Lavabit wyznacza standard

„To doświadczenie dało mi jedną, ważną lekcję: bez inicjatywy kongresu albo mocnego, sądowego precedensu, zdecydowanie… odradzam każdemu powierzanie swoich prywatnych danych firmie, która ma fizyczne powiązania z USA” – tak Ladar Levison, właściciel serwisu Lavabit, podsumował swoją decyzję o zamknięciu działalności. Powiedział głośno to, co od początku afery wywołanej rewelacjami Edwarda Snowdena wydaje się oczywiste. Dopóki w USA będzie obowiązywało prawo pozwalające służbom na swobodny dostęp do danych klientów amerykańskich firm, korzystanie z ich usług nie jest bezpieczne. Levison znalazł jedyne wyjście z tej sytuacji: w odpowiedzi na pytanie jednej ze służb o dane jego klientów (podobno chodziło o konto Edwarda Snowdena), po prostu zamknął biznes: „Zostałem zmuszony do podjęcia trudnej decyzji: przyczynić się do zbrodni przeciwko amerykańskiemu społeczeństwu, albo odwrócić się na pięcie i zostawić prawie dziesięć lat ciężkiej pracy, zamykając Lavabit”.

W obecnych warunkach nie da się zagwarantować bezpieczeństwa danych w amerykańskiej chmurze.

Teoretycznie, kiedy nie ma firmy i nie ma serwisu, nie ma od kogo egzekwować danych. W praktyce Levisona czeka proces i długotrwały spór z amerykańską administracją, która łatwo tej sprawy nie odpuści. Założyciel Lavabit – serwisu, który był znany w środowiskach internetowych z bezkompromisowego podejścia do zabezpieczeń i ochrony prywatności – nie miał jednak innego ruchu. Jego postawa jest bardzo mocnym, bo okupionym konkretną ceną (też w wymiarze ekonomicznym), głosem w dyskusji o ochronie prywatności: w obecnych warunkach po prostu nie da się zagwarantować bezpieczeństwa danych w amerykańskiej chmurze. I nikt, komu na tym zależy, nie powinien się łudzić, że jest inaczej.

Swoją polityką i konsekwencją Lavabit wyznacza najwyższy możliwy standard ochrony danych.

Swoją polityką i konsekwencją Lavabit wyznacza najwyższy możliwy standard ochrony danych. Ale ten model biznesowy jest nie do utrzymania. Jeśli z sieci zniknie jeden serwis, nawet najlepszy, a jego twórcy zainwestują swoje talenty w walkę o zmianę prawa w USA, per saldo wszyscy zyskamy. Jeśli tą drogą pójdą wszystkie firmy, nasze internetowe życie bardzo się skomplikuje. To, że nie pójdą, jest prawie pewne, bo ich modele biznesowe nie bezpieczeństwo danych i prywatność stawiają w centrum. Jednym wyjściem, pod którym mogą się podpisać i korporacje komercjalizujące naszą prywatność, i radykalni jej obrońcy, jest zmiana prawa. Przekazywanie danych na każde życzenie służb, bez kontroli sądu, w dłuższej perspektywie nie opłaca się nikomu.

Sprawa Levisona ma szansę popchnąć dalej proces „odtajniania” zapytań o dane klientów firm internetowych, który w 2004 r. rozpoczął Nicholas Merrill, właściciel Calyx Internet Access. Pod pseudonimem John Doe przez ponad sześć lat procesował się z amerykańską administracją o uznanie za niekonstytucyjne tajnych „narodowych listów bezpieczeństwa” (National Security Letters). NSA przez kilka lat wykorzystywała to narzędzie, żeby wyciągać od dostawców internetu i usług internetowych dane ich klientów. Każdy, kto dostał taki list (zwykle doręczany osobiście przez agenta) musiał niezwłocznie przekazać dane i, pod rygorem sankcji karnych, zachować milczenie (gag order). Dzięki bezkompromisowości Merrilla zakaz informowania o przekazywaniu danych na podstawie National Security Letters i brak kontroli sądu nad tym narzędziem zostały uznane za niezgodne z konstytucją USA. Teraz Levison przejmuje pałeczkę.

Katarzyna Szymielewicz