Ny lov genstarter data-slagsmål: USA kræver påny mails fra Microsofts irske servere

Illustration: photogearch/Bigstock
Ny lov giver tiltrængt opdatering til USA’s regler for udlevering af data - men efterlader en række nye spørgsmål.

Siden 2013 har Microsoft og den amerikanske regering ligget i juridisk skyttegravskrig. Stridspunktet er, om USA’s myndigheder med retskendelser kan få adgang til data gemt uden for landets grænser – nærmere bestemt på servere i Irland.

Nu har USA’s Højesteret sendt striden tilbage til start.

Årsagen er en ny lov – kaldet Cloud Act – der fastsætter nye regler for, hvordan myndigheder kan indhente data. Loven fik USA’s myndigheder til at droppe den retskendelse, som har bragt parterne hele vejen til Højesteret.

Læs også: EU blander sig i årelang data-strid mellem Microsoft og USA: Vigtigt, at I forstår vores lov

Og med den omstridte retskendelse af vejen erklærede domstolen sagen for meningsløs – en pointe, som Microsoft erklærede sig enig i.

Men myndighedernes beslutning betyder ikke, at de har opgivet tanken om at få fat i e-mails i Irland i forbindelse med en sag om transport af narkotika. Dem har de fået en ny retskendelse på under Cloud Act-reglerne.

Microsoft oplyser til Version2, at den nye warrant er under behandling.

Ventede på kongressen

Microsoft har længe arbejdet for klare regler på området. De hidtil gældende retskrav kommer fra 80’erne, hvor den globale data-infrastruktur blot var en vision.

It-kæmpen har argumenteret for, at lovgivere – og ikke domstolen – burde lægge linjen for fremtidens retspraksis. Da sagen nåede Højesteret i februar, valgte dommerne da også at give kongressen tid til at vedtage den ny lov.

Med Cloud Act slår de amerikanske lovgivere fast, at data skal udleveres, uanset om det opbevares i USA eller i udlandet – et forhold, den gamle lov ikke specificerede.

Læs også: Microsoft: Regler for at hente data hos it-giganter er gammeldags

Dermed synes sagen nu klar ... hvis ikke, det var fordi Cloud Act understreger, at dataudleveringen skal respektere lokal lov – i denne sag altså irsk lov og snart også EU’s databeskyttelsesforordning.

I selskabets udtalelse til Højesteret står der blandt andet:

»As with every warrant it receives, Microsoft will carefully review the new warrant, including the nature and scope of the warrant, the current facts of the account location and use, and any potential grounds for objection.«

Rejser flere spørgsmål

Med højesteretssagen aflyst er der således stadig uopklarede spørgsmål.

Albert Gidari, der er Director of Privacy ved Stanford Law School, bemærker i en blog for International Association of Privacy Professionals, at Irland i en skrivelse til den nu afsluttede retssag har antydet, at retskendelsen vil krænke landets suverænitet, og at USA i stedet bør bede om data gennem en traktat mellem de to lande.

Læs også: Microsoft-sag om udlevering af europæiske data kan punktere tilliden til amerikanske it-firmaer

Det er derfor usikkert, om Microsoft vil udfordre kendelsen endnu en gang, skriver Gidari. Og om Irland vil tvinge selskabet til som minimum at informere landets datamyndigheder, hvis der udveksles data.

Ganske vist har den nye lov gjort det klart, at myndigheders rækkevide går ud over landets grænser, men loven »rejser flere spørgsmål i processen«.

Rejsen ikke slut

President for Microsoft Brad Smith forklarede tidligere på måneden i en blog, at selvom selskabet var tilfredse med, at lovgivere endelig har opdateret de forældede regler, så er Cloud Act blot et skridt på vejen.

»Vi har ikke sagsøgt vores egen regering fire gange og dedikeret energi til disse emner over fire somme tider lange år for at stoppe med at vise beslutsomhed nu,« skriver han.

»Lovhåndhævelse er nødt til at være effektiv og privatlivsrettigheder skal beskyttes. Denne rejse er endnu ikke fuldendt, og vi ser frem til at fortsætte med at arbejde sammen med mange andre for at få en succesfuld afslutning.«

Læs også: Microsoft får på et hængende hår medhold i at nægte udlevering af data fra Europa

Selvom it-selskaber som Apple, Google og Facebook har bakket op om Cloud Act, har loven mødt kritik fra diverse privacy- og borgerretsorganisationer.

Både The Center for Democracy and Technology og Electronic Frontier Foundation kritiserede lovens manglende beskyttelse af amerikanske borgeres data – f.eks. ved ikke præcist at specificere, hvornår myndigheder kan kræve data udleveret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
Simon Mikkelsen

Det betyder vel, at som tingene er nu, aner man ikke om data placeret på en Amazon-server i Danmark kan blive udleveret til USA. Selvom de måtte åbne et datacenter i Danmark, og selvom de fleste store udbydere har centre i EU, må man stadig se på hvor moderselskabet har hjemme.

Mette Nikander

"The American way" er jo sådan set ikke kun problematisk omkring privacy relaterede data. Det er også et stort problem, hvis der i samme moment kan udleveres forretnings hemmeligheder omkring påtænkte migreringer, opkøb, opfindelser, produktudvikling, go to market strategier, patentansøgninger m.m.
Krypter krypter krypter .....

Knud Larsen

I dag forudsætter international love og eksistensen af nationalstater at udleveringer sker gennem internationale aftale om sådant.
Hvis man kortslutter denne praksis (bare fordi det teknisk kan lade sig gøre) ændres opfattelsen af suverænitet fuldstændigt.
Det skete i forbindelse med bankhemmeligheden i Schweiz. Da banken havde filialer i USA vred USA armen om på den private bank.
Udlever data eller vi lukker jeres filialer i USA.
Skat f.eks. Danmark gør helt det samme. Opkræv moms og indbetal det til den danske statskasse eller vi stopper jeres salg i Danmark.
Jo globalisering og nationalisme er nogle svære størrelser.
Danmark praktiserer jo også dansk skat på indkomst her i landet af borgere der er bosat i udlandet, hvilket er dybt diskriminerende al den stund at skatten her høj og afspejler det åh så høje velfærd, som ikke er det samme i bopælslandet.

Christian Nobel

Danmark praktiserer jo også dansk skat på indkomst her i landet af borgere der er bosat i udlandet, hvilket er dybt diskriminerende al den stund at skatten her høj og afspejler det åh så høje velfærd, som ikke er det samme i bopælslandet.

Det er så ikke korrekt, hvis man er varigt flyttet ud af Danmark, hvilket i praksis betyder man ikke har dansk bopæl, så bliver man ikke beskattet i Danmark (og man har i øvrigt heller ikke stemmeret).

Hvis man har et sommerhus i Danmark, så skal man dog betale ejendomsskat, og er der pensioner eller indtægter der kommer fra Danmark, så kan det godt blive lidt rodet.

René Nielsen

Jeg ser denne lovgivning som endnu et bevis på at politikere (på globalt plan), ikke forstår den verden de lever i.

Når politikere lovgiver (og ikke kun danske politikere), så tager de den sikkerhed som ligger indbygget i fysiske verden for givet. Jeg ser loven om det ”rene wildwest” som efterlader internationale selskaber som en lus imellem mange negle.

Hvad pokker skal et selskab som Microsoft eller Apple sige når en (hemmelig) domstol i et andet land kræver at få udleveret et eller andet når Microsofts hovedland (USA) allerede har lovliggjort udlevering af alt hvad de har om deres kunder til USA?

Der skal ikke meget sølvpapir hat til at forstille sig at lande som Rusland, Kina, Tyrkiet eller Nordkorea kræver at få adgang til alt om udvalgte personer og på samme tid forbyder brug af amerikansk software/services.

Dernæst kommer de økonomiske konsekvenser for Microsoft. Microsofts globale kunder kan jo ikke leve med usikkerheden om at deres data frit kan udleveres uden om kundens lands eget retsvæsen.

Det er Trump og hans administration når de er bedst – kortsigtet og uden tanke for de langsigtede konsekvenser (i form af tab af hans lands markedsandele og arbejdspladser). Måske er der en årsag til at Trump er gået konkurs seks gange …

Mette Nikander

bare lige for at der ikke skal være tvivl. Hvis en løsning er ejet af et amerikansk selskab, kan f.eks. NSA kræve indsigt. Det er således ligegyldigt hvilket et land serveren står i. Hvis der skal beskyttes helt, mod amerikansk indsigt, så skal løsningen der udbydes, være egenudviklet eller købt og 100% ejet af et f.eks. et tysk eller dansk selskab, der igen ikke må være ejet af et amerikansk selskab....

Michael Cederberg

bare lige for at der ikke skal være tvivl. Hvis en løsning er ejet af et amerikansk selskab, kan f.eks. NSA kræve indsigt. Det er således ligegyldigt hvilket et land serveren står i. Hvis der skal beskyttes helt, mod amerikansk indsigt, så skal løsningen der udbydes, være egenudviklet eller købt og 100% ejet af et f.eks. et tysk eller dansk selskab, der igen ikke må være ejet af et amerikansk selskab....

Man kan sagtens indrette europæisk lovgivning sådan at amerikanske myndigheder ikke kan komme til data. Hvis man krævede at det kun var Europæere der måtte administrere disse servere og gjorde det ulovligt at flytte eller at hjælpe til at flytte data ud af EU, så kunne amerikanske myndigheder hoppe og springe så meget det har lyst til. Europæere skal først og fremmest overholder europæiske love - subsidiært andre landes love.

NSA vil altid være et problem fordi de givetvis har bagdøre. Det er dog et mindre problem for de fleste, fordi den slags information ikke rigtigt kan bruges i retssale (fordi NSA derved vil afsløre kilder og i den forbindelse at de krænker europæisk lov). Det er således kun hvis man truer vestlige staters sikkerhed at man vil løbe ind i problemer (og det kan jeg godt acceptere).

Jakub Nielsen

Hvis vi er ligeglad med hvad de har hjemmel til og tager som udgangspunkt at NSA har adgang til alt, så kan samme argument anvendes på alt hvad der anvendes i stedet. Hvis man stiller sig i samme kø som dem der tænker at google aflytter mikrofonen og kigger med på kameraet, så er der ikke meget at diskutere. Man kan også være mere praktisk og kryptere alt hvad der sendes ud fra kælderen hvis man ønsker. Man kan også lave hybride cloud arkitekturer baseret på risikoprofiler. Men ok NSA har nok også bagdøre i krypteringsalgoritmer mv.......

Jan Heisterberg

Diskussionen fokuserer på udlevering af data til eet bestemt land, men problematikken er helt generel.

Det burde opfattes som uden betydning, i den moderne verden, hvor data opbevares / kontrolleres. Det væsentlige er HVEM og HVORFOR data ønskes udleveret.

Hvis en stat, med et reelt formål (e.g. kriminalitet) ønsker data udleveret, så burde det være statsborgerens lands domstole træffe en begrundet beslutning baseret på en begæring med et anerkendt formål (e.g. reel formodning om forbrydelse). Det effektueres så rent teknisk af den som kan gøre det (dataadministrator). Dette holder så ikke helt overfor landes egne statsborgere - for det kan være politisk forfølgelse; i dette tilfælde er det vel opholdslandet som bør træffe beslutningen.

I de simple og reelle tilfælde, e.g. narkotika, er det vel ikke så svært at afgøre. I andre tilfælde, e.g. russiske afhoppere / flygtningen med ophold i UK, er det vil ikke indlysende at en russisk begæring skal imødekommes. Eller fra Tyrkiet, Spanien, Indien, ....., mange eksempler.

Der er modeller i andre områder som fungerer; f.eks. skibsfart, hvor flagstaten i vidt omfang fastsætter reglerne.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017