USA: All your Cloud Are Belong to Us

Microsoft har fået (endnu) et problem.

Politiet i USA har bedt om at få udleveret kundedata som Microsoft har liggende på en server i Irland.

Og en dommer har dømt at data skal udleveres selvom de ligger i et andet land.

Med andre ord: Bare fordi Microsoft har "off-shoret" en computer betyder det ikke at data er uden for lovens lange arms rækkevidde.

Jeg vil næsten godt vædde på at denne sag kommer hele vejen til USAs højesteret, for der er meget store argumenter på begge sider.

Set fra myndighedernes er der ikke den store forskel på om det er data eller penge der off-shores: Hvis firmaet er underlagt USAs lov, har de bare at levere når dommeren har nikket lodret.

Alternativet ville være at man intet kunne finde ud af noget om hvad der foregår i firmaer, for længe inden myndighederne får sendt en anmodning om udlevering fra Irland ville data være flyttet til Singapore og derfra til New Zealand, Chile osv. osv. Det ville blive ren "Whack the Mole" for myndighederne.

Set fra Microsofts og andre "cloud-providers" side betyder dommen enden på enhver drøm om at levere "Cloud" services til kunder udenfor USA: Hvad nytter det at man skriver en garanti om at data ikke forlader EU, hvis USAs domstol kan fængsle topchefen for "foragt for retten" hvis han ikke vil udlevere dem ?

I bund og grund er vores kriminalretslige system bygget på det faktum at der altid er en gerningsmand hvor forbrydelsen sker. Det kan sagtens være at han har medsammensvorne der har ringet til ham og sagt at han skulle gå igang eller at han ville blive betalt, men udtrykket "lovens lange arm" dækker netop at forbrydere kun har arme i almindelig længde, mens politet samarbejder og opnår større rækkevidde.

Samarbejdet halter dog gevaldigt når man når til en landegrænse og trods alle mulige traktater og lokumsaftaler, er det stadig en rigtig god måde at vinde tid på for en forbryder, at komme ud over grænsen i tide.

At begå en forbrydelse på den anden side af en grænse plejede at være så godt som umuligt: Man kunne fyre en riffel af igennem pigtråden men det var næsten også eneste måde at gøre det på.

Selv indenfor unioner som USA har retssystemet problemer med grænserne og derfor har kriminaliseret handlinger som "at transportere en kvinde over grænsen med henblik på utugt" osv.

Når der ikke er en føderal myndighed for grænsen, f.eks i sammenstødet imellem EU og USA, er den slags lovgivning ikke en mulighed, så skal der traktater til osv.

Hvordan jurister og diplomater i de kommende år vil prøve at kvadrere den cirkel bliver formodentligt dræbende kedsommeligt at følge med i, for i bund og grund er og bliver det umuligt.

Men indtil videre er status at hvis ens cloudleverandør er fra USA er man f**ked.

phk

Kommentarer (39)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin Andersen

Jeg giver dig helt ret.

Sidste sætning skal dog have et nøk mere, da fx et europæisk firma, der bla. har virke i USA, også er underlagt USAs lov (hvilket NSA (før Snowden-balladen) var så flinke at fortælle).

Med andre ord er man tvunget til at holde sig fra globalisering og blive i EU. (Men mon ikke, at man kan oprette to selskaber - et på hver side af Atlanten - og på den måde holde lovgivningerne adskilt?)

-Martin

  • 4
  • 0
#2 Michael Rasmussen

"Men indtil videre er status at hvis ens cloudleverandør er fra USA er man f**ked."

Det kunne være interessant at spørge Henrik Sass Larsen, hvorledes ovenstående ikke har betydning for Danmark. I DR2 deadline sagde han jo, at han havde fuldt tillid til, at amerikanske firmaer ikke bryder dansk lov! Udlevering af fortrolige oplysninger om danske statsborgere til fremmed magt uden dansk dommerkendelse er i strid med dansk lovgivning.

  • 28
  • 0
#6 Finn Christensen

..at spørge Henrik Sass Larsen, hvorledes ovenstående ikke har betydning for Danmark. I DR2 deadline sagde han jo, at han havde fuldt tillid til, at amerikanske firmaer ikke bryder dansk lov!

Hvorfor dog bruge tiden på det ?

1) Antageligt er der vel kun ~20% af befolkningen, der reelt tror på hans forsikringer

2) Vi deltager (i gruppe med andre) i fælles overvågning, snageri og dyneløfteri - så uanset hvad en Sass + Helle m.fl. oplæser for folket, er handlinger derfor ikke ulovligt i juridisk forstand, eller handlinger så godt skjult, at regeringstoppen ikke ved det sker.

3) Det er en almindelig regel, at der er typer af viden, som en ledelse ikke ønsker at have kendskab til, aldrig har hørt om eller ønsker oplyst - både i privat samt offentlig regi.

En offentlig hemmelighed, som glemmes.. Vi har i 1900-tallet aldrig opbygget eller afsat nødvendige ressourcer til et seriøst sikkerhedssystem, militær mm. her i kongeriget, selv her i 2000 til dags dato er egen indsats for danske kr. lidt kulørte kulisser.

Vi har siden slutningen af 1940'ne levet under sikkerhedsparaply (Nato, USA m.fl.). Efter 2. verdenskrig har udenlandske 'systemer' til enhver tid lavet arbejdet for os, hvorfra vi høster frugterne billigt (læs 'vi samarbejder').

Til gengæld, da intet jo er gratis, giver vi dem...

  • 3
  • 1
#7 Uffe Seerup

Om konsekvensen af denne afgørelse (hvis den bekræftes af SCOTUS) er, at en cloud leverandør kan pålægges at udlevere data fra en kundes kunde - specielt når dette data ikke lader sig adskille fra andre af kundens kunder.

Hvis en dansk myndighed får hostet en offentlig løsning (eller en del af en offentlig løsning) som omfatter data om borgere, kan en USA dommer så kræve at få udleveret data om den enkelte person?

Er cloud leverandøren forpligtet til at prøve at forstå datamodel, mv?

Jeg ville antage (men intet er sikkert med amerikanske domstole) at det kun retter sig mod enkelt personer.

Den pågældende sag handler så vidt vides om udlevering af data tilhørende en enkelt juridisk person. Microsoft - eller andre cloud leverandører - har ikke stor chance for - uden dokumentation - at forstå det data der ligger i databaser som er hostet i fx Irland.

De udbeder sig ikke dokumentationen for data base struktur og filer, og de vil have mere end almindeligt svært ved at filtrere den enkelte persons data fra en hostet løsning.

Så selvom denne sag er interessant (og potentielt dræbende for cloud leverandører), så er det svært at se hvordan den kan danne præcendens for offentlige løsninger som bruger skyen som infrastruktur eller som platform. Det vil kræve en anden principiel sag.

  • 1
  • 0
#8 Jan Nielsen

CSC - og andre US-ejede selskaber - kan vel kun (lovligt) pålægges at udlevere data, selskabet selv ejer. Fx indholdet af din Hotmail- eller Google-account, dine kundedata hos Nets etc. etc. SKAT's, CPR's, Politiets datagrundlag tilhører vel næppe denne kategori.

  • 0
  • 2
#10 Uffe Seerup

Nej, service udbydere kan netop tvinges til at udlevere kundedata, når det er kunden der er under mistanke.

Jan kan nu godt have ret alligevel. Der er i USA også beskyttelse mod "overly broad supenos". En sådan kendelse skal i USA rette sig mod en specifik person (en juridisk person som fx. en privatperson eller et selskab).

Kendelsen (som appeleres af Microsoft) retter sig mod en enkelt person. Det er bestemt ikke givet, at en sådan kendelse kunne påtvinge cloud udbyderen at grave ind i kunders databaser og filer, for at finde oplysninger om en enkeltperson.

Så selvom dette er en rigtig kedelig kendelse set fra EU, så er det ikke umiddelbart noget som kan påtvinge en Europæisk virksomhed at udlevere data om en amerikansk eller egen statsborger, heller ikke selvom virksomheden hoster sin løsning hos Amazon/Google/Microsoft/Red Hat.

Det vil kræve en anden kendelse og en anden prøvning i USAs retsinstanser.

Populært sagt så har dette indflydelse på amerikanske virksomheder som driver applications as a service såsom Office365, salesforce, gmail.

Det er så også skidt nok.

  • 1
  • 0
#11 Jens Dalsgaard Nielsen

Der må snart være en fornuftig forretning i at lave en skyforretning der bor i EU og ikke er ejet direkte/indirekte af en USA baseret firma og ikke har ansat statsborgere fra USA. (hedder en sådan en en USAner ? en amerikaner kan jo godt være fra Chile...)

  • 1
  • 0
#12 Jonas Finnemann Jensen

Microsoft Irland er et separat selskab.

Hmm, mon ikke sådan en udlevering af data er ulovlig under Irsk lov? Om ikke andet er det formentligt et brud på MS' EULA, hvilket MS Irland kan sagsøges for i Irland.

Det er selvfølgeligt lidt uretfærdigt at sætte MS topcheferne i en situation hvor de blot kan vælge mellem fængsling i USA eller EU. Men for mig at se er det bedre at stille hårdt mod hårdt, end at give efter for Amerikanerne.

  • 7
  • 0
#15 Maciej Szeliga

Men vil man så senere udvide, med salg i USA, har man problemet.

Nej da, selskabets hovedsæde skal være i EU og afdelingen i USA skal være et datterselskab som kun har adgang til de servere som er lokalt i USA, desuden skal alle medarbejdere i dette datterselskab være fastboende i USA (så er de nemlig beskyttet af USAs forfatning). På denne måde vil det ikke være muligt at afpresse hovedsædet med overgreb på de ansatte i datterselskabet og datterselskabets ansatte vil ikke kunne tilgå de systemer som er udenfor USA. Datterselskabet skal være stort set 100% selvstændigt selskab så der ikke er behov for nogen forbindelser mellem systemerne i USA og resten af selskabet.

  • 5
  • 0
#16 Jan Juul Mortensen

Det får jo nærmest DDR's "Ministerium für Staatssicherheit" (Stasi) arkiver til, at blegne... Hvis en stat har adgang til alt den information på tværs af grænserne. Alternativt må der lovgives om, hvorvidt EU's data må komme i hænderne på firmaer der kan være underlagt andre landes lovgivning. Det underbygger blot min holdning om, at offentlige, regionale og statslige data bør og skal holdes "in house" og ikke op i en eller anden "Cloud"-løsning.

  • 9
  • 0
#17 Maciej Szeliga
  • 7
  • 0
#20 Theis Blickfeldt

Det burde være muligt for firmaerne, at omgå ved, at oprette et udenlands datterselskab. Fx. et firma der hedder Microsoft Cloud Co., som er lokaliseret i Chile (eller hvor man nu har en passende lovgivning). Så er firmaet ikke længere underlagt amerikansk lovgivning...

  • 0
  • 0
#21 Claus Jacobsen

Microsoft har jo sådan set allerede gjort det med MS Irland - det er jo der de sender samtlige finanser over da de er fritaget for skat i Irland :) Så al overskud fra USA ryger direkte over til Irland. og den amerikanske regering er jo så ved at forsøge at lukke det "lille" hul i deres skattelovgivning. (data og penge=hinanden i det her tilfælde)

  • 1
  • 0
#23 Michael Meisner

Tak til Poul-Henning Kamp for at rejse denne debat på Version2, men jeg anbefaler alle også at læse Reuters telegram (http://www.reuters.com/article/2014/04/25/us-usa-tech-warrants-idUSBREA3...) for yderligere detaljer.

Endvidere kan en relativ god indføring i de mere sublime detaljer findes ved gennemlæsning af "Stored Communications Act" artiklen (http://en.wikipedia.org/wiki/Stored_Communications_Act) på WikiPedia. Og så alligevel ikke, idet artiklen på WikePedia formodentlig indholder en afgørende fejl vedr. netop om lovkomplekset kan hændhæves udenfor USA. [Det er jeg ved at tjekke].

"Stored Communications Act" (SCA) er en lov tilbage fra 1986 og altså flere år før internettet for alvor blev globalt udbredt. Man må sige at de amerikanske jurister har været fremme i skoene, når de allerede før HTML'en blev opfundet kunne forudse behovet (for at beskytte amerikanske interesser) for "Stored Communications Act".

Det helt grundlæggende spørgsmål er om der juridisk kan skelnes mellem f.eks. et private hjem med en (i) analog notesblok liggende på køkkenbordet, og en privatpersons computer, med f.eks. (ii) en e-mail service leveret af en amerikansk virksomhed. I det første tilfælde (i) er alle enige i at der skal en national dommerkendelse til, før private hjem kan ransages. I det andet tilfælde (ii) angiver "Stored Communications Act" at amerikansk lov udstrækkes globalt, til alle amerikanskejede ISP-virksomheder. Muligvis også f.eks. danske virksomheder der udfører handel i USA. Dette sidste er under heftig debat blandt jurister.

SCA dækker overordnet set to hovedområder: - Electronic communication service. If an unopened email has been in storage for 180 days or less, the government must obtain a search warrant. There has been debate over the status of opened emails in storage for 180 days or less, which may fall in this category or the "remote computing service" category.[2] - Remote computing service. If a communication has been in storage for more than 180 days or is held "solely for the purpose of providing storage or computer processing services" the government can use a search warrant, or, alternatively, a subpoena or a "specific and articulable facts" court order (called a 2703(d) order) combined with prior notice to compel disclosure. Prior notice can be delayed for up to 90 days if it would jeopardize an investigation. Historically, opened or downloaded email held for 180 days or less has fallen in this category, on the grounds that it is held "solely for the purpose of storage.

Bemærk 180 dagesreglen.

Kunne være interessant at få danske jurister til at udtale sig, om sådan lovgivning, set fra Europæisk/Dansk side, kan være gældende. Det stiller jeg mig meget tvivlende overfor...

Mvh. Michael

  • 2
  • 0
#26 Anton Lauridsen

Egentlig ikke, hvis du læser dommen

http://www.nysd.uscourts.gov/cases/show.php?db=special&id=398

Kan du se at argumentet er at: Cloud leverandøren ikke kan dække sig ind under at det er et udenlandsk datterselskab. Dermed tilsidesætter dommeren EU-US Safeharbor aftalen, for så vidt angår data der ligger på servere ejet af virksomheder der er ejet af Amerikanske virksomheder, men sansynligvis ikke den del af Safeharbor hvor EU virksomheder sender data direkte til USA.

EU's data beskyttelses direktiv er dermed sat ud af kraft. Reverse engenering af datastrukturen er udelukkende en teknisk detalje og har ingen juridisk betydning. Eks. en virksomhed der foretager human trafficking, og af uransagelige grunde har databasen over deres "varelager" liggende på en server i Irland.

  • 0
  • 0
#28 Henrik Knopper

Så er firmaet ikke længere underlagt amerikansk lovgivning...

Prøv du at fortælle USA's regering det.

Det tror jeg sådan set godt de ved. Derfor har de dækket sig ind ved at reglerne dækker firmaer der gør forretning i USA, ligger i USA eller er amerikansk ejet.

Du kan snildt lave cloudfirmaer som er uden for amerikansk lovgivning - og der er bl.a. nogle tyskere som gør det i stor stil - men så er du også afskåret fra at gøre forretning i USA.

Det burde der efterhånden være en god forretning i, og bl.a. Brasilien gør det fra officielt hold

  • 0
  • 0
#29 Pilu Kasper Bech

Jeg har i et stykke tid tænkt på at skifte til en mail løsning der ligger 100% inden for EU, men har ikke rigtig fundet nogen.

Er der nogen der har forslag?

Host dine egen mail eller find en ven lille firma der gider. Tror desværre ikke vi har de store firmaer. Dog ret sikker på du kan finde nogen i englang, tyskland og frankrig ville nok vælge tyskland hvis jeg skulle. Lejer selv pt. en server i tyskland hvor jeg har min egen mail server kørende. Dog kører det meste af min mail over gmail i dag da min egen server er ret ny og mest et stykke legetøj.

Kan kun lige komme i tank om ofir mail der muligvis ikke er udenlandsk ejet hvis du vil gå 100% dansk.

  • 0
  • 0
#31 Kristian Klausen
  • 0
  • 0
#32 Pilu Kasper Bech

Det behøver ikke at være Danmark, så længe jeg kan være sikker på at EU's databeskyttelses direktiv gælder. :-)

Som du kan se ved at folk kan havde deres egen email server er det ikke raket videnskab at hoste selv. Så der er masser af sider/server i Europa som tilbyder hostede emails. Tag en google søgning og undersøg selskaberne.

Dog skal du være opmærksom på hvad det er du vil havde i en mail. Er det oppe tid? Nem genkendelse? Sikkerhed? Sikring fra kommercielle interesser? Andet?

Det er sjælledt du får det hele i en mail. Husk at vis ikke du betaler for et produkt er du selv varen ;) Som sagt jeg bruger selv gratis gmail...

Hurtigt søgning på mail udbyder i EU var http://www.mail-online.dk/ (dansk) http://www.ofir.dk (dansk) http://www.gmx.net/ (tysk)

  • 0
  • 0
#33 Deleted User

Tak til Michael for en god og saglig kommentar til en også udmærket artikel. Mens vi venter på om dommeren fra New York eller Microsoft får medhold i om Stored Communications Act kan anvendes eller ej - så kan vi jo overveje hvilke regler vi ønsker der gælder for myndigheders adgang til f.eks. en virksomheds mail. Et tænkt eksempel kunne være et konkursbo's mulighed for at tjekke Stein Baggers mailkorrespondance for evt. kontonumre, der kunne føre til nogle af de manglende millioner. Her er vi vel alle enige om at kurator ad rettens vej må kunne få adgang til mailkontoen, uanset om mailserveren står i USA, Irland eller Tyskland eller hjemme i kælderen ? For mig er det mere diskutabelt om en afgørelse i et andet land skal kunne tvinges igennem på tværs af landegrænserne. her er jeg enig med Microsoft advokater i, at dette må kræve en lokal afgørelse indtil det evt. må komme nogle globale reguleringer på dette område.

  • 0
  • 0
#36 Poul-Henning Kamp Blogger

For mig er det mere diskutabelt om en afgørelse i et andet land skal kunne tvinges igennem på tværs af landegrænserne.

Det er hvad man på godt dansk kalder et solidt dilemma.

Måden vi plejer at løse den slags på, er at sige "Lad en domstol afgøre det", men det er underforstået i en sådan grad at næsten ingen tænker over det: "... en domstol der har magt over begge parter".

Balladen er at det er der ingen domstole der har når det er grænseoverskridende, det nærmeste vi kommer er ICC, som primært er gearet efter rigtig alvorlig kriminalitet.

Men mange lande, herunder USA har taget kraftige forbehold over for ICC's rækkevidde og dømmekraft, fordi de frygter at ret meget af Pentagons personale kunne blive anklaget for krigsforbrydelser og simpel vold i forskellige historiske kontexter.

Oprindeligt da man lavede FN, var det en af forhåbningerne at man ad den vej kunne opnå et "velfungerende internationalt kriminalsystem", men det har specielt USAs højrefløj fået forpurret.

Så der er ikke nogen nem løsning, specielt er der ikke nogen nem løsning vi alle kan blive enige om.

Og derfor tror jeg Microsoft taber.

  • 3
  • 0
Log ind eller Opret konto for at kommentere