Eerder deze week werd ik uitgenodigd om deel te nemen aan een telefonische vergadering met vertegenwoordigers. Mike Rogers (R-MI) en C.A. “Nederlandse” Ruppersberger (D-MD), co-auteurs en hoofdsponsors van de steeds controversiële Cyber Intelligence Sharing and Protection Act, beter bekend als CISPA. Tijdens het urenlange gesprek over het wetsvoorstel hoorden we keer op keer waarom deze wetgeving nodig is waarom het niet zo gevaarlijk is als wij, schurkachtige bloggers en voorstanders van burgerlijke vrijheid, het laten klinken.
CISPA is geen SOPA, ze hebben ons verteld. Het is “zeer beperkt” in zijn bevoegdheden en taal. Het wetsvoorstel telt slechts 13 pagina's en is gemakkelijk te begrijpen. Het gaat eigenlijk niet om het verzamelen van informatie over individuen, of om het aanpakken van individuen die illegaal muziek of films downloaden. Het gaat erom te voorkomen dat natiestaten ‘zoals Rusland en China’ onze zakelijke handelsgeheimen stelen, of een ‘catastrofale’ cyberaanval uitvoeren op onze vitale ‘netwerken en systemen’.
Aanbevolen video's
Dit is precies wat ik verwachtte te horen. De congresleden moeten hun wetsvoorstel tenslotte verkopen, en een deel daarvan is het overtuigen van een kritische pers dat er geen reden tot ongerustheid bestaat. En weet je, ondanks mijn vele klachten over de rekening, gaf het telefoontje mij het gevoel dat ik oprecht Rogers en Ruppersberger was. Ik ben van mening dat CISPA een goed en noodzakelijk stuk wetgeving is, dat geen echte bedreiging vormt voor onze privacy of onze burgerzin vrijheden.
Maar raad eens: dat maakt niet uit. Goede bedoelingen zijn niet hetzelfde als goede wetten.
Het feit blijft dat cruciale delen van dit wetsvoorstel – de oneindig vage definities van ‘cyberdreiging’ en ‘nationale veiligheid’, de verreikende uitzonderingen op bestaande wetten, de tandeloze bescherming van de privacy – dit alles vereist dat we erop vertrouwen dat de federale overheid en bedrijven de wetgeving niet zullen schenden onze rechten. Waarom zouden we dat in vredesnaam vertrouwen? Dat zouden we niet doen, en dat doen we ook niet – vanwege de federale overheid en bedrijven zijn niet betrouwbaar.
Voor de gek gespeeld
Laten we de brede definities van ‘cyberdreiging’ en ‘nationale veiligheid’ als goed voorbeeld nemen. CISPA schrijft voor dat alle informatie die aan de federale overheid wordt overgedragen, mag worden overgedragen alleen worden gebruikt ter bescherming tegen ‘cyberdreigingen’ of voor ‘de bescherming van de nationale veiligheid van de Verenigde Staten’. Oké, prima. Maar zoals iedereen die bekend is met de Patriot Act weet, is “nationale veiligheid” kan bijna alles betekenen. Dat alleen al maakt deze zogenaamde ‘beperking’ feitelijk zinloos. Alleen al om deze reden zou CISPA in een vuilnisbak van Capitol Hill moeten worden gegooid en verbrand.
Bovendien zegt CISPA expliciet dat “informatie over cyberdreigingen” – de gegevens die rechtmatig kunnen worden gedeeld met en waarop kan worden gereageerd door de federale overheid – niet alleen informatie die “rechtstreeks” betrekking heeft op “een kwetsbaarheid van, of bedreiging voor, een systeem of netwerk van een overheid of particuliere entiteit”, het betekent ook alle informatie die betrekking heeft op “pogingen om een dergelijk systeem of netwerk te degraderen, verstoren of vernietigen” of “diefstal of verduistering van privé- of overheidsinformatie, intellectueel eigendom of persoonlijk identificeerbare informatie."
Tijdens het gesprek verzekerden zowel Rogers als Ruppersberger ons dat dit laatste stukje niet bedoeld is om achter mensen aan te gaan die “MP3-bestanden of films” downloaden, en waartoe CISPA de overheid op geen enkele manier de macht geeft om de toegang daartoe te blokkeren websites. Maar de informatie die in het kader van CISPA is verzameld, KAN zeker voor dat doel worden gebruikt, ook al is dat niet het primaire doel. Dit is vooral verontrustend als je bedenkt dat de gegevens die in dit programma worden gedeeld rechtstreeks aan het Department of Homeland Security zullen worden doorgegeven – dezelfde organisatie die neemt al websites in beslag.
Opnieuw vragen ze ons eenvoudigweg om erop te vertrouwen dat de krachtens dit wetsontwerp verleende bevoegdheden niet zullen worden gebruikt om dit soort misdaden aan te pakken. Maar een goed stuk wetgeving zou het vertrouwen simpelweg helemaal uit de weg ruimen door expliciete regels in te bouwen die verbieden dat de informatie op deze manier wordt gebruikt.
Net zoals ze ons willen laten geloven dat CISPA niet zal worden gebruikt voor andere redenen dan directe of echte cyberdreigingen nationale veiligheidskwesties willen ze ook dat we erop vertrouwen dat het wetsvoorstel de regering niet de macht geeft om te bespioneren burgers. Ze doen dit door het delen van informatie vrijwillig te maken en door bedrijven die hun gegevens met de overheid delen, te ‘aanmoedigen’ om deze te ontdoen van alle persoonlijk identificeerbare gegevens. Maar zoals Leigh Beadon bij TechDirt wijst erop“medeplichtigheid tussen bedrijven en de overheid, zelfs als dit juridisch twijfelachtig is, is gebruikelijk en wijdverbreid.” Met andere woorden: CISPA vereist niet dat bedrijven hun kennis met de overheid delen, maar maakt het wel gemakkelijker en minder riskant voor alle partijen betrokken. Als Rogers en Ruppersberger zich oprecht zorgen zouden maken over de bescherming van de individuele privacy, zouden ze CISPA aanpassen vereisen Bedrijven mogen niet zomaar toestaan dat zij de gegevens die zij verstrekken, anonimiseren.
Conclusie
Dit zijn slechts enkele voorbeelden van waarom critici zeggen dat CISPA een slecht stuk wetgeving is, en waarom zij (ik) geloven dat er misbruik van kan worden gemaakt. Het enige argument van het pro-CISPA-kamp op dit front is: “Maak je geen zorgen. Vertrouw ons." Maar dat doen we niet, en dat zullen we ook niet doen, en dat zouden we ook niet moeten doen. Vertrouwen zou simpelweg geen factor moeten zijn. Er zijn veel te veel gevallen waarin de overheid en bedrijven hun macht misbruiken ten koste van onschuldige individuen, voor iedereen met zelfs maar een diploma. Een druppel gezond verstand om hun geloof, privacy en burgerlijke vrijheden in de handen te leggen van degenen die er zo gemakkelijk welke rechtvaardiging dan ook uit konden persen.
Afbeelding via Kuzma/Shutterstock
