CLOUD Act και δεδομένα στην ΕΕ: το νομικό backdoor που οι αμερικανικοί πάροχοι δεν μπορούν να κλείσουν
Οι αμερικανικές εταιρείες AI μιλούν πολύ για κέντρα δεδομένων στην ΕΕ, συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και αδιαπέραστες συμβάσεις επεξεργασίας δεδομένων. Αυτό που σπάνια αναφέρουν είναι ο Clarifying Lawful Overseas Use of Data Act (CLOUD Act), ένας αμερικανικός νόμος που δημιουργεί ένα νομικό backdoor που καμία σύμβαση ή τοποθεσία κέντρου δεδομένων δεν μπορεί να κλείσει.
Η σχέση CLOUD Act – δεδομένα στην ΕΕ είναι θεμελιωδώς χαλασμένη. Αν αξιολογείτε εργαλεία AI για την ευρωπαϊκή επιχείρησή σας (κάτι που βοηθάμε εταιρείες να κάνουν στη Dentro), πρέπει να κατανοήσετε γιατί το «φιλοξενείται στην Ευρώπη» δεν είναι το ίδιο με το «προστατεύεται από το ευρωπαϊκό δίκαιο».
Τι κάνει στην πραγματικότητα ο CLOUD Act
Ο CLOUD Act έγινε αμερικανικός νόμος τον Μάρτιο του 2018. Η σύντομη εκδοχή: αν είστε αμερικανική εταιρεία, πρέπει να παραδώσετε δεδομένα όταν το ζητήσει η κυβέρνηση. Δεν έχει σημασία πού αποθηκεύονται φυσικά αυτά τα δεδομένα. Οι διακομιστές σας θα μπορούσαν να είναι στο φεγγάρι. Αν μια αμερικανική εταιρεία ελέγχει τα δεδομένα, οι αμερικανικές αρχές επιβολής του νόμου μπορούν να τα απαιτήσουν.
Το 2013, η Microsoft είπε «όχι» στις ομοσπονδιακές αρχές όταν ζήτησαν email που ήταν αποθηκευμένα σε διακομιστές στην Ιρλανδία. Η Microsoft υποστήριξε ότι τα αμερικανικά εντάλματα σταματούν στα σύνορα. Η υπόθεση κράτησε χρόνια και τελικά έφτασε στο Ανώτατο Δικαστήριο. Αλλά πριν το δικαστήριο αποφασίσει, το Κογκρέσο απλώς άλλαξε τον νόμο. Ο CLOUD Act το έκανε κρυστάλλινα σαφές: Η αμερικανική δικαιοδοσία ακολουθεί την εταιρεία, όχι την τοποθεσία του διακομιστή.
Στην πράξη: Microsoft Azure με κέντρα δεδομένων στη Γερμανία —> ισχύει ο CLOUD Act. Amazon Web Services στη Στοκχόλμη —> ισχύει ο CLOUD Act. Google Cloud στο Βέλγιο —> το ίδιο σενάριο. OpenAI που επεξεργάζεται τα prompts σας κάπου στην ΕΕ —> ίδια ιστορία. Η φυσική τοποθεσία των διακομιστών σας προσφέρει ακριβώς μηδενική νομική προστασία.
Και το εύρος είναι αρκετά ευρύ. Μιλάμε για αποθηκευμένες επικοινωνίες, μεταδεδομένα, έγγραφα, φωτογραφίες, ουσιαστικά κάθε ψηφιακό αρχείο. Και χειροτερεύει. Σε αντίθεση με αιτήματα GDPR όπου τουλάχιστον γνωρίζετε τι συμβαίνει, τα εντάλματα CLOUD Act συχνά συνοδεύονται από λεγόμενες gag orders. Αυτό σημαίνει ότι ο πάροχος κυριολεκτικά δεν μπορεί να σας πει ότι τα δεδομένα σας προσπελάστηκαν. Ναι, όντως.
Γιατί οι ισχυρισμοί «κέντρο δεδομένων στην ΕΕ» είναι παραπλανητικοί
«Τα δεδομένα σας δεν φεύγουν ποτέ από την ΕΕ», «Πλήρως συμβατό με GDPR», «Εγγυημένη ευρωπαϊκή ενοικίαση δεδομένων». Βλέπετε αυτούς τους ισχυρισμούς παντού. Αν θέλετε να το ελέγξετε μόνοι σας, δοκιμάστε τον Privacy Policy Analyzer μας σε οποιοδήποτε εργαλείο AI εξετάζετε. Μπορεί να είναι τεχνικά αληθείς ενώ είναι βαθιά παραπλανητικοί για την πραγματική σας έκθεση.
Η ενοικίαση δεδομένων σημαίνει ότι τα δεδομένα σας αποθηκεύονται σε συγκεκριμένη τοποθεσία. Αυτό και μόνο. Δεν λέει τίποτα για το ποιος μπορεί νομίμως να τα προσπελάσει. Μια αμερικανική εταιρεία που λειτουργεί κέντρα δεδομένων στην ΕΕ παραμένει αμερικανική εταιρεία. Οι διακομιστές μπορεί να είναι στη Φρανκφούρτη, αλλά οι νομικές υποχρεώσεις ακολουθούν την εγγραφή στο Delaware.
Η συμμόρφωση με GDPR είναι εντελώς ξεχωριστό ζήτημα. Όταν ένας αμερικανικός πάροχος λέει ότι είναι συμβατός με GDPR, εννοεί ότι ακολουθεί ευρωπαϊκούς κανόνες για τον χειρισμό των δεδομένων σας. Δεν εννοεί ότι τα δεδομένα σας προστατεύονται από αμερικανική κυβερνητική πρόσβαση. Είναι διαφορετικές ερωτήσεις, και το μάρκετινγκ τις συγχέει σκόπιμα.
Η σύγχυση δεν είναι τυχαία. Οι αμερικανικοί πάροχοι cloud έχουν ξοδέψει χρόνια χτίζοντας ευρωπαϊκή υποδομή κέντρων δεδομένων ειδικά για να αντιμετωπίσουν ανησυχίες «κυριαρχίας δεδομένων». Τρέχουν καμπάνιες που τονίζουν τοπική αποθήκευση και τοπικές ομάδες. Όλα αυτά σχεδιάζονται για να σας κάνουν να νιώθετε προστατευμένοι, αποφεύγοντας τον ελέφαντα στο δωμάτιο: η αμερικανική εγγραφή σημαίνει ότι ισχύει ακόμα το αμερικανικό δίκαιο.
Ούτε τα συμβόλαια βοηθούν. Μια Σύμβαση Επεξεργασίας Δεδομένων (DPA) μεταξύ εσάς και ενός αμερικανικού παρόχου δεν μπορεί να υπερισχύσει ομοσπονδιακού νόμου. Όταν φτάνει ομοσπονδιακό ένταλμα, ο πάροχος πρέπει να συμμορφωθεί ή να αντιμετωπίσει κατηγορίες περιφρόνησης δικαστηρίου. Το συμβόλαιό σας είναι αδιάφορο. Τυπικές Συμβατικές Ρήτρες και άλλα νομικά πλαίσια αποτυγχάνουν στην ίδια θεμελιώδη πρόβλημα: είναι ιδιωτικές συμφωνίες που δεν μπορούν να υπερισχύσουν κυβερνητικής εξουσίας.
Η αδύνατη νομική σύγκρουση
Οι αμερικανικές εταιρείες που εξυπηρετούν ευρωπαϊκούς πελάτες αντιμετωπίζουν πραγματικό νομικό εφιάλτη. Το GDPR απαγορεύει τη μεταφορά προσωπικών δεδομένων σε τρίτες χώρες χωρίς επαρκή προστασία. Ο CLOUD Act απαιτεί τη μεταφορά δεδομένων στις αμερικανικές αρχές όταν ζητηθεί. Και οι δύο νόμοι επιβάλλουν σοβαρές κυρώσεις για μη συμμόρφωση. Δεν υπάρχει λύση που να ικανοποιεί και τα δύο.
Να ένα συγκεκριμένο σενάριο. Ένας αμερικανικός πάροχος AI αποθηκεύει τα δεδομένα πελατών σας στο κέντρο δεδομένων του στη Φρανκφούρτη. Το FBI εκδίδει ένταλμα σχετικό με έναν από τους πελάτες σας. Ο πάροχος τώρα αντιμετωπίζει δύο κακές επιλογές: να συμμορφωθεί με το ένταλμα και πιθανότατα να παραβιάσει το GDPR (πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου τζίρου, όποιο είναι μεγαλύτερο), ή να αρνηθεί και να αντιμετωπίσει κατηγορίες περιφρόνησης σε ομοσπονδιακό δικαστήριο.
Οι αμερικανικές εταιρείες είναι αμερικανικές εταιρείες. Όταν αναγκάζονται να διαλέξουν μεταξύ ευρωπαϊκών κανονισμών και ομοσπονδιακού αμερικανικού δικαίου, συμμορφώνονται με το ένταλμα. Μπορεί να σας ενημερώσουν μετά, ή καθόλου, επειδή τους απαγορεύεται να το κάνουν με gag order. Σε κάθε περίπτωση, τα δεδομένα έχουν φύγει.
Ορισμένοι πάροχοι έχουν δοκιμάσει δημιουργικές λύσεις. Η Microsoft δοκίμασε ρυθμίσεις «data trustee» στη Γερμανία όπου ένας τοπικός συνεργάτης ελεγχόταν τεχνικά την πρόσβαση. Ήταν περίπλοκο, ακριβό και τελικά το διακόψαν. Άλλες εταιρείες πείραματίστηκαν με σχήματα κρυπτογράφησης όπου ο πελάτης κρατά τα κλειδιά. Αλλά αυτά προσθέτουν τριβή, μειώνουν τη λειτουργικότητα και συχνά εγκαταλείπονται σιωπηλά όταν οι πελάτες παραπονιούνται για τη χρηστικότητα.
Τι σημαίνουν οι κίνδυνοι CLOUD Act – δεδομένα στην ΕΕ για την επιχείρησή σας
Σκεφτείτε τι ρέει μέσα από τα συστήματα AI σας και όλο το άλλο λογισμικό που χρησιμοποιείτε. Συνομιλίες εξυπηρέτησης πελατών με προσωπικά στοιχεία.
- Εσωτερικά έγγραφα που συζητούν στρατηγική και οικονομικά.
- Αναθεωρήσεις συμβολαίων με εμπιστευτικούς όρους.
- Δεδομένα HR για εργαζόμενους.
- Πληροφορίες έρευνας και ανάπτυξης.
- Ανταγωνιστική πληροφόρηση.
Όλα αυτά και περισσότερα γίνονται προσβάσιμα με αίτημα CLOUD Act.
Και αν τώρα σκέφτεστε «εντάξει, αλλά το FBI δεν θα έρθει για μένα ούτως ή άλλως…» – τα αιτήματα δεν στοχεύουν πάντα εσάς απευθείας. Τα δεδομένα σας μπορεί να συλληφθούν σε έρευνα κάποιου άλλου εντελώς. Ένας πελάτης σας υπό έρευνα, ένας πρώην εργαζόμενος, ένας επιχειρηματικός εταίρος. Το ένταλμα μπορεί να απαιτεί «όλες τις επικοινωνίες που αφορούν το άτομο X», και ξαφνικά τα εμπιστευτικά επιχειρηματικά σας δεδομένα βρίσκονται σε ομοσπονδιακά χέρια.
Σύμφωνα με GDPR, παραμένετε ο υπεύθυνος επεξεργασίας για ό,τι συμβαίνει στα προσωπικά δεδομένα που συλλέγετε. Αν ο αμερικανικός σας πάροχος παραδώσει τα δεδομένα πελατών σας σε αμερικανικές αρχές χωρίς έγκυρη νομική βάση στην ΕΕ, μπορεί να αντιμετωπίσετε ρυθμιστικές καταγγελίες και πρόστιμα. Η άμυνα «αλλά χρησιμοποιούσαμε πάροχο συμβατό με GDPR» δεν θα στέκει. Γνωρίζατε για τον CLOUD Act. Επιλέξατε πάροχο με αντικρουόμενες νομικές υποχρεώσεις ούτως ή άλλως.
Για ρυθμιζόμενους κλάδους, η έκθεση είναι ακόμα πιο σοβαρή. Δεδομένα υγειονομικής περίθαλψης, οικονομικά αρχεία, νομικές επικοινωνίες. Όλα αυτά έχουν συγκεκριμένες απαιτήσεις προστασίας στο ευρωπαϊκό δίκαιο. Η χρήση αμερικανικού παρόχου για επεξεργασία AI τέτοιων δεδομένων σημαίνει αποδοχή ότι αυτές οι προστασίες μπορούν να παρακαμφθούν μέσω διαδικασίας που δεν θα δείτε ποτέ και δεν μπορείτε να αμφισβητήσετε. Ο compliance officer σας θα έπρεπε να κάνει σκληρές ερωτήσεις γι’ αυτό.
Η μόνη πραγματική λύση
Υπάρχει ακριβώς ένας τρόπος να εγγυηθείτε προστασία από αιτήματα CLOUD Act: να χρησιμοποιείτε παρόχους που δεν υπόκεινται καθόλου σε αμερικανική δικαιοδοσία. Όχι κέντρα δεδομένων στην ΕΕ που λειτουργούν από αμερικανική εταιρεία. Όχι ευρωπαϊκές θυγατρικές αμερικανικών τεχνολογικών γιγάντων. Γνήσια ευρωπαϊκή ιδιοκτησία και υποδομή από άκρη σε άκρη.
Μια εταιρεία εγγεγραμμένη στην Ευρώπη, με ευρωπαϊκούς μετόχους, χωρίς αμερικανική μητρική και χωρίς ελέγχοντες αμερικανικούς επενδυτές, απλώς δεν μπορεί να λάβει αίτημα CLOUD Act. Ο νόμος δεν ισχύει. Δεν υπάρχει σύγκρουση να επιλυθεί, γιατί δεν υπάρχει αμερικανική δικαιοδοσία να τη δημιουργήσει.
Όλα τα συνηθισμένα μέτρα ασφαλείας όπως κρυπτογράφηση και έλεγχοι πρόσβασης προστατεύουν από hackers και εσωτερικές απειλές. Δεν κάνουν τίποτα ενάντια σε νομικό αίτημα που υποστηρίζεται από ομοσπονδιακή εξουσία. Ο πάροχος έχει τα κλειδιά και όταν αναγκάζεται από το νόμο, τα χρησιμοποιεί. Η μόνη προστασία που πραγματικά αντέχει είναι δομική: να βρίσκεστε εκτός της δικαιοδοσίας που εξέδωσε το αίτημα.
Ακριβώς γι’ αυτό δημιουργήσαμε το DentroChat. Θέλαμε να προσφέρουμε ό,τι δεν μπορούν οι αμερικανικές εναλλακτικές: γνήσια ευρωπαϊκή προστασία δεδομένων που δεν εξαρτάται από μάρκετινγκ υποσχέσεις ή συμβατικές εξακολουθήσεις. Οι διακομιστές μας είναι στη Γερμανία. Οι πάροχοι cloud μας είναι ευρωπαϊκές εταιρείες που δεν υπόκεινται σε αμερικανική δικαιοδοσία. Δεν υπάρχει αμερικανική μητρική, ούτε αμερικανικοί επενδυτές με δικαιώματα ελέγχου, ούτε νομικό άγκιστρο που μας φέρνει στο πεδίο εφαρμογής του CLOUD Act.
Όταν χρησιμοποιείτε το DentroChat, ο CLOUD Act απλώς δεν ισχύει. Τέτοια αιτήματα δεν μπορούν νομίμως να μας απευθυνθούν εξαρχής. Οι ευρωπαϊκοί πάροχοι AI μπορούν να προσφέρουν νομική βεβαιότητα που οι αμερικανικοί πάροχοι δομικά δεν μπορούν να αντιστοιχίσουν.
Το θεμελιώδες πρόβλημα CLOUD Act – δεδομένα στην ΕΕ δεν μπορεί να λυθεί με καλύτερες πολιτικές απορρήτου ή ισχυρότερα συμβόλαια. Μπορεί να λυθεί μόνο επιλέγοντας παρόχους που βρίσκονται εντελώς εκτός αμερικανικής δικαιοδοσίας. Αυτή είναι η μόνη απάντηση που πραγματικά λειτουργεί.