Thứ Ba, 9 tháng 8, 2011

Các nhà chức trách Mỹ truy cập được tới các dữ liệu đám mây của châu Âu

US authorities have access to European cloud data

30 June 2011, 16:39

Theo: http://www.h-online.com/security/news/item/US-authorities-have-access-to-European-cloud-data-1270961.html

Bài được đưa lên Internet ngày: 30/06/2011

Lời người dịch: Theo Luật Yêu nước của Mỹ, các nhà cung cấp đám mây như Microsoft phải cung cấp cho các ủy viên công tố chống tội phạm Mỹ bằng sự truy cập tới các dữ liệu của các khách hàng. Điều này đã được giám đốc điều hành Gordon Frazer của Microsoft Anh giải thích tại Luân Đôn khi khai trương Microsoft Office 365” và điều này là xung đột với luật bảo vệ dữ liệu của châu Âu. Vì thế, người đứng đầu của Trung tâm Độc lập của Nhà nước về Bảo vệ Dữ liệu tại bang Schleswig Holstein của Đức “nói rằng, ít nhất, các khách hàng nên có khả năng để kết thúc những thỏa thuận của họ ngay lập tức theo các điều kiện như vậy, điều làm cho các nhà cung cấp dịch vụ như vậy như Microsoft, với Office 365 và Windows Azure của hãng, không phù hợp đối với các dịch vụ CNTT quản lý các dữ liệu cá nhân. Ông khuyến cáo rằng các công ty trong lòng châu Âu nên sử dụng chỉ các nhà cung cấp dịch vụ thuần châu Âu cho các dịch vụ đám mây của họ có chứa các dữ liệu cá nhân”. Như vậy nếu bạn muốn sử dụng các dịch vụ đám mây của Microsoft như Office 365 và Windows Azure, bạn cần phải hiểu là tất cả các dữ liệu cá nhân của bạn là do các nhà chức trách Mỹ quản lý.

Các nhà cung cấp đám mây như Microsoft phải cung cấp cho các ủy viên công tố chống tội phạm Mỹ bằng sự truy cập tới các dữ liệu của các khách hàng. Điều này đã được giám đốc điều hành Gordon Frazer của Microsoft Anh giải thích tại Luân Đôn khi khai trương Microsoft Office 365, khi được hỏi liệu Microsoft có thể đảm bảo được rằng các dữ liệu được lưu trữ trong các trung tâm dữ liệu của hãng tại châu Âu có bao giờ ra được khỏi châu Âu hay không.

Frazer nói rằng hãng của ông phải tuân thủ các luật của Mỹ vì tổng hành dinh của hãng ở đó. Đặc biệt, những qui định trong Luật Yêu nước áp dụng, trao cho các ủy viên công tốt chống tội phạm Mỹ các quyền truy cập có thể áp dụng được rộng rãi tới các dữ liệu. Frazer nói rằng các khách hàng có thể được thông báo rằng các dữ liệu của họ đã được truyền tay “bất kỳ khi nào có thể”, nhưng ông có thể không đảm bảo rằng sự thông báo có thể được đưa ra. Sau tất cả, Cục Điều tra Liên bang Mỹ FBI có thể đưa ra một Thư An ninh Quốc gia NSL (National Security Letter) chứa một lệnh bịt miệng (gag order) đối với các công ty bị ảnh hưởng. Trong những trường hợp như vậy, Frazer nói ông thậm chí còn không có khả năng nói rằng ông đã nhận được NSL.

Một tài liệu trực tuyến tại Trung tâm Tin cậy của Microsoft khẳng định các tuyên bố của Frazer và làm cho rõ rằng vấn đề không chỉ có liên quan tới Luật Yêu nước: “Trong một số lượng hạn chế các tình huống, Microsoft có thể cần mở các dữ liệu ra mà không cần sự đồng ý trước, bao gồm như được yêu cầu để thỏa mãn các yêu cầu pháp lý, hoặc để bảo vệ các quyền hoặc tài sản của Microsoft hoặc những thực thể khác (bao gồm sự tuân thủ những thỏa thuận hoặc chính sách điều hành sử dụng dịch vụ)”. Hãng này nói rằng trước hết hãng đặt các nhà chức trách của chính phủ vào hợp đồng với khách hàng với những dữ liệu của khách hàng được yêu cầu. Nếu Microsoft nhận được một trát hầu tòa ép buộc hãng phải cung cấp thông tin cho bản thân, hãng nói hãng sẽ chỉ truyền tay những gì được yêu cầu một cách đặc biệt. Hơn nữa, Microsoft nói hãng lên kế hoạch làm bất kỳ thứ gì là “hợp lý về mặt thương mại” để thông báo cho các khách hàng của mình về sự kiện ở một mức độ pháp lý có thể.

Thilo Weichert, người đứng đầu của Trung tâm Độc lập của Nhà nước về Bảo vệ Dữ liệu tại bang Schleswig Holstein của Đức (ULD) nói rằng việc chia sẻ những dữ liệu như vậy với các bên nằm ngoài Liên minh châu Âu xung đột với luật bảo vệ dữ liệu của châu Âu. Theo ý kiến của ông, rủi ro của việc những dữ liệu như vậy được chuyển đi gây tổn thương cho tính bí mật của các dữ liệu và các ứng dụng được chứa tại các trung tâm dữ liệu của Microsoft và vi phạm điều cơ bản đối với các thỏa thuận hiện hành về các dịch vụ xử lý dữ liệu. Weicherts nói rằng, ít nhất, các khách hàng nên có khả năng để kết thúc những thỏa thuận của họ ngay lập tức theo các điều kiện như vậy, điều làm cho các nhà cung cấp dịch vụ như vậy như Microsoft, với Office 365 và Windows Azure của hãng, không phù hợp đối với các dịch vụ CNTT quản lý các dữ liệu cá nhân. Ông khuyến cáo rằng các công ty trong lòng châu Âu nên sử dụng chỉ các nhà cung cấp dịch vụ thuần châu Âu cho các dịch vụ đám mây của họ có chứa các dữ liệu cá nhân.

Cloud providers like Microsoft have to provide US criminal prosecutors with access to customer data, as ZDNet reports. This access applies even if the data is stored by firms based in the EU and in European data centres. This was explained by Microsoft's British managing director Gordon Frazer in London during the launch of Microsoft's Office 365, when he was asked whether Microsoft could ensure that the data stored at its data centres in the EU would never leave Europe.

Frazer said that his firm has to follow the laws of the United States because it is head-quartered there. In particular, the stipulations in the Patriot Act apply, which gives US criminal prosecutors far-reaching access rights to data. Frazer said that customers would be informed that their data had been handed over "whenever possible", but he could not guarantee that notification would be given. After all, the FBI can issue a National Security Letter (NSL) containing a gag order for the companies affected. In such cases, Frazer said he would not even be able to state that he had received an NSL.

An online document in Microsoft's Trust Center confirms Frazer's statements and makes it clear that the matter not only concerns the Patriot Act: "In a limited number of circumstances, Microsoft may need to disclose data without your prior consent, including as needed to satisfy legal requirements, or to protect the rights or property of Microsoft or others (including the enforcement of agreements or policies governing the use of the service)." The firm says that it first puts the governmental authorities into contact with the customer whose data is requested. If Microsoft receives a subpoena forcing it to provide the information itself, the firm says it will only hand over what is specifically requested. Furthermore, Microsoft says it plans to do whatever is "commercially reasonable" to inform its customers of the event to the extent legally possible.

Thilo Weichert, head of the Independent State Center for Data Protection in the German state of Schleswig Holstein (ULD) says that the sharing of such data with parties outside the EU conflicts with European data protection law. In his opinion, the risk of having such data passed on compromises the confidentiality of the data and applications hosted at Microsoft's data centres and violates the basis for current agreements on data processing services. Weicherts says that, at the very least, customers should be able to terminate their agreements immediately under such conditions, which make such service providers as Microsoft, with its Office 365 and Windows Azure, unsuitable for IT services which manage personal data. He recommends that companies within Europe should use only purely European service providers for their cloud services containing personal data.

(ehe)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.