Popravljanje CISPA: vodnik po ključnih spremembah zakona o kibernetski varnosti

Predstavniški dom CISPA

Nadgradnja: CDT zdaj odločno nasprotuje CISPA (spet) ker je odbor za hišni red zavrnil obravnavo vsakega amandmaja, ki bi odpravil težave, ki so še vedno del CISPA.

Izvirno besedilo:

Pozno v torek se je zid nasprotovanja zakonu o izmenjavi in ​​zaščiti kibernetskih obveščevalnih podatkov (CISPA) začel rušiti, ko je Center za demokracijo in tehnologijo je sporočil, da ne bo več strogo nasprotoval sprejetju zakona o kibernetski varnosti v Hiša. Sprememba stališča CDT je ​​posledica množice predlaganih sprememb, za katere CDT pravi, da bodo nekatere od njih odpravile številne težave z zasebnostjo, vključene v trenutno besedilo predloga zakona (pdf).

Priporočeni videoposnetki

Kljub zaobljubi CDT, da ne bo aktivno blokiral zakonodaje, skupina pravi, da ima CISPA še vedno dve veliki pomanjkljivosti. Prvič, CISPA bi agenciji za nacionalno varnost (NSA) še vedno omogočala dostop do informacij, ki so v skupni rabi v skladu s predlogom zakona. Drugič, CISPA še vedno dovoljuje izmenjavo informacij za izjemno širok namen zaščite "nacionalne varnosti".

"Skratka, dosežen je dober napredek," piše CDT na svoji spletni strani. »Odbor je prisluhnil našim pomislekom in poskrbel za pomembne izboljšave glede zasebnosti, za kar mu čestitamo. Vendar predlog zakona ni uspešen zaradi preostalih pomislekov – tok internetnih podatkov neposredno v NSA in uporaba informacij za namene, ki niso povezani s kibernetsko varnostjo. Podpiramo predloge sprememb za odpravo teh pomislekov. ob priznavanju pomena vprašanja kibernetske varnosti v spoštovanju prizadevanj v dobri veri predsednika Rogersa in vodilnega člana Ruppersbergerja, in ob dogovoru, da bo parlament obravnaval amandmaje za odpravo naših pomislekov, ne bomo nasprotovali napredovanju postopka v Hiša. Osredotočili se bomo na amandmaje in nato na senat.”

Torej, kaj točno so ti amandmaji? No, za začetek jih je veliko — skupaj več kot 40. Oglejmo si, kaj so te spremembe, kaj bi naredile in kako spreminjajo naravo CISPA, na bolje ali slabše.

Spremembe: Prva serija

Prvih pet sprememb je tistih, ki so jih predlagali soavtorji CISPA Reps. Mike Rogers (R-MI) in Dutch Ruppersberger (D-MD) med pogovorom z novinarji v torek. Spodaj je njihov opis teh sprememb:

Sprememba zmanjšanja, hrambe in obveščanja: Če bi bila ta sprememba sprejeta, bi:

  • Zagotovite jasno pooblastilo zvezni vladi, da si razumno prizadeva omejiti vpliv na zasebnost in državljanske svoboščine izmenjavo informacij o kibernetskih grožnjah z vlado, skladno s potrebo vlade po zaščiti zveznih sistemov in Spletna varnost.
  • Zvezni vladi prepovedati hrambo ali uporabo informacij, razen za namene, določene v zakonodaji.
  • Od zvezne vlade zahteva, da obvesti subjekt, ki prostovoljno deli informacije o kibernetskih grožnjah z vlada, če vlada ugotovi, da deljene informacije dejansko niso kibernetska grožnja informacije.

Uporabi dopolnitev: Ta sprememba bi znatno poostrila trenutno omejitev predloga zakona glede uporabe informacij o kibernetskih grožnjah, ki jih prostovoljno posreduje zasebni sektor, s strani zvezne vlade. Sprememba strogo omejuje uporabo zvezne vlade prostovoljno deljenih informacij o kibernetskih grožnjah na naslednjih pet namenov:

  • Kibernetska varnost;
  • Preiskovanje in pregon kaznivih dejanj v zvezi s kibernetsko varnostjo;
  • Zaščita posameznikov pred smrtno nevarnostjo ali hudo telesno poškodbo, vključno s preiskavo in pregonom kaznivih dejanj, ki vključujejo takšno smrtno nevarnost ali hudo telesno poškodbo;
  • Zaščita mladoletnikov pred otroško pornografijo, morebitno nevarnostjo spolnega izkoriščanja in resnimi grožnjami fizični varnosti mladoletnika, vključno z ugrabitvijo in trgovino z ljudmi, vključno s preiskavo in pregonom kaznivih dejanj, ki vključujejo otroško pornografijo, kakršno koli tveganje spolne izkoriščanje in resne grožnje fizični varnosti mladoletnika, vključno z ugrabitvijo in trgovino z ljudmi, ter kakršno koli kaznivo dejanje iz 18 USC 2258A(a)(2); in
  • Zaščita nacionalne varnosti Združenih držav.

Sprememba definicij: Ta sprememba bi poostrila definicije v predlogu zakona, da bi omejili, katere informacije o kibernetski grožnji je mogoče identificirati, pridobljene in deljene, kot tudi namene, za katere se lahko te informacije identificirajo, pridobijo in delijo. Nove definicije so omejene na informacije, ki se neposredno nanašajo na:

  • Ranljivost sistema ali omrežja vlade ali zasebnega subjekta;
  • Grožnja celovitosti, zaupnosti ali razpoložljivosti takega sistema ali omrežja ali kakršnih koli informacij, ki so shranjene v takem sistemu ali omrežju, obdelane ali prehajajo prek takega sistema ali omrežja;
  • Prizadevanja za degradacijo, motnjo ali uničenje takega sistema ali omrežja; in
  • Prizadevanja za pridobitev nepooblaščenega dostopa do sistema ali omrežja, vključno s pridobivanjem takega nepooblaščenega dostopa z namenom izločanja informacij, ki so shranjene, obdelane na ali tranzit takega sistema ali omrežja, vendar ne vključuje prizadevanj za pridobitev takšnega nepooblaščenega dostopa, ki vključuje izključno kršitve potrošniških pogojev storitve ali potrošniškega licenciranja sporazumov.

Spremembe za omejevanje uporabe sistemov kibernetske varnosti zvezne vlade: Dve spremembi, vloženi v torek, ki bi pojasnili (1), da nič v tem predlogu zakona ne bo spremenilo obstoječih oblasti ali zagotovilo novih pristojnosti kateri koli subjekt za uporabo sistema kibernetske varnosti v lasti ali upravljanju zvezne vlade v sistemu ali omrežju zasebnega sektorja za zaščito takega sistema ali omrežje; in (2) da se določba o odgovornosti v predlogu zakona nanaša samo na pooblastila, ki jih daje zakonodaja. Te spremembe so namenjene razjasnitvi morebitnih nesporazumov glede uporabe sistemov kibernetske varnosti v zasebnem sektorju v okviru predloga zakona.

Skratka, te spremembe močno omejujejo način uporabe informacij, ki se delijo v skladu s CISPA, in katere informacije se smejo deliti. »Dopolnilo o zmanjšanju, hrambi in obveščanju« posameznikom zagotavlja dodatno zaščito, tako da zahteva vlada, da obvesti zasebno podjetje, kadar deli informacije, ki niso za namen, ki je izrecno opredeljen v CISPA.

Druge pomembne spremembe

To je prva serija. Toda to je le majhen del predlaganih sprememb CISPA, od katerih gredo nekatere veliko dlje proti zaščiti zasebnosti in povečanju preglednosti pri izmenjavi informacij v skladu z zakonom. Komisija za hišni red pripravi seznam vseh 41 sprememb ki so bili predloženi v obravnavo. Tu so tisti, ki so po moji oceni najbolj opazni.

Posodobitev: To so edine spremembe, ki jih parlament obravnava. Vključen ni niti en amandma, ki bi odpravljal primarne težave s CISPA.

  1. Reps. Sprememba Jamesa Langevina / Daniela Lungrena
  2. Rep. Amandma Johna Conyersa
  3. Rep. Mike Pompeo Sprememba št. 36
  4. Reps. Sprememba Rogers (MI)/Ruppersberger/Issa/Langevin
  5. Rep. Sprememba Sheile Jackson Lee
  6. Reps. Dopolnilo Quayle/Eshoo/Thompson (CA).
  7. Reps. Sprememba Amash / Labrador / Paul / Nadler / Polis
  8. Reps. Sprememba Micka Mulvaneyja / Norma Dicksa
  9. Rep. Sprememba Jeffa Flakea
  10. Rep. Predlog spremembe Laure Richardson
  11. Rep. Mike Pompeo Sprememba št. 37
  12. Rep. Sprememba Roberta Woodalla
  13. Rep. Predlog spremembe Boba Goodlatteja
  14. Rep. Sprememba Michaela Turnerja
  15. Rep. Predlog spremembe Micka Mulvaneyja
  16. Rep. Predlog spremembe Erika Paulsena

Izvirno besedilo (ki je zdaj v bistvu brez pomena ...)

Podoben amandma: Določba bi zasebnim podjetjem prepovedala deljenje kakršnih koli osebnih podatkov svojih uporabnikov z zvezno vlado, razen če imajo za to sodno odredbo ali izraženo pisno soglasje torej. Kot je CISPA trenutno napisan, se podjetja preprosto "spodbujajo", da odstranijo podatke, ki omogočajo osebno identifikacijo. Če bo ta sprememba odobrena, bo ta sprememba v veliki meri prispevala k smiselni zaščiti zasebnosti uporabnikov. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnitev Amash/Labrador/Paul/Nadler/Polls: Ta sprememba bi prepovedala skupno rabo "med drugim knjižničnih evidenc, evidenc o prodaji strelnega orožja in davčnih napovedi" v skladu s CISPA iz katerega koli razloga. Očitno je, da bolj kot je omejen obseg informacij, ki se lahko delijo, bolje je za zasebnost. Celotno besedilo amandmaja preberite tukaj: pdf.

Sprememba Barton/Markey: Ta določba bi dovoljevala samo deljenje osebnih podatkov (kar vključuje vse od imena do Številka socialnega zavarovanja za besedilna sporočila in e-pošto), da bi "preprečili kibernetski napad", vendar ne za druge namen. To je manj omejujoče kot Akinova sprememba, vendar bolj omejujoča kot opisana "Uporabite spremembo" zgoraj, ki dovoljuje deljenje osebnih podatkov iz razlogov, ki niso zgolj preprečevanje a kibernetski napad. Celotno besedilo amandmaja preberite tukaj: pdf.

Conyersov amandma: Če bo ta sprememba odobrena, bodo podjetja (ali drugi subjekti zasebnega sektorja) odgovorna po kazenskem in civilnem pravu za izmenjavo informacij v skladu s CISPA zagotoviti, da tisti, ki iz malomarnosti povzročijo škodo z uporabo sistemov kibernetske varnosti ali izmenjavo informacij, niso izvzeti iz morebitnih civilnih odgovornost." Sprememba določa, da mora deljenje informacij, ki jih CISPA ne dovoljuje, povzročiti "škodo", da bi bili tisti, ki so delili podatke, odgovoren. Z drugimi besedami, ni jih mogoče tožiti zgolj zaradi delitve informacij, če to dejansko nikomur ne povzroči škode. Celotno besedilo amandmaja preberite tukaj: pdf.

Flake sprememba: Ta izjemno kratka sprememba bi od generalnega inšpektorja obveščevalne skupnosti zahtevala popoln seznam vseh vladnih agencij, ki prejemajo informacije, zbrane v skladu s CISPA. Trenutno mora generalni inšpektor predložiti letno poročilo o tem, katere informacije so bile posredovane in kako so bile uporabljene. Če bo ta sprememba sprejeta, bo zagotovila večjo preglednost glede tega, kdo točno ima dostop do podatkov CISPA. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnilo Goodlatte: Ta sprememba skuša bolj ozko opredeliti, katere informacije se lahko delijo z zvezno vlado v skladu s CISPA. Natančneje, izključuje deljenje informacij, ki se nanašajo izključno na kršitev pogojev storitve spletnega mesta ali podjetja. Celotno besedilo amandmaja preberite tukaj: pdf.

Lewisova sprememba: Ta je za množico Occupy Wall Street. Pod predstavnikom Lewisova sprememba, podatkov, ki se delijo v skladu s CISPA, »zvezna vlada ne sme uporabljati za spremljanje, sledenje ali pridobivanje dodatnih informacije v zvezi z zakonitimi dejavnostmi protestnikov.« Jasno je, da je ta sprememba zmaga za zaščito prve spremembe svoboda govora. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnilo Lofgren/Paul/Pollis/Hastings: Ta sprememba bi omejila uporabo informacij, zbranih v okviru CISPA, na "namene kibernetske varnosti", kar je ožje od trenutnih omejitev. Prav tako bi organom kazenskega pregona omogočil uporabo informacij, zbranih v okviru CISPA, za druge kazenske zadeve, če imajo verjeten razlog, in prejel sodno pooblastilo za uporabo podatkov. Celotno besedilo amandmaja preberite tukaj: pdf.

Nadlerjev amandma: Ta sprememba bi razširila zastaralni rok, da bi zasebnim strankam omogočila vložitev civilnih tožb proti zvezne vlade za zlorabo informacij do dve leti po tem, ko so odkrili ali "bi morali" odkriti kršitev. (Trenutno CISPA dovoljuje zastaralni rok dve leti po "datumu kršitve.) Poleg tega ta sprememba bi omogočila civilno tožbo zaradi dejanja iz malomarnosti (ne le namernega ali naklepnega dejanja). Nazadnje bi omogočil osebi, ki jo je prizadela vladna kršitev, da zahteva sodno prepoved. Celotno besedilo amandmaja preberite tukaj: pdf.

Quigleyjev amandma: Ta sprememba bi dodala veliko večjo preglednost informacijam, ki se delijo v skladu s CISPA, tako da bi samo dovoljenje podatkov, ki se delijo z zvezno vlado, izvzelo iz svobode Zakon o informacijah (FOIA), če direktor nacionalne obveščevalne službe izrecno pisno ugotovi, da bi razkritje gradiva v skladu z FOIA prevladalo nad javnim interesom. torej. Trenutno bi lahko CISPA razlagali tako, da vse informacije, ki se delijo v skladu z zakonom, izvzamejo iz razkritja FOIA. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnitev Sanchez/Loretta: Ta sprememba določa smernice za preiskavo elektronskih naprav z mejno varnostjo. Smernice so precej temeljite in obsežne ter poskušajo predvsem omejiti možnost zlorab. Toplo priporočam, da preberete to spremembo v celoti, da boste razumeli omejitve uporabe CISPA na mejah ZDA. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnilo Schakowsky/Thompson/Bennie/Sanchez/Loretta: Ta sprememba bi zahtevala "razumna prizadevanja" za odstranitev podatkov, ki omogočajo osebno identifikacijo in so deljeni v skladu s CISPA. Ni niti približno tako strog kot Akinov amandma (zgoraj omenjen), a majhen korak v pravo smer. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnilo Schakowsky/Sanchez/Loretta: Ta je ključna. Če bo ta sprememba sprejeta, bo zahtevala, da bodo informacije, ki se delijo v okviru CISA, na voljo samo civilnim organizacijam znotraj zvezne vlade. Kot je trenutno zapisano, bi CISPA dovolil NSA ali drugim vojaškim organizacijam (ki imajo malo ali nič javnega nadzora) dostop do informacij. To je velika težava za zagovornike zasebnosti in državljanskih svoboščin, ki bi jo ta sprememba rešila. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnilo Schiff/Schakowsky/Hastings/Alcee: Podobno kot druge spremembe, navedene zgoraj, bi ta določba "minimizirala" količino osebnih podatkov, ki se delijo v skladu s CISPA, zagotovila dodatne omejitve glede vladno uporabo podatkov, ožje opredeliti "informacije o kibernetski grožnji" in "informacije o kibernetski varnosti" ter dodati dodaten civilni nadzor nad Spletna varnost. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnilo Thompson/Bennie/Paul/Sanchez/Loretta/Amash: Ta sprememba bi uvedla večji pregled ukrepov, sprejetih v skladu s CISPA, in od vlade zahtevala "razumna prizadevanja", da iz zbranih podatkov odstrani podatke, ki omogočajo osebno identifikacijo. Celotno besedilo amandmaja preberite tukaj: pdf.

Dopolnitev Thompson/Bennie/Langevin/Sanchez/Loretta/Hastings/Alcee: Popolnoma demokratični amandma bi opredelil, kateri infrastrukturni sektorji so ključni za državo, in vzpostavil okvir, ki bi obstoječim regulativnim agencijam omogočil, da bolje zaščitijo te sektorje kritične infrastrukture pred kibernetski napadi. To je zanimiva sprememba, saj zvezni vladi ne nalaga novih regulativnih pooblastil (nekaj, kar republikanci odločno proti), vendar bi zadovoljil zahtevo predsednika Obame, da zakonodaja o kibernetski varnosti vključuje zaščito kritičnih infrastrukturo. Celotno besedilo amandmaja preberite tukaj: pdf.

Woodallov predlog spremembe: Tako kot pri Nadlerjevem amandmaju bi ta določba povzročila odgovornost zvezne vlade, če bi kršila "razkritje, uporaba in varstvo informacij« delov CISPA zaradi malomarnosti (v nasprotju z »namerno« ali »namerno« ukrepanje. Celotno besedilo amandmaja preberite tukaj: pdf.

Vau! Še z mano? V redu. To je torej veliko (vendar ne vseh) sprememb, ki bodo predlagane v četrtek (in morda v petek), ko bo CISPA nastopil v Parlamentu. Parlament bo svojo sejo začel v četrtek ob 12. uri po srednjeevropskem času in v petek ob 21. uri po vzhodnem času.

Trenutno ima CISPA dobre možnosti, da sprejme parlament - avtorji predloga zakona pravijo, da so že imajo glasove - vendar je njegova končna prihodnost močno odvisna od tega, kateri amandmaji bodo vključeni v predlog zakona, preden gre v senat. Prej danes je Obamova administracija grozil z vetom na CISPA če ne vključuje večje zaščite zasebnosti in izrecne zaščite kritične infrastrukture. Nekatere od teh zgornjih sprememb bi močno ublažile predsednikove pomisleke. Kljub temu ni nobenega zagotovila, da bo CISPA postal zakon ali celo sprejet v Parlamentu. Toda če vas zanima zakonodajni postopek (kar vas očitno zanima, če ste prišli tako daleč), so to spremembe, ki si jih morate ogledati.

Slika prek kropic1/Shutterstock