Ścigani w chmurze, czyli amerykański rząd przeszukuje zagraniczne serwery Microsoftu


www.fotolia.pl


Administracja USA ma prawo żądać od Microsoftu danych jego klientów przechowywanych w chmurze znajdującej się poza granicami Stanów Zjednoczonych. Nakaz sądowy zobowiązujący do wydania danych z serwerów zlokalizowanych w innym państwie nie stanowi rozszerzenia stosowania prawa amerykańskiego poza granice USA i nie wkracza w suwerenność innego kraju – tak w uproszczeniu uznał w dniu 31.07.2014 r. Sąd w Nowym Jorku (U.S. Federal District Court), podtrzymując decyzję sądu niższego rzędu (magistrate court). Rozstrzygnięcie nie jest ostateczne – Microsoft zapowiedział zwrócenie się do federalnego sądu odwoławczego. Co ważne, stanowisko amerykańskiego wymiaru sprawiedliwości może mieć niebagatelny wpływ na działalność dostawców cloud computingu oraz ochronę prywatności użytkowników Internetu także w Polsce.


Źródłem sporu Microsoftu z administracją rządową Stanów Zjednoczonych było zobowiązanie komputerowego giganta do wydania maili jednego z klientów, w związku z prowadzonym śledztwem dotyczącym handlu narkotykami. Microsoft wydał korespondencję mailową przechowywaną na serwerach w Stanach, odmówił natomiast wydania tej części wiadomości klienta, która była przechowywana w chmurze wyłącznie na serwerach zlokalizowanych w Irlandii.

Standardowo, w przypadku dowodów zlokalizowanych poza granicami USA, stosowano dotychczas zasady wynikające z zawartych pomiędzy poszczególnymi krajami umów międzynarodowych o wzajemnej pomocy prawnej. Konieczne było więc istnienie odpowiedniej umowy, a następnie współpraca lokalnych władz.

Przykładowo, Polska zawarła umowę ze Stanami Zjednoczonymi Ameryki o wzajemnej pomocy prawnej w sprawach karnych w 1996 r. (umowa została później uzupełniona/zmodyfikowana wskutek przystąpienia Polski do UE). Na podstawie tego dokumentu strony umowy mogą wzajemnie zwracać się do siebie o udzielanie określonych informacji, jak również np. o dostarczanie dokumentów, protokołów i dowodów rzeczowych, a także przeprowadzanie określonych czynności, w tym przeszukań. Co ważne, umowa w określonych przypadkach pozwala na odmowę przekazania dowodów, ograniczenie ich wykorzystania (np. wyłącznie dla potrzeb określonego śledztwa), albo żądania ich zwrotu.

Niejako „skróceniem” tej drogi w przypadku danych elektronicznych miałoby być wymaganie od firm mających swoje siedziby w USA ujawnienia/wydania informacji, do których firmy te posiadają zdalny dostęp, niezależnie od fizycznej lokalizacji serwera.

W ocenie Microsoftu, ale również innych dostawców usług typu cloud computing (CC) w stanach, maile przechowywane w postaci elektronicznej powinny mieć zagwarantowaną taką samą ochronę (w tym konstytucyjną) jak listy w formie papierowej, a więc organy publiczne nie mogą żądać ich wydania, jeżeli „fizycznie” znajdują się ona na terytorium państwa trzeciego – analogicznie co do zasady USA nie przysługuje przecież prawo do bezpośredniego zajęcia dokumentów przechowywanych przez amerykańską firmę w biurze zlokalizowanym za oceanem, może to zrobić w określonych przypadkach za zgodą i za pośrednictwem państwa, w którym fizycznie znajdują się dokumenty.

Spór dotyczy również tego, do kogo „należą” informacje umieszczane w chmurze. Wyrok w sprawie (i argumentacja agencji rządowej) może sugerować, że umieszczając dane w chmurze użytkownicy przestają mieć nad nimi kontrolę, a dane stają się częścią biznesowego zbioru danych dostawcy chmury, który to zbiór dostawcy w amerykańskim systemie prawnym jest znacznie słabiej chroniony niż np. dane/korespondencja osób prywatnych.

Ewentualne utrzymanie przedmiotowego rozstrzygnięcia może więc wywołać prawdziwe zamieszanie w chmurze. Teoretycznie, amerykańskie agencje uzyskają wyraźne przyzwolenie na żądanie od amerykańskich dostawców dostępu do danych przechowywanych/przesyłanych przez nich na rzecz klientów, niezależnie od lokalizacji danych czy narodowości klientów, na całym świecie. Taki model może zachęcić inne państwa do analogicznego zachowania – już teraz mówi się, że brytyjski rząd wdraża prawo nakazujące brytyjskim firmom udostępnianie maili użytkowników bez względu na to, na jakim serwerze (w jakim kraju) zostały one zapisane.

Na marginesie warto zauważyć, że rozstrzygnięcie zapadło po ujawnieniu przez p. Edwarda Snowdena, że amerykańska Agencja Bezpieczeństwa Narodowego NSA rzekomo monitorowała dane cyfrowe zagranicznych obywateli gromadzone przez firmy z USA. Od tego czasu dostawcy usług typu chmura obliczeniowa podejmowali wysiłki aby przekonać zagranicznych klientów, że ich dane są bezpieczne, wprowadzając m.in. możliwość wyboru fizycznej lokalizacji miejsca przetwarzania danych. Może się okazać, że to nie wystarczy i istotny będzie nie tylko adres centrum przetwarzania danych ale również adres siedziby usługodawcy.

Autorzy:


Mateusz Borkiewicz, aplikant adwokacki, konsultant w Kancelarii Olesiński & Wspólnicy, biuro we Wrocławiu
Grzegorz Leśniewski, aplikant adwokacki, starszy konsultant w Kancelarii Olesiński & Wspólnicy, biuro we Wrocławiu


Tagi: , , , ,

Komentarze do artykułu Ścigani w chmurze, czyli amerykański rząd przeszukuje zagraniczne serwery Microsoftu :

  1. [...] danych czy narodowości klientów, na całym świecie (o czym pisaliśmy na blogu tutaj: http://blog.e-prawnik.pl/scigani-w-chmurze-czyli-amerykanski-rzad-przeszukuje-zagraniczne-serwery-mi…), co istotnie wpływało na pogorszenie wizerunku amerykańskich dostawców, którzy od czasu [...]

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>