CLOUD Aсt: новый законопроект США открывает доступ к персональным данным за рубежом
На прошлой неделе, 23 марта 2018 года, Конгрессом США был принят законопроект, получивший название CLOUD Act. Он значительно расширяет возможности правоохранительных органов Соединенных Штатов по доступу к частной информации в сети.
Подробнее об акте и о том, как к нему отнеслось сообщество и ИТ-компании, расскажем ниже.
[1]
/ фото angela n. [2] CC [3]
Что такое CLOUD Aсt
Clarifying Lawful Overseas Use of Data Act был впервые предложен 6 февраля 2018 года. Законопроект является поправкой к Stored Communications Act (SCA) — акту от 1986 года, регулирующему предоставление доступа правительства США к данным, находящимся в распоряжении интернет-провайдеров. CLOUD Act вошел [4] в состав 2232-страничного [5] документа, утверждающего государственный бюджет, поэтому отдельных дебатов касательно его содержания не проводилось, как, впрочем, и отдельного слушания в Конгрессе.
В акте есть два ключевых пункта, облегчающих доступ правоохранительным органам США к ПД.
1. Запрос ПД пользователей у ИТ-компаний
Во-первых, отныне правоохранительные органы (от полицейских до агентов федеральной миграционной службы) имеют право запрашивать у ИТ-компаний доступ к данным вне зависимости от того, где эта информация хранится. Другими словами, полиция США может обязать [6] Google или Facebook предоставить ПД пользователей, даже если они хранятся, например в Европе.
Учитывая, что многие глобальные ИТ-компании находятся в юрисдикции США, власти получают доступ к переписке, метаданным и учетным записям пользователей по всему миру. Теперь компании не смогут отказать в предоставлении данных, даже если это запрещено законодательством другого государства (как это было в случае с делом «Microsoft Ireland [7]»).
2. Предоставление информации другим государствам
Вторая часть акта дает президенту и генеральной прокуратуре США возможность вступать с другими государствами в особые соглашения по обмену данными. В рамках этих соглашений страны могут запрашивать данные пользователей у американских ИТ-компаний, при условии, что они [пользователи] не являются гражданами Америки и не проживают на территории США.
Нет никаких ограничений в том, с какими странами США может заключать эти соглашения. При этом Акт позволяет инициировать [8] подобные договоры между странами без одобрения Конгресса.
Поддержка акта
ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо [9], в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».
Когда акт был утвержден, директор по правовым вопросам Microsoft Брэд Смит (Brad Smith) в своем твиттере [10] сказал, что «это важный день для международных отношений и защиты личных данных во всем мире». Он также отметил, что акт позволит повысить доверие к технологиям, которыми мы пользуемся каждый день. Однако твит был встречен явной критикой пользователей сети.
/ фото Alexandre B [11] CC [12]
Критика акта
Остальное техническое сообщество не так однозначно поддерживает новый акт (особенно [13] криптовалютные энтузиасты). Обсуждаются опасения [14], что он приведет к локализации данных [15], то есть стремлению каждой страны держать ПД граждан на «локальных» серверах.
Также акт подвергли критике многие американские общественные организации по защите прав человека. Более двадцати организаций, включая EFF [16] (Electronic Frontier Foundation — Фонд электронных рубежей) и ACLU [8] (American Civil Liberties Union — Американский союз защиты гражданских свобод), составили открытое письмо [17] к Конгрессу, в котором указали на явные нарушения прав человека в CLOUD Act.
Речь идет о регулировании соглашений по передаче информации. Допустим, некоторая страна в рамках сотрудничества с правительством США обращается к Slack с целью получить личную переписку человека, являющегося резидентом этой страны. Slack, в случае передачи истории сообщений, также невольно раскрывает сообщения всех задействованных лиц в переписке.
Более того, CLOUD предоставляет возможность государству, получившему таким образом конфиденциальные данные об американских гражданах, передать их напрямую правоохранительным органам США без каких-либо дополнительных согласований [8], ордеров или судебных предписаний. Это можно трактовать как прямое нарушение Четвертой поправки к Конституции США [18].
Альтернатива: Договор о взаимном оказании правовой помощи
До принятия CLOUD Act правовые аспекты получения доступа к информации за рубежом регулировались с помощью MLAT [19] (Mutual Legal Assistance Treaties — Договор о взаимном оказании правовой помощи). Этот договор был составлен в 2001 году при активном участии США и стран Европы (Россия решение Конвенции не признала). Он позволяет правоохранительным органам разных стран получить доступ к данным, хранящимся за рубежом, при содействии государства, в котором они хранятся.
MLAT имеет свои недостатки. В среднем срок рассмотрения одного запроса составляет около 10 месяцев [20], и к моменту получения информации от другого государства она в большинстве случаев уже не актуальна. Несмотря на несовершенство, система является важным переходным этапом развития международных отношений в сфере кибербезопасности, тем более что Совет Европы планирует [21] в скором времени ее совершенствовать. Однако принятие CLOUD Act никак не способствует этому процессу, а в большей является его альтернативой [6].
P.S. Еще материалы из Первого блога о корпоративном IaaS:
- Размещение ГИС в облаке: какие здесь есть особенности [22]
- Как устроена защита персональных данных: европейский подход [23]
- Что нужно знать финансовой организации для работы с облаком [24]
- Как тестируют безопасность облачных решений: устранение security-проблем [25]
- Как повысить уровень защищенности облачной инфраструктуры [26]
- 12 угроз облачной безопасности по версии Cloud Security Alliance [27]
- Аварийное восстановление как услуга: преимущества и недостатки [28]
Автор: ИТ-ГРАДовец
Источник [29]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/blog-kompanii-it-grad/276623
Ссылки в тексте:
[1] Image: https://habrahabr.ru/company/it-grad/blog/352402/
[2] angela n.: https://www.flickr.com/photos/aon/36595548933/
[3] CC: https://creativecommons.org/licenses/by/2.0/
[4] вошел: https://news.bitcoin.com/crypto-community-fears-passage-of-the-cloud-act/
[5] 2232-страничного: http://thehill.com/policy/finance/379820-winners-and-losers-from-the-13t-omnibus
[6] может обязать: https://www.eff.org/deeplinks/2018/02/cloud-act-dangerous-expansion-police-snooping-cross-border-data#_ftn1
[7] Microsoft Ireland: https://en.wikipedia.org/wiki/United_States_v._Microsoft_Corp._(2018)
[8] инициировать: https://www.aclu.org/blog/privacy-technology/internet-privacy/cloud-act-dangerous-piece-legislation
[9] письмо: https://blogs.microsoft.com/datalaw/wp-content/uploads/sites/149/2018/02/Tech-Companies-Letter-of-Support-for-Senate-CLOUD-Act-020618.pdf
[10] своем твиттере: https://twitter.com/BradSmi/status/976644992255983616
[11] Alexandre B: https://www.flickr.com/photos/alex_bortolotti/5597716520/
[12] CC: https://creativecommons.org/licenses/by-sa/2.0/
[13] особенно: https://twitter.com/aantonop/status/977249709839458304/photo/1
[14] опасения: https://techcrunch.com/2018/03/22/cloud-act-omnibus-bill-house/
[15] локализации данных: http://www.jurist.org/hotline/2017/01/Courtney-Bowman-data-localization.php
[16] EFF: https://www.eff.org/deeplinks/2018/03/new-backdoor-around-fourth-amendment-cloud-act
[17] открытое письмо: https://www.aclu.org/letter/coalition-letter-cloud-act
[18] Четвертой поправки к Конституции США: https://ru.wikipedia.org/wiki/%D0%A7%D0%B5%D1%82%D0%B2%D1%91%D1%80%D1%82%D0%B0%D1%8F_%D0%BF%D0%BE%D0%BF%D1%80%D0%B0%D0%B2%D0%BA%D0%B0_%D0%BA_%D0%9A%D0%BE%D0%BD%D1%81%D1%82%D0%B8%D1%82%D1%83%D1%86%D0%B8%D0%B8_%D0%A1%D0%A8%D0%90
[19] MLAT: https://en.wikipedia.org/wiki/Mutual_legal_assistance_treaty
[20] около 10 месяцев: https://obamawhitehouse.archives.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf
[21] планирует: https://www.eff.org/deeplinks/2017/09/cybercrime-conventions-new-protocol-needs-uphold-human-rights
[22] Размещение ГИС в облаке: какие здесь есть особенности: http://iaas-blog.it-grad.ru/bezopasnost/osobennosti-razmeshheniya-gis-v-oblake/
[23] Как устроена защита персональных данных: европейский подход: http://iaas-blog.it-grad.ru/tendencii/zashhita-personalnyx-dannyx-evropejskij-podxod/
[24] Что нужно знать финансовой организации для работы с облаком: http://iaas-blog.it-grad.ru/tendencii/legal-issues-of-using-cloud-technologies-by-financial-organizations/
[25] Как тестируют безопасность облачных решений: устранение security-проблем: http://iaas-blog.it-grad.ru/bezopasnost/testirovanie-bezopasnosti-oblachnyx-reshenij-ili-sovety-po-ustraneniyu-security-problem/
[26] Как повысить уровень защищенности облачной инфраструктуры: http://iaas-blog.it-grad.ru/bezopasnost/kak-povysit-uroven-zashhishhennosti-oblachnoj-infrastruktury/
[27] 12 угроз облачной безопасности по версии Cloud Security Alliance: http://iaas-blog.it-grad.ru/bezopasnost/top-12-ugroz-oblachnoj-bezopasnosti-po-versii-cloud-security-alliance/
[28] Аварийное восстановление как услуга: преимущества и недостатки: http://iaas-blog.it-grad.ru/resheniya/avarijnoe-vosstanovlenie-kak-usluga-preimushhestva-i-nedostatki/
[29] Источник: https://habrahabr.ru/post/352402/?utm_source=habrahabr&utm_medium=rss&utm_campaign=352402
Нажмите здесь для печати.