← Blogi

CLOUD Act ja EL andmed selgitatud: juriidiline tagauks, mida USA teenusepakkujad kinni panna ei saa

CLOUD Act ja EL andmed selgitatud: juriidiline tagauks, mida USA teenusepakkujad kinni panna ei saa

USA tehisintellektifirmad räägivad palju EL andmekeskustest, isikuandmete kaitse üldmääruse (GDPR) järgimisest ja tihedatest andmetöötluslepingutest. Mida nad harva mainivad, on Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – USA seadus, mis loob juriidilise tagaukse, mida ükski leping ega andmekeskuse asukoht kinni panna ei saa.

CLOUD Acti ja EL andmete suhe on põhimõtteliselt katki. Kui hindate tehisintellekti tööriistu oma Euroopa ettevõttele (sellega aitame ettevõtteid Dentros), peate mõistma, miks „hostitud Euroopas” ei ole sama mis „kaitstud Euroopa seadusega”.

Mida CLOUD Act tegelikult teeb

CLOUD Act sai USA seaduseks 2018. aasta märtsis. Lühike versioon: kui olete USA ettevõte, peate andmed üle andma, kui valitsus seda nõuab. Pole tähtis, kus need andmed füüsiliselt hoitakse. Teie serverid võiksid olla Kuul. Kui USA ettevõte kontrollib andmeid, saavad USA õiguskaitseasutused neid nõuda.

  1. aastal ütles Microsoft föderaalidele „ei”, kui nad tahtsid Iirimaal serverites hoitud e-kirju. Microsoft väitis, et USA läbiotsimismäärused peatuvad piiril. Kohtuasi venis aastaid ja jõudis lõpuks kõrgema kohtuni. Kuid enne kui kohus sai otsust langetada, muutis Kongress lihtsalt seadust. CLOUD Act tegi kristallselgeks: USA jurisdiktsioon järgib ettevõtet, mitte serveri asukohta.

Praktikas: Microsoft Azure andmekeskustega Saksamaal —> kehtib CLOUD Act. Amazon Web Services Stockholmis —> kehtib CLOUD Act. Google Cloud Belgias —> sama lugu. OpenAI, kes töötleb teie päringuid kuskil EL-is —> sama asi. Serverite füüsiline asukoht annab teile täpselt null juriidilist kaitset.

Ja ulatus on üsna lai. Räägime salvestatud sidepidamisest, metaandmetest, dokumentidest, fotodest, sisuliselt igast digitaalsest kirjest. Ja hullemaks läheb. Erinevalt GDPR taotlustest, kus te vähemalt teate, mis toimub, tulevad CLOUD Acti määrused sageli koos nn gag orderitega. See tähendab, et teenusepakkuja ei tohi teile sõna otseses mõttes öelda, et teie andmetele on juurde pääsetud. Jah, tõesti.

Miks „EL andmekeskuse” väited eksitavad

„Teie andmed ei lahku kunagi EL-ist”, „Täielikult GDPR-iga kooskõlas”, „Euroopa andmeresidentsus garanteeritud”. Neid väiteid näete igal pool. Kui soovite ise kontrollida, proovige meie Privacy Policy Analyzer mis tahes tehisintellekti tööriistal, mida kaalute. Need võivad olla tehniliselt tõesed, kuid samas sügavalt eksitavad teie tegeliku kokkupuute osas.

Andmeresidentsus tähendab, et teie andmed hoitakse kindlas asukohas. See on kõik. See ei ütle midagi selle kohta, kes neile seaduslikult ligi pääseb. USA ettevõte, mis opereerib EL andmekeskusi, on endiselt USA ettevõte. Serverid võivad olla Frankfurtis, kuid juriidilised kohustused järgnevad Delaware’i registreerimist.

GDPR-iga kooskõla on täiesti eraldi küsimus. Kui USA pakkuja ütleb, et on GDPR-iga kooskõlas, tähendab see, et ta järgib Euroopa reegleid teie andmete käitlemisel. See ei tähenda, et teie andmed on kaitstud USA valitsuse juurdepääsu eest. Need on erinevad küsimused ja turundus segab neid tahtlikult.

Segamine pole juhuslik. USA pilveteenuse pakkujad on kulutanud aastaid Euroopa andmekeskuste infrastruktuuri ehitamisele just „andmesuveräänsuse” murede lahendamiseks. Nad käivitavad kampaaniaid, mis rõhutavad kohalikku salvestamist ja kohalikke tiime. Kõik see on loodud, et tunneksite end kaitstuna, vältides elevandit toas: USA registreerimine tähendab, et USA seadus kehtib endiselt.

Lepingud ei aita ka. Andmetöötlusleping (DPA) teie ja USA pakkuja vahel ei saa föderaalseadust üle kirjutada. Kui saabub föderaalne määrus, peab pakkuja seda täitma või seisma silmitsi kohtuvastase ignoreerimise süüdistustega. Teie leping on ebaoluline. Standardlepingu klauslid ja muud juriidilised raamistikud ebaõnnestuvad sama põhiprobleemi ees: need on eralepped, mis ei saa valitsuse voli üle kirjutada.

Võimatu juriidiline konflikt

Euroopa kliente teenindavad USA ettevõtted seisavad silmitsi tõelise juriidilise õudusunenäoga. GDPR keelab isikuandmete edastamise kolmandatesse riikidesse ilma piisava kaitseta. CLOUD Act nõuab andmete edastamist USA ametivõimudele, kui seda nõutakse. Mõlemad seadused karistavad rikkumise eest tõsiselt. Pole lahendust, mis mõlemat rahuldaks.

Siin on konkreetne stsenaarium. USA tehisintellekti pakkuja salvestab teie klientide andmed oma Frankfurdi andmekeskuses. FBI väljastab määruse, mis puudutab ühte teie klienti. Pakkuja seisab nüüd draama kahe halva valiku vahel: täita määrust ja tõenäoliselt rikkuda GDPR-i (trahvid kuni 20 miljonit eurot või 4% globaalsest käibest, mis on suurem), või keelduda ja seista silmitsi kohtuvastase ignoreerimise süüdistustega USA föderaalkohtus.

USA ettevõtted on USA ettevõtted. Kui nad peavad valima Euroopa regulatsioonide ja USA föderaalseaduse vahel, täidavad nad määrust. Nad võivad teid hiljem teavitada või mitte teavitada üldse, sest gag order keelab seda. Igatahes on andmed kadunud.

Mõned pakkujad on proovinud loomingulisi lahendusi. Microsoft proovis Saksamaal „data trustee” kokkuleppeid, kus kohalik partner tehniliselt kontrollis juurdepääsu. See oli keeruline, kallis ja nad lõpetasid selle lõpuks. Teised ettevõtted katsetasid krüpteerimisskeeme, kus klient hoiab võtmeid. Kuid need lisavad hõõrdumist, vähendavad funktsionaalsust ja sageli loobutakse neist vaikselt, kui kliendid kasutatavuse pärast kaebavad.

Mida CLOUD Acti EL andmete riskid tähendavad teie ettevõttele

Mõelge, mis voolab läbi teie tehisintellekti süsteemide ja kogu muu tarkvara, mida kasutate. Klienditoe vestlused isikuandmetega.

  • Sise dokumendid strateegia ja finantside arutamise kohta.
  • Lepingute ülevaatused konfidentsiaalsete tingimustega.
  • HR andmed töötajate kohta.
  • Uurimis- ja arendusteave.
  • Konkurentsintelligents.

Kõik see ja rohkem muutub CLOUD Acti taotluse korral kättesaadavaks.

Ja kui te nüüd mõtlete „okei, aga FBI ei tule ju minu järele”… – taotlused ei ole alati otse teie vastu suunatud. Teie andmed võivad sattuda täiesti kellegi teise uurimisse. Teie klient uurimise all, endine töötaja, äripartner. Määrus võib nõuda „kõiki sidepidamisi, mis puudutavad isikut X”, ja äkki on teie konfidentsiaalsed äriandmed föderaalsetes kätes.

GDPR-i kohaselt jääte te vastutavaks töötlejaks selle eest, mis juhtub kogutud isikuandmetega. Kui teie USA pakkuja annab teie klientide andmed USA ametivõimudele ilma kehtiva EL juriidilise aluseta, võite seista silmitsi regulatiivsete kaebuste ja trahvidega. Kaitse „aga kasutasime GDPR-iga kooskõlas pakkujat” ei pea. Teadsite CLOUD Actist. Valisite niikuinii pakkuja, kellel on vastuolulised juriidilised kohustused.

Reguleeritud valdkondades on kokkupuude veelgi tõsisem. Tervishoiuandmed, finantskirjed, juriidiline sidepidamine. Kõigil neil on Euroopa seaduse kohaselt spetsiifilised kaitsetingimused. Selliste andmete tehisintellektitöötluseks USA pakkuja kasutamine tähendab aktsepteerimist, et neid kaitseid saab mööda minna protsessiga, mida te kunagi ei näe ega saa vaidlustada. Teie compliance officer peaks selle kohta rasked küsimused esitama.

Ainus tõeline lahendus

On täpselt üks viis garanteerida kaitset CLOUD Acti taotluste eest: kasutada pakkujaid, kes üldse ei allu USA jurisdiktsioonile. Mitte EL andmekeskusi, mida opereerib USA ettevõte. Mitte Euroopa tütarettevõtteid Ameerika tehnohiiglastel. Tõeliselt Euroopa omandiõigus ja infrastruktuur otsast otsani.

Euroopas registreeritud ettevõte, mida omavad Euroopa aktsionärid, ilma USA emaettevõtteta ja ilma kontrolliõigustega USA investoriteta, ei saa lihtsalt CLOUD Acti taotlust. Seadus ei kehti. Pole lahendamist vajavat konflikti, sest pole USA jurisdiktsiooni, mis selle looks.

Kõik tavapärased turvameetmed nagu krüpteerimine ja juurdepääsukontroll kaitsevad häkkijate ja sisemiste ohtude eest. Nad ei tee midagi seadusliku taotluse vastu, mida toetab föderaalne voli. Pakkuja omab võtmeid ja kui seadus sunnib, kasutab ta neid. Ainus kaitse, mis tegelikult püsib, on struktuuriline: olla väljaspool jurisdiktsiooni, mis taotluse väljastas.

Just seetõttu ehitasime DentroChat. Tahtsime pakkuda seda, mida USA alternatiivid ei saa: tõelist Euroopa andmekaitset, mis ei sõltu turunduslubadustest ega lepingulistest möödaminnes lahendustest. Meie serverid on Saksamaal. Meie pilveteenuse pakkujad on Euroopa ettevõtted, kes ei allu USA jurisdiktsioonile. Pole USA emaettevõtet, pole USA investoreid kontrolliõigustega, pole juriidilist haaki, mis tooks meid CLOUD Acti ulatusse.

Kui kasutate DentroChat-i, CLOUD Act lihtsalt ei kehti. Selliseid taotlusi ei saa meile seaduslikult üldse esitada. Euroopa tehisintellekti pakkujad saavad pakkuda juriidilist kindlust, mida USA pakkujad struktuuriliselt võrrelda ei saa.

CLOUD Acti ja EL andmete põhiprobleemi ei saa lahendada paremate privaatsuspoliitikate ega tugevamate lepingutega. Seda saab lahendada ainult pakkujate valimisega, kes jäävad täielikult USA jurisdiktsioonist välja. See on ainus vastus, mis tegelikult toimib.