Безопасность общества зависит от эффективности работы правоохранительных органов. Однако чтобы поймать преступников и террористов, нужно сначала найти их, а это сделать невозможно без активного сбора информации. В XXI в. необходимая информация чаще всего накапливается в дата-центрах крупнейших глобальных технологических компаний.
Как сектор, который пытается вносить свой вклад в обеспечение общественной безопасности и защищать неприкосновенность личных данных, мы балансируем на лезвии бритвы. Нам необходимо сохранять это неустойчивое равновесие и одновременно поспевать за изменениями нынешнего чрезвычайно подвижного мира.
События, требующие от нас немедленного реагирования, происходят совершенно неожиданно, без всякого предупреждения. Впервые я столкнулся с этим в 2002 г., когда 23 января в Карачи, Пакистан, был похищен журналист газеты The Wall Street Journal Дэниел Перл[40]. Его похитители выходили на связь то из одного интернет-кафе, то из другого и использовали наш почтовый сервис Hotmail для передачи требований, ловко ускользая от пакистанской полиции. В обмен на жизнь Перла они требовали освободить всех подозреваемых в терроризме в Пакистане и остановить запланированную поставку истребителей F-16 из Соединенных Штатов. Было ясно, что правительство Пакистана ни за что не согласится с такими требованиями. Оставался единственный способ спасти Перла – найти его.
Пакистанские власти быстро и без лишнего шума связались с ФБР, которое обратилось к нам. Соответствующее исключение из закона о надзоре за иностранной разведывательной деятельностью позволяло правительству действовать без промедления, а технологическим компаниям оперативно отвечать на запросы в «чрезвычайных ситуациях, связанных с угрозой гибели людей или причинения вреда их здоровью»[41]. Жизнь Перла, несомненно, была в опасности.
Джон Франк пришел ко мне и объяснил положение. Я дал зеленый свет на сотрудничество с местной полицией и ФБР. Нам нужно было взять под контроль учетную запись Hotmail, которую использовали похитители, и по IP-адресу их очередных сообщений идентифицировать интернет-кафе на другом конце света, откуда они выходили на связь. Наши команды тесно сотрудничали с ФБР и местными властями в Пакистане на протяжении недели, отслеживая похитителей, которые перемещались от одной точки доступа в интернет к другой.
Мы подобрались очень близко, но все же не успели. Похитители убили Перла прежде, чем их удалось поймать. Это потрясло нас до глубины души. Его ужасная смерть подчеркнула ту колоссальную ответственность, которая лежит на нас, нечто такое, о чем редко говорят на публике.
Этот случай был лишь предвестником того, что нас ожидало. Сегодня киберпространство уже нельзя считать чем-то второстепенным. Оно все больше становится местом, где люди организуют свою деятельность и определяют, что и как будет происходить в реальном мире.
Трагедия, связанная с Дэниелом Перлом, также подчеркнула важность субъективного суждения в вопросах защиты неприкосновенности частной жизни. В определенном смысле можно утверждать, что между неприкосновенностью частной жизни и безопасностью существует равновесие, которое является результатом действий сторонников неприкосновенности, тянущих в одну сторону, и правоохранительных органов, тянущих в другую сторону. Подобно судам, которые занимаются решением их споров, технологические компании становятся ареной, где тоже занимаются этими вопросами. Нам необходимо понимать и учитывать интересы обеих сторон этого уравнения.
Одна из серьезных проблем заключается в том, как выполнить эту задачу на должном уровне. Наш подход к реагированию на судебное постановление об обыске оттачивался путем проб и ошибок с момента появления электронной почты и электронных документов в 1980-х гг.
В 1986 г. президент Рональд Рейган подписал закон о защите информации, передаваемой с помощью электронных систем связи (Electronic Communications Privacy Act), который известен современным юристам по аббревиатуре ECPA. В то время никто не знал, должна ли четвертая поправка защищать что-либо вроде электронной почты, однако и республиканцы, и демократы в равной мере хотели добиться такой законодательной защиты.
Как это иногда случается в Вашингтоне, в 1986 г. конгресс действовал с самыми лучшими намерениями, но шел очень непростым путем. Составной частью ECPA был закон о сохраненных сообщениях, который фактически вводил новую форму ордера на обыск. При наличии обоснованного подозрения правительство могло обратиться в суд, получить ордер на обыск, дающий право доступа к вашей электронной переписке, и распространить его действие помимо вас на технологическую компанию, где хранятся ваша электронная почта и документы[42]. Компания в этом случае обязана извлечь электронную переписку и передать ее запрашивающему органу. В определенных обстоятельствах закон фактически превращал технологические компании в агентов правительства.
Это также привело к появлению новой модели взаимодействия. Когда правительство получает классический ордер на обыск вашего дома или офиса, там, скорее всего, кто-нибудь присутствует и знает о происходящем. Он не может прекратить обыск, но, по крайней мере, знает о нем. Если он сочтет, что его права нарушаются, то может пойти по стопам Джона Уилкса и обратиться в суд.
Конгресс избрал более сложный подход к вопросу уведомления людей и организаций о том, что правительство получило доступ к их электронной почте и документам через технологические компании, – он принял положение, дававшее правительству право затребовать наложение судебного запрета на разглашение сведений об обыске. Это положение предлагало правительству пять оснований для требования засекретить его действия. На первый взгляд, эти основания казались вполне разумными. Например, если разглашение сведений влекло за собой уничтожение доказательств, запугивание свидетеля или иным образом вредило расследованию, то судья мог выдать ордер на обыск вместе с предписанием о неразглашении[43]. Технологическая компания могла получить и то и другое одновременно – первое требовало передать электронные данные, а второе – хранить факт передачи в секрете.
Пока электронная почта не получила распространения, эти новые ордера на обыск с предписаниями о неразглашении были редкостью. Однако в условиях взрывного развития интернета и появления дата-центров с сотнями тысяч компьютеров все значительно усложнилось. Сегодня в состав нашей команды по вопросам обеспечения законности и национальной безопасности входят 25 штатных работников – специалисты по надзору за соблюдением норм и правил, юристы, инженеры и профессионалы в сфере информационной безопасности. В своей работе они опираются на поддержку многочисленных юридических фирм со всего мира. В компании Microsoft эту службу называют командой LENS. Ее миссия довольно очевидна: глобальный анализ и реагирование на запросы правоохранительных органов в соответствии с законодательством разных стран и нашими контрактными обязательствами перед клиентами. Такую задачу легкой не назовешь. У команды LENS семь мест базирования в шести странах на трех континентах. В течение года она обычно рассматривает более 50 000 ордеров на обыск и судебных запросов из 75 стран[44]. Всего лишь 3 % этих предписаний касаются контента. В большинстве случаев власти запрашивают IP-адреса, списки контактов и данные о регистрации пользователей.
Ордера на обыск чаще всего поступают в Microsoft по электронной почте. Менеджер по надзору за соблюдением норм и правил удостоверяется в том, что они действительны и подписаны судьей, что у властей имеется обоснованное подозрение и что агентство имеет полномочия на получение информации. Если все подтверждается, менеджер запрашивает необходимые данные в дата-центре. Эти данные проверяются еще раз, с тем чтобы не предоставить ничего лишнего, и только тогда отправляются в адрес запросившего их органа. Как один из работников LENS объяснил мне, «это выглядит просто, однако требует немало времени, чтобы сделать все как надо. Нужно изучить сам ордер, проанализировать запрашиваемую в нем информацию по учетной записи, выгрузить эту информацию и еще раз проанализировать, чтобы убедиться в ее адекватности».