När Max Schrems, en österrikisk integritetsaktivist, begärde att få se sina personuppgifter som Facebook lagrade på sina servrar, fick han en cd-rom med ett dokument på 1 222 sidor.

Denna fil, som skulle sträcka sig nästan en kvarts mil om den skrevs ut och lades ut från början till slut, gav en inblick i Facebooks aptit på de privata uppgifterna om sina 1,65 miljarder användare.

Informationen omfattade telefonnummer och e-postadresser till Schrems vänner och familj, en historik över alla enheter som han använde för att logga in på tjänsten, alla evenemang som han hade bjudits in till, alla som han hade ”vänskapat” (och senare avvänt) samt ett arkiv över hans privata meddelanden.

Det innehöll till och med utskrifter av meddelanden som han hade raderat.

Men Schrems, som säger att han bara använde Facebook ibland under en treårsperiod, anser att en stor del av informationen undanhölls honom.

Han fick dataregister för cirka 50 kategorier, men tror att det finns fler än 100, säger han till BBC.

”De undanhöll mina ansiktsigenkänningsdata, vilket är en teknik som kan identifiera mig genom mina bilder. De avslöjar inte heller spårningsinformation, vilket är de ännu läskigare sakerna de gör – saker som om du har läst en webbsida om en sportbil och hur länge du har läst den.”

Facebook kan till och med spåra icke-medlemmarnas internetanvändning med hjälp av cookies som placeras på deras maskiner, vilket bekräftades i ett nyligen fattat rättsligt beslut i Belgien.

Mr Schrems erfarenhet illustrerar på ett levande sätt de utmaningar vi står inför i en digital tidsålder full av meddelandeappar, sociala nätverk, skräddarsydda sökmotorer, e-postklienter och bankappar, som alla samlar in personuppgifter om oss och lagrar dem någonstans i molnet.

Men var finns alla dessa uppgifter exakt, hur används de och hur säkra är de?

De fyra stora

Mer än hälften av världens uthyrbara molnlagring kontrolleras av fyra stora företag. Amazon är överlägset störst, med ungefär en tredjedel av marknadsandelen och mer än 35 datacenter över hela världen.

De tre näst största leverantörerna är Microsoft, IBM och Google, och var och en av dem antar ett liknande globalt mönster av serverfarmer.

Flera av dessa stora offentliga molnleverantörer har för vana att duplicera användardata i sina nätverk. Det innebär att information som laddas upp till molnet i till exempel Storbritannien eller USA sannolikt vid något tillfälle överförs till servrar i storstäder runt om i världen, från Sydney till Shanghai.

Problemet med detta, säger professor Dan Svantesson, specialist på internetjuridik vid Bond University i Australien, är att ”det finns alltid en risk för att det land som dina uppgifter går till inte har samma skyddsnivå.

”Om dina uppgifter hamnar i ett annat land kan det vara oklart vem som har tillgång till dem, vare sig det är nätverksleverantörer eller brottsbekämpande myndigheter”, säger han.

Benjamin Caudill, cybersäkerhetskonsult på Rhino Security Labs i Seattle, är också bekymrad över hur dessa uppgifter distribueras.

”Ingen vet riktigt hur korven tillverkas”, säger Benjamin Caudill, vars arbete bland annat består av att testa företagens försvar genom ”etisk hackning”.

”Det är mycket svårt att förstå var dina uppgifter lagras. Många gånger är företagen själva inte säkra på var alla data kan finnas.”

Han säger att en av hans kunder, som använde Microsofts molntjänst Azure, blev offer för en hackning – alla data och säkerhetskopior raderades.

Men efter lite grävande visade det sig att en del av de förlorade uppgifterna hade lagrats någon annanstans på Azures servrar. Även om detta var en lättnad för Caudills klient, så var han inte helt säker på att dataplaceringarna på Microsofts servrar var slumpmässiga.

”Ingen vet riktigt hur säkra molntjänsterna är från de stora leverantörerna”, säger Caudill, som misstänker att ”både Amazon och Azure har haft stora säkerhetskompromisser någon gång”.

Säkerhetsbrott?

Alla de stora leverantörerna av offentliga molntjänster säger å sin sida att säkerheten är en prioriterad fråga.

I Googles serveranläggning i South Carolina, till exempel, patrullerar vakter vid dörrarna och använder biometriska irisskannrar vid ingångarna till den inre helgedomen. Laserstrålar under golvet upptäcker inkräktare.

Men ingen skulle säga att de aldrig har haft säkerhetsöverträdelser.

En talesperson för Microsoft sa till BBC: ”Microsoft har ett kundåtagande att hjälpa till att skydda kundernas data och ge dem möjlighet att fatta beslut om dessa data. Vi rekommenderar kunderna att besöka Microsoft Trust Center för att lära sig mer om hur deras data hanteras och hålls säkra.”

Amazon betonar att kunderna ”behåller äganderätten och kontrollen över sitt innehåll. De väljer vilken plats deras data ska lagras på och den flyttas inte om inte kunden bestämmer sig för att flytta den.”

Denna möjlighet att välja vilken region dina data lagras i visar sig vara alltmer populär bland företag, särskilt i EU där den nya stränga allmänna dataskyddsförordningen ska träda i kraft 2018.

Posta på egen risk

Men vi konsumenter har ofta inte den lyxen.

”Uppgifterna om ditt Gmail-konto finns absolut på mer än en server. De finns absolut i mer än ett land”, säger professor Svantesson.

Men varför ska vi bry oss?

Jo fler av våra uppgifter som finns utspridda över hela världen, desto mer sårbara är de för hackare, hävdar Caudill – ett antagande som bekräftas av det faktum att identitetsbedrägerier ökar.

I takt med att människor fortsätter att ladda upp sin digitala information på nätet, i ett träsk av territoriella juridiska komplexiteter och hemliga nationella säkerhetsprotokoll, ger professor Svantesson några praktiska råd – som många fortfarande inte följer.

”Jag skulle föreslå att man aldrig lägger upp något känsligt i molnet, till exempel kreditkortsinformation eller personliga bilder som man inte vill att andra ska se.

”Vissa saker bör du bara lämna för dig själv”, råder han.

Följ Technology of Business redaktör @matthew_wall på Twitter

Klicka här för fler Technology of Business inslag