Opdatering: CDT er nu kraftigt imod CISPA (igen) fordi husordensudvalget har nægtet at overveje enhver ændring, der ville løse de problemer, der stadig er iboende med CISPA.
Original tekst:
Sent tirsdag begyndte muren af modstand mod loven om deling og beskyttelse af cyberintelligens, CISPA, at smuldre, da Center for Demokrati & Teknologi meddelte, at det ikke længere strengt ville modsætte sig cybersikkerhedslovens vedtagelse i Hus. CDT's holdningsændring kommer som et resultat af en byge af foreslåede ændringer, hvoraf en række ifølge CDT vil løse mange af de privatlivsproblemer, der er inkluderet i lovforslagets nuværende tekst (pdf).
Anbefalede videoer
På trods af CDT's løfte om ikke aktivt at blokere lovgivningen, siger gruppen, at CISPA stadig indeholder to store mangler. For det første vil CISPA stadig give National Security Agency (NSA) adgang til oplysninger, der deles under lovforslaget. For det andet tillader CISPA stadig information at blive delt med det ekstremt brede formål at beskytte "national sikkerhed."
"Samlet set er der gjort gode fremskridt," skriver CDT på sin hjemmeside. "Komiteen lyttede til vores bekymringer og har foretaget vigtige forbedringer af privatlivets fred, og vi bifalder udvalget for at gøre det. Lovforslaget kommer dog til kort på grund af de resterende bekymringer - strømmen af internetdata direkte til NSA og brugen af information til formål, der ikke er relateret til cybersikkerhed. Vi støtter ændringsforslag for at imødegå disse bekymringer. I erkendelse af vigtigheden af cybersikkerhedsspørgsmålet i respekt for den gode trosindsats, som formand Rogers og rangerende medlem Ruppersberger har ydet, og med den forståelse, at ændringsforslag vil blive behandlet af Parlamentet for at imødekomme vores bekymringer, vil vi ikke modsætte os den proces, der går videre i Hus. Vi vil fokusere på ændringsforslagene og efterfølgende på Senatet."
Så hvad er disse ændringsforslag præcist? Nå, for det første er der mange af dem - mere end 40 i alt. Lad os tage et kig på, hvad disse ændringsforslag er, hvad de ville gøre, og hvordan de ændrer karakteren af CISPA, på godt og ondt.
Ændringer: Det første parti
De første fem ændringer er dem, der er fremmet af CISPAs medforfattere Reps. Mike Rogers (R-MI) og hollandske Ruppersberger (D-MD) under deres opkald med journalister tirsdag. Nedenfor er deres beskrivelse af disse ændringer:
Minimering, fastholdelse og underretningsændring: Hvis dette ændringsforslag bliver godkendt, vil det:
- Giv den føderale regering klar bemyndigelse til at gøre rimelige bestræbelser på at begrænse indvirkningen på privatlivets fred og borgerlige frihedsrettigheder deling af information om cybertrusler med regeringen, i overensstemmelse med regeringens behov for at beskytte føderale systemer og cybersikkerhed.
- Forbyd forbundsregeringen at opbevare eller bruge information til andre formål end til de formål, der er specificeret i lovgivningen.
- Kræv, at den føderale regering underretter en enhed, der frivilligt deler information om cybertrusler med regeringen, hvis regeringen fastslår, at den delte information ikke i virkeligheden er cybertrussel Information.
Brug ændring: Denne ændring ville stramme lovforslagets nuværende begrænsning af den føderale regerings brug af information om cybertrusler, som er frivilligt leveret af den private sektor. Ændringen begrænser strengt den føderale regerings brug af frivilligt delt information om cybertrusler til følgende fem formål:
- Cybersikkerhedsformål;
- Efterforskning og retsforfølgning af cybersikkerhedsforbrydelser;
- Beskyttelse af enkeltpersoner mod fare for død eller alvorlig legemsbeskadigelse, herunder efterforskning og retsforfølgning af forbrydelser, der involverer en sådan fare for død eller alvorlig legemsbeskadigelse;
- Beskyttelse af mindreårige mod børnepornografi, enhver risiko for seksuel udnyttelse og alvorlige trusler mod en mindreårigs fysiske sikkerhed, herunder kidnapning og menneskehandel, herunder efterforskning og retsforfølgning af forbrydelser, der involverer børnepornografi, enhver risiko for seksuel udnyttelse og alvorlige trusler mod en mindreårigs fysiske sikkerhed, herunder kidnapning og menneskehandel, og enhver forbrydelse, der henvises til i 18 USC 2258A(a)(2); og
- Beskyttelse af USA's nationale sikkerhed.
Definitionsændring: Denne ændring vil stramme lovforslagets definitioner for at indsnævre, hvilke oplysninger om cybertrusler, der kan identificeres, opnået og delt, samt de formål, hvortil sådanne oplysninger kan identificeres, indhentes og deles. De nye definitioner er begrænset til oplysninger, der direkte vedrører:
- En sårbarhed i et system eller netværk af en regering eller privat enhed;
- En trussel mod integriteten, fortroligheden eller tilgængeligheden af et sådant system eller netværk eller enhver information, der er lagret på, behandlet på eller transit af et sådant system eller netværk;
- Bestræbelser på at forringe, forstyrre eller ødelægge et sådant system eller netværk; og
- Bestræbelser på at få uautoriseret adgang til et system eller netværk, herunder for at opnå sådan uautoriseret adgang med det formål at udslette oplysninger, der er lagret på, behandlet på eller transit af et sådant system eller netværk, men ikke inklusiv bestræbelser på at opnå sådan uautoriseret adgang, der udelukkende involverer overtrædelser af forbrugerservicevilkår eller forbrugerlicenser aftaler.
Ændringer for at begrænse den føderale regerings brug af cybersikkerhedssystemer: To ændringsforslag indgivet tirsdag, som ville gøre det klart (1), at intet i dette lovforslag ville ændre eksisterende myndigheder eller give ny bemyndigelse til enhver enhed til at bruge et føderalt regeringsejet eller drevet cybersikkerhedssystem på et privat system eller netværk for at beskytte et sådant system eller netværk; og 2, at lovforslagets ansvarsbestemmelse kun omfatter de i lovgivningen meddelte myndigheder. Disse ændringer er designet til at afklare eventuelle misforståelser vedrørende den private sektors brug af cybersikkerhedssystemer i henhold til lovforslaget.
Kort sagt begrænser disse ændringer i høj grad måden, hvorpå oplysninger, der deles under CISPA, kan bruges, og hvilke oplysninger, der må deles. "Minimerings-, opbevarings- og meddelelsestillægget" giver ekstra beskyttelse til enkeltpersoner ved at kræve regering til at underrette en privat virksomhed, når den deler information, der ikke er til et formål, der udtrykkeligt er defineret i CISPA.
Andre vigtige ændringer
Det er det første parti. Men det er kun en lille del af de foreslåede ændringer til CISPA, hvoraf nogle går meget længere i retning af at beskytte privatlivets fred og øge gennemsigtigheden om deling af oplysninger under lovforslaget. Husordensudvalget giver en liste over alle 41 ændringer der er sendt til behandling. Her er dem, der efter min vurdering er de mest bemærkelsesværdige.
Opdatering: Dette er de eneste ændringsforslag, som Parlamentet overvejer. Ikke et eneste af ændringsforslagene, der løser de primære problemer med CISPA, er inkluderet.
- Reps. James Langevin / Daniel Lungren Ændring
- Rep. John Conyers ændringsforslag
- Rep. Mike Pompeo ændringsforslag #36
- Reps. Rogers (MI) / Ruppersberger / Issa / Langevin ændringsforslag
- Rep. Sheila Jackson Lee ændringsforslag
- Reps. Quayle / Eshoo / Thompson (CA) Ændring
- Reps. Amash / Labrador / Paul / Nadler / Polis Ændring
- Reps. Mick Mulvaney / Norm Dicks Ændring
- Rep. Jeff Flake ændringsforslag
- Rep. Laura Richardsons ændringsforslag
- Rep. Mike Pompeo ændringsforslag #37
- Rep. Robert Woodalls ændringsforslag
- Rep. Bob Goodlatte ændringsforslag
- Rep. Michael Turners ændringsforslag
- Rep. Mick Mulvaneys ændringsforslag
- Rep. Erik Paulsen ændringsforslag
Originaltekst (som nu dybest set er meningsløs...)
Beslægtet ændring: Bestemmelsen vil forbyde private virksomheder at dele enhver personlig identificerbar information om deres brugere hos den føderale regering, medmindre de har en retskendelse eller udtrykkeligt skriftligt samtykke til at gøre det så. Som CISPA er skrevet i øjeblikket, bliver virksomheder simpelthen "opfordret" til at fjerne personligt identificerbare oplysninger. Hvis dette ændringsforslag bliver godkendt, vil det gå langt hen imod at beskytte brugernes privatliv på en meningsfuld måde. Læs hele ændringsteksten her: pdf.
Amash/Labrador/Paul/Nadler/Polls ændring: Denne ændring vil forbyde deling af "bl.a. biblioteksregistre, våbensalgsregistreringer og selvangivelser" under CISPA, uanset årsag. Det er klart, jo mere begrænset rækkevidden af de oplysninger, der kan deles, jo bedre for privatlivets fred. Læs hele ændringsteksten her: pdf.
Barton/Markey ændring: Denne bestemmelse ville kun tillade deling af personlige oplysninger (som omfatter alt fra navn til CPR-nummer til tekstbeskeder og e-mails) for at "forebygge et cyberangreb", men ikke for andre formål. Dette er mindre begrænsende end Akin-ændringen, men mere begrænsende end den skitserede "Brugstillæg". ovenfor, som tillader deling af personlige oplysninger af andre årsager end blot at forhindre en Cyber angreb. Læs hele ændringsteksten her: pdf.
Conyers ændringsforslag: Hvis den godkendes, vil denne ændring gøre virksomheder (eller andre enheder i den private sektor) ansvarlige i henhold til både strafferet og civilret for deling af oplysninger under CISPA at "sikre, at de, der uagtsomt forårsager skade gennem brug af cybersikkerhedssystemer eller deling af oplysninger, ikke er fritaget for potentielle civile ansvar." Ændringen fastslår, at deling af oplysninger, der ikke er tilladt i henhold til CISPA, skal forårsage "skade", for at de, der delte dataene, kan blive ansvarlig. Med andre ord kan de ikke sagsøges blot for at dele oplysningerne, hvis de faktisk ikke forårsager nogen skade. Læs hele ændringsteksten her: pdf.
Flake ændring: Denne ekstremt korte ændring ville kræve, at efterretningsinspektørens generalinspektør fremlægger en komplet liste over alle offentlige myndigheder, der modtager de oplysninger, der er indsamlet under CISPA. På nuværende tidspunkt er generalinspektøren forpligtet til at afgive en årlig rapport om, hvilke oplysninger der blev delt, og hvordan de blev brugt. Hvis dette ændringsforslag vedtages, vil det give større gennemsigtighed for, hvem der præcist får adgang til CISPA-dataene. Læs hele ændringsteksten her: pdf.
Goodlatte-ændringsforslag: Dette ændringsforslag søger at definere mere snævert, hvilke oplysninger der må deles med den føderale regering under CISPA. Specifikt udelukker det deling af oplysninger, der udelukkende vedrører brud på et websted eller en virksomheds servicevilkår. Læs hele ændringsteksten her: pdf.
Lewis ændring: Denne er for Occupy Wall Street-publikummet. Under Rep. Lewis' ændring, information delt under CISPA "må ikke bruges af den føderale regering til at overvåge, spore eller indhente yderligere oplysninger om demonstranters lovlige aktiviteter." Det er klart, at denne ændring er en gevinst for den første ændrings beskyttelse af fri tale. Læs hele ændringsteksten her: pdf.
Lofgren/Paul/Pollis/Hastings ændringsforslag: Denne ændring vil begrænse brugen af oplysninger indsamlet under CISPA til "cybersikkerhedsformål", hvilket er mere snævert end de nuværende begrænsninger. Det vil også tillade retshåndhævelse at bruge oplysninger indsamlet under CISPA til andre straffesager, så længe de har sandsynlige årsager, og modtage retslig myndighed til at bruge dataene. Læs hele ændringsteksten her: pdf.
Nadler ændring: Denne ændring vil udvide forældelsesfristen for at tillade private parter at anlægge civile sager mod føderale regering for misbrug af information op til to år efter, at de opdagede, eller "burde" have opdaget, krænkelse. (I øjeblikket tillader CISPA en forældelsesfrist to år efter "datoen for overtrædelsen). dette ændringsforslag vil tillade civile søgsmål på grund af "uagtsomhed" (ikke kun forsætlige eller forsætlige handlinger). Endelig vil det give en person, der er berørt af regeringens krænkelse, mulighed for at søge påbud. Læs hele ændringsteksten her: pdf.
Quigley ændring: Denne ændring vil tilføje langt større gennemsigtighed til de oplysninger, der deles under CISPA ved kun at tillade, at data, der deles med den føderale regering, undtages fra friheden til at Information Act (FOIA), hvis direktøren for National Intelligence specifikt skriftligt fastslår, at offentliggørelse af materialet under FOIA ville opveje den offentlige interesse i at gøre det så. På nuværende tidspunkt kan CISPA fortolkes til at fritage alle oplysninger, der deles under lovforslaget, fra FOIA-afsløring. Læs hele ændringsteksten her: pdf.
Sanchez/Loretta ændringsforslag: Dette ændringsforslag indeholder retningslinjer for søgning af elektronisk udstyr ved grænsesikkerhed. Retningslinjerne er ret grundige og omfattende og forsøger hovedsageligt at begrænse muligheden for misbrug. Jeg anbefaler stærkt at læse dette ændringsforslag i sin helhed for at forstå begrænsningerne på steder i brugen af CISPA ved de amerikanske grænser. Læs hele ændringsteksten her: pdf.
Schakowsky/Thompson/Bennie/Sanchez/Loretta ændringsforslag: Denne ændring ville kræve "rimelig indsats" for at fjerne personligt identificerbare oplysninger, der deles under CISPA. Det er ikke nær så strengt som Akin-ændringen (nævnt ovenfor), men et lille skridt i den rigtige retning. Læs hele ændringsteksten her: pdf.
Schakowsky/Sanchez/Loretta ændringsforslag: Denne er nøglen. Hvis det vedtages, vil dette ændringsforslag give mandat til, at information, der deles under CISA, kun gøres tilgængelig for civile organisationer inden for den føderale regering. Som det er skrevet i øjeblikket, vil CISPA tillade NSA eller andre militære organisationer (som har ringe eller intet offentligt tilsyn) at få adgang til oplysningerne. Dette er et stort problem for fortalere for privatliv og borgerlig frihed, og et problem, som denne ændring ville løse. Læs hele ændringsteksten her: pdf.
Schiff/Schakowsky/Hastings/Alcee ændring: I lighed med andre ændringer anført ovenfor vil denne bestemmelse "minimere" mængden af personlige oplysninger, der deles under CISPA, give yderligere begrænsninger for regeringens brug af dataene, mere snævert definere "cybertrusselsinformation" og "cybersikkerhedsinformation" og tilføje yderligere civilt tilsyn med cybersikkerhed. Læs hele ændringsteksten her: pdf.
Thompson/Bennie/Paul/Sanchez/Loretta/Amash ændring: Denne ændring vil etablere en større gennemgang af de handlinger, der er truffet under CISPA, og kræve "rimelige bestræbelser" fra regeringen for at fratage indsamlede data for personligt identificerbare oplysninger. Læs hele ændringsteksten her: pdf.
Thompson/Bennie/Langevin/Sanchez/Loretta/Hastings/Alcee ændringsforslag: Den helt demokratiske ændring ville definere, hvilke infrastruktursektorer der er kritiske for nationen, og etablere en ramme for at give eksisterende reguleringsorganer mulighed for bedre at beskytte disse kritiske infrastruktursektorer mod cyberangreb. Dette er et interessant ændringsforslag, da det ikke pålægger den føderale regering nye reguleringsbeføjelser (noget republikanerne er stærkt imod), men ville imødekomme præsident Obamas krav om, at cybersikkerhedslovgivningen omfatter beskyttelse af kritiske infrastruktur. Læs hele ændringsteksten her: pdf.
Woodall ændring: Som med Nadler-ændringen vil denne bestemmelse gøre den føderale regering ansvarlig, hvis den overtræder "afsløringen, brug og beskyttelse af information" dele af CISPA på grund af uagtsomhed (i modsætning til "forsætligt" eller "forsætligt" handling. Læs hele ændringsteksten her: pdf.
Puha! Stadig med mig? Ok godt. Så det er mange (men ikke alle) af de ændringsforslag, der vil blive foreslået på torsdag (og muligvis fredag), når CISPA tager til salen. Huset åbner sin session kl. 12.00 ET torsdag og kl. 21.00 ET fredag.
På nuværende tidspunkt har CISPA en god chance for at passere Parlamentet - lovforslagets forfattere siger, at de allerede har stemmerne - men dens ultimative fremtid afhænger i høj grad af, hvilke ændringsforslag der kommer med i lovforslaget, før det går til senatet. Tidligere i dag Obama-administrationen truede med at nedlægge veto mod CISPA hvis den ikke omfatter større beskyttelse af privatlivets fred og eksplicit beskyttelse af kritisk infrastruktur. Nogle af disse ændringer ovenfor ville gå langt for at mildne præsidentens bekymringer. Alligevel er der absolut ingen garanti for, at CISPA bliver lov eller endda passerer Parlamentet. Men hvis du er interesseret i lovgivningsprocessen (hvilket, hvis du er nået så langt, du naturligvis er det), er disse ændringsforslag, du skal se.
Billede via kropic1/Shutterstock
