Sikkerhet

Hvordan CLOUD Act vil skade din personvern for alltid

Hvordan CLOUD Act vil skade din personvern for alltid / Sikkerhet

Den massive Facebook- og Cambridge Analytica-åpenbaringen Facebook adresserer Cambridge Analytica Scandal Facebook-adressene til Cambridge Analytica Scandal Facebook har blitt involvert i det som har kommet til å bli kjent som Cambridge Analytica-skandalen. Etter å ha vært stille i noen dager, har Mark Zuckerberg nå tatt opp spørsmålene som er reist. Les mer fortsett å gi sjokkerende nyheter om personvernet ditt. Men i løpet av denne Facebook-dominerte nyhetssyklusen har den amerikanske regjeringen smittet gjennom et lovverk som drastisk misbruker personvernet rundt om i verden.

CLOUD-loven eliminerer beskyttelse for utenlandske data Hvordan beskytte din mest følsomme datainformasjon med grav Hvordan beskytte din mest følsomme datainformasjon Med Tomb Kryptering er en sikkerhet avgjørende. Slik kan Tomb holde din sensitiv informasjon kryptert og skjult ute av syne. Les mer, slik at myndighetene kan velge og velge hvor de tar dataene dine fra. Det endrer også fundamentalt hvordan politiets tilgangsdata holdes av private selskaper, som Facebook, Google, og så videre.

Så, hva er CLOUD Act og hvordan ødelegger du personvernet ditt?

The CLOUD Act forklart

CLOUD-loven passerte med liten fanfare som lovgivere slo den på slutten av den må-passere $ 1,3 trillion regjeringens utgiftsregning. Å takle det på slutten av en annen enorm regning stoppet CLOUD Act som kommer under alvorlig debatt, noe som betyr at en betydelig mengde borgere aldri har hørt om det, enda mindre forstått hvordan det dramatisk endrer dataintegritet.

The Clarifying Overseas Use of Data (CLOUD) Act er en rekke lover som tillater amerikansk rettshåndhevelse å få tilgang til data lagret i utlandet og omvendt. Det er en oppdatering av den eksisterende loven om elektronisk kommunikasjon (ECPA), vedtatt i 1986. Regjeringen og mange tekniske bedrifter mener at disse lovene er dårlig utstyrt for moderne digital kommunikasjon. Og ECPA var nok, gitt at i 1986 var det mellom 2000 og 30 000 systemer koblet til internettforløper ARPANET.

Så hvorfor ville en så vidtgående endring i lovgivningen fly under radaren? Her er noen viktige fakta og informasjon for deg.

1. Det fjerner beskyttelse for utlandet data

Rettshåndhevelse kan be om data, uansett lagringssted. Hostingfirmaer kan ikke nekte å gi dataene dine på grunnlag av det, heller ikke.

“En leverandør av elektronisk kommunikasjonstjeneste eller ekstern databehandlingstjeneste skal overholde [...], uavhengig av om slik kommunikasjon, registrering eller annen informasjon er lokalisert innenfor eller utenfor USA.”

Fram til forrige uke krevde dataforespørsler en gjensidig juridisk bistandstraktat (MLAT) med en annen regjering. MLAT definerer datadeling mellom de to landene, inkludert hvilke typer data og konteksten for en forespørsel. MLATer må passere gjennom senatet med to tredjedelers godkjenning.

CLOUD-loven endrer dette, slik at regjeringen kan komme inn “utøvende” forhold til andre land som omgår eksisterende MLAT-lovgivning. Resultatet er at et hvilket som helst byrå kan be om ethvert teknologibolag å veksle brukerdata, uavhengig av sted.

“Kongressen bør avvise CLOUD-loven fordi den ikke beskytter menneskerettighetene eller amerikanernes privatliv ... gir opp sin konstitusjonelle rolle og gir altfor mye makt til advokatgenesten, statssekretæren, presidenten og utenlandske regjeringer.” https://t.co/pEv4z88lDY

- Senator Rand Paul (@RandPaul) 22. mars 2018

I 2013 utstedte det amerikanske justisdepartementet en rett til Microsoft, og ba om at de overleverte dataene til en kunde som var mistenkt for ulovlig aktivitet. Kunden var imidlertid irsk, bosatt i Irland, og deres data ble lagret på en server som ligger i ... du gjettet det, Irland. Microsoft tok saken helt til Høyesterett, og hevdet at DOJ-garantien var overreach da kunden ikke var amerikansk statsborger.

CLOUD-loven omgår denne hele situasjonen, slik at DOJ kan be om dataene, som overbeviser Microsoft om å overholde. Faktisk spurte DOJ Høyesterett til “moot” saken, med henvisning til innføringen av den nye loven.

Microsoft har sluttet seg til justisdepartementet ved å oppfordre Høyesterett til å slippe kampen om regjeringens tilgang til data holdt på servere i utlandet. Selskapet sier CLOUD ACT regjerer nå.

- Greg Stohr (@GregStohr) 3. april 2018

2. Det fungerer begge veier

Akkurat som CLOUD-loven tillater amerikansk rettshåndhevelse å samle utenlandske data, gjør det mulig for utenlandske politistyrker å gjøre det samme. Faktisk muddies vannene enda lenger (gitt feiende datainnsamling Hva er PRISM? Alt du trenger å vite Hva er PRISM? Alt du trenger å vite Nasjonalt sikkerhetsagentur i USA har tilgang til hvilke data du lagrer med Amerikanske tjenesteleverandører som Google Microsoft, Yahoo og Facebook. De er også sannsynlig å overvåke det meste av trafikken som strømmer over ... Les mer under ulike offentlige byråprogrammer).

Neema Singh Guiliani, lovgivende råd med ACLU, bekrefter at regningen tillater det “land for første gang på amerikansk jord, inkludert samtaler som utenlandske mål kan ha med mennesker i USA uten å overholde Wiretap Act krav.” Disse kommunikasjonsmålene inkluderer Facebook, Google, Snapchat, private e-postservere, direktemeldingssamtaler og alt i mellom. (Se vår Facebook-personverns guide Den komplette Facebook-personvernsguiden Den komplette Facebook-personvernsguiden Personvern på Facebook er et komplekst dyr. Mange viktige innstillinger er skjult utenfor synet. Her er et komplett blikk på alle Facebook-personverninnstillingene du trenger å vite om. Mer .)

Her er et eksempel på hvordan det kan fungere (omskrevet fra den koblede EFF-artikkelen):

  1. London politiet vil undersøke private slakkmeldinger om et britisk mål som er mistenkt for å begå bank svindel.
  2. Under CLOUD Act kunne Londons politiet gå til Slack og be om brukerens meldingshistorie.
  3. Slack må overholde forespørselen, uten rettslig vurdering eller krever varsling av amerikansk rettshåndhevelse; sannsynlig årsak er ikke nødvendig.
  4. Slack hånd over den britiske målmeldingen historie til London politiet; meldingsloggen inneholder private meldinger med amerikanske statsborgere.
  5. London-politiet deler detaljene i Slack-meldingene med amerikansk politimyndighet; meldingene blir da brukt mot et amerikansk mål i landet - alt uten en enkelt warrant (i hovedsak ødelegge fjerde endring).

Datainsamlingsbestemmelser

Det er imidlertid noen bestemmelser i CLOUD Act som tar sikte på å stoppe denne typen datainnsamling. For eksempel er følgende handlinger forbudt:

  • Den direkte målrettingen av amerikanske statsborgeres data av en utenlandsk myndighet som bruker CLOUD Act.
  • Be om et land med en utøvende avtale rettet mot en bestemt amerikansk statsborger.
  • Spesifikt målretting en utenlandsk statsborger data til samtidig samle data på en amerikansk statsborger.
  • De “formidling av amerikanske personers data” med mindre det er tegn på alvorlig kriminalitet.

Selv med disse bestemmelsene er det vanskelig å sikre korrekt bruk og håndheving av disse reglene. En sen endring i CLOUD-loven tvinger den amerikanske justitsministeren til å rapportere til kongressen som begrunner bruken av en executive-avtale, og tilbyr en annen bestemmelse.

3. Det reduserer dataforespørselsprosessens tidslinje

Mens nesten alle åpner opp for en dataforespørsel, øker CLOUD Act utvilsomt dataoppkjøpsprosessen. Til tider kan det være måneder å fullføre en MLAT-forespørsel. Noen ganger er dataene utdaterte eller ubrukelige når dataforespørselen behandles. En reduksjon i datatid kan gi politiet mulighet til å løse forbrytelser raskere, eller til og med stoppe noen som finner sted.

4. Det har en begrenset appellprosess

The CLOUD Act har også et ekstremt smalt appell vindu for innhold og tjenesteleverandører. Det er bare to bestemmelser i CLOUD Act som tillater et tech selskap å appellere en data forespørsel.

  1. Hvis personen ikke er amerikansk statsborger og ikke bor i USA, og
  2. Datainformasjonen setter leverandøren i fare for å bryte loven i sitt hjemland.

De “og” er ganske betydelig her. En klage må møte begge disse kriteriene før den selv ser dagens lys.

Det andre punktet er et stort problem for teknologibedrifter. Data forblir ikke alltid på amerikansk jord. I mange tilfeller går det aldri inn i det. Men de tekniske selskapene er nå fanget midt i den amerikanske regjeringen og deres utenlandske vertsnasjoner. Som sådan har teknologibedrifter bestemmelser i CLOUD-loven om å slå ned eventuelle forespørsler som vil kompromittere dem, så lenge selskapet appellerer innen 14 dager.

Men selv da er forespørselen ikke død. Teknologiselskapet og den amerikanske regjeringen går inn i en kompleks komiteprosess hvor en domstol balanserer datakravene til regjeringen i motsetning til forstyrrelsen / lovbruddskriminaliteten som er tvunget på teknologiselskapet.

5. Bestemmelser for kryptering og sivile friheter

CLOUD Act tillater datainnsamling fra et stort utvalg av tjenester. Men i en svak velsignelse for personvernrettigheter kan de utøvende avtalene ikke tvinge noen myndigheter til å dekryptere data. Hvorfor vi aldri bør la regjeringen bryte kryptering Hvorfor vi aldri bør la regjeringen bryte kryptering? Leve med terrorist betyr at vi står overfor vanlige samtaler for en virkelig latterlig forestilling: opprett regjerings tilgjengelige kryptering bakdører. Men det er ikke praktisk. Derfor er kryptering avgjørende for det daglige livet. Les mer . I noen tilfeller er dekryptering av data ekstremt vanskelig. 10 Grunnleggende krypteringsvilkår Alle bør vite og forstå 10 grunnleggende krypteringsvilkår Alle bør vite og forstå Alle snakker om kryptering, men hvis du finner deg fortapt eller forvirret, er det noen viktige krypteringsbetingelser for å vite at Jeg skal ta deg opp til fart. Les mer, og regjeringen vil sannsynligvis ikke kaste bort tid på datakilder (som WhatsApp eller Telegram Glem WhatsApp: 6 Sikker kommunikasjonsapplikasjoner du har sikkert aldri hørt om å glemme WhatsApp: 6 sikre kommunikasjonsapplikasjoner du har sikkert aldri hørt om Electronic Frontier Foundation (EFF) er en lobbygruppe dedikert til å "forsvare sivile friheter i den digitale verden." De opprettholder Secure Messaging Scorecard, noe som gir bekymring for lesing for fans av direktemeldinger. Les mer).

En revisjon av CLOUD-lovens ordlyd krever at USAs utenriksminister og justisministeren sørger for at et land inngår en avtale “gir robuste materielle og prosessuelle vern for personvern og sivile friheter.” Dette aspektet forsøker å beskytte amerikanske borgeres rettigheter fra konsekvensene av loven, inkludert:

  • Beskyttelse mot vilkårlig og ulovlig innblanding i personvern.
  • Retten til en rettferdig rettssak.
  • Ytringsfrihet, forening og fredelig forsamling.
  • Forbud mot vilkårlig arrestasjon og frihetsberøvelse.
  • Forbud mot tortur og grusom, umenneskelig eller nedverdigende behandling eller straff.

Men skeptikere vil påpeke at mens disse bestemmelsene “beskytte” sivile friheter, finnes det allerede mange eksempler på andre myndigheter. Unngå Internettovervåkning: Den komplette veiledningen Unngå Internettovervåkning: Den komplette veiledningen Internettovervåkning fortsetter å være et varmt emne, så vi har produsert denne omfattende ressursen på hvorfor det er så stor en avtale, hvem er bak det, om du helt kan unngå det, og mer. Les mer (ikke bare i USA) som bryter disse reglene. Så, hva er å si noen av bestemmelsene i denne delen eller andre steder, vil beskytte borgere mot ytterligere datainnsamling 6 Overraskende måter dine data blir samlet inn 6 Overraskende måter dine data samles inn Du vet at dataene dine blir samlet inn, hovedsakelig av Internett-leverandøren din og overvåkingsapparatet til NSA og GCHQ. Men hvem ellers er gruvekontanter ut av personvernet ditt? Les mer ? Svaret er enkelt: du må stole på rettshåndhevelse og regjeringen for å gjøre det rette.

Tech Company Support

The CLOUD Act har støtte fra mange store tech selskaper. Loven selv skaper en klar linje mellom hvordan den amerikanske regjeringen og utenlandske regjeringer kan få tilgang til data, både hjemme og på utlandet.

Et brev signert av Apple, Microsoft, Google, Facebook og Oauth sier at CLOUD Act “oppfordrer diplomatisk dialog, men gir også teknologisektoren to forskjellige lovbestemte rettigheter til å beskytte forbrukerne og løse konflikt i loven dersom de oppstår. Lovgivningen gir mekanismer for å varsle utenlandske myndigheter når en lovlig forespørsel medfører innbyggere, og å innlede en direkte juridisk utfordring når det er nødvendig.”

Disse selskapene har lenge lobbied for klarhet innfødt i lov, spesielt gitt de forældede lover som tidligere var på plass. Og hvis du tar et skritt tilbake fra de overbærende personvernproblemene, er det fornuftig, for både forbrukere og teknologibedrifter.

Virkningen av CLOUD-loven på din personvern

Slår CLOUD Act fullstendig privatlivet ditt? Vel, det avhenger av hva du leser. Videre avhenger det av hvem du stoler på.

ACLU, EFF og Pressefondens Frihet støter opp mot CLOUD Act. De hevder at det er et farlig, hovedsakelig uigenkallelig skritt mot permanent data-usikkerhet. Ikke bare det, både ACLU og EFF noterer at det til tross for den globale rekkevidden av denne loven “ble aldri gitt oppmerksomheten den fortjente i kongressen.”

The CLOUD Act representerer en havforandring i USAs personvern. Det ble feid sammen med en utgiftsregning som måtte passere for ikke å oppleve landet enda en regjering avstengning. Og du så ikke engang inn.

Utforsk mer om: Online personvern.