Суверенитет данных стал вопросом дипломатии: Контроль, совместимость и архитектура цифрового суверенитета, часть 2

(Окончание, начало см. https://rusrim.blogspot.com/2026/04/1_20.html )

Роль стандартов становится ключевой

Именно здесь вступают в игру технические стандарты, роль которых часто не анализируется в достаточной степени.  

Закон может устанавливать, что данные должны быть защищены, что должна сохраняться возможность надзора и контроля, что подотчётность должна быть доказуемой. Законодательство, однако, не специфицирует форматы журналов аудита, структуры метаданных, профили шифрования, механизмы аудита или же практику документирования жизненного цикла. Это делают стандарты.

Стандарты транслируют политические намерения в техническую архитектуру. Возьмем, к примеру, широко применяемый стандарт менеджмента информационной безопасностью ISO/IEC 27001: в оперативной деятельности он реализует управление рисками в виде мер и средств контроля и управления, для которых возможно проведение аудита и которые могут быть верифицированы в нескольких юрисдикциях. Рамочные концепции защиты персональных данных, такие как ISO/IEC 27701, встраивают законодательно-нормативные требования - в том числе вытекающие из законов о защите персональных данных (например, европейского GDPR или CCPA - закона штата Калифорния, США) - в системы стратегического управления, которые функционируют независимо от физического местоположения данных. 

Мой комментарий: Здесь упомянут стандарт ISO/IEC 27701:2025  «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Системы менеджмента персональных данных - Требования и рекомендации» (Information security, cybersecurity and privacy protection - Privacy information management systems — Requirements and guidance, см. https://www.iso.org/standard/27701 и https://www.iso.org/obp/ui/en/#!iso:std:85819:en , а также мой пост http://rusrim.blogspot.com/2024/08/isoiec-dis-27701.html 

Стандарты управления документами, такие как ISO 15489 (есть российская адаптация: ГОСТ Р ИСО 15489-1-2019 – Н.Х.) способствуют обеспечению возможности подтверждать подлинность, целостность и происхождение данных с течением времени. Новые стандарты в области ИИ, включая те, что разрабатываются техническим подкомитетом ИСО/МЭК JTC1/SC42, начинают устанавливать концепции ведения журналов аудита, документирования и надзора, которые обеспечивают возможность аудита автоматизированных систем - необходимое условие для эффективного суверенного надзора над ИИ.

Когда данные пересекают границы, то при использовании общих стандартов совместимость может быть сохранена, а контроль может быть структурирован, а не отменён. Эти две цели не являются принципиально несовместимыми; они становятся несовместимыми лишь тогда, когда суверенитет определяется исключительно в географических терминах, а не в понятиях демонстрируемого управления.

Рассмотрим в качестве конкретного примера инициативы по созданию суверенных облачных решений. Французская сертификация SecNumCloud и немецкий проект Gaia-X представляют собой попытки определить суверенитет не только на основе местоположения серверов, но и на основе того, кто может получить к ним доступ, на каких правовых условиях и с какой степенью прозрачности. Физическое расположение сервера на территории страны не гарантирует автоматически значимого контроля. Суверенитет требует демонстрируемого, доказуемого управления - определенных механизмов управления доступом, прозрачного протоколирования в журналах аудита, обязательных к реализации мер по сохранению сведений для аудита, документированных систем менеджмента. В отсутствие стандартизированных механизмов верификации этих свойств, суверенитет становится символическим; при их наличии он становится измеримым, с возможностью обеспечить его уважение за пределами национальных границ.

Та же логика применима и в отношении ИИ. Если обучающие данные, обновления моделей и поведение системы не могут быть задокументированы и реконструированы структурированным образом, контроль и надзор становятся ненадёжными независимо от того, где была разработана или развёрнута модель. Суверенная власть над системами ИИ в конечном итоге зависит от возможности реконструировать произошедшее - и это в равной степени и юридическая проблема, и проблема стандартов.

О чём сигнализирует вовлечение дипломатии 

Дипломатическая реакция США сигнализирует о том, что суверенитет данных теперь твёрдо закрепился в качестве одного из аспектов геополитической стратегии. При этом возможны два различных сценария будущего, и реальный исход не будет определяться одними только торговыми переговорами.

В первом сценарии страны будут использовать несовместимые технические архитектуры - каждая страна будет обеспечивать свой суверенитет посредством локализации, каждая будет вводить различающиеся режимы исполнения законодательно-нормативных требований, и каждая будет рассматривать интероперабельность как уступку, а не как цель проектирования. Результатом станет фрагментированный цифровой порядок: более высокие затраты, замедление инноваций, снижение коллективной способности управлять трансграничными угрозами, а также глобальный интернет, который будет функционировать не столько как инфраструктура, сколько как совокупность огороженных рынков.

Во втором сценарии стремление к обеспечению суверенитета ускорит инвестиции в стандарты, которые сделают свойства управления верифицируемыми в разных юрисдикциях. Страны признают, что физическое местоположение данных имеет меньшее значение, чем юридическая ответственность за то, как они обрабатываются, - и что единые для всех технические концепции являются тем механизмом, посредством которого обеспечивается такая подотчётность. На этом пути сохраняется интероперабельность, и одновременно государствам предоставляются необходимые для осуществления эффективного надзора и контроля журналы аудита, меры и средства управления доступом и документация.

Различие между этими вариантами будущего будет определяться не дипломатическими заявлениями, а техническими архитектурами, которые либо дадут возможность сосуществовать контролю и совместимости, - либо заставят сделать выбор между ними.

Государства продолжат настаивать на возможности контроля, экономики продолжат требовать совместимости, и стандарты – это единственный масштабируемый механизм, способный согласовать эти требования. Успешность этого согласования определит, станет ли следующий этап цифрового порядка этапом управляемой взаимозависимости, или же этапом ускоренной фрагментации.

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/data-sovereignty-just-went-diplomatic