Deep Dive: Πώς το Facebook προσπαθεί να αγνοήσει το ΔΕΕ - παρά τις δύο κρίσεις.

Δεκ 19, 2021

Deep Dive: Πώς να αγνοήσετε τις αποφάσεις του ΔΕΕ σε τρία βήματα. Εξηγείται η Εκτίμηση Επιπτώσεων Μεταφοράς του Facebook.

Για τους geeks του απορρήτου, που θέλουν να μάθουν περισσότερα από αυτά που συνοψίσαμε στο 4ο Advent Reading, παρέχουμε μια βαθύτερη κατάδυση σε αυτήν τη σελίδα σχετικά με τα τέσσερα στοιχεία της «Αξιολόγησης Επιπτώσεων Μεταφοράς» (TIA) του Facebook.

Η προσέγγισή μας σε αυτές τις αποκαλύψεις. Για να αποφύγετε τα ακριβά κοστούμια "SLAPP" ορισμένα στοιχεία δεν είναι διαθέσιμα σε ορισμένες δικαιοδοσίες και αποφασίσαμε να συνοψίσουμε τα έγγραφα σε ένα βίντεο αντί να τα δημοσιεύσουμε απευθείας. Όπου η ουσία του εγγράφου είναι πιο σχετική, το εξηγούμε λεπτομερέστερα και παραθέτουμε στοιχεία του. Υπάρχει ένα βίντεο ανά έγγραφο. Μπορείτε να διαβάσετε τις λεπτομέρειες σχετικά με το γιατί μπορούμε να χρησιμοποιήσουμε νόμιμα αυτό το έγγραφο στο κάτω μέρος της σελίδας.

Έγγραφο 1: Περίγραμμα εγγράφου

Το Περίγραμμα Έγγραφο αναφέρεται βασικά στα άλλα τρία έγγραφα, που συζητούνται παρακάτω. Έχει 7 σελίδες και είναι κάπως ενδιαφέρον, καθώς φαίνεται να είναι η «περίληψη» των άλλων εγγράφων και δίνει μια επισκόπηση. Το βασικό μέρος της TIA είναι ξεκάθαρα η «Αξιολόγηση Ισοδυναμίας», όπου το Facebook αγνοεί πλήρως τις κρίσεις του ΔΕΕ και καταλήγει στο συμπέρασμα ότι το δίκαιο της ΕΕ και των ΗΠΑ είναι «ισοδύναμα». Τα άλλα δύο έγγραφα παρουσιάζονται μόνο ως πρόσθετοι πόροι. Η "Αξιολόγηση παραγόντων" περιγράφει κυρίως ότι τα δεδομένα αποστέλλονται στις ΗΠΑ και ποια δεδομένα είναι, καθώς και το γεγονός ότι υπάρχει πρόσβαση από την κυβέρνηση των ΗΠΑ βάσει του FISA 702. Το "Αρχείο διασφαλίσεων" περιέχει επίσης το υποτιθέμενο "συμπληρωματικό μέτρα», ακόμη και όταν κανένα μέτρο δεν αφορά ξεκάθαρα τους νόμους περί επιτήρησης των ΗΠΑ ή την απόφαση του ΔΕΕ. Τελικά, είναι απλώς μια λίστα τυπικών πρακτικών του κλάδου.

Συνοπτικά, το επιχείρημα ότι το δίκαιο της ΕΕ και των ΗΠΑ είναι «ισοδύναμο» είναι η ραχοκοκαλιά και ο μοναδικός πυλώνας της προσέγγισης του Facebook.

Έγγραφο 2: Αξιολόγηση ισοδυναμίας των νόμων των ΗΠΑ

Η " Αξιολόγηση Ισοδυναμίας " ("EA") είναι ένα έγγραφο 58 σελίδων που υποστηρίζεται ρητά από τις δικηγορικές εταιρείες του Facebook Mason Hayes & Curran LLP και Perkins Coie LLP (παράγραφος 1.4 του EA). Το έγγραφο συνοψίζεται καλύτερα με τα λόγια του Facebook (σελίδα 7 του εγγράφου Outline):

Για να φτάσει σε αυτό το αποτέλεσμα, το Facebook υποστηρίζει ότι το ΔΕΕ δεν είχε όλα τα σχετικά στοιχεία για να καταλήξει στο συμπέρασμά του, παρά το γεγονός ότι το Facebook υπέβαλε περίπου 45.000 σελίδες στη διαδικασία. Το Facebook υποστηρίζει περαιτέρω ότι το ΔΕΕ απέρριψε μόνο την αξιολόγηση της Ευρωπαϊκής Επιτροπής στην «Ασπίδα προστασίας προσωπικών δεδομένων», αλλά δεν ασχολήθηκε λεπτομερώς με την αξιολόγηση του Facebook. Επομένως, κατά την άποψη του Facebook, το ΔΕΕ δεν θα είχε αποφασίσει ποτέ για τις μεταφορές του Facebook στο πλαίσιο των SCC. Αυτό είναι στην πραγματικότητα ανακριβές, όπως έχει υπογραμμίσει το ΔΕΕ στη σκέψη 168 της απόφασης, ότι στηρίχθηκε στις ανησυχίες του Ανώτατου Δικαστηρίου της Ιρλανδίας και της ασπίδας προστασίας της ιδιωτικής ζωής της Επιτροπής. Υπήρξαν σημαντικές υποβολές για αυτά τα θέματα από το Facebook και την κυβέρνηση των ΗΠΑ ενώπιον του ΔΕΕ. Ωστόσο, το ΔΕΕ έκρινε ξεκάθαρα ότι το δίκαιο των ΗΠΑ όχι απλώς δεν είναι «ισοδύναμο», αλλά παραβιάζει τα άρθρα 7, 8 και 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων.

Το Facebook προεξοφλεί περαιτέρω το δίκαιο της ΕΕ συγχέοντας κυρίως τις αποφάσεις του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων (ΕΔΔΑ) στο Στρασβούργο (μέρος του Συμβουλίου της Ευρώπης, με 47 κράτη μέλη, συμπεριλαμβανομένης της Τουρκίας και της Ρωσίας) κάτω από το χαμηλό επίπεδο των άρθρων 6 και 8 του Ευρωπαϊκή Σύμβαση για τα Ανθρώπινα Δικαιώματα (ΕΣΔΑ) με τις αποφάσεις του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) και το πολύ υψηλότερο επίπεδο βάσει του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (CFR).

Σε αντίθεση με την προσέγγιση για το δίκαιο της ΕΕ, το Facebook «μεγεθύνει» τις προστασίες βάσει της αμερικανικής νομοθεσίας, τις οποίες έχει ήδη υποβάλει αμέτρητες φορές ενώπιον του Ανώτατου Δικαστηρίου της Ιρλανδίας και του Δικαστηρίου της Δικαιοσύνης στη δίκη «Schrems II». Όλοι τους απορρίφθηκαν. Ωστόσο, το Facebook βασίζεται σε αυτά τα στοιχεία για άλλη μια φορά για να καταλήξει στο συμπέρασμά του ότι η νομοθεσία των ΗΠΑ θα παρέχει προστασία σε άτομα εκτός ΗΠΑ.

Αυτός ο συνδυασμός της πλήρους απόρριψης της απόφασης του ΔΕΕ, της έκπτωσης της νομοθεσίας της ΕΕ και της μεγέθυνσης της νομοθεσίας των ΗΠΑ δικαιολογούν κατά κάποιο τρόπο παράνομες διαβιβάσεις δεδομένων ΕΕ-ΗΠΑ.

Έγγραφο 3: Εκτίμηση παραγόντων

Στην 7-σελίδα « Αξιολόγηση παραγόντων » το Facebook δεν υποστηρίζει πραγματικά ότι ορισμένοι παράγοντες περιορίζουν κατά κάποιο τρόπο τον αντίκτυπο των μεταφορών δεδομένων ΕΕ-ΗΠΑ.

Αντίθετα, η εισαγωγή εξηγεί ότι στο πλαίσιο της «Αξιολόγησης ισοδυναμίας», το Facebook καταλήγει στο συμπέρασμα ότι το δίκαιο της ΕΕ και των ΗΠΑ είναι ισοδύναμα (σε αντίθεση με τις αποφάσεις του ΔΕΕ). Ως εκ τούτου, το Facebook λέει ότι η αξιολόγηση των παραγόντων είναι μάλλον μια περιγραφή «κατά περίπτωση» των μεταφορών τους ΕΕ-ΗΠΑ, παρά στην πραγματικότητα παράγοντες που περιορίζουν την επιτήρηση.

Οι περιορισμένοι παράγοντες που θα έδειχναν μικρότερη παρέμβαση στα θεμελιώδη δικαιώματα της ΕΕ κατά την άποψη του Facebook είναι π.χ. ο αριθμός των αιτημάτων της κυβέρνησης των ΗΠΑ σύμφωνα με την έκθεση διαφάνειας του ίδιου του Facebook . Οι άλλοι «παράγοντες» απλώς περιγράφουν γεγονότα όπως ότι ο παραλήπτης είναι η Facebook Inc. ή ότι η Facebook Inc. λαμβάνει στην πραγματικότητα αιτήματα FISA από την κυβέρνηση των ΗΠΑ (σελίδα 7 της «Αξιολόγησης παραγόντων»):

Δεν είναι σαφές πώς αυτοί οι «παράγοντες» μπορούν να βοηθήσουν να γίνει μια μεταγραφή νόμιμη. Στην πραγματικότητα, το Facebook δεν φαίνεται πραγματικά να βασίζεται σε αυτούς τους "παράγοντες" για να δικαιολογήσει ότι η μεταφορά θα ήταν νόμιμη, αλλά μάλλον σχεδίασε το έγγραφο ως μια απλή περιγραφή των πραγματικών περιστατικών. Το κύριο επιχείρημα εξακολουθεί να είναι ότι το ΔΕΕ είναι λάθος και ότι το δίκαιο της ΕΕ και των ΗΠΑ είναι στην πραγματικότητα ισοδύναμο.

Έγγραφο 4: Αρχείο διασφαλίσεων, συμπεριλαμβανομένων των συμπληρωματικών μέτρων

Τέλος, το Facebook δημιούργησε ένα έγγραφο 14 σελίδων που ονομάζεται " Αρχείο Διασφαλίσεων ", το οποίο είναι κυρίως ένας μακρύς πίνακας "μέτρων", συμπεριλαμβανομένων "οργανωτικών μέτρων" καθώς και "τεχνικών μέτρων". Στην πραγματικότητα είναι όλες οι βασικές πολιτικές, που απαιτούνται για παράδειγμα σύμφωνα με το άρθρο 32 του ΓΚΠΔ, όπως η "διαχείριση φορητών συσκευών" ή η ύπαρξη εσωτερικής πολιτικής σχετικά με τον τρόπο αντίδρασης σε κρατικά αιτήματα.

Είναι ενδιαφέρον ότι το Facebook απασχολεί μόνο 130 άτομα για να ανταποκριθεί σε όλα τα κυβερνητικά αιτήματα παγκοσμίως. Αυτό θα σήμαινε ότι ένα νομικό αίτημα ελέγχεται κατά μέσο όρο για περίπου 10-15 λεπτά. Ως μέτρο προστασίας από πλαστά κρατικά αιτήματα, το Facebook υπογραμμίζει κυρίως ότι επαληθεύει εάν η διεύθυνση ηλεκτρονικού ταχυδρομείου προέρχεται από ένα κυβερνητικό όνομα τομέα. Δεν είναι σαφές εάν το Facebook ελέγχει εάν μια συγκεκριμένη κρατική οντότητα έχει τα δικαιώματα να ζητήσει προσωπικά δεδομένα κατόχων λογαριασμών. Κανένα από τα αναφερόμενα μέτρα δεν φαίνεται να έχει άμεση σχέση με τους νόμους περί επιτήρησης των ΗΠΑ.

Το μόνο στοιχείο που αναφέρει FISA 702 και ΕΟ 12.333 τονίζει ότι το Facebook ηλεκτρονικού mploys βιομηχανία αλγορίθμων πρότυπο κρυπτογράφησης και πρωτόκολλα κατά τη μεταφορά, τα εν λόγω πρότυπα είναι κρυπτογράφησης TLS (ως συνήθως για κάθε δικτυακό τόπο) και κρυπτογράφηση AES (όπως και κάθε smartphone κάνει). Facebook παραδέχεται ότι δεν είναι όλα τα δεδομένα είναι κρυπτογραφημένα, αφού αναφέρει ότι μόνο σχεδόν όλα Facebook κίνηση είναι TLS κρυπτογράφηση ed. Στην πραγματικότητα, δεν υπάρχει κανένα μέτρο που να προστατεύει κατά οποιονδήποτε τρόπο από παραγγελία βάσει του FISA 702 PRISM / DOWNSTREAM (άρα επιτήρηση απευθείας στο Facebook), αλλά συνδέονται μόνο με το "UPSTREAM" (άρα επιτήρηση μέσω του κορμού του Διαδικτύου). Καθώς το Facebook κρατά όλα τα κλειδιά κρυπτογράφησης και μπορεί να έχει πρόσβαση σε όλα τα δεδομένα χωρίς κανέναν τρόπο, δεν υπάρχει περίπτωση το TLS και το AES να αποτελούν σχετική προστασία:

Το Facebook κλείνει το έγγραφο με «προληπτικά» μέτρα, όπως η άσκηση πίεσης και η συμβολή στην ανάπτυξη της νομοθεσίας των ΗΠΑ και με την παροχή περισσότερων πληροφοριών για τους χρήστες στις συχνές ερωτήσεις.

Ρωτήσαμε τον Άλαν Μπάτλερ του epic.org σχετικά με το "Record of Safeguards":

Νομική βάση για τη δημοσίευση. Όπως επισημάνθηκε στο First Advent Reading μας , τα τέσσερα noyb Advent Readings διαμαρτύρονται για την παράνομη αφαίρεση του noyb από την DPC σε μια εκκρεμή διαδικασία . Όλα τα έγγραφα παρασχέθηκαν μέσω της διαδικασίας καταγγελιών του κ. Schrems, που εκκρεμούσε για 8,5 χρόνια ενώπιον του ιρλανδικού DPC.

Σε ένα σύστημα που περιγράφεται από τους δικηγόρους του κ. Schrems και έχει γίνει αποδεκτό από το DPC, ο κ. Schrems επιτρέπεται να χρησιμοποιεί ελεύθερα έγγραφα από τη διαδικασία, σε περιπτώσεις όπου το Facebook έχει νομική υποχρέωση να παρέχει αυτά τα έγγραφα, κάτι που είναι ξεκάθαρο εδώ:

Το άρθρο 5 παράγραφος 1 στοιχείο α) του GDPR απαιτεί από το Facebook να είναι διαφανές. Το άρθρο 13 παράγραφος 1 στοιχείο στ) απαιτεί από το Facebook να ενημερώνει τους χρήστες σχετικά με τον τρόπο λήψης αντιγράφου των μέτρων, δικαιολογώντας μια διεθνή μεταφορά και το άρθρο 15 παράγραφος 2 του GDPR προβλέπει συγκεκριμένα το δικαίωμα λήψης αντιγράφου αυτών. Στην πραγματικότητα, οι χρήστες δεν μπορούν να αμφισβητήσουν τη μεταφορά δεδομένων, εάν δεν είναι ενημερωμένοι για τις υπάρχουσες προστασίες. Τα ίδια τα SCC προβλέπουν παρόμοιες διατάξεις, δεδομένου ότι δίνουν στους χρήστες το δικαίωμα να επιβάλλουν τα SCC (άρθρα 3, 8.9 και 14 των SCC). Φαίνεται ότι κάθε εταιρεία που χρησιμοποιεί το Facebook ως επεξεργαστή ή κοινό ελεγκτή θα πρέπει επίσης να λάβει το TIA.

Ωστόσο, η θέση του Facebook και της ιρλανδικής DPC είναι ότι ο GDPR και τα SCC δεν επιτρέπουν στους χρήστες να λάβουν αντίγραφο του TIA του Facebook, αλλά είναι διαθέσιμα μόνο στην αρμόδια εποπτική αρχή (οπότε σε αυτήν την περίπτωση μόνο το DPC).

Τα έγγραφα δεν περιέχουν καν εμπορικά ή τεχνικά ευαίσθητες πληροφορίες και δεν προστατεύονται από καμία σχετική νομοθεσία.