Írországig nyúlnak az amerikai hatóságok csápjai
Rendkívül fontos ítélet született tegnap egy, a Microsoft és az amerikai kormány között folyó perben. A bíróság úgy döntött, hogy az amerikai cégek által kezelt adatokat akkor is ki kell adni adatigénylés esetén, ha azokat nem az Egyesült Államok területén tárolja a vállalat.
A Microsoftnak át kell adnia az írországi adatközpontjában tárolt emaileket és egyéb fiókinformációkat is az amerikai kormány kérésére - döntött egy amerikai bíróság (Wall Street Journal, Recode. A mintegy kétórás meghallgatás végén Loretta Preska szövetségi bíró úgy döntött, hogy az amerikai hatóságok által kibocsátott szövetségi házkutatási parancs igenis kötelezi arra a Microsoftot, hogy átadja a kérdéses adatokat, függetlenül attól, hogy azokat fizikailag hol tárolja. Az ítélet gyakorlatilag kiterjeszti az amerikai jog hatályát az összes amerikai cég által tárolt összes adatra, hatása így felmérhetetlen.
Preska megfogalmazta az ügy kulcsmondatát is: "[a házkutatási parancs érvényessége] nem földrajzi elhelyezkedés, hanem hozzáférés kérdése". Ezzel gyakorlatilag a rémálom-forgatókönyv valósult meg, e nézet szerint ugyanis ha a Microsoft hozzáfér az ügyfél adataihoz, akkor azt köteles is átadni, függetlenül attól, hogy azt az Egyesült Államok, az Európai Unió, vagy más országok területén tárolja. És mivel a Microsoft amerikai cég, folytat üzleti tevékenységet az Egyesült Államokban, emiatt az amerikai hatóságok jogköre az ilyen adatok bekérésére is kiterjed.
Mivel rendkívül érzékeny kérdésről van szó, az ügyben eljáró bíró fontos engedményt tett, az ítélet végrehajthatóságát felfüggesztette, így a fellebbezésig még biztonságban vannak az érintett adatok. Ez ugyanakkor már a cég második veresége, első fokon már született egy hasonló döntés a perben. A Microsoft már bejelentette, hogy az ítéletet megtámadja, így az ügy a következő szinten, az amerikai szövetségi fellebbviteli bíróságon folytatódik, afölött már csak a Legfelsőbb Bíróság áll. Az ügy részletei egyébként titkosak, így nem tudni, hogy mely hatóság igényelt adatokat a Microsofttól és az sem, hogy milyen nyomozáshoz vagy perhez szükségesek ezek az információk. A dokumentumokból annyi szűrhető ki, hogy egy ügyfél emailjeihez és egyéb, a fiókhoz kötődő információkhoz kívánt a hatóság hozzáférni.
A Microsoft írországi adatközpontja (helyszíni beszámolók itt)
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Nagyon fontos megjegyezni, hogy ez az ügy nem mosható össze a titkos adatgyűjtéssel. A Snowden-féle szivárogtatások nyomán felszínre került gyakorlathoz képest fontos különbség, hogy itt nem titokban, a teljes igazságügyi rendszert megkerülő megfigyelésről van szó, ebben az ügyben a hatóság hivatalos, és jogi úton megtámadható házkutatási paranccsal rendelkezik - amelyet a Microsoft meg is támadott. Ilyen védelem az NSA és egyéb kormányügynökségek által végzett megfigyeléssel szemben nincs, ez is a jogvédők legfőbb kritikája az adatgyűjtéssel szemben.
Az ügyben az amerikai-európai Safe Harbor egyezmény sem érvényes. Ez a jogi keretrendszer azt célozza, hogy az európai állampolgárok nem európai tárolású adatai is azonos adatvédelemben részesüljenek, mintha az Unióban tárolnák azokat. Az egyezmény ugyanakkor nem vonatkozik az európai jog hatálya alá tartozó adattárolásra és -feldolgozásra, mivel az (eddigi) értelmezés szerint például az írországi adatközpontok amúgy is az EU-s jog hatálya alá esnek, ilyen extra védelem vállalására így nem volt szükség.
Nem csak a Microsoftot érinti
A per főszereplője most a Microsoft, de az ügy az összes amerikai vállalatot pontosan ugyanúgy érinti. Amennyiben a bíróság nézőpontja érvényesül és épül be az amerikai jogrendbe a jövőben, az drámai hatású lehet az amerikai cégek felhős szolgáltatásai számára. Az ítélet ugyanis azt jelenti, hogy ha egy cég az amerikai jog hatálya alá esik, akkor minden, az általa elérhető adat kiadására kötelezhető, függetlenül attól, hogy az adatokat hol, milyen adatközpontban tárolja, milyen adatvédelem illetné meg egyébként az adott felhasználót a felhasználó, illetve az adatközpont országának jogrendje szerint.
Ahogy fentebb említettük, a döntés értelmében minden amerikai cég által tárolt minden adat az amerikai jog hatálya alá tartozik, amely fölött amerikai bíróságok és az amerikai kormány, illetve az amerikai törvényhozás akarata érvényesül, függetlenül attól, hogy milyen állampolgár vagy cég adatairól beszélünk. A jog ilyen szintű kiterjesztése már korábban is aggodalommal töltötte el az európai döntéshozókat, az eddig elfogadott álláspont szerint ugyanakkor az adatok európai tárolása védelmet jelentett ez ellen - ezt törli most el a döntés. A perben állást foglalt az AT&T, az Apple, a Cisco és a Verizon is, a cégek hivatalos dokumentumban védték meg a Microsoftot az ügyben. A friss döntésre az Unió vagy Kína képviselői még nem nyilatkoztak.
Zero knowledge a jövő?
A szolgáltatóktól való adatbekérés kulcseleme, hogy a szolgáltató valóban hozzáfér a tárolt adatokhoz, azok titkosítását fel tudja oldani és a sima szöveget át tudja adni. Az úgynevezett zero-knowledge paradigma bevezetése azonban megoldaná ezt a problémát, ezzel ugyanis a szolgáltató elveszítené a titkosítás feloldásának képességét. A gyakorlatban ez úgy működik, hogy a tárolt titkosított adatokhoz kizárólag a felhasználónak van kulcsa, a kormányzat így csak a titkosított adatokat tudja bekérni a szolgáltatótól, a kulcsért már felhasználónál kell kopogtatnia.
Ez a paradigma sok tekintetben hatalmas előrelépés lenne az internetes adatvédelem terén, és büszkék lehetünk, hogy a megközelítés úttörői között található a magyar Tresorit cloud-tároló is. A zero knowlegde azonban a legtöbb, felhős adatfeldolgozásra épülő szolgáltatást lehetetlenné vagy rendkívül problémássá teszi: például ha csak a felhasználó tudja elolvasni a leveleket, akkor az azok közötti keresés is csak kliensoldalon lehetséges. Ez egy PC-n még-még megoldható (és a használhatósági problémák is kezelhetőek), mobilon, ahol a feldolgozás sebessége szűk keresztmetszet, hatalmas kihívást jelent - erről lásd Daniel Posch előadását a Craft konferenciáról, amelyben a böngészőn belül futó, zero knowledge webmail koncepcióját mutatja be.