PRISM: nem folyt milliók megfigyelése?

Engedélyt kaptak a Foreign Intelligence Surveillance Act (FISA) hatálya alatt végrehajtott adatigénylések számának közzétételére az érintett vállalatok. A PRISM-botrány kipattanása nyomán a nagyobb online szolgáltatásokat nyújtó cégek azt kérték az amerikai kormánytól, hogy nyilvánosságra hozhassák az adatigénylési program egyes részleteit, így tisztázhassák magukat a vádak alól. A hatóságok a hétvégén ezt az engedély megadták, így az érintettek nyilvánosságra hozhatták az érintett felhasználók számát.

Apple, Facebook, Microsoft

Az Apple közleménye szerint a május 31-én véget ért négy hónap során 4-5 ezer adatszolgáltatási kérés érkezett az amerikai hatóságoktól, ezekre válaszul összesen 9-10 ezer felhasználói fiókról adtak ki információt. Ezekben benne van az összes szövetségi, állami és önkormányzati hatóság adatkérése, valamint a nemzetbiztonsági és a bűnügyi kérések is, tehát nem tudni, ezekből pontosan mennyit jelentenek a PRISM és más NSA-programok.

A Microsoft szintén hasonló adatok publikálására kapott felhatalmazást. A redmondi vállalat 2012 második félévében 6-7 ezer adatkérésre 31-32 ezer felhasználói fiókról adott ki adatokat a hatóságoknak, a bűnügyi és a nemzetbiztonsági lekérések itt is együtt szerepelnek. A nyilatkozat szerint a Microsoft nem kapott engedélyt arra, hogy a különböző szolgáltatásokra (Skype, Hotmal/Outlook.com, Live Messenger, stb.) külön is kiadja a számokat.

A Facebook esetében ugyanezek a számok: 9-10 ezer adatkérés és 18-19 ezer érintett felhasználói fiók, ahogy az előző két esetben is, a bűnügyi lekérések és nemzetbiztonsági adatigénylés ömlesztve, a számok csupán ezres számokban megadva. Az összes érintett vállalat hangsúlyozza, hogy ezek a számok a felhasználók töredékét jelentik.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A vállalatok számai sok támpontot nem adnak a botrány körüli homály feloszlatására, azt azonban érzékeltetik, hogy az eredetileg gyanított, széleskörű adatgyűjtésre nem került sor. Ha valóban csak néhány ezer felhasználói fiókhoz fért hozzá az nemzetbiztonsági hatóság, akkor az adatgyűjtés korlátozott és kiterjedt, de viszonylag célzott volt. Az eredetileg kiszivárgott dokumentum alapján reális lehetőség volt, hogy az NSA a felhasználók millióiról (esetleg százmillióiról) készít profilt, amennyiben a most kiadott számok valóban az összes adatszolgáltatást tartalmazzák, akkor ez a forgatókönyv biztonsággal kizárható.

A Google nagyobb átláthatóságot akar

Aggodalomra és óvatosságra ad okot azonban, hogy a Google szerint a Microsoft és a Facebook által elfogadott, NSA által diktált nyilatkozatformátum visszalépést jelent a felhasználók számára. A keresőóriás szerint a nemzetbiztonsági és bűnügyi adatok összevonása roppant káros és csökkenti az átláthatóság eddig sem túl magas fokát. Eddig a Google folyamatosan közzétette országonként az adatszolgáltatási kérések és teljesítések számát, ez a Transparency Report keretében elérhető. A jelentésben eddig a Google nem tehette közzé a FISA keretében teljesített adatszolgáltatásokat, csak a bűnügyi (házkutatás és idézés), valamint NSL (national security letter) formátumú kéréseket.

"A két kategória összemosása visszalépés lenne a felhasználóink számára" - mondja a Google néhány laphoz eljuttatott közleménye. "Mindig úgy véltük, hogy fontos megkülönböztetni a különböző adatigényléseket, ahogy most is külön kezeljük a bűnügyi és nemzetbiztonsági kéréseket. A kategóriák összevonása így visszalépés lenne a felhasználóink számára. A kormányzattól ezért világosan kértük: publikálhassuk a nemzetbiztonsági kategóriában a FISA-igényléseket is."

Európa tudott róla?

Az adatkezelési kérdésekre hagyományosan nagyon érzékeny Európai Unió a botrány kipattanása után meglepően halvány reakciót adott, az első közleményben egyenesen az Egyesült Államok belügyének titulálta a kialakult szituációt, pedig a FISA kimondottan a külföldi állampolgárok utáni kutakodást intézményiesíti. Az EU álláspontja a hét folyamán gyorsan megszilárdult (és megszigorodott), előbb a helyzet tisztázására szólította fel az amerikai kormányzatot, majd szerdán Viviane Reding igazságügyi biztos követelt részletekbe menő válaszokat levelében.

Reding a válaszokat a pénteki sajtótájékoztatóján hozta nyilvánosságra. Eszerint az európai polgárokat a PRISM léte valóban érinthette, amennyiben terrorizmus és kiberbűnözés gyanúja merült fel ellenük. Reding beszédében elmondta, hogy Eric Holder amerikai főügyésszel való konzultáció során hangsúlyozta, az amerikai és európai állampolgárok egyenlő elbánását, valamint az állampolgári jogok tiszteletben tartását kérte. Reding szerint vannak nézeteltérések, amelyeket most tárgyalásos úton igyekszik a két fél orvosolni.

A PRISM-botrány különösen az elfogadás előtt álló átfogó európai adatvédelmi szabályozás kapcsán vet fel érdekes kérdéseket. A Financial Times szerint ugyanis a szabályozás korai tervezete tartalmazott egy, kifejezetten a FISA ellenében beszúrt részt, amely szerint a technológiai és távközlési cégek adatszolgáltatási kötelezettsége alól az uniós állampolgárok mentességet kaptak volna. Erős amerikai lobbizásra azonban a későbbi, elfogadás előtt álló szövegből ez a tétel kikerült, így az EU-s állampolgárok (a világ többi részével együtt) nem kaptak védelmet az amerikai hírszerzéssel szemben.

A Financial Times értesülése szerint a tárgyalások során 2012 januárjában ezt a kitételt sikerült erős amerikai nyomásra semlegesíteni, de több tagország is ellene volt ennek a megfogalmazásnak. Az amerikai online szolgáltatások Amerikában lévő szervereire ugyanis (értelemszerűen) az amerikai jogszabályok vonatkoznak, az EU adatvédelmi törvénye vajmi kevés védelmet nyújtott volna az állampolgárok önként kiadott adatai számára.