Các nhà chức trách Mỹ truy cập được tới các dữ liệu đám mây của châu Âu

USauthorities have access to European cloud data

30 June 2011, 16:39

Theo:http://www.h-online.com/security/news/item/US-authorities-have-access-to-European-cloud-data-1270961.html

Bài được đưa lênInternet ngày: 30/06/2011

Lờingười dịch: Theo Luật Yêu nước của Mỹ, các nhà cungcấp đám mây như Microsoft phải cung cấp cho các ủy viêncông tố chống tội phạm Mỹ bằng sự truy cập tới cácdữ liệu của các khách hàng. Điều này đã được giámđốc điều hành Gordon Frazer của Microsoft Anh giải thíchtại Luân Đôn khi khai trương Microsoft Office 365” và điềunày là xung đột với luật bảo vệ dữ liệu của châuÂu. Vì thế, người đứng đầu của Trung tâm Độc lậpcủa Nhà nước về Bảo vệ Dữ liệu tại bang SchleswigHolstein của Đức “nói rằng, ítnhất, các khách hàng nên có khả năng để kết thúcnhững thỏa thuận của họ ngay lập tức theo các điềukiện như vậy, điều làm cho các nhà cung cấp dịch vụnhư vậy như Microsoft, với Office 365 và Windows Azure củahãng, không phù hợp đối với các dịch vụ CNTT quản lýcác dữ liệu cá nhân. Ông khuyến cáo rằng các công tytrong lòng châu Âu nên sử dụng chỉ các nhà cung cấpdịch vụ thuần châu Âu cho các dịch vụ đám mây củahọ có chứa các dữ liệu cá nhân”. Nhưvậy nếu bạn muốn sử dụng các dịch vụ đám mây củaMicrosoft như Office 365 và Windows Azure, bạn cần phải hiểulà tất cả các dữ liệu cá nhân của bạn là do các nhàchức trách Mỹ quản lý.

Cácnhà cung cấp đám mây như Microsoft phải cung cấp cho cácủy viên công tố chống tội phạm Mỹ bằng sự truy cậptới các dữ liệu của các khách hàng. Điều này đãđược giám đốc điều hành Gordon Frazer của Microsoft Anhgiải thích tại Luân Đôn khi khai trương Microsoft Office365, khi được hỏi liệu Microsoft có thể đảm bảo đượcrằng các dữ liệu được lưu trữ trong các trung tâm dữliệu của hãng tại châu Âu có bao giờ ra được khỏichâu Âu hay không.

Frazernói rằng hãng của ông phải tuân thủ các luật của Mỹvì tổng hành dinh của hãng ở đó. Đặc biệt,những qui định trong Luật Yêu nước áp dụng, trao chocác ủy viên công tốt chống tội phạm Mỹ các quyềntruy cập có thể áp dụng được rộng rãi tới các dữliệu. Frazer nói rằng các khách hàng cóthể được thông báo rằng các dữ liệu của họ đãđược truyền tay “bất kỳ khi nào có thể”, nhưng ôngcó thể không đảm bảo rằng sự thông báo có thể đượcđưa ra. Sau tất cả, Cục Điều tra Liên bang Mỹ FBI cóthể đưa ra một Thư An ninh Quốc gia NSL (NationalSecurity Letter) chứa một lệnh bịtmiệng (gagorder) đối với các công ty bị ảnhhưởng. Trong những trường hợp như vậy, Frazer nói ôngthậm chí còn không có khả năng nói rằng ông đã nhậnđược NSL.

Một tài liệu trựctuyến tại Trung tâm Tin cậy của Microsoft khẳng địnhcác tuyên bố của Frazer và làm cho rõ rằng vấn đềkhông chỉ có liên quan tới Luật Yêu nước: “Trong mộtsố lượng hạn chế các tình huống, Microsoft có thể cầnmở các dữ liệu ra mà không cần sự đồng ý trước,bao gồm như được yêu cầu để thỏa mãn các yêu cầupháp lý, hoặc để bảo vệ các quyền hoặc tài sản củaMicrosoft hoặc những thực thể khác (bao gồm sự tuân thủnhững thỏa thuận hoặc chính sách điều hành sử dụngdịch vụ)”. Hãng này nói rằng trước hết hãng đặtcác nhà chức trách của chính phủ vào hợp đồng vớikhách hàng với những dữ liệu của khách hàng đượcyêu cầu. Nếu Microsoft nhận được một trát hầu tòa épbuộc hãng phải cung cấp thông tin cho bản thân, hãng nóihãng sẽ chỉ truyền tay những gì được yêu cầu mộtcách đặc biệt. Hơn nữa, Microsoft nói hãng lên kế hoạchlàm bất kỳ thứ gì là “hợp lý về mặt thương mại”để thông báo cho các khách hàng của mình về sự kiệnở một mức độ pháp lý có thể.

Thilo Weichert, ngườiđứng đầu của Trung tâm Độc lập của Nhà nước vềBảo vệ Dữ liệu tại bang SchleswigHolstein của Đức (ULD) nói rằng việc chia sẻ nhữngdữ liệu như vậy với các bên nằm ngoài Liên minh châuÂu xung đột với luật bảo vệ dữ liệu của châu Âu.Theo ý kiến của ông, rủi ro của việc những dữ liệunhư vậy được chuyển đi gây tổn thương cho tính bímật của các dữ liệu và các ứng dụng được chứatại các trung tâm dữ liệu của Microsoft và vi phạm điềucơ bản đối với các thỏa thuận hiện hành về cácdịch vụ xử lý dữ liệu. Weichertsnói rằng, ít nhất, các khách hàng nên có khả năng đểkết thúc những thỏa thuận của họ ngay lập tức theocác điều kiện như vậy, điều làm cho các nhà cung cấpdịch vụ như vậy như Microsoft, với Office 365 và WindowsAzure của hãng, không phù hợp đối với các dịch vụCNTT quản lý các dữ liệu cá nhân. Ông khuyến cáo rằngcác công ty trong lòng châu Âu nên sử dụng chỉ các nhàcung cấp dịch vụ thuần châu Âu cho các dịch vụ đámmây của họ có chứa các dữ liệu cá nhân.

Cloudproviders like Microsoft have to provide US criminal prosecutors withaccess to customer data, as ZDNetreports.This access applies even if the data is stored by firms based in theEU and in European data centres. This was explained by Microsoft'sBritish managing director Gordon Frazer in London during the launchof Microsoft's Office 365, when he was asked whether Microsoft couldensure that the data stored at its data centres in the EU would neverleave Europe.

Frazersaid that his firm has to follow the laws of the United Statesbecause it is head-quartered there. In particular, the stipulationsin the PatriotAct apply, which gives US criminal prosecutors far-reachingaccess rights to data. Frazer said that customers would be informedthat their data had been handed over "whenever possible",but he could not guarantee that notification would be given. Afterall, the FBI can issue a NationalSecurity Letter (NSL) containing a gagorder for the companies affected. In such cases, Frazer said hewould not even be able to state that he had received an NSL.

Anonlinedocument in Microsoft's TrustCenter confirms Frazer's statements and makes it clear that thematter not only concerns the Patriot Act: "In a limited numberof circumstances, Microsoft may need to disclose data without yourprior consent, including as needed to satisfy legal requirements, orto protect the rights or property of Microsoft or others (includingthe enforcement of agreements or policies governing the use of theservice)." The firm says that it first puts the governmentalauthorities into contact with the customer whose data is requested.If Microsoft receives a subpoena forcing it to provide theinformation itself, the firm says it will only hand over what isspecifically requested. Furthermore, Microsoft says it plans to dowhatever is "commercially reasonable" to inform itscustomers of the event to the extent legally possible.

ThiloWeichert, head of the IndependentState Center for Data Protection in the German state of SchleswigHolstein (ULD) says that the sharing of such data with partiesoutside the EU conflicts with European data protection law. In hisopinion, the risk of having such data passed on compromises theconfidentiality of the data and applications hosted at Microsoft'sdata centres and violates the basis for current agreements on dataprocessing services. Weicherts says that, at the very least,customers should be able to terminate their agreements immediatelyunder such conditions, which make such service providers asMicrosoft, with its Office 365 and Windows Azure, unsuitable for ITservices which manage personal data. He recommends that companieswithin Europe should use only purely European service providers fortheir cloud services containing personal data.

(ehe)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com