대규모 Facebook 및 Cambridge Analytica 공개는 귀하의 개인 정보에 관한 충격적인 소식을 계속해서 제공하고 있습니다. 그러나 Facebook이 지배하는 이 뉴스 사이클 동안 미국 정부는 전 세계적으로 개인 정보를 심각하게 남용하는 법안을 몰래 통과시켰습니다.
CLOUD 법은 해외 데이터에 대한 보호를 제거하여 정부 기관이 데이터를 가져올 위치를 선택하고 선택할 수 있도록 합니다. 또한 경찰이 Facebook, Google 등과 같은 민간 기업이 보유한 데이터에 액세스하는 방식을 근본적으로 변경합니다.
그렇다면 CLOUD 법은 무엇이며 어떻게 귀하의 개인 정보를 파괴하고 있습니까?
CLOUD 법 설명
CLOUD 법안은 입법부가 반드시 통과해야 하는 1조 3000억 달러의 정부 지출 법안의 끝 부분에 이 법안을 첨부하면서 거의 팡파르 없이 통과되었습니다. 또 다른 엄청난 법안의 끝에 붙임으로써 CLOUD 법이 심각한 토론을 벌이는 것을 중단시켰습니다. 즉, 상당한 수의 시민들이 CLOUD 법이 데이터 개인 정보 보호를 어떻게 크게 변화시키는지 이해는커녕 들어본 적도 없다는 것을 의미합니다.
CLOUD(Clarifying Overseas Use of Data)법은 미국 법 집행 기관이 해외에 저장된 데이터에 액세스할 수 있도록 허용하는 일련의 법률입니다. 이는 1986년에 통과된 기존 전자 통신 개인 정보 보호법(ECPA)에 대한 업데이트입니다. 정부와 많은 기술 회사는 이러한 법률이 현대 디지털 통신에 적합하지 않다고 생각합니다. 그리고 ECPA는 아마도 1986년에 인터넷 선구자인 ARPANET에 연결된 시스템이 2,000~30,000개 사이였다는 점을 감안할 때 그랬을 것입니다.
그렇다면 입법에 대한 그러한 광범위한 변화가 왜 레이더 아래에 놓이게 될까요? 다음은 몇 가지 중요한 사실과 정보입니다.
1. 해외 데이터에 대한 보호 기능을 제거합니다.
법 집행 기관은 저장 위치에 관계없이 데이터를 요청할 수 있습니다. 호스팅 회사도 이를 기반으로 귀하의 데이터 제공을 거부할 수 없습니다.
<블록 인용>"전자 통신 서비스 또는 원격 컴퓨팅 서비스 제공자는 그러한 통신, 기록 또는 기타 정보가 미국 내부 또는 외부에 있는지 여부에 관계없이 [...] 준수해야 합니다."
지난 주까지 데이터 요청에는 다른 정부와의 상호 법률 지원 조약(MLAT)이 필요했습니다. MLAT는 데이터 유형 및 요청 컨텍스트를 포함하여 두 국가 간의 데이터 공유를 정의합니다. MLAT는 3분의 2의 승인을 얻어 상원을 통과해야 합니다.
CLOUD 법은 이를 변경하여 정부가 기존 MLAT 법률을 우회하는 다른 국가와 "임원" 관계를 맺을 수 있도록 합니다. 결과적으로 모든 기관은 위치에 관계없이 기술 회사에 사용자 데이터를 넘겨줄 것을 요청할 수 있습니다.
2013년에 미국 법무부는 불법 활동이 의심되는 고객의 데이터를 Microsoft에 넘겨줄 것을 요청하는 영장을 Microsoft에 발행했습니다. 그러나 고객은 아일랜드에 살고 있는 아일랜드인이었고 그들의 데이터는 아일랜드에 위치한 서버에 저장되었습니다. Microsoft는 고객이 미국 시민이 아니기 때문에 DOJ 영장이 과도하다고 주장하면서 사건을 대법원까지 가져갔습니다.
CLOUD 법은 이러한 전체 상황을 우회하여 DOJ가 데이터를 요청할 수 있도록 하여 Microsoft가 준수하도록 합니다. 실제로 법무부는 새로운 법의 도입을 인용하면서 대법원에 사건을 "기소"해 줄 것을 요청했습니다.
2. 양방향 작동
CLOUD 법이 미국 법 집행 기관이 외국 데이터를 수집하는 것을 허용하는 것처럼 외국 경찰도 동일한 작업을 수행할 수 있습니다. 사실, 그것은 물을 훨씬 더 흐리게 합니다(다양한 정부 기관 프로그램에 따른 광범위한 데이터 수집을 감안할 때).
ACLU의 입법 위원회인 Neema Singh Guiliani는 이 법안이 "도청법 요구 사항을 준수하지 않고 외국 표적이 미국에 있는 사람들과 할 수 있는 대화를 포함하여 처음으로 미국 영토에 대한 도청"을 허용한다고 확인했습니다. 이러한 통신 대상에는 Facebook, Google, Snapchat, 개인 이메일 서버, 인스턴트 메신저 대화 및 그 사이의 모든 것이 포함됩니다. (Facebook 개인 정보 보호 가이드를 확인하세요.)
다음은 작동 방식의 예입니다(링크된 EFF 기사에서 의역):
- 런던 경찰은 은행 사기를 저지른 것으로 의심되는 영국인의 Slack 사설 메시지를 조사하려고 합니다.
- CLOUD 법에 따라 런던 경찰은 Slack에 가서 사용자의 메시지 기록을 요청할 수 있습니다.
- Slack은 사법 검토 없이 또는 미국 법 집행 기관에 통보하지 않고 요청을 준수해야 합니다. 가능한 원인 영장은 필요하지 않습니다.
- Slack은 영국인 표적 메시지 기록을 런던 경찰에 넘깁니다. 메시지 로그에는 미국 시민과의 개인 메시지가 포함되어 있습니다.
- 런던 경찰은 Slack 메시지의 세부 정보를 미국 법 집행 기관과 공유합니다. 그런 다음 메시지는 단일 영장 없이 해당 국가 내의 미국 목표물에 대해 사용됩니다(본질적으로 수정 헌법 제4조를 파괴함).
데이터 수집 조항
그러나 이러한 종류의 데이터 수집을 중지하는 것을 목표로 하는 CLOUD 법의 일부 조항이 있습니다. 예를 들어 다음 행위는 금지됩니다.
- CLOUD 법을 사용하여 외국 정부가 미국 시민의 데이터를 직접 표적으로 삼습니다.
- 행정 협정이 있는 국가를 요청하는 것은 특정 미국 시민을 대상으로 합니다.
- 구체적으로 타겟팅 미국 시민에 대한 데이터를 동시에 수집하기 위해 외국 시민의 데이터.
- 중대한 범죄의 증거가 없는 한 "미국인 데이터의 유포".
이러한 규정에도 불구하고 이러한 규칙을 올바르게 사용하고 시행하는 것은 어렵습니다. CLOUD 법에 대한 늦은 변경으로 인해 미 법무장관은 집행 계약의 사용을 정당화하고 또 다른 조항을 제공하는 의회에 보고해야 합니다.
3. 데이터 요청 프로세스 타임라인 단축
거의 모든 사람에게 데이터 요청을 공개하는 동안 CLOUD 법은 의심할 여지 없이 데이터 수집 프로세스의 속도를 높입니다. 때때로 MLAT 요청을 완료하는 데 몇 달이 걸릴 수 있습니다. 데이터 요청이 처리될 때 데이터가 오래되었거나 쓸모가 없는 경우가 있습니다. 데이터 처리 시간을 단축하면 경찰이 범죄를 더 빨리 해결하거나 일부 범죄를 저지할 수 있습니다.
4. 이의 제기 절차가 좁음
CLOUD 법은 또한 콘텐츠 및 서비스 제공자에 대한 매우 좁은 항소 창을 가지고 있습니다. CLOUD 법에는 기술 회사가 데이터 요청에 항소할 수 있는 조항이 두 개뿐입니다.
- 미국 시민이 아니고 미국에 거주하지 않는 경우 그리고
- 데이터 공개로 인해 공급자는 거주 국가의 법률을 위반할 위험이 있습니다.
"and"는 여기서 매우 중요합니다. 항소는 빛을 보기 전에 이 두 가지 기준을 모두 충족해야 합니다.
두 번째 요점은 기술 회사의 주요 문제입니다. 데이터가 항상 미국 땅에 남아 있는 것은 아닙니다. 많은 경우에 절대 들어가지 않습니다. 그러나 기술 회사는 이제 미국 정부와 외국 호스트 국가의 한가운데에 갇혔습니다. 따라서 기술 회사는 회사가 14일 이내에 항소하는 한 CLOUD 법에 자신을 손상시킬 수 있는 모든 요청을 종료할 수 있는 조항이 있습니다.
그러나 그때도 요청은 죽지 않았습니다. 기술 회사와 미국 정부는 법원이 정부의 데이터 요구 사항과 기술 회사에 부과된 혼란/법률 위반 범죄 사이의 균형을 맞추는 복잡한 절차에 들어갑니다.
5. 암호화 및 시민의 자유를 위한 조항
CLOUD 법은 광범위한 서비스에서 데이터 수집을 허용합니다. 그러나 개인 정보 보호 권리에 대한 약간의 이점으로, 집행 계약은 정부가 데이터를 해독하도록 강요할 수 없습니다. 어떤 경우에는 데이터를 해독하는 것이 매우 어렵고 정부는 이러한 데이터 소스(예:WhatsApp 또는 Telegram)에 시간을 낭비하지 않을 것입니다.
CLOUD 법의 문구를 수정하려면 미국 국무장관과 법무장관이 집행 협정을 체결하는 모든 국가가 "프라이버시와 시민의 자유를 위한 강력한 실질적 및 절차적 보호를 제공"해야 합니다. 이 측면은 다음을 포함하여 법의 결과로부터 미국 시민의 권리를 보호하려고 시도합니다.
- 사생활에 대한 자의적이고 불법적인 간섭으로부터 보호.
- 공정한 재판을 받을 권리.
- 표현, 결사 및 평화로운 집회의 자유.
- 자의적 체포 및 구금 금지.
- 고문 및 잔혹하고 비인간적이거나 굴욕적인 대우 또는 처벌 금지.
그러나 회의론자들은 이러한 조항이 시민의 자유를 "보호"하지만 이미 다른 정부 기관(미국뿐만 아니라)이 이러한 규칙을 위반한 사례가 많다는 점을 지적할 것입니다. 그렇다면 이 섹션이나 다른 곳에서 어떤 조항이 시민을 추가 데이터 수집으로부터 보호할 수 있습니까? 답은 간단합니다. 올바른 일을 하려면 법 집행 기관과 정부를 신뢰해야 합니다.
기술 회사 지원
CLOUD Act는 많은 주요 기술 회사의 지원을 받고 있습니다. 이 법 자체는 미국 정부와 외국 정부가 국내 및 해외에서 데이터에 액세스할 수 있는 방법을 명확히 구분합니다.
Apple, Microsoft, Google, Facebook 및 Oauth가 서명한 서한에는 CLOUD 법이 "외교적 대화를 장려할 뿐만 아니라 기술 부문에 소비자를 보호하고 발생하는 경우 법의 충돌을 해결할 수 있는 두 가지 법적 권리를 부여합니다. 이 법안은 법적 요청이 거주민과 관련이 있을 때 외국 정부에 알리고 필요한 경우 직접적인 법적 이의를 제기하는 메커니즘입니다."
이러한 회사는 특히 이전에 시행된 구식 법률을 고려할 때 법률에 명시된 명확성을 위해 오랫동안 로비를 해왔습니다. 그리고 지나친 개인 정보 보호 문제에서 한 발짝 물러나면 소비자와 기술 회사 모두에게 의미가 있습니다.
CLOUD 법이 개인 정보 보호에 미치는 영향
CLOUD Act는 귀하의 개인 정보를 완전히 파괴합니까? 글쎄, 그것은 당신이 읽는 것에 달려 있습니다. 더욱이 그것은 당신이 누구를 신뢰하는지에 달려 있습니다.
ACLU, EFF 및 언론의 자유 재단은 CLOUD 법안에 강력하게 반대합니다. 그들은 이것이 영구적인 데이터 불안정성을 향한 위험하고 본질적으로 되돌릴 수 없는 단계라고 주장합니다. 뿐만 아니라 ACLU와 EFF는 이 법이 전 세계적으로 적용되고 있음에도 불구하고 "의회에서 마땅히 받아야 할 관심을 받지 못했다"고 말했습니다.
CLOUD 법은 미국 데이터 개인 정보 보호의 큰 변화를 나타냅니다. 통과해야 하는 지출 법안과 함께 소탕되었습니다. 국가가 또 다른 정부 셧다운을 겪지 않도록 . 그리고 당신은 들여다보지도 않았습니다.