Microsoft brengt wijzigingen aan in het interne beleid met betrekking tot het snuffelen van klantgegevens

Gisteren, een Ex-Microsoft-medewerker gearresteerd wegens het lekken van handelsgeheimen en interne Windows-gerelateerde software bouwt naar een blogger. Uit gerechtelijke documenten bleek dat Microsoft in Outlook/Hotmail-accounts van de blog snuffelde om deze zaak op te lossen. Sommige nieuwssites beschuldigden Microsoft van het rondneuzen in het e-mailaccount van de klant (in dit geval de blogger). Hun belangrijkste argument was dat, hoewel Microsoft rivaliserende Google heeft doorstoken voor het doornemen van e-mails van klanten om advertenties te leveren, het nu hetzelfde heeft gedaan. Dat is een flauw argument gezien het feit dat dit een strafzaak is waarbij sprake is van schade aan Microsoft's eigen eigendommen. Microsoft reageerde aanvankelijk met de volgende verklaring dat de servicevoorwaarden van Microsoft onze toestemming voor dit soort beoordeling duidelijk maken, dit gebeurt alleen in de meest uitzonderlijke omstandigheden.

Tijdens een onderzoek naar een medewerker ontdekten we bewijs dat de medewerker gestolen IP, inclusief code met betrekking tot ons activeringsproces, aan een derde partij verstrekte. Om onze klanten en de veiligheid en integriteit van onze producten te beschermen, hebben we gedurende vele maanden een onderzoek uitgevoerd met wetshandhavingsinstanties in meerdere landen. Dit omvatte de afgifte van een gerechtelijk bevel tot huiszoeking in verband met bewijs van de betrokken strafbare feiten. Het onderzoek bracht herhaaldelijk duidelijke bewijzen aan het licht dat de betrokken derde partij van plan was Microsoft IP te verkopen en dit in het verleden had gedaan.

Als onderdeel van het onderzoek hebben we de stap genomen van een beperkte beoordeling van de door Microsoft beheerde accounts van deze derde partij. Hoewel de servicevoorwaarden van Microsoft onze toestemming voor dit type beoordeling duidelijk maken, gebeurt dit alleen in de meest uitzonderlijke omstandigheden. We passen een rigoureus proces toe voordat we dergelijke inhoud beoordelen. In dit geval was er een grondige beoordeling door een juridisch team los van het onderzoeksteam en sterk bewijs van een strafbaar feit dat voldeed aan een norm die vergelijkbaar is met die welke vereist is om een ​​gerechtelijk bevel te verkrijgen om andere sites te doorzoeken. In feite is, zoals hierboven vermeld, een dergelijk gerechtelijk bevel uitgevaardigd in andere aspecten van het onderzoek.

Later kondigde Microsoft wijzigingen aan in haar interne beleid voor de behandeling van dergelijke gevallen in de toekomst.

John Frank, vice-president en plaatsvervangend algemeen adviseur:

Wij zijn van mening dat e-mail van Outlook en Hotmail privé is en zou moeten zijn. Vandaag is er bericht over een specifiek geval. Hoewel we in dit geval buitengewone maatregelen hebben genomen op basis van de specifieke omstandigheden en onze bezorgdheid over productintegriteit die gevolgen zou hebben voor onze klanten, willen we extra context bieden over hoe we deze problemen in het algemeen benaderen en hoe we ons beleid ontwikkelen.

Rechtbanken geven geen bevelen die iemand machtigen om zichzelf te fouilleren, aangezien een dergelijk bevel uiteraard niet nodig is. Dus zelfs als we denken dat we een waarschijnlijke reden hebben, is het niet haalbaar om een ​​rechtbank te vragen ons te bevelen zelf te fouilleren. Maar zelfs wij mogen onze eigen e-mail en andere klantenservice niet doorzoeken, tenzij de omstandigheden een gerechtelijk bevel rechtvaardigen, als dat beschikbaar zou zijn. Om voort te bouwen op onze huidige praktijken en zekerheid te bieden voor de toekomst, zullen we in de toekomst het volgende beleid volgen:

• Om ervoor te zorgen dat we voldoen aan de normen die van toepassing zijn op het verkrijgen van een gerechtelijk bevel, zullen we in eerste instantie vertrouwen op een juridisch team dat losstaat van het interne onderzoeksteam om het bewijsmateriaal te beoordelen. We gaan alleen verder als dat team concludeert dat er bewijs is van een misdrijf dat voldoende zou zijn om een ​​gerechtelijk bevel te rechtvaardigen, als dat van toepassing was. Als een extra stap zullen we, naarmate we verder gaan, dit bewijs dan voorleggen aan een externe advocaat die een voormalige federale rechter is. Wij voeren een dergelijk onderzoek alleen uit als ook deze voormalige rechter tot de conclusie komt dat er voldoende bewijs is voor een gerechtelijk bevel.
• Zelfs wanneer een dergelijk onderzoek plaatsvindt, is het belangrijk dat het beperkt blijft tot de onderzochte zaak en niet naar andere informatie zoekt. Wij blijven er dan ook voor zorgen dat de huiszoeking zelf, onder begeleiding van een raadsman, op een goede manier wordt uitgevoerd.
• Ten slotte zijn we van mening dat het gepast is om transparantie van dit soort zoekopdrachten te waarborgen, net zoals het is voor zoekopdrachten die worden uitgevoerd in reactie op overheids- of gerechtelijke bevelen. Daarom zullen we als onderdeel van ons tweejaarlijkse transparantierapport de gegevens publiceren over het aantal van deze zoekopdrachten dat is uitgevoerd en het aantal getroffen klantaccounts.

De enige uitzondering op deze stappen is voor interne onderzoeken van Microsoft-medewerkers waarvan we zien dat ze tijdens een bedrijfsonderzoek hun persoonlijke accounts gebruiken voor Microsoft-zaken. En in deze gevallen zal de beoordeling beperkt blijven tot het onderwerp van het onderzoek.

De privacy van onze klanten is ongelooflijk belangrijk voor ons, en hoewel we geloven dat onze acties in dit specifieke geval passend waren gezien de specifieke omstandigheden, willen we duidelijk zijn over hoe we soortgelijke situaties in de toekomst zullen aanpakken. Daarom bouwen we voort op onze huidige praktijken en vullen deze aan om onze processen verder te versterken en de transparantie te vergroten.