CLOUD Aсt: новый законопроект США открывает доступ к персональным данным за рубежом
На прошлой неделе, 23 марта 2018 года, Конгрессом США был принят законопроект, получивший название CLOUD Act. Он значительно расширяет возможности правоохранительных органов Соединенных Штатов по доступу к частной информации в сети.
Подробнее об акте и о том, как к нему отнеслось сообщество и ИТ-компании, расскажем ниже.
/ фото angela n. CC
Что такое CLOUD Aсt
Clarifying Lawful Overseas Use of Data Act был впервые предложен 6 февраля 2018 года. Законопроект является поправкой к Stored Communications Act (SCA) — акту от 1986 года, регулирующему предоставление доступа правительства США к данным, находящимся в распоряжении интернет-провайдеров. CLOUD Act вошел в состав 2232-страничного документа, утверждающего государственный бюджет, поэтому отдельных дебатов касательно его содержания не проводилось, как, впрочем, и отдельного слушания в Конгрессе.
В акте есть два ключевых пункта, облегчающих доступ правоохранительным органам США к ПД.
1. Запрос ПД пользователей у ИТ-компаний
Во-первых, отныне правоохранительные органы (от полицейских до агентов федеральной миграционной службы) имеют право запрашивать у ИТ-компаний доступ к данным вне зависимости от того, где эта информация хранится. Другими словами, полиция США может обязать Google или Facebook предоставить ПД пользователей, даже если они хранятся, например в Европе.
Учитывая, что многие глобальные ИТ-компании находятся в юрисдикции США, власти получают доступ к переписке, метаданным и учетным записям пользователей по всему миру. Теперь компании не смогут отказать в предоставлении данных, даже если это запрещено законодательством другого государства (как это было в случае с делом «Microsoft Ireland»).
2. Предоставление информации другим государствам
Вторая часть акта дает президенту и генеральной прокуратуре США возможность вступать с другими государствами в особые соглашения по обмену данными. В рамках этих соглашений страны могут запрашивать данные пользователей у американских ИТ-компаний, при условии, что они [пользователи] не являются гражданами Америки и не проживают на территории США.
Нет ограничений в том, с какими странами США может заключать эти соглашения. При этом Акт позволяет инициировать подобные договоры между странами без одобрения Конгресса.
Поддержка акта
ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо, в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».
Когда акт был утвержден, директор по правовым вопросам Microsoft Брэд Смит (Brad Smith) в своем твиттере сказал, что «это важный день для международных отношений и защиты личных данных во всем мире». Он также отметил, что акт позволит повысить доверие к технологиям, которыми мы пользуемся каждый день. Однако твит был встречен явной критикой пользователей сети.
/ фото Alexandre B CC
Критика акта
Остальное техническое сообщество не так однозначно поддерживает новый акт (особенно криптовалютные энтузиасты). Обсуждаются опасения, что он приведет к локализации данных, то есть стремлению каждой страны держать ПД граждан на «локальных» серверах.
Также акт подвергли критике многие американские общественные организации по защите прав человека. Более двадцати организаций, включая EFF (Electronic Frontier Foundation — Фонд электронных рубежей) и ACLU (American Civil Liberties Union — Американский союз защиты гражданских свобод), составили открытое письмо к Конгрессу, в котором указали на явные нарушения прав человека в CLOUD Act.
Речь идет о регулировании соглашений по передаче информации. Допустим, некоторая страна в рамках сотрудничества с правительством США обращается к Slack с целью получить личную переписку человека, являющегося резидентом этой страны. Slack, в случае передачи истории сообщений, также невольно раскрывает сообщения всех задействованных лиц в переписке.
Более того, CLOUD предоставляет возможность государству, получившему таким образом конфиденциальные данные об американских гражданах, передать их напрямую правоохранительным органам США без каких-либо дополнительных согласований, ордеров или судебных предписаний. Это можно трактовать как прямое нарушение Четвертой поправки к Конституции США.
Альтернатива: Договор о взаимном оказании правовой помощи
До принятия CLOUD Act правовые аспекты получения доступа к информации за рубежом регулировались с помощью MLAT (Mutual Legal Assistance Treaties — Договор о взаимном оказании правовой помощи). Этот договор был составлен в 2001 году при активном участии США и стран Европы (Россия решение Конвенции не признала). Он позволяет правоохранительным органам разных стран получить доступ к данным, хранящимся за рубежом, при содействии государства, в котором они хранятся.
MLAT имеет свои недостатки. В среднем срок рассмотрения одного запроса составляет около 10 месяцев, и к моменту получения информации от другого государства она в большинстве случаев уже не актуальна. Несмотря на несовершенство, система является важным переходным этапом развития международных отношений в сфере кибербезопасности, тем более что Совет Европы планирует в скором времени ее совершенствовать. Однако принятие CLOUD Act никак не способствует этому процессу, а в большей является его альтернативой.
P.S. Еще материалы из Первого блога о корпоративном IaaS:
- Размещение ГИС в облаке: какие здесь есть особенности
- Как устроена защита персональных данных: европейский подход
- Что нужно знать финансовой организации для работы с облаком
- Как тестируют безопасность облачных решений: устранение security-проблем
- Как повысить уровень защищенности облачной инфраструктуры
- 12 угроз облачной безопасности по версии Cloud Security Alliance
- Аварийное восстановление как услуга: преимущества и недостатки