Molnen agerar och google: hur det påverkar dina data

CLOUD Act.pdf) - C larifying L awful O verseas U se of D ata - är en uppsättning regler som hanterar hur data som lagras i ett land kan nås av en enhet i ett annat land. Den undertecknades i lag den 23 mars 2018 som en del av Omnibus-utgiften.

Det har berömts av teknikföretag och ett gemensamt brev från Apple, Facebook, Google, Microsoft och Oath (Yahoo!) som gav ut stöd till propositionen publicerades den 6 februari 2018. Det står delvis:

Den nya lagen om klargörande av laglig utländsk användning av data (CLOUD) återspeglar ett växande samförstånd för att skydda Internetanvändare runt om i världen och ger en logisk lösning för att styra gränsöverskridande tillgång till data. Införandet av denna tvåpartslagstiftning är ett viktigt steg mot att förbättra och skydda individuella integritetsrättigheter, minska internationella lagkonflikter och hålla oss alla säkrare.

Men organisationer för privatliv och medborgerliga rättigheter har en annan uppfattning om lagstiftningen. ACLU hade detta att säga:

CLOUD-lagen representerar en stor förändring i lagen - och ett stort hot mot våra friheter. Kongressen bör inte försöka smyga det av det amerikanska folket genom att dölja det inuti en jätteutgiftsräkning. Det har inte ens gått en minut att överväga ändringsförslag till detta förslag. Kongressen bör robust diskutera detta lagförslag och vidta åtgärder för att fixa dess många brister, istället för att försöka dra snabbt på det amerikanska folket.

Electronic Frontier Foundation har också en lista över invändningar:

• Innehåller en svag standard för granskning som inte leder till skyddet av garantikravet enligt det fjärde ändringsförslaget.
• Det går inte att kräva utländsk brottsbekämpning för att söka individualiserad och tidigare domstolsprövning.
• Ger tillgång till och avlyssning i realtid till utländsk brottsbekämpning utan att kräva högre garantibestämmelser som amerikansk polis måste följa enligt Wiretap Act.
• Det går inte att sätta tillräckliga gränser för brottens kategori och svårighetsgrad för denna typ av avtal.
• Det krävs inte meddelande på någon nivå - till den riktade personen, till landet där personen är bosatt och till landet där informationen lagras. (Enligt en särskild bestämmelse om extraterritoriella order från USA: s lagstiftning, tillåter lagförslaget företag att meddela de utländska länderna där data lagras, men det finns ingen parallell bestämmelse för meddelande mellan företag och land när utländsk polis söker information lagrad i USA Stater.)
• CLOUD-lagen skapar också ett orättvist tvålags-system. Utländska länder som verkar enligt verkställande avtal är föremål för minimerings- och delningsregler vid hantering av uppgifter som tillhör amerikanska medborgare, lagliga permanenta invånare och företag. Men dessa sekretessregler omfattar inte någon som är född i ett annat land och som bor i USA på ett tillfälligt visum eller utan dokumentation.

De två sidorna tycks ta språket i CLOUD Act mycket annorlunda. Det kan förväntas med nästan alla juridiska dokument, och de flesta lagförslag som införts för kongressen är skrivna på samma typ av språk. Det ger målmedvetet saker öppna för tolkningen av läsaren, och när det gäller lagar, det verkställande organet. Vi kommer alla att ha vår egen åsikt om lagförslaget, och det är en sund diskussion att ha. Men det är viktigt att veta vad detta betyder för dina data lagrade på Googles servrar.

Varför skulle Google stödja detta?

Det är viktigt att komma ihåg att organisationer som ACLU och EFF finns för att undersöka det värsta fallet kring alla regler eller lagar som styr våra personuppgifter. De hjälper till att skapa en balans så att domstolar och lagstiftare kan fatta välgrundade beslut och att se deras invändning mot CLOUD-lagen inte är en överraskning eftersom det gör några större förändringar av de befintliga lagarna. Det är mycket svårt för en utländsk regering att få tillgång till data som sparats på en amerikansk server och för den amerikanska regeringen att få information lagrad på en utländsk server eftersom lagarna varierar från land till land.

Ett exempel på detta i handling sker för närvarande, eftersom USA: s högsta domstol beslutar om Microsoft måste överlåta data lagrade på en irländsk server som justitieministeriet vill ha som bevis i ett fall som går tillbaka till 2013.

Företag som Google vill hellre se en enda uppsättning regler som antagits av USA och många andra länder som de gör affärer i som kan förhindra denna typ av kostsamma utfrågningar och förfaranden. De anser att språket i CLOUD-lagen tjänar till att ge tillgång till våra uppgifter när ett äkta behov uppstår men skyddar också vår integritet mot förfrågningar som inte visar ett legitimt behov.

En uppsättning universella lagar som skyddar vår integritet är en bra idé så länge lagarna är sunda och verkställs.

Organisationer för medborgerliga rättigheter skulle också vilja se en enda uppsättning regler som antas runt om i världen, men anser inte att CLOUD-lagen tillräckligt skyddar vår information från utländska regeringar. De tar upp frågan om hur det förändrar rättslig granskningsprocess och de sätt det kan kringgå det fjärde ändringsförslaget till den amerikanska konstitutionen, liksom hur lagförslaget infördes och förpackades till en större utgiftsproposition som inte kommer att ha granskning och publicitet. förändring som detta förtjänar innan det är skrivet som lag.

Tagen till nominellt värde verkar båda sidor här vara korrekta. Det beror på att båda sidor uppfyller sina avsedda syften. Googles juridiska team och sekretessexperter vill ha en enkel uppsättning regler som gäller i alla länder som den verkar i och anser att kringgå en domstolsförhandling eller erhålla flera enskilda teckningsoptioner kan göras på ett sätt som fortfarande skyddar användarnas personuppgifter enligt CLOUD-lagen. ACLU och EFF är emot allt som kringgår en rättslig process för varje enskild begäran och de anser att det nuvarande systemet ger bättre integritetsstandarder. Det är viktigt för lagstiftare att höra båda argumenten.

Vad betyder detta för mig och mina uppgifter?

Det finns inget språk i CLOUD-akten som ändrar sättet Google lagrar dina data eller de data de kan samla in. Ingenting där rensar bort skyddet för kryptering och förhindrar det heller inte att du tar bort dina data från Googles servrar när som helst. Det enda CLOUD-handlingen påverkar är hur dina data som lagras på en server i ditt land kan delas med en annan lands regering. Men det är något vi alla borde vara bekymrade över, så låt oss titta på några detaljer.

Skyddas mina medborgerliga friheter?

CLOUD-handlingen kräver att statssekreteraren och USA: s generaldirektör intygar att alla länder som ingår i CLOUD-handlingen "ger robust materiellt och procedurellt skydd för integritet och medborgerliga friheter." Vissa detaljer nämns i propositionen för att skydda våra rättigheter som amerikaner. De inkluderar:

• Skydd mot godtycklig och olaglig störning av integriteten
• Rättvisa rättigheter
• Yttrandefrihet, förening och fredlig församling
• Förbud mot godtycklig arrestering och internering
• Förbud mot tortyr och grym, omänsklig eller förnedrande behandling eller straff.

Detta innebär att alla länder som deltar i CLOUD-handlingen inte kan trampa de grundläggande medborgerliga rättigheterna som vi som amerikanska medborgare ger - och att medborgarnas rättigheter i andra länder inte kan trampas av den amerikanska regeringen. Skydd mot en utländsk regering som kräver att Google placerar en bakdörr i Android eller Chrome är också på plats under CLOUD-lagen och att Google inte kan uppmanas av någon regering att utföra övervakning på oss medan vi använder deras produkter.

Ger CLOUD-handlingen verkställande filialen full kontroll över våra datarättigheter?

Nej. Medan det tillåter utrikesdepartementets och riksadvokatens kontor att träffa avtal med utländska länder finns det en viss kongressövervakning inbyggd. Kongressen kommer att ha makten att:

• Granska nya bilaterala avtal på upp till 180 dagar.
• Granska ändringar i befintliga avtal i upp till 90 dagar.
• Kräv skriftlig certifiering och förklaring till hur länder klarar certifiering.
• Snabbspurad avvisning av bilaterala avtal.

Den anger också att ett övervakningsbeslut som utfärdats av ett medlemsland är individuellt baserat och "föremål för granskning eller övervakning av en domstol, domare, magistrat eller annan oberoende myndighet", och att denna granskning måste vara "före eller i förfaranden angående, verkställighet av beställningen."

Det skulle vara bättre att ha dessa skydd på plats som en del av hur avtal mellan deltagande länder görs, men de är där, och på språk som säkert är verkställbart om ett land skulle överskrida sina gränser.

Gör CLOUD-handlingen det lättare för utländska länder att få tillgång till mina USA-baserade data?

Ja. CLOUD-akten tar bort många av de hinder som för närvarande finns när ett annat land vill ha dina data lagrade på en Google-server i USA. Det är här medborgarrättsorganisationer och Google håller inte med om lagens fördelar.

På grund av hur alla dataförfrågningar måste gå igenom domstolssystemet, sedan bli föremål för överklagande eller godkännande från en högre domstol, bildar länder sina egna lagar som försöker tvinga företag som Google att lämna ut data utan någon domstolens inblandning om företaget vill att göra affärer där av frustration över processen. USA försöker också hävda att amerikansk lag kräver att ett amerikanskt företag ska lämna ut data även när de är värd utanför landet som vi ser i Microsoft-fallet som presenterades för Högsta domstolen.

Vissa länder tillhandahåller medborgerliga friheter som är lika eller bättre än vad konstitutionen erbjuder, men andra gör det inte.

CLOUD-handlingen är utformad för att hindra att dessa lagar antas och verkställs genom att bygga en process som alla länder kan komma överens om och följa när det gäller förfrågningar om våra privata uppgifter. Det är här Apple, Google, Microsoft och andra teknikföretag ser fördelarna med det. De kommer att veta vad lagarna är och hur de följer dem i alla länder som deltar istället för att bli föremål för enskilda lagar eller slåss mot dem i domstolarna.

Organisationer för medborgerliga rättigheter ifrågasätter att CLOUD-handlingen kan tvinga uppgifter som värdas i USA att överlämnas till en annan nation utan att omfattas av våra befintliga sekretesslagar. Vissa länder tillhandahåller medborgerliga friheter som är lika eller bättre än vad konstitutionen erbjuder, men andra gör det inte. De anser att din information som värd i USA bör skyddas av dina rättigheter som amerikansk medborgare och inte omfattas av lagar och rättigheter som ett annat land följer oavsett vad gransknings- eller antagningsprocessen innebär.

Ger CLOUD-handlingen utländska länder mer makt att övervaka amerikanska medborgare och rikta in sina uppgifter för insamling?

Nej, och ja. Bredare makt beviljas för underrättelseinsamling men det finns begränsningar och regler som täcker eventuell avlyssning eller övervakning.

• Utländska regeringar är "uttryckligen förbjudna att övervaka en amerikansk person direkt eller indirekt".
• Övervakningsorder måste vara av en fast och begränsad varaktighet.
• Övervakning kan endast ske när det har visat sig vara "rimligt nödvändigt" och det finns inget annat sätt att få informationen.

När man samlar in uppgifter för godkända ärenden finns det regler som syftar till att skydda våra individuella rättigheter:

• Direktinriktning av en amerikansk medborgares uppgifter från icke-amerikanska regeringar är förbjuden.
• Det är förbjudet att be ett certifierat land från CLOUD Act att rikta in sig på en amerikansk persondata.
• Det är förbjudet att rikta in sig på icke-amerikanska persondata för att samla in amerikanska persondata. (Ett land kan inte rikta in sig på mig för att se de konversationer du och jag har till exempel i Facebook Messenger.)
• "Spridning av uppgifter om amerikanska personer" är förbjudet såvida det inte finns bevis för ett allvarligt brott.

Det finns mycket utrymme för laglig manövrering i dessa förordningar, vilket leder oss till den största frågan - hur kommer detta att verkställas? Vem kommer att vara där för att se till att Frankrike (till exempel) följer lagar och förordningar om att samla in mina data i USA? Det är oroande. Ännu mer när du ersätter Frankrike med Afghanistan, eller om du bor i Europa och ersätter Frankrike med USA. Nuvarande lagar finns för att skydda våra uppgifter och vi har vant oss vid att ha dem. CLOUD-handlingen skulle ersätta många av dessa skydd.

Behöver jag oroa mig, och ska jag ta bort alla mina data och bli mörk?

Jag är inte en juridisk expert så jag kan inte yttra mig om lagligheten av CLOUD-handlingen. Det är vad vi väljer tjänstemän att göra. Men jag kan uttrycka några tankar om allt. Jag anser att mina data lagrade i USA är skyddade enligt lagarna i USA och säkerställs med mina rättigheter som amerikansk medborgare oavsett vad Frankrike (eller Afghanistan) tycker om dessa skydd.

Garanterade friheter som det fjärde ändringsförslaget (skyddet mot orimlig sökning och beslag definieras som en individuell rättighet för varje amerikansk medborgare) eller motsvarande i andra länder bör alltid tillämpa och ersätta alla typer av ensidiga handlingar mellan regeringar. Varje fall där min integritet ska brytas förtjänar sin egen granskning i de amerikanska domstolarna, särskilt om jag inte bevisas skyldig till allvarliga brott.

Mina data förtjänar en granskningsprocess varje gång en person eller nation begär åtkomst. Så är ditt.

Men jag ser också värdet som Google ser i CLOUD-handlingen. En legitim uppsättning regler som gäller över hela linjen för alla medlemsländer kan vara en stor sak; inte bara för att spara pengar och tid i domstolar utan så att jag i förväg vet hur min information skyddas både i och utanför USA

Vi borde kunna lita på våra valda tjänstemän att göra rätt val, och om du gör det är det inte mycket att oroa sig här. Det verkar som att Google litar på det "rätta" sättet att garantera vår integritet kommer att införas, liksom Apple och Microsoft. Dessa tre företag kan ha en helt annan uppsättning erbjudanden att presentera för oss, men en sak de alla har gemensamt är villigheten att kämpa för att skydda våra uppgifter. Det är en god anledning att anta att himlen inte faller.

ACLU och EFF, liksom andra grupper för privatliv och medborgerliga rättigheter, har också gjort ett bra jobb med att se till att vi vet när våra rättigheter kan bli utsatta för missbruk. Vi bör uppmärksamma deras varningar även om vi tror att de når den värsta slutsatsen. Detta är en god anledning att vara emot CLOUD-handlingen i någon form.

Just nu kan vi bara se processen i handling och hoppas att alla inblandade tänker på våra individuella rättigheter när de fattar sitt beslut. När det beslutet har nåtts kan vi bestämma hur vi ska reagera. Det viktigaste är att vi vet och förstår när lagarna kring våra personuppgifter kommer att ändras och vilka konsekvenser det kan ha.

Vi kan tjäna en provision för inköp med våra länkar. Läs mer.