Актуализация: CDT сега твърдо се противопоставя на CISPA (отново) тъй като Комитетът по вътрешния правилник отказа разглеждането на всяка поправка, която би решила проблемите, все още присъщи на CISPA.
Оригинален текст:
Късно във вторник стената на съпротивата срещу Закона за споделяне и защита на киберразузнаването, CISPA, започна да се руши, тъй като Центърът за демокрация и технологии обяви, че вече няма да се противопоставя категорично на приемането на законопроекта за киберсигурността в Къща. Промяната на позицията на CDT идва в резултат на множество предложени изменения, някои от които според CDT ще решат много от проблемите с поверителността, включени в настоящия текст на законопроекта (pdf).
Препоръчани видеоклипове
Въпреки обещанието на CDT да не блокира активно законодателството, групата казва, че CISPA все още съдържа два основни недостатъка. Първо, CISPA ще позволи на Агенцията за национална сигурност (NSA) да има достъп до информация, споделена съгласно законопроекта. Второ, CISPA все още позволява споделянето на информация за изключително широката цел за защита на „националната сигурност“.
„Накратко, постигнат е добър напредък,“ пише CDT на своя уебсайт. „Комитетът се вслуша в нашите опасения и направи важни подобрения в поверителността и ние го поздравяваме за това. Законопроектът обаче е недостатъчен поради оставащите опасения - потокът от интернет данни директно към NSA и използването на информация за цели, несвързани с киберсигурността. Подкрепяме измененията за справяне с тези опасения. Признавайки важността на проблема с киберсигурността, в знак на уважение към добросъвестните усилия, положени от председателя Роджърс и високопоставения член Рупърсбергер, и при разбирането, че измененията ще бъдат разгледани от Камарата, за да отговорят на нашите опасения, ние няма да се противопоставим на процеса, който напредва в Къща. Ще се съсредоточим върху поправките и впоследствие върху Сената.
И така, какви точно са тези изменения? Е, като за начало, има много от тях - повече от 40 общо. Нека да разгледаме какви са тези изменения, какво биха направили и как променят природата на CISPA, за добро или лошо.
Поправки: Първата партида
Първите пет изменения са тези, предложени от съавторите на CISPA Reps. Майк Роджърс (R-MI) и Дъч Руперсбергер (D-MD) по време на разговора им с репортери във вторник. По-долу е тяхното описание на тези изменения:
Минимизиране, задържане и изменение на известията: Ако бъде одобрено, това изменение ще:
- Осигурете ясни правомощия на федералното правителство да предприеме разумни усилия за ограничаване на въздействието върху личния живот и гражданските свободи на споделяне на информация за кибернетични заплахи с правителството, в съответствие с нуждата на правителството да защити федералните системи и кибер защита.
- Забранете на федералното правителство да съхранява или използва информация, освен за целите, посочени в законодателството.
- Изискване от федералното правителство да уведоми субект, който доброволно споделя информация за киберзаплахи с правителство, ако правителството реши, че споделената информация всъщност не е кибер заплаха информация.
Използвайте изменението: Тази поправка значително ще затегне текущото ограничение на законопроекта за използването от федералното правителство на информация за кибер заплахи, която е доброволно предоставена от частния сектор. Изменението стриктно ограничава използването от федералното правителство на доброволно споделена информация за киберзаплахи до следните пет цели:
- Цели на киберсигурността;
- Разследване и преследване на престъпления срещу киберсигурността;
- Защита на лица от опасност от смърт или тежка телесна повреда, включително разследване и наказателно преследване на престъпления, включващи такава опасност от смърт или тежка телесна повреда;
- Защита на непълнолетни от детска порнография, всякакъв риск от сексуална експлоатация и сериозни заплахи за физическата безопасност на непълнолетно лице, включително отвличане и трафик, включително разследване и наказателно преследване на престъпления, включващи детска порнография, всякакъв риск от сексуален експлоатация и сериозни заплахи за физическата безопасност на непълнолетно лице, включително отвличане и трафик, и всяко престъпление, посочено в 18 USC 2258A(a)(2); и
- Защита на националната сигурност на САЩ.
Изменение на определенията: Това изменение ще затегне определенията в законопроекта, за да стесни каква информация за киберзаплахи може да бъде идентифицирана, получена и споделена, както и целите, за които тази информация може да бъде идентифицирана, получена и споделена. Новите определения са ограничени до информация, която пряко се отнася до:
- Уязвимост на система или мрежа на правителство или частно лице;
- Заплаха за целостта, поверителността или наличността на такава система или мрежа или каквато и да е информация, съхранявана в, обработвана в или преминаваща през такава система или мрежа;
- Усилия за влошаване, прекъсване или унищожаване на такава система или мрежа; и
- Усилия за получаване на неоторизиран достъп до система или мрежа, включително за получаване на такъв неоторизиран достъп с цел ексфилтриране на информация, съхранявана на, обработвана на или преминаване през такава система или мрежа, но не включва усилия за получаване на такъв неоторизиран достъп, включващ единствено нарушения на потребителските условия за обслужване или потребителско лицензиране споразумения.
Изменения за ограничаване на използването на системи за киберсигурност от федералното правителство: Две изменения, подадени във вторник, които ще изяснят (1), че нищо в този законопроект няма да промени съществуващите правомощия или да предостави нови правомощия на всяко образувание да използва притежавана или управлявана от федералното правителство система за киберсигурност в система или мрежа на частния сектор за защита на такава система или мрежа; и (2) че разпоредбата за отговорност в законопроекта се простира само до правомощията, предоставени в законодателството. Тези изменения са предназначени да изяснят всички недоразумения относно използването на системи за киберсигурност от частния сектор съгласно законопроекта.
Накратко, тези изменения значително ограничават начина, по който информацията, споделена съгласно CISPA, може да бъде използвана и каква информация може да бъде споделена. „Поправката за минимизиране, задържане и уведомяване“ предоставя допълнителна защита на лицата, като изисква правителството да уведоми частна компания, когато споделя информация, която не е за цел, изрично дефинирана в CISPA.
Други важни изменения
Това е първата партида. Но това е само малка част от предложените изменения на CISPA, някои от които отиват много по-далеч към защитата на поверителността и увеличаване на прозрачността при споделянето на информация съгласно законопроекта. Комисията по вътрешния ред предоставя списък на всичките 41 поправки които са предадени за разглеждане. Ето тези, които по моя преценка са най-забележителни.
Актуализация: Това са единствените изменения, които Камарата разглежда. Не е включено нито едно от измененията, които биха коригирали основните проблеми с CISPA.
- повторения Поправка на Джеймс Лангевен / Даниел Лунгрен
- Представител Поправката на Джон Кониърс
- Представител Поправка №36 на Майк Помпео
- повторения Поправка Роджърс (Мичиган)/Рупърсбергер/Иса/Лангевен
- Представител Поправката на Шийла Джаксън Лий
- повторения Поправка Quayle/Eshoo/Thompson (CA).
- повторения Амаш / Лабрадор / Пол / Надлер / Полис поправка
- повторения Поправка на Мик Мълвейни / Норм Дикс
- Представител Поправката на Джеф Флейк
- Представител Поправка на Лора Ричардсън
- Представител Поправка №37 на Майк Помпео
- Представител Поправката на Робърт Удол
- Представител Поправката на Боб Гудлат
- Представител Поправката на Майкъл Търнър
- Представител Поправката на Мик Мълвейни
- Представител Поправка на Ерик Полсен
Оригинален текст (който вече е безсмислен...)
Подобна поправка: Разпоредбата ще забрани на частни компании да споделят каквато и да е лична информация за своите потребители с федералното правителство, освен ако нямат съдебна заповед или изразено писмено съгласие за това така. Както в момента е написан CISPA, компаниите просто се „насърчават“ да премахват лична информация. Ако бъде одобрено, това изменение ще измине дълъг път към защита на поверителността на потребителите по смислен начин. Прочетете пълния текст на изменението тук: pdf.
Поправка на Amash/Labrador/Paul/Nadler/Polls: Това изменение би забранило споделянето на „наред с другото, библиотечни записи, записи за продажби на огнестрелни оръжия и данъчни декларации“, съгласно CISPA, по каквато и да е причина. Очевидно е, че колкото по-ограничен е обхватът на информацията, която може да бъде споделена, толкова по-добре за поверителността. Прочетете пълния текст на изменението тук: pdf.
Изменение на Бартън/Марки: Тази разпоредба би позволила само споделянето на лична информация (което включва всичко от име до Социалноосигурителен номер към текстови съобщения и имейли) за „предотвратяване на кибератака“, но не и за други предназначение. Това е по-малко ограничаващо от изменението на Akin, но по-ограничаващо от очертаното „Използване на изменението“ по-горе, което позволява споделянето на лична информация по причини, различни от просто предотвратяване на a кибер атака. Прочетете пълния текст на изменението тук: pdf.
Изменение на Conyers: Ако бъде одобрено, това изменение ще направи компаниите (или други субекти от частния сектор) отговорни както по наказателното, така и по гражданското право за споделяне на информация съгласно CISPA да „гарантира, че онези, които по небрежност причиняват наранявания чрез използване на системи за киберсигурност или споделяне на информация, не са освободени от потенциални граждански отговорност.” Изменението предвижда, че споделянето на информация, което не е разрешено съгласно CISPA, трябва да причини „нараняване“, за да могат тези, които са споделили данните, да бъдат отговорен. С други думи, те не могат да бъдат съдени само за споделяне на информация, ако това всъщност не причинява вреда на никого. Прочетете пълния текст на изменението тук: pdf.
Корекция на люспите: Тази изключително кратка поправка ще изисква от генералния инспектор на разузнавателната общност да предостави пълен списък на всички правителствени агенции, които получават информацията, събрана съгласно CISPA. Понастоящем от главния инспектор се изисква да предоставя годишен доклад за това каква информация е била споделена и как е била използвана. Ако бъде прието, това изменение ще осигури по-голяма прозрачност за това кой точно получава достъп до данните на CISPA. Прочетете пълния текст на изменението тук: pdf.
Поправка Goodlatte: Това изменение се стреми да дефинира по-тясно каква информация може да се споделя с федералното правителство съгласно CISPA. По-конкретно, той изключва споделянето на информация, която се отнася стриктно до нарушаването на условията за ползване на уебсайт или компания. Прочетете пълния текст на изменението тук: pdf.
Поправка на Луис: Това е за тълпата на Occupy Wall Street. Под реп. Изменението на Луис, информацията, споделена съгласно CISPA, „не може да се използва от федералното правителство за наблюдение, проследяване или получаване на допълнителни информация относно законната дейност на протестиращите.” Ясно е, че тази поправка е победа за защитата на Първата поправка свободна реч. Прочетете пълния текст на изменението тук: pdf.
Изменение на Lofgren/Paul/Pollis/Hastings: Това изменение ще ограничи използването на информация, събрана съгласно CISPA, до „цели на киберсигурността“, което е по-тясно от настоящите ограничения. Това също така ще позволи на правоприлагащите органи да използват информацията, събрана съгласно CISPA, за други наказателни дела, стига да имат вероятна причина и да получат съдебно разрешение за използване на данните. Прочетете пълния текст на изменението тук: pdf.
Изменение на Надлер: Това изменение ще разшири давностния срок, за да позволи на частни лица да предявяват граждански искове срещу федералното правителство за злоупотреба с информация до две години след като са открили или „е трябвало“ да открият нарушение. (В момента CISPA позволява давност две години след „датата на нарушението.) Освен това, тази поправка би позволила граждански искове поради действие по „небрежност“ (не само умишлено или умишлено действие). И накрая, това би позволило на лице, засегнато от държавно нарушение, да потърси съдебна забрана. Прочетете пълния текст на изменението тук: pdf.
Изменение на Куигли: Тази поправка би добавила много по-голяма прозрачност към информацията, споделяна съгласно CISPA, като позволи само споделянето на данни с федералното правителство да бъдат освободени от свободата на Закон за информацията (FOIA), ако директорът на Националното разузнаване изрично определи в писмена форма, че разкриването на материала съгласно FOIA би надвишило обществения интерес от извършването така. Понастоящем CISPA може да се тълкува като освобождаване на цялата информация, споделена в рамките на законопроекта, от разкриване на FOIA. Прочетете пълния текст на изменението тук: pdf.
Поправката на Санчес/Лорета: Това изменение предоставя насоки за търсене на електронни устройства чрез гранична сигурност. Насоките са доста задълбочени и обширни и основно се опитват да ограничат възможността за злоупотреба. Горещо препоръчвам да прочетете тази поправка изцяло, за да разберете ограниченията на места за използването на CISPA на границите на САЩ. Прочетете пълния текст на изменението тук: pdf.
Поправка Шаковски/Томпсън/Бени/Санчес/Лорета: Това изменение ще изисква „разумни усилия“ за премахване на лична информация, споделена съгласно CISPA. Не е толкова строго като изменението на Акин (споменато по-горе), но е малка стъпка в правилната посока. Прочетете пълния текст на изменението тук: pdf.
Поправка Шаковски/Санчес/Лорета: Този е ключов. Ако бъде прието, това изменение би наложило информацията, споделена съгласно CISA, да бъде достъпна само за граждански организации във федералното правителство. Както е написано в момента, CISPA ще позволи на NSA или други военни организации (които имат малък или никакъв обществен надзор) да имат достъп до информацията. Това е голям проблем за защитниците на неприкосновеността на личния живот и гражданската свобода и това изменение ще реши. Прочетете пълния текст на изменението тук: pdf.
Изменение на Шиф/Шаковски/Хейстингс/Алси: Подобно на други изменения, изброени по-горе, тази разпоредба ще „минимизира“ количеството лична информация, споделяна съгласно CISPA, ще предостави допълнителни ограничения на използването на данните от страна на правителството, по-тясно дефиниране на „информация за киберзаплахи“ и „информация за киберсигурност“ и добавяне на допълнителен граждански надзор на кибер защита. Прочетете пълния текст на изменението тук: pdf.
Поправка на Томпсън/Бени/Пол/Санчес/Лорета/Амаш: Това изменение ще установи по-голям преглед на действията, предприети съгласно CISPA, и ще изисква „разумни усилия“ от страна на правителството за премахване на събраните данни от информация, позволяваща лично идентифициране. Прочетете пълния текст на изменението тук: pdf.
Поправка на Томпсън/Бени/Ланжевен/Санчес/Лорета/Хейстингс/Алси: Изцяло демократичната поправка ще определи кои инфраструктурни сектори са критични за нацията и ще установи рамка, която да позволи на съществуващите регулаторни агенции да защитават по-добре тези критични инфраструктурни сектори от кибератаки. Това е интересна поправка, тъй като не налага нови регулаторни правомощия на федералното правителство (нещо, което републиканците твърдо против), но ще удовлетвори искането на президента Обама законодателството за киберсигурността да включва защита за критични инфраструктура. Прочетете пълния текст на изменението тук: pdf.
Изменение на Woodall: Както при изменението на Nadler, тази разпоредба би направила федералното правителство отговорно, ако наруши „разкриването, използване и защита на информацията“ части от CISPA поради небрежност (за разлика от „умишлено“ или „умишлено“ действие. Прочетете пълния текст на изменението тук: pdf.
Уау! Все още с мен? Добре. И така, това са много (но не всички) от измененията, които ще бъдат предложени в четвъртък (и евентуално в петък), когато CISPA излезе на залата. Камарата ще открие сесията си в 12:00 ET в четвъртък и в 21:00 ET в петък.
В момента CISPA има добри шансове да премине в Камарата - авторите на законопроекта казват, че те вече има гласове - но окончателното му бъдеще зависи до голяма степен от това кои поправки ще бъдат включени в законопроекта, преди да отиде в Сената. По-рано днес администрацията на Обама заплаши да наложи вето на CISPA ако не включва по-голяма защита на поверителността и изрични защити за критична инфраструктура. Някои от тези поправки по-горе ще доведат далеч до смекчаване на опасенията на президента. Все пак няма абсолютно никаква гаранция, че CISPA ще стане закон или дори ще мине в Камарата. Но ако се интересувате от законодателния процес (което, ако сте стигнали дотук, очевидно сте), това са измененията, които трябва да гледате.
Изображение чрез kropic1/Shutterstock
