Fixing CISPA: een gids voor de belangrijkste wijzigingen in de cyberbeveiligingswet

CISPA Huis van Afgevaardigden

Update: Het CDT verzet zich nu (opnieuw) krachtig tegen CISPA omdat de House Rules Committee de overweging heeft ontkend van elk amendement dat de problemen zou oplossen die nog steeds inherent zijn aan CISPA.

Originele tekst:

Dinsdag laat begon de muur van oppositie tegen de Cyber ​​Intelligence Sharing and Protection Act, CISPA, af te brokkelen, toen de Het Center for Democracy & Technology kondigde aan dat het zich niet langer strikt zou verzetten tegen de goedkeuring van de cyberveiligheidswet in de Huis. De standpuntwijziging van het CDT is het gevolg van een stortvloed aan voorgestelde amendementen, waarvan een aantal volgens het CDT veel van de privacyproblemen zullen oplossen die in de huidige tekst van het wetsvoorstel zijn opgenomen.pdf).

Aanbevolen video's

Ondanks de belofte van de CDT om de wetgeving niet actief te blokkeren, zegt de groep dat CISPA nog steeds twee grote tekortkomingen bevat. Ten eerste zou CISPA de National Security Agency (NSA) nog steeds toegang geven tot informatie die in het kader van het wetsvoorstel wordt gedeeld. Ten tweede staat CISPA nog steeds toe dat informatie wordt gedeeld met het extreem brede doel van het beschermen van de ‘nationale veiligheid’.

“Kortom: er is goede vooruitgang geboekt”, schrijft het CDT op zijn website. “De commissie heeft naar onze zorgen geluisterd en belangrijke privacyverbeteringen doorgevoerd en wij juichen de commissie daarvoor toe. Het wetsvoorstel schiet echter tekort vanwege de resterende zorgen: de stroom van internetgegevens rechtstreeks naar de NSA en het gebruik van informatie voor doeleinden die geen verband houden met cyberveiligheid. Wij steunen amendementen om deze zorgen weg te nemen. Erkennende het belang van de cyberbeveiligingskwestie, uit eerbied voor de inspanningen te goeder trouw van voorzitter Rogers en rankinglid Ruppersberger, en met dien verstande dat amendementen door het Huis zullen worden overwogen om onze zorgen weg te nemen, zullen wij ons niet verzetten tegen het proces dat zich in de toekomst voortzet. Huis. Wij zullen ons concentreren op de amendementen en vervolgens op de Senaat.”

Wat zijn deze amendementen precies? Nou, om te beginnen zijn er veel van hen – meer dan 40 in totaal. Laten we eens kijken naar wat deze amendementen zijn, wat ze zouden doen en hoe ze de aard van CISPA veranderen, ten goede of ten kwade.

Amendementen: De eerste batch

De eerste vijf amendementen zijn de amendementen die worden gepromoot door CISPA-co-auteurs Reps. Mike Rogers (R-MI) en Dutch Ruppersberger (D-MD) tijdens hun gesprek met verslaggevers op dinsdag. Hieronder vindt u hun beschrijving van deze wijzigingen:

Minimalisatie, bewaring en kennisgevingswijziging: Indien goedgekeurd, zou dit amendement:

  • Geef de federale overheid een duidelijke bevoegdheid om redelijke inspanningen te ondernemen om de impact op de privacy en de burgerlijke vrijheden van de burgers te beperken het delen van informatie over cyberdreigingen met de overheid, in overeenstemming met de noodzaak van de overheid om federale systemen te beschermen en cyberbeveiliging.
  • Verbied de federale overheid om informatie te bewaren of te gebruiken voor andere doeleinden dan de in de wetgeving gespecificeerde doeleinden.
  • Vereisen dat de federale overheid een entiteit op de hoogte stelt die vrijwillig informatie over cyberdreigingen deelt met de overheid als de overheid vaststelt dat de gedeelde informatie feitelijk geen cyberdreiging is informatie.

Gebruik amendement: Dit amendement zou de huidige beperking van het wetsvoorstel op het gebruik door de federale overheid van informatie over cyberdreigingen die vrijwillig door de particuliere sector wordt verstrekt, aanzienlijk aanscherpen. Het amendement beperkt het gebruik door de federale overheid van vrijwillig gedeelde cyberdreigingsinformatie strikt tot de volgende vijf doeleinden:

  • Cyberbeveiligingsdoeleinden;
  • Onderzoek en vervolging van cyberveiligheidsmisdrijven;
  • Bescherming van personen tegen het gevaar van de dood of ernstig lichamelijk letsel, met inbegrip van het onderzoeken en vervolgen van misdrijven die een dergelijk gevaar van de dood of ernstig lichamelijk letsel met zich meebrengen;
  • Bescherming van minderjarigen tegen kinderpornografie, elk risico op seksuele uitbuiting en ernstige bedreigingen voor de fysieke veiligheid van een minderjarige, inclusief ontvoering en mensenhandel, inclusief het onderzoek naar en de vervolging van misdaden waarbij kinderpornografie betrokken is, en elk risico op seksuele handelingen uitbuiting en ernstige bedreigingen voor de fysieke veiligheid van een minderjarige, inclusief ontvoering en mensenhandel, en elk misdrijf waarnaar wordt verwezen in 18 USC 2258A(a)(2); En
  • Bescherming van de nationale veiligheid van de Verenigde Staten.

Definities Wijziging: Dit amendement zou de definities van het wetsvoorstel aanscherpen om te beperken welke informatie over cyberdreigingen kan worden geïdentificeerd. verkregen en gedeeld, evenals de doeleinden waarvoor dergelijke informatie kan worden geïdentificeerd, verkregen en gedeeld. De nieuwe definities zijn beperkt tot informatie die rechtstreeks betrekking heeft op:

  • Een kwetsbaarheid van een systeem of netwerk van een overheid of particuliere entiteit;
  • Een bedreiging voor de integriteit, vertrouwelijkheid of beschikbaarheid van een dergelijk systeem of netwerk of enige informatie die is opgeslagen op, verwerkt op of verzonden door een dergelijk systeem of netwerk;
  • Pogingen om een ​​dergelijk systeem of netwerk te degraderen, verstoren of vernietigen; En
  • Pogingen om ongeautoriseerde toegang te verkrijgen tot een systeem of netwerk, inclusief het verkrijgen van dergelijke ongeautoriseerde toegang met als doel het exfiltreren van informatie die is opgeslagen op, verwerkt op of het passeren van een dergelijk systeem of netwerk, maar met uitzondering van pogingen om dergelijke ongeautoriseerde toegang te verkrijgen die uitsluitend gepaard gaat met schendingen van de servicevoorwaarden voor consumenten of consumentenlicenties overeenkomsten.

Wijzigingen om het gebruik van cyberbeveiligingssystemen door de federale overheid te beperken: Er zijn dinsdag twee amendementen ingediend die duidelijk zouden maken (1) dat niets in dit wetsvoorstel de bestaande autoriteiten zou veranderen of er nieuwe bevoegdheden aan zou geven elke entiteit die een cyberbeveiligingssysteem in eigendom of beheer van de federale overheid gebruikt op een systeem of netwerk uit de particuliere sector om een ​​dergelijk systeem te beschermen, of netwerk; en (2) dat de aansprakelijkheidsbepaling van het wetsvoorstel zich alleen uitstrekt tot de autoriteiten die in de wetgeving zijn verleend. Deze amendementen zijn bedoeld om misverstanden uit de weg te ruimen over het gebruik door de particuliere sector van cyberbeveiligingssystemen die onder het wetsvoorstel vallen.

Kortom, deze amendementen beperken in grote mate de manier waarop informatie die onder CISPA wordt gedeeld, mag worden gebruikt en welke informatie mag worden gedeeld. Het “Minimisatie-, retentie- en kennisgevingsamendement” biedt extra bescherming aan individuen door het eisen van de De overheid moet een particulier bedrijf op de hoogte stellen wanneer het informatie deelt die niet voor een doel is dat expliciet is gedefinieerd in de wet CISPA.

Andere belangrijke wijzigingen

Dat is de eerste batch. Maar dat is slechts een klein deel van de voorgestelde amendementen op CISPA, waarvan sommige veel verder gaan in de richting van het beschermen van de privacy en het vergroten van de transparantie over het delen van informatie onder het wetsvoorstel. De commissie huisregels stelt een lijst op van alle 41 amendementen die ter overweging zijn ingediend. Dit zijn degenen die, naar mijn mening, het meest opvallend zijn.

Update: Dit zijn de enige amendementen die de Tweede Kamer overweegt. Er is geen enkel amendement opgenomen dat de belangrijkste problemen met CISPA zou oplossen.

  1. Vertegenwoordigers Amendement James Langevin / Daniel Lungren
  2. Rep. John Conyers-amendement
  3. Rep. Mike Pompeo-amendement #36
  4. Vertegenwoordigers Rogers (MI) / Ruppersberger / Issa / Langevin-amendement
  5. Rep. Amendement Sheila Jackson Lee
  6. Vertegenwoordigers Quayle / Eshoo / Thompson (CA) Amendement
  7. Vertegenwoordigers Amash / Labrador / Paul / Nadler / Polis-amendement
  8. Vertegenwoordigers Mick Mulvaney / Norm Dicks-amendement
  9. Rep. Jeff Flake-amendement
  10. Rep. Amendement van Laura Richardson
  11. Rep. Mike Pompeo-amendement #37
  12. Rep. Amendement van Robert Woodall
  13. Rep. Bob Goodlatte-amendement
  14. Rep. Michael Turner-amendement
  15. Rep. Mick Mulvaney-amendement
  16. Rep. Erik Paulsen-amendement

Originele tekst (die nu feitelijk zinloos is…)

Soortgelijk amendement: De bepaling zou particuliere bedrijven verbieden om persoonlijk identificeerbare informatie te delen hun gebruikers bij de federale overheid, tenzij ze daartoe een gerechtelijk bevel of uitdrukkelijke schriftelijke toestemming hebben Dus. Zoals CISPA momenteel geschreven is, worden bedrijven simpelweg “aangemoedigd” om persoonlijk identificeerbare informatie te verwijderen. Als dit amendement wordt goedgekeurd, zou het een grote bijdrage leveren aan de bescherming van de privacy van gebruikers op een zinvolle manier. Lees hier de volledige wijzigingstekst: pdf.

Amash/Labrador/Paul/Nadler/Polls-amendement: Dit amendement zou het delen van “onder meer bibliotheekgegevens, verkoopgegevens van vuurwapens en belastingaangiften” onder CISPA, om welke reden dan ook, verbieden. Het is duidelijk dat hoe beperkter de reikwijdte van de informatie is die kan worden gedeeld, hoe beter de privacy is. Lees hier de volledige wijzigingstekst: pdf.

Barton/Markey-amendement: Deze bepaling zou alleen het delen van persoonlijke informatie toestaan ​​(waaronder alles van naam tot Burgerservicenummer voor sms-berichten en e-mails) om ‘een cyberaanval te voorkomen’, maar niet voor andere doel. Dit is minder beperkend dan het Akin-amendement, maar meer beperkend dan het geschetste ‘Gebruiksamendement’ hierboven, waardoor het delen van persoonlijke informatie om andere redenen dan alleen het voorkomen van een Cyber ​​aanval. Lees hier de volledige wijzigingstekst: pdf.

Conyers-amendement: Indien goedgekeurd, zal dit amendement bedrijven (of andere entiteiten uit de particuliere sector) zowel strafrechtelijk als civielrechtelijk aansprakelijk stellen voor het delen van informatie onder CISPA om “ervoor te zorgen dat degenen die uit onachtzaamheid schade veroorzaken door het gebruik van cyberbeveiligingssystemen of het delen van informatie niet worden vrijgesteld van mogelijke civiele betrouwbaarheid." Het amendement bepaalt dat het delen van informatie die niet is toegestaan ​​onder CISPA ‘letsel’ moet veroorzaken, zodat degenen die de gegevens hebben gedeeld, kunnen worden vervolgd. aansprakelijk. Met andere woorden, ze kunnen niet worden aangeklaagd voor het eenvoudigweg delen van de informatie, als dit niemand daadwerkelijk schade berokkent. Lees hier de volledige wijzigingstekst: pdf.

Flake-amendement: Dit extreem korte amendement zou vereisen dat de inspecteur-generaal van de inlichtingengemeenschap een volledige lijst verstrekt van alle overheidsinstanties die de informatie ontvangen die in het kader van CISPA is verzameld. Momenteel is de inspecteur-generaal verplicht jaarlijks een rapport op te stellen over welke informatie is gedeeld en hoe deze is gebruikt. Als dit amendement wordt aangenomen, zou het voor meer transparantie zorgen over wie precies toegang krijgt tot de CISPA-gegevens. Lees hier de volledige wijzigingstekst: pdf.

Goodlatte-amendement: Met dit amendement wordt beoogd nauwkeuriger te definiëren welke informatie in het kader van CISPA met de federale overheid mag worden gedeeld. Het sluit met name het delen uit van informatie die strikt betrekking heeft op het schenden van de Servicevoorwaarden van een website of bedrijf. Lees hier de volledige wijzigingstekst: pdf.

Lewis-amendement: Deze is voor het Occupy Wall Street-publiek. Onder Rep. Lewis’ amendement, informatie gedeeld onder CISPA “mag niet door de federale overheid worden gebruikt om aanvullende informatie te monitoren, volgen of verkrijgen informatie met betrekking tot de legale activiteiten van demonstranten.” Het is duidelijk dat dit amendement een overwinning is voor de bescherming van het Eerste Amendement vrijheid van mening. Lees hier de volledige wijzigingstekst: pdf.

Amendement van Lofgren/Paul/Pollis/Hastings: Dit amendement zou het gebruik van in het kader van CISPA verzamelde informatie beperken tot “cyberbeveiligingsdoeleinden”, wat beperkter is dan de huidige beperkingen. Het zou rechtshandhavingsinstanties ook in staat stellen de in het kader van CISPA verzamelde informatie te gebruiken voor andere strafzaken, zolang er een waarschijnlijke oorzaak voor is, en rechterlijke bevoegdheid te krijgen om de gegevens te gebruiken. Lees hier de volledige wijzigingstekst: pdf.

Nadler-amendement: Dit amendement zou de verjaringstermijn uitbreiden, zodat particuliere partijen civiele rechtszaken tegen de EU kunnen aanspannen federale overheid wegens misbruik van informatie tot twee jaar nadat zij de ziekte ontdekt of “had moeten ontdekken”. overtreding. (Momenteel staat CISPA een verjaringstermijn toe van twee jaar na ‘de datum van de overtreding’.) Bovendien geldt dit amendement zou civiele actie mogelijk maken vanwege “nalatigheid” (niet alleen opzettelijke of opzettelijke actie). Ten slotte zou het een persoon die getroffen is door een overtreding van de overheid, de mogelijkheid bieden om een ​​voorlopige voorziening aan te vragen. Lees hier de volledige wijzigingstekst: pdf.

Quigley-amendement: Dit amendement zou een veel grotere transparantie toevoegen aan de informatie die in het kader van CISPA wordt gedeeld, doordat alleen gegevens die met de federale overheid worden gedeeld, worden vrijgesteld van de vrijheid van toegang. Information Act (FOIA) als de directeur van de Nationale Inlichtingendienst specifiek schriftelijk vaststelt dat het openbaar maken van het materiaal op grond van de FOIA zwaarder zou wegen dan het publieke belang daarbij Dus. Op dit moment zou CISPA geïnterpreteerd kunnen worden om alle informatie die onder het wetsvoorstel wordt gedeeld, vrij te stellen van openbaarmaking van de FOIA. Lees hier de volledige wijzigingstekst: pdf.

Amendement Sanchez/Loretta: Dit amendement biedt richtlijnen voor het doorzoeken van elektronische apparaten door grensbeveiliging. De richtlijnen zijn behoorlijk grondig en uitgebreid, en proberen vooral de mogelijkheid van misbruik te beperken. Ik raad ten zeerste aan dit amendement volledig te lezen, zodat u inzicht krijgt in de beperkingen op bepaalde plaatsen op het gebruik van CISPA aan de Amerikaanse grenzen. Lees hier de volledige wijzigingstekst: pdf.

Amendement Schakowsky/Thompson/Bennie/Sanchez/Loretta: Dit amendement zou “redelijke inspanningen” vergen om persoonlijk identificeerbare informatie die onder CISPA wordt gedeeld, te verwijderen. Het is lang niet zo streng als het amendement van Akin (hierboven vermeld), maar het is een kleine stap in de goede richting. Lees hier de volledige wijzigingstekst: pdf.

Amendement Schakowsky/Sanchez/Loretta: Deze is de sleutel. Als dit amendement wordt aangenomen, zou het verplichten dat informatie die onder CISA wordt gedeeld, alleen beschikbaar wordt gesteld aan civiele organisaties binnen de federale overheid. Zoals het momenteel is geschreven, zou CISPA de NSA of andere militaire organisaties (die weinig tot geen publiek toezicht hebben) toegang geven tot de informatie. Dit is een groot probleem voor voorstanders van privacy en burgerlijke vrijheid, en een probleem dat dit amendement zou oplossen. Lees hier de volledige wijzigingstekst: pdf.

Amendement Schiff/Schakowsky/Hastings/Alcee: Net als andere hierboven genoemde amendementen zou deze bepaling de hoeveelheid persoonlijke informatie die onder CISPA wordt gedeeld ‘tot een minimum beperken’ en verdere beperkingen opleggen aan de het gebruik van de gegevens door de overheid, een nauwere definitie van “informatie over cyberdreigingen” en “informatie over cyberveiligheid”, en toevoegen van aanvullend civiel toezicht op cyberbeveiliging. Lees hier de volledige wijzigingstekst: pdf.

Amendement Thompson/Bennie/Paul/Sanchez/Loretta/Amash: Dit amendement zou zorgen voor een grotere controle van de acties die onder CISPA zijn ondernomen, en zou “redelijke inspanningen” van de overheid vereisen om de verzamelde gegevens te ontdoen van persoonlijk identificeerbare informatie. Lees hier de volledige wijzigingstekst: pdf.

Amendement Thompson/Bennie/Langevin/Sanchez/Loretta/Hastings/Alcee: Het volledig democratische amendement zou definiëren welke infrastructuursectoren van cruciaal belang zijn voor de natie, en een kader om bestaande regelgevende instanties in staat te stellen deze kritieke infrastructuursectoren beter te beschermen cyberaanvallen. Dit is een interessant amendement, omdat het geen nieuwe regelgevende bevoegdheden oplegt aan de federale overheid (iets wat de Republikeinen wel zijn). is er resoluut tegen), maar zou voldoen aan de eis van president Obama dat de cyberveiligheidswetgeving bescherming biedt voor kritieke cybercriminelen infrastructuur. Lees hier de volledige wijzigingstekst: pdf.

Woodall-amendement: Net als bij het Nadler-amendement zou deze bepaling de federale overheid aansprakelijk stellen als zij de “openbaarmaking, gebruik en bescherming van informatie”-gedeelten van CISPA als gevolg van nalatigheid (in tegenstelling tot “opzettelijke” of “opzettelijke” actie. Lees hier de volledige wijzigingstekst: pdf.

Wauw! Nog steeds bij me? OK goed. Dit zijn dus veel (maar niet alle) amendementen die donderdag (en mogelijk vrijdag) zullen worden voorgesteld, wanneer CISPA de Tweede Kamer betreedt. Het Huis opent zijn zitting donderdag om 12.00 uur ET en vrijdag om 21.00 uur ET.

Op dit moment heeft CISPA een goede kans om door het Huis van Afgevaardigden te worden gehaald – de auteurs van het wetsvoorstel zeggen van wel hebben de stemmen al – maar de uiteindelijke toekomst ervan hangt sterk af van welke amendementen in het wetsvoorstel worden opgenomen voordat het naar de Senaat gaat. Eerder vandaag de regering-Obama dreigde CISPA met een veto uit te spreken als het geen betere privacybescherming en expliciete bescherming voor kritieke infrastructuur omvat. Sommige van deze bovenstaande amendementen zouden de zorgen van de president ver wegnemen. Toch is er absoluut geen garantie dat CISPA wet wordt, of zelfs door het Huis van Afgevaardigden wordt aangenomen. Maar als u geïnteresseerd bent in het wetgevingsproces (wat, als u zover bent gekomen, uiteraard ook zo is), zijn dit de amendementen die u in de gaten moet houden.

Afbeelding via kropic1/Shutterstock