Amerykańska ustawa CLOUD Act jest wynikiem współpracy Republikanów i Demokratów, którzy połączyli siły we wspólnym celu. Chodzi o ułatwienie dostępu amerykańskim organom ścigania do prywatnych danych, mogących stanowić dowody w poważnych przestępstwach — niezależnie od lokalizacji serwerów, także tych na terenie Unii Europejskiej.
Skąd się wzięła ustawa CLOUD Act?
Współcześnie pojęcie cyberprzestępstwa zaciera się z innymi czynami, które kryminalizowane i penalizowane są w ustawach karnych. W zasadzie w każdej sprawie karnej istotny dowód stanowić mogą dane cyfrowe, na przykład w formie zawartości komputerów czy smartfonów. Wiele kluczowych dla wyjaśnienia okoliczności sprawy informacji jest bowiem w sieci.
Kluczowe dowody znajdują się w różnych źródłach, czy to skrzynkach e-mail, czy w treściach rozmów na komunikatorach internetowych. Sęk w tym, że organy ścigania mają bardzo często problem z dostępem do owych danych — jako przykład warto przypomnieć, że dane z Facebooka udostępniane są służbom niechętnie, a sam proces pozyskiwania informacji trwa nierzadko co najmniej kilka miesięcy.
Głównym powodem owej sytuacji jest globalizacja, a także fakt, iż rzadko zdarza się, że serwery z wrażliwymi danymi znajdują się w tym samym państwie, co organ prowadzący postępowanie. W ramach tego rozbicia trzeba również pamiętać o tym, że w dobie cloud computing, czyli przenoszenia danych do chmury, określenie precyzyjnego miejsca, w którym dane de facto się znajdują, jest czasem niemożliwe. Oznacza to, że te same dane mogą podlegać różnym jurysdykcjom przez to, że ich położenie jest niestałe.
A przecież jednym z celów postępowania karnego, w zasadzie w każdym kraju na świecie, jest jak najszybsze wyjaśnienie wszelkich okoliczności sprawy.
CLOUD Act — rozwiązanie niemal idealne
Dotąd międzynarodowa współpraca organów ścigania oparta była na tzw. MLAT, czyli systemie umów bilateralnych. W uproszczeniu oznaczało to konieczność ubiegania się o dane w oparciu o procedurę, która determinowana była przez prawo miejsca fizycznego znajdowania się danych. Najczęściej oznaczało to żmudny proces pozyskiwania dowodów, a wspomniany wcześniej cloud computing znacznie komplikował powodzenie przedsięwzięcia.
Jako że zdecydowana większość największych korporacji, działających na rynku cyfrowym, ma swoje siedziby w USA, to właśnie Stany Zjednoczone rozpoczęły intensywne prace nad wprowadzeniem wygodnego i uniwersalnego rozwiązania prawnego, pozwalającego na uzyskiwanie danych cyfrowych do konkretnych celów, realizowanych przez uprawnione formacje.
Republikanie i Demokraci połączyli siły i z udziałem Departamentu Sprawiedliwości i Białego Domu wprowadzili w życie ustawę Clarifying Lawful Overseas Use Data Act, w skrócie CLOUD. Prezydent USA, Donald Trump, podpisał ją 27 marca 2018 r. Co ciekawe, ustawę poparli najwięksi gracze na rynku cyfrowym, jak Facebook, Apple czy Microsoft.
Jak działa ustawa CLOUD Act?
Przepisy ustawy CLOUD Act pozwalają amerykańskim organom ścigania na dostęp do danych cyfrowych — co ważne — nie tylko przechowywanych na terenie USA, ale także za granicą. Chodzi oczywiście o dane gromadzone przez amerykańskie przedsiębiorstwa, czyli np. wspomniane Apple czy Facebook, którego centra danych znajdują się przecież w wielu miejscach na świecie. Co ważne, ustawę stosuje się jedynie w przypadku przestępstw o największym ciężarze gatunkowym — chodzi tutaj na przykład o terroryzm, czy dziecięcą pornografię, ale nie tylko.
Niewątpliwą korzyścią, która płynie z CLOUD Act, jest możliwość zawierania przez prezydenta USA specjalnych umów w celu szybkiego uzyskania dostępu do danych — podkreślmy — z pominięciem drogi sądowej. Zanim zawarta zostanie taka umowa, konieczne jest sprawdzenie, czy kraj, w którym de facto znajdują się dane, przestrzega reguł praworządności. Ponadto, przedsiębiorstwo, które gromadzi dane, w wypadku niezgodności procedury z prawem miejscowym, może złożyć stosowne zastrzeżenie. Niemniej wszelkie spory rozwiązuje, rzecz jasna, sąd amerykański.
Czy CLOUD Act ma wpływ na bezpieczeństwo naszych danych?
Pomiędzy Stanami Zjednoczonymi a Unią Europejską prowadzone są intensywne rozmowy, mające na celu ratyfikowanie owej umowy, pozwalającej na stosowanie ustawy CLOUD Act na terenie UE, a tym samym — również Polski. Oczywiście przez amerykańskie organy ścigania, bo to do ich użytku uchwalono ów akt prawny.
Niewątpliwie wszelkie regulacje tego typu, pozwalające na swobodny przepływ prywatnych danych — z pominięciem drogi sądowej — rodzą pewien konflikt natury praw człowieka i prawa do prywatności. Trzeba jednak zauważyć, że dane będą pozyskiwane jedynie w związku ze ściganiem najpoważniejszych przestępstw, toteż przeciętny użytkownik internetu nie odczuje bezpośrednio skutków zawarcia ewentualnej umowy, pomiędzy UE a USA.
Użytkownik może jednak skutki ustawy CLOUD Act odczuć pośrednio. Trzeba pamiętać, że wprowadzenie takiego rozwiązania zmusi niektóre przedsiębiorstwa, zajmujące się oferowaniem usług cyfrowych, a w szczególności rozwiązaniami w chmurze, do rozbudowania swojej technologii. W momencie, gdy szybki dostęp do danych cyfrowych będzie prawnie wymagany, wiele przedsiębiorstw będzie musiało wprowadzić odpowiednie rozwiązania techniczne i technologiczne.
Jak wskazuje Michel Paulin, CEO OVH, europejskiego lidera cloud.
Amerykańska ustawa CLOUD Act przyznaje administracji Stanów Zjednoczonych nieograniczony dostęp do danych należących do europejskich firm. Warunkiem jest, że dane te są hostowane przez amerykańskiego usługodawcę. To oznacza, że dane trzeba będzie uważać za eksterytorialne, kiedy tylko nawiąże się współpracę z amerykańskim usługodawcą, nawet jeśli pozostaną one w Europie.
Europejczycy nie gęsi…
Smaczku sprawie dodaje fakt istnienia RODO, wprowadzonego w Unii Europejskiej w maju zeszłego roku. Jest to interesujące choćby dlatego, że regulacje obu aktów prawnych w niektórych sytuacjach mogą stać w opozycji.
Restrykcyjne zapisy rozporządzenia RODO koncentrują się na ochronie i gromadzeniu danych osobowych, a także na zarządzaniu nimi (tj. danymi dotyczącymi osób fizycznych) i mają zastosowanie do przedsiębiorstw i organizacji w UE (w tym firm jednoosobowych).
Z kolei przepisy CLOUD Act są w wielu miejscach niejasne. Nie ma przykładowo precyzyjnej definicji, czym właściwie są „poważne przestępstwa” i co stanowi „bezpieczeństwo publiczne”, które rzekomo ma chronić nowe prawo
– dodaje Michel Paulin.
Ciekawe rozwiązanie w tej materii proponuje partner artykułu grupa OVH, która – poprzez rozdzielenie spółek i powołanie OVH US – umożliwia wybór miejsca przechowywania danych. To do klienta należy decyzja, w jakiej przestrzeni prawnej życzy sobie, aby były przetwarzane jego dane. Może to być centrum danych OVH w Warszawie, w Kanadzie, ale może być też Vint Hill na Wschodnim Wybrzeżu lub Hillsboro na Zachodnim Wybrzeżu USA, co oznacza także konieczność rejestracji klienta w OVH US.
Podejmowanie korzystnych i świadomych decyzji zależy od znajomości wszystkich faktów, a to ułatwia przejrzystość działań operatora. Zwłaszcza w tak wrażliwej materii, jak dane poufne.
Opracowano na podstawie: dr Paweł Opitek, Clarifying Lawful Overseas Use Data Act – nowy model pozyskiwania danych cyfrowych w sprawach karnych, Brief Programowy Instytutu Kościuszki, Kwiecień 2018 r. Artykuł powstał we współpracy z OVH.