Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

พระราชบัญญัติ CLOUD จะทำลายความเป็นส่วนตัวของข้อมูลของคุณตลอดไปอย่างไร

การเปิดเผยครั้งใหญ่บน Facebook และ Cambridge Analytica ยังคงนำเสนอข่าวที่น่าตกใจเกี่ยวกับความเป็นส่วนตัวของคุณ แต่ในช่วงวัฏจักรข่าวที่ครอบงำโดย Facebook นี้ รัฐบาลสหรัฐฯ ได้ลักลอบใช้กฎหมายฉบับหนึ่งที่ละเมิดความเป็นส่วนตัวอย่างมากทั่วโลก

พระราชบัญญัติ CLOUD ขจัดการคุ้มครองข้อมูลในต่างประเทศ ทำให้หน่วยงานของรัฐสามารถเลือกและเลือกว่าจะรับข้อมูลของคุณจากที่ใด นอกจากนี้ยังเปลี่ยนวิธีที่ตำรวจเข้าถึงข้อมูลของบริษัทเอกชน เช่น Facebook, Google และอื่นๆ โดยพื้นฐานแล้ว

แล้ว CLOUD Act คืออะไรและทำลายความเป็นส่วนตัวของคุณอย่างไร

อธิบายเกี่ยวกับ CLOUD Act

พระราชบัญญัติ CLOUD ผ่านไปด้วยการประโคมเล็กน้อยในขณะที่สมาชิกสภานิติบัญญัติตรึงไว้ในตอนท้ายของการเรียกเก็บเงินค่าใช้จ่ายของรัฐบาล 1.3 ล้านล้านดอลลาร์ที่ต้องผ่าน การบังคับใช้กฎหมายนี้ต่อท้ายร่างกฎหมายขนาดมหึมาอีกฉบับทำให้กฎหมาย CLOUD ไม่ได้อยู่ภายใต้การถกเถียงอย่างจริงจัง หมายความว่าประชาชนจำนวนมากไม่เคยได้ยินเรื่องนี้มาก่อน นับประสาจะเข้าใจว่ากฎหมายดังกล่าวเปลี่ยนแปลงความเป็นส่วนตัวของข้อมูลอย่างมากอย่างไร

พระราชบัญญัติชี้แจงการใช้ข้อมูลในต่างประเทศ (CLOUD) เป็นกฎหมายชุดหนึ่งที่อนุญาตให้หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ เข้าถึงข้อมูลที่จัดเก็บไว้ในต่างประเทศและในทางกลับกัน เป็นการปรับปรุงแก้ไขกฎหมายว่าด้วยความเป็นส่วนตัวในการสื่อสารทางอิเล็กทรอนิกส์ (ECPA) ที่มีอยู่ ซึ่งผ่านในปี 2529 รัฐบาลและบริษัทเทคโนโลยีหลายแห่งเชื่อว่ากฎหมายเหล่านี้ไม่พร้อมสำหรับการสื่อสารดิจิทัลสมัยใหม่ และอาจเป็น ECPA เนื่องจากในปี 1986 มีระบบระหว่าง 2,000 ถึง 30,000 ระบบที่เชื่อมต่อกับ ARPANET ผู้นำทางอินเทอร์เน็ต

เหตุใดการเปลี่ยนแปลงกฎหมายที่กว้างขวางเช่นนี้จึงอยู่ภายใต้เรดาร์? นี่คือข้อเท็จจริงและข้อมูลสำคัญบางส่วนสำหรับคุณ

1. ลบการป้องกันสำหรับข้อมูลต่างประเทศ

หน่วยงานบังคับใช้กฎหมายสามารถขอข้อมูลของคุณได้ ไม่ว่าสถานที่จัดเก็บจะเป็นอย่างไร บริษัทโฮสติ้งไม่สามารถปฏิเสธที่จะให้ข้อมูลของคุณบนพื้นฐานนั้นได้เช่นกัน

"ผู้ให้บริการสื่อสารทางอิเล็กทรอนิกส์หรือบริการคอมพิวเตอร์ทางไกลจะต้องปฏิบัติตาม [... ] ไม่ว่าการสื่อสาร บันทึก หรือข้อมูลอื่น ๆ นั้นจะอยู่ภายในหรือภายนอกสหรัฐอเมริกาก็ตาม"

จนถึงสัปดาห์ที่แล้ว คำขอข้อมูลจำเป็นต้องมีสนธิสัญญาช่วยเหลือซึ่งกันและกันทางกฎหมาย (MLAT) กับรัฐบาลอื่น MLAT กำหนดการใช้ข้อมูลร่วมกันระหว่างสองประเทศ รวมถึงประเภทของข้อมูลและบริบทสำหรับคำขอ MLATs ต้องผ่านวุฒิสภาโดยได้รับอนุมัติสองในสาม

พระราชบัญญัติ CLOUD เปลี่ยนแปลงสิ่งนี้ ทำให้รัฐบาลสามารถเข้าสู่ความสัมพันธ์แบบ "ผู้บริหาร" กับประเทศอื่นๆ ที่เลี่ยงกฎหมาย MLAT ที่มีอยู่ได้ ผลที่ได้คือหน่วยงานใดๆ สามารถขอให้บริษัทเทคโนโลยีใดๆ ส่งมอบข้อมูลผู้ใช้โดยไม่คำนึงถึงสถานที่

ในปี 2013 กระทรวงยุติธรรมสหรัฐฯ ได้ออกหมายจับให้ Microsoft โดยขอให้พวกเขามอบข้อมูลของลูกค้าที่ต้องสงสัยว่ามีกิจกรรมที่ผิดกฎหมาย อย่างไรก็ตาม ลูกค้าเป็นชาวไอริช อาศัยอยู่ในไอร์แลนด์ และข้อมูลของพวกเขาถูกจัดเก็บไว้ในเซิร์ฟเวอร์ที่ตั้งอยู่ใน... คุณเดาได้เลย ไอร์แลนด์ Microsoft ดำเนินคดีกับศาลฎีกาโดยโต้แย้งว่าหมายจับ DOJ เข้าถึงได้เกินเหตุ เนื่องจากลูกค้าของพวกเขาไม่ใช่พลเมืองสหรัฐฯ

พระราชบัญญัติ CLOUD ข้ามสถานการณ์ทั้งหมดนี้ ทำให้ DOJ สามารถขอข้อมูลได้ ซึ่งทำให้ Microsoft ต้องปฏิบัติตาม อันที่จริง DOJ ขอให้ศาลฎีกา "โต้แย้ง" คดีนี้โดยอ้างถึงการแนะนำกฎหมายใหม่

2. ใช้งานได้ทั้งสองวิธี

เช่นเดียวกับพระราชบัญญัติ CLOUD ที่อนุญาตให้หน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริการวบรวมข้อมูลต่างประเทศ กองกำลังตำรวจต่างประเทศก็ทำเช่นเดียวกัน อันที่จริง มันทำให้น้ำเป็นโคลนมากขึ้นไปอีก (จากการรวบรวมข้อมูลอย่างกว้างขวางภายใต้โครงการต่างๆ ของหน่วยงานรัฐบาล)

Neema Singh Guiliani สภานิติบัญญัติของ ACLU ยืนยันว่าร่างกฎหมายดังกล่าวอนุญาตให้ "ประเทศต่างๆ ดักฟังข้อมูลในสหรัฐฯ เป็นครั้งแรก รวมถึงการสนทนาที่เป้าหมายต่างประเทศอาจมีกับคนในสหรัฐฯ โดยไม่ปฏิบัติตามข้อกำหนดของ Wiretap Act" เป้าหมายการสื่อสารเหล่านั้นรวมถึง Facebook, Google, Snapchat, เซิร์ฟเวอร์อีเมลส่วนตัว, การสนทนาทางเมสเซนเจอร์ทันที และทุกสิ่งที่อยู่ระหว่างนั้น (ดูคู่มือความเป็นส่วนตัว Facebook ของเรา)

นี่คือตัวอย่างวิธีการทำงาน (ถอดความจากบทความ EFF ที่เชื่อมโยง):

  1. ตำรวจลอนดอนต้องการตรวจสอบข้อความ Slack ส่วนตัวของเป้าหมายชาวอังกฤษที่ต้องสงสัยว่ากระทำการฉ้อโกงธนาคาร
  2. ภายใต้พระราชบัญญัติ CLOUD ตำรวจลอนดอนสามารถไปที่ Slack และขอประวัติข้อความของผู้ใช้ได้
  3. Slack จะต้องปฏิบัติตามคำขอ โดยไม่ต้องมีการพิจารณาของศาลหรือต้องมีการแจ้งจากหน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกา ไม่จำเป็นต้องมีใบสำคัญแสดงสิทธิที่น่าจะเป็น
  4. Slack ส่งต่อประวัติศาสตร์ข้อความเป้าหมายของอังกฤษถึงตำรวจลอนดอน บันทึกข้อความมีข้อความส่วนตัวกับพลเมืองสหรัฐฯ
  5. ตำรวจลอนดอนแบ่งปันรายละเอียดของข้อความ Slack กับหน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกา จากนั้นข้อความจะถูกนำมาใช้กับเป้าหมายของสหรัฐฯ ภายในประเทศ ทั้งหมดโดยไม่มีหมายศาลฉบับเดียว (ทำลายการแก้ไขครั้งที่สี่โดยพื้นฐาน)

ข้อกำหนดในการรวบรวมข้อมูล

อย่างไรก็ตาม มีบทบัญญัติบางประการในพระราชบัญญัติ CLOUD ที่มีจุดมุ่งหมายเพื่อหยุดการรวบรวมข้อมูลประเภทนี้ ตัวอย่างเช่น ห้ามมิให้กระทำการดังต่อไปนี้:

  • การกำหนดเป้าหมายโดยตรงของข้อมูลของพลเมืองสหรัฐฯ โดยรัฐบาลต่างประเทศโดยใช้ CLOUD Act
  • การขอประเทศที่มีข้อตกลงระดับผู้บริหารมีเป้าหมายเป็นพลเมืองสหรัฐฯ ที่เฉพาะเจาะจง
  • กำหนดเป้าหมายเฉพาะ ข้อมูลของพลเมืองต่างชาติเพื่อรวบรวมข้อมูลเกี่ยวกับพลเมืองสหรัฐฯ พร้อมกัน
  • "การเผยแพร่ข้อมูลของบุคคลในสหรัฐอเมริกา" เว้นแต่จะมีหลักฐานการก่ออาชญากรรมร้ายแรง

แม้จะมีข้อกำหนดเหล่านี้ การใช้และบังคับใช้กฎเหล่านี้อย่างถูกต้องก็เป็นเรื่องยาก การเปลี่ยนแปลงกฎหมาย CLOUD Act ที่ล่าช้าส่งผลให้อัยการสูงสุดของสหรัฐอเมริกาต้องรายงานต่อรัฐสภาเพื่อชี้แจงเหตุผลในการใช้ข้อตกลงระดับผู้บริหาร โดยเสนอบทบัญญัติอื่น

3. ลดระยะเวลาของกระบวนการขอข้อมูล

ในขณะที่เปิดให้เกือบทุกคนในการร้องขอข้อมูล พระราชบัญญัติ CLOUD ทำให้กระบวนการรับข้อมูลเร็วขึ้นอย่างไม่ต้องสงสัย ในบางครั้ง การดำเนินการตามคำขอ MLAT อาจใช้เวลาหลายเดือน บางครั้งข้อมูลอาจล้าสมัยหรือไร้ประโยชน์เมื่อคำขอข้อมูลดำเนินการ การลดเวลาในการประมวลผลข้อมูลอาจทำให้ตำรวจสามารถแก้ปัญหาอาชญากรรมได้เร็วขึ้น หรือแม้แต่หยุดการกระทำบางอย่าง

4. มีกระบวนการอุทธรณ์ที่แคบ

พระราชบัญญัติ CLOUD ยังมีกรอบเวลาอุทธรณ์ที่แคบมากสำหรับผู้ให้บริการเนื้อหาและผู้ให้บริการ มีข้อกำหนดเพียงสองข้อในพระราชบัญญัติ CLOUD ที่อนุญาตให้บริษัทเทคโนโลยียื่นอุทธรณ์คำขอข้อมูลได้

  1. หากบุคคลนั้นไม่ใช่พลเมืองสหรัฐฯ และไม่ได้พำนักอยู่ในสหรัฐอเมริกา และ
  2. การเปิดเผยข้อมูลทำให้ผู้ให้บริการมีความเสี่ยงที่จะละเมิดกฎหมายในประเทศที่พำนักของตน

"และ" มีความสำคัญมากที่นี่ การอุทธรณ์จะต้องเป็นไปตามเกณฑ์ทั้งสองนี้ก่อนที่จะเห็นแสงสว่าง

ประเด็นที่สองคือประเด็นสำคัญสำหรับบริษัทเทคโนโลยี ข้อมูลไม่ได้อยู่บนดินของสหรัฐอเมริกาเสมอไป ในหลายกรณีก็ไม่เคยเข้า แต่ขณะนี้บริษัทเทคโนโลยีต่างๆ ถูกจับได้ว่าอยู่ตรงกลางของรัฐบาลสหรัฐฯ และประเทศเจ้าบ้านในต่างประเทศ ด้วยเหตุนี้ บริษัทเทคโนโลยีจึงมีบทบัญญัติในพระราชบัญญัติ CLOUD เพื่อปิดคำขอใดๆ ที่จะประนีประนอม ตราบใดที่บริษัทอุทธรณ์ภายใน 14 วัน

แต่ถึงอย่างนั้นคำขอก็ไม่ตาย บริษัทเทคโนโลยีและรัฐบาลสหรัฐฯ เข้าสู่กระบวนการสร้างความสัมพันธ์อันซับซ้อน โดยศาลจะสร้างสมดุลระหว่างข้อกำหนดด้านข้อมูลของรัฐบาล เทียบกับการหยุดชะงัก/การฝ่าฝืนกฎหมายที่บังคับใช้กับบริษัทเทคโนโลยี

5. ข้อกำหนดสำหรับการเข้ารหัสและเสรีภาพของพลเมือง

พระราชบัญญัติ CLOUD ช่วยให้สามารถรวบรวมข้อมูลจากบริการต่างๆ ได้มากมาย แต่เพื่อประโยชน์เพียงเล็กน้อยสำหรับสิทธิความเป็นส่วนตัว ข้อตกลงของผู้บริหารไม่สามารถบังคับให้รัฐบาลใด ๆ ถอดรหัสข้อมูลได้ ในบางกรณี การถอดรหัสข้อมูลทำได้ยากมาก และรัฐบาลจะไม่เสียเวลากับแหล่งข้อมูลเหล่านั้น (เช่น WhatsApp หรือ Telegram)

การแก้ไขถ้อยคำของพระราชบัญญัติ CLOUD กำหนดให้รัฐมนตรีต่างประเทศสหรัฐฯ และอัยการสูงสุดต้องตรวจสอบให้แน่ใจว่าประเทศใดๆ ที่ลงนามในข้อตกลงระดับบริหาร "สามารถให้การคุ้มครองความเป็นส่วนตัวและเสรีภาพทางแพ่งทั้งในด้านเนื้อหาและตามขั้นตอน" แง่มุมนี้พยายามที่จะปกป้องสิทธิของพลเมืองอเมริกันจากผลของกฎหมาย ซึ่งรวมถึง:

  • การปกป้องจากการแทรกแซงความเป็นส่วนตัวโดยพลการและไม่ชอบด้วยกฎหมาย
  • สิทธิในการพิจารณาคดีอย่างยุติธรรม
  • เสรีภาพในการแสดงออก การสมาคม และการชุมนุมอย่างสันติ
  • ข้อห้ามในการจับกุมและกักขังตามอำเภอใจ
  • ข้อห้ามต่อการทรมานและการปฏิบัติหรือการลงโทษที่โหดร้าย ไร้มนุษยธรรม หรือที่ย่ำยีศักดิ์ศรี

อย่างไรก็ตาม ผู้คลางแคลงใจจะชี้ให้เห็นว่าแม้ว่าบทบัญญัติเหล่านี้จะ "ปกป้อง" เสรีภาพของพลเมือง แต่ก็มีตัวอย่างมากมายที่หน่วยงานรัฐบาลอื่นๆ (ไม่ใช่แค่ในสหรัฐฯ) ที่ฝ่าฝืนกฎเหล่านั้น ดังนั้นบทบัญญัติใดในส่วนนี้หรือที่อื่น ๆ จะปกป้องประชาชนจากการรวบรวมข้อมูลเพิ่มเติม? คำตอบนั้นง่าย:คุณต้องไว้วางใจหน่วยงานบังคับใช้กฎหมายและรัฐบาลให้ทำในสิ่งที่ถูกต้อง

การสนับสนุนด้านเทคนิคของบริษัท

พระราชบัญญัติ CLOUD ได้รับการสนับสนุนจากบริษัทเทคโนโลยีรายใหญ่หลายแห่ง กฎหมายกำหนดแนวทางที่ชัดเจนระหว่างวิธีที่รัฐบาลสหรัฐฯ และรัฐบาลต่างประเทศเข้าถึงข้อมูล ทั้งในประเทศและต่างประเทศ

จดหมายที่ลงนามโดย Apple, Microsoft, Google, Facebook และ Oauth ระบุว่าพระราชบัญญัติ CLOUD "ส่งเสริมการเจรจาทางการทูต แต่ยังให้สิทธิ์ตามกฎหมายสองประการแก่ภาคเทคโนโลยีในการปกป้องผู้บริโภคและแก้ไขข้อขัดแย้งทางกฎหมายหากเกิดขึ้น กฎหมายกำหนด กลไกในการแจ้งรัฐบาลต่างประเทศเมื่อมีคำขอทางกฎหมายที่เกี่ยวข้องกับผู้อยู่อาศัย และเริ่มการท้าทายทางกฎหมายโดยตรงเมื่อจำเป็น"

บริษัทเหล่านี้พยายามกล่อมให้มีความชัดเจนในกฎหมายมาช้านาน โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากกฎหมายที่ล้าสมัยแล้ว และหากคุณถอยออกจากปัญหาความเป็นส่วนตัวที่ครอบงำอยู่ นั่นก็สมเหตุสมผลสำหรับทั้งผู้บริโภคและบริษัทเทคโนโลยี

ผลกระทบของพระราชบัญญัติ CLOUD ต่อความเป็นส่วนตัวของคุณ

พระราชบัญญัติ CLOUD ทำลายความเป็นส่วนตัวของคุณโดยสิ้นเชิงหรือไม่? นั่นขึ้นอยู่กับสิ่งที่คุณอ่าน ยิ่งกว่านั้นขึ้นอยู่กับว่าคุณไว้ใจใคร

ACLU, EFF และ Freedom of the Press Foundation คัดค้านพระราชบัญญัติ CLOUD พวกเขาโต้แย้งว่าเป็นขั้นตอนที่อันตรายและไม่สามารถเพิกถอนได้ซึ่งนำไปสู่ความไม่ปลอดภัยของข้อมูลอย่างถาวร ไม่เพียงเท่านั้น ทั้ง ACLU และ EFF ยังตั้งข้อสังเกตว่าถึงแม้กฎหมายนี้ทั่วโลกจะเข้าถึงได้ แต่ก็ "ไม่เคยได้รับความสนใจเท่าที่ควรในสภาคองเกรส"

พระราชบัญญัติ CLOUD แสดงถึงการเปลี่ยนแปลงของความเป็นส่วนตัวในข้อมูลของสหรัฐอเมริกา ถูกกวาดไปพร้อมกับบิลค่าใช้จ่ายที่ต้องผ่าน เกรงว่าประเทศจะประสบ รัฐบาลปิดอีก . และคุณไม่ได้มองเข้าไปเลย