В эту среду компания Apple внесeт некоторые существенные изменения в систему хранения данных пользователей еe облачного сервиса в Китае. Есть серьeзные опасения, что китайские власти получат свободный доступ к данным пользователей компании, которая до сегодняшнего дня имела репутацию защитника конфиденциальности и безопасности.
Apple по умолчанию в своих сервисах использует шифрование. Компания привлекла всеобщее внимание, когда отказала американскому ФБР в предоставлении «чeрного хода» в iOS для спецслужб. Генеральный директор Apple Тим Кук даже отправил всем клиентам Apple личное письмо, объясняющее, как важно хранить конфиденциальность информации.
Однако с Китаем у Apple возникла другая история. Компанию подвергли критике за блокировку доступа китайских пользователей к приложению Apple News и для удаления приложений VPN из App Store в Китае. Изменения, внесенные в систему облачного хранения данных iCloud, являются последним свидетельством того, что Apple уступает репрессивным требованиям китайских властей и ставит выполнение своих обязательств по обеспечению конфиденциальности и безопасности пользователей под угрозу.
Что происходит для службы iCloud от Apple в Китае?
C 28 февраля Apple передаст администрирование китайских пользователей сервиса iCloud китайской компании Guizhou-Cloud Big Data Industry Development Co., Ltd («GCBD»). Китайский оператор получит в своe распоряжение любые фотографии, документы, контакты, сообщения и прочие пользовательские данные. Новое китайское законодательство, принятое в 2017 году, требует, чтобы облачные сервисы администрировались национальными операторами, что означает, что даже такие гиганты как Apple должны передать свли сервера китайским партнeрам.
Как хранить пользовательские данные в Китае?
Законы в Китае предоставляют правительству полный доступ к личной информации граждан, естественно, речь о соблюдении прав на частную жизнь и на свободу выражения мнений не идeт. Полученными полномочиями китайская полиция активно пользуется для затыкания ртов диссидентам, ограничения информации или тотальной цензуры. В ряде случаев на основании собранных данных инициируются судебные процессы по делам о покушении на «национальную безопасность», фигурантами которых становятся гражданские активисты и правозащитники.
Кроме того, китайские законы о кибербезопасности требуют от сетевых операторов предоставления «технической поддержки и помощи» правоохранительным органам и агентам государственной безопасности. Это означает, что любой запрос в GCBD о пользователе iCloud с целью уголовного расследования накладывает на компанию юридическое обязательство предоставить все необходимые данные без практической возможности оспорить требование спецслужб в суде.
Apple заявляет, что оставляет за собой контроль над ключами шифрования и не позволит китайским спецслужбам использовать «чeрные ходы». Будет ли это защищать пользователей в Китае?
Все зависит от обстоятельств, при которых компания позволит GCBD – а следовательно и китайским властям – получить доступ к поддающимся расшифрованию данным пользователей iCloud. В случае если пользователи принимают условия обслуживания iCloud в Китае, они дают согласие разрешить передачу их данных правоохранительным органам «при юридической необходимости». Примечательно, что начиная с марта Apple будет хранить ключи шифрования для данных китайских пользователей в Китае, а не в США, что делает передачу дешифрованных данных властям практически неизбежным.
Учитывая, что многие положения китайского законодательства не предусматривают адекватную защиту неприкосновенности частной жизни, свободы выражения мнений и других прав, простое следование принятым в Китае правилам не гарантирует, что Apple не будет способствовать нарушению прав человека. Apple никак не разъяснила, будет ли она самостоятельно оценивать, не нарушают ли запросы властей права человека еe пользователей.
Что касается «бэкдоров» или технических мер, которые позволили бы правоохранительным органам или другим правительственным учреждениям получать доступ к незашифрованным пользовательским данным, приверженность Apple блокировать их использование заслуживает восхищения. Но обязательства по защите конфиденциальности пользователей бессмысленны, если правоохранительные органы получат право принудить компанию расшифровывать пользовательскую информацию, просто сказав, что это требуется для нужд уголовного расследования.
Что должны делать пользователи iCloud в Китае, чтобы защитить себя?
Лучший способ защитить вашу личную информацию от доступа к ней китайских властей – не хранить еe на серверах внутри Китая. Пользователи, имеющие кредитные карты и платежный адрес за пределами Китая, могут использовать их для регистрации своих учетных записей и хранения данных iCloud за пределами Китая. В противном случае единственным вариантом, доступным для китайских пользователей, является удаление их учетных записей iCloud и окончательное отключение от службы. Apple уже предоставила инструкции, как это сделать здесь.
Отдельные пользователи должны серьезно подумать о связанных с новыми правилами хранения информации рисках и принять решение, что делать дальше, самостоятельно. Мы же призываем Apple защищать китайских пользователей, отключив сервис iCloud по умолчанию и адресовав пользователям чeткое предупреждение о тех рисках, с которыми они могут столкнуться, выбрав услугу облачного сервиса.
Как IT и телеком-компании могут действовать ответственно при работе в Китае?
Все компании несут ответственность за соблюдение прав человека, где бы они ни действовали в мире. Пользователям их продуктов и услуг должны быть предоставлены максимально чeткие и конкретные данные о рисках, которые могут возникнуть в Китае для конфиденциальности их данных – а в конечном итоге и свободе выражения мнений. Также они должны быть проинформированы о том, какие действия компания-поставщик услуг предпринимает в ответ. Компании должны проводить регулярный анализ воздействия их работы на права человека и публично демонстрировать, что они соблюдают должную осмотрительность при работе в сложных условиях Китая. Наконец, компании должны делать всe возможное, чтобы оказать влияние на китайское правительство с тем, чтобы оно обеспечивало защиту и уважение прав человека. IT-отрасль должна открыто высказывать своe несогласие с действиями правительства, если они несут угрозу правам человека. Если же компании отрасли посчитают, что они не в состоянии минимизировать риски нарушений прав человека, они должны быть способны принять решение прекратить свою работу в Китае.
