Подробнее об акте и о том, как к нему отнеслось сообщество и ИТ-компании, расскажем ниже.
/ фото angela n. CC
Что такое CLOUD Aсt
Clarifying Lawful Overseas Use of Data Act был впервые предложен 6 февраля 2018 года. Законопроект является поправкой к Stored Communications Act (SCA) — акту от 1986 года, регулирующему предоставление доступа правительства США к данным, находящимся в распоряжении интернет-провайдеров. CLOUD Act вошел в состав 2232-страничного документа, утверждающего государственный бюджет, поэтому отдельных дебатов касательно его содержания не проводилось, как, впрочем, и отдельного слушания в Конгрессе.
В акте есть два ключевых пункта, облегчающих доступ правоохранительным органам США к ПД.
1. Запрос ПД пользователей у ИТ-компаний
Во-первых, отныне правоохранительные органы (от полицейских до агентов федеральной миграционной службы) имеют право запрашивать у ИТ-компаний доступ к данным вне зависимости от того, где эта информация хранится. Другими словами, полиция США может обязать Google или Facebook предоставить ПД пользователей, даже если они хранятся, например в Европе.
Учитывая, что многие глобальные ИТ-компании находятся в юрисдикции США, власти получают доступ к переписке, метаданным и учетным записям пользователей по всему миру. Теперь компании не смогут отказать в предоставлении данных, даже если это запрещено законодательством другого государства (как это было в случае с делом «Microsoft Ireland»).
2. Предоставление информации другим государствам
Вторая часть акта дает президенту и генеральной прокуратуре США возможность вступать с другими государствами в особые соглашения по обмену данными. В рамках этих соглашений страны могут запрашивать данные пользователей у американских ИТ-компаний, при условии, что они [пользователи] не являются гражданами Америки и не проживают на территории США.
Нет ограничений в том, с какими странами США может заключать эти соглашения. При этом Акт позволяет инициировать подобные договоры между странами без одобрения Конгресса.
Поддержка акта
ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо, в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».
Когда акт был утвержден, директор по правовым вопросам Microsoft Брэд Смит (Brad Smith) в своем твиттере сказал, что «это важный день для международных отношений и защиты личных данных во всем мире». Он также отметил, что акт позволит повысить доверие к технологиям, которыми мы пользуемся каждый день. Однако твит был встречен явной критикой пользователей сети.
/ фото Alexandre B CC
Критика акта
Остальное техническое сообщество не так однозначно поддерживает новый акт (особенно криптовалютные энтузиасты). Обсуждаются опасения, что он приведет к локализации данных, то есть стремлению каждой страны держать ПД граждан на «локальных» серверах.
Также акт подвергли критике многие американские общественные организации по защите прав человека. Более двадцати организаций, включая EFF (Electronic Frontier Foundation — Фонд электронных рубежей) и ACLU (American Civil Liberties Union — Американский союз защиты гражданских свобод), составили открытое письмо к Конгрессу, в котором указали на явные нарушения прав человека в CLOUD Act.
Речь идет о регулировании соглашений по передаче информации. Допустим, некоторая страна в рамках сотрудничества с правительством США обращается к Slack с целью получить личную переписку человека, являющегося резидентом этой страны. Slack, в случае передачи истории сообщений, также невольно раскрывает сообщения всех задействованных лиц в переписке.
Более того, CLOUD предоставляет возможность государству, получившему таким образом конфиденциальные данные об американских гражданах, передать их напрямую правоохранительным органам США без каких-либо дополнительных согласований, ордеров или судебных предписаний. Это можно трактовать как прямое нарушение Четвертой поправки к Конституции США.
Альтернатива: Договор о взаимном оказании правовой помощи
До принятия CLOUD Act правовые аспекты получения доступа к информации за рубежом регулировались с помощью MLAT (Mutual Legal Assistance Treaties — Договор о взаимном оказании правовой помощи). Этот договор был составлен в 2001 году при активном участии США и стран Европы (Россия решение Конвенции не признала). Он позволяет правоохранительным органам разных стран получить доступ к данным, хранящимся за рубежом, при содействии государства, в котором они хранятся.
MLAT имеет свои недостатки. В среднем срок рассмотрения одного запроса составляет около 10 месяцев, и к моменту получения информации от другого государства она в большинстве случаев уже не актуальна. Несмотря на несовершенство, система является важным переходным этапом развития международных отношений в сфере кибербезопасности, тем более что Совет Европы планирует в скором времени ее совершенствовать. Однако принятие CLOUD Act никак не способствует этому процессу, а в большей является его альтернативой.
P.S. Еще материалы из Первого блога о корпоративном IaaS:
- Размещение ГИС в облаке: какие здесь есть особенности
- Как устроена защита персональных данных: европейский подход
- Что нужно знать финансовой организации для работы с облаком
- Как тестируют безопасность облачных решений: устранение security-проблем
- Как повысить уровень защищенности облачной инфраструктуры
- 12 угроз облачной безопасности по версии Cloud Security Alliance
- Аварийное восстановление как услуга: преимущества и недостатки
Комментарии (20)
sumanai
31.03.2018 21:45ИТ-гиганты Microsoft, Google, Facebook, Apple и Oath (раньше Yahoo) составили письмо, в котором одобрили законопроект, назвав его «заметным прогрессом в сфере защиты прав потребителей». Они также указали, что CLOUD Act позволит «лучше защитить пользователей, благодаря интернациональным соглашениям».
Защита прав, ага. Хоть бойкот им объявляй, но толку то, 95% населения пофиг.
Теперь компании не смогут отказать в предоставлении данных, даже если это запрещено законодательством другого государства
Интересно, как компании будут решать это противоречие. ЕС весьма жёстко защищает ПД своих граждан. Или работать в США, или в Европе? Терпеть убытки? Все забьют? Заключат договора и типа всё в порядке?vikarti
01.04.2018 06:14Возможный вариант — а пример Китая. Сервис для китайцев должен быть китайской компанией и не 100% принадлежащей иностранцам. Хостинг локальный. Админы локальные. За лицензии на использование софта платить иностранцам — пожалуйста. Но подчиняется только локальному законодательству, вытащить что-то иностранный владелец не может. Но вот США ТОЧНО хочет чтобы Европа пошла этим путем заявив что им плевать как допустим Facebook будет это реализовывать но если не реализуют — штраф 4% от годового дохода за каждый случай когда данные уплыли без санкции властей ЕС? Россия в стороне наверняка тоже не останется («зарубежный опыт» и все такое + добавится местная специфика на тему быстрого принятия закона что ООО «Гугл» обязано быстро быстро предоставлять любые данные а ответ «да мы тут вообще рекламой занимается а к этим данным только в Калифорнии доступ есть» — препятствие законному исполнению судебного(или, учитывая специфику — не только судебного) решения, тюрьма сидеть + штраф).
sotnikdv
01.04.2018 03:34Подавляющему большинству просто пофиг и оно об этом никогда не задумывалось. Еще очень значительное количество одобряет под лозунгом «мне нечего скрывать, я не преступник». И часть просто говорит «ну плохо, а что мы сделаем?»
Я попробовал вырезать все, что за мной следит — по-сути остался без половины интернета и большей части сервисов.
Поэтому идея простая — белый, серый, черный профили.
Белый — законно и не осуждается обществом (примеры — поехал на встречу по работе, путешествую, пишу статью про котиков и т.д.). Это то, что я не боюсь показать жене, родителям, коллегам и друзьям. Просто не охраняю. Кто там из властей хочет посмотреть? Копию скинуть? А вот в паблик нельзя, буду судиться.
Серый — законно (или административка), но осуждается обществом (примеры — пишу злобные комментарии, хожу на порносайты, поехал к любовнице, зашел на сайт сексигрушек, кадрил кого-то на сайте знакомств и т.д.). Программное разделение, отдельные браузеры, криптоконтейнеры, впн и т.д. Делаю все, что-бы его нельзя было достать и со мной связать. Но даже если достанут, окей, да, это я ходил на порнохаб и смотрел видео с негритянками, что дальше? И фильм «мстители 9 эра долбоконов» я скачал с торрента, предположим. Хотите опубликовать? А смысл? А судиться? А оно вам надо?
Черный — незаконно. Лично я не занимаюсь т.к. для меня в США выгода несопоставима с возможными потерями и затратами на сохранение тайны. Не знаю, но начать нужно с отдельного железа и доступа к инету, не связанного с твоей локацией и ежедневной активностью.
Мне кажется, это единственный оставшийся вариант — сокращать то, что ты считаешь приватным и уже его защищать нормально.
А, и еще, пора перестать отдавать на сторону «серый профиль» и удивляться потом, что оно уплыло. А то смешно выходит, сначала пишем о себе все сами, а потом удивляемся, что его читают. Просто по умолчанию считать, что нет приватности, кроме той, о которой ты сам позаботился, увы.
ИМХОPilat
02.04.2018 08:38Профили не решают. Пример: живёшь в Луганске.
2013 — украинец и свободно пишешь и о Москве и о Киеве.
2017: ЛНР'овец, общество ЛНР'овское, писать проукраински опасно.
20X1: особая зона UKR, писать можно только хорошо про Киев, плохо про Москву.
20X2: особая зона RUS, писать можно только хорошо про Москву, плохо про Львов.
И как тут поддерживать белый профиль? Оставить в нём только котиков? А если новая власть будет против котов но за собак?
sotnikdv
03.04.2018 04:03+1По существу вы правы. Самое интересное, что просто на долгом сроке, то, что сегодня нормально, лет через 20 может стать совсем ненормальным, смотрим на #metoo скандал. А посты останутся.
Но лучшего решения у меня нет.
Маленькая придирка, я не знаю, как будет в 20Х1, но конкретно сейчас писать плохо про Киев в Украине нет никаких проблем. Там только про отдых инкогните главнокомандующего на Мальдивах стебались прямо в Киеве со сцены. Долго, со вкусом и на весь огромный зал. Может в будущем гайки и закрутят, но был уже один с ключом. И это дает надежду. Свобода слова и свободная пресса, пусть даже в зачаточном состоянии. Ну да бог с ним, не будем.
vikarti
01.04.2018 06:04Вот что интересно так это два вопроса:
— как ЭТО стыкуется с GDPR (и 242-ФЗ но в меньшей степени). Особенно требования GDPR давать возможность удалять пользователям данные (Apple в developer-рассылке даже специально расписала как они модифицируют iCloud чтобы у пользователей была такая возможность).
— работает ли оно 'по цепочке'. Допустим мои данные (ИП-клиента хостинга) есть у ИТ-Град ). Деятельность полностью законна по Российским законам и у Российских властей — претензий не имеется. ИТ-Град насколько понимаю Российская компания и напрямую CLOUD Act их не касается. Можно ли в рамках CLOUD Act потребовать от VMware поставлять ИТ-Град 'особую' версию VMware со спецпатчами которая позволит VMware получить доступ к моей (и остальных клиентов ИТ-Град) информации.
(ВКонтакте не использован примером именно чтобы более широко рассмотреть сферу).
tim_leon
01.04.2018 11:30+1По сути, просто официальное признание совершаемых действий, которыми занимаются спецслужбы, но вот слова крупных ИТ компаний довольно смешные…
vlsinitsyn
01.04.2018 11:49А как на это отреагировал Дуров? Телеграм вроде как имеет официальную регистрацию (одну из) в США.
YuriM1983
Не вижу сотен комментариев «Трамп слетел с катушек. Пора валить из СШАшки». Что случилось?
sumanai
Данный ресурс предназначен для русскоязычной аудитории, и многие его читатели находятся в России. А среди тех, кто живёт за рубежом, доля живущих в США не так велика. Кричать просто некому, валить некуда.
vladoos
После Сноудена всем и так стало очевидно что свобод и правах человека в сети со стороны западных держав нет как класса. Да и вообще доверие к институту свобод на западе стало больше продуктом на экспорт, так сказать бусы для аборигенов. В самих западных странах все понимают, что развитой мир стремительно несется к эпохе цифрового диктата и сегодня это только вопрос несовершенства технологий анализа больших данных, а юридическую базу для этого придумают под любым предлогом.
YuriM1983
Как красиво написано. А почему в темах про Россию такой красоты не видно?
Singaporian
Да здесь так-то и на тему симметричных российских действий не часто кто-то истерит. Публика все ж более-менее интеллигентная.
lain8dono
Мы привыкли. У нас законы подгоняются под хотелки органов в промышленных масштабах. Доступ требуют неограниченный никем и ничем. То, до чего не могут дотянутся, то стараются отрезать целиком. Потихоньку строят аналог Великого Китайского Файрвола. При этом всём прикрывают свои намерения разве что подорожником.
В сравнении с этим получение доступа через суд в стране, где работают суды — это мелочь. На столько мелочь, что можно упомянуть, но обсуждать не особо интересно.
syouth
Вы конечно простите, но в последние годы работоспособность юридической системы США вызывает большие вопросы.