(Экстра)территориальность данных: какой суверенитет нужен Европе?

Авторы начинают с тезиса о том, что гипотеза об отключении европейских или международных пользователей от критически важных цифровых сервисов больше не выглядит фантастикой. В качестве отправной точки приводится ситуация 2025 г., когда на фоне американских санкционных мер в отношении Международного уголовного суда доступ его представителей к ряду цифровых сервисов оказался ограничен. Европа слишком глубоко встроена в инфраструктуры, платформы и программные продукты, находящиеся вне ее юрисдикционного и промышленного контроля. На этом фоне данные рассматриваются не просто как экономический ресурс, а как критический актив для управления, безопасности и прежде всего для развития искусственного интеллекта. Именно поэтому вопрос о том, где данные хранятся, кто ими распоряжается и по какому праву к ним можно получить доступ, выдвигается в центр дискуссии о цифровом суверенитете.

Далее в работе последовательно объясняется, почему традиционная территориальная логика плохо приспособлена к цифровой среде. Авторы подчеркивают, что данные могут одновременно существовать в нескольких юрисдикциях, дробиться, копироваться и перемещаться между центрами обработки без ясной привязки к одной территории. В условиях массового использования облачных сервисов установить «местонахождение» данных в юридически значимом смысле становится все труднее. Отсюда вытекает основное противоречие. Государства пытаются территориализировать цифровое пространство и распространить на него суверенные прерогативы, тогда как сама архитектура сети и облачной обработки размывает привычные границы. В результате возникает конкуренция правопорядков и пересечение различных оснований юрисдикции. Одни государства опираются на территорию, другие на гражданство, третьи на место регистрации или деятельности поставщика услуг. Авторы справедливо показывают, что разговор о локализации данных без учета этой многослойной природы цифровой среды неизбежно оказывается неполным.

Ключевой раздел посвящен американской экстерриториальной правовой практике. По мысли авторов, именно США превратили право в инструмент системного воздействия на мировые потоки данных. Линия прослеживается от Patriot Act после 11 сентября через раздел 702 FISA к CLOUD Act 2018 г. Особое значение придается делу Microsoft Ireland, в котором американская сторона фактически отстаивала право требовать доступ к данным американской компании независимо от того, что они хранятся за пределами США. Авторы подробно разбирают возникшее здесь противоречие между нормотворческой и исполнительной компетенцией. Формально государство может предписывать поведение собственным компаниям, но когда такое предписание приводит к фактическому изъятию данных, размещенных в другой стране, появляется вопрос о вторжении в чужую суверенную сферу. Важен и вывод более общего порядка. Даже там, где юридический спор не закрыт окончательно, сама возможность обращения американских властей к крупнейшим поставщикам услуг уже создает для европейских данных зону уязвимости.

Европейский ответ, как показывают авторы, долгое время строился главным образом вокруг нормативного контура защиты. В этой логике центральное место занял GDPR, который не только регулирует обработку персональных данных в Евросоюзе, но и обладает собственной экстерриториальной силой, распространяясь на компании вне ЕС, если они работают с данными лиц, находящихся на европейской территории. Авторы напоминают и о механизмах передачи данных в третьи страны, в том числе о решениях об адекватности. Отдельно разбирается хрупкость трансатлантических договоренностей. Safe Harbour и Privacy Shield были последовательно аннулированы, а Data Privacy Framework, утвержденный в 2023 г., рассматривается как конструкция, чья устойчивость вновь поставлена под сомнение после кадрового размывания американского контрольного механизма в 2025 г. В этом месте аргументация авторов особенно убедительна. Европейское право способно повышать стандарты защиты, но оно не может само по себе устранить зависимость от внешней инфраструктуры и внешней политической воли.

Самая сильная часть текста связана с анализом облачного рынка. Авторы утверждают, что реальный центр тяжести проблемы находится не столько в правовых формулах, сколько в структурной позиции американских поставщиков. По их данным, три крупнейших американских оператора контролируют около 63 процентов мирового рынка облачных сервисов, а на европейском рынке их доля превышает 70 процентов, тогда как региональные поставщики удерживают лишь около 15 процентов. Авторы справедливо связывают это не просто с коммерческим успехом отдельных компаний, а с их контролем над всей технологической цепочкой, от центров обработки данных до вычислительных мощностей. Показательна и карта размещения облачных зон на стр. 17, которая наглядно показывает плотное инфраструктурное присутствие крупнейших внешних поставщиков на европейской территории. Такая ситуация создает не только правовой риск, но и эффект привязки к поставщику, когда миграция на альтернативные решения становится дорогой и организационно болезненной. Иными словами, даже если данные формально находятся в Европе, вопрос о том, кто в действительности контролирует среду их обработки, остается открытым.

Отдельный интерес представляет раздел о глобальном тренде к локализации данных. Авторы показывают, что Россия и Китай используют локализацию прежде всего как инструмент политического контроля, идеологического управления и усиления государственного надзора. Соединенные Штаты, хотя долго выступали за свободное трансграничное движение данных, тоже начали вводить ограничения, но уже в логике национальной безопасности и недопущения передачи чувствительных массивов в «проблемные» страны. Европейский случай подается иначе. Здесь локализация и регулирование данных привязаны не только к защите, но и к инновации. Через GDPR, Data Governance Act, Data Act, Open Data, AI Act, DMA и DSA Евросоюз строит не закрытую цифровую крепость, а регулируемое пространство обмена, совместного использования и оборота данных. Особенно важен поворот 2025 г., когда новая стратегия «Союза данных» стала прямо связывать управление данными с поддержкой искусственного интеллекта, общими пространствами данных и снижением внутренних барьеров внутри ЕС.

При этом авторы не впадают в иллюзию, будто юридическое ужесточение само по себе способно решить проблему. Напротив, одна из центральных мыслей текста состоит в том, что территориализация данных через право имеет естественные пределы. Данные подвижны, делимы и в значительной степени контролируются не пользователями и не государствами, а поставщиками услуг. Отсюда вырастает авторский тезис о переходе от чисто правового понимания суверенитета к материальному. Если Европа не располагает собственной устойчивой облачной инфраструктурой, собственными вычислительными ресурсами и сопоставимыми по масштабу поставщиками, то любая политика локализации останется частичной. В этом смысле работа удачно разрушает распространенный упрощенный взгляд, будто достаточно «оставить данные в Европе», чтобы вопрос был решен. Авторы последовательно доказывают обратное. Суверенитет данных без контроля над инфраструктурой, рынком и технологическими звеньями оказывается во многом декларативным.

В последней части анализируются европейские ограничения и возможные рычаги действия. Среди ограничений называются хроническое недоинвестирование, фрагментация внутреннего рынка, слабая сопоставимость национальных инициатив и широкое распространение гибридных схем, когда европейские или национальные решения все равно опираются на технологии американских корпораций. В этом контексте авторы упоминают и риск «омовения суверенитетом», когда предложения подаются как суверенные, хотя сохраняют существенную внешнюю зависимость. Показателен и спор вокруг европейской сертификации облачных услуг. Французский SecNumCloud задает высокий стандарт, включая защиту от действия иностранных законов, тогда как общеевропейский механизм пока выглядит значительно мягче. На этом фоне авторы предлагают несколько направлений действий. Речь идет о механизмах обеспечения непрерывности цифровых сервисов в случае внешнего отключения, ускоренном развитии собственных вычислительных и энергетических мощностей, использовании резервных решений по типу «посольств данных», а также о диверсификации международных технологических партнерств. Завершающий вывод вполне ясен. Абсолютный контроль над данными в современных условиях недостижим, но снижение зависимости и выстраивание собственной облачной автономии для Европы вполне возможно, если за этим последуют политическая воля, масштабные вложения и более жесткая координация между государствами Союза.

Размещено: Французский институт международных отношений (Institut français des relations internationales)

Авторы: Эмма Бадауи (EmmaBadaoui), аспирантка в Институте стратегических исследований Военной школы и в Университете Западной Бретани. 

Анн-Тида Нородом (Anne-ThidaNorodom), профессор в Университете Париж Сите, специалист по международно-правовым аспектам цифровой деятельности.

Ссылка.