Το Νομικό Συμβούλιο της Αυστραλίας, έχει καταλήξει στο ότι οι νόμοι της Αυστραλίας για την κρυπτογράφηση, είναι απίθανο να είναι συμβατοί με τον νόμο περί CLOUD των Ηνωμένων Πολιτειών, καθώς και με τον κανονισμό General Data Protection Regulation της Ευρωπαϊκής Ένωσης.
Σε μια δήλωση στην Μικτή Κοινοβουλευτική Επιτροπή για την αναθεώρηση του νόμου για την κρυπτογράφηση των υπηρεσιών πληροφοριών και ασφάλειας, το Νομικό Συμβούλιο ανέφερε ότι οι αυστραλιανές αρχές θα πρέπει να συνεχίσουν να συγκεντρώνουν δεδομένα, όταν η Καμπέρα και η Ουάσινγκτον συνάψουν συμφωνία.
Το Νομικό Συμβούλιο, εξετάζοντας τη νομοθεσία του 2018 δήλωσε ότι πιστεύει ότι ο νόμος μπορεί να αποκλείσει την Αυστραλία από τη σύναψη εκτελεστικής συμφωνίας με τις ΗΠΑ βάσει του νόμου περί CLOUD.
“Σε αυτό το πλαίσιο, οι απαιτήσεις του νόμου περί βοήθειας και πρόσβασης και του νόμου CLOUD διαφέρουν σαφώς, καθώς ο αμερικανικός νόμος δεν επιτρέπει την εντολή της αποκρυπτογράφησης δεδομένων, όπως επιτρέπεται τώρα βάσει του αυστραλιανού νόμου”, ανέφερε.
Ο νόμος περί CLOUD ψηφίστηκε τον Μάρτιο του 2018 στις ΗΠΑ. Η νομοθεσία ήταν μια προσπάθεια να διασφαλιστεί ότι η επιβολή του νόμου στις ΗΠΑ θα μπορούσε να έχει πρόσβαση σε δεδομένα που διατηρούνται στο εξωτερικό από αμερικανικές εταιρείες.
Έχει δύο βασικά στοιχεία. Πρώτον, διευκρινίζει ότι οι εταιρείες που υπόκεινται στη δικαιοδοσία των ΗΠΑ πρέπει να αποκαλύπτουν δεδομένα ως απάντηση σε έγκυρες νομικές διαδικασίες, ανεξάρτητα από το πού φυλάσσονται τα εν λόγω δεδομένα.
Δεύτερον, θεσπίζει μια απλοποιημένη εναλλακτική λύση στα Mutual Legal Assistance Treaties (MLATs), επιτρέποντας τη σύναψη συμφωνιών μεταξύ της κυβέρνησης των ΗΠΑ και άλλων χωρών που επιτρέπουν εντολές για την αποκάλυψη ηλεκτρονικών αποδεικτικών στοιχείων απευθείας στο φορέα παροχής υπηρεσιών επικοινωνίας (CSP) ή το άλλο έθνος που είναι συμβαλλόμενο μέρος στη συμφωνία.
Τα MLATs προβλέπουν η υπηρεσία επιβολής του νόμου σε ένα έθνος, να χρησιμοποιεί εθνικές νομικές διατάξεις για την αναζήτηση αποδεικτικών στοιχείων από ένα CSP, για λογαριασμό ενός αλλοδαπού ομολόγου, χρησιμοποιώντας το τοπικό νομικό πλαίσιο. Η χρήση του MLAT για τη συγκέντρωση αποδεικτικών στοιχείων μπορεί να διαρκέσει μήνες, σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ.
“Ο νόμος περί CLOUD εξουσιοδοτεί εκτελεστικές συμφωνίες που άρουν τους περιορισμούς βάσει του νόμου των ΗΠΑ σχετικά με τις εταιρείες που αποκαλύπτουν ηλεκτρονικά δεδομένα απευθείας σε ξένες αρχές σε έρευνες για σοβαρά εγκλήματα. Αυτό θα επέτρεπε σε παγκόσμιους CSPs με έδρα τις Η.Π.Α. να ανταποκρίνονται άμεσα σε ξένες νομικές διαδικασίες σε πολλές περιπτώσεις.”
Ωστόσο, ο νόμος περί CLOUD ορίζει ότι πριν από την σύναψη συμφωνίας, ο γενικός εισαγγελέας των ΗΠΑ απαιτείται να πιστοποιήσει ότι το άλλο έθνος “παρέχει ισχυρή και ουσιαστική προστασία της ιδιωτικής ζωής και των πολιτικών ελευθεριών, υπό το πρίσμα της συλλογής δεδομένων και των δραστηριοτήτων της ξένης κυβέρνησης που θα υπόκεινται στη συμφωνία.”
“Το Νομικό Συμβούλιο, θεωρεί ότι ο ισχύων νόμος στην Αυστραλία σχετικά με την αποθήκευση και την πρόσβαση σε τηλεπικοινωνιακά δεδομένα δεν θα είναι ανεπαρκής για να επιτρέψει στην Αυστραλία να επωφεληθεί από τη σύναψη μιας «εκτελεστικής συμφωνίας” με τις ΗΠΑ. Αυτό σημαίνει ότι οι υπηρεσίες επιβολής του νόμου στην Αυστραλία θα περιοριστούν στην αναζήτηση πρόσβασης σε δεδομένα που κατέχει ένας πάροχος υπηρεσιών στις ΗΠΑ, μέσω της υπάρχουσας και χρονοβόρας διαδικασίας MLAT.”
“Ο λόγος για αυτό είναι ότι ανεξάρτητα από τους νόμους που μπορεί να περάσει η Αυστραλία, δεν αρκούν για να αναγκάσουν έναν πάροχο υπηρεσιών στις ΗΠΑ να κάνει οτιδήποτε δεν επιτρέπεται από το αμερικανικό δίκαιο”, προσθέτει το έγγραφο.
Το GDPR της ΕΕ εφαρμόζεται σε οποιεσδήποτε αυστραλιανές οργανώσεις που δραστηριοποιούνται ή προσφέρουν αγαθά ή υπηρεσίες στην ΕΕ ή παρακολουθούν τη συμπεριφορά των πολιτών της ΕΕ.
Παρόλο που η νομοθεσία της Αυστραλίας αποθαρρύνει τις ενέργειες οι οποίες μπορούν να ζητήσουν από έναν πάροχο υπηρεσιών, να κάνει οτιδήποτε θα δημιουργούσε «αδυναμία» ή «ευπάθεια» στο σύστημα, όταν ένας πάροχος προσπαθεί να συμμορφωθεί με μία ειδοποίηση ελέγχου δεδομένων, ενδέχεται να θέσει σε κίνδυνο την ασφάλεια των προσωπικών πληροφοριών”, υποστήριξε το Νομικό Συμβούλιο.
Αυτό αντίκειται στις διατάξεις του GDPR που απαιτεί από τους παρόχους υπηρεσιών και άλλους υπεύθυνους επεξεργασίας δεδομένων, να εφαρμόσουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα και να παράσχουν προστασία και ασφάλεια για τα προσωπικά δεδομένα εντός της ΕΕ.
