CLOUD Aсt: новый законопроект США открывает доступ к персональным данным за рубежом

    На прошлой неделе, 23 марта 2018 года, Конгрессом США был принят законопроект, получивший название CLOUD Act. Он значительно расширяет возможности правоохранительных органов Соединенных Штатов по доступу к частной информации в сети.

    Подробнее об акте и о том, как к нему отнеслось сообщество и ИТ-компании, расскажем ниже.


    / фото angela n. CC

    Что такое CLOUD Aсt


    Clarifying Lawful Overseas Use of Data Act был впервые предложен 6 февраля 2018 года. Законопроект является поправкой к Stored Communications Act (SCA) — акту от 1986 года, регулирующему предоставление доступа правительства США к данным, находящимся в распоряжении интернет-провайдеров. CLOUD Act вошел в состав 2232-страничного документа, утверждающего государственный бюджет, поэтому отдельных дебатов касательно его содержания не проводилось, как, впрочем, и отдельного слушания в Конгрессе.

    В акте есть два ключевых пункта, облегчающих доступ правоохранительным органам США к ПД.

    1. Запрос ПД пользователей у ИТ-компаний

    Во-первых, отныне правоохранительные органы (от полицейских до агентов федеральной миграционной службы) имеют право запрашивать у ИТ-компаний доступ к данным вне зависимости от того, где эта информация хранится. Другими словами, полиция США может обязать Google или Facebook предоставить ПД пользователей, даже если они хранятся, например в Европе.

    Учитывая, что многие глобальные ИТ-компании находятся в юрисдикции США, власти получают доступ к переписке, метаданным и учетным записям пользователей по всему миру. Теперь компании не смогут отказать в предоставлении данных, даже если это запрещено законодательством другого государства (как это было в случае с делом «Microsoft Ireland»).

    2. Предоставление информации другим государствам

    Вторая часть акта дает президенту и генеральной прокуратуре США возможность вступать с другими государствами в особые соглашения по обмену данными. В рамках этих соглашений страны могут запрашивать данные пользователей у американских ИТ-компаний, при условии, что они [пользователи] не являются гражданами Америки и не проживают на территории США.

    Нет ограничений в том, с какими странами США может заключать эти соглашения. При этом Акт позволяет инициировать подобные договоры между странами без одобрения Конгресса.

    Поддержка акта


    ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо, в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».

    Когда акт был утвержден, директор по правовым вопросам Microsoft Брэд Смит (Brad Smith) в своем твиттере сказал, что «это важный день для международных отношений и защиты личных данных во всем мире». Он также отметил, что акт позволит повысить доверие к технологиям, которыми мы пользуемся каждый день. Однако твит был встречен явной критикой пользователей сети.


    / фото Alexandre B CC

    Критика акта


    Остальное техническое сообщество не так однозначно поддерживает новый акт (особенно криптовалютные энтузиасты). Обсуждаются опасения, что он приведет к локализации данных, то есть стремлению каждой страны держать ПД граждан на «локальных» серверах.

    Также акт подвергли критике многие американские общественные организации по защите прав человека. Более двадцати организаций, включая EFF (Electronic Frontier Foundation — Фонд электронных рубежей) и ACLU (American Civil Liberties Union — Американский союз защиты гражданских свобод), составили открытое письмо к Конгрессу, в котором указали на явные нарушения прав человека в CLOUD Act.

    Речь идет о регулировании соглашений по передаче информации. Допустим, некоторая страна в рамках сотрудничества с правительством США обращается к Slack с целью получить личную переписку человека, являющегося резидентом этой страны. Slack, в случае передачи истории сообщений, также невольно раскрывает сообщения всех задействованных лиц в переписке.

    Более того, CLOUD предоставляет возможность государству, получившему таким образом конфиденциальные данные об американских гражданах, передать их напрямую правоохранительным органам США без каких-либо дополнительных согласований, ордеров или судебных предписаний. Это можно трактовать как прямое нарушение Четвертой поправки к Конституции США.

    Альтернатива: Договор о взаимном оказании правовой помощи


    До принятия CLOUD Act правовые аспекты получения доступа к информации за рубежом регулировались с помощью MLAT (Mutual Legal Assistance Treaties — Договор о взаимном оказании правовой помощи). Этот договор был составлен в 2001 году при активном участии США и стран Европы (Россия решение Конвенции не признала). Он позволяет правоохранительным органам разных стран получить доступ к данным, хранящимся за рубежом, при содействии государства, в котором они хранятся.

    MLAT имеет свои недостатки. В среднем срок рассмотрения одного запроса составляет около 10 месяцев, и к моменту получения информации от другого государства она в большинстве случаев уже не актуальна. Несмотря на несовершенство, система является важным переходным этапом развития международных отношений в сфере кибербезопасности, тем более что Совет Европы планирует в скором времени ее совершенствовать. Однако принятие CLOUD Act никак не способствует этому процессу, а в большей является его альтернативой.



    P.S. Еще материалы из Первого блога о корпоративном IaaS:

    ИТ-ГРАД
    421,00
    vmware iaas provider
    Поделиться публикацией

    Комментарии 24

      –7
      Не вижу сотен комментариев «Трамп слетел с катушек. Пора валить из СШАшки». Что случилось?
        +9
        Данный ресурс предназначен для русскоязычной аудитории, и многие его читатели находятся в России. А среди тех, кто живёт за рубежом, доля живущих в США не так велика. Кричать просто некому, валить некуда.
          +5
          После Сноудена всем и так стало очевидно что свобод и правах человека в сети со стороны западных держав нет как класса. Да и вообще доверие к институту свобод на западе стало больше продуктом на экспорт, так сказать бусы для аборигенов. В самих западных странах все понимают, что развитой мир стремительно несется к эпохе цифрового диктата и сегодня это только вопрос несовершенства технологий анализа больших данных, а юридическую базу для этого придумают под любым предлогом.
            +1
            Как красиво написано. А почему в темах про Россию такой красоты не видно?
            0
            Да здесь так-то и на тему симметричных российских действий не часто кто-то истерит. Публика все ж более-менее интеллигентная.
              +2

              Мы привыкли. У нас законы подгоняются под хотелки органов в промышленных масштабах. Доступ требуют неограниченный никем и ничем. То, до чего не могут дотянутся, то стараются отрезать целиком. Потихоньку строят аналог Великого Китайского Файрвола. При этом всём прикрывают свои намерения разве что подорожником.


              В сравнении с этим получение доступа через суд в стране, где работают суды — это мелочь. На столько мелочь, что можно упомянуть, но обсуждать не особо интересно.


              Как-то так

                +2

                Вы конечно простите, но в последние годы работоспособность юридической системы США вызывает большие вопросы.

              +2
              ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо, в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».

              Защита прав, ага. Хоть бойкот им объявляй, но толку то, 95% населения пофиг.
              Теперь компании не смогут отказать в предоставлении данных, даже если это запрещено законодательством другого государства

              Интересно, как компании будут решать это противоречие. ЕС весьма жёстко защищает ПД своих граждан. Или работать в США, или в Европе? Терпеть убытки? Все забьют? Заключат договора и типа всё в порядке?
                0
                Возможный вариант — а пример Китая. Сервис для китайцев должен быть китайской компанией и не 100% принадлежащей иностранцам. Хостинг локальный. Админы локальные. За лицензии на использование софта платить иностранцам — пожалуйста. Но подчиняется только локальному законодательству, вытащить что-то иностранный владелец не может. Но вот США ТОЧНО хочет чтобы Европа пошла этим путем заявив что им плевать как допустим Facebook будет это реализовывать но если не реализуют — штраф 4% от годового дохода за каждый случай когда данные уплыли без санкции властей ЕС? Россия в стороне наверняка тоже не останется («зарубежный опыт» и все такое + добавится местная специфика на тему быстрого принятия закона что ООО «Гугл» обязано быстро быстро предоставлять любые данные а ответ «да мы тут вообще рекламой занимается а к этим данным только в Калифорнии доступ есть» — препятствие законному исполнению судебного(или, учитывая специфику — не только судебного) решения, тюрьма сидеть + штраф).
              • НЛО прилетело и опубликовало эту надпись здесь
                  –11

                  Противно это признавать, но 242-ой ФЗ теперь выглядит вполне разумно.

                    +9
                    Подавляющему большинству просто пофиг и оно об этом никогда не задумывалось. Еще очень значительное количество одобряет под лозунгом «мне нечего скрывать, я не преступник». И часть просто говорит «ну плохо, а что мы сделаем?»

                    Я попробовал вырезать все, что за мной следит — по-сути остался без половины интернета и большей части сервисов.

                    Поэтому идея простая — белый, серый, черный профили.

                    Белый — законно и не осуждается обществом (примеры — поехал на встречу по работе, путешествую, пишу статью про котиков и т.д.). Это то, что я не боюсь показать жене, родителям, коллегам и друзьям. Просто не охраняю. Кто там из властей хочет посмотреть? Копию скинуть? А вот в паблик нельзя, буду судиться.

                    Серый — законно (или административка), но осуждается обществом (примеры — пишу злобные комментарии, хожу на порносайты, поехал к любовнице, зашел на сайт сексигрушек, кадрил кого-то на сайте знакомств и т.д.). Программное разделение, отдельные браузеры, криптоконтейнеры, впн и т.д. Делаю все, что-бы его нельзя было достать и со мной связать. Но даже если достанут, окей, да, это я ходил на порнохаб и смотрел видео с негритянками, что дальше? И фильм «мстители 9 эра долбоконов» я скачал с торрента, предположим. Хотите опубликовать? А смысл? А судиться? А оно вам надо?

                    Черный — незаконно. Лично я не занимаюсь т.к. для меня в США выгода несопоставима с возможными потерями и затратами на сохранение тайны. Не знаю, но начать нужно с отдельного железа и доступа к инету, не связанного с твоей локацией и ежедневной активностью.

                    Мне кажется, это единственный оставшийся вариант — сокращать то, что ты считаешь приватным и уже его защищать нормально.

                    А, и еще, пора перестать отдавать на сторону «серый профиль» и удивляться потом, что оно уплыло. А то смешно выходит, сначала пишем о себе все сами, а потом удивляемся, что его читают. Просто по умолчанию считать, что нет приватности, кроме той, о которой ты сам позаботился, увы.

                    ИМХО
                      0

                      Профили не решают. Пример: живёшь в Луганске.
                      2013 — украинец и свободно пишешь и о Москве и о Киеве.
                      2017: ЛНР'овец, общество ЛНР'овское, писать проукраински опасно.
                      20X1: особая зона UKR, писать можно только хорошо про Киев, плохо про Москву.
                      20X2: особая зона RUS, писать можно только хорошо про Москву, плохо про Львов.


                      И как тут поддерживать белый профиль? Оставить в нём только котиков? А если новая власть будет против котов но за собак?

                        +1
                        По существу вы правы. Самое интересное, что просто на долгом сроке, то, что сегодня нормально, лет через 20 может стать совсем ненормальным, смотрим на #metoo скандал. А посты останутся.
                        Но лучшего решения у меня нет.

                        Маленькая придирка, я не знаю, как будет в 20Х1, но конкретно сейчас писать плохо про Киев в Украине нет никаких проблем. Там только про отдых инкогните главнокомандующего на Мальдивах стебались прямо в Киеве со сцены. Долго, со вкусом и на весь огромный зал. Может в будущем гайки и закрутят, но был уже один с ключом. И это дает надежду. Свобода слова и свободная пресса, пусть даже в зачаточном состоянии. Ну да бог с ним, не будем.
                      0
                      Вот что интересно так это два вопроса:
                      — как ЭТО стыкуется с GDPR (и 242-ФЗ но в меньшей степени). Особенно требования GDPR давать возможность удалять пользователям данные (Apple в developer-рассылке даже специально расписала как они модифицируют iCloud чтобы у пользователей была такая возможность).
                      — работает ли оно 'по цепочке'. Допустим мои данные (ИП-клиента хостинга) есть у ИТ-Град ). Деятельность полностью законна по Российским законам и у Российских властей — претензий не имеется. ИТ-Град насколько понимаю Российская компания и напрямую CLOUD Act их не касается. Можно ли в рамках CLOUD Act потребовать от VMware поставлять ИТ-Град 'особую' версию VMware со спецпатчами которая позволит VMware получить доступ к моей (и остальных клиентов ИТ-Град) информации.
                      (ВКонтакте не использован примером именно чтобы более широко рассмотреть сферу).
                        +2
                        По сути, просто официальное признание совершаемых действий, которыми занимаются спецслужбы, но вот слова крупных ИТ компаний довольно смешные…
                          0
                          А как на это отреагировал Дуров? Телеграм вроде как имеет официальную регистрацию (одну из) в США.
                            0
                            Дуров профессиональный лингвист и по военной специальности специалист в области информационно-психологического воздействия (пропаганды). Что бы он не сказал, это будет ИПВ разработанное профессионалом даже с лингвистической точки зрения. Сейчас уже модно не смотреть не только телевизор, но и ютуб, и не читать блогеров. Токсичные IT-компании, торгующие данными пользователей уже прошли пик популярности, как сигареты, которые рекламировались врачами в 50-х не популярны сейчас. В скором будущем, неупотребление токсичной информации будет признаком ЗОЖ, как отказ от курения сегодня. Компьютер снова превратится в рабочий инструмент, а дома люди не заходят иметь даже точки доступа к каналам информации, как сварщик не очень то хочет в нерабочее время варить и превращать свое жилище в сварочный цех. Реально уже многие люди с авангардным мышлением переходят на кнопочные телефоны и стараются дома поддерживать цифровую диету, не употребляя информацию после 18:00.
                            0
                            С 1ым апреля? (надеюсь)
                            0
                            Странно, что никто не пишет о гораздо большей проблеме – принятом Конгрессом США FOSTA-SESTA, который вводит ответственность онлайн-ресурсов за пользовательскую информацию. То есть теперь тролль может зайти на любой ресурс, запостить там запрещенку в комментах, после чего ресурсу будет угрожать закрытие. Закономерное следствие – ужесточение правил модерации и полный отказ пользовательского общения (комментариев, форумов) на ресурсах, которые попросту не имеют ресурсов следить за всеми пользовательскими сообщениями.
                              0
                              Пишут. На западных сайтах. И ОЧЕНЬ много.
                              Там не про любую информацию вообще запрет а формально про очень узкой спектр конкретной плохой информации по human trafficking но вот способы и последствия в том числе в плане CDA 230 (который и ввел правило что ресурс не отвечает за пользователей)… некоторым ресурсам наоборот выгоднее вообще в принципе не модерировать даже автоматическими средствами (и потом говорить что а мы ж не знали), не говоря уже о каком сотрудничестве.
                              Ну и для троллей раздолье конечно да.
                              0
                              ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо, в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».

                              Это же Оруэлл.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое