US CLOUD Act – mistä siinä oikeasti on kyse? 

Tässä blogissa käydään lyhyesti läpi, mikä on CLOUD Act ja selvennetään, mitä se sallii ja ei salli Yhdysvaltain lainvalvonnan pääsyn osalta rajat ylittäviin tietoihin. 

Mikä on CLOUD Act? 

US CLOUD Act (Clarifying Lawful Overseas Use of Data) on Yhdysvaltojen lainsäädäntö, joka tuli voimaan maaliskuussa 2018. Sen tarkoituksena on tukea vakavien rikosten, kuten terrorismin ja kyberrikollisuuden tutkintaa. Lain nojalla Yhdysvaltain viranomaiset voivat velvoittaa yhdysvaltalaiskytköksisiä sähköisten viestintä- ja pilvipalveluiden tarjoajia luovuttamaan hallussaan tai määräysvallassaan olevaa dataa, vaikka tiedot sijaitsisivat Yhdysvaltojen ulkopuolella. CLOUD Act vaatii aina tuomioistuimen luvan (etsintäluvan tai määräyksen). 

US CLOUD Act: Millä valtuuksilla rajat ylittävää dataa voidaan hakea 

CLOUD Act selkeyttää olosuhteita, joissa Yhdysvaltain lainvalvonta voi hakea pääsyä tietoihin riippumatta siitä, missä niitä säilytetään. Tämä osa Actia on aiheuttanut merkittäviä väärinymmärryksiä sen laajuudesta ja vaikutuksesta: 

• CLOUD Act ei anna Yhdysvaltain viranomaisille vapaata, automaattista tai massaluonteista pääsyä tietoihin.Tietojen saaminen edellyttää aina tiukkojen lakisääteisten vaatimusten täyttymistä sekä tuomioistuimen myöntämää lupaa. Laki ei salli summittaista tai laajamittaista pääsyä kotimaisiin tai ulkomaisiin tietoihin. Viranomaisten on osoitettava riippumattomalle tuomioistuimelle perusteltu syy epäillä, että yksilöidyssä tilissä olevat tiedot liittyvät rikoksen tutkintaan. 
• CLOUDAct EI sivuuta ulkomaista lainsäädäntöä. Laki tunnustaa nimenomaisesti palveluntarjoajan oikeuden haastaa pyyntö, jos se on ristiriidassa vieraan valtion lainsäädännön tai kansainvälisen kohteliaisuusperiaatteen (comity) kanssa. Comity‑periaate tarkoittaa kunnioitusta vieraita lakeja kohtaan ja perustuu kohteliaisuuteen, vastavuoroisuuteen ja valtioiden suvereniteetin kunnioittamiseen. Microsoft on sitoutunut haastamaan kaikki Yhdysvaltojen viranomaisten pyynnöt, jotka eivät kunnioita digitaalista suvereniteettia ja ovat ristiriidassa muiden maiden lainsäädännön kanssa. 
• CLOUDActin mukaiset pyynnöt ulkomaisista yritystiedoista EIVÄT ole yleisiä, vaan itse asiassa poikkeuksellisen harvinaisia. Microsoftin läpinäkyvyysraportit osoittavat, että ulkomaisten yritysten sisältötietojen luovutukset Yhdysvaltain lainvalvontaviranomaisille muodostavat vain 0,008 % kaikista Microsoftin vuosittain saaduista vaatimuksista CLOUD Actin voimaantulon jälkeen. Tämä tarkoittaa alle yhtä pyyntöä jokaista 10 000 vaatimusta kohden. 
• CLOUDAct EI salli Yhdysvaltojen harjoittaa taloudellista vakoilua tai päästä käsiksi ulkomaisten yritysten liikesalaisuuksiin. Yhdysvallat on jo pitkään vastustanut kaikkia lainvalvonta tai tiedusteluvaltuuksien väärinkäyttöä, joka voisi johtaa immateriaalioikeuksien, kuten liikesalaisuuksien tai muun luottamuksellisen liiketoimintatiedon, varastamiseen. Yhdysvaltain lain mukaan liikesalaisuuksien varkaus on rikos, josta voidaan tuomita jopa kymmenen vuoden vankeusrangaistus. 
• CLOUD Act EI ohita teknisiä rajoituksia, kutenend-to-end-salausta, jotka suojaavat digitaalista suvereniteettia. Microsoft tarjoaa kehittyneet salausratkaisut, mahdollisuuden valita datan sijainti sekä asiakkaan hallitsemat salausavaimet, joiden avulla asiakkaat säilyttävät täyden kontrollin omiin tietoihinsa. Microsoft ei tarjoa millekään hallitukselle mahdollisuutta murtaa salausta. 
• Lainkäyttövallan rajat ylittävä viranomaisten pääsy dataan ei oleominaista vain Yhdysvalloille. Monilla mailla on lakeja ja oikeuskäytäntöjä, jotka sallivat pääsyn muualla sijaitseviin sähköisiin tietoihin. Budapestin kyberrikollisuutta koskeva yleissopimus ja YK:n kyberrikollisuussopimus velvoittavat jäsenmaita säätämään lakeja, jotka mahdollistavat pääsyn sähköisiin tietoihin niiden sijainnista riippumatta. Sama periaate näkyy myös EU:n e-Evidenceasetuksessa, useiden EUmaiden lainsäädännössä, Kanadan ja IsonBritannian laeissa sekä muualla maailmassa. 
• CLOUDActin vaikutusvalta EI rajoitu vain yhdysvaltalaisiin yrityksiin. Laki koskee kaikkia yrityksiä, joilla on yhteys Yhdysvaltain talouteen. Ulkomaiset palveluntarjoajat, joilla on Yhdysvaltoihin ulottuva toiminta, myös esimerkiksi pelkkä verkkopalvelujen tarjoaminen Yhdysvalloissa, voivat olla CLOUD Actin piirissä ja joutua luovuttamaan dataa Yhdysvaltain viranomaisille riippumatta siitä, missä data fyysisesti sijaitsee. Ainostaan sellaiset palveluntarjoajat, joilla ei ole minkäänlaisia kytköksiä Yhdysvaltain talouteen, eivät ole Cloud Actin piirissä. Tämä tarkoittaisi käytännössä palveluntarjoajia, joilta puuttuisi globaalit resurssit ja osaaminen huippuluokan teknologiapalvelujen rakentamiseen ja ylläpitoon. 

Microsoftin toimintatavat ja periaatteet datapyyntöihin vastaamisessa 

Microsoftilla on vahva maine asiakkaiden oikeuksien puolustamisesta viranomaisten tietopyyntöihin liittyen. Tarkastamme jokaisen oikeudellisen pyynnön erittäin huolellisesti ja haastamme sellaiset pyynnöt, jotka ovat ristiriidassa periaatteidemme tai sovellettavan lain kanssa, tarvittaessa aina Yhdysvaltain korkeimpaan oikeuteen asti. 

Pidämme yllä läpinäkyvyyttä ilmoittamalla asiakkaille heitä koskevista vaatimuksista ja julkisten raporttien kautta. Läpinäkyvyysraporttimme osoittaa, kuinka vähän rajat ylittäviä pyyntöjä Microsoft vastaanottaa: rajat ylittävät yritysasiakkaita koskevat sisällönluovutukset ovat vain 0,008 % kaikista globaaleista lainvalvontapyynnöistämme, eikä yksikään niistä koskenut julkisen sektorin asiakkaita. 

Tarjoamme lisäksi vahvat sopimukselliset ja tekniset turvakeinot, jotta voimme täyttää asiakkaidemme tarpeet ja noudattaa paikallisia lakeja. Microsoftin kaikissa palveluissa noudattamia keskeisiä periaatteita ovat muun muassa: 

• Microsoft ei anna millekään hallitukselle suoraa tai rajoittamatonta pääsyä asiakkaiden dataan, eikä luovuta kenellekään salausavaimiaan tai keinoja murtaa salaustaan. 

• Jos viranomainen haluaa päästä käsiksi asiakkaan dataan, sen on noudatettava sovellettavaa oikeudellista prosessia. Sisältödata edellyttää määräystä tai tuomioistuimen päätöstä, ja tilaajatieto tai muu ei-sisältödata edellyttää haastetta (subpoena). 

• Kaikkien pyyntöjen on kohdistuttava yksilöityihin tileihin ja tunnisteisiin. 

• Microsoftin lakitiimi tarkistaa jokaisen pyynnön pätevyyden, hylkää virheelliset pyynnöt ja tyypillisesti pyytää olemaan yhteydessä suoraan asiakkaaseen. 

Lue lisää ulkopuolisen lakitoimiston tekemästä selvityksestä: US CLOUD Act vs European/UK Data Sovereignty Explained