Въпреки че големите компании твърдят, че данните ви, съхранявани в облачните услуги, са защитени, те са твърде уязвими, ако към тях посегне съдът
Александър Терзиев
Представете си следната ситуация - играете любимата си онлайн игра. Там се запознавате с ваш съотборник, с когото намирате общ език и решавате да обменяте информация за играта - по мейл, по чата в играта или по някаква друга онлайн система за комуникация. В един хубав ден включвате новините и разбирате за извършен атентат в САЩ. А извършителят се оказва новият ви приятел. Звучи като кошмарен сценарий, но има и други варианти: да се окаже наркодилър или да извърши някакво друго престъпление. Тъй като ФБР ще събира всякакви данни за него, включително и личната му кореспонденция, означава ли това, че те ще могат директно да прочетат и вашите мейли, съобщения и всякаква друга лична информация дори и те да се намират на сървъри в Европа? Отговорът на това за жителите на Европа би трябвало да е категорично „не" - американските власти трябва да поискат първо разрешение от европейските. Това зависи от две споразумения между ЕС и САЩ за защита на личните данни - „Чадър" и „Щит", които изискват, първо, информирането на местните служби и, второ - позволяват на потребителите да питат за какво се ползват данните им.
Едно решение на първа инстанция от съда във Филаделфия от началото на февруари обаче е на път да позволи достъп на американските служби до сървърите на американски компании, намиращи се в други държави, включително и в ЕС. Става въпрос за дело на ФБР срещу Google, с което бюрото иска от съда да задължи компанията да предостави информация, намираща се на нейни сървъри извън САЩ. Съдът е решил в полза на контраразузнавателната служба. Това далеч не означава, че те ще могат да получат и достъп до информация в България, но е очевидна първа стъпка в тази насока.
Подобно решение далеч не е първото, което съдът в САЩ взема спрямо данните на технологична компания, намиращи се на чуждестранни сървъри. Прецедентът всъщност беше създаден в средата на 2015 г., когато апелативният съд в Ню Йорк отказа достъп на ФБР до мейл акаунта на заподозрян в търговия с наркотици. Причината беше, че данните се намираха на сървър на софтуерния гигант в Ирландия, което пък от своя страна би означавало прилагане на американското законодателство извън неговото териториално действие. В решението си съдът в Ню Йорк прави констатация, която впоследствие ще се окаже изключително важна като аргумент за този във Филаделфия да се отклони от създадения прецедент. Тя е, че Microsoft целенасочено е преместил данните на потребителя в Ирландия въз основа на принципа те да се намират най-близо до физическото му местонахождение и знае на кой точно сървър се намират те. Случаят с облачните услуги на Google, от които се изискват данни, е коренно различен.
Накратко, проблемът, констатиран от съдия Рютер, е следният. Google има достъп до данните на своите сървъри. Потребителят също. Обаче нито Google, нито потребителят знаят къде точно се намират те. Съдия Рютер посочва, че местонахождението на данните не съответства на това къде е потребителят. Нещо повече - те се съхраняват под формата на отделни парчета (shards), като всяко отделно парче може да се намира в различна държава. Или пък същевременно части от тях да се намират в САЩ, т.е. в юрисдикцията на американското законодателство. И всичко това се променя постоянно.
Предвид архитектурата на Google съдът във Филаделфия счита, че принципът от делото на Microsoft не е приложим. Затова предлага следното решение - данните на потребителя, до които Google има пълен достъп, да бъдат копирани на едно място в САЩ и така вече да бъдат предоставени на разследващите органи. Според съдия Рютер по този начин няма да се наруши принципът за териториално действие.
Казусът от Филаделфия е важен поради две причини. Съдът държи сметка за особеностите на една нова технология. Същевременно за пръв път се позволява на американските служби да извършат претърсване извън САЩ. Означава ли това, че службите ще могат безразборно да получават данни от чуждестранни сървъри? Отговорът е по-скоро не.
За да бъдат изискани данните на едно лице, то трябва все пак да е наказуемо в САЩ - да е извършило престъпление там или да е извършило действия другаде, които са престъпление спрямо американски гражданин или компания. Друго - за да получат достъп до тези данни, американските служби трябва да получат разрешение от съда, което става, след като бъде доказана probable cause (основателна причина). Тоест службите трябва да докажат, че данните, които искат, имат някакво отношение към престъплението или принадлежат на извършителя. Това, разбира се, не изключва наличието на интерес и възможност американските служби да поискат достъп до данните на български граждани. Но тук е важно едно допълнение на съда във Филаделфия.
Той посочва, че „и двамата титуляри на акаунтите пребивават в Съединените щати, престъпленията, за които са заподозрени, са извършени само в Съединените щати и електронните данни, изискани от ФБР, са били обменени единствено от лица, намиращи се в Съединените щати". Поради това създаденият прецедент (ако остане в сила) ще се прилага единствено по отношение на американци, комуникиращи в САЩ, а за граждани на други държави ще трябва да се създаде нов.
Допълнителна защита е фактът, че Google и „Майкрософт" първоначално не уважават заповедите за претърсване, което е показателно, че те са готови да защитават данните на своите потребители, включително и в съда. „Съдията по това дело се е отклонил от прецедент и ние планираме да обжалваме решението. Ще продължим да настояваме трансграничните заповеди за претърсване да бъдат блокирани", коментираха от Google.
Евентуална отмяна на решението във Филаделфия допълнително ще бетонира прецедента по делото с „Майкрософт". Но ако бъде потвърдено, то значително ще разшири правомощията на разследващите органи да събират информация. Днес - за престъпления в САЩ, утре - за някъде другаде. Облаците понякога хвърлят мълнии на неочаквани места.
Каква информация събират компаниите Facebook: съдържание от потребителя, съдържание от неговите приятели, съобщения, активност, плащания, устройство. Google: имейли в Gmail, контакти, снимки, съдържание в Drive, търсения, устройство, активност. |