A The Register beszámolója szerint a Microsoft Franciaország képviselői a francia Szenátus előtt beismerték, hogy az Egyesült Államok jogszabályai – különösen a Cloud Act – értelmében a vállalat nem tudja maradéktalanul garantálni az európai ügyfelek adatainak szuverenitását. Ez komoly kérdéseket vet fel a digitális függetlenség és a nemzeti biztonság területén.

A Cloud Act háttere

A Cloud Act (Clarifying Lawful Overseas Use of Data Act), amelyet 2018-ban írt alá az amerikai elnök, felhatalmazza az Egyesült Államok hatóságait, hogy amerikai technológiai cégektől – köztük a Microsofttól, a Google-től vagy az AWS-től – digitális adatokat kérjenek ki, függetlenül attól, hogy azok az Egyesült Államokban vagy külföldön található szervereken vannak-e tárolva.
Ez a törvény közvetlen következménye annak, hogy a Szövetségi Nyomozó Iroda (FBI) korábban jogi nehézségekbe ütközött, amikor külföldi szervereken tárolt adatokhoz próbált hozzáférni – például egy 2016-os ír szervereken tárolt e-mail-ügy kapcsán.

A Microsoft álláspontja

A francia Szenátus június 18-i meghallgatásán Anton Carniaux, a Microsoft Franciaország jogi és közpolitikai igazgatója, valamint Pierre Lagarde, a közszféra technikai igazgatója hangsúlyozta, hogy a cég szerződésben vállalta ügyfelei felé: minden megalapozatlan adatigényt jogi úton megkísérel visszautasítani.

Carniaux kiemelte, hogy a vállalat már az Obama-adminisztráció idején több alkalommal vitte a kérdést a Legfelsőbb Bíróság elé, és ennek köszönhetően ma szigorúbb feltételek mellett tehet eleget egy-egy kormányzati megkeresésnek. Ugyanakkor beismerte:

„Nem tudom garantálni, hogy a francia állampolgárok adatai minden körülmények között védve lesznek egy amerikai jogi megkereséstől.”

A Microsoft ugyanakkor hozzátette, hogy eddig nem érkezett amerikai kormányzati adatigénylés az Európában tárolt ügyféladatok kapcsán.

Adatszuverenitás kontra adatrezidencia

A vita központi eleme az adatszuverenitás: vagyis hogy egy ország polgárainak és intézményeinek adatai felett kizárólag a saját törvényei és hatóságai rendelkezzenek. A Microsoft és más amerikai óriáscégek gyakran a „data residency” (adatrezidencia) kifejezést használják, amely inkább az adatok földrajzi elhelyezkedésére vonatkozik. A Cloud Act azonban világossá teszi, hogy az adatok fizikai helye nem feltétlenül biztosítja a jogi védelmet.

Mark Boost, a Civo vezérigazgatója szerint:

„A Microsoft beismerte, amit sokan eddig is sejtettek: az amerikai jog alapján a hatóságok hozzáférhetnek az adatokhoz, függetlenül attól, hogy azok az Egyesült Királyságban, Franciaországban vagy más európai országban találhatók.”

AWS és OVH reakciói

Az Amazon Web Services (AWS) a vitákra reagálva közleményben hangsúlyozta, hogy a Cloud Act nem biztosít automatikus és korlátlan hozzáférést a felhőben tárolt adatokhoz, hanem minden esetben bírósági engedélyhez kötött. Hozzátették, hogy vállalati és kormányzati ügyféladatokat eddig még nem adtak ki a törvény alapján.

A francia központú OVHcloud viszont arra figyelmeztetett, hogy a kérdés valós, és a digitális szuverenitás mára megkerülhetetlenné vált. A cég szervezeti struktúráját úgy alakította át, hogy amerikai leányvállalata teljesen függetlenül működjön az európai központtól, így az amerikai hatóságok jogi megkeresései csak az USA-ban működő ügyfelekre vonatkozhatnak.

Európai törekvések a digitális függetlenség felé

A Microsoft és versenytársai ígéretet tettek arra, hogy több adatközpontot építenek Európában, és technikai megoldásokkal igyekeznek minimalizálni az adatok Európán kívüli áramlását. Ugyanakkor a francia Szenátus meghallgatása rávilágított: az európai kormányok és intézmények egyre inkább felismerik, hogy a szuverén felhőinfrastruktúra létrehozása elengedhetetlen a nemzeti érdekek védelméhez.

Az EU-ban már most zajlanak olyan kezdeményezések, amelyek célja a helyi, „homegrown” megoldások előtérbe helyezése, ezzel csökkentve a túlzott függőséget az amerikai óriásvállalatoktól.

A Microsoft franciaországi nyilatkozata mérföldkő lehet az európai digitális szuverenitás körüli vitában. Bár a cég hangsúlyozza, hogy eddig nem került sor európai adatok kiadására amerikai hatóságoknak, beismerte: teljes körű garanciát erre nem tud adni. Ez a kijelentés megerősíti, hogy a Cloud Act és más extraterritoriális amerikai törvények komoly kihívást jelentenek az európai jogrend és adatvédelem számára.

Az ügy politikai és gazdasági következményei messze túlmutatnak a felhőszolgáltatások technikai részletein, és a következő években meghatározhatják Európa digitális jövőjét.