Đám mây "Chủ quyền" của EU: Thách thức về dữ liệu và pháp lý đối với các nhà cung cấp Mỹ

Đám mây "Chủ quyền" của EU: Thách thức về dữ liệu và pháp lý đối với các nhà cung cấp Mỹ

Trước hết, tôi thực sự không thích thuật ngữ "Chủ quyền" (Sovereignty) vì nó mang nặng ý nghĩa quân sự hóa và chống lại sự tự do di chuyển, cùng với nhiều vấn đề phức tạp khác. Tuy nhiên, đây là thuật ngữ mà ngành công nghiệp đang sử dụng, nên chúng ta đành phải chấp nhận cho đến khi xu hướng này qua đi và có thể lặng lẽ đề xuất một tên gọi khác, giống như cách chúng ta đã thay đổi tên các nhánh git và các thuật ngữ sao chép dữ liệu trước đây. Ngoài ra, việc chính tả của nó cũng khá phiền phức.

Vậy nó là gì và tại sao nó lại quan trọng? Ở mức độ cao nhất, "Chủ quyền EU" có nghĩa là dữ liệu của công dân EU phải được lưu giữ trong khu vực EU. Tất nhiên, vấn đề còn phức tạp hơn thế rất nhiều, nhưng đó là tiền đề cơ bản của tình hình này.

Chúng ta đã xong rồi chứ? Chỉ cần chọn eu-west-1.

Trong trường hợp đó, khu vực eu-west-1 của AWS tại Ireland có vẻ đáp ứng yêu cầu, đúng không? Chúng ta chỉ cần triển khai ứng dụng ở đó và đạt được "chủ quyền"? Thực tế là không, đó chính là phần "phức tạp hơn" mà tôi vừa nhắc đến. Trước hết, AWS (giống như tất cả các nhà cung cấp đám mây khác) có các dịch vụ dựa trên vùng (zone), dựa trên khu vực (region) và quan trọng nhất là các dịch vụ toàn cầu. Ôi không, vậy là nếu bạn sử dụng bất kỳ dịch vụ toàn cầu nào, dữ liệu của bạn sẽ được sao chép từ eu-west-1 sang us-tirefire-1 (tên chính thức là us-east-1) và các khu vực AWS khác trên thế giới.

Vậy thì, chỉ cần không sử dụng dịch vụ toàn cầu là xong, đúng không? Về lý thuyết là vậy, nhưng hãy xem phần pháp lý bên dưới. Ngoài ra, nếu bạn làm việc nhiều với AWS, bạn chắc chắn sẽ phải dùng đến chúng. Ví dụ, S3 là một dịch vụ toàn cầu, và đây là yếu tố "chết người" đối với đa số người dùng. Tệ hơn, toàn bộ quy trình xác thực (auth) trong AWS đều đi qua us-east-1. Đúng vậy, các lần đăng nhập của bạn, các quy tắc "dịch vụ này có thể nói chuyện với dịch vụ kia" đều nằm ở Mỹ. Cả DNS cũng vậy – không dưới 13 dịch vụ của AWS phụ thuộc vào nó để khởi động – DNS đó không nằm trong khu vực của bạn mà nằm ở, bạn đã đoán đúng, us-east-1.

Chà, được thôi, vậy chúng ta dùng khu vực AWS European Sovereign Cloud mới này nhé?

Về vấn đề này… tính đến ngày 21/10/2025, trạng thái của nó vẫn là "Sắp ra mắt". Dự án này đang được triển khai với áp lực rất lớn tại Berlin, với các thời hạn quá lạc quan, và giống như những ai đã từng chờ đợi các khu vực AWS đi vào hoạt động, khả năng cao là khi ra mắt nó sẽ chỉ có một tập hợp con hạn chế các dịch vụ. Hơn nữa, về mặt pháp lý, vấn đề này vẫn đang ở vùng xám như tôi sẽ phân tích dưới đây.

Còn về T-Systems Google Sovereign Cloud thì sao, có vấn đề tương tự không? Google đã đi xa hơn một chút với khu vực này nhưng vẫn đang gặp khó khăn để đạt được sự tương đồng đầy đủ so với các khu vực europe-west3 (Frankfurt, được sử dụng nhiều nhất trong EU) hay europe-west1 (Bỉ, rẻ hơn) của họ. Nó cũng cố gắng – nhưng thất bại – trong việc lẩn tránh các vấn đề pháp lý ở đây.

Microsoft Azure thì sao? Theo tôi hiểu thì họ còn tụt hậu hơn nữa (tôi không có liên hệ với họ vì tôi thường tránh làm việc với Azure).

Vậy những vấn đề pháp lý này là gì?

Đây là phần cốt lõi của vấn đề. Một cách đơn giản, một công ty Mỹ phải tuân theo luật pháp Mỹ. Điều này nghe có vẻ hợp lý, cho đến khi nó mâu thuẫn với luật pháp EU, và đó chính là vấn đề lớn ở đây. Đây là ví dụ điển hình nhất theo tôi:

Theo luật Mỹ, nếu một thẩm phán ra lệnh (hoặc trong một số trường hợp, là chính phủ hoặc cơ quan tình báo), bất kỳ hoạt động nào liên quan đến một tội phạm tiềm ẩn có thể đi kèm với một "lệnh bịt miệng" (gagging order) – buộc những người liên quan về mặt pháp lý không được phép nói về việc này. Lý thuyết đằng sau điều này là nếu ai đó có bằng chứng có thể dẫn đến việc bắt giữ, họ không muốn cảnh báo cho thủ phạm để chúng bỏ trốn. Quan trọng là, hoạt động này có thể là việc tịch thu (bản sao) dữ liệu.

Theo luật EU, nếu dữ liệu của một công dân bị bên thứ ba truy cập, nhà cung cấp bắt buộc phải thông báo cho họ. Không có ngoại lệ.

Đây là trở ngại lớn nhất đã nhiều lần cố gắng được giải quyết: các nguyên tắc Safe Harbour (trong vụ án Schrems I, Tòa án Công lý Châu Âu - CJEU tuyên bố đây là vô hiệu), Khung bảo mật dữ liệu EU-US (trong vụ án Schrems II, CJEU cũng tuyên bố vô hiệu) và Khung quyền riêng tư dữ liệu hiện tại (về việc này tôi không tìm thấy đề cập nào đến lệnh bịt miệng, vì vậy mặc dù nó có thể hoạt động dựa trên việc các công ty Mỹ phải tuân theo luật EU, chưa có vụ án nào thử thách điều này khi luật Mỹ và EU xung đột nhau).

Vậy các giải pháp đám mây "chủ quyền" của AWS/Google/MS giải quyết vấn đề này như thế nào? Họ không giải quyết. Gần nhất là nỗ lực của Google, họ đặt việc quản lý tài nguyên đám mây dưới sự kiểm soát của T-Systems (một công ty Đức, không phải công ty con, đây là một khởi đầu tốt). Tuy nhiên, họ vẫn sử dụng ngăn xếp phần mềm của Google và vì đây là nhà cung cấp đám mây, họ sẽ cần các bản cập nhật bảo mật. Điều gì sẽ ngăn cản một Thẩm phán – người không biết đám mây là gì – nói "Có, chúng ta cần buộc Google chèn một cửa sau (backdoor) trong bản cập nhật bảo mật tiếp theo và thực thi lệnh bịt miệng để ngăn chặn việc việc này bị phát hiện" khi được một cơ quan chính phủ yêu cầu? AWS chỉ nói "Ông bạn trả tiền cho AWS Europe, đó là một công ty (công ty con) riêng biệt phải tuân theo luật EU". Vâng, đối với tôi thì sự đảm bảo đó chưa đủ, vì AWS Europe hoàn toàn phụ thuộc vào AWS về phần mềm, an toàn việc làm, và tốt nhất là sự tồn tại của họ. Microsoft cũng tương tự. Tôi dám cá rằng tất cả các công ty đám mây Mỹ khác (Oracle, DigitalOcean, Salesforce cloud?!) đều nằm ở đâu đó trên phổ giữa cách tiếp cận của Google hoặc AWS, hoặc đơn giản là không làm gì về "chủ quyền" cả.

Hướng đi của EU là gì?

Vậy các công ty có thể sử dụng "đám mây" mà không dùng đến các công ty Mỹ như thế nào? Đơn giản, đừng sử dụng các nhà cung cấp đám mây của Mỹ.

Có, các "nhà cung cấp đám mây" của EU đang tụt hậu nhưng họ đang bắt kịp. Scaleway, Hetzer, và những cái khác đang ở đó, và bạn nên kiểm tra chúng nếu bạn đang khởi nghiệp kinh doanh tại EU. Bạn thậm chí có thể xem xét các nhà cung cấp VPS và xem những gì bạn có thể xây dựng với các dịch vụ của họ. Việc chạy máy ảo (VMs) trên nhiều nhà cung cấp EU sẽ là một thách thức tùy thuộc vào quy mô công ty của bạn, nhưng nó có thể giúp bạn trở nên "bất khả xâm phạm".

Nếu bạn đang cân nhắc việc di chuyển, bạn thực sự sẽ cần ngồi xuống và suy nghĩ kỹ về kiến trúc của mình, không có cách nào dễ dàng quanh co cả. Nhưng xin hãy, vì sự tỉnh táo của mọi người, đừng yêu cầu một kế hoạch chi tiết và sau đó nói "Ôi, chúng tôi quyết định nó không đáng và chúng tôi sẽ nộp phạt nếu bị bắt".

Cuối cùng, nếu bạn đang xem xét các dịch vụ Kubernetes của nhà cung cấp đám mây và không cảm thấy chúng tuyệt vời (thành thật mà nói, theo ý kiến tôi, tất cả Kubernetes "được quản lý" (managed) tốt nhất cũng chỉ là bán quản lý), hãy cân nhắc sử dụng Omni của Siderolabs để quản lý cụm các node k8s của riêng bạn, nó thực sự rất tốt.