Nedenfor finner du vanlige spørsmål og svar om amerikansk etterforsknings- og etterretningslovgivning.
Hvor er jeg i veiledningen?
1 The Clarifying Lawful Overseas Use of Data Act (US CLOUD ACT)
The Clarifying Lawful Overseas Use of Data Act (US CLOUD ACT) er den føderale amerikanske lovgivningen som regulerer amerikanske myndigheters tilgang til data som er lagret i, blant annet, skytjenester. US CLOUD Act er en oppdatering av Electronic Communications Privacy Act (ECPA) og The Stored Communications Act (SCA) fra 1986. The CLOUD Act endret SCA-en ved å adressere (1) rekkevidden til amerikansk ransakingsordre, og (2) utenlandske myndigheters tilgang til data lagret i USA. The CLOUD Act endrer ikke den eksisterende ‘Mutual Legal Assistance Treaty (MLAT)’ prosessen. For å få tilgang under MLAT-avtalene, må amerikanske (eller andre) myndigheter søke tilgang gjennom lokale rettssystemer. MLAT-prosessen er ofte sett på som tid- og ressurskrevende og kan ta måneder eller til og med år. Under US CLOUD Act kan hele utleveringsprosessen forekomme mye raskere.
(Microsoft Ireland, the CLOUD Act, and International Lawmaking 2.0’ (2018)71-Stan.-L.-Rev.-Online-9-Daskal.pdf (stanford.edu) og ‘Government Cloud Procurement: Contracts, Data Protection, and the Quest for Compliance’ (Cambridge University Press 2021), s. 80-84. Secil Bilgic, ‘Something Old, Something New, and Something Moot: The Privacy Crisis under the Cloud Act’ 32 Harvard Journal of Law & Technology 321–55 at 334–35 og ‘EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, s. 5.
Legger US CLOUD ACT til rette for masseovervåkning og innhenting av personopplysninger i etterretningssaker?
Svar: Nei. Utleveringsplikten er begrenset til enkelt kriminalsaker og ikke overvåking som sådan. Det europeiske Personvernrådet (EDPB) og European Data Protection Supervisor (EDPS) har beskrevet regelverket som "the CLOUD Act does not authorise any systematic, large scale and/or indiscriminate collection of personal data, but rather governs targeted requests, subject to procedural safeguards, concerning specific law enforcement investigations."
(EDPB and EDPS, ‘ANNEX. Initial Legal Assessment of the Impact of the US CLOUD Act on the EU Legal Framework for the Protection of Personal Data and the Negotiations of an EU-US Agreement on Cross-Border Access to Electronic Evidence’ (10 July 2019), 1–2. df.)
Bruker US CLOUD ACT «hemmelig» domstoler?
Svar: Nei. US CLOUD ACT bruker vanlig domstoler og har krav til, blant annet, jurisdiksjon og straffeprosessreglene. Siden saker ofte innebærer kriminaletterforsking, vil det være begrensninger på tilgang til saker og innhold (f.eks. “Nondisclosure Orders (NDOs)” eller “gag orders”).
(Winston Maxwell, Mark W. Brennan, Arpan A. Sura, ‘Demystifying the U.S. CLOUD Act: Assessing the law’s compatibility with international norms and the GDPR’ Hogan Lovells (2019) s. 9. og Kellen Dwyer and Kimberly Kiefer Peretti, ‘Privacy, Cyber & Data Strategy Advisory: A Practical Guide to Challenging Gag Orders Under the Stored Communications Act’ Alston & Bird(July 7, 2021)
Overstyrer US CLOUD Act amerikanske grunnlovens beskyttelse ved ransakingsordre?
Svar: Nei. US CLOUD ACT endrer den strafferettslige prosessen ved datautlevering. Krav til ransakingsordrene er regulert av den amerikanske grunnloven.
Er europeiske borgere vernet av den amerikanske grunnloven når det gjelder ransakingsordre?
Svar: Nei. Den amerikanske grunnloven gjelder ikke en «nonresident alien» som befinner seg i utlandet. Det er noen få unntak fra hovedregelen, men ikke noe som gir vesentlig vern til europeiske borgere eller andre «non US-persons» .
Har EU domstolen vurdert US CLOUD ACT i Schrems-II dommen?
Svar: Nei. Domstolen omtalte ikke US CLOUD ACT. Schrems-II dommen setter søkelys på amerikanske etterretnings- overvåkingslover.
Er US-baserte skytjenesteleverandører underlagt US CLOUD ACT?
Svar: Ja. Amerikanske skytjenesteleverandører er «tilbydere av elektroniske kommunikasjonstjenester» og er vanligvis underlagt US CLOUD ACT. Amerikanske skytjeneste-leverandører har en plikt under US CLOUD Act til å utlevere opplysninger i noen tilfeller. Dette vil også gjelde data som er lagret i Norge. Leverandørene kan protestere eller ta amerikanske myndigheter til retten, men utleveringsplikten eksisterer likevel.
(Maxwell, Brennan, Sura, ‘Demystifying the U.S. CLOUD Act’, s.12. (Demystifying the U.S. CLOUD Act: Assessing the law's compatibility with international norms and the GDPR (hoganlovells.com))Krav til jurisdiksjonen over leverandøren vil gjelde utlevering )
Innebærer US CLOUD ACT en risiko for at en virksomhets data kan utleveres?
Svar: Ja. Selv om det virker lite sannsynlig med en stevning fra amerikanske myndigheter under US CLOUD ACT, vil loven omfatte også opplysninger fra offentlige virksomheter i Norge. Se eksempel fra den Danske Datatilsynet om hvordan risikoen under US CLOUD ACT kan vurderes. Basert på veiledningen fra den Danske Datatilsynet, utelukker US CLOUD ACT ikke bruk av skytjenester.
Eksempel fra Dansk DPA:
A Danish company wants to use a cloud service from a US CSP to send out newsletters.
In this context, the company will process, in particular, data concerning the data subjects’ email addresses as well as information concerning the newsletters that have been sent out.
The service is provided by a European subsidiary on the basis of infrastructure located exclusively within the EU/EEA. Consequently, there will be no intentional transfers of personal data to third countries.
In this case, the US CSP is subject to the US CLOUD Act which provides that a CSP may be required to “preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”
Personal data processed by a European subsidiary of a US CSP is typically considered to be under the US parent’s “possession, custody, or control”.
As part of its general risk assessment concerning security of processing, the company has assessed the risk to data subjects stemming from possible disclosure of personal data to US law enforcement authorities:
- Probability: In its Transparency Reports the CSP has stated that it annually responds to a number of requests under the US CLOUD Act. Against this background, the company has assessed that it is LIKELY (4) that the CSP will comply with a request under the US CLOUD Act.
- Severity: Having regard to the type of personal data that will be processed using the cloud service, it is the company’s assessment that the potential consequences for the data subjects in US law enforcement authorities receiving data relating to their email address and which newsletters they have received will be an experience of stress and mistrust/fear. As such, the severity of the incident would be LOW (2).
Consequently, the company has established that the overall risk for data subjects in the possible disclosure of personal data pursuant to a request under the US CLOUD Act is MEDIUM (8).
Against this background, the company engages in dialogue with the European CSP with a view to include in the terms of their agreement that the CSP, including the US parent, shall, to the greatest possible extent, challenge any disclosure requests under US law.
The company considers that this amendment to the parties’ agreement constitutes an appropriate organisational security measure that reduces the likelihood of US law enforcement authorities actually receiving personal data under a US CLOUD Act request to an UNLIKELY (2) level. Accordingly, the company considers that the residual risk for the scenario is LOW (4).
In this case, the company will have implemented appropriate security measures with regard to the specific threat and met its obligations under the provisions on security of processing. (Datatilsynet DK, ‘Guidance on the use of Cloud” (March 2022), side 29-30.)
2 FISA 702
FISA var vedtatt i 1978 med et mål om å lage prosedyrer for å begrense krenkelse knyttet til overvåking rundt etterretning. Det finnes to typer av FISA-ordrer. Den konvensjonelle FISA-ordren tillater overvåking når det er sannsynlig grunn til å tro at målet for overvåkingen er en fremmed makt og at fremmed makt (eller dens agent) bruker fasilitetene der overvåkingen blir rettet. (Rachel G. Miller, ‘FISA Section 702: Does Querying Incidentally Collected Information Constitute a Search under the Fourth Amendment?’) Den “moderniserte” FISA 702 gir et rettslig grunnlag for å kreve utlevering av opplysninger fra tilbydere av elektroniske kommunikasjonstjenester som er underlagt loven. (Data Protection Commissioner and Facebook Ireland Limited v. Maximillian Schrems, Irish High Court Commercial [2016 No. 4809])
Bruker FISA 702 "hemmelige" eller lukkede domstoler?
Svar: Ja. Det er to spesifikke domstoler med myndighet til å autorisere overvåking for etterretningsformål, etter å ha funnet “probable cause”. Dette inkluderer “the Foreign Intelligence Surveillance Court of Review (FISCR)” og “Foreign Intelligence Surveillance Court (FISC).” (Rachel G. Miller, ‘FISA Section 702: Does Querying Incidentally Collected Information Constitute a Search under the Fourth Amendment?’) Kort forklart av Privacy and Civil Liberties Oversight Board, er prosessen:
Det lovfestede omfanget av § 702 kan defineres som følger: § 702 i fisa tillater riksadvokaten og direktøren for nasjonal etterretning i fellesskap å godkjenne (1) målretting av personer som ikke er amerikanske personer,(2) som med rimelighet antas å være lokalisert utenfor USA, (3) med tvungen bistand fra en leverandør av elektroniske kommunikasjonstjenester , (4) for å innhente utenlandsk etterretningsinformasjon. (Privacy and Civil Liberties Oversight Board, ‘Report on the Surveillance Program’, 20–21. Describing and evaluating the FISC Section 702 review process)
Gir FISA 702 adgang til tilfeldig uthenting av all informasjon som en leverandør har?
Svar: Nei. FISA 702 gir amerikanske myndigheter muligheter til innhenting av informasjon, men krever at uthentingen skal være målrettet og dataminimert. (Rachel G. Miller, ‘FISA Section 702: Does Querying Incidentally Collected Information Constitute a Search under the Fourth Amendment?’) "Dataminimering" under FISA 702 har svakheter, som i praksis betyr at overskuddsopplysninger kan og er innhentet. F.eks. opplysninger om amerikanske statsborger som i utgangspunktet forbudt under FISA 702. (Se også Elizabeth Goitein and Faiza Patel, ‘What Went Wrong with the FISA Court’ (2015). Det er også verdt å merke at FISA 702 er separate for Section 215 of the Patriot Act som var omtalt i Snowden avsløringen som NSA brukte som hjemmel til å samle inn og analysere store mengder av telefoni-metadata. § 215 of the Patriot Act amended 50 U.S.C. § 1861).
Gir FISA 702 en individuell godkjennelse av utleveringer eller godkjenning av etterretningsprogrammer?
Svar: FISA 702 krever ikke at innhenting er basert på individuelle mål for overvåkning eller en individualisert rettskjennelse. (Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems) ¶ 184). Dette er et krav under FISA, men FISA 702 har mindre begrensninger når det gjelder målretting. Overvåking under FISA 702 må godkjennes av FISIC, men krever ikke en godkjenning av et bestemt mål eller på et individuelt nivå. Schrems-II domstolen konkluderte at Section 702 i FISA and Executive Order 12333 inkludere ikke tilstrekkelig klare og presise avgrensninger (dvs. «minimum safeguards” eller “limited to what is strictly necessary” I en demokratisk samfunn). (Schrems II,).
Har EU-domstolen vurdert FISA 702 i Schrems II?
Svar: Ja. EU-domstolen kom frem til FISA Section 702 er problematisk lovgivning som gir amerikanske myndigheter muligheter til å skaffe seg adgang til data i større grad enn det som er proporsjonalt og nødvendig i et demokratisk samfunn (Schrems II og Vejledning om cloud (datatilsynet.dk) Domstolen pekte særlig på begrenset muligheter for den registrerte til å få opplysninger eller å søke rettslig prøving av den gitte adgangen
Har FISA 702 ekstraterritoriell effekt?
Svar: Ulik tolkning. Dette er blitt tolket ulikt av forskjellige tilsyn. Datatilsynet i Danmark har skrevet “the DDPA is aware that it has been argued that other US legislation, including FISA 702, is also considered to have an extraterritorial effect in the same way as the US CLOUD Act. However, it is currently the opinion of the DDPA that it has not been established in practice whether, and to what extent, FISA 702, among others, has an extraterritorial effect.” (PCLOB er fastslått under 42 U.S.C. § 2000ee. PCLOB tilsyns rapportene er tilgjengelig her. Videre under Executive Order 13636, Presidential Policy Directive 28 (PPD-28), og Section 803 of the Implementing Recommendations of the 9/11 Commission Act.) Det norske Datatilsynet har skrevet «det er også viktig å være klar over at loven kan gjelde både innenfor og utenfor amerikansk territorium. Samtidig finnes det også eksempler på amerikansk tjenesteyting som ikke faller inn under denne loven.»
Hvordan fungerer FISA 702 i praksis?
Svar: Ufullstendige opplysninger. Det er begrenset åpenhet/offentlige opplysninger rundt etterretning. ‘US Privacy and Civil Liberties Oversight Board (PCLOB)’ har en tilsynsrolle for å gjennomgå implementeringen av USAs Executive Branchs retningslinjer, prosedyrer, og informasjon delingspraksis knyttet til etterretningen. PCLOB-en offentliggjør og rapporter om etterretning og håndheving av FISA 702 og E.O. 12333 samt etterretning I en rapport om etterretning under FISA 702 kom PCLOB med følgende eksempel:
The NSA learns that John Target, a non-U.S. person located outside the United States, uses the email address ‘johntarget@usa-ISP.com’ to communicate with associates about his efforts to engage in international terrorism. The NSA applies its targeting procedures and “tasks”johntarget@usa-ISP.com to Section 702 acquisition for the purpose of acquiring information about John Target’s involvement in international terrorism.
The FBI would then contact USA-ISP Company (a company that has previously been sent a Section 702 directive) and instruct USA-ISP Company to provide to the governmental communications to or from email address johntarget@usa-ISP.com. The acquisition continues until the government “detasks” johntarget@usa-ISP.com. (American Bar Association, ‘FAQs on Executive Orders’ ABA.)
3 E.O.12333
E.O. 12333 er autorisert under den utøvende makt ved presidenten under amerikanske grunnlovens artikkel II. E.O. 12333 ble opprinnelig fastsatt av Ronald Reagan i 1981. Den gir etterretningssamfunnet fullmakt til å utføre etterretningsaktiviteter "nødvendige for gjennomføringen av utenlandske relasjoner og beskyttelsen av USAs nasjonale sikkerhet", inkludert "innsamling av informasjon om, og gjennomføring av aktiviteter for å beskytte mot, etterretningsaktiviteter rettet mot USA, internasjonale terroraktiviteter og andre fiendtlige aktiviteter rettet mot USA av fremmede makter, organisasjoner, personer og deres agenter." (Mark M. Jaycox, “No Oversight, No Limits, No Worries: A Primer on Presidential Spying and Executive Order 12,333” og PCLOBs E.O. 12333 sider 20-25.)
Har det noen betydning at E.O. er fastsatt av den utøvende myndighet?
Svar: Det er usikkert. Siden utøvende myndighet er lovgiver, utøvende- og dømmende makt mangler E.O. 12333 maktfordelingsprinsippet som vanligvis eksistere i amerikansk lovgivning. Det kan derfor argumenteres at den utøvende myndighet har for mye makt når det gjelder håndhevelse av E.O. 12333.
Er det et krav at skytjenesteleverandører utleverer opplysninger til amerikansk myndigheter under E.O. 1233?
Svar: Nei. Amerikansk myndigheter har ikke noe krav under E.O. 12333 til å få tilgang til dataene eller hjelp fra en skytjenesteleverandør. F.eks. hvis opplysninger er kryptert med leverandørs nøkkel, har ikke amerikanske myndigheter krav på å få data dekryptert av leverandøren under E.O. 12333
Hvordan er E.O. 12333 forskjellige fra FISA 702?
Svar: E.O. 12333 gir NSA muligheter til å hente inn opplysninger («signals intelligence information and data for foreign intelligence and counterintelligence purposes») utenfor USA som ikke omhandler amerikanere («US-persons»). (Schrems II ¶¶ 184, 192). E.O. 12333 bruker ikke «tvungen» bistand fra skytjenesteleverandører som FISA 702. Under E.O. 12333 henter amerikansk etterretning opplysninger (signals intelligence). Hvis opplysninger er kryptert gir ikke E.O. 12333 amerikanske myndigheter hjemmel til å kreve utlevering an nøkkelen fra en skytjenesteleverandør.
Er europeiske borgere vernet under E.O. 12333?
Svar: Nei. EU- og EØS borgere som non US-persons har ikke håndhevbare rettigheter i henhold til E.O. 12333. (Direction/PPD-28, WHITE HOUSE (Jan. 17, 2014))
4 Presidential Policy Directive 28 (PPD-28)
PPD-28 er fastsatt av Barack Obama og setter rammer for signaletterretning. PPD-28 gjelder som et tillegg til FISA 702 og E.O. 12333. (Jaycox, ‘No Oversight, No Limits, No Worries’, 82). Teksten i PPD-28 begrenser innsamling av etterretningsinformasjon og gir personvernrettigheter signaletterretninger til en utenlandsk etterretning eller kontraetterretning formål og gir personvernrettigheter til ikke-amerikanske personer. (https://obamawhitehouse.archives.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities. PCLOB, ‘This is the bipartisan Privacy and Civil Liberties Oversight Board (PCLOB)’s Report on the Implementation of Presidential Policy Directive 28 (PPD-28)’ (2018).
Pålegger PPD-28 begrensinger eller restriksjoner på amerikansk etterretning som utføres under FISA 702 og E.O. 12333.
Svar: Ja, det gir noen begrensinger. Det er viktig å merke seg at begrensning ikke er tilstrekkelig til å tilfredsstille krav til tilstrekkelig beskyttelsesnivå ved overføring av personopplysninger.
PPD-28 skal begrense myndighetenes muligheter til å bruke data samlet inn gjennom etterretningsprogrammer. (https://obamawhitehouse.archives.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities. PCLOB, ‘This is the bipartisan Privacy and Civil Liberties Oversight Board (PCLOB)’s Report on the Implementation of Presidential Policy Directive 28 (PPD-28)’ (2018). Etter PPD-28 kan slik data kun brukes til å oppdage og motvirke:
(1) espionage and other threats and activities directed by foreign powers or their intelligence services against the United States and its interests; (2) threats to the United States and its interests from terrorism; (3) threats to the United States and its interests from the development, possession, proliferation, or use of weapons of mass destruction; (4) cybersecurity threats; (5) threats to U.S. or allied Armed Forces or other U.S or allied personnel; and (6) transnational criminal threats, including illicit finance and sanctions evasion related to the other purposes named in this section. (Schrems II, ¶ 184).
Til tross for at PPD-28 gir noen begrensinger, er beskyttelsesnivået for lavt til å tilfredsstille kravene i EU lovgivningen. Det vil si det FISA 702 og E.O. 12333 går lenger enn det som er proporsjonalt og nødvendig i et demokratisk samfunn. (Schrems II, ¶ 64). Selv om PPD-28 er bindende, gir den ikke rett til et effektivt rettsmiddel eller oppreisning til den registrerte om et brudd finnes. PPD-28 er også for diffuse når det gjelder rettigheter. (Schrems II, ¶ 181).
I Schrems II skrev EU-domstolen: “According to the findings in the Privacy Shield Decision, the implementation of the surveillance programmes based on Section 702 of the FISA is, indeed, subject to the requirements of PPD-28. However, although the Commission stated, in recitals 69 and 77 of the Privacy Shield Decision, that such requirements are binding on the US intelligence authorities, the US Government has accepted, in reply to a question put by the Court, that PPD-28 does not grant data subjects actionable rights before the courts against the US authorities. Therefore, the Privacy Shield Decision cannot ensure a level of protection essentially equivalent to that arising from the Charter, contrary to the requirement in Article 45(2)(a) of the GDPR that a finding of equivalence depends, inter alia, on whether data subjects whose personal data are being transferred to the third country in question have effective and enforceable rights.”
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)