Суверенитет данных: объяснение

Суверенитет данных означает право распоряжаться данными и служит собирательным термином для многих аспектов, связанных с обработкой цифровых данных — включая защиту данных, шифрование, передачу и хранение. Каждый, кто хранит данные в облаке или пользуется ИТ-услугами внешних поставщиков услуг, должен обеспечить соответствующие меры защиты данных и ознакомиться с правовыми нормами. Каковы требования к суверенитету данных и как его поддерживать?

Суверенитет данных — это юридический термин, который относится к правовым нормам, касающимся данных. Он тесно связан с защитой данных, облачными вычислениями и технологическим суверенитетом. Законы о суверенитете данных устанавливают правила, определяющие полномочия правительств и компаний по распоряжению цифровыми пользовательскими и деловыми данными. Таким образом, суверенитет данных относится к следующим вопросам:

• Кому принадлежат данные?
• Кому разрешено хранить данные?
• Как можно хранить данные?
• Как можно использовать данные?
• Как защищаются данные?
• Что происходит в случае неправомерного использования данных?

Поскольку все большее число малых и средних компаний ценят облачные вычисления, то есть аутсорсинг данных и технологий компании на внешние серверы, важность суверенитета данных нельзя недооценивать. Если серверы расположены в странах, где правила защиты данных не соответствуют европейским стандартам, вопрос о суверенитете данных должен быть четко прояснен.

Преимущества облачных вычислений хорошо известны. Однако как только конфиденциальные данные хранятся не внутри компании, а на внешних серверах и, возможно, в других странах, возникают вопросы о безопасности данных и праве собственности на них.

Если это не оговорено в договоре, сторонним провайдерам может быть разрешено анализировать и продавать данные. В ЕС компании, обрабатывающие персональные данные, обязаны гарантировать высочайший уровень безопасности данных. Поэтому надежная защита данных и современное руководство по соблюдению нормативных требований имеют большое значение. Как для компаний, которые передают свои ИТ на аутсорсинг, так и для компаний, предоставляющих ИТ-услуги. Если компания теряет суверенитет данных или пренебрегает им, это может иметь серьезные юридические последствия.

В Интернете, в корпоративных сетях и в облаке данные могут принимать следующие три стадии:

• Используемые данные: данные, используемые в настоящее время
• Данные в движении: Данные, которые передаются в данный момент
• Данные в состоянии покоя: Данные, хранящиеся локально или в облаке

Раньше суверенитет данных обсуждался в основном в связи с данными в состоянии покоя, т.е. хранимыми данными. Сегодня применяются различные стандарты: безопасность данных, безопасность ревизии и суверенитет данных применяются независимо от места хранения, особенно когда внешние провайдеры обрабатывают данные компании. Компании должны сохранять суверенитет данных на всех трех этапах. Этот высокий стандарт защиты данных может быть реализован с помощью программного обеспечения для шифрования, которое гарантирует, что только избранные компании смогут расшифровать конфиденциальные зашифрованные данные.

Во времена цифровизации компании государственного сектора и компании, работающие в рамках свободной экономики, должны соблюдать два основных правила, чтобы гарантировать безопасность данных:

1. ИТ-инфраструктура должна быть безопасной, гибкой и постоянно обновляться.
2. Необходимо гарантировать суверенитет над данными клиентов, пользователей и бизнеса.

При наличии соответствующих гарантий и договорных соглашений компании могут защищать коммерческую тайну и обрабатывать персональные данные в соответствии с директивами ЕС по защите данных. Компании всегда должны знать, как сторонние поставщики услуг обрабатывают данные и какие права на их использование они имеют. Поскольку в вопросе суверенитета данных также существуют правовые неопределенности и «серые зоны», следует договорным образом регулировать, что происходит с данными и как они хранятся, обрабатываются и передаются.

Пример:

Если производственная компания хочет повысить свою производительность, она может воспользоваться облачными и веб-услугами поставщика управляемых услуг. С помощью анализа данных этот провайдер может, например, делать прогнозы по задачам технического обслуживания и определять потенциал оптимизации компании.

Хотя в этом случае компания-заказчик должна обладать суверенитетом данных, это не означает, что она обязательно имеет доступ ко всем аналитическим данным компании-заказчика. Если иное не оговорено в контракте, часть данных может быть использована повторно или продана третьим лицам. В данном случае отсутствие суверенитета данных создает риск безопасности и конкурентные преимущества для компаний.

Небольшие интернет-магазины или крупные производители — оценка данных о клиентах и бизнесе важна для того, чтобы предприятия могли быстро адаптировать производство и услуги в соответствии с ожиданиями и поведением клиентов. Поскольку герметично закрыть данные от доступа третьих лиц стало практически невозможно, необходимы правовые рамки. Помимо индивидуальных договорных соглашений между клиентами и поставщиками услуг, национальные и международные нормативные акты по защите данных, такие как Общий регламент ЕС по защите данных (GDPR), являются руководством по обеспечению суверенитета данных.

В США не существует общего закона о защите данных, который устанавливает основные принципы защиты персональных данных. Хотя в ЕС существуют специальные правила защиты данных для отраслей, защита данных здесь основана на добровольных обязательствах американских компаний. Кроме того, власти США обладают широкими полномочиями по распоряжению данными. Если европейские компании пользуются услугами американских облачных провайдеров или поставщиков веб-услуг, могут возникнуть пробелы в защите данных.

Согласно GDPR, компании, обрабатывающие персональные данные, должны принимать «соответствующие технические и организационные меры для обеспечения уровня защиты, соответствующего риску». Защита данных и суверенитет данных представляют собой сложные задачи для компаний. В частности, может быть трудно найти баланс между защитой корпоративных данных, персональных данных и сильной позицией на рынке. Поскольку GDPR фокусируется в первую очередь на персональных данных, компании должны обеспечить информирование пользователей и их осознанное согласие на обработку их персональных данных. В то же время анализ пользовательских данных является важнейшим фактором успеха для цифровых компаний.

Для гармонизации суверенитета данных, защиты данных и корпоративного успеха рекомендуется нанять сотрудников по защите данных, которые будут следить за суверенитетом данных в вашей компании. Кроме того, следует уточнить, какие рекомендации по защите и использованию данных имеют сторонние компании и компании-партнеры. Политика конфиденциальности является обязательной и должна прозрачно сообщать о ваших мерах по безопасной обработке данных. К основным техническим и организационным мерам относятся:

• псевдонимизация и шифрование данных
• Конфиденциальность и целостность систем
• Техническая устойчивость систем
• Восстановление и доступность данных после технических аварийных ситуаций
• Регулярный обзор, анализ и оценка защитных мер
• Соблюдение и внедрение сотрудниками мер по защите данных

Меры по защите данных в США все еще значительно отстают от европейских аналогов, несмотря на такие инициативы, как Закон США о CLOUD. Власти США могут получить законный доступ к данным без постановления судьи, если они хранятся на серверах, подпадающих под действие закона US CLOUD Act. Это также относится к американским провайдерам с европейскими компьютерными центрами.

Европейская инициатива по созданию инфраструктуры данных с высоким уровнем безопасности, отвечающей требованиям конфиденциальности и готовой к использованию на рынке, называется Gaia-X. Gaia-X сотрудничает с IONOS Cloud и другими компаниями для создания инфраструктуры данных, которая станет европейской альтернативой облачным вычислениям, предоставляемым такими компаниями, как Amazon, IBM, Google, Alibaba или Microsoft. Это позволит компаниям безопасно обрабатывать данные через внутриевропейские вычислительные центры, обеспечит суверенитет данных и предотвратит утечку промышленных и персональных данных к неевропейским субъектам. Инфраструктура должна быть основана на прозрачных, свободно выбираемых сетевых узлах и центрах обработки данных, атрибуты, возможности и требования которых четко описаны. Клиенты должны иметь возможность без труда менять провайдеров, не попадая в зависимость от поставщиков веб-услуг и управляемых услуг или в результате блокировки облаков и поставщиков.