В Конгрес США внесли законопроект CLOUD Act. Новый закон облегчит получение правоохранительными органами доступа к данным пользователей на зарубежных серверах

Открытость интернета прямо связана с отсутствием у него внутренних границ. Правоохранительные органы обязаны защищать пользователей от угроз, проистекающих от такой открытости. При этом они должны действовать в правовых рамках, защищающих неприкосновенность частной жизни. 

В настоящее время национальным правоохранительным органам приходится сталкиваться с немалым количеством юридических препятствий на пути получения доступа к данным пользователей, которые хранятся на серверах, расположенных в иностранных государствах. Система, облегчающая доступ к подобным данным, основывается на Договорах о взаимной правовой помощи (Mutual Legal Assistance Treaties, MLAT). Поскольку MLAT представляют собой соглашения общего характера, в них не конкретизирована сама процедура передачи данных. Она в значительной мере регулируется национальным законодательством стран, подписавших такой договор. Самая большая проблема для правоохранителей здесь заключается в том, что передача данных может занять продолжительное время из-за возможности компаний использовать правовые коллизии для затягивания процесса. Также в системе MLAT слабо прописаны механизмы защиты прав человека и обеспечения прозрачности действий правоохранительных органов.

Уже несколько лет ведуться обсуждения реформы данной системы. Один из таких проектов, вызывающий критику правозащитников приобрел законченные черты.

Внесенный в Конгрес США законопроект получил сокращенное название CLOUD Act (аббревиатура от Clarifying Lawful Overseas Use of Data Act – закон “уточняющий правомерное использование данных, [хранящихся] за рубежом”). Он позволит обойти процесс MLAT и создаст новую правовую базу для доступа к данным, хранящимся на территории иностранных государств.

Этот законопроект предоставит правоохранительным органам по всему миру, и особенно в США, доступ к персональным данных пользователей без существенных гарантий сохранности их конфиденциальности.

• Правоохранительные органы США получат доступ к данным, хранящимся за рубежом, благодаря увеличению сферы действия Закона о конфиденциальности электронных сообщений (Electronic Communications Privacy Act, ECPA). В новых условиях этот закон позволит исключить необходимость сотрудничества уполномоченных американских органов с правоохранительными органами других государств для получения доступа к пользовательским данным. Таким образом, американские правоохранители смогут требовать у компаний передачу данных напрямую, независимо от того, где они хранятся.
• Законопроект позволит заключить соглашения между США и другими государствами, правоохранительным органам которых будет разрешено напрямую запрашивать данные у американских компаний без надлежащей защиты конфиденциальности пользователей. Потенциально, это может привести к расширению полномочий спецслужб по использованию систем массовой слежки. Например, в Великобритании, существующая система массовой слежки недавно была признана судом незаконной.

Предложенный законопроект представляет собой далеко не самую лучшую попытку решить проблемы трансграничного обмена данными. У такого решения есть три важных недостатка.

Во-первых, предложенное законодательное решение не устранит правовые коллизии, которые лежат в основе нынешнего режима обмена информацией между правоохранительными органами различных государств. В настоящее время государство А может посредством судебной повестки запросить у компании данные, хранящиеся на территории государства Б. Однако государство Б может потребовать иную форму судебного решения для передачи данных. Таким образом, компания будет поставлена в трудное положение, когда соблюдение законов одной страны будет вести к нарушению законов другой. В соответствии с новым законопроектом, правительство США будет уполномочено получать доступ к данным, даже если возникнет конфликт с иностранным законодательством. После того, как США достигнут договоренности с иностранным государством в рамках CLOUD Act, компании, хранящие персональные данные пользователей на территории этого государства, будут взаимодействовать исключительно с американскими властями. Однако, очевидно, что количество государств, которые будут готовы пойти на такое двустороннее сотрудничество, будет не очень велико. Это будут страны уже имеющие тесные партнерские отношения с американскими правоохранителями, и едва ли стоит ожидать подписание подобного договора между США и Китаем, например. В немалой степени это определяется и желанием американских властей защитить свои IT-компании от значительного числа прямых запросов на получение данных, поскольку в рамках системы MLAT американские компании и так получают самое большое число запросов от иностранных государств. На данный момент известно о переговорах между США и Великобританией на уровне глав государств по возможному подписанию подобного двустороннего соглашения.

Во-вторых, законопроект значительно расширит возможности американских правоохранителей по доступу к данным пользователей интернета. Хотя в США существует хорошо прописанный конституционный стандарт конфиденциальности, действующее законодательство не налагает этот стандарт на электронные коммуникации. Поэтому этот законопроект, который не введет специального ордера для получения доступа к персональным данным, может только усугубить ситуацию.

В-третьих, предложенный законопроект не отменяет договорную систему взаимной правовой помощи, которая в настоящее время является основным методом обмена доказательствами между государствами. Система MLAT основана на защите частной жизни и взаимности, которые почти полностью исключены в Законе CLOUD.

Крупные американские IT-компании уже поддержали этот законопроект. Компании Apple, Microsoft, Google, Facebook и Oath отправили американским конгрессменам совместное открытое письмо, в котором приветствовали их желание реформировать систему трансграничного обмена данными. Представители отрасли высоко оценили заложенные в законопроект гарантии безопасности. В частности, он должен ввести прозрачные механизмы уведомления иностранных государств о том, что правовой запрос на передачу данных касается их граждан. Сейчас компании вынуждены лавировать между многочисленными стандартами обеспечения конфиденциальности и раскрытия информации, принятыми в различных странах. Поэтому они будут рады любому изменению статус-кво, даже если в него будут заложены значительные риски для прав человека.

По материалам: accessnow.org