Вот уже несколько лет в Германии идёт обсуждение, могут ли школы использовать программы Office 365 в связи с тем, что обработка данных происходит в облаке американской компании.
В августе 2017 года уполномоченный по защите данных и свободе информации земли Гессен (земля в центральной части Германии, население 6 млн человек) провёл детальное изучение немецкого облака Microsoft и прокомментировал, что Office 365 можно использовать в школах, если Microsoft предоставит надлежащий инструментарий (например, систему разрешений, ведение журнала и т. д.). Однако в августе 2018 года Microsoft решила закрыть облако на территории Германии.
Сейчас уполномоченный принял решение, что использование облачных приложений Office 365 больше недопустимо. Проблема не в облачных технологиях как таковых: многие школы в Гессене уже используют облачные решения. Однако правовое положение Office 365 отличается от обычного облака, поскольку конфиденциальные данные потенциально доступны американским властям. С Microsoft долго шёл диалог на эту тему, но компания не смогла предоставить надлежащих гарантий.
«Государственные учреждения в Германии несут особую ответственность за обработку персональных данных, — сказано в решении уполномоченного по защите данных и свободе информации. — Также должен быть обеспечен цифровой суверенитет государственной обработки данных. Кроме того, есть ещё одна проблема, на которую обратило внимание Федеральное управление по безопасности в области информационных технологий осенью 2018 года. При использовании операционной системы Windows 10 в корпорацию Microsoft передаётся большое количество данных телеметрии, содержимое которых не уточняется, несмотря на неоднократные запросы к корпорации Microsoft. Такие данные также передаются при использовании Office 365».
Юристы считают, что даже согласия родителей на обработку данных недостаточно, потому что при использовании Office 365 в облаке не гарантируются безопасность и понятность процессов обработки данных. Несколько американских законов, в том числе CLOUD Act 2018 и USA Freedom Act 2015, обязывают американские компании предоставить данные со своих дата-центров по требованию американского правительства.
Логика простая. Если конфиденциальные данные немецких школьников уходят в американскую юрисдикцию, то они попадают под действие законов США о массовой слежке за населением. А такие действия запрещены в Евросоюзе. Поэтому даже согласия родителей недостаточно: эти действия просто незаконны.
Уполномоченный по защите данных и свободе информации земли Гессен подчёркивает, что запрет на использование Office 365 в школах можно снять. Но всё зависит от самой Microsoft. Если она гарантирует защиту данных от доступа третьих лиц, а также решит проблему телеметрии, то Office 365 можно снова принять в качестве облачного решения для немецких школ. До этого времени школьники будут работать с локальными системами.
Всё, что сказано в отношении Office 365, относится и к другим облачным решениям, например, от Google и Apple, которые не обеспечивают достаточную прозрачность и ясные гарантии защиты конфиденциальных данных.
В прошлом году голландские следователи выяснили, что данные телеметрии могут включать в себя что угодно: от стандартной диагностической информации программ до пользовательского контента из внутренних приложений, например, отдельные предложения из документов или электронных писем. Власти Нидерландов пришли к выводу, что телеметрия Office 365 нарушает Общий регламент по защите данных (GDPR).
Аналогичные опасения о телеметрии Windows 10 позже высказало Федеральное управление по безопасности в области информационных технологий Германии.
Со своей стороны, Microsoft ещё в 2017 году выпустила документацию о типах данных, которые собирает телеметрия, и внедрила настройки приватности для снижения количества отправляемых данных (базовая/полная диагностика на скриншоте внизу).
Кроме того, Microsoft выпустила приложение для просмотра данных телеметрии Diagnostic Data Viewer.
Чтобы просматривать данные телеметрии, которые отправляются в Microsoft, нужно скачать и установить приложение из Microsoft Store, а также включить функцию записи телеметрии на диск (Settings → Privacy → Diagnostics & feedback).
Просмотр данных телеметрии выглядит примерно таким образом:
В августе 2017 года уполномоченный по защите данных и свободе информации земли Гессен (земля в центральной части Германии, население 6 млн человек) провёл детальное изучение немецкого облака Microsoft и прокомментировал, что Office 365 можно использовать в школах, если Microsoft предоставит надлежащий инструментарий (например, систему разрешений, ведение журнала и т. д.). Однако в августе 2018 года Microsoft решила закрыть облако на территории Германии.
Сейчас уполномоченный принял решение, что использование облачных приложений Office 365 больше недопустимо. Проблема не в облачных технологиях как таковых: многие школы в Гессене уже используют облачные решения. Однако правовое положение Office 365 отличается от обычного облака, поскольку конфиденциальные данные потенциально доступны американским властям. С Microsoft долго шёл диалог на эту тему, но компания не смогла предоставить надлежащих гарантий.
«Государственные учреждения в Германии несут особую ответственность за обработку персональных данных, — сказано в решении уполномоченного по защите данных и свободе информации. — Также должен быть обеспечен цифровой суверенитет государственной обработки данных. Кроме того, есть ещё одна проблема, на которую обратило внимание Федеральное управление по безопасности в области информационных технологий осенью 2018 года. При использовании операционной системы Windows 10 в корпорацию Microsoft передаётся большое количество данных телеметрии, содержимое которых не уточняется, несмотря на неоднократные запросы к корпорации Microsoft. Такие данные также передаются при использовании Office 365».
Юристы считают, что даже согласия родителей на обработку данных недостаточно, потому что при использовании Office 365 в облаке не гарантируются безопасность и понятность процессов обработки данных. Несколько американских законов, в том числе CLOUD Act 2018 и USA Freedom Act 2015, обязывают американские компании предоставить данные со своих дата-центров по требованию американского правительства.
Логика простая. Если конфиденциальные данные немецких школьников уходят в американскую юрисдикцию, то они попадают под действие законов США о массовой слежке за населением. А такие действия запрещены в Евросоюзе. Поэтому даже согласия родителей недостаточно: эти действия просто незаконны.
Уполномоченный по защите данных и свободе информации земли Гессен подчёркивает, что запрет на использование Office 365 в школах можно снять. Но всё зависит от самой Microsoft. Если она гарантирует защиту данных от доступа третьих лиц, а также решит проблему телеметрии, то Office 365 можно снова принять в качестве облачного решения для немецких школ. До этого времени школьники будут работать с локальными системами.
Всё, что сказано в отношении Office 365, относится и к другим облачным решениям, например, от Google и Apple, которые не обеспечивают достаточную прозрачность и ясные гарантии защиты конфиденциальных данных.
Подозрительная телеметрия
В прошлом году голландские следователи выяснили, что данные телеметрии могут включать в себя что угодно: от стандартной диагностической информации программ до пользовательского контента из внутренних приложений, например, отдельные предложения из документов или электронных писем. Власти Нидерландов пришли к выводу, что телеметрия Office 365 нарушает Общий регламент по защите данных (GDPR).
Аналогичные опасения о телеметрии Windows 10 позже высказало Федеральное управление по безопасности в области информационных технологий Германии.
Со своей стороны, Microsoft ещё в 2017 году выпустила документацию о типах данных, которые собирает телеметрия, и внедрила настройки приватности для снижения количества отправляемых данных (базовая/полная диагностика на скриншоте внизу).
Кроме того, Microsoft выпустила приложение для просмотра данных телеметрии Diagnostic Data Viewer.
Чтобы просматривать данные телеметрии, которые отправляются в Microsoft, нужно скачать и установить приложение из Microsoft Store, а также включить функцию записи телеметрии на диск (Settings → Privacy → Diagnostics & feedback).
Просмотр данных телеметрии выглядит примерно таким образом: