Vyřizování žádostí státních orgánů o poskytnutí zákaznických dat
16. Červenec 2013

Autor: Brad Smith

General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft

Dnes jsme požádali nejvyššího státního zástupce Spojených států, aby se osobně zasadil za svolení pro společnost Microsoft a další společnosti veřejně sdílet přesnější informace o tom, jak vyřizují žádosti o poskytnutí zákaznických informací pro účely národní bezpečnosti. Jsme přesvědčeni, že ústava Spojených států nám dává právo sdílet více informací s veřejností, nicméně americké státní orgány nám v tom brání. Jejich právní zástupci například zatím nereagovali na žalobu, kterou jsme podali 19. června, v níž požadujeme svolení se zveřejněním celkového objemu námi obdržených žádostí o informace vznesených v zájmu národní bezpečnosti. Doufáme, že nejvyšší státní zástupce se zasadí o změnu této situace.

V mezidobí budeme sdílet co největší rozsah informací, který smíme zveřejnit. Nyní dochází k zásadním nepřesnostem v interpretaci uniklých státních dokumentů, které se minulý týden objevily v médiích. Opětovně jsme požádali státní orgány o svolení, abychom se k otázkám nastolených těmito novými dokumenty mohli vyjádřit. Náš požadavek však právní zástupci státních orgánů zamítli. Prozatím níže shrnujeme to, co jsme v tomto okamžiku oprávněni k nařčením v médiích zveřejnit:

  • Outlook.com (dříve Hotmail): Rozhodně neposkytujeme žádným státním orgánům přímý přístup k e-mailům či zprávám v instant messagingu. Stejně jako ostatní poskytovatelé elektronických komunikačních služeb máme za určitých okolností povinnost v souladu se zákonem a na základě soudního příkazu poskytnut státním orgánům obsah týkající se konkrétních zákaznických účtů. To platí ve Spojených státech i v jiných zemích, ve kterých ukládáme data. Kdykoli dostaneme takovou žádost, prověříme ji, a pokud je v souladu se zákonem, data poskytneme. Žádnému státnímu orgánu jsme ale nikdy neposkytli technický nástroj umožňující přístup k obsahu vytvářenému uživateli přímo nebo podle jejich uvážení. Naopak každý státní orgán musí postupovat v souladu se zákonem a vždy musí žádat pouze o konkrétní informace týkající se přesně určených zákaznických účtů.

    Těmito povinnostmi jsme pochopitelně vázáni i při aktualizacích našich produktů a při posilování šifrovacích a bezpečnostních prvků, jejichž cílem je lépe chránit obsah na internetu. Nedávno zveřejněné dokumenty zmiňovaly připojení šifrovacího prvku HTTPS ke službě instant messaging v Outlook.com. Smyslem tohoto opatření je zvýšit bezpečnost obsahu při pohybu na internetu. Zdůrazňuji, že jsme žádnému státnímu orgánu neumožnili, aby tuto šifru prolomil, ani jsme žádnému státnímu orgánu neposkytli šifrovací klíče. Pokud je požadavek státního orgánu o informace v souladu se zákonem, potom shromáždíme konkrétní požadovaný obsah z našich serverů v nezašifrované podobě a takto ho poskytneme oprávněnému státnímu orgánu.

    Pokud ponecháme stranou technické detaily, tak všechny informace z nedávno uniklých státních dokumentů směřují ke dvěma bodům. Zaprvé: I když jsme se státními orgány diskutovali o zákonných požadavcích, jak se psalo v médiích minulý týden, společnost Microsoft v žádné z těchto diskusí státním orgánům neposkytla, ani neslíbila poskytnout, přímý přístup k obsahu uživatelů či možnost prolomit šifrování. Zadruhé: Předmětem těchto diskusí bylo naopak to, jak bude společnost Microsoft nadále plnit své zákonné povinnosti tím, že bude poskytovat konkrétní informace vyžádané státními orgány na základě příkazů vydaných v souladu se zákonem.

  • OneDrive: Na žádosti o data uložená na OneDrive reagujeme stejným způsobem. Všichni poskytovatelé tohoto typu úložných služeb měli vždy zákonnou povinnost poskytnout obsah, pokud obdrží podloženou žádost se všemi náležitostmi. V roce 2013 jsme některé naše procesy změnili tak, abychom dokázali reagovat na rostoucí počet žádostí od státních orgánů na celém světě. Žádná z těchto změn ale neznamenala přímý přístup jakékoli státního orgánu k OneDrive a nic se nezměnilo na tom, že veškeré žádosti o zákaznická data musí splňovat zákonné požadavky. Proces pro poskytnutí souborů z OneDrive ve Spojených státech nebo kdekoli jinde je stále stejný, ať se jedná o soudní příkaz, či požadavek bezpečnostních služeb.

  • Telefonování přes Skype: Tak jako u jiných služeb, i zde vyhovíme pouze zákonným požadavkům a poskytujeme pouze data o konkrétních účtech nebo identifikačních údajích. Zprávy z minulého týdne zmiňovaly konkrétní změnu provedenou v roce 2012. Stále zlepšujeme a zkvalitňujeme služby Skype a v roce 2012 jsme udělali řadu změn v technickém zázemí, jako např. přesun na vlastní hostování tzv. „supernodes“ či migraci části provozu Skype IM do našich vlastních datových center. Cílem těchto změn nebylo zjednodušit přístup státních orgánů ke zvukovým, obrazovým, textovým či jiným zákaznickým datům. Se vzrůstající hlasovou a video komunikací přes internet, je zřejmé, že státní orgány budou mít zájem využít (nebo vytvořit) zákonné pravomoci přistupovat k tomuto typu obsahu za účelem vyšetřování trestných činů či boje s terorismem. Očekáváme proto, že všechny hovory, bez ohledu na to, zda jsou vedeny přes internet, pevnou linku či mobilní telefon, budou garantovat stejnou úroveň bezpečnosti a soukromí. I za těchto okolností je společnost Microsoft odhodlána poskytnout informace pouze na základě zákonné žádosti týkající se konkrétních uživatelských účtů. Žádnému státnímu orgánu neposkytujeme přímý či neomezený přístup ke klientským datům ani šifrovací klíče.

  • Podnikové e-maily a datová úložiště: Jestliže státní orgán požádá o data o korporátních zákaznících, podnikneme kroky k tomu, abychom tento státní orgán přímo spojili s příslušným zákazníkem, a pokud to zákon výslovně nezakazuje, daného zákazníka na žádost upozorníme. Nikdy jsme žádnému státnímu orgánu neposkytli zákaznická data firemních zákazníků či zákazníků z veřejné správy pro účely národní bezpečnosti. Pokud jde o požadavky pro účely trestního řízení, uvedli jsme již v naší Zprávě o žádostech v souvislosti s výkonem práva, že v průběhu roku 2012 jsme vyhověli pouze čtyřem takovým žádostem týkajícím se firemních zákazníků či zákazníků z veřejné správy. Ve třech případech jsme na požadavek upozornili zákazníky a ti nás požádali, abychom příslušná data poskytli. Ve čtvrtém případě obdržel žádost přímo zákazník a požádal společnost Microsoft, aby data poskytla. Žádnému státnímu orgánu jsme neumožnili prolomení šifrování používaného našimi firemními zákazníky při ukládání dat v cloudu, ani jsme neposkytli šifrovací klíče.

Stručně řečeno, když státní orgány žádají od společnosti Microsoft informace týkající se zákazníků, jednáme podle přísných pravidel, omezujeme poskytnuté informace na minimum a usilujeme o maximální transparentnost. To celkově ve vztahu k našemu softwaru a službám znamená, že:

  • Společnost Microsoft žádnému státnímu orgánu neposkytla přímý a neomezený přístup k zákaznickým datům. Společnost Microsoft pouze vyhledá a poskytne konkrétní údaje vyžádané na základě zákonného požadavku.

  • Pokud státní orgán požaduje zákaznická data, včetně dat pro účely národní bezpečnosti, musí postupovat v souladu s platnými právními předpisy, tedy musí mít soudní příkaz k obdržení takových informací či údajů o daném zákaznickém účtu.

  • Jsme ochotni splnit pouze požadavky, které se týkají konkrétních účtů a identifikačních údajů. Není možné získat plošný, nekonkrétní přístup k datům našich zákazníků. Souhrnná data, která jsme dosud byli oprávnění zveřejnit, jasně ukazují, že žádosti státních orgánů o informace v souvislosti s trestním řízením či národní bezpečností se týkaly jen zanedbatelného množství našich zákazníků (zlomku procenta).

  • Všechny tyto žádosti jsou podrobně prověřeny právním týmem společnosti Microsoft, který potvrdí, zda je žádost v souladu se zákonem, zamítne neplatné žádosti a zajistí, že poskytneme jen ty údaje, které žádost přesně vymezuje. Své zákonné povinnosti plnit musíme, nicméně stále řídíme celý proces tak, abychom evidovali všechny obdržené žádosti, prověřovali jejich oprávněnost a poskytovali pouze vyžádaná data.

Po celém světě, nejen ve Spojených státech, má společnost Microsoft povinnost postupovat v souladu s platnými právními předpisy, což zahrnuje i vyřizování právně podložených žádostí o zákaznická data. Žijeme v době, kdy společnosti a státní orgány pracují s obrovským množstvím dat, a bylo by chybou si myslet, že tento stav je omezen pouze na Spojené státy. Bezpečnostní služby získávají potřebné informace z řady zdrojů a různými způsoby, ale pokud žádají zákaznické informace od společnosti Microsoft, musí postupovat v souladu se zákonem.

Svět potřebuje, aby diskuze o těchto záležitostech byla více otevřená a veřejná. Tato diskuse se musí týkat postupů všech států, ale měla by začít u postupů Spojených států amerických. To je dáno do jisté míry nedávno zveřejněnými zprávami v médiích. Ale má to i více nadčasový aspekt. Spojené státy americké šly ostatním zemím vždy příkladem v zajišťování ústavního práva na svobodu slova. Chceme tohoto práva nyní využít. Jestliže nám právní zástupci státních orgánů brání zveřejnit více informací, je nutné, aby nejvyšší státní zástupce zasáhl a zajistil naplnění ústavy.

Pokud dostaneme svolení zveřejnit více informací, okamžitě tak učiníme.

Více k tématu: