CLOUD Act és EU-s adatok magyarázata: a jogi hátsó ajtó, amit az amerikai szolgáltatók nem zárhatnak be
Az amerikai AI-vállalatok sokat beszélnek az EU-s adatközpontokról, a GDPR-megfelelésről és a szigorú adatfeldolgozási megállapodásokról. Amit ritkán említenek, az a Clarifying Lawful Overseas Use of Data Act (CLOUD Act) — egy amerikai törvény, amely olyan jogi hátsó ajtót nyit, amit semmilyen szerződés vagy adatközpont-helyszín nem zárhat be.
A CLOUD Act és az EU-s adatok kapcsolata alapvetően hibás. Ha AI-eszközöket értékelsz európai vállalkozásodhoz (amiben cégeknek segítünk a Dentrónál), meg kell értened, miért nem ugyanaz az „Európában üzemeltetve”, mint az „európai jog védelme alatt”.
Mit csinál valójában a CLOUD Act
A CLOUD Act 2018 márciusában lett amerikai törvény. A rövid változat: ha amerikai cég vagy, át kell adnod az adatokat, amikor a kormány kéri. Nem számít, hol tárolod őket fizikailag. A szervereid akár a Holdon is lehetnek. Ha egy amerikai cég irányítja az adatokat, az amerikai hatóságok követelhetik őket.
2013-ban a Microsoft nemet mondott a szövetségi hatóságoknak, amikor Írországban tárolt e-maileket kértek. A Microsoft azt állította, az amerikai idézések a határon megállnak. Az ügy éveken át húzódott, végül a Legfelsőbb Bírósághoz jutott. De mielőtt a bíróság dönthetett volna, a Kongresszus egyszerűen megváltoztatta a törvényt. A CLOUD Act kristálytisztán kimondta: az amerikai joghatóság a céget követi, nem a szerver helyét.
A gyakorlatban: Microsoft Azure németországi adatközpontokkal —> CLOUD Act érvényes. Amazon Web Services Stockholmban —> CLOUD Act érvényes. Google Cloud Belgiumban —> ugyanaz a történet. OpenAI, amely valahol az EU-ban dolgozza fel a promptjaidat —> ugyanaz a helyzet. A szerverek fizikai helye pontosan nulla jogi védelmet ad.
A hatókör elég széles. Tárolt kommunikációról, metaadatokról, dokumentumokról, fotókról beszélünk — gyakorlatilag minden digitális nyomról. És rosszabb. A GDPR-kérelmekkel ellentétben, ahol legalább tudod, mi történik, a CLOUD Act-idézések gyakran úgynevezett titoktartási rendelkezésekkel járnak. Ez azt jelenti, hogy a szolgáltató szó szerint nem mondhatja el, hogy hozzáfértek az adataidhoz. Komolyan.
Miért félrevezetőek az „EU-s adatközpont” állítások
„Az adataid soha nem hagyják el az EU-t”, „Teljes GDPR-megfelelés”, „Garantált európai adatrezidencia”. Ilyen állításokat mindenhol látsz. Ha magad is ellenőriznéd, próbáld ki a Privacy Policy Analyzer eszközünket bármelyik AI-eszközön, amit fontolóra veszel. Technikailag igazak lehetnek, miközben mélyen félrevezetőek a valós kitettségedről.
Az adatrezidencia azt jelenti, hogy az adataid egy adott helyen vannak tárolva. Ennyi. Semmit nem mond arról, ki férhet hozzájuk jogilag. Egy amerikai cég, amely EU-s adatközpontokat üzemeltet, továbbra is amerikai cég. A szerverek Frankfurtban lehetnek, de a jogi kötelezettségek a delaware-i bejegyzést követik.
A GDPR-megfelelés teljesen külön kérdés. Amikor egy amerikai szolgáltató azt mondja, GDPR-kompatibilis, azt jelenti, hogy az európai szabályok szerint kezeli az adataidat. Nem azt, hogy az adataid védettek az amerikai kormány hozzáférésétől. Ez különböző kérdés, és a marketing szándékosan összekeveri őket.
Az összekeverés nem véletlen. Az amerikai felhőszolgáltatók éveket töltöttek európai adatközpont-infrastruktúra építésével, kifejezetten az „adatszuverenitás” aggodalmak kezelésére. Helyi tárolást és helyi csapatokat hangsúlyozó kampányokat futtatnak. Mindez azért van, hogy védettnek érezd magad, miközben kerülik a szobában álló elefántot: az amerikai bejegyzés azt jelenti, hogy az amerikai jog továbbra is érvényes.
A szerződések sem segítenek. Egy adatfeldolgozási megállapodás (DPA) közted és egy amerikai szolgáltató között nem írhatja felül a szövetségi törvényt. Amikor szövetségi idézés érkezik, a szolgáltatónak engedelmeskednie kell, különben bűncselekményi contempt vád fenyegeti. A szerződésed lényegtelen. A standard szerződéses záradékok és más jogi keretek ugyanazon alapvető problémán buknak el: magánmegállapodások, amelyek nem írhatják felül az állami hatalmat.
A lehetetlen jogi konfliktus
Az európai ügyfeleket kiszolgáló amerikai cégek valódi jogi rémálommal néznek szembe. A GDPR tiltja a személyes adatok harmadik orszégbe történő továbbítását megfelelő védelem nélkül. A CLOUD Act megköveteli az adatok átadását az amerikai hatóságoknak, ha kérik. Mindkét törvény súlyos szankciókat von maga után a be nem tartásért. Nincs olyan megoldás, amely mindkettőt kielégítené.
Íme egy konkrét forgatókönyv. Egy amerikai AI-szolgáltató a frankfurti adatközpontjában tárolja az ügyfeleid adatait. Az FBI idézést bocsát ki az egyik ügyfeleddel kapcsolatban. A szolgáltató most két rossz opció között választhat: teljesíti az idézést és valószínűleg megsérti a GDPR-t (akár 20 millió euró vagy a globális bevétel 4%-a bírság, amelyik magasabb), vagy megtagadja és contempt vád fenyegeti az amerikai szövetségi bíróságon.
Az amerikai cégek amerikai cégek. Ha az európai szabályozás és az amerikai szövetségi jog között kell választaniuk, teljesítik az idézést. Lehet, hogy utólag értesítenek, de lehet, hogy egyáltalán nem — mert titoktartási rendelkezés tiltja. Mindenesetre az adatok elvesztek.
Néhány szolgáltató kreatív megoldásokat próbált. A Microsoft Németországban „data trustee” megállapodásokat tesztelt, ahol helyi partner technikailag irányította a hozzáférést. Bonyolult, drága volt, végül megszüntették. Más cégek olyan titkosítási rendszerekkel kísérleteztek, ahol az ügyfél tartja a kulcsokat. De ez súrlódást okoz, csökkenti a funkcionalitást, és gyakran csendben elhagyják, amikor az ügyfelek a használhatóságra panaszkodnak.
Mit jelentenek a CLOUD Act EU-s adatkockázatok a vállalkozásod számára
Gondolj arra, mi áramlik át az AI-rendszereiden és az összes többi szoftveren, amit használsz:
- Ügyfélszolgálati beszélgetések személyes adatokkal.
- Belső dokumentumok stratégiáról és pénzügyekről.
- Szerződés-áttekintések bizalmas feltételekkel.
- HR-adatok a munkavállalókról.
- Kutatás-fejlesztési információk.
- Versenyinformációk.
Mindez és még több hozzáférhetővé válik CLOUD Act-kérelem alapján.
És ha most azt gondolod: „oké, de az FBI úgysem jön értem” — a kérelmek nem mindig közvetlenül téged céloznak. Az adataid belekerülhetnek valaki más vizsgálatába. Egy vizsgált ügyfeled, egy volt alkalmazottod, egy üzleti partnered. Az idézés kérheti „az X személyt érintő összes kommunikációt”, és hirtelen a bizalmas üzleti adataid szövetségi hatóságok kezében landolnak.
A GDPR szerint továbbra is te vagy az adatkezelő, aki felelős azért, mi történik az általad gyűjtött személyes adatokkal. Ha az amerikai szolgáltatód az ügyfeleid adatait amerikai hatóságoknak adja át érvényes EU-s jogi alap nélkül, felügyeleti panaszok és bírságok érhetnek. A „de GDPR-kompatibilis szolgáltatót használtunk” védelem nem áll meg. Tudtál a CLOUD Act-ről. Mégis olyan szolgáltatót választottál, amely ellentmondásos jogi kötelezettségek alá esik.
A szabályozott iparágakban a kitettség még súlyosabb. Egészségügyi adatok, pénzügyi nyilvántartások, jogi kommunikáció. Mindegyiknek speciális védelmi követelményei vannak az európai jog szerint. Ilyen adatok AI-feldolgozására amerikai szolgáltatót használni azt jelenti, hogy elfogadod: ezek a védelmek olyan folyamaton keresztül megkerülhetők, amit soha nem látsz, és amit nem tudsz megkérdőjelezni. A compliance felelősödnek kemény kérdéseket kellene feltennie erről.
Az egyetlen valódi megoldás
Pontosan egy módja van annak, hogy garantált védelmet kapj a CLOUD Act-kérelmek ellen: olyan szolgáltatókat használj, amelyek egyáltalán nem esnek amerikai joghatóság alá. Nem EU-s adatközpontokat, amelyeket amerikai cég üzemeltet. Nem amerikai tech-óriások európai leányvállalatait. Valóban európai tulajdon és infrastruktúra felülről lefelé.
Egy Európában bejegyzett, európai tulajdonosok által birtokolt cég, amerikai anyavállalat és kontrolljoggal rendelkező amerikai befektetők nélkül egyszerűen nem kaphat CLOUD Act-kérelmet. A törvény nem vonatkozik rá. Nincs feloldandó konfliktus, mert nincs amerikai joghatóság, amely létrehozná.
A szokásos biztonsági intézkedések — titkosítás, hozzáférés-szabályozás — a hackerek és belső fenyegetések ellen védnek. Jogi kérelem ellen, amelyet szövetségi hatalom támogat, semmit sem tesznek. A szolgáltatónál vannak a kulcsok, és ha a törvény kötelezi, használja őket. Az egyetlen védelem, amely tényleg működik, strukturális: kívül lenni azon a joghatóságon, amely a kérelmet kiadta.
Ezért építettük a DentroChatot. Azt akartuk nyújtani, amit az amerikai alternatívák nem tudnak: valódi európai adatvédelmet, amely nem marketingígéretekre vagy szerződéses kerülőutakra épül. A szervereink Németországban vannak. Felhőszolgáltatóink európai cégek, amelyek nem esnek amerikai joghatóság alá. Nincs amerikai anyavállalat, nincsenek kontrolljoggal rendelkező amerikai befektetők, nincs jogi horog, amely a CLOUD Act hatókörébe hozna minket.
Ha a DentroChatot használod, a CLOUD Act egyszerűen nem vonatkozik ránk. Ilyen kérelmek jogilag eleve nem intézhetők hozzánk. Az európai AI-szolgáltatók olyan jogi biztonságot kínálnak, amelyet az amerikai szolgáltatók strukturálisan nem tudnak felülmúlni.
A CLOUD Act és az EU-s adatok alapvető problémája nem oldható meg jobb adatvédelmi szabályzatokkal vagy erősebb szerződésekkel. Csak olyan szolgáltatók választásával, amelyek teljesen kívül esnek az amerikai joghatóságon. Ez az egyetlen válasz, amely tényleg működik.