Ny lov genstarter data-slagsmål: USA kræver påny mails fra Microsofts irske servere

20. april 2018 kl. 16:0114
Ny lov genstarter data-slagsmål: USA kræver påny mails fra Microsofts irske servere
Illustration: photogearch/Bigstock.
Ny lov giver tiltrængt opdatering til USA’s regler for udlevering af data - men efterlader en række nye spørgsmål.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Siden 2013 har Microsoft og den amerikanske regering ligget i juridisk skyttegravskrig. Stridspunktet er, om USA’s myndigheder med retskendelser kan få adgang til data gemt uden for landets grænser – nærmere bestemt på servere i Irland.

Nu har USA’s Højesteret sendt striden tilbage til start.

Årsagen er en ny lov – kaldet Cloud Act – der fastsætter nye regler for, hvordan myndigheder kan indhente data. Loven fik USA’s myndigheder til at droppe den retskendelse, som har bragt parterne hele vejen til Højesteret.

Og med den omstridte retskendelse af vejen erklærede domstolen sagen for meningsløs – en pointe, som Microsoft erklærede sig enig i.

Artiklen fortsætter efter annoncen

Men myndighedernes beslutning betyder ikke, at de har opgivet tanken om at få fat i e-mails i Irland i forbindelse med en sag om transport af narkotika. Dem har de fået en ny retskendelse på under Cloud Act-reglerne.

Microsoft oplyser til Version2, at den nye warrant er under behandling.

Ventede på kongressen

Microsoft har længe arbejdet for klare regler på området. De hidtil gældende retskrav kommer fra 80’erne, hvor den globale data-infrastruktur blot var en vision.

It-kæmpen har argumenteret for, at lovgivere – og ikke domstolen – burde lægge linjen for fremtidens retspraksis. Da sagen nåede Højesteret i februar, valgte dommerne da også at give kongressen tid til at vedtage den ny lov.

Med Cloud Act slår de amerikanske lovgivere fast, at data skal udleveres, uanset om det opbevares i USA eller i udlandet – et forhold, den gamle lov ikke specificerede.

Dermed synes sagen nu klar ... hvis ikke, det var fordi Cloud Act understreger, at dataudleveringen skal respektere lokal lov – i denne sag altså irsk lov og snart også EU’s databeskyttelsesforordning.

I selskabets udtalelse til Højesteret står der blandt andet:

»As with every warrant it receives, Microsoft will carefully review the new warrant, including the nature and scope of the warrant, the current facts of the account location and use, and any potential grounds for objection.«

Rejser flere spørgsmål

Med højesteretssagen aflyst er der således stadig uopklarede spørgsmål.

Albert Gidari, der er Director of Privacy ved Stanford Law School, bemærker i en blog for International Association of Privacy Professionals, at Irland i en skrivelse til den nu afsluttede retssag har antydet, at retskendelsen vil krænke landets suverænitet, og at USA i stedet bør bede om data gennem en traktat mellem de to lande.

Det er derfor usikkert, om Microsoft vil udfordre kendelsen endnu en gang, skriver Gidari. Og om Irland vil tvinge selskabet til som minimum at informere landets datamyndigheder, hvis der udveksles data.

Ganske vist har den nye lov gjort det klart, at myndigheders rækkevide går ud over landets grænser, men loven »rejser flere spørgsmål i processen«.

Rejsen ikke slut

President for Microsoft Brad Smith forklarede tidligere på måneden i en blog, at selvom selskabet var tilfredse med, at lovgivere endelig har opdateret de forældede regler, så er Cloud Act blot et skridt på vejen.

»Vi har ikke sagsøgt vores egen regering fire gange og dedikeret energi til disse emner over fire somme tider lange år for at stoppe med at vise beslutsomhed nu,« skriver han.

»Lovhåndhævelse er nødt til at være effektiv og privatlivsrettigheder skal beskyttes. Denne rejse er endnu ikke fuldendt, og vi ser frem til at fortsætte med at arbejde sammen med mange andre for at få en succesfuld afslutning.«

Selvom it-selskaber som Apple, Google og Facebook har bakket op om Cloud Act, har loven mødt kritik fra diverse privacy- og borgerretsorganisationer.

Både The Center for Democracy and Technology og Electronic Frontier Foundation kritiserede lovens manglende beskyttelse af amerikanske borgeres data – f.eks. ved ikke præcist at specificere, hvornår myndigheder kan kræve data udleveret.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
23. april 2018 kl. 21:52

Diskussionen fokuserer på udlevering af data til eet bestemt land, men problematikken er helt generel.

Det burde opfattes som uden betydning, i den moderne verden, hvor data opbevares / kontrolleres. Det væsentlige er HVEM og HVORFOR data ønskes udleveret.

Hvis en stat, med et reelt formål (e.g. kriminalitet) ønsker data udleveret, så burde det være statsborgerens lands domstole træffe en begrundet beslutning baseret på en begæring med et anerkendt formål (e.g. reel formodning om forbrydelse). Det effektueres så rent teknisk af den som kan gøre det (dataadministrator). Dette holder så ikke helt overfor landes egne statsborgere - for det kan være politisk forfølgelse; i dette tilfælde er det vel opholdslandet som bør træffe beslutningen.

I de simple og reelle tilfælde, e.g. narkotika, er det vel ikke så svært at afgøre. I andre tilfælde, e.g. russiske afhoppere / flygtningen med ophold i UK, er det vil ikke indlysende at en russisk begæring skal imødekommes. Eller fra Tyrkiet, Spanien, Indien, ....., mange eksempler.

Der er modeller i andre områder som fungerer; f.eks. skibsfart, hvor flagstaten i vidt omfang fastsætter reglerne.

13
23. april 2018 kl. 18:13

Hvis vi er ligeglad med hvad de har hjemmel til og tager som udgangspunkt at NSA har adgang til alt, så kan samme argument anvendes på alt hvad der anvendes i stedet. Hvis man stiller sig i samme kø som dem der tænker at google aflytter mikrofonen og kigger med på kameraet, så er der ikke meget at diskutere. Man kan også være mere praktisk og kryptere alt hvad der sendes ud fra kælderen hvis man ønsker. Man kan også lave hybride cloud arkitekturer baseret på risikoprofiler. Men ok NSA har nok også bagdøre i krypteringsalgoritmer mv.......

12
23. april 2018 kl. 13:38

Det tror jeg ikke du skal stole på... Det faktum at et amerikansk firma bare ejer en lille del, vil være nok til at der vil blive kunne lagt et voldsomt pres på firmaet for at udlevere data.

11
23. april 2018 kl. 13:37

well, jeg ville ikke binde an med det...;-)

10
23. april 2018 kl. 13:36

bare lige for at der ikke skal være tvivl. Hvis en løsning er ejet af et amerikansk selskab, kan f.eks. NSA kræve indsigt. Det er således ligegyldigt hvilket et land serveren står i. Hvis der skal beskyttes helt, mod amerikansk indsigt, så skal løsningen der udbydes, være egenudviklet eller købt og 100% ejet af et f.eks. et tysk eller dansk selskab, der igen ikke må være ejet af et amerikansk selskab....

Man kan sagtens indrette europæisk lovgivning sådan at amerikanske myndigheder ikke kan komme til data. Hvis man krævede at det kun var Europæere der måtte administrere disse servere og gjorde det ulovligt at flytte eller at hjælpe til at flytte data ud af EU, så kunne amerikanske myndigheder hoppe og springe så meget det har lyst til. Europæere skal først og fremmest overholder europæiske love - subsidiært andre landes love.

NSA vil altid være et problem fordi de givetvis har bagdøre. Det er dog et mindre problem for de fleste, fordi den slags information ikke rigtigt kan bruges i retssale (fordi NSA derved vil afsløre kilder og i den forbindelse at de krænker europæisk lov). Det er således kun hvis man truer vestlige staters sikkerhed at man vil løbe ind i problemer (og det kan jeg godt acceptere).

9
23. april 2018 kl. 13:35

Løsningen er ejet af et tysk firma, hvor Microsoft har 49% af andelene. De vil derfor ikke kunne udlevere data

8
23. april 2018 kl. 13:26

bare lige for at der ikke skal være tvivl. Hvis en løsning er ejet af et amerikansk selskab, kan f.eks. NSA kræve indsigt. Det er således ligegyldigt hvilket et land serveren står i. Hvis der skal beskyttes helt, mod amerikansk indsigt, så skal løsningen der udbydes, være egenudviklet eller købt og 100% ejet af et f.eks. et tysk eller dansk selskab, der igen ikke må være ejet af et amerikansk selskab....

7
23. april 2018 kl. 13:10

Jeg ser denne lovgivning som endnu et bevis på at politikere (på globalt plan), ikke forstår den verden de lever i.

Når politikere lovgiver (og ikke kun danske politikere), så tager de den sikkerhed som ligger indbygget i fysiske verden for givet. Jeg ser loven om det ”rene wildwest” som efterlader internationale selskaber som en lus imellem mange negle.

Hvad pokker skal et selskab som Microsoft eller Apple sige når en (hemmelig) domstol i et andet land kræver at få udleveret et eller andet når Microsofts hovedland (USA) allerede har lovliggjort udlevering af alt hvad de har om deres kunder til USA?

Der skal ikke meget sølvpapir hat til at forstille sig at lande som Rusland, Kina, Tyrkiet eller Nordkorea kræver at få adgang til alt om udvalgte personer og på samme tid forbyder brug af amerikansk software/services.

Dernæst kommer de økonomiske konsekvenser for Microsoft. Microsofts globale kunder kan jo ikke leve med usikkerheden om at deres data frit kan udleveres uden om kundens lands eget retsvæsen.

Det er Trump og hans administration når de er bedst – kortsigtet og uden tanke for de langsigtede konsekvenser (i form af tab af hans lands markedsandele og arbejdspladser). Måske er der en årsag til at Trump er gået konkurs seks gange …

6
23. april 2018 kl. 13:05

Så med andre ord skal vi have et helt seperat setup, som fx Azure i Tyskland (eller Kina) for at være 100% sikre på at US ikke får adgang til data.

5
23. april 2018 kl. 12:52

Danmark praktiserer jo også dansk skat på indkomst her i landet af borgere der er bosat i udlandet, hvilket er dybt diskriminerende al den stund at skatten her høj og afspejler det åh så høje velfærd, som ikke er det samme i bopælslandet.

Det er så ikke korrekt, hvis man er varigt flyttet ud af Danmark, hvilket i praksis betyder man ikke har dansk bopæl, så bliver man ikke beskattet i Danmark (og man har i øvrigt heller ikke stemmeret).

Hvis man har et sommerhus i Danmark, så skal man dog betale ejendomsskat, og er der pensioner eller indtægter der kommer fra Danmark, så kan det godt blive lidt rodet.

4
23. april 2018 kl. 11:53

I dag forudsætter international love og eksistensen af nationalstater at udleveringer sker gennem internationale aftale om sådant. Hvis man kortslutter denne praksis (bare fordi det teknisk kan lade sig gøre) ændres opfattelsen af suverænitet fuldstændigt. Det skete i forbindelse med bankhemmeligheden i Schweiz. Da banken havde filialer i USA vred USA armen om på den private bank. Udlever data eller vi lukker jeres filialer i USA. Skat f.eks. Danmark gør helt det samme. Opkræv moms og indbetal det til den danske statskasse eller vi stopper jeres salg i Danmark. Jo globalisering og nationalisme er nogle svære størrelser. Danmark praktiserer jo også dansk skat på indkomst her i landet af borgere der er bosat i udlandet, hvilket er dybt diskriminerende al den stund at skatten her høj og afspejler det åh så høje velfærd, som ikke er det samme i bopælslandet.

3
23. april 2018 kl. 11:10

"The American way" er jo sådan set ikke kun problematisk omkring privacy relaterede data. Det er også et stort problem, hvis der i samme moment kan udleveres forretnings hemmeligheder omkring påtænkte migreringer, opkøb, opfindelser, produktudvikling, go to market strategier, patentansøgninger m.m. Krypter krypter krypter .....

2
23. april 2018 kl. 08:27

Det betyder vel, at som tingene er nu, aner man ikke om data placeret på en Amazon-server i Danmark kan blive udleveret til USA. Selvom de måtte åbne et datacenter i Danmark, og selvom de fleste store udbydere har centre i EU, må man stadig se på hvor moderselskabet har hjemme.

1
23. april 2018 kl. 03:15

...snart ikke bortforklares, at cloud "the American way" (eller rettere... the foreign way) ikke er at foretrække fremfor at holde vores GDPR date inhouse, incountry, in a safe!

mvh Kim Bo