Naprawianie CISPA: przewodnik po kluczowych zmianach ustawy o cyberbezpieczeństwie

Izba Reprezentantów CISPA

Aktualizacja: CDT obecnie stanowczo sprzeciwia się CISPA (ponownie) ponieważ Komisja Regulaminowa Izby Reprezentantów odmówiła rozpatrzenia każdej poprawki, która rozwiązałaby problemy nadal nieodłącznie związane z CISPA.

Oryginalny tekst:

Pod koniec wtorku mur opozycji wobec ustawy o wymianie i ochronie cyberwywiadów (CISPA) zaczął się rozpadać, gdy Centrum Demokracji i Technologii ogłosiło, że nie będzie już kategorycznie sprzeciwiać się przyjęciu ustawy o cyberbezpieczeństwie w Parlamencie Europejskim Dom. Zmiana stanowiska CDT wynika z lawiny proponowanych poprawek, z których wiele według CDT rozwiąże wiele problemów związanych z prywatnością zawartych w obecnym tekście ustawy (pdf).

Polecane filmy

Pomimo przyrzeczenia CDT, że nie będzie aktywnie blokować legislacji, grupa twierdzi, że CISPA nadal zawiera dwie główne wady. Po pierwsze, CISPA nadal umożliwiałaby Agencji Bezpieczeństwa Narodowego (NSA) dostęp do informacji udostępnianych na mocy ustawy. Po drugie, CISPA nadal umożliwia wymianę informacji w niezwykle szerokim celu, jakim jest ochrona „bezpieczeństwa narodowego”.

„Podsumowując, poczyniono znaczne postępy” pisze CDT na swojej stronie internetowej. „Komitet wysłuchał naszych obaw i dokonał ważnych ulepszeń w zakresie prywatności, za co pochwalamy Komitet. Projekt ustawy jest jednak niewystarczający ze względu na pozostałe obawy – przepływ danych internetowych bezpośrednio do NSA i wykorzystanie informacji do celów niezwiązanych z cyberbezpieczeństwem. Popieramy poprawki mające na celu rozwiązanie tych obaw. Uznając wagę kwestii cyberbezpieczeństwa, szanując wysiłki podejmowane w dobrej wierze przez Przewodniczącego Rogersa i Członka Rankingu Ruppersbergera, zakładając, że Izba rozpatrzy poprawki mające na celu rozwianie naszych obaw, nie będziemy sprzeciwiać się dalszemu procesowi w Parlamencie Dom. Skupimy się na poprawkach, a później na Senacie.”

A jakie dokładnie są te poprawki? Cóż, na początek jest ich mnóstwo – w sumie ponad 40. Przyjrzyjmy się, czym są te poprawki, jakie będą skutki i w jaki sposób zmieniają charakter CISPA, na lepsze lub na gorsze.

Poprawki: Pierwsza partia

Pierwsze pięć poprawek to poprawki promowane przez współautorów CISPA, Reps. Mike Rogers (R-MI) i Dutch Ruppersberger (D-MD) podczas wtorkowej rozmowy z reporterami. Poniżej znajduje się opis tych poprawek:

Poprawka dotycząca minimalizacji, przechowywania i powiadamiania: Jeżeli zostanie przyjęta, poprawka ta:

  • Zapewnij rządowi federalnemu wyraźne uprawnienia do podejmowania uzasadnionych wysiłków w celu ograniczenia wpływu na prywatność i wolności obywatelskie dzielenie się z rządem informacjami o zagrożeniach cybernetycznych, zgodnie z potrzebą rządu w zakresie ochrony systemów federalnych oraz bezpieczeństwo cybernetyczne.
  • Zakazać Rządowi Federalnemu zatrzymywania lub wykorzystywania informacji w celach innych niż określone w przepisach.
  • Wymagać od rządu federalnego powiadomienia podmiotu dobrowolnie udostępniającego informacje o zagrożeniach cybernetycznych rząd, jeśli rząd ustali, że udostępniane informacje nie stanowią w rzeczywistości zagrożenia cybernetycznego Informacja.

Użyj poprawki: Poprawka ta znacznie zaostrzyłaby obecne ograniczenia projektu ustawy dotyczące wykorzystania przez rząd federalny informacji o zagrożeniach cybernetycznych dobrowolnie dostarczanych przez sektor prywatny. Poprawka ściśle ogranicza wykorzystanie przez rząd federalny dobrowolnie udostępnianych informacji o zagrożeniach cybernetycznych do pięciu następujących celów:

  • Cele cyberbezpieczeństwa;
  • Dochodzenie i ściganie przestępstw związanych z cyberbezpieczeństwem;
  • Ochrona osób przed niebezpieczeństwem śmierci lub poważnych obrażeń ciała, w tym dochodzenie i ściganie przestępstw wiążących się z niebezpieczeństwem śmierci lub poważnych obrażeń ciała;
  • Ochrona małoletnich przed pornografią dziecięcą, ryzykiem wykorzystania seksualnego i poważnymi zagrożeniami bezpieczeństwa fizycznego małoletniego, w tym porwania i handel ludźmi, w tym prowadzenie dochodzeń i ściganie przestępstw związanych z pornografią dziecięcą, wszelkie ryzyko o charakterze seksualnym wykorzystywanie i poważne zagrożenie dla bezpieczeństwa fizycznego małoletniego, w tym porwanie i handel ludźmi, a także wszelkie przestępstwa, o których mowa w 18 USC 2258A(a)(2); I
  • Ochrona bezpieczeństwa narodowego Stanów Zjednoczonych.

Definicje Poprawka: Ta poprawka zaostrzyłaby definicje zawarte w projekcie ustawy, aby zawęzić zakres informacji, które mogą zostać zidentyfikowane w związku z zagrożeniami cybernetycznymi, uzyskiwane i udostępniane, a także cele, dla których takie informacje mogą być identyfikowane, uzyskiwane i udostępniane. Nowe definicje ograniczają się do informacji, które bezpośrednio dotyczą:

  • Luka w systemie lub sieci podmiotu rządowego lub prywatnego;
  • Zagrożenie dla integralności, poufności lub dostępności takiego systemu lub sieci lub jakichkolwiek informacji przechowywanych, przetwarzanych lub przesyłanych przez taki system lub sieć;
  • Wysiłki mające na celu degradację, zakłócenie lub zniszczenie takiego systemu lub sieci; I
  • Wysiłki mające na celu uzyskanie nieautoryzowanego dostępu do systemu lub sieci, w tym uzyskanie takiego nieautoryzowanego dostępu w celu wydobycia informacji przechowywanych, przetwarzanych lub tranzyt takiego systemu lub sieci, ale nie obejmuje wysiłków zmierzających do uzyskania takiego nieautoryzowanego dostępu, obejmującego wyłącznie naruszenia warunków korzystania z usług konsumenckich lub licencji konsumenckich umowy.

Poprawki mające na celu ograniczenie wykorzystania przez rząd federalny systemów cyberbezpieczeństwa: Dwie poprawki złożone we wtorek wyjaśniały (1), że nic w tej ustawie nie zmieni istniejących władz ani nie zapewni nowych uprawnień jakikolwiek podmiot do korzystania z systemu cyberbezpieczeństwa będącego własnością rządu federalnego lub obsługiwanego przez niego w systemie lub sieci sektora prywatnego w celu ochrony takiego systemu lub sieć; oraz (2) że przepis ustawy dotyczący odpowiedzialności rozciąga się wyłącznie na uprawnienia przyznane w ustawodawstwie. Zmiany te mają na celu wyjaśnienie wszelkich nieporozumień dotyczących korzystania z systemów cyberbezpieczeństwa przez sektor prywatny w ramach projektu ustawy.

Krótko mówiąc, zmiany te znacznie ograniczają sposób, w jaki można wykorzystywać informacje udostępniane w ramach CISPA i jakie informacje można udostępniać. „Poprawka dotycząca minimalizacji, przechowywania i powiadamiania” zapewnia dodatkową ochronę osobom fizycznym, wymagając: rząd do powiadamiania prywatnej firmy w przypadku udostępniania przez nią informacji w celu innym niż wyraźnie określony w art CISPA.

Inne ważne zmiany

To pierwsza partia. Ale to tylko niewielka część proponowanych zmian w CISPA, a niektóre z nich idą znacznie dalej w kierunku ochrony prywatności i zwiększenia przejrzystości w zakresie udostępniania informacji w ramach projektu ustawy. Komisja Regulaminowa Izby Reprezentantów przedstawia listę wszystkie 41 poprawek które zostały przekazane do rozpatrzenia. Oto te, które moim zdaniem są najbardziej godne uwagi.

Aktualizacja: Są to jedyne poprawki, które Izba rozważa. Nie uwzględniono ani jednej poprawki, która rozwiązałaby podstawowe problemy związane z CISPA.

  1. Przedstawiciele Poprawka Jamesa Langevina i Daniela Lungrena
  2. Reprezentant. Poprawka Johna Conyersa
  3. Reprezentant. Poprawka nr 36 Mike’a Pompeo
  4. Przedstawiciele Poprawka Rogers (MI) / Ruppersberger / Issa / Langevin
  5. Reprezentant. Poprawka Sheili Jackson Lee
  6. Przedstawiciele Poprawka Quayle’a/Eshoo/Thompsona (Kalifornia).
  7. Przedstawiciele Poprawka Amash / Labrador / Paul / Nadler / Polis
  8. Przedstawiciele Poprawka Micka Mulvaneya / Norma Dicksa
  9. Reprezentant. Poprawka Jeffa Flake’a
  10. Reprezentant. Poprawka Laury Richardson
  11. Reprezentant. Poprawka nr 37 Mike’a Pompeo
  12. Reprezentant. Poprawka Roberta Woodalla
  13. Reprezentant. Poprawka Boba Goodlatte'a
  14. Reprezentant. Poprawka Michaela Turnera
  15. Reprezentant. Poprawka Micka Mulvaneya
  16. Reprezentant. Poprawka Erika Paulsena

Tekst oryginalny (który obecnie jest w zasadzie bez znaczenia…)

Poprawka podobna: Przepis ten zabraniałby prywatnym firmom udostępniania jakichkolwiek danych osobowych swoich użytkowników z rządem federalnym, chyba że mają na to nakaz sądowy lub wyrazili na to pisemną zgodę Więc. W obecnym kształcie CISPA firmy są po prostu „zachęcane” do usuwania danych osobowych. Jeżeli poprawka ta zostanie zatwierdzona, w znacznym stopniu przyczyni się do znaczącej ochrony prywatności użytkowników. Pełny tekst poprawki można przeczytać tutaj: pdf.

Amash/Labrador/Paul/Nadler/Poprawka do sondaży: Poprawka ta zabraniałaby udostępniania „m.in. dokumentacji bibliotecznej, dokumentacji sprzedaży broni palnej i zeznań podatkowych” w ramach CISPA z jakiegokolwiek powodu. Oczywiście im bardziej ograniczony zakres informacji, które mogą być udostępniane, tym lepiej dla prywatności. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Bartona/Markeya: Przepis ten zezwalałby wyłącznie na udostępnianie danych osobowych (które obejmują wszystko, od imienia i nazwiska do numer ubezpieczenia społecznego do wiadomości tekstowych i e-maili), aby „zapobiec cyberatakowi”, ale nie w żadnym innym celu zamiar. Jest to mniej ograniczające niż poprawka Akina, ale bardziej ograniczające niż opisana „poprawka dotycząca stosowania”. powyżej, co pozwala na udostępnianie danych osobowych w celach innych niż tylko zapobieganie: Cyber ​​atak. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Conyersa: Jeśli ta poprawka zostanie zatwierdzona, spółki (lub inne podmioty sektora prywatnego) będą odpowiedzialne zarówno na mocy prawa karnego, jak i cywilnego za udostępnianie informacji w ramach CISPA „zapewnić, że osoby, które przez zaniedbanie wyrządzają szkody poprzez wykorzystanie systemów cyberbezpieczeństwa lub wymianę informacji, nie są zwolnione z potencjalnych kar cywilnych obciążenie." Nowelizacja stanowi, że udostępnianie informacji niedopuszczalnych na mocy CISPA musi powodować „szkodę”, aby osoba udostępniająca dane mogła zostać podatny. Innymi słowy, nie można ich pozwać po prostu za udostępnienie informacji, jeśli w rzeczywistości nie wyrządza to nikomu żadnej szkody. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka płatkowa: Ta niezwykle krótka poprawka wymagałaby od Generalnego Inspektora Wspólnoty Wywiadowczej przedstawienia pełnej listy wszystkich agencji rządowych, które otrzymują informacje gromadzone w ramach CISPA. Obecnie Generalny Inspektor ma obowiązek składania rocznego sprawozdania na temat tego, jakie informacje zostały udostępnione i w jaki sposób zostały wykorzystane. Jeżeli poprawka ta zostanie przyjęta, zapewni większą przejrzystość w zakresie tego, kto dokładnie uzyskuje dostęp do danych CISPA. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Goodlatte'a: Niniejsza poprawka ma na celu węższe zdefiniowanie, jakie informacje mogą być udostępniane rządowi federalnemu w ramach CISPA. W szczególności wyklucza udostępnianie informacji, które dotyczą wyłącznie naruszenia zasad serwisu lub Regulaminu firmy. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Lewisa: To jest dla tłumu Occupy Wall Street. Pod Rep. Lewisa, informacje udostępniane w ramach CISPA „nie mogą być wykorzystywane przez rząd federalny do monitorowania, śledzenia lub uzyskiwania dodatkowych informacji na temat legalnej działalności protestujących.” Jest oczywiste, że ta poprawka jest zwycięstwem w zakresie ochrony, jaką zapewnia Pierwsza Poprawka wolność słowa. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Lofgrena/Paula/Pollisa/Hastingsa: Ta poprawka ograniczyłaby wykorzystanie informacji zgromadzonych w ramach CISPA do „celów cyberbezpieczeństwa”, które są węższe niż obecne ograniczenia. Umożliwiłoby to również organom ścigania wykorzystywanie informacji zgromadzonych w ramach CISPA do innych spraw karnych, o ile mają one prawdopodobną przyczynę, oraz umożliwiłoby organom sądowym wykorzystanie danych. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Nadlera: Nowelizacja ta rozszerzyłaby okres przedawnienia, aby umożliwić podmiotom prywatnym wnoszenie pozwów cywilnych przeciwko rząd federalny za niewłaściwe wykorzystanie informacji do dwóch lat od odkrycia lub „powinien był” odkryć naruszenie. (Obecnie CISPA dopuszcza termin przedawnienia dwa lata od „daty naruszenia”). poprawka ta umożliwiłaby wszczęcie powództwa cywilnego w wyniku „zaniedbania” (a nie tylko działania zamierzonego lub umyślnego). Wreszcie umożliwiłoby to osobie dotkniętej naruszeniem przez rząd ubieganie się o nakaz sądowy. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Quigleya: Niniejsza poprawka zwiększyłaby znacznie przejrzystość informacji udostępnianych w ramach CISPA, zezwalając jedynie na wyłączenie danych udostępnianych rządowi federalnemu z zakresu wolności Ustawa o informacjach (FOIA), jeżeli dyrektor wywiadu narodowego wyraźnie ustali na piśmie, że ujawnienie materiałów w ramach FOIA przeważyłoby nad interesem publicznym Więc. Obecnie CISPA można interpretować jako zwolnienie wszystkich informacji udostępnianych na mocy ustawy z ujawniania FOIA. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Sancheza/Loretty: Nowelizacja ta zawiera wytyczne dotyczące przeszukiwania urządzeń elektronicznych przez ochronę granicy. Wytyczne są dość szczegółowe i obszerne, a przede wszystkim mają na celu ograniczenie możliwości nadużyć. Gorąco polecam przeczytanie tej poprawki w całości, aby zrozumieć ograniczenia w niektórych miejscach stosowania CISPA na granicach USA. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Schakowsky'ego, Thompsona, Benniego, Sancheza i Loretty: Poprawka ta wymagałaby „rozsądnych wysiłków” w celu usunięcia danych osobowych udostępnianych w ramach CISPA. Nie jest ona tak rygorystyczna jak poprawka Akina (wspomniana powyżej), ale stanowi mały krok we właściwym kierunku. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Schakowsky'ego, Sancheza i Loretty: Ten jest kluczowy. Jeżeli poprawka ta zostanie przyjęta, będzie nakładać obowiązek udostępniania informacji udostępnianych w ramach CISA wyłącznie organizacjom cywilnym w ramach rządu federalnego. W obecnym kształcie CISPA umożliwiłaby NSA lub innym organizacjom wojskowym (które mają niewielki lub żaden nadzór publiczny) dostęp do informacji. Jest to duży problem dla zwolenników prywatności i wolności obywatelskich, który ta poprawka rozwiąże. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Schiffa/Schakowsky’ego/Hastingsa/Alcee: Podobnie jak inne zmiany wymienione powyżej, przepis ten „zminimalizowałby” ilość danych osobowych udostępnianych w ramach CISPA, wprowadziłby dalsze ograniczenia w zakresie wykorzystania danych przez rząd, zawęzić definicję „informacji o zagrożeniach cybernetycznych” i „informacji o bezpieczeństwie cybernetycznym” oraz dodać dodatkowy nadzór cywilny nad bezpieczeństwo cybernetyczne. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Thompsona/Benniego/Paula/Sancheza/Loretta/Amasha: Poprawka ta wprowadziłaby większy przegląd działań podejmowanych w ramach CISPA i wymagałaby od rządu „rozsądnych wysiłków” w celu usunięcia zebranych danych z informacji umożliwiających identyfikację. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Thompsona/Benniego/Langevina/Sancheza/Loretta/Hastingsa/Alcee: Całkowicie demokratyczna poprawka określiłaby, które sektory infrastruktury są krytyczne dla narodu, i ustanowiłaby: ramy umożliwiające istniejącym agencjom regulacyjnym lepszą ochronę sektorów infrastruktury krytycznej ataki komputerowe. Jest to interesująca poprawka, ponieważ nie nakłada nowych uprawnień regulacyjnych na rząd federalny (czym są Republikanie). zdecydowanie przeciw), ale spełniłoby żądanie prezydenta Obamy, aby ustawodawstwo dotyczące cyberbezpieczeństwa obejmowało ochronę obiektów krytycznych infrastruktura. Pełny tekst poprawki można przeczytać tutaj: pdf.

Poprawka Woodalla: Podobnie jak w przypadku poprawki Nadlera, przepis ten narażałby rząd federalny na odpowiedzialność w przypadku naruszenia zasady „ujawniania, wykorzystanie i ochrona informacji” części CISPA z powodu zaniedbania (w odróżnieniu od „zamierzonego” lub „umyślnego” działanie. Pełny tekst poprawki można przeczytać tutaj: pdf.

Uff! Nadal ze mną? Ok dobrze. Oto wiele (ale nie wszystkie) poprawek, które zostaną zaproponowane w czwartek (i być może w piątek), kiedy komisja CISPA zajmie się głosowaniem w Izbie. Izba otworzy swoje sesje o 12:00 ET w czwartek i o 21:00 ET w piątek.

Obecnie CISPA ma duże szanse na przyjęcie przez Izbę – autorzy projektu twierdzą, że tak mają już głosy — ale jego ostateczna przyszłość zależy w dużej mierze od tego, jakie poprawki znajdą się w ustawie, zanim trafi ona do Senatu. Dziś rano administracja Obamy zagroził zawetowaniem CISPA jeśli nie będzie obejmować większej ochrony prywatności i wyraźnej ochrony infrastruktury krytycznej. Niektóre z powyższych poprawek w dużym stopniu rozwiałyby obawy prezydenta. Mimo to nie ma całkowitej gwarancji, że CISPA stanie się prawem lub nawet przejdzie przez Izbę. Jeśli jednak interesuje Cię proces legislacyjny (co, jeśli dotarłeś tak daleko, z pewnością tak jest), oto poprawki, które warto obejrzeć.

Obraz przez kropic1/Shutterstock