Prawne i bezprawne podejścia agencji rządowych do pozyskiwania danych użytkowników od dostawców usług to temat, na który Microsoft nie zamierza milczeć. Firma przeciwstawiała się już nieuzasadnionym requestom, a teraz próbuje ograniczyć ilość danych konsumenckich, do których rząd może uzyskać dostęp w sposób legalny. Kwestia wymaga bowiem dopracowania, ale jego kształt jest przedmiotem debaty. Microsoft wzywa obecnie rządy wszystkich dużych krajów do przedstawienia i stworzenia międzynarodowego prawa, które ogranicza dostęp do danych osobowych, a także określa zasady dostępu do danych w razie zaistnienia potrzeby.
Modernizacja procedur dostępu do danych konsumentów już w zasadzie się rozpoczęła. W USA jest to przykładowo CLOUD Act, który tworzy podwaliny dla nowej generacji porozumień międzynarodowych, które pozwolą rządom różnych krajów porozumieć się ze sobą, by stworzyć obowiązujące zasady ochrony prywatności i prawne uzasadnienia dla dostępu do dowodów. Jeśli zaś chodzi o Europę, to w zeszłym tygodniu Komisja Europejska zaprezentowała propozycję legislacji E-Evidence. Microsoft także ma swoje propozycje:
Jako globalna firma, której zaufały miliony użytkowników, uważamy, że ważne jest dla Microsoftu, by jasno określić, w jaki sposób rządy powinny rozwiązywać te problemy. Z tego powodu udostępniamy sześć zasad, które napędzają i będą napędzać nasze poparcie dla rządów, które reformują swoje prawa i negocjują umowy międzynarodowe.
Owe sześć zasad na blogu Microsoftu udostępnił Brad Smith. Jego zdaniem normy te powinny regulować to, w jaki sposób organy ścigania mogą uzyskiwać dostęp do danych konsumentów:
- Uniwersalne prawo do powiadomienia: z wyjątkiem wąsko określonych przypadków użytkownicy mają prawo wiedzieć, kiedy rząd uzyskuje dostęp do ich danych, a dostawcy usług w chmurze muszą mieć prawo do przekazania tych informacji.
- Uprzednia niezawisła autoryzacja sądowa i wymagane minimalne uzasadnienie: requesty dotyczące treści i innych poufnych danych użytkownika muszą zostać sprawdzone i zatwierdzone przez niezależny organ sądowy przed wykonaniem requestu oraz po przedstawieniu minimalnego prawnego i faktycznego uzasadnienia.
- Konkretny i kompletny proces prawny oraz wyraźne podstawy do zakwestionowania: dostawcy usług w chmurze muszą uzyskać szczegółowe wezwanie sądowe od organów ścigania, co umożliwi dokładne przejrzenie żądania. Muszą istnieć też jasne mechanizmy, pozwalające zakwestionować niezgodne z prawem i nieodpowiednie żądania dotyczące danych użytkowników.
- Mechanizmy rozwiązywania i podnoszenia konfliktów z przepisami państw trzecich: Umowy międzynarodowe muszą unikać konfliktu praw z państwami trzecimi i obejmować mechanizmy rozwiązywania konfliktów w przypadku ich wystąpienia.
- Modernizacja zasad wyszukiwania danych przedsiębiorstw: Przedsiębiorstwa mają prawo kontrolować swoje dane i powinny bezpośrednio otrzymywać wnioski od organów ścigania.
- Przejrzystość: społeczeństwo ma prawo wiedzieć o tym, w jaki sposób i kiedy rządy starają się uzyskać dostęp do dowodów cyfrowych, oraz o środkach ochrony, stosowanych dla ich danych.
Prywatność danych jest ważnym problemem dla firm i klientów na całym świecie. Microsoft postuluje, aby rządy postępowały zgodnie z wyżej wymienionymi procedurami, zanim skontaktują się z firmą w celu uzyskania dostępu do danych użytkowników. Bardziej szczegółowe wyjaśnienie tych sześciu zasad Microsoft przestawił w specjalnym dokumencie.