, зарегистрированных в США, вне зависимости от того, где физически находятся их серверы. То есть сама принадлежность компании к американской юрисдикции становится ключом к доступу.

Справедливости ради, стоит отметить, что даже сами американские облачные операторы (особенно гиперскейлеры — наиболее крупные из них) вовсе не в восторге от такого закона, понимая всю сложность общения с крупными клиентами из других юрисдикций и соблюдения местных законов о защите данных. Та же Microsoft неоднократно пыталась ограничить действия акта. Под руководством юристов компания оспаривала «чрезмерные» запросы вплоть до Верховного суда США, и нередко выигрывала, добиваясь более точных формулировок и юридической строгости. Но принципиального влияния CLOUD Act это не отменяет. AWS и Google занимают аналогичную позицию: они сопротивляются абстрактным запросам, но в случае юридически корректного и обоснованного требования — просто обязаны предоставить данные.

В то же время, в момент самого принятия закона его поддержали все крупные игроки Кремниевой долины, включая упомянутую тройку. Для них он стал компромиссом с властями: ясные правила взамен на предсказуемость. Но для Европы новый закон превратился в постоянную угрозу утраты контроля над собственными данными.

Неудобные вопросы — неприятные ответы

Французский Сенат стал первым парламентом в Европе, который официально поднял вопрос о том, может ли государство доверять критически важные данные иностранным провайдерам. На слушаниях юристы Microsoft пытались подчеркнуть: компания тщательно проверяет каждое обращение, отклоняет необоснованные запросы и требует, чтобы американские власти первым делом обращались непосредственно к клиенту. 

Ранее, кстати, AWS опубликовала разъяснение касательно CLOUD Act, подчеркнув, что закон «не даёт американским властям автоматического доступа к данным», а каждая передача информации требует решения независимого федерального судьи.

Но когда сенаторы спросили, может ли Microsoft под присягой подтвердить, что данные французских граждан не окажутся у американских властей без согласия правительства Франции, ответ был предельно честным: «Нет, я не могу этого гарантировать, но, опять же, такого никогда раньше не случалось», — сообщил Антон Карньо, директор по связям с общественностью и правовым вопросам французского подразделения Microsoft.

Такой ответ сразу вызвал волну обсуждений. Европейские игроки, включая OVHcloud, немедленно отреагировали, заявив, что «вопрос цифрового суверенитета больше нельзя игнорировать». компания при этом подчеркнула, что выстроила юридическую и организационную структуру так, чтобы её европейские подразделения были отделены от американского бизнеса. Но даже такие меры не снимают вопроса полностью: пока у компании есть присутствие в США, теоретически она тоже подпадает под действие CLOUD Act. В результате французские слушания стали не только юридическим прецедентом, но и политическим сигналом.

На этот счет Марк Буст, CEO британского облачного провайдера Civo заметил: «Всего одна строка показаний подтвердила, что американские гиперскейлеры не могут гарантировать суверенитет данных в Европе».

Для бизнеса последствия этого спора выходят далеко за пределы юридических формулировок. На кону стоит не только вопрос приватности. Речь идёт о конкурентоспособности и даже национальной безопасности. Если данные стратегических компаний или госучреждений могут быть переданы иностранному правительству по его закону, это ставит под вопрос независимость целых отраслей. Реальные примеры уже есть. Случай с шотландской полицией, когда конфиденциальные материалы оказались за пределами юрисдикции, показал: риски не теоретические. Теперь признание Microsoft сделало их официальными. Это означает, что для руководителей европейских компаний выбор облачного провайдера больше не является лишь вопросом цены и SLA. Это выбор между скоростью внедрения инноваций и контролем над критически важными данными.

В то же время создание собственных облачных экосистем требует времени, инвестиций и политической воли. Eвропейские провайдеры, такие как OVHcloud, Hetzner, Ionos и другие активно продвигают идею «европейского суверенного облака». Но масштаб инвестиций американских корпораций пока недостижим для игроков из ЕС. Это рождает парадокс: Европа осознаёт зависимость и риски, но ближайшие годы будет продолжать опираться на инфраструктуру США, параллельно с развитием альтернативы в виде собственных суверенных облаков.

Стратегический вызов для Европы

Признание Microsoft стало своеобразной «точкой невозврата» в европейской дискуссии о цифровом суверенитете. Если раньше этот термин оставался скорее политической декларацией, то теперь он обретает конкретное измерение: вопрос не в том, где физически расположены серверы, а в том, кто юридически контролирует данные и способен диктовать правила доступа к ним.

Для бизнеса это означает, что тема облачной инфраструктуры выходит за рамки ИТ-стратегии и становится частью корпоративного управления рисками. Руководители европейских компаний должны учитывать не только производительность и стоимость облачных сервисов, но и политико-правовые контексты. Иначе компании рискуют оказаться в ситуации, когда критически важная информация — коммерческая, клиентская или государственная — может быть передана третьей стороне без их согласия.

Европа уже находится на развилке. С одной стороны, американские гиперскейлеры предлагают масштаб, инновации и экосистемы, которые локальные игроки не могут воспроизвести быстро. С другой — усиливается давление на правительства и бизнес ускорить создание суверенных решений. Этот процесс неизбежно будет сопровождаться ростом инвестиций в локальные дата-центры, консорциумы европейских ИТ-компаний и государственные инициативы наподобие GAIA-X, Structura-X или IPCEI-CIS.   

Главный вопрос заключается в темпах развития. Американские корпорации, прекрасно понимая настроения в Европе, уже запускают программы по «усилению локализации», схемы «юридической обособленности» филиалов, обещания прозрачности. Но это больше напоминает стратегию удержания рынка, чем обеспечение реальной независимости для европейских клиентов.

Таким образом, признание Microsoft — это стратегический вызов, который требует от ЕС пересмотра цифровой политики. Решения, принимаемые сегодня, определят на долгие годы — останется ли Европа потребителем чужой облачной инфраструктуры или сможет сформировать независимый цифровой контур. От этого выбора, очевидно, будет зависеть не только ИТ-безопасность, но и конкурентоспособность европейской экономики в целом.