תיקון CISPA: מדריך לתיקונים המרכזיים של הצעת חוק אבטחת הסייבר

עדכון: ה-CDT כעת מתנגד בתוקף ל-CISPA (שוב) כי ועדת חוקי הבית דחתה את השיקול של כל תיקון שיתקן את הבעיות הגלומות עדיין ב-CISPA.

טקסט מקורי:

בשלהי יום שלישי, חומת ההתנגדות לחוק השיתוף וההגנה על מודיעין סייבר, CISPA, החלה להתפורר, כאשר המרכז לדמוקרטיה וטכנולוגיה הודיע ​​כי לא יתנגד עוד בתוקף לאישור חוק אבטחת הסייבר ב- בַּיִת. שינוי העמדה של ה-CDT מגיע כתוצאה משפע של תיקונים מוצעים, שמספרם לפי ה-CDT יתקן רבות מבעיות הפרטיות הכלולות בטקסט הנוכחי של הצעת החוק (pdf).

למרות הנדר של ה-CDT לא לחסום באופן פעיל את החקיקה, הקבוצה אומרת ש-CISPA עדיין מכילה שני פגמים עיקריים. ראשית, CISPA עדיין תאפשר לסוכנות לביטחון לאומי (NSA) לגשת למידע המשותף במסגרת הצעת החוק. שנית, CISPA עדיין מאפשר שיתוף מידע למטרה רחבה ביותר של הגנה על "ביטחון לאומי".

"בסיכום, הושגה התקדמות טובה", כותב ה-CDT באתר האינטרנט שלו. "הוועדה הקשיבה לדאגותינו ועשתה שיפורים חשובים בפרטיות ואנו מברכים את הוועדה על כך. עם זאת, הצעת החוק נופלת בגלל החששות שנותרו - זרימת נתוני אינטרנט ישירות ל-NSA ושימוש במידע למטרות שאינן קשורות לאבטחת סייבר. אנו תומכים בתיקונים לטיפול בחששות אלה. מתוך הכרה בחשיבות נושא אבטחת הסייבר, מתוך כבוד למאמצי תום הלב שנעשו על ידי היו"ר רוג'רס והחבר בדירוג רופרסברגר, ומתוך הבנה שתיקונים יישקלו על ידי הבית כדי לתת מענה לדאגותינו, לא נתנגד לתהליך המתקדם ב בַּיִת. נתמקד בתיקונים ולאחר מכן בסנאט".

אז מה הם התיקונים האלה, בדיוק? ובכן, בתור התחלה, יש הרבה מהם - יותר מ-40 בסך הכל. בואו נסתכל מה הם התיקונים האלה, מה הם היו עושים, וכיצד הם משנים את אופי CISPA, לטוב ולרע.

תיקונים: המנה הראשונה

חמשת התיקונים הראשונים הם אלה שקודמו על ידי נציגי השותפים של CISPA. מייק רוג'רס (R-MI) ורופרסברגר ההולנדי (D-MD) במהלך שיחתם עם עיתונאים ביום שלישי. להלן התיאור שלהם לתיקונים אלה:

תיקון מזעור, שמירה והודעה: אם יאושר, תיקון זה יביא:

• לספק סמכות ברורה לממשלה הפדרלית לנקוט מאמצים סבירים להגביל את ההשפעה על הפרטיות וחירויות האזרח של שיתוף מידע על איומי סייבר עם הממשלה, בהתאם לצורך של הממשלה להגן על מערכות פדרליות ו אבטחת סייבר.
• לאסור על הממשלה הפדרלית לשמור או להשתמש במידע שלא למטרות המפורטות בחקיקה.
• לדרוש מהממשלה הפדרלית להודיע ​​לישות המשתפת מרצון מידע על איומי סייבר עם ה הממשלה אם הממשלה תקבע שהמידע המשותף אינו למעשה איום סייבר מֵידָע.

השתמש בתיקון: תיקון זה יחמיר משמעותית את ההגבלה הנוכחית של הצעת החוק על השימוש של הממשלה הפדרלית במידע על איומי סייבר שמסופק מרצון על ידי המגזר הפרטי. התיקון מגביל בהחלט את השימוש של הממשלה הפדרלית במידע משותף של איומי סייבר לחמש המטרות הבאות:

• מטרות אבטחת סייבר;
• חקירה והעמדה לדין של פשעי אבטחת סייבר;
• הגנה על אנשים מפני סכנת מוות או פגיעה גופנית חמורה, לרבות חקירה והעמדה לדין של פשעים הכרוכים בסכנת מוות או פגיעה גופנית חמורה כאמור;
• הגנה על קטינים מפני פורנוגרפיית ילדים, כל סיכון לניצול מיני ואיומים חמורים על ביטחונו הפיזי של קטין, לרבות חטיפה וסחר, לרבות חקירה והעמדה לדין של פשעים הקשורים לפורנוגרפיית ילדים, כל סיכון של מיניות ניצול ואיומים חמורים על ביטחונו הפיזי של קטין, לרבות חטיפה וסחר, וכל פשע הנזכר ב-18 USC 2258א(א)(2); ו
• הגנה על הביטחון הלאומי של ארצות הברית.

תיקון הגדרות: תיקון זה יחמיר את הגדרות הצעת החוק כדי לצמצם את המידע על איומי סייבר שניתן לזהות, שהושג, ושותף, וכן המטרות שלשמן ניתן לזהות, להשיג ולשתף מידע כזה. ההגדרות החדשות מוגבלות למידע הנוגע ישירות ל:

• פגיעות של מערכת או רשת של ישות ממשלתית או פרטית;
• איום על היושרה, הסודיות או הזמינות של מערכת או רשת כזו או כל מידע המאוחסן, מעובד או מעביר מערכת או רשת כזו;
• מאמצים לבזות, לשבש או להרוס מערכת או רשת כזו; ו
• מאמצים להשיג גישה בלתי מורשית למערכת או לרשת, לרבות להשיג גישה בלתי מורשית כזו לצורך הוצאת מידע המאוחסן, מעובד או מעבר של מערכת או רשת כזו, אך לא כולל מאמצים להשיג גישה בלתי מורשית כזו, הכרוכים אך ורק בהפרות של תנאי השירות או רישוי הצרכן הסכמים.

תיקונים להגבלת השימוש הממשל הפדרלי במערכות אבטחת סייבר: שני תיקונים שהוגשו ביום שלישי שיבהירו (1) ששום דבר בהצעת חוק זו לא ישנה רשויות קיימות או יעניק סמכות חדשה כל ישות שתשתמש במערכת אבטחת סייבר בבעלות או מופעל על ידי ממשל פדרלי במערכת או רשת של המגזר הפרטי כדי להגן על מערכת כזו או רֶשֶׁת; ו-(2) שהוראת החבות של הצעת החוק חלה רק על הסמכויות המוקנות בחיקוק. תיקונים אלה נועדו לנקות כל אי הבנות בנוגע לשימוש במגזר הפרטי במערכות אבטחת סייבר במסגרת הצעת החוק.

בקיצור, תיקונים אלה מגבילים במידה רבה את האופן שבו ניתן להשתמש במידע המשותף במסגרת CISPA, ואיזה מידע ניתן לשתף. "תיקון המינימום, השמירה וההודעה" מספק הגנות נוספות לאנשים על ידי דרישת הממשלה להודיע ​​לחברה פרטית כאשר היא משתפת מידע שאינו למטרה שהוגדרה במפורש ב CISPA.

תיקונים חשובים נוספים

זו המנה הראשונה. אבל זה רק חלק קטן מהתיקונים המוצעים ל-CISPA, שחלקם הולכים הרבה יותר לקראת הגנה על הפרטיות והגברת השקיפות בשיתוף המידע במסגרת הצעת החוק. ועדת חוקי הבית מספקת רשימה של כל 41 התיקונים שהוגשו לעיון. הנה אלו שלפי הערכתי הם הבולטים ביותר.

עדכון: אלו התיקונים היחידים שהבית שוקל. לא נכלל אף אחד מהתיקונים שיפתרו את הבעיות העיקריות ב-CISPA.

1. נציגים תיקון ג'יימס לנגווין / דניאל לונגן
2. נציג תיקון ג'ון קוניירס
3. נציג תיקון מס' 36 של מייק פומפאו
4. נציגים תיקון רוג'רס (MI) / Ruppersberger / Issa / Langevin
5. נציג תיקון שילה ג'קסון לי
6. נציגים תיקון קוויל / אשו / תומפסון (CA).
7. נציגים עמאש / לברדור / פול / נדלר / תיקון פוליס
8. נציגים תיקון מיק מולבני / נורם דיקס
9. נציג תיקון ג'ף פלייק
10. נציג תיקון לורה ריצ'רדסון
11. נציג תיקון מייק פומפאו מס' 37
12. נציג תיקון רוברט וודול
13. נציג תיקון בוב גודלאטה
14. נציג תיקון מייקל טרנר
15. נציג תיקון מיק מולבני
16. נציג תיקון אריק פאולסן

טקסט מקורי (שעכשיו הוא חסר משמעות...)

תיקון דומה: ההוראה תאסור על חברות פרטיות לשתף כל מידע מזהה אישי של המשתמשים שלהם עם הממשל הפדרלי, אלא אם כן יש להם צו בית משפט או הסכמה מפורשת בכתב לעשות זאת כך. כפי שנכתב כעת ב-CISPA, חברות פשוט "מעודדות" להסיר מידע אישי מזהה. אם יאושר, תיקון זה יוביל דרך ארוכה להגנה על פרטיות המשתמש בצורה משמעותית. קרא את טקסט התיקון המלא כאן: pdf.

תיקון עמאש/לברדור/פול/נאדלר/סקרים: תיקון זה יאסור על שיתוף של "בין היתר, רישומי ספרייה, רישומי מכירת כלי ירייה והחזרי מס", במסגרת CISPA, מכל סיבה שהיא. ברור שככל שטווח המידע שעשוי להיות משותף מוגבל יותר, כך ייטב לפרטיות. קרא את טקסט התיקון המלא כאן: pdf.

תיקון ברטון/מארקי: הוראה זו תאפשר רק שיתוף של מידע אישי (הכולל הכל מהשם ועד מספר תעודת זהות להודעות טקסט ומיילים) כדי "למנוע מתקפת סייבר", אבל לא עבור כל אחת אחרת מַטָרָה. זה פחות מגביל מתיקון Akin, אבל יותר מגביל מ"תיקון השימוש" המתואר לעיל, המאפשרת שיתוף מידע אישי מסיבות אחרות מלבד מניעת א מתקפת סייבר. קרא את טקסט התיקון המלא כאן: pdf.

תיקון קוניירס: אם יאושר, תיקון זה יגרום לחברות (או ישויות אחרות במגזר הפרטי) להיות אחראיות על פי החוק הפלילי והאזרחי על שיתוף מידע במסגרת CISPA "להבטיח שמי שגורם פציעה ברשלנות באמצעות שימוש במערכות אבטחת סייבר או שיתוף מידע, לא יהיה פטור מפוטנציאל אזרחי. אחריות." התיקון קובע כי שיתוף מידע שאינו מותר במסגרת CISPA חייב לגרום ל"פציעה" על מנת שמי ששיתף את הנתונים יהיה עָלוּל. במילים אחרות, לא ניתן לתבוע אותם רק על שיתוף המידע אם זה לא גורם לאף אחד בפועל נזק. קרא את טקסט התיקון המלא כאן: pdf.

תיקון פתיתים: התיקון הקצר ביותר הזה יחייב את המפקח הכללי של קהילת המודיעין לספק רשימה מלאה של כל הסוכנויות הממשלתיות שמקבלות את המידע שנאסף במסגרת CISPA. כיום, המפקח הכללי מחויב למסור דוח שנתי על המידע שחולק, וכיצד נעשה בו שימוש. אם יאושר, התיקון הזה יספק שקיפות רבה יותר למי בדיוק מקבל גישה לנתוני CISPA. קרא את טקסט התיקון המלא כאן: pdf.

תיקון Goodlatte: תיקון זה מבקש להגדיר בצורה מצומצמת יותר איזה מידע ניתן לחלוק עם הממשלה הפדרלית במסגרת CISPA. באופן ספציפי, זה לא כולל שיתוף של מידע הנוגע אך ורק להפרה של תנאי השירות של אתר אינטרנט או חברה. קרא את טקסט התיקון המלא כאן: pdf.

תיקון לואיס: זה מיועד לקהל של Occupy Wall Street. תחת Rep. התיקון של לואיס, מידע המשותף במסגרת CISPA "לא יכול לשמש את הממשל הפדרלי כדי לפקח, לעקוב או להשיג מידע נוסף מידע לגבי הפעילות המשפטית של המפגינים". ברור שהתיקון הזה הוא ניצחון להגנה על התיקון הראשון חופש דיבור. קרא את טקסט התיקון המלא כאן: pdf.

תיקון לופגרן/פול/פוליס/האסטינגס: תיקון זה יגביל את השימוש במידע שנאסף במסגרת CISPA ל"מטרות אבטחת סייבר", שהוא צר יותר מהמגבלות הנוכחיות. זה גם יאפשר לאכיפת החוק להשתמש במידע שנאסף במסגרת CISPA עבור תיקים פליליים אחרים, כל עוד יש להם סיבה סבירה, ולקבל סמכות שיפוטית להשתמש בנתונים. קרא את טקסט התיקון המלא כאן: pdf.

תיקון נדלר: תיקון זה ירחיב את תקופת ההתיישנות כדי לאפשר לגורמים פרטיים להגיש תביעות אזרחיות נגד ממשל פדרלי בגין שימוש לרעה במידע עד שנתיים לאחר שגילו, או "היו צריכים" לגלות, את הֲפָרָה. (נכון לעכשיו, CISPA מתיר התיישנות שנתיים לאחר "מועד ההפרה). בנוסף, תיקון זה יאפשר תביעה אזרחית עקב פעולה "רשלנית" (לא רק פעולה מכוונת או מכוונת). לבסוף, זה יאפשר לאדם שנפגע מהפרה של הממשלה לבקש סעד של צו מניעה. קרא את טקסט התיקון המלא כאן: pdf.

תיקון קוויגלי: תיקון זה יוסיף שקיפות הרבה יותר למידע המשותף במסגרת CISPA בכך שיאפשר רק לנתונים המשותפים עם הממשל הפדרלי להיות פטורים מהחופש של חוק המידע (FOIA) אם מנהל המודיעין הלאומי יקבע במפורש, בכתב, שחשיפת החומר במסגרת FOIA תגבר על האינטרס הציבורי לעשות כך. נכון לעכשיו, ניתן לפרש את CISPA כדי לפטור את כל המידע המשותף במסגרת הצעת החוק מחשיפת FOIA. קרא את טקסט התיקון המלא כאן: pdf.

תיקון סנצ'ז/לורטה: תיקון זה מספק הנחיות לחיפוש מכשירים אלקטרוניים על ידי אבטחת הגבול. ההנחיות די יסודיות ומרחיבות, ובעיקר מנסות להגביל את האפשרות להתעללות. אני ממליץ בחום לקרוא את התיקון הזה במלואו כדי להבין את המגבלות במקומות על השימוש ב-CISPA בגבולות ארה"ב. קרא את טקסט התיקון המלא כאן: pdf.

תיקון שקובסקי/תומפסון/בני/סנצ'ז/לורטה: תיקון זה ידרוש "מאמצים סבירים" כדי להסיר מידע אישי מזהה המשותף במסגרת CISPA. זה לא כמעט מחמיר כמו תיקון אקין (שנזכר לעיל), אבל צעד קטן בכיוון הנכון. קרא את טקסט התיקון המלא כאן: pdf.

תיקון שקובסקי/סנצ'ז/לורטה: זה המפתח. אם יאושר, תיקון זה יחייב שמידע המשותף במסגרת CISA יהיה זמין רק לארגונים אזרחיים בתוך הממשל הפדרלי. כפי שנכתב כעת, CISPA תאפשר ל-NSA או לארגונים צבאיים אחרים (שיש להם מעט עד אין פיקוח ציבורי) לקבל גישה למידע. זוהי בעיה גדולה עבור תומכי הפרטיות וחירות האזרח, וזו שהתיקון הזה יפתור. קרא את טקסט התיקון המלא כאן: pdf.

תיקון שיף/שקובסקי/Hastings/Alcee: בדומה לתיקונים אחרים המפורטים לעיל, הוראה זו "תצמצם" את כמות המידע האישי המשותף במסגרת CISPA, תספק הגבלות נוספות על השימוש של הממשלה בנתונים, להגדיר בצורה מצומצמת יותר "מידע על איומי סייבר" ו"מידע אבטחת סייבר", ולהוסיף פיקוח אזרחי נוסף על אבטחת סייבר. קרא את טקסט התיקון המלא כאן: pdf.

תיקון תומפסון/בני/פול/סנצ'ז/לורטה/אמאש: תיקון זה יקבע סקירה רחבה יותר של הפעולות שננקטו במסגרת CISPA, וידרוש "מאמצים סבירים" מהממשלה כדי להסיר מהנתונים שנאספו מידע מזהה אישי. קרא את טקסט התיקון המלא כאן: pdf.

תיקון תומפסון/בני/לנגווין/סנצ'ז/לורטה/האסטינגס/אלסי: התיקון הדמוקרטי לחלוטין יגדיר אילו מגזרי תשתית הם קריטיים לאומה, ויקבע א מסגרת שתאפשר לסוכנויות רגולטוריות קיימות להגן טוב יותר על אותם מגזרי תשתית קריטיים מפני מתקפות סייבר. זהו תיקון מעניין, מכיוון שהוא לא כופה סמכויות רגולטוריות חדשות על הממשל הפדרלי (משהו שהרפובליקנים הם נגד נחרצות), אך יענה על דרישתו של הנשיא אובמה שחקיקת אבטחת סייבר תכלול הגנות על קריטיות תַשׁתִית. קרא את טקסט התיקון המלא כאן: pdf.

תיקון Woodall: בדומה לתיקון נדלר, הוראה זו תטיל אחריות על הממשלה הפדרלית אם היא מפרה את "החשיפה, שימוש והגנה על מידע" בחלקים של CISPA עקב רשלנות (בניגוד ל"מכוון" או "מכוון" פעולה. קרא את טקסט התיקון המלא כאן: pdf.

וואו! עדיין איתי? בסדר, טוב. אז, אלה הם רבים (אך לא כולם) מהתיקונים שיוצעו ביום חמישי (ואולי ביום שישי), כאשר CISPA ייכנס לקומה של הבית. הבית יפתח את מושבו בשעה 12:00 שעון החוף המזרחי ביום חמישי, ובשעה 21:00 שעון החוף המזרחי ביום שישי.

נכון לעכשיו, ל-CISPA יש סיכוי טוב לעבור את הבית - מחברי הצעת החוק אומרים שכן יש כבר את הקולות - אבל עתידו האולטימטיבי תלוי מאוד באילו תיקונים ייכנסו להצעת החוק לפני שהיא תעבור לסנאט. מוקדם יותר היום, ממשל אובמה איים להטיל וטו על CISPA אם הוא לא כולל הגנות גדולות יותר על פרטיות, והגנות מפורשות על תשתית קריטית. חלק מהתיקונים שלעיל ירחיק לכת כדי להגביר את חששותיו של הנשיא. ובכל זאת, אין שום ערובה לכך ש-CISPA יהפוך לחוק, או אפילו יעבור את הבית. אבל אם אתה מעוניין בתהליך החקיקה (שאם הגעת עד כאן, ברור שאתה מתעניין), אלה התיקונים שכדאי לראות.

תמונה דרך kropic1/Shutterstock