W przestrzeni publicznej wokół chmury obliczeniowej głośno jest ostatnimi czasy o amerykańskim prawie Cloud Act. Niebezpieczeństwo dla danych w chmurze, nieograniczona inwigilacja przez FBI – takie mocne hasła mogą niepokoić potencjalnych użytkowników chmury. Czy rzeczywiście jest się czym przejmować?
Ustawa Cloud Act, a właściwie Clarifying Lawful Overseas Use of Data Act, została wprowadzona w 2018 roku w Stanach Zjednoczonych. Akt ten stosuje się do amerykańskich dostawców usług chmurowych oraz dostawców usług komunikacji elektronicznej (dalej dla uproszczenia „dostawcy”). Jego zasadniczym celem jest rozprawienie się z dwoma problemami trapiącymi amerykańską administrację, wynikającymi odpowiednio z niejasności prawa oraz przestarzałych przepisów:
- Dostęp do danych amerykańskich dostawców, przechowywanych poza terenem USA.
- Procedowanie wniosków o udostępnienie danych przez amerykańskich dostawców, zgłaszanych przez organy innych państw.
W każdym przypadku mówimy nie o dostępie do jakichkolwiek danych, ale do danych mających znaczenie w przypadku postępowań dotyczących poważnych przestępstw. Czym są owe poważne przestępstwa? W samej ustawie Cloud Act nie podano ich dokładnej definicji. Wymieniono natomiast przykładowo: terroryzm, przestępstwa seksualnego wykorzystywania dzieci czy cyberprzestępczość. Z jednej strony mamy więc otwarty katalog przestępstw, z drugiej są to jednak wciąż ciężkie przestępstwa.
Dane poza USA
Pierwszy z problemów dotyczy kwestii, która stała się niejasna w amerykańskim porządku prawnym, a dotyczyła tego, czy dostawca może odmówić udzielenia dostępu do danych, powołując się na fakt, że geograficznie są one przechowywane poza terenem USA. Niewątpliwie istotnym przyczynkiem do uchwalenia Cloud Act był głośny wyrok federalnego sądu U.S. w sprawie Microsoftu[1]. Dostawca odmówił udzielenia dostępu do danych, powołując się m.in. na miejsce przechowywania danych, które znajdywało się poza granicami USA. Sąd przyznał rację Microsoftowi. Jak można się domyślić, wywołało to spore poruszenie w amerykańskiej administracji.
Problem stał się niebagatelny, bo wraz ze wzrostem wykorzystania usług chmurowych, coraz więcej dowodów miało postać danych przechowywanych w chmurze. W odróżnieniu od infrastruktury on-premises, którą można po prostu zatrzymać na potrzeby oględzin, w przypadku chmury fizyczne nośniki znajdują się pod kontrolą dostawcy. Nośniki te pełnią zwykle rolę współdzielonej infrastruktury, a ich ewentualne zatrzymanie to zupełnie inny kaliber działań niż w przypadku infrastruktury on-premise. Co również istotne, dane w posiadaniu dostawców często „krążą” po różnych centrach danych, rozlokowanych po całym świecie. Wobec tego, niemożność pozyskania od dostawcy dowodów, ze względu na przechowywanie ich poza terenem USA, zaczęła stanowić dla tamtejszych organów ścigania duży problem. Cloud Act wyjaśnia tę kwestię.
Zgodnie z jego postanowieniami organy ścigania co do zasady mogą żądać takiego dostępu. Nie jest to jednak dostęp dowolny czy nieograniczony, gdyż dostawcy mają w określonych sytuacjach prawo do sprzeciwu. Samo żądanie organów również musi spełniać warunki opisane w przepisach amerykańskiego prawa (np. na podstawie nakazu sądowego). W tym zakresie warto wziąć pod uwagę fakt, że Cloud Act został uchwalony przy ponadpartyjnym konsensusie i ze względną aprobatą największych dostawców. Czy dostawcy zgodziliby się na nieograniczoną inwigilację przez służby, biorąc pod uwagę, że dotyczy to ich core’owych usług? Odpowiedź na to pytanie pozostawiamy do własnej oceny dla każdego z czytelników.
Wnioski o dostęp do danych pochodzące spoza USA
Drugi wspominany problem dotyczy niewydolności dotychczasowych procedur udostępniania danych na żądanie organów innych państw. Procedury te, jak dotychczas, oparte są[2] o umowy międzynarodowe o wzajemnej pomocy prawnej, tzw. Mutual Legal Assistance Treaty (MLAT). Procedury te są przy tym dość sformalizowane i w kontekście chmury tworzą niejasności co do prawa właściwego. Innymi słowy – często nie wiadomo jest, prawo którego kraju w danym przypadku stosować, zwłaszcza w sytuacji, gdy o właściwym prawie decyduje lokalizacja przetwarzania danych. Biorąc pod uwagę rosnącą ilość dowodów „w chmurze” oraz to, że amerykańcy dostawcy zdominowali rynek globalnych usług chmurowych, dalsze działanie w oparciu o MLAT’Y stało się dla USA nie do utrzymania. Cloud Act ma to uprościć i przyspieszyć, udostępniając równoległą procedurę.
Na podstawie Cloud Act amerykańska administracja otrzymała prawo do zawierania umów dwustronnych (umowy bilateralne) z poszczególnymi państwami, które to umowy będą regulowały tryb udzielania dostępu do informacji posiadanych przez dostawców. Głównym założeniem takich umów jest, aby zgodnie z nową procedurą organy ścigania mogły zgłaszać się z wnioskami o dostęp bezpośrednio do dostawców. Ma to odciążyć amerykańską administrację, przeciążoną obsługą wniosków z całego świata. Umowy dwustronne muszą być przy tym zgodne z warunkami postawionymi w Cloud Act. Przykładowo – państwo zainteresowane jej zawarciem będzie musiało wykazać, że panują w nim rządy prawa i funkcjonuje niezależne sądownictwo.
Do umowy dwustronnej na podstawie Cloud Act jako pierwsza na początku października 2019 roku przystąpiła Wielka Brytania. W umowie tej m.in. wskazano odpowiednie organy zaangażowane w nową procedurę, a także dookreślono katalog „ciężkich przestępstw”, co do których można ją stosować. Istnieje duże prawdopodobieństwo, że z założeń tej umowy będą korzystały następne państwa. Z dostępnych informacji prasowych wynika natomiast, że polski rząd podjął już negocjacje indywidualnej umowy.[3]
Cloud Act vs. RODO – big data, big politics
Kolejne pytanie zadawane w związku z Cloud Act dotyczy stosunku tych uregulowań do RODO. W tej sprawie głos zabrała Europejska Rada Ochrony Danych.[4] W swojej opinii Rada uznała, że Cloud Act nie zawiera wystarczającej podstawy prawnej na mocy RODO, aby uzasadnić przekazywanie danych osobowych do USA. To z pewnością wzmacnia pozycję UE w toku negocjacji ze Stanami Zjednoczonymi stosownego porozumienia. Brak porozumienia powoduje ryzyko dla europejskich przedsiębiorców. Na podstawie RODO, UE będzie mogła wywierać presję na amerykańskich dostawców na rynku europejskim. Dostawcy natomiast będą mieli trudny orzech do zgryzienia, z uwagi na jednoczesne związanie macierzystymi regulacjami Cloud Act. USA w rozmowach z UE ma również swoje argumenty, gdyż Cloud Act posługuje się pojęciem „umowy z zagranicznym rządem”. Natomiast Unia Europejska to formalnie związek państw i jej oficjele nie są przedstawicielami jakiegokolwiek rządu sensu stricte. Nie jest więc na tę chwilę przesądzone, czy umowa pomiędzy UE a USA w ogóle zostanie zawarta, a jeśli tak, to w jakim kształcie (np. umowa ramowa wytyczająca ramy dla poszczególnych krajów UE, czy umowa, którą będzie można bezpośrednio stosować). Niepewność w tym obszarze nikomu nie jest na rękę. Mamy tu do czynienia z problemem prawnym najwyższego poziomu, wykraczającym poza rozważania regulacyjne, dotykającym materii globalnej polityki. Problem ten dotyczy bowiem dwóch regionów odpowiadających za ponad 30% światowego PKB[5], gdzie dostęp do zasobów chmurowych staje się równie niezbędny, jak dostęp do prądu. Dane przy tym stają się równie interesującym zasobem, jak surowce naturalne. Zwłaszcza w kontekście nadchodzącej technologii 5G, która zmieni dotychczasowy sposób korzystania z Internetu, a co za tym idzie wpłynie na przepływy wymiany handlowej, kulturalnej i społecznej. Nietrudno odnieść wrażenie, że te negocjacje to element szerszej gry, w której to grze technologie i dotyczące je regulacje grają coraz istotniejszą rolę.
Czytaj również:
Jakie strategie chmurowe wybiorą polskie firmy?
Bać się, czy się nie bać?
Podsumowując – Cloud Act wprowadza nowe rozwiązania w obszarze uzyskiwania dostępu do danych. Bez wątpienia przyczynią się one do usprawnienia procesu dowodowego przy ściganiu przestępstw. Na dzień dzisiejszy, wobec braku umów bilateralnych nie mamy jeszcze w Polsce pełnego stanu prawnego, aby określić dokładny kształt procedury uzyskiwania danych np. przez polskie organy. Trudno zatem ocenić na ile realne są obawy, które pojawiają się wśród użytkowników chmury. Pewne jest natomiast, że jeżeli ktoś do tej pory postrzegał chmurę jako „bezpieczną przystań” dla swoich danych, co do których żaden organ nie będzie miał dostępu to warto, aby zweryfikował swoje przekonania. Regulacje idą bowiem we wprost przeciwnym kierunku. Dla osób postrzegających ewentualność takiego dostępu jako stan niepożądany, warte rozważenia działania to np. dokładna klasyfikacja danych przetwarzanych w chmurze oraz ich szyfrowanie własnymi kluczami. W takim przypadku, nawet jeśli proceduralnie odpowiednie służby uzyskają do dostęp do danych, ich przydatność może być dla nich niewielka.
[1] Microsoft v. United States, 829 F.3d 197 (2d Cir. 2016), zob. np. https://harvardlawreview.org/2016/12/microsoft-corp-v-united-states
[2] Cloud Act ich nie wyłącza, ale daje alternatywę.
[3] https://cyfrowa.rp.pl/globalne-interesy/38691-rzad-chce-chronic-dane-w-chmurze-przed-usa?utm_source=cyfrowa&utm_medium=red_poleca
[4] https://edpb.europa.eu/sites/edpb/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf
[5] Na podstawie danych ze statista.com.
* Artykuł ukazał się również na łamach 
Współautorzy:
Łukasz Węgrzyn
Partner w kancelarii SSW (Head of Technology Team). Doradza organizacjom w procesach transformacji cyfrowej, w szczególności w budowie procesów zakupowych oraz modeli kontraktowych spójnych ze zwinnym modelem zarządzania organizacją (Agile). Ekspert zagadnień prawnych związanych z usługami chmurowymi oraz outsourcingiem usług IT.
Paulina Perkowska
Studentka 4 roku prawa na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego i stażystka w zespole Technologii w kancelarii SSW. Zajmuje się w szczególności kontraktami IT oraz zagadnieniami związanymi z prawem autorskim. Realizuje również studia z zakresu francuskiego prawa biznesowego Master 1 na Université de Poitiers.
