Debesų kompiuterijos įstatymas ir generatyvinis dirbtinis intelektas: kas iš tikrųjų nusprendžia, kur saugomi jūsų duomenys?

Įklijuojate konfidencialų dokumentą į „ChatGPT“ arba „Copilot“. Sutarties juodraštis, maržų lentelė, strateginis memorandumas. Šįvakar tas dokumentas yra Amerikos serveryje. Ir Amerikos teisingumo sistema gali prie jo prisijungti, net jei jis fiziškai saugomas Europoje. Jis turi pavadinimą: Debesijos įstatymas.

Mačiau, kaip vadovai šią realybę atrado derybų įkarštyje. Per vėlu kelti prieglobos klausimą. Duomenų suverenitetas nėra IT skyriaus atsakomybė; tai vadovybės sprendimas, kaip ir banko ar draudimo bendrovės pasirinkimas. Štai kodėl ir, svarbiausia, ką daryti.

Debesijos įstatymas – įstatymas, kurio niekas neskaito prieš įkeldamas dokumentą į pokalbių robotą.

Moteris, sėdinti šalia dirbtinio intelekto roboto

Svarbiausios išvados

  • Debesijos įstatymas (2018 m.) leidžia JAV valdžios institucijoms reikalauti bet kurio teikėjo, kuriam taikomi JAV įstatymai, saugomų duomenų, net jei jie saugomi Europoje, nepranešant jums. Tai paveikia „ChatGPT“, „Copilot“, „Gemini“ ir „Claude“.
  • BDAR 48 straipsnis iš principo prieštarauja tokiam atskleidimui, tačiau už neteisėtą duomenų perdavimą atsakinga jūsų įmonė, kaip duomenų valdytojas: iki 20 mln. EUR arba 4 % pasaulinės apyvartos.
  • 2026 m. balandžio 17 d. Europos Komisija skyrė suverenaus debesijos paslaugų teikimo sutartį (180 mln. EUR, 6 metams) keturioms Europos grupėms – ypač „OVHcloud“, „Scaleway“ ir „STACKIT“, – remdamasi suvereniteto atskaitos sistema (SEAL), kurią gali pakartotinai naudoti bet kuri įmonė.
  • Šešėlinis dirbtinis intelektas yra labai paplitęs: 61 % darbuotojų naudojasi dirbtiniu intelektu per asmenines paskyras; 54 % nedeklaruotų įrankių yra įsisavinę neskelbtinus duomenis.
  • Trys valdymo sprendimai: klasifikuoti duomenis pagal jautrumą, rezervuoti suverenų arba vietinį tinklą strateginiams duomenims („Mistral“, „SecNumCloud“ talpinimas, diegimas vietoje) ir arbitražo teisę palikti Vykdomajam komitetui.

Kas parašyta tekste, be žargono

2018 m. kovo 23 d. JAV Kongresas priėmė Teisėto Duomenų Naudoti Užsienyje Naudojimo Įstatymą. Juo iš dalies keičiamas 1986 m. Saugomų Ryšių Įstatymas ir išsprendžiama seniai FTB rūpima problema: kaip gauti Amerikos bendrovės užsienyje saugomus duomenis netaikant lėtų tarptautinės savitarpio teisinės pagalbos procedūrų.

Atsakymą galima apibendrinti vienu sakiniu: JAV valdžios institucijos gali reikalauti, kad paslaugų teikėjas, kuriam taikomi JAV įstatymai, perduotų jo turimus ar kontroliuojamus duomenis, neatsižvelgiant į tai, kur tie duomenys saugomi. Serveris Frankfurte, duomenų centras Paryžiuje, debesijos regionas „Vakarų Europoje“: nesvarbu. Svarbu paslaugų teikėjo teisinė pilietybė, o ne geografinė mašinų vieta.

Du pagrindiniai dalykai, kurie viską pakeičia. Pirma, procedūra nereikalauja informuoti atitinkamos įmonės: niekada nesužinosite, kad prie jūsų duomenų buvo prieita. Antra, taikymo sritis yra plati: Amerikos įmonės, jų dukterinės įmonės ir potencialiai bet kuri užsienio įmonė, turinti reikšmingą komercinę veiklą Jungtinėse Valstijose.

„ChatGPT“, „Copilot“, „Gemini“, „Claude“: ta pati sistema

„OpenAI“, „Microsoft“, „Google“ ir „Anthropic“ yra pagal JAV įstatymus įregistruotos bendrovės. Todėl jų generatyviniams dirbtinio intelekto asistentams – „ChatGPT“, „Copilot“, „Gemini“ ir „Claude“ – taikomas Debesijos įstatymas, net jei jie siūlo talpinimą Europoje. Airijos duomenų centras, kurį valdo JAV subjektas, lieka JAV teismų jurisdikcijoje. Tai yra pats ekstrateritorialumo principas: įstatymas vadovaujasi bendrove, o ne serveriu.

Kompiuteris su „Copilot“ logotipu ir „Excel“ programa

Praktiškai kiekvienas el. laiškas, kuriame yra jūsų klientų bylų, kainodaros informacijos, mokslinių tyrimų ir plėtros darbų ar darbuotojų asmens duomenų, yra duomenų perdavimas subjektui, kuriam taikoma užsienio teisė. Jūsų duomenys keliauja toliau nei jūs. Ir tam nereikėjo jūsų sutikimo.

BDAR jūs esate duomenų valdytojas, o ne jūsų tiekėjas.

48 straipsnis – labiau teorinis nei praktinis užraktas

Europos teisė neignoravo šios problemos. BDAR 48 straipsnyje nustatyta, kad trečiosios šalies institucijos sprendimas, reikalaujantis atskleisti asmens duomenis, gali būti pripažintas tik tuo atveju, jei jis pagrįstas tarptautiniu susitarimu, paprastai savitarpio teisinės pagalbos sutartimi. Tačiau Debesijos įstatymas yra vienašalis JAV įstatymas, o ne sutartis. Jau 2019 m. Europos duomenų apsaugos valdyba (EDAV) ir Europos duomenų apsaugos priežiūros pareigūnas (EDPP) savo bendroje analizėje padarė išvadą, kad prašymas, pagrįstas vien Debesijos įstatymu, nėra tinkamas duomenų perdavimo pagrindas.

Tuščias popieriaus lapas su užrašu „BDAR“.

Taigi Amerikos tiekėjas susiduria su dviem prieštaringais teisiniais įsakymais: paklusti Amerikos teisėjui ir pažeisti BDAR arba atsisakyti ir rizikuoti sankcijomis Jungtinėse Valstijose. Spėkite, kuria kryptimi pasisuks įmonė, kurios būstinė, vadovybė ir didžioji dalis pajamų yra iš Amerikos.

Šremsas II, Meta: už kitus sąskaita jau apmokėta

Ši įtampa neapsiribojo vien akademine bendruomene. 2020 m. liepos 16 d. Europos Sąjungos Teisingumo Teismas Schrems II byloje panaikino „Privatumo skydą“, remdamasis tuo, kad Amerikos stebėjimo programos negarantuoja apsaugos, lygiavertės Europos teisės aktų numatytai apsaugai. 2023 m. gegužės mėn. Airijos duomenų apsaugos institucija skyrė „Meta“ 1,2 mlrd. eurų baudą už neteisėtą asmens duomenų perdavimą į Jungtines Valstijas. CNIL (Prancūzijos duomenų apsaugos institucija) dėl tų pačių priežasčių taip pat išsiuntė oficialius pranešimus Prancūzijos organizacijoms, naudojančioms „Google Analytics“.

Portfelis su 500 eurų vertės banknotais ir antrankiais

Ir štai ko daugelis vadovų neįvertina: kaip duomenų valdytojas, už duomenų perdavimo teisėtumą atsakinga jūsų įmonė, o ne „OpenAI“ ar „Microsoft“. EDAV 2020 m. sausio mėn. rekomendacijose reikalaujama įvertinti jūsų duomenų tvarkytojų poveikį ekstrateritoriniams įstatymams ir dokumentuoti papildomas priemones, įskaitant šifravimą naudojant raktus, kurių paslaugų teikėjas negali pasiekti. To nepadarius, pagal BDAR 83 straipsnį gali būti skirtos baudos, kurios siekia 20 mln. EUR arba 4 % jūsų pasaulinės metinės apyvartos. Paslaugų teikėjas renka jūsų prenumeratos mokesčius; jūs prisiimate riziką.

2026 m. balandis: Europa balsavo savo pinigine

Tai nebėra ekspertų diskusijų objektas. 2026 m. balandžio 17 d. Europos Komisija paskelbė apie savo suverenios debesijos pagrindų sutarties – 180 mln. eurų per šešerius metus pagal „Cloud III“ iniciatyvą – skyrimą keturiems išskirtinai Europos konsorciumams: „Post Telecom“ su „OVHcloud“ ir „CleverCloud“, Vokietijos bendrovei „STACKIT“, Prancūzijos bendrovei „Scaleway“ ir „Proximus“, bendradarbiaujančiai su „S3NS“, „Clarence“ ir „Mistral“. AWS, „Microsoft Azure“ ir „Google Cloud“, kurios anksčiau dominavo institucinėse sutartyse, nėra tarp tiesioginių sutarties gavėjų.

Atidaryta piniginė su 50 eurų banknotais

Norėdamas atlikti atranką, Briuselis sukūrė unikalią priemonę: Debesijos suvereniteto sistemą, kuri suverenitetą vertina pagal SEAL skalę nuo 0 iki 4. SEAL-3, kurį gavo trys iš keturių laimėjusių tiekėjų, reikalauja, kad joks ne Europos subjektas neturėtų veto teisės, duomenų prieigos sąlygos ar techninių galimybių nutraukti paslaugos teikimą. Kitaip tariant, imunitetas nuo Debesijos įstatymo tapo išmatuojamu ir vykdytinu viešųjų pirkimų kriterijumi. Ši sistema yra vieša – galite ją laisvai naudoti savo konkursuose. Prancūzija eina tuo pačiu keliu: „Valstybinio debesies“ doktrina, peržiūrėta 2026 m. kovo mėn., įpareigoja, kad jautrūs vyriausybės duomenys būtų saugomi infrastruktūrose, kurias Prancūzijos nacionalinė kibernetinio saugumo agentūra (ANSSI) sertifikavo kaip „SecNumCloud“.

Kai Europos Komisija, ECB ir apie penkiasdešimt agentūrų atsisako patikėti savo darbo krūvį tiekėjams, kuriems taikomi JAV įstatymai, šį klausimą bent jau verta iškelti jūsų valdymo komitete.

Tuo tarpu jūsų biuruose: šešėlinis dirbtinis intelektas

Kol Europa tvarko savo skaitmeninį suverenitetą, kas vyksta jūsų šalyje? Remiantis „YouGov“ atliktu tyrimu „Microsoft France“ užsakymu (2026 m. sausio mėn., 657 vadovai ir vykdomieji darbuotojai), 80 % vadovų naudoja generatyvinį dirbtinį intelektą bent kartą per savaitę, o 61 % darbuotojų prie jo prisijungia per asmenines paskyras, neperžengdami IT ribų, o 38 % jį naudoja kasdien. Daugiau nei septyni iš dešimties vadovų negavo jokių mokymų.

Žmogus, einantis tolumoje mieste

Tai vadinama šešėline dirbtinio intelekto technologija, kuri dievina jūsų slaptus duomenis. „Netwrix 2026“ ataskaitoje apskaičiuota, kad 54 % įmonėse aptiktų nedeklaruotų dirbtinio intelekto įrankių buvo prariję slaptus duomenis: šaltinio kodą, klientų bylas ir reglamentuojamus dokumentus. „Netskope“ apskaičiuoja vidutiniškai 223 incidentus per mėnesį kiekvienoje įmonėje, kai į generatyvinius dirbtinio intelekto įrankius buvo siunčiami slapti duomenys. O „EQS Group“ 2026 m. privatumo barometras tai pabrėžia: 80 % organizacijų aiškiai nesupranta, kaip jos naudoja dirbtinį intelektą, ir tik 32 % tų, kurios vykdo dirbtinio intelekto projektus, yra atlikusios duomenų apsaugos poveikio vertinimą (DPAV).

Atlikite skaičiavimus savo organizacijai. Jei jūsų komandos bent kiek panašios į Prancūzijos vidurkį, dalis jūsų sutarčių, žmogiškųjų išteklių duomenų ir tyrimų bei plėtros jau buvo išsiųsti į serverius, kuriems taikomas Debesijos įstatymas. Be jokio sprendimo. Be jokių pėdsakų jūsų... gydymo registrasNeinformuojant jūsų duomenų apsaugos pareigūno.

Norite sužinoti, kas iš tikrųjų duoda naudos iš jūsų įmonės? „Viqtor®“ ekspertai padės jums suplanuoti dirbtinio intelekto naudojimą ir duomenų perdavimą.

Trys sprendimai, kuriuos reikia priimti ir kurie turi būti palikti vadovybės lygmeniu

Keli pažymėti takai, kurie susipainioja

1. Rūšiuokite duomenis pagal jautrumą

Ne viskas yra vienoda. Produkto brošiūrą galima perduoti bet kokia priemone; jūsų klientų duomenų bazė, jūsų pelno maržos, jūsų pardavimų kanalas ir jūsų tyrimų ir plėtros darbas negali. Sukurkite paprastą klasifikaciją – pakanka trijų lygių: viešasis, vidinis, strateginis / reguliuojamasis – ir pagrįskite ją realiu pavyzdžiu. duomenų valdymas Kas gali ką siųsti, kokiu įrankiu ir su kokiu patvirtinimu? Be šio susiejimo bet kokia dirbtinio intelekto politika lieka tik svajonių svajonėmis.

2. Dėl jautrių klausimų reikalaukite valdovo arba vietos valdžios.

Jau egzistuoja patikimos alternatyvos. Prancūzijos bendrovė „Mistral AI“ apdoroja duomenis Europos serveriuose, kuriems netaikomas Debesijos įstatymas, teikdama įmonių pasiūlymus, kurie gali panaudoti „SecNumCloud“ sertifikuotą infrastruktūrą. Prancūzijos ginkluotųjų pajėgų ministerija 2026 m. sausio mėn. jai pavedė diegti generatyvinį dirbtinį intelektą Prancūzijos ginkluotosiose pajėgose. Jos atvirojo svorio modelius netgi galima diegti jūsų pačių serveriuose: duomenys niekada nepalieka jūsų infrastruktūros. Kalbant apie talpinimą, OVHcloud, Scaleway ir Outscale siūlo Europos talpinimą, apsaugotą nuo JAV ekstrateritorinio veikimo. Šiek tiek mažiau sudėtingas suverenios DI yra geresnis pasirinkimas nei pažangiausias DI, kuris atskleidžia jūsų vertingiausią turtą. Ne slaptiems tikslams JAV įrankiai lieka tinkami – jei tai yra dokumentuotas pasirinkimas, reglamentuojamas subrangovo sutarties, atitinkančios 28 straipsnį.

3. Arbitražą išlaikyti Vykdomojo komiteto lygmeniu

Kur keliauja jūsų duomenys, nėra techninis klausimas. IT vadovas optimizuoja išlaidas ir našumą; paslaugų teikėjas parduoda savo katalogą. Duomenų pažeidimo ar neteisėto perdavimo atveju nė vienas iš jų nebus atsakingas CNIL (Prancūzijos duomenų apsaugos tarnybai), jūsų akcininkams ar klientams. Jūs būsite atsakingi. Sprendimą, kaip suderinti įrankių galią su informacinių išteklių kontrole, priima vyresnioji vadovybė, remiama... BDAR auditas rimtumas, nuolatinis jūsų vertinimas subrangovai ir partneriai ir dokumentuoti BDAR procesai — Įtrauktas AIPD dėl rizikingo dirbtinio intelekto naudojimo.

Galingiausias dirbtinis intelektas yra bevertis, jei dėl jo prarandate kontrolę to, kas jus daro vertingus: savo duomenų. Tikrasis šio vakaro klausimas paprastas: ar jautriausi jūsų duomenys yra jūsų pačių, ar kažkieno kito?

„Viqtor®“ padeda jums atgauti kontrolę: apdorojimo veiklos žemėlapis, dirbtinio intelekto teikėjų vertinimas, BDAR atitiktis, valdoma iš suverenios 100 % platformos.

DUK – Jūsų klausimai apie BDAR auditą

Taip. Debesų kompiuterijos įstatymo kriterijus yra teisinė teikėjo pilietybė, o ne serverių vieta. Paryžiaus duomenų centras, kurį valdo Amerikos bendrovė arba jos dukterinė įmonė, ir toliau yra reglamentuojamas Amerikos reglamentų. Tik teisėtai veikiantis Europos teikėjas, neturintis jokios Amerikos kontrolės, struktūriškai išvengia šio ekstrateritoriškumo.

Ne, ne pats savaime. Tačiau norint tvarkyti asmens duomenis, reikalinga duomenų tvarkytojo sutartis, atitinkanti 28 straipsnį, duomenų perdavimo rizikos vertinimas (po Schrems II bylos), prireikus papildomos priemonės ir didelės rizikos naudojimo atvejais poveikio duomenų apsaugai vertinimas (DPAV). Pažeidimą sukuria ne pats įrankis, o ne nereglamentuojamas naudojimas – šešėlinis dirbtinis intelektas.

Jūsų įmonė, kaip duomenų valdytoja, yra atsakinga už savo subrangovų pasirinkimą ir duomenų perdavimo teisėtumo užtikrinimą CNIL (Prancūzijos duomenų apsaugos institucijoje). Tiekėjas turi savo įsipareigojimų, tačiau jie neatleidžia jūsų nuo atsakomybės: baudos pagal BDAR 83 straipsnį pirmiausia taikomos šaliai, kuri nustato tvarkymo tikslus ir priemones.

Dirbtinis intelektas, kurio teikėją, prieglobą ir valdymą išimtinai reglamentuoja Europos teisė: Europos įmonė, serveriai yra ES ir jokia ne Europos subjektė neturi prieigos prie duomenų. „Mistral AI“ yra sėkmingiausias tokio sprendimo pavyzdys Prancūzijoje. Kitas lygis apima atvirojo svorio modelio diegimą jūsų pačių infrastruktūroje: duomenys niekada nepalieka jūsų patalpų.

Tai padeda, bet tik su viena griežta sąlyga: šifravimo raktai turi likti neprieinami paslaugų teikėjui. Tai pagrindinė techninė priemonė, pripažinta 2020 m. sausio mėn. Europos duomenų apsaugos valdybos (EDAV) rekomendacijose. Tačiau naudojant generatyvinį dirbtinį intelektą ši apsauga neveikia: norėdamas apdoroti jūsų užklausą, modelis turi nuskaityti jūsų duomenis paprastu tekstu. Šifravimas apsaugo saugyklą, o ne išvadas.

Procesas prasideda nuo pradinio įvertinimo: kokie įrankiai iš tikrųjų naudojami, kas juos naudoja ir su kokiais duomenimis. Po to atliekama klasifikacija pagal jautrumą, naudojimo chartija, patvirtintų įrankių (suverenių įrankių jautriems duomenims) parinkimas, tvarkymo registro atnaujinimas ir didelės rizikos atvejais atliekamas duomenų apsaugos poveikio vertinimas (DPAV). BDAR auditas, kurį atlieka tokia platforma kaip „Viqtor®“, apima šiuos veiksmus, nereikalaujant mėnesių vidinių išteklių.

lt_LTLT