CLOUD Act ja EU-data selitettynä: oikeudellinen takaovi, jota Yhdysvaltojen palveluntarjoajat eivät voi sulkea
Yhdysvaltalaiset tekoäly-yritykset puhuvat paljon EU:n datakeskuksista, General Data Protection Regulation (GDPR) -vaatimustenmukaisuudesta ja tiukoista tietojenkäsittelysopimuksista. Mitä ne harvoin mainitsevat, on Clarifying Lawful Overseas Use of Data Act (CLOUD Act) – Yhdysvaltojen laki, joka luo oikeudellisen takaoven, jota mikään sopimus tai datakeskuksen sijainti ei voi sulkea.
CLOUD Actin ja EU-datan suhde on perustavanlaatuisesti rikki. Jos arvioitte tekoälytyökaluja eurooppalaiselle yrityksellenne (jota autamme yrityksiä tekemään Dentrossa), teidän on ymmärrettävä, miksi “isännöity Euroopassa” ei tarkoita samaa kuin “suojattu eurooppalaisella lainsäädännöllä”.
Mitä CLOUD Act todella tekee
CLOUD Act tuli Yhdysvaltojen lainsäädännöksi maaliskuussa 2018. Lyhyesti: jos olette yhdysvaltalainen yritys, teidän on luovutettava tiedot, kun hallitus pyytää. Sillä ei ole väliä, missä tiedot fyysisesti sijaitsevat. Palvelimenne voivat olla kuussa. Jos yhdysvaltalainen yritys hallitsee tietoja, Yhdysvaltojen lainvalvonta voi vaatia ne.
Jo vuonna 2013 Microsoft sanoi “ei” viranomaisille, kun ne halusivat Irlannissa sijaitseville palvelimille tallennettuja sähköposteja. Microsoft väitti, että yhdysvaltalaiset määräykset pysähtyvät rajalle. Asia venyi vuosia ja päätyi lopulta korkeimpaan oikeuteen. Mutta ennen kuin tuomioistuin ehti ratkaista asian, kongressi vain muutti lain. CLOUD Act teki asian kristallinkirkkaaksi: Yhdysvaltojen lainkäyttövalta seuraa yritystä, ei palvelimen sijaintia.
Käytännössä: Microsoft Azure, jonka datakeskukset ovat Saksassa —> CLOUD Act koskee. Amazon Web Services Tukholmassa —> CLOUD Act koskee. Google Cloud Belgiassa —> sama tarina. OpenAI, joka käsittelee kehotteitanne jossain EU:ssa —> sama juttu. Palvelimien fyysinen sijainti tarjoaa teille tasan nolla oikeudellista suojaa.
Ja soveltamisala on melko laaja. Kyse on tallennetusta viestinnästä, metadatista, asiakirjoista, valokuvista – käytännössä kaikista digitaalisista tiedoista. Pahempaa vielä. Toisin kuin GDPR-pyynnöissä, joissa tiedätte edes mitä tapahtuu, CLOUD Act -määräykset tulevat usein niin sanottujen gag order -kieltojen kanssa. Se tarkoittaa, että palveluntarjoaja ei saa kertoa teille, että tietoihinne on päästy käsiksi. Kyllä, todella.
Miksi “EU-datakeskus” -väitteet ovat harhaanjohtavia
“Tietonne eivät koskaan poistu EU:sta”, “Täysin GDPR-yhteensopiva”, “Eurooppalainen datan sijainti taattu”. Näitä väitteitä näkee kaikkialla. Haluatte tarkistaa itse, kokeilkaa Privacy Policy Analyzer -työkaluamme millä tahansa harkitsemallanne tekoälytyökalulla. Ne voivat olla teknisesti totta ja silti syvästi harhaanjohtavia todellisesta altistumisestanne.
Datan sijainti tarkoittaa, että tietonne tallennetaan tiettyyn paikkaan. Siinä kaikki. Se ei kerro, kuka voi laillisesti päästä niihin käsiksi. Yhdysvaltalainen yritys, joka ylläpitää EU:n datakeskuksia, on silti yhdysvaltalainen yritys. Palvelimet voivat olla Frankfurtissa, mutta oikeudelliset velvoitteet seuraavat Delawaren rekisteröintiä.
GDPR-yhteensopivuus on täysin erillinen kysymys. Kun yhdysvaltalainen palveluntarjoaja sanoo olevansa GDPR-yhteensopiva, se tarkoittaa, että se noudattaa eurooppalaisia sääntöjä tietojenne käsittelyssä. Se ei tarkoita, että tietonne olisivat suojattuja Yhdysvaltojen viranomaisten pääsyltä. Nämä ovat eri kysymyksiä, ja markkinointi sekoittaa ne tarkoituksella.
Sekoittaminen ei ole vahingossa tapahtunut. Yhdysvaltalaiset pilvipalveluntarjoajat ovat vuosia rakentaneet eurooppalaista datakeskusinfrastruktuuria erityisesti “datan suvereniteetti” -huolien ratkaisemiseksi. Ne pyörittävät markkinointikampanjoita, joissa korostetaan paikallista tallennusta ja paikallisia tiimejä. Kaikki tämä on suunniteltu saamaan teidät tuntemaan olonne suojatuksi samalla kun huoneessa oleva norsu jätetään mainitsematta: amerikkalainen rekisteröinti tarkoittaa, että yhdysvaltalainen laki pätee yhä.
Sopimukset eivät auta myöskään. Teidän ja yhdysvaltalaisen palveluntarjoajan välinen tietojenkäsittelysopimus (Data Processing Agreement, DPA) ei voi ohittaa liittiovallan lakia. Kun liittovaltion määräys saapuu, palveluntarjoajan on noudatettava sitä tai riski rikoslain nojalla tuomittavasta halveksunnasta. Sopimuksenne on merkityksetön. Vakiolausekkeet ja muut oikeudelliset kehykset kaatuvat kaikki samaan perusongelmaan: ne ovat yksityisiä sopimuksia, jotka eivät voi ohittaa valtion valtaa.
Mahdoton oikeudellinen ristiriita
Yhdysvaltalaiset yritykset, jotka palvelevat eurooppalaisia asiakkaita, ovat todellisessa oikeudellisessa painajaisessa. GDPR kieltää henkilötietojen siirtämisen kolmansiin maihin ilman riittävää suojaa. CLOUD Act vaatii tietojen luovuttamista Yhdysvaltojen viranomaisille pyydettäessä. Molemmista laeista seuraa vakavia seuraamuksia noudattamatta jättämisestä. Ratkaisua, joka tyydyttäisi molemmat, ei ole.
Tässä konkreettinen skenaario. Yhdysvaltalainen tekoälypalveluntarjoaja tallentaa asiakastietonne Frankfurtin datakeskukseensa. FBI antaa määräyksen, joka liittyy yhteen asiakkaaseenne. Palveluntarjoajalla on nyt kaksi huonoa vaihtoehtoa: noudattaa määräystä ja todennäköisesti rikkoa GDPR:ää (sakot jopa 20 miljoonaa euroa tai 4 % globaalista liikevaihdosta, kumpi tahansa on suurempi), tai kieltäytyä ja riski halveksuntasyytteistä Yhdysvaltojen liittovaltion tuomioistuimessa.
Yhdysvaltalaiset yritykset ovat yhdysvaltalaisia yrityksiä. Kun ne joutuvat valitsemaan eurooppalaisen sääntelyn ja yhdysvaltalaisen liittovaltion lain välillä, ne noudattavat määräystä. Ne saattavat ilmoittaa teille jälkikäteen, tai eivät lainkaan, koska gag order kieltää sen. Joka tapauksessa tiedot ovat poissa.
Jotkut palveluntarjoajat ovat yrittäneet luovia ratkaisuja. Microsoft kokeili “data trustee” -järjestelyjä Saksassa, joissa paikallinen kumppani hallitsi teknisesti pääsyä. Se oli monimutkaista, kallista ja he lopettivat sen lopulta. Muut yritykset ovat kokeilleet salausjärjestelmiä, joissa asiakas pitää avaimet. Mutta ne lisäävät kitkaa, vähentävät toiminnallisuutta ja usein hylätään hiljaa, kun asiakkaat valittavat käytettävyydestä.
Mitä CLOUD Act EU-data -riskit tarkoittavat yrityksellenne
Ajatelkaa, mitä virtaa tekoälyjärjestelmiinne ja kaikkeen muuhun käyttämäänne ohjelmistoon. Asiakastukikeskusteluja, joissa on henkilökohtaisia tietoja.
- Sisäisiä asiakirjoja strategiasta ja taloudesta.
- Sopimusten tarkasteluja luottamuksellisine ehtoineen.
- HR-tietoja työntekijöistä.
- Tutkimus- ja kehitystietoja.
- Kilpailutiedustelua.
Kaikki tämä ja paljon muuta tulee saataville CLOUD Act -pyynnön kautta.
Ja jos nyt ajattelette “okei, mutta FBI ei tule kuitenkaan minun perääni” – pyynnöt eivät aina kohdistu suoraan teihin. Tietonne voivat tarttua mukaan jonkun muun tutkinnassa. Asiakkaanne, jota tutkitaan, entinen työntekijä, liikekumppani. Määräys voi vaatia “kaiken viestinnän, jossa henkilö X on mukana”, ja yhtäkkiä luottamukselliset liiketietonne ovat liittovaltion käsissä.
GDPR:n mukaan te olette rekisterinpitäjä ja vastuussa keräämienne henkilötietojen kohtelusta. Jos yhdysvaltalainen palveluntarjoajanne luovuttaa asiakastietonne Yhdysvaltojen viranomaisille ilman pätevää EU-oikeudellista perustetta, teille voi tulla valvontavalituksia ja sakkoja. Puolustus “mutta käytimme GDPR-yhteensopivaa palveluntarjoajaa” ei kestä. Tiesitte CLOUD Actista. Valitsitte silti palveluntarjoajan, jolla on ristiriitaiset oikeudelliset velvoitteet.
Säännellyillä aloilla altistuminen on vielä vakavampaa. Terveystiedot, talousasiakirjat, oikeudellinen viestintä. Kaikilla näillä on erityisiä suojavaatimuksia eurooppalaisen lainsäädännön mukaan. Yhdysvaltalaisen palveluntarjoajan käyttäminen tällaisten tietojen tekoälykäsittelyyn tarkoittaa, että hyväksytte näiden suojien ohittamisen prosessilla, jota ette koskaan näe ettekä voi haastaa. Compliance-vastuuhenkilönne pitäisi esittää tästä kovia kysymyksiä.
Ainoa todellinen ratkaisu
On täsmälleen yksi tapa taata suoja CLOUD Act -pyynnöiltä: käyttäkää palveluntarjoajia, jotka eivät lainkaan kuulu Yhdysvaltojen lainkäyttövaltaan. Ei EU:n datakeskuksia, joita yhdysvaltalainen yritys ylläpitää. Ei amerikkalaisten teknologiajättien eurooppalaisia tytäryhtiöitä. Aidosti eurooppalaista omistusta ja infrastruktuuria päästä varpaisiin.
Euroopassa rekisteröity yritys, jonka omistajat ovat eurooppalaisia, ilman yhdysvaltalaista emoyhtiötä ja ilman määräävää asemaa omaavia yhdysvaltalaisia sijoittajia, ei yksinkertaisesti voi saada CLOUD Act -pyyntöä. Laki ei koske sitä. Ristiriitaa ei tarvitse ratkaista, koska Yhdysvaltojen lainkäyttövaltaa ei ole sitä luomassa.
Kaikki tavanomainen turvallisuus, kuten salaus ja pääsynhallinta, suojaa hakkereilta ja sisäisiltä uhkilta. Ne eivät tee mitään liittovallan tukemaa oikeudellista pyyntöä vastaan. Palveluntarjoajalla on avaimet, ja kun laki pakottaa, se käyttää niitä. Ainoa suoja, joka todella kestää, on rakenteellinen: olla sen lainkäyttövallan ulkopuolella, joka pyynnön antoi.
Siksi rakensimme DentroChatin. Halusimme tarjota sen, mitä yhdysvaltalaiset vaihtoehdot eivät voi: aidon eurooppalaisen tietosuojan, joka ei riipu markkinointilupauksista tai sopimuksellisista kiertoteistä. Palvelimemme ovat Saksassa. Pilvipalveluntarjoajamme ovat eurooppalaisia yrityksiä, joihin Yhdysvaltojen lainkäyttövalta ei ulotu. Ei yhdysvaltalaista emoyhtiötä, ei yhdysvaltalaisia sijoittajia hallintaoikeuksilla, ei oikeudellista koukkua, joka toisi meidät CLOUD Actin piiriin.
Kun käytätte DentroChatia, CLOUD Act yksinkertaisesti ei koske teitä. Sellaisia pyyntöjä ei voida edes laillisesti osoittaa meille. Eurooppalaiset tekoälypalveluntarjoajat voivat tarjota oikeudellista varmuutta, jota yhdysvaltalaiset palveluntarjoajat eivät rakenteellisesti voi tarjota.
Perustavanlaatuista CLOUD Act EU-data -ongelmaa ei voi ratkaista paremmilla tietosuojakäytännöillä tai vahvemmilla sopimuksilla. Se voidaan ratkaista vain valitsemalla palveluntarjoajia, jotka ovat kokonaan Yhdysvaltojen lainkäyttövallan ulkopuolella. Se on ainoa vastaus, joka todella toimii.