Все системы работают Ваш IP: 216.73.216.63 info@cloudhosting.lv +371 66 66 29 69 Личный кабинет

← Все вопросы

Облако ЕС или США: почему местоположение данных важно

Спросите большинство компаний, где хранятся их данные, и вам назовут город: "Франкфурт", "Амстердам", "наши серверы в ЕС". Такой ответ успокаивает, но он охватывает лишь один из трёх вопросов, которые на самом деле определяют, кто вправе законно читать ваши данные. Физическое расположение важно. Но это не вся картина.

Три вопроса, а не один

  • Где данные находятся физически? Страна, на земле которой стоят диски.
  • Праву какой страны подчиняется провайдер? Юрисдикция следует за компанией, а не за оборудованием. Провайдер в собственности США остаётся под действием законов США, даже если сервер стоит в Риге или Амстердаме.
  • У кого находятся ключи шифрования? Если провайдер может расшифровать ваши данные, его можно принудить выдать открытый текст. Если ключи только у вас, он этого сделать не сможет.

"Регион ЕС" американского облачного гиганта отвечает на первый вопрос и проваливает второй и третий. Именно в этом разрыве выигрывается или теряется суверенитет данных.

Законы США, дотягивающиеся через океан

CLOUD Act (2018) позволяет властям США принудить любую зарегистрированную в США компанию выдать данные, которые она контролирует, где бы в мире они ни хранились и независимо от того, является ли субъект данных американцем. Дата-центр в ЕС, управляемый материнской компанией из США, находится в пределах досягаемости.

Раздел 702 FISA разрешает массовый сбор данных у американских провайдеров электронной связи, целенаправленно нацеленный на лиц за пределами США, не являющихся гражданами США. Для европейского клиента американского облака это не лазейка, а замысел.

Что на самом деле говорит право ЕС

Статья 48 GDPR гласит, что постановление иностранного суда или органа исполнимо в ЕС только тогда, когда оно основано на международном соглашении, например на договоре о взаимной правовой помощи. Ордер по CLOUD Act это односторонний инструмент США, поэтому этому условию он не отвечает, однако на стороне США провайдера всё равно можно принудить его исполнить.

В деле Schrems II (2020) Суд ЕС отменил Privacy Shield, поскольку законы США о слежке давали властям доступ, несовместимый с правами ЕС, и не оставляли гражданам ЕС эффективной правовой защиты. Его преемник, Рамочная программа ЕС-США по конфиденциальности данных (2023), регулирует документооборот при передаче данных, но не отключает ни CLOUD Act, ни FISA 702; в судах продвигается очередная жалоба, которую часто называют Schrems III. Закон ЕС о данных и NIS2 ведут в том же направлении: сохранять контроль над данными внутри ЕС и блокировать незаконный доступ третьих стран.

Одни лишь стандартные договорные положения этот разрыв не закрывают. Европейский совет по защите данных прямо указал, что договоры не могут связать иностранное правительство; на это способны только технические меры.

Как самостоятельно проверить провайдера

Проверьте физическое расположение и оператора сети:

whois 91.220.43.220 | grep -Ei 'country|netname|org'
curl -s https://ipinfo.io/91.220.43.220

Затем на бумаге ответьте на два более сложных вопроса:

  • Прочитайте договор об обработке данных (DPA) и список субобработчиков провайдера. Материнская компания из США или субобработчик из США снова возвращают вас под юрисдикцию США.
  • Убедитесь, что действующее юридическое лицо зарегистрировано в ЕС/ЕЭЗ, а не является местным реселлером американской платформы.
  • Спросите, где хранятся ключи шифрования. "В ЕЭЗ, и вы можете держать свои собственные" вот ответ, который вам нужен.

Там, где ставки высоки, шифруйте данные ещё до того, как они попадут к провайдеру, чтобы открытый текст на его стороне вообще никогда не существовал:

# зашифровать файл паролем, который знаете только вы
age -p secrets.tar > secrets.tar.age
# или полнодисковое шифрование на вашем томе VPS
cryptsetup luksFormat /dev/vdb

Вывод

"Размещено в ЕС" необходимо, но недостаточно. Настоящий суверенитет данных требует всех трёх условий: земля ЕС, провайдер с регистрацией в ЕС вне юрисдикции США и ключи шифрования, которыми управляете вы. Проверяйте владельцев компании и список субобработчиков, а не только карту дата-центров. Это общая информация, а не юридическая консультация; для конкретного случая соответствия проверьте у квалифицированного консультанта.

Готовы начать?

Запустите за минуты или обсудите с инженером, что подходит вашему проекту.