CLOUD Act: Οι αποκαλύψεις του Facebook και της Cambridge Analytica μας κράτησαν αρκετό καιρό απασχολημένους, και η ιστορία συνεχίζεται… μέχρι να σβήσει. Ωστόσο, κατά τη διάρκεια του “σκανδάλου” που ξαφνικά θύμισε σε όλους μας κάτι που το γνωρίζαμε ήδη, η Αμερικάνικη κυβέρνηση κατάφερε να περάσει ένα νομοσχέδιο που καταχράται την ιδιωτικότητα σε ολόκληρο τον κόσμο.
Ο νόμος CLOUD ή CLOUD Act εξαλείφει κάθε προστασία για τα δεδομένα που αποθηκεύονται στο εξωτερικό, επιτρέποντας στις κυβερνητικές υπηρεσίες των ΗΠΑ να επιλέγουν και να παίρνουν τα δεδομένα σας όπου κι αν φυλάζονται. Ο νόμος αλλάζει θεμελιωδώς τον τρόπο με τον οποίο οι Αρχές των ΗΠΑ μπορούν να έχουν πρόσβαση σε δεδομένα που συλλέγουν ή αποθηκεύονται σε ιδιωτικές εταιρείες, όπως το Facebook, η Google και πολλές άλλες.
Πως φτάσαμε στον CLOUD Act
Ο νόμος CLOUD πέρασε ουσιαστικά κάτω από το χαλάκι. Κανείς δεν αντιλήφθηκε κάτι γιατί οι νομοθέτες τον πρόσθεσαν σαν παράγραφο στο τέλος του προϋπολογισμού των ΗΠΑ, ύψους 1,3 τρισεκατομμυρίων δολαρίων.
Η τοποθέτηση ενός πολύ αμφιλεγόμενου νομοσχεδίου στον προϋπολογισμό του κράτους, έκανε το νόμο CLOUD σχεδόν αόρατο, και βέβαια το γεγονός είναι κάτι που πυροδοτεί πολλές συζητήσεις. Πάρα πολλοί Αμερικάνοι και γενικά όλοι όσοι διαθέτουν προσωπικά δεδομένα στο διαδίκτυο δεν έχουν ακούσει τίποτα για το νόμο, και πόσο μάλλον για το ότι αλλάζει δραστικά το απόρρητο των δεδομένων τους.
Το νομοσχέδιο Clarifying Overseas Use of Data (CLOUD) είναι μια σειρά νόμων που επιτρέπουν στις αμερικανικές αρχές να έχουν πρόσβαση στα δεδομένα που αποθηκεύονται στο εξωτερικό και αντίστροφα. Πρόκειται για την επικαιροποίηση του υφιστάμενου νόμου για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act ή ECPA), που ψηφίστηκε το 1986. Η κυβέρνηση και πολλές εταιρείες τεχνολογίας πιστεύουν ότι οι νόμοι αυτοί είναο ξεπερασμένοι για τις σύγχρονες ψηφιακές επικοινωνίες, καθώς ο ECPA ψηφίστηκε το 1986 όταν υπήρχαν γύρω στα 30.000 συστήματα συνδεδεμένα στον πρόδρομο του διαδικτύου ARPANET.
Γιατί λοιπόν, μια τόσο μεγάλη αλλαγή στη νομοθεσία δεν έγινε αντιληπτή; Ακολουθούν μερικές πληροφορίες…
Αφαιρεί την Προστασία των Υπερπόντιων Δεδομένων
Οι αρχές μπορούν να έχουν πρόσβαση στα δεδομένα σας, ανεξάρτητα από τη χώρα αποθήκευσης και οι εταιρείες φιλοξενίας των δεδομένων σας δεν θα μπορούν να αρνηθούν να τα παραδώσουν στις αρχές.
“Ο πάροχος υπηρεσίας ηλεκτρονικών επικοινωνιών ή υπηρεσίας απομακρυσμένης αποθήκευσης συμμορφώνεται […] ανεξάρτητα από το αν τα δεδομένα ή άλλες πληροφορίες βρίσκονται εντός ή εκτός των Ηνωμένων Πολιτειών.”
Μέχρι και την περασμένη εβδομάδα, τα αιτήματα πρόσβασης σε δεδομένα από τις Αρχές χρειαζόταν μια κοινή δικαστική απόφαση (MLAT) και από την άλλη κυβέρνηση. Το MLAT ορίζει την ανταλλαγή δεδομένων μεταξύ των δύο χωρών, και για να εγκριθούν χρειαζόταν να περάσουν από το Κογκρέσο με την συναίνεση των δύο τρίτων, αλλά και από την κυβέρνηση της άλλης χώρας.
Ο νόμος CLOUD αλλάζει τα πάντα, επιτρέποντας στην κυβέρνηση να αποκτήσει “εκτελεστικές” σχέσεις με άλλες χώρες που παρακάμπτουν εντελώς την υπάρχουσα νομοθεσία MLAT. Το αποτέλεσμα είναι ότι οποιαδήποτε κρατική υπηρεσία μπορεί να ζητήσει από οποιαδήποτε εταιρεία τεχνολογίας να παραδώσει δεδομένα χρηστών, ανεξάρτητα από την τοποθεσία που βρίσκονται.
CLOUD Act: Λειτουργεί με δύο τρόπους
Όμως ο συγκεκριμένος νόμος που επιτρέπει στις αμερικανικές αρχές να συλλέγουν ξένα δεδομένα, επιτρέπει και στις ξένες χώρες να κάνουν το ίδιο. Στην πραγματικότητα, μεγαλώνει το εύρος συνεργασίας, δεδομένης της μεγάλης συλλογής δεδομένων από διάφορα κυβερνητικά προγράμματα.
Ο Neema Singh Guiliani, από το νομοθετικό συμβούλιο της ACLU, επιβεβαιώνει ότι το νομοσχέδιο θα επιτρέπει σε πολλές χώρες να “εισέλθουν σε αμερικανικό έδαφος” για πρώτη φορά. Οι εταιρείες στόχοι φυσικά περιλαμβάνουν το Facebook, την Google, την Snapchat, ιδιωτικούς διακομιστές ηλεκτρονικού ταχυδρομείου, συνομιλίες άμεσων μηνυμάτων και οτιδήποτε άλλο αφορά την ψηφιακή επικοινωνία.
Ακολουθεί ένα παράδειγμα του πώς μπορεί να λειτουργήσει (από το σχετικό άρθρο του EFF):
Η αστυνομία της Λονδίνου θέλει να διερευνήσει τα ιδιωτικά μηνύματα στο Slack ενός Βρετανού που είναι ύποπτος για τραπεζικές απάτες.
Σύμφωνα με τον νόμο CLOUD, η αστυνομία του Λονδίνου θα μπορούσε να “χτυπήσει την πόρτα” της Slack και να ζητήσει το ιστορικό των μηνυμάτων του χρήστη.
Η Slack θα πρέπει να συμμορφωθεί άμεσα με το αίτημα, χωρίς κάποιο δικαστικό έλεγχο ή κοινοποίηση της απόφασης στις Αρχές των ΗΠΑ.
Το ιστορικό των μηνυμάτων του Βρετανού που απέκτησε η αστυνομία του Λονδίνου περιέχει όμως και ιδιωτικά μηνύματα με πολίτες των ΗΠΑ.
Η αστυνομία του Λονδίνου μοιράζεται τις λεπτομέρειες των μηνυμάτων Slack με τις Αμερικάνικες αρχές, και τα μηνύματα μπορούν να χρησιμοποιηθούν εναντίον Αμερικάνων πολιτών. Όλα αυτά χωρίς κάποιο ένταλμα, καταστρέφοντας ουσιαστικά την Τέταρτη Τροποποίηση του Συντάγματος των Ηνωμένων Πολιτειών.
Διατάξεις περί συλλογής δεδομένων
Υπάρχουν ωστόσο, ορισμένες διατάξεις στο νόμου CLOUD που αποσκοπούν να σταματήσουν αυτό το είδος συλλογής δεδομένων. Για παράδειγμα, απαγορεύονται τα παρακάτω:
- Η άμεση στόχευση δεδομένων ενός πολίτη των ΗΠΑ από μια ξένη κυβέρνηση χρησιμοποιώντας το νόμο CLOUD.
- Αίτηση από μια χώρα που στοχεύει ένα συγκεκριμένο πολίτη των ΗΠΑ.
- Η παρακολούθηση ενός αλλοδαπού πολίτη για την συλλογή δεδομένων από πολίτη των ΗΠΑ.
- Η “διάδοση δεδομένων των ατόμων των ΗΠΑ” εκτός εάν υπάρχουν ενδείξεις για κάποιο σοβαρό έγκλημα.
Όμως ακόμα και με αυτές τις διατάξεις, η διασφάλιση της ορθής χρήσης και επιβολής των συγκεκριμένων κανόνων είναι πολύ δύσκολη.
Τέρμα στην διαδικασία αιτήσεων δεδομένων
Ο νόμος CLOUD αναμφισβήτητα επιταχύνει τη διαδικασία απόκτησης δεδομένων από τις Αρχές, όπου κι αν εδρεύουν. Μερικές φορές, η συμπλήρωση ενός αιτήματος MLAT διαρκούσε μήνες. Έτσι τα δεδομένα ήταν παλιά ή και άχρηστα μέχρι την έγκριση του αιτήματος MLAT.
Τερματίζει τις διαδικασίες προσφυγής
Ο νόμος CLOUD δίνει επίσης ένα πολύ περιορισμένο “χώρο” έκφρασης στους παρόχους περιεχομένου και υπηρεσιών. Υπάρχουν μόνο δύο διατάξεις του νόμου CLOUD που επιτρέπουν σε μια εταιρεία τεχνολογίας να προσφύγει σε κάποιο αίτημα:
- Αν το άτομο δεν είναι πολίτης των ΗΠΑ και δεν διαμένει στις ΗΠΑ, και
- Αν η γνωστοποίηση δεδομένων θέτει τον πάροχο σε κίνδυνο παραβίασης του νόμου στη χώρα που διαμένει.
Το “και” είναι πολύ σημαντικό, καθώς μια προσφυγή θα πρέπει να πληροί και τα δύο αυτά κριτήρια.
Διατάξεις για την κρυπτογράφηση και άλλες πολιτικές ελευθερίες
Ο νόμος CLOUD επιτρέπει τη συλλογή δεδομένων από ένα ευρύ φάσμα υπηρεσιών. Παραδόξως όμως μια ελαφρώς ευνοϊκή διάταξη για τα δικαιώματα του ιδιωτικού απορρήτου, δεν επιτρέπει σε χώρες με εκτελεστικές συμφωνίες να υποχρεώσουν κάποια κυβέρνηση να αποκρυπτογραφήσει τα δεδομένα.
Η αναθεώρηση της διατύπωσης του νόμου CLOUD απαιτεί από τον Αμερικάνο υπουργό Εξωτερικών και τον Γενικό Εισαγγελέα να μεριμνήσει για κάθε χώρα που είναι μέρος της εκτελεστικής συμφωνίας “να προσφέρει ισχυρές και ουσιαστικές προστασίες για την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών.”
Η παράγραφος μάλλον επιχειρεί να προστατεύσει τα δικαιώματα των Αμερικανών πολιτών:
- Προστασία από αυθαίρετες και παράνομες παρεμβάσεις στην ιδιωτική ζωή.
- Το δικαίωμα για μια δίκαιη δίκη.
- Ελευθερία της έκφρασης, ελευθερία του συνεταιρίζεσθαι και της ειρηνικής συνύπαρξης.
- Απαγορεύσεις σε κάθε αυθαίρετη σύλληψη και κράτηση.
- Απαγορεύσεις βασανιστηρίων και κάθε σκληρής, απάνθρωπης ή εξευτελιστικής μεταχείρισης και τιμωρίας.
Ωστόσο, οι σκεπτικιστές επισημάνουν ότι, παρόλο που αυτές οι διατάξεις “προστατεύουν” τις πολιτικές ελευθερίες, υπάρχουν ήδη πολλά παραδείγματα άλλων κυβερνητικών υπηρεσιών (όχι μόνο στις ΗΠΑ) που παραβιάζουν αυτούς τους κανόνες. Επομένως, πως ακριβώς οι συγκεκριμένες διατάξεις, θα προστατεύσουν τους πολίτες από την περαιτέρω συλλογή δεδομένων;
Η απάντηση είναι απλή: θα πρέπει να εμπιστευτείτε τις Αρχές επιβολής του νόμου και την κυβέρνησή σας.
Υποστήριξη από τις εταιρείες τεχνολογίας…
Ο νόμος CLOUD έχει την υποστήριξη πολλών μεγάλων εταιρειών τεχνολογίας, καθώς δημιουργεί μια σαφή γραμμή μεταξύ του τρόπου με τον οποίο η κυβέρνηση των ΗΠΑ και οι ξένες κυβερνήσεις μπορούν να έχουν πρόσβαση στα δεδομένα τους.
Μια επιστολή που υπογράφει η Apple, η Microsoft, η Google, το Facebook και η Oauth αναφέρουν ότι ο νόμος CLOUD:
“ενθαρρύνει τον διπλωματικό διάλογο, αλλά δίνει και στον τομέα της τεχνολογίας δύο ξεχωριστά θεσμικά δικαιώματα για την προστασία των καταναλωτών και την επίλυση των συγκρούσεων νόμων. Η νομοθεσία προβλέπει άμεσους μηχανισμούς κοινοποίησης σε ξένες κυβερνήσεις όταν ένα νομικό αίτημα εμπλέκει τους κατοίκους μιας χώρας, κάτι που βοηθάει στην άμεση νομική εξυπηρέτηση όταν είναι απαραίτητο.”
Φυσικά το λόμπι των εταιρειών αυτών προτιμά να κατοχυρώνεται από το νόμο.
Ο αντίκτυπος του νόμου CLOUD για την ιδιωτικότητά σας
Ο νόμος CLOUD καταστρέφει εντελώς το απόρρητό σας; Εξαρτάται από το τι κάνεις στο διαδίκτυο και φυσικά ποιον εμπιστεύεστε.
Το ACLU, το EFF και το Ίδρυμα Ελευθερίας του Τύπου αντιτίθενται κατηγορηματικά στο νόμο CLOUD. Υποστηρίζουν ότι πρόκειται για ένα επικίνδυνο, και ουσιαστικά αμετάκλητο βήμα προς τη μόνιμη ανασφάλεια των δεδομένων. Τόσο η ACLU όσο και το EFF σημειώνουν ότι παρά την παγκόσμια εμβέλεια αυτού του νόμου, “δεν του δόθηκε ποτέ η απαραίτητη προσοχή στο Κογκρέσο.”
- Google διαγραφή της ιστορίας και άλλα παραμύθια
- Media: Ειδήσεις του τρόμου διαμορφώνουν την κοινή γνώμη