США в шаге от принятия опасного законопроекта по перехвату данных — CLOUD Act

Американские конгрессмены включили в проект бюджета на текущий год затраты на законопроект, который может кардинально изменить систему получения доступа к данным, хранящимся на зарубежных серверах и в облачных хранилищах.

В принятый 22 марта Палатой представителей Конгресса США проект федерального бюджета на 2018 г. были заложены затраты на реализацию Закона “об уточнении правомерности использования хранящихся за рубежом данных” (CLOUD Act). Законопроект CLOUD Act, впервые представленный сенаторами 6 февраля 2018 года, уточняет и дополняет Закон о хранении информации, принятый в 1986 году.

Проблема передачи данных, хранящихся на зарубежных серверах, является очень острой для американских правоохранителей, поскольку компании, владеющие этими данным, часто не готовы выполнять требования властей, опасаясь нарушения законодательства иностранного государства. Многие из таких отказов вылились в продолжительные судебные процессы. 

Одним из самых громких процессов стало судебное разбирательство между США и компанией Microsoft. Пять лет назад Министертво юстиции США выдало компании ордер на передачу персональных данных одного из её клиентов, подозреваемого в незаконной деятельности. Проблема заключалась в том, что, во-первых, запрос касался гражданина Ирландии, а, во-вторых, его персональные данные хранились на находящихся в Ирландии серверах. Продолжительное разбирательство, дошедшее в итоге до Верховного суда США, ставит целый ряд важных вопросов, связанных с защитой конфиденциальности потребителей и обеспечением безопасности в условиях цифрового общества.

Для разрешения подобных ситуаций как раз и был разработан CLOUD Act. Как можно понять по его названию, законопроект призван внести ясность в процессы передачи персональных данных, хранящихся в различных юрисдикциях, по запросу иностранного государства.

Законопроект имеет поддержку в обеих палатах Конгресса, а также получил положительные отзывы экспертного сообщества и представителей IT-компаний. Сторонники CLOUD Act считают, что он значительно упростит работу правоохранительных органов с персональными данными, а также снизит временные издержки и финансовые затраты на проведение судебных процессов.

Благодаря тому, что CLOUD Act конкретизирует процедуры передачи данных между США и иностранным государством, заключившим с американским государством специальный договор, он позволит правоохранителям обеих стран получать доступ к данным пользователей, хранящимся на территории этих стран, а также в облачных хранилищах, находящихся вне юрисдикции любых судебных систем.

Можно выделить несколько ключевых аспектов, связанных с данным законопроектом:

.

CLOUD Act ликвидирует существующие механизмы защиты данных, хранящихся за рубежом

В законе четко прописано, что поставщики услуг электронной связи будут обязаны передавать данные уполномоченным органам независимо от конкретной юрисдикции, в которой они хранятся.

На данный момент американские суды и правоохранительные органы не имеют возможности прямо запрашивать у компаний такие данные, действуя исключительно в рамках громоздкой системы Договоров о взаимной правовой помощи (MLAT). Такие договоры, заключаемые на межнациональном уровне, позволяют правоохранительным органам двух государств обмениваться данными, хранящимися их территории. При этом они не конкретизируют сам механизм передачи данных. Он регулируется исключительно национальным законодательством каждой из стран, что создает многочисленные противоречия, ведущие к судебным разбирательствам.

.

Высшие должностные лица США (включая Президента) смогут напрямую заключать с иностранными государствами соглашения, позволяющие осуществлять обмен хранимыми данным

Законопроект предоставит генеральному прокурору, государственному секретарю и президенту полномочия заключать соглашения об обмене данными с иностранными правительствами без одобрения Конгресса. При этом процедуры передачи данных, предусмотренные в CLOUD Act, могут быть применены только в рамках подобных двусторонних договоров. Очевидно, что это будут договоры с дружественными Соединенным Штатам странами. Однако далеко не все союзники США являются демократическими правовыми государствами. Страна, с которой высшие должностные лица заключают соглашения, не обязательно должна соответствовать строгим нормам в области прав человека. В законопроекте предусматривается, что органы исполнительной власти могут рассматривать в качестве одного из факторов заключения договоров соблюдение иностранным государством прав человека, однако эти положения не дают однозначного ответа на вопрос, какие нарушения будут служить критерием отказа от заключения договора с такими государствами. В настоящее время договоры о взаимной правовой помощи после процесса обсуждения органами исполнительной власти должны быть ратифицированы Сенатом. Процесс ратификации гарантирует контроль законодателей над принятием обязательств, касающихся всех американских граждан (поскольку подавляющее большинство запросов правоохранителей из разных стран в рамках системы MLAT касаются персональных данных, хранящихся на территории США). В случае, если CLOUD Act будет принят в текущем виде, обе палаты Конгресса смогут лишь направить президенту совместную резолюцию, требуя отмены решения о заключении двустороннего договора. Если президент наложит вето на эту резолюцию, для его преодоления (и, соответственно, окончательного отказа от заключения договора) потребуется 2/3 голосов членов обеих палат, что может быть весьма затруднительным.

.

У компаний все же останется возможность для оспаривания полученного запроса

Это будет возможно в двух случаях: а) если запрошенные персональные данные относятся не гражданам и резидентам США; б) если передача персональных данных приведет к прямому нарушению компанией законодательства государства, в пределах юрисдикции которого эти данные хранятся.

На основе текущей версии законопроекта пока нельзя утверждать, должны ли два этих условия выполняться одновременно, или для отказа передавать данные достаточно только одного из них.

.

Цифровые правозащитники ведут активную борьбу против принятия законопроекта

Фонд электронных рубежей (Electronic Frontier Foundation) выразил опасения, что CLOUD Act приведет к “опасному расширению полицейского контроля над трансграничными данными”, и выделил несколько причин, по которым законопроект нарушает право на неприкосновенность частной жизни.

• Он разрешит иностранным правоохранительным органам получать и просматривать личную переписку пользователей у американских компаний без получения на то судебного ордера в США.

• Он позволит иностранным государствам требовать персональные данные, хранящиеся на серверах в Соединенных Штатах, без предварительного рассмотрения судебными органами.

• Он может разрешить иностранным правоохранительным органам получать персональные данные человека без информирования его об этом.

• Он уполномочивает американских правоохранителей на перехват любых данных, независимо от того, относятся ли они к гражданам США, равно как и от того, в какой юрисдикции они хранится.

Принятие законопроекта CLOUD Act может кардинально изменить всю архитектуру международных договоров об обмене данными между правоохранительными органами. В текущей редакции законопроекта заложены существенные риски для прав как американских граждан, так и граждан государств, систематически нарушающих права человека, чьи персональные данные хранятся на территории США. И хотя в ходе дальнейших обсуждений в него могут быть внесены важные изменения и уточнения, включение расходов на CLOUD Act в проект бюджета может говорить об уверенности конгрессменов в его скором принятии.

UNBELIEVABLE: Congress has attached the #CLOUDAct to the 2,232 page omnibus package the government must now pass by Friday. How many lawmakers will even know what they're voting for? This bill undermines our online privacy. SAY NO: https://t.co/3FE3xVjw9H pic.twitter.com/WezqVphZ76

— Fight for the Future (@fightfortheftr) March 22, 2018

.

Материал подготовил: Максим Волков,
специально для РосКомСвободы

Читайте также:

В США обсудят механизмы доступа к данным пользователей на зарубежных серверах
? 
Тотальная слежка и кибератаки ускоряют массовый переход на протокол HTTPS
?
Американские парламентарии проголосовали за продление программы массовой слежки
?
Privacy International представила «Гид по международному праву и слежке»
?
В ООН изучат проблему соблюдения прав человека в цифровую эпоху