澄清合法的海外使用数据法(酒吧。L. 115-141(2018年)或云法案于2018年3月23日在美国颁布,以应对美国执法机构(租赁)在试图获取持有的数据时有困难通过云服务提供商通过存储的通信行为(SCA)认股权证,因为SCA并没有考虑云计算颁布法律时;同样,租约也被迫利用美国参议院批准互助条约(T.I.A.S.第10-201号或MLATS)或字母宣传到海外存储的数据。

云行为发生了美国v。微软诉讼,其中微软争论不需要提供对存储在Dublin服务器上的用户的私有数据。微软丢失了这种情况2014,但赢得了上诉2016。美国最高法院对案件的审议说明2018年2月。在2018年3月下旬,美国司法部(Doj)向美国司法部(Doj)提出了未来待定的情况,展示了云法的重要性微软诉讼为Moot,因为Doj可以(和did)也可以使用云行为为Dublin举办的Microsoft持有的数据发出新的担忧。

云法案有两种主要的应用程序影响跨境数据共享:

首先,云法令使美国租赁迫使美国组织(或美国司法管辖区的其他组织)提供“电子通信服务”和“远程计算服务”,以允许访问USUS LES外的某些类型的数据可以提供搜索权证对于组织的数据,组织必须遵守,即使数据存储在外国管辖范围内。总而言之,云行为为租赁(从联邦代理人到当地警察的任何级别)提供了大道,以便要求您的组织提供对用户通信数据的访问,而不管存储数据的位置。云行为重点介绍了请求的接收者是否有控制数据 - 特别是在美国民间和刑法中使用的“拥有,监管或控制”,以定义缔约方要求提供证据的要求一个传票,文件请求,监管查询或类似。

其次,云法案提供了美国的行政部门,具有与其他国家执行所谓的执行协议的能力,允许这些国家分享存储的用户数据,无论托管国家隐私法如何。与MLATS不同,这些协议不需要国会批准执行而是通过总统领导的美国行政部门来单方面决定。这些执行协议将存在于美国和往复外国政府之间,并批准协议也将提供外国的政府直接从美国组织获得数据的新机制。

根据云法案提供的请求的收件人现在可以要求法院撤销或修改请求(a)所要求的人不是美国人而不是美国的人而且没有居住在美国。 (b)遵守法律实际存储的国家法律冲突;(c)法院承担了一股同意分析,以得出余额,披露是否或非保证。此过程是附加的,因为法院必须达到所有三个,以肯定的QUAUSH或修改该请求。注意,上面指出的“占有,监护和控制”的分析不同的美国司法管辖区的不同含义;特别是美国第二巡回(覆盖美国康涅狄格州,纽约和佛蒙特州)的联邦事务中的纽约和佛蒙特州的州)是所有联邦电路的“拥有,监护权和控制”的最广泛应用之一。

鉴于其新近度,云法与欧盟一般数据保护条例(GDPR)的兼容性也是一个开放问题。一些评论员注意到与GDPR和相关云法行动申请下的数据转让有关的重要疑虑 - 特别是执行协议是否足以处理GDPR第44至50条规定的条件,这与执行协议是否可以被视为“有必要的公共利益的重要原因。“

面临云法令下的义务的组织应考虑进行指导的风险分析,检查云数据托管的那些操作领域,包括任何基于云的电子邮件或通信服务。在传送敏感,专有或机密数据的情况下,应该考虑用于此类数据的加密电子邮件服务和/或加密容器,因为这可能呈现即使数据的方案容器响应LEA提供响应提供,收件人可能无法获得当前计算能力的数据可能无法访问。

目前使用云进行存储和/或通信的组织应考虑一个分区化的云策略,用于为某些类型的数据定义数据存储位置;这里,公共或非专有信息可能存储在公共云服务中或不需要直接监督的位置(以较低的成本降低到组织),而其他数据可能存储在由(并受其受其影响)操作的云数据位置欧式管理的服务运营商。此处,对于这些数据的使用加密容器应该是考虑因素。

利用国际云服务提供商的组织可能需要这些提供商使用“保证金丝雀“条款关于提供商网站的条款,其中该网站将维持一个陈述,表明云法令未被用来采购提供者维护的用户信息;如果发生这种情况,提供者将有义务删除该声明,并且其缺席将作为提供者的云法申请的用户的指标(因此,“金丝雀”)。

总而言之,即使在美国境外举行,云行为允许美国租赁发行权证,以便访问美国组织(或其他组织下的其他组织)的数据,即使这些数据涉及美国以外的个人涉及美国公民以外的个人。云行为仅适用于电子通信的内容,存储在云中的文档以及某些类型的传输和帐户信息,并且不一定达到组织的业务记录。但是,如果个人的电子邮件或文档存储在基于云的服务中,并且服务响应云运行,则此类材料可能包括商业记录。保证人可能会反对法院的请求,但虽然目前目前不清楚收件人是否能够直接警告此类请求的数据所有者,但似乎不太可能,所谓的担保金丝雀可能是提供者的唯一通知选项。