суббота, 27 февраля 2010 г.

Документ Майкрософт: До каких персональных данных пользователей онлайн-служб могут добраться правоохранительные органы и спецслужбы США?

Как вчера подсказал мне С.В.Дроков, достоянием общественности стал конфиденциальный документ компании Майкрософт, предназначенный для сотрудников правоохранительных органов США и для взаимодействующих с ними представителей компании. Вероятно, существуют аналогичные документы, описывающие взаимодействие с правоохранительными органами других стран.

Документ под названием «Онлайн-службы Майкрософт. Справочник по глобальному исполнению законодательно-нормативных требований, связанных с борьбой с уголовными преступлениями. Версия для США, март 2008 г.» (Microsoft® Online Services. Global Criminal Compliance Handbook, U.S. Domestic Version, March 2008) в настоящее время доступен по адресу http://demonter.net/wp-content/uploads/2010/02/Microsoft-espion-donnees-personelles.pdf  или http://www.docstoc.com/docs/26492389/microsoft-spy-guide .

На основе этого документа, несомненно, будут попытки очередной раз демонизировать Майкрософт – однако документ всего лишь описывает, в упорядоченном виде, правовые основания для доступа к данным; и сообщает правоохранительным органам, на какие данные они могут рассчитывать (чтобы не запрашивали лишнего). Напомню, что законодательство США обязывает любую компанию, в случае законного запроса со стороны правоохранительных органов, раскрывать, под угрозой жестоких санкций, всю (именно всю!) относящуюся к делу информацию. Следует отметить, что в США обеспечиваемая законодательством защита персональных данных существенно слабее, чем в Европе.

С моей же точки зрения, документ интересен тем, что в цифрах и фактах раскрывает возможности доступа правоохранительных органов США к персональным данным людей, пользующихся услугами любых компаний, подпадающих под американскую юрисдикцию.

Важным моментом является то, что все онлайн-службы Майкрософт, даже работающие в рамках национальных доменов, все учетные данные пользователей сохраняют в США. Регистрационные данные пользователей электронной почты хранятся до ликвидации соответствующих учётных записей. Транзакционные данные (о прохождении почты, о размещении информации на блогах) хранятся в течение 60-90 дней. В документе подчёркивается, что Майкрософт не может раскрывать сообщения электронной почты, которые пользователь сохраняет в папках на собственном компьютере.

Самая интересная информация содержится на последней странице: описаны законные основания для доступа к различным видам информации (каждый последующий инструмент имеет и все возможности предыдущих):

  • Для раскрытия базовой учётной информации и транзакционных данных, содержания сообщений электронной почты давностью более 180 дней (при соблюдении органами установленного законом порядка извещения пользователей), а также всего иного контента достаточно запроса на выемку (subpoena) от правоохранительного органа;

  • Для раскрытия всех данных из профиля пользователя (включающих адресную книгу, список контактов и т.д.), а также заголовков сообщений электронной почты (исключая тему сообщения) – нужен судебный приказ;

  • Для полного раскрытия содержания почтовых сообщений нужен уже ордер на обыск. Это единственный способ для правоохранительных органов добраться до содержания «свежих» сообщений (включая их темы), «хранящихся» менее 180 дней. В зависимости от того, какой судебный округ США выпишет ордер, понятие «хранения» трактуется по-разному – в одних случая это будут только непрочитанные сообщения, а в других – все сообщения электронной почты.

На эту же тему доступна, также конфиденциальная, презентация Майкрософт, которую можно скачать здесь: http://polis.osce.org/library/view?item_id=3550&attach_id=2633 (Internet Explorer попытается этому помешать!).

Комментариев нет:

Отправить комментарий