Chủ quyền dữ liệu Anh và Sovereign Cloud

Vương quốc Anh hậu Brexit đang xây dựng chế độ chủ quyền dữ liệu riêng, độc lập với EU. Đạo luật Bảo vệ Dữ liệu và Thông tin Kỹ thuật số (DPDI Act) được ban hành vào tháng 5 năm 2024 với khẩu hiệu "thúc đẩy đổi mới sáng tạo và tạo thuận lợi cho doanh nghiệp", bao gồm việc nới lỏng các yêu cầu về DPO và xem xét lại mô hình đồng ý cookie, đánh dấu bước đi rõ ràng khác biệt so với GDPR của EU. Tuy nhiên, "con đường thứ ba" này bị kẹp giữa hai rủi ro cấu trúc: quyết định tương đương với EU (được gia hạn vào tháng 6 năm 2025 nhưng vẫn còn nguy cơ hết hiệu lực) và vấn đề truy cập dữ liệu xuyên biên giới theo Đạo luật CLOUD của Mỹ. Điểm tranh cãi lớn nhất là vấn đề chủ quyền dữ liệu của Microsoft 365 (M365). Hầu hết các bộ của chính phủ Anh, NHS và Quốc hội đều sử dụng M365, nhưng EU Data Boundary của Microsoft (bắt đầu từ tháng 1 năm 2024) không áp dụng cho Vương quốc Anh, khiến dữ liệu chính phủ Anh đối mặt với rủi ro pháp lý là có thể bị buộc tiết lộ cho Microsoft theo Đạo luật CLOUD của Mỹ. Vào tháng 10 năm 2022, UKCloud — nhà cung cấp đám mây chủ quyền nội địa duy nhất của Anh — đã bị đưa vào thanh lý, khiến sự phụ thuộc của chính phủ vào các nhà cung cấp hyperscaler Mỹ càng trở nên tập trung hơn. Hợp đồng Federated Data Platform của NHS Palantir (330 triệu bảng Anh, tương đương khoảng 61 tỷ yên) cũng hứng chịu làn sóng chỉ trích gay gắt vì giao phó dữ liệu bệnh nhân cho một doanh nghiệp Mỹ. Thị trường đám mây của Anh đạt khoảng 15–18 tỷ bảng Anh mỗi năm (khoảng 2.775–3.330 tỷ yên), còn thị trường trung tâm dữ liệu là lớn nhất châu Âu với công suất hơn 800 MW. Bài viết này sẽ phân tích toàn diện khung pháp lý về chủ quyền dữ liệu của Anh, sự độc lập và những ràng buộc hậu Brexit, tranh luận về chủ quyền dữ liệu M365, hiện trạng và thách thức của đám mây chủ quyền, các yêu cầu về dữ liệu trong lĩnh vực NHS và dịch vụ tài chính, cũng như triển vọng trong tương lai.

Chủ quyền dữ liệu của Vương quốc Anh là gì——"Con đường thứ ba" sau Brexit

Chủ quyền dữ liệu của Vương quốc Anh là một khái niệm độc đáo được hình thành từ Brexit.

Khi giai đoạn chuyển tiếp kết thúc vào ngày 31 tháng 12 năm 2020, GDPR của EU được kế thừa vào luật pháp nội địa Vương quốc Anh dưới tên gọi "UK GDPR". Nội dung gần như giống hệt EU GDPR, nhưng cơ quan tham chiếu được thay thế bằng ICO (Văn phòng Ủy viên Thông tin), và thẩm quyền chuyển từ Ủy ban EU sang Bộ trưởng Nhà nước Vương quốc Anh. Data Protection Act 2018 (DPA 2018) là luật nền tảng của khung pháp lý này.

Đạo luật Bảo vệ Dữ liệu và Thông tin Kỹ thuật số (DPDI Act) được thông qua ngày 24 tháng 5 năm 2024 đánh dấu điểm phân kỳ thực chất của luật bảo vệ dữ liệu Vương quốc Anh so với EU. Yêu cầu DPO (Cán bộ Bảo vệ Dữ liệu) được nới lỏng thành "Senior Responsible Individual", yêu cầu DPIA (Đánh giá Tác động Bảo vệ Dữ liệu) được đơn giản hóa, mô hình đồng ý cookie chuyển sang hình thức opt-out, và cơ sở "legitimate interests (lợi ích hợp pháp)" được mở rộng. Trong chuyển giao dữ liệu quốc tế, thay vì tiêu chuẩn nghiêm ngặt "về cơ bản tương đương", các phê duyệt dựa trên phạm vi yếu tố rộng hơn được cho phép.

Chính phủ Vương quốc Anh định vị cách tiếp cận này là "chế độ dữ liệu dẫn đầu thế giới" và "cổ tức Brexit". Ủy viên Thông tin John Edwards (nhậm chức tháng 1 năm 2022, cựu Ủy viên Quyền riêng tư New Zealand) phát biểu: "Luật bảo vệ dữ liệu không phải là rào cản cản trở đổi mới, mà là khung pháp lý cho phép đổi mới đáng tin cậy." Tuy nhiên, Jim Killock, Giám đốc điều hành của tổ chức bảo vệ quyền riêng tư Open Rights Group, đã cảnh báo về sự xói mòn bảo vệ dữ liệu và chủ quyền của Vương quốc Anh.

Đi trên dây với EU — Sự gia hạn quyết định mức độ đầy đủ và tính dễ tổn thương của nó

Hạn chế lớn nhất đối với chủ quyền dữ liệu của Vương quốc Anh là sự phụ thuộc vào quyết định đầy đủ của EU.

Ủy ban EU đã thông qua quyết định đầy đủ đối với Vương quốc Anh vào ngày 28 tháng 6 năm 2021, cho phép chuyển dữ liệu cá nhân tự do từ EEA sang Vương quốc Anh. Quyết định này có điều khoản hoàng hôn bốn năm, dự kiến hết hiệu lực vào ngày 27 tháng 6 năm 2025, nhưng đã được gia hạn vào tháng 6 năm 2025. Hội đồng Bảo vệ Dữ liệu Châu Âu (EDPB) ghi nhận những thay đổi của Vương quốc Anh theo Luật DPDI, đồng thời đưa ra ý kiến rằng "tính tương đương cơ bản vẫn được duy trì".

Tuy nhiên, rủi ro hết hiệu lực vẫn chưa biến mất. Việc Luật DPDI nới lỏng yêu cầu về DPO, đơn giản hóa DPIA, cải cách đồng ý cookie và mở rộng tiêu chuẩn chuyển giao quốc tế đều là những mối lo ngại từ phía EU. Tiền lệ về các thách thức pháp lý của ông Max Schrems đã vô hiệu hóa EU-US Safe Harbor (Schrems I, 2015) và Privacy Shield (Schrems II, 2020) hoàn toàn có thể được áp dụng đối với quyết định đầy đủ của Vương quốc Anh. Nếu quyết định đầy đủ hết hiệu lực, việc chuyển dữ liệu giữa Vương quốc Anh và EU sẽ cần dựa vào SCC (Điều khoản Hợp đồng Tiêu chuẩn) hoặc BCR (Quy tắc Ràng buộc Doanh nghiệp), gây ra chi phí tuân thủ hàng chục tỷ bảng Anh mỗi năm cho các doanh nghiệp Vương quốc Anh.

Vương quốc Anh đang cố gắng đi theo "con đường thứ ba" — vừa duy trì quyết định đầy đủ với EU, vừa linh hoạt hơn EU — nhưng hai mục tiêu này về bản chất luôn ở trong thế căng thẳng với nhau.

Tranh luận về chủ quyền dữ liệu M365 — Rủi ro cấu trúc nghiêm trọng nhất

Vấn đề tranh cãi nghiêm trọng nhất về chủ quyền dữ liệu của Anh chính là vấn đề chủ quyền dữ liệu Microsoft 365 (M365).

Quy mô phụ thuộc của chính phủ Anh vào M365 là áp đảo. Văn phòng Nội các, Bộ Nội vụ, Bộ Quốc phòng, Bộ Giáo dục, HMRC (Cơ quan Thuế và Hải quan), và ngay cả Nghị viện Anh đều sử dụng M365. NHS cũng đã chuyển NHS Mail sang Exchange Online. Hàng trăm nghìn công chức và người lao động trong khu vực công sử dụng M365 hàng ngày.

Cam kết lưu trú dữ liệu của Microsoft như sau: "Dữ liệu khách hàng cốt lõi" của các tenant tại Anh được lưu trữ tại các trung tâm dữ liệu UK South (London) và UK West (Cardiff). Phạm vi áp dụng bao gồm Exchange Online, SharePoint Online, OneDrive for Business và Microsoft Teams (tin nhắn chat/kênh).

Tuy nhiên, có những ngoại lệ nghiêm trọng. Thứ nhất, dữ liệu đo từ xa, dữ liệu chẩn đoán, dữ liệu hỗ trợ và một số hoạt động xử lý có thể ra ngoài Vương quốc Anh. Thứ hai, một số hoạt động có thể được xử lý tạm thời bên ngoài Vương quốc Anh. Thứ ba, các dịch vụ toàn cầu như tích hợp Bing, tính năng Copilot và Delve không mang tính địa phương cụ thể.

Vấn đề lớn nhất là EU Data Boundary của Microsoft (bắt đầu ngày 1 tháng 1 năm 2024) không bao gồm Vương quốc Anh. Khách hàng EU/EFTA được cung cấp các đảm bảo nâng cao rằng dữ liệu được lưu trữ và xử lý trong EU/EFTA, nhưng Vương quốc Anh không được bao gồm. Điều này tạo ra sự bất đối xứng: các biện pháp bảo vệ được cung cấp cho khách hàng chính phủ EU lại không được cung cấp cho khách hàng chính phủ Anh.

Đạo luật CLOUD của Mỹ (ban hành ngày 23 tháng 3 năm 2018) là nguồn gốc của rủi ro cấu trúc. Đạo luật CLOUD cho phép các cơ quan thực thi pháp luật Mỹ buộc các công ty công nghệ có trụ sở tại Mỹ phải nộp dữ liệu, bất kể dữ liệu đó nằm ở Mỹ hay ở nước ngoài. Điều đó có nghĩa là ngay cả khi dữ liệu của chính phủ Anh được lưu trữ tại trung tâm dữ liệu UK của Microsoft, chính phủ Mỹ vẫn có thể ra lệnh cho Microsoft tiết lộ dữ liệu đó theo Đạo luật CLOUD.

Hiệp định Tiếp cận Dữ liệu Anh-Mỹ (ký ngày 3 tháng 10 năm 2019, có hiệu lực vào tháng 10 năm 2022) là hiệp định song phương đầu tiên dựa trên Đạo luật CLOUD. Cơ quan thực thi pháp luật của mỗi quốc gia có thể yêu cầu dữ liệu trực tiếp từ các công ty công nghệ của quốc gia kia, nhưng chỉ giới hạn ở tội phạm nghiêm trọng và không thể nhắm vào công dân của quốc gia kia. Tuy nhiên, các yêu cầu về an ninh quốc gia (như Điều 702 FISA) nằm ngoài phạm vi của hiệp định, và các cơ quan tình báo Mỹ vẫn có thể tiếp cận dữ liệu của các công chức chính phủ Anh.

Câu hỏi về chủ quyền dữ liệu M365 đã được đặt ra tại cả Hạ viện và Thượng viện Anh. Open Rights Group đã triển khai chiến dịch về việc chính phủ sử dụng sản phẩm Microsoft và những lo ngại về chủ quyền dữ liệu, trong khi Privacy International bày tỏ lo ngại về Đạo luật CLOUD và dữ liệu chính phủ.

Tích hợp AI đang khuếch đại rủi ro. Việc tích hợp Microsoft Copilot vào M365 đặt ra những câu hỏi mới về nơi xử lý AI và dữ liệu nào được cung cấp cho các mô hình AI. Trong bối cảnh căng thẳng địa chính trị gia tăng, sự chú ý đến chủ quyền kỹ thuật số cũng ngày càng mạnh mẽ hơn. Chính phủ Lao động (từ tháng 7 năm 2024) đã thể hiện quan tâm đến chủ quyền kỹ thuật số, nhưng chưa có hành động quyết định nào liên quan đến M365.

Sự sụp đổ của UKCloud — Thế lưỡng nan cấu trúc của điện toán đám mây có chủ quyền

Sự kiện mang tính biểu tượng nhất trong lịch sử đám mây có chủ quyền của Vương quốc Anh chính là sự sụp đổ của UKCloud.

UKCloud được thành lập năm 2011, là nhà cung cấp đám mây có chủ quyền nội địa duy nhất của Vương quốc Anh. Dữ liệu chỉ được lưu trữ trong nước Anh, vận hành bởi người Anh, tuân thủ pháp luật Anh — đó là những điểm bán hàng chủ chốt. Khách hàng bao gồm NHS, Bộ Quốc phòng, cảnh sát, chính quyền địa phương và chính phủ trung ương.

Ngày 24 tháng 10 năm 2022, UKCloud bước vào giai đoạn thanh lý bắt buộc. PwC được chỉ định làm thanh lý viên. Doanh thu vào khoảng 40–50 triệu bảng Anh nhưng công ty không có lợi nhuận, và đã thất bại trong cuộc cạnh tranh về giá với các hyperscaler (AWS, Azure, Google). Các nỗ lực gọi vốn bổ sung và bán công ty đều không thành công.

Bài học từ sự sụp đổ này rất rõ ràng. Thứ nhất, các nhà cung cấp đám mây có chủ quyền ở vào thế bất lợi áp đảo so với các hyperscaler về kinh tế quy mô. Thứ hai, quy trình mua sắm của chính phủ Anh có xu hướng ưu tiên chi phí hơn chủ quyền. Thứ ba, yếu tố "có chủ quyền" đơn thuần là không đủ để tạo ra sự khác biệt. Thứ tư, có quan điểm cho rằng chính phủ đáng lẽ phải đối xử với UKCloud như một cơ sở hạ tầng chiến lược tương tự ngành công nghiệp quốc phòng.

Sau sự sụp đổ, phần lớn khách hàng cũ của UKCloud đã chuyển sang AWS hoặc Azure, dẫn đến kết quả trớ trêu là sự phụ thuộc của chính phủ vào các hyperscaler càng trở nên sâu sắc hơn.

Yêu cầu dữ liệu của NHS và Dịch vụ Tài chính

NHS và dịch vụ tài chính là những lĩnh vực nhạy cảm nhất về chủ quyền dữ liệu của Vương quốc Anh.

Dữ liệu bệnh nhân của NHS không chỉ chịu sự điều chỉnh của UK GDPR/DPA 2018, mà còn của nghĩa vụ bảo mật theo Luật Thông thường (Common Law), Nguyên tắc Caldicott (8 nguyên tắc) và Bộ công cụ Bảo mật & Bảo vệ Dữ liệu NHS (DSPT). Trên thực tế, dữ liệu NHS phải được lưu trữ trong lãnh thổ Vương quốc Anh.

Tranh cãi lớn nhất xoay quanh Nền tảng Dữ liệu Liên kết Palantir (FDP). Vào tháng 11 năm 2023, NHS England đã trao hợp đồng trị giá khoảng 330 triệu bảng Anh (khoảng 61 tỷ yên) trong 7 năm cho Palantir Technologies (công ty Mỹ, với In-Q-Tel — bộ phận đầu tư của CIA — là nhà đầu tư ban đầu). FDP nhằm mục đích tích hợp dữ liệu giữa các tổ chức NHS để cải thiện hiệu quả vận hành và quản lý thời gian chờ đợi, nhưng đã vấp phải sự chỉ trích gay gắt vì giao phó dữ liệu bệnh nhân cho một công ty Mỹ. openDemocracy và Foxglove đã đệ đơn kiện, trong khi các cuộc thăm dò dư luận cho thấy sự lo ngại của người dân về việc Palantir xử lý dữ liệu NHS. Được biết, hơn 1 triệu người đã chọn không tham gia chia sẻ dữ liệu NHS. Phía Palantir phản bác rằng FDP là "liên kết" (federated) — tức là dữ liệu vẫn nằm trong cơ sở hạ tầng của từng tổ chức NHS và không bị tập trung hóa — đồng thời khẳng định dữ liệu không rời khỏi lãnh thổ Vương quốc Anh.

Trong lĩnh vực dịch vụ tài chính, Tuyên bố giám sát chung SS2/21 của FCA/PRA (về thuê ngoài và quản lý rủi ro bên thứ ba) đóng vai trò quan trọng. Mặc dù không có nghĩa vụ trực tiếp về lưu trữ dữ liệu trong nước, nhưng các yêu cầu về duy trì năng lực giám sát quy định, quyền truy cập kiểm toán và tính liên tục kinh doanh đồng nghĩa với việc dữ liệu trên thực tế phải nằm trong tầm kiểm soát của cơ quan quản lý Vương quốc Anh. Đạo luật Dịch vụ Tài chính và Thị trường 2023 đã đưa ra quyền giám sát trực tiếp đối với các "Bên thứ ba Quan trọng" (Critical Third Parties) như AWS, Azure, Google Cloud, v.v.

Phân loại bảo mật chính phủ và thực tế của đám mây quốc gia

Dữ liệu của chính phủ Anh có ba cấp độ phân loại bảo mật.

OFFICIAL (bao gồm OFFICIAL-SENSITIVE) chiếm khoảng 90% dữ liệu chính phủ và có thể được xử lý trên đám mây công cộng được chứng nhận (bao gồm các vùng UK của các nhà cung cấp hyperscaler). SECRET yêu cầu kiểm soát chặt chẽ hơn, thường cần cơ sở hạ tầng đặt tại Anh và các đảm bảo bổ sung. TOP SECRET là cấp phân loại cao nhất, thường yêu cầu môi trường air-gap, triển khai on-premises trong lãnh thổ Anh, và vận hành bởi công dân Anh có clearance bảo mật.

14 nguyên tắc bảo mật đám mây của NCSC bao gồm: bảo vệ dữ liệu trong quá trình truyền tải, bảo vệ tài sản, phân tách giữa các người dùng, khung quản trị, bảo mật vận hành, bảo mật nhân sự, phát triển an toàn, bảo mật chuỗi cung ứng, v.v. NCSC đã đánh giá và công bố kết quả đánh giá các dịch vụ của AWS, Azure và Google Cloud dựa trên các nguyên tắc này.

Điều đáng chú ý là NCSC đã nêu rõ rằng "vị trí vật lý của dữ liệu thường ít quan trọng hơn so với thẩm quyền pháp lý mà dữ liệu đó thuộc về hoặc các biện pháp bảo mật bảo vệ nó". Tuy nhiên, NCSC cũng thừa nhận rằng đối với một số cấp phân loại hoặc mô hình mối đe dọa cụ thể, yêu cầu lưu trú dữ liệu trong lãnh thổ Anh là yêu cầu phù hợp.

Dữ liệu thị trường — Thị trường đám mây lớn nhất châu Âu

Vương quốc Anh là thị trường đám mây lớn nhất châu Âu, đồng thời cũng là thị trường trung tâm dữ liệu lớn nhất châu Âu.

Thị trường dịch vụ hạ tầng đám mây của Vương quốc Anh được ước tính đạt khoảng 15–18 tỷ bảng Anh mỗi năm (khoảng 2.775–3.330 tỷ yên), với tốc độ tăng trưởng hàng năm từ 20–25%. Thị phần do AWS (khoảng 30–33%), Microsoft Azure (khoảng 25–28%) và Google Cloud (khoảng 10–12%) thống trị.

Mua sắm đám mây của chính phủ thông qua khung G-Cloud (Crown Commercial Service) đã đạt tổng cộng hơn 12 tỷ bảng Anh. Dung lượng trung tâm dữ liệu của Vương quốc Anh vượt 800MW, lớn nhất châu Âu, với London là trung tâm dữ liệu lớn nhất châu Âu. Thị trường an ninh mạng có quy mô khoảng 12–13 tỷ bảng Anh, đứng thứ 3 trên thế giới.

Sau sự sụp đổ của UKCloud, thị trường đám mây có chủ quyền (sovereign cloud) của Vương quốc Anh hiện do các vùng UK của các nhà cung cấp hyperscaler dẫn dắt, với cách tiếp cận dựa trên kiểm soát kỹ thuật và hợp đồng thay vì các nhà cung cấp sovereign chuyên dụng.

Triển vọng tương lai — Chủ quyền dữ liệu trong kỷ nguyên AI và tương lai của đám mây có chủ quyền

Chủ quyền dữ liệu của Vương quốc Anh đang đứng ở ngưỡng bước ngoặt, nơi nhiều động lực đan xen nhau.

Tác động của Đạo luật DPDI sẽ dần hiện rõ trong những năm tới. Đạo luật được thông qua vào tháng 5 năm 2024, nhưng nhiều điều khoản đòi hỏi phải có lập pháp thứ cấp, và tính đến đầu năm 2026, các quy định đó vẫn đang trong quá trình soạn thảo. Nếu các quy định tương lai mở rộng khoảng cách với EU, việc duy trì quyết định đầy đủ sẽ trở nên khó khăn hơn.

Sự giao thoa giữa AI và chủ quyền dữ liệu là luận điểm mới quan trọng nhất. Nơi lưu trữ và xử lý dữ liệu huấn luyện mô hình AI, xử lý dữ liệu nhạy cảm trong quá trình suy luận AI, luồng dữ liệu qua tích hợp M365 của Microsoft Copilot — tất cả những điều này đều khuếch đại các vấn đề về chủ quyền dữ liệu. Viện An toàn AI của Anh (thành lập tháng 11 năm 2023) tập trung vào an toàn AI, nhưng điểm giao thoa với chủ quyền dữ liệu cũng nằm trong tầm nhìn của viện.

Tương lai của đám mây có chủ quyền: bất chấp sự thất bại của UKCloud, đầu tư vào đám mây có chủ quyền trên toàn cầu đang tăng tốc. Các mô hình đối tác như Thales-Google của Pháp hay T-Systems-Google của Đức có thể được áp dụng tại Anh. Nếu chính phủ Anh cam kết với các yêu cầu về chủ quyền, quy mô thị trường có thể đạt 5–8 tỷ bảng Anh vào giai đoạn 2028–2030.

Ý tưởng "cầu nối dữ liệu" của Anh là kịch bản lạc quan nhất. Duy trì quyết định đầy đủ với EU, đồng thời tận dụng mối quan hệ chặt chẽ với Mỹ (Hiệp định tiếp cận dữ liệu Anh-Mỹ, Five Eyes, "quan hệ đặc biệt"), và mở rộng các thỏa thuận chuyển dữ liệu với Nhật Bản, Hàn Quốc, Úc và các nước khác. Nếu thành công, Anh có thể trở thành một khu vực tài phán hấp dẫn cho các hoạt động dữ liệu đa quốc gia. Tuy nhiên, nếu Anh bị xem là đường ống dẫn dữ liệu từ EU sang Mỹ — với các biện pháp bảo vệ yếu hơn — thì EU sẽ hạn chế tuyến đường này.

Vấn đề chủ quyền dữ liệu của M365 là thách thức mang tính cấu trúc, không thể giải quyết trong ngắn hạn. Các giải pháp thay thế mã nguồn mở như LibreOffice, Nextcloud, Matrix đang được đề xuất, nhưng hiện tại chưa có giải pháp nào có thể sánh ngang hệ sinh thái của M365. Sự phụ thuộc của chính phủ Anh vào M365 rất sâu, và việc chuyển đổi sẽ vô cùng tốn kém và gây gián đoạn lớn. Vấn đề này cho thấy rõ ràng rằng chủ quyền kỹ thuật số không chỉ là thách thức kỹ thuật, mà là một thách thức phức hợp về địa chính trị, pháp lý và kinh tế.

Tác động đến ngành

Thứ nhất, sự phân kỳ của luật DPDI Anh so với EU GDPR đang tạo ra căng thẳng cơ cấu giữa "thúc đẩy đổi mới" và "duy trì quyết định tương đương". Việc gia hạn vào tháng 6 năm 2025 đã mang lại sự nhẹ nhõm, nhưng sự phân kỳ thêm sẽ làm tăng nguy cơ hết hiệu lực, có thể khiến các doanh nghiệp Anh phải chịu chi phí tuân thủ lên đến hàng tỷ bảng Anh mỗi năm.

Thứ hai, vấn đề chủ quyền dữ liệu của M365 là thách thức nghiêm trọng nhất và khó ứng phó ngay lập tức nhất đối với Chính phủ Anh. Việc EU Data Boundary của Microsoft loại trừ Anh đang tạo ra sự bảo vệ bất đối xứng giữa khách hàng chính phủ EU và khách hàng chính phủ Anh. Rủi ro Mỹ truy cập dữ liệu theo Đạo luật CLOUD có thể được giảm thiểu bằng các biện pháp kỹ thuật (khóa mã hóa do khách hàng quản lý, điện toán bảo mật) nhưng không thể loại bỏ hoàn toàn.

Thứ ba, sự sụp đổ của UKCloud đã chứng minh rằng đám mây có chủ quyền không thể duy trì bền vững nếu thiếu lợi thế kinh tế theo quy mô. Tuy nhiên, trên toàn cầu, các mô hình hợp tác như Thales-Google và T-Systems-Google đang thành công, và ở Anh cũng có khả năng xem xét áp dụng cách tiếp cận tương tự.

Thứ tư, hợp đồng Palantir của NHS (330 triệu bảng Anh) đã cho thấy chủ quyền dữ liệu không phải là khái niệm trừu tượng, mà là vấn đề thực tế liên quan trực tiếp đến dữ liệu nhạy cảm nhất của người dân — hồ sơ sức khỏe. Thực tế có hơn 1 triệu người chọn không tham gia đã chứng minh rằng niềm tin của công chúng có tính quyết định đến sự thành bại của chiến lược chủ quyền dữ liệu.

Tài liệu tham khảo: UK Data Protection Act 2018, UK GDPR (Retained EU Law), Data Protection and Digital Information Act 2024 (Royal Assent ngày 24 tháng 5 năm 2024), Quyết định tương đương của Ủy ban Châu Âu đối với Anh (ngày 28 tháng 6 năm 2021), US CLOUD Act (ngày 23 tháng 3 năm 2018), Hiệp định tiếp cận dữ liệu Anh-Mỹ (Ký kết tháng 10 năm 2019, Có hiệu lực tháng 10 năm 2022), Hướng dẫn bảo mật đám mây NCSC & 14 Nguyên tắc bảo mật đám mây, FCA/PRA SS2/21 Quản lý gia công và rủi ro bên thứ ba, Financial Services and Markets Act 2023 (Chế độ bên thứ ba quan trọng), NHS Data Security and Protection Toolkit, Microsoft EU Data Boundary (ngày 1 tháng 1 năm 2024), Tài liệu lưu trú dữ liệu tại Anh của Microsoft, Tài liệu khung G-Cloud (Crown Commercial Service), Hồ sơ thanh lý UKCloud (PwC, tháng 10 năm 2022), Báo cáo thường niên ICO & Tuyên bố của John Edwards, Hợp đồng Palantir NHS FDP (tháng 11 năm 2023, 330 triệu bảng Anh), Hansard Nghị viện (Câu hỏi về chủ quyền dữ liệu M365), Các ấn phẩm của Open Rights Group, Báo cáo của Privacy International, Ý kiến EDPB về tương đương Anh, Đánh giá của NCSC về AWS/Azure/Google Cloud, Báo cáo đám mây và dữ liệu của techUK, Chiến lược đám mây của Chính phủ Anh (2023/2024), Viện An toàn AI Anh, Tiến độ lập pháp thứ cấp của Đạo luật DPDI