Consertando a CISPA: um guia para as principais alterações do projeto de lei de segurança cibernética

Câmara dos Representantes da CISPA

Atualizar: O CDT agora se opõe firmemente à CISPA (novamente) porque o Comitê de Regras da Câmara negou a consideração de todas as alterações que resolveriam os problemas ainda inerentes à CISPA.

Texto original:

Na terça-feira, o muro de oposição à Lei de Compartilhamento e Proteção de Inteligência Cibernética, CISPA, começou a desmoronar, à medida que o O Centro para Democracia e Tecnologia anunciou que não se oporia mais estritamente à aprovação do projeto de lei de segurança cibernética no Casa. A mudança de posição do CDT surge como resultado de uma enxurrada de alterações propostas, algumas das quais, segundo o CDT, irão resolver muitos dos problemas de privacidade incluídos no texto atual do projeto de lei (pdf).

Vídeos recomendados

Apesar da promessa do CDT de não bloquear ativamente a legislação, o grupo afirma que a CISPA ainda contém duas falhas principais. Primeiro, a CISPA ainda permitiria que a Agência de Segurança Nacional (NSA) tivesse acesso às informações partilhadas ao abrigo do projeto de lei. Em segundo lugar, a CISPA ainda permite a partilha de informações com o propósito extremamente amplo de proteger a “segurança nacional”.

“Em suma, foram feitos bons progressos”, escreve o CDT em seu site. “O Comitê ouviu nossas preocupações e fez melhorias importantes na privacidade e aplaudimos o Comitê por fazê-lo. No entanto, o projecto de lei é insuficiente devido às preocupações restantes – o fluxo de dados da Internet directamente para a NSA e a utilização de informações para fins não relacionados com a segurança cibernética. Apoiamos alterações para abordar estas preocupações. Reconhecendo a importância da questão da segurança cibernética, em deferência aos esforços de boa fé feitos pelo Presidente Rogers e pelo Membro do Ranking Ruppersberger, e no entendimento de que as alterações serão consideradas pela Assembleia para dar resposta às nossas preocupações, não nos oporemos ao avanço do processo no Casa. Vamos nos concentrar nas emendas e posteriormente no Senado.”

Então, quais são essas alterações, exatamente? Bem, para começar, existem muitos deles – mais de 40 no total. Vamos dar uma olhada no que são essas alterações, o que fariam e como mudam a natureza da CISPA, para melhor ou para pior.

Emendas: O primeiro lote

As primeiras cinco alterações são aquelas promovidas pelos coautores da CISPA, Reps. Mike Rogers (R-MI) e Dutch Ruppersberger (D-MD) durante ligação com repórteres na terça-feira. Abaixo está a descrição dessas alterações:

Alteração de minimização, retenção e notificação: Se aprovada, esta alteração:

  • Fornecer autoridade clara ao Governo Federal para empreender esforços razoáveis ​​para limitar o impacto na privacidade e nas liberdades civis do compartilhamento de informações sobre ameaças cibernéticas com o governo, consistente com a necessidade do governo de proteger os sistemas federais e cíber segurança.
  • Proibir a União de reter ou utilizar informações que não sejam para os fins especificados na legislação.
  • Exigir que o Governo Federal notifique uma entidade que compartilha voluntariamente informações sobre ameaças cibernéticas com o governo se o governo determinar que as informações compartilhadas não são de fato uma ameaça cibernética Informação.

Usar Emenda: Esta alteração reforçaria significativamente a atual limitação do projeto de lei sobre o uso pelo Governo Federal de informações sobre ameaças cibernéticas fornecidas voluntariamente pelo setor privado. A alteração limita estritamente o uso pelo Governo Federal de informações sobre ameaças cibernéticas compartilhadas voluntariamente aos cinco propósitos a seguir:

  • Fins de cibersegurança;
  • Investigação e repressão de crimes de cibersegurança;
  • Proteção das pessoas contra o perigo de morte ou lesões corporais graves, incluindo a investigação e repressão de crimes que envolvam esse perigo de morte ou lesões corporais graves;
  • Proteção dos menores contra a pornografia infantil, qualquer risco de exploração sexual e ameaças graves à segurança física de um menor, incluindo o rapto e o tráfico, incluindo a investigação e repressão de crimes que envolvam pornografia infantil, qualquer risco de violência sexual exploração e ameaças graves à segurança física de um menor, incluindo sequestro e tráfico, e qualquer crime referido no 18 USC 2258A(a)(2); e
  • Proteção da segurança nacional dos Estados Unidos.

Alteração das definições: Esta alteração tornaria mais rigorosas as definições do projeto de lei para restringir quais informações sobre ameaças cibernéticas podem ser identificadas, obtidas e compartilhadas, bem como as finalidades para as quais tais informações podem ser identificadas, obtidas e compartilhadas. As novas definições limitam-se a informações que se referem diretamente a:

  • Uma vulnerabilidade de um sistema ou rede de um governo ou entidade privada;
  • Uma ameaça à integridade, confidencialidade ou disponibilidade de tal sistema ou rede ou qualquer informação armazenada, processada ou transitando em tal sistema ou rede;
  • Esforços para degradar, interromper ou destruir tal sistema ou rede; e
  • Esforços para obter acesso não autorizado a um sistema ou rede, inclusive para obter esse acesso não autorizado com a finalidade de exfiltrar informações armazenadas, processadas ou transitando tal sistema ou rede, mas não incluindo esforços para obter tal acesso não autorizado envolvendo exclusivamente violações dos termos de serviço do consumidor ou licenciamento do consumidor acordos.

Emendas para limitar o uso de sistemas de segurança cibernética pelo governo federal: Duas emendas apresentadas na terça-feira deixariam claro (1) que nada neste projeto de lei alteraria as autoridades existentes ou forneceria nova autoridade para qualquer entidade usar um sistema de segurança cibernética de propriedade ou operado pelo governo federal em um sistema ou rede do setor privado para proteger tal sistema ou rede; e (2) que a disposição de responsabilidade do projeto de lei se estende apenas às autoridades concedidas na legislação. Estas alterações destinam-se a esclarecer quaisquer mal-entendidos relativamente à utilização de sistemas de segurança cibernética pelo sector privado ao abrigo do projecto de lei.

Em suma, estas alterações limitam enormemente a forma como as informações partilhadas no âmbito da CISPA podem ser utilizadas e quais as informações que podem ser partilhadas. A “Emenda sobre Minimização, Retenção e Notificação” fornece proteções adicionais aos indivíduos, exigindo que o governo notifique uma empresa privada quando ela estiver compartilhando informações que não sejam para uma finalidade explicitamente definida no CISPA.

Outras alterações importantes

Esse é o primeiro lote. Mas isso é apenas uma pequena parte das alterações propostas à CISPA, algumas das quais vão muito mais longe no sentido da protecção da privacidade e do aumento da transparência na partilha de informações ao abrigo do projecto de lei. O Comitê de Regras da Câmara fornece uma lista de todas as 41 alterações que foram submetidos à consideração. Aqui estão aqueles que, na minha avaliação, são os mais notáveis.

Atualização: Estas são as únicas alterações que a Câmara está considerando. Nenhuma das alterações que resolveriam os principais problemas da CISPA foi incluída.

  1. Representantes. Emenda James Langevin / Daniel Lungren
  2. Representante. Emenda John Conyers
  3. Representante. Emenda Mike Pompeo nº 36
  4. Representantes. Emenda Rogers (MI) / Ruppersberger / Issa / Langevin
  5. Representante. Emenda Sheila Jackson Lee
  6. Representantes. Emenda Quayle / Eshoo / Thompson (CA)
  7. Representantes. Emenda Amash / Labrador / Paul / Nadler / Polis
  8. Representantes. Emenda Mick Mulvaney / Norm Dicks
  9. Representante. Emenda Jeff Flake
  10. Representante. Emenda Laura Richardson
  11. Representante. Emenda Mike Pompeo nº 37
  12. Representante. Emenda Robert Woodall
  13. Representante. Emenda Bob Goodlatte
  14. Representante. Emenda Michael Turner
  15. Representante. Emenda Mick Mulvaney
  16. Representante. Emenda Erik Paulsen

Texto original (que agora é basicamente sem sentido…)

Alteração semelhante: A disposição proibiria empresas privadas de compartilhar qualquer informação pessoalmente identificável de seus usuários com o governo federal, a menos que tenham uma ordem judicial ou consentimento expresso por escrito para fazer então. Tal como a CISPA está actualmente redigida, as empresas são simplesmente “encorajadas” a remover informações de identificação pessoal. Se aprovada, esta alteração contribuiria muito para proteger a privacidade do utilizador de uma forma significativa. Leia aqui o texto completo da alteração: pdf.

Emenda Amash/Labrador/Paul/Nadler/Polls: Esta alteração proibiria o compartilhamento de “entre outros, registros de biblioteca, registros de vendas de armas de fogo e declarações fiscais”, sob a CISPA, por qualquer motivo. Obviamente, quanto mais limitada for a gama de informações que podem ser partilhadas, melhor para a privacidade. Leia aqui o texto completo da alteração: pdf.

Emenda Barton/Markey: Esta disposição permitiria apenas a partilha de informações pessoais (que inclui tudo, desde o nome até Número da Segurança Social para mensagens de texto e e-mails) para “prevenir um ataque cibernético”, mas não para qualquer outro propósito. Isto é menos limitante do que a emenda Akin, mas mais limitante do que a “alteração de uso” descrita acima, o que permite o compartilhamento de informações pessoais por outros motivos que não apenas impedir uma ataque cibernético. Leia aqui o texto completo da alteração: pdf.

Emenda de Conyers: Se aprovada, esta alteração tornará as empresas (ou outras entidades do sector privado) responsáveis, tanto ao abrigo do direito penal como civil, pela partilha de informações ao abrigo da CISPA. para “garantir que aqueles que por negligência causam ferimentos através do uso de sistemas de segurança cibernética ou do compartilhamento de informações não estejam isentos de potenciais danos civis responsabilidade." A alteração estipula que o compartilhamento de informações não permitido pela CISPA deve causar “dano” para que aqueles que compartilharam os dados sejam responsável. Em outras palavras, eles não podem ser processados ​​simplesmente por compartilhar informações se isso não causar nenhum dano a ninguém. Leia aqui o texto completo da alteração: pdf.

Alteração em flocos: Esta alteração extremamente curta exigiria que o Inspetor Geral da Comunidade de Inteligência fornecesse uma lista completa de todas as agências governamentais que recebem as informações coletadas no âmbito da CISPA. Actualmente, o Inspector-Geral é obrigado a apresentar um relatório anual sobre que informações foram partilhadas e como foram utilizadas. Se adotada, esta alteração proporcionaria maior transparência sobre quem exatamente tem acesso aos dados da CISPA. Leia aqui o texto completo da alteração: pdf.

Emenda Goodlatte: Esta alteração procura definir de forma mais restrita quais informações podem ser compartilhadas com o governo federal no âmbito da CISPA. Especificamente, exclui o compartilhamento de informações que se referem estritamente à violação de um site ou dos Termos de Serviço de uma empresa. Leia aqui o texto completo da alteração: pdf.

Emenda de Lewis: Este é para o público do Occupy Wall Street. Sob Rep. Emenda de Lewis, as informações compartilhadas sob a CISPA “não podem ser usadas pelo Governo Federal para monitorar, rastrear ou obter informações adicionais informações sobre as atividades legais dos manifestantes”. Claramente, esta alteração é uma vitória para a protecção da Primeira Emenda discurso livre. Leia aqui o texto completo da alteração: pdf.

Emenda Lofgren/Paul/Pollis/Hastings: Esta alteração limitaria o uso de informações recolhidas no âmbito da CISPA a “fins de segurança cibernética”, o que é mais restrito do que as limitações actuais. Também permitiria que as autoridades policiais utilizassem informações recolhidas no âmbito da CISPA para outros casos criminais, desde que tivessem causa provável, e recebessem autoridade judicial para utilizar os dados. Leia aqui o texto completo da alteração: pdf.

Emenda Nadler: Esta alteração ampliaria o prazo de prescrição para permitir que entidades privadas instaurem ações civis contra o governo federal pelo uso indevido de informações até dois anos depois de descobrirem, ou “deveriam” ter descoberto, o violação. (Atualmente, a CISPA permite uma prescrição dois anos após “a data da violação”.) Além disso, esta alteração permitiria uma acção civil devido a acção de “negligência” (não apenas acção intencional ou intencional). Finalmente, permitiria que uma pessoa afetada por violação governamental buscasse medida cautelar. Leia aqui o texto completo da alteração: pdf.

Emenda Quigley: Esta alteração acrescentaria muito maior transparência às informações compartilhadas no âmbito da CISPA, ao tornar apenas a permissão de dados compartilhados com o governo federal isentos da liberdade de Information Act (FOIA) se o Diretor de Inteligência Nacional determinar especificamente, por escrito, que a divulgação do material sob a FOIA superaria o interesse público em fazer então. Atualmente, a CISPA poderia ser interpretada como isentando todas as informações compartilhadas sob o projeto de lei da divulgação da FOIA. Leia aqui o texto completo da alteração: pdf.

Emenda Sanchez/Loretta: Esta alteração fornece orientações para a busca de dispositivos eletrónicos pela segurança das fronteiras. As diretrizes são bastante completas e abrangentes e tentam principalmente limitar a possibilidade de abuso. Eu recomendo fortemente a leitura desta alteração na íntegra para compreender as limitações locais ao uso da CISPA nas fronteiras dos EUA. Leia aqui o texto completo da alteração: pdf.

Emenda Schakowsky/Thompson/Bennie/Sanchez/Loretta: Esta alteração exigiria “esforços razoáveis” para remover informações de identificação pessoal compartilhadas no âmbito da CISPA. Não é tão rigorosa como a alteração Akin (mencionada acima), mas é um pequeno passo na direção certa. Leia aqui o texto completo da alteração: pdf.

Emenda Schakowsky/Sanchez/Loretta: Este é fundamental. Se adoptada, esta alteração exigiria que as informações partilhadas no âmbito da CISA só fossem disponibilizadas a organizações civis dentro do governo federal. Tal como está actualmente escrito, a CISPA permitiria que a NSA ou outras organizações militares (que têm pouca ou nenhuma supervisão pública) tivessem acesso à informação. Este é um grande problema para os defensores da privacidade e da liberdade civil, e que esta alteração resolveria. Leia aqui o texto completo da alteração: pdf.

Emenda Schiff/Schakowsky/Hastings/Alcee: Semelhante a outras alterações listadas acima, esta disposição “minimizaria” a quantidade de informações pessoais compartilhadas sob a CISPA, forneceria restrições adicionais ao uso dos dados pelo governo, definir de forma mais restrita “informações sobre ameaças cibernéticas” e “informações de segurança cibernética” e adicionar supervisão civil adicional de cíber segurança. Leia aqui o texto completo da alteração: pdf.

Emenda Thompson/Bennie/Paul/Sanchez/Loretta/Amash: Esta alteração estabeleceria uma maior revisão das ações tomadas no âmbito da CISPA e exigiria “esforços razoáveis” do governo para retirar dos dados recolhidos informações de identificação pessoal. Leia aqui o texto completo da alteração: pdf.

Emenda Thompson/Bennie/Langevin/Sanchez/Loretta/Hastings/Alcee: A alteração inteiramente Democrática definiria quais os sectores de infra-estruturas que são críticos para a nação e estabeleceria um quadro para permitir que as agências reguladoras existentes protejam melhor os sectores de infra-estruturas críticas contra ataques cibernéticos. Esta é uma alteração interessante, pois não impõe novos poderes regulatórios ao governo federal (algo que os republicanos estão veementemente contra), mas satisfaria a exigência do presidente Obama de que a legislação de segurança cibernética incluísse proteções para a infraestrutura. Leia aqui o texto completo da alteração: pdf.

Emenda Woodall: Tal como acontece com a alteração Nadler, esta disposição tornaria o governo federal responsável se violasse a “divulgação, uso e proteção de informações” porções da CISPA devido a negligência (em oposição a “intencional” ou “intencional” Ação. Leia aqui o texto completo da alteração: pdf.

Uau! Ainda comigo? OK bom. Portanto, essas são muitas (mas não todas) das alterações que serão propostas na quinta-feira (e possivelmente na sexta-feira), quando a CISPA for levada ao plenário da Câmara. A Câmara abrirá sua sessão às 12h ET na quinta-feira e às 21h ET na sexta-feira.

Atualmente, a CISPA tem boas chances de aprovação na Câmara - os autores do projeto dizem que já tem os votos – mas seu futuro depende muito de quais emendas serão incluídas no projeto antes de ir ao Senado. Hoje cedo, a administração Obama ameaçou vetar a CISPA se não incluir maiores proteções de privacidade e proteções explícitas para infraestruturas críticas. Algumas das alterações acima iriam longe para apaziguar as preocupações do presidente. Ainda assim, não há absolutamente nenhuma garantia de que a CISPA se tornará lei, ou mesmo aprovada na Câmara. Mas se você está interessado no processo legislativo (o que, se chegou até aqui, obviamente está), estas são as alterações a serem observadas.

Imagem via kropic1/Shutterstock