Varför är det så lite reaktioner på CloudAct?
Den 23 Mars röstade USA:s kongress igenom CloudAct (‘‘Clarifying Lawful Overseas Use of Data Act’’) i samband med genomröstningen av USA:s budget. Med tanke på att Europa är i full färd med att införa GDPR, den nya dataskyddsförordningen med syfte att skydda personinformation, är det få reaktioner på CloudAct. Electronic Frontier Foundation och olika typer av aktivistgrupper har dock reagerat på den nya lagen. Vissa leverantörer av molntjänster har valt att försvara den.
Bakgrunden till lagen kan beskrivas enligt följande resonemang. Cyberrelaterade brott innefattar data och tjänster i flera länder. De stora molnbolagen diffunderar information om individer över hela världen och det finns en svårighet vid brottsfall att få ut den information som behövs. Mellan USA och Europa finns ett avtal (MLAT – Mutual Legal Assistance Treaty) som reglerar hur myndigheter för lagupprätthållande verksamhet kan få information av varandra. MLAT-förfrågningar beskrivs som en väldigt resurs- och tidskrävande process. Både molnleverantörer och myndigheter har önskat förbättringar.
Dessutom finns det ett fall i USA:s högsta domstol, där en tvist mellan DOJ (Department of Justice) och Microsoft Irealand ska avgöras senare i vår. DOJ har begärt ut information som Microsoft lagrat i sitt datacenter på Irland, men Microsoft har vägrat och hänvisat till de inte lämnar ut denna information eftersom denna regleras av lagar på Irland och EU. Microsoft har vunnit i de tidigare instanserna. Lagförändringen genom CloudAct gör domen, vilken den än blir, meningslös eftersom det täcker en tidigare situation som inte längre kan betraktas som juridisk giltig.
Vad innebär då CloudAct enligt kritikerna:
- Att amerikanska myndigheter, typ Polis, FBI, Homeland Security kan erhålla information om en person, lagrat av ett USA-ägt företag oavsett var personen bor eller var informationen finns lagrad.
- Att USA kan ingå speciella avtal med andra länder, vilket innebär utbyte av personinformation utan att hänsyn behöver tas till persondatalagar eller MLAT.
Kritikerna menar vidare att det finns väldigt lite skydd för individen i CloudAct. Samtidigt så har molnleverantörerna väldigt stor makt genom sitt globala ägandeskap till informationen där de alltid hänvisa till en lagstiftning som hindrar utlämnande. vilket försvårar och fördröjer brottsutredningar. Frågan är dock vilka länder som beslutar att sluta avtal med USA baserat på CloudAct.
CloudAct går tvärs emot vad som EU hoppas kunna uppnå med GDPR. Detta innebär att de USA-ägda bolagen inte kan underteckna några europeiska personbiträdesavtal utan att hålla sina fingrar korsade bakom ryggen och hoppas på det bästa.
Lagen hittas här:
Samlat svar från intressegrupper typ EFF:
https://www.eff.org/document/coalition-letter-opposing-cloud-act
En något nyanserad beskrivning av CloudAct kan hittas här:
https://iapp.org/news/a/what-the-cloud-act-means-for-privacy-pros/