Fixing CISPA: En guide till de viktigaste ändringarna i cybersäkerhetslagstiftningen

CISPA Representanthuset

Uppdatering: CDT motsätter sig nu bestämt CISPA (igen) eftersom husregelkommittén har förnekat övervägandet av varje ändringsförslag som skulle lösa problemen som fortfarande är inneboende med CISPA.

Original text:

Sent på tisdagen började muren av motstånd mot lagen om delning och skydd av cyberintelligens, CISPA, att falla sönder, eftersom Center for Democracy & Technology meddelade att det inte längre strikt kommer att motsätta sig cybersäkerhetslagstiftningens godkännande i Hus. CDT: s ståndpunktsändring kommer som ett resultat av en uppsjö av föreslagna ändringar, varav ett antal enligt CDT kommer att lösa många av de integritetsproblem som ingår i lagförslagets nuvarande text (pdf).

Rekommenderade videor

Trots CDT: s löfte att inte aktivt blockera lagstiftningen, säger gruppen att CISPA fortfarande innehåller två stora brister. För det första skulle CISPA fortfarande ge National Security Agency (NSA) tillgång till information som delas enligt lagförslaget. För det andra tillåter CISPA fortfarande att information delas för det extremt breda syftet att skydda "nationell säkerhet".

"Sammanfattningsvis har goda framsteg gjorts," skriver CDT på sin webbplats. "Kommittén lyssnade till vår oro och har gjort viktiga integritetsförbättringar och vi applåderar kommittén för att ha gjort det. Lagförslaget misslyckas dock på grund av de återstående problemen – flödet av internetdata direkt till NSA och användningen av information för ändamål som inte är relaterade till cybersäkerhet. Vi stöder ändringsförslag för att lösa dessa problem. Inser vikten av cybersäkerhetsfrågan, i respekt för de goda ansträngningar som gjorts av ordförande Rogers och rankingmedlem Ruppersberger, och under förutsättning att ändringsförslag kommer att övervägas av kammaren för att ta itu med våra farhågor, kommer vi inte att motsätta oss att processen går framåt i Hus. Vi kommer att fokusera på ändringsförslagen och därefter på senaten.”

Så, exakt vilka är dessa ändringsförslag? Tja, till att börja med, det finns många av dem - mer än 40 totalt. Låt oss ta en titt på vad dessa ändringsförslag är, vad de skulle göra och hur de förändrar karaktären av CISPA, på gott och ont.

Tillägg: Den första satsen

De första fem ändringarna är de som främjas av CISPAs medförfattare Reps. Mike Rogers (R-MI) och holländska Ruppersberger (D-MD) under deras samtal med reportrar på tisdagen. Nedan följer deras beskrivning av dessa ändringar:

Minimering, kvarhållning och meddelandetillägg: Om det godkänns skulle detta ändringsförslag:

  • Ge klar befogenhet till den federala regeringen att vidta rimliga ansträngningar för att begränsa inverkan på integritet och medborgerliga friheter delning av information om cyberhot med regeringen, i överensstämmelse med regeringens behov av att skydda federala system och Cybersäkerhet.
  • Förbjuda den federala regeringen att behålla eller använda information annat än för de ändamål som anges i lagstiftningen.
  • Kräv att den federala regeringen underrättar en enhet som frivilligt delar information om cyberhot med regeringen om regeringen fastställer att den delade informationen i själva verket inte är cyberhot information.

Använd tillägg: Denna ändring skulle avsevärt skärpa lagförslagets nuvarande begränsning av den federala regeringens användning av information om cyberhot som tillhandahålls frivilligt av den privata sektorn. Ändringen begränsar strikt den federala regeringens användning av frivilligt delad information om cyberhot till följande fem syften:

  • Cybersäkerhetsändamål;
  • Utredning och lagföring av cybersäkerhetsbrott;
  • Skydd av individer från fara för dödsfall eller allvarlig kroppsskada, inklusive utredning och lagföring av brott som involverar sådan fara för dödsfall eller allvarlig kroppsskada;
  • Skydd av minderåriga från barnpornografi, varje risk för sexuellt utnyttjande och allvarliga hot mot en minderårigs fysiska säkerhet, inklusive kidnappning och människohandel, inklusive utredning och lagföring av brott som involverar barnpornografi, alla risker för sexuella exploatering och allvarliga hot mot den fysiska säkerheten för en minderårig, inklusive kidnappning och människohandel, och alla brott som avses i 18 USC 2258A(a)(2); och
  • Skydd av den nationella säkerheten i USA.

Definitionstillägg: Detta tillägg skulle skärpa lagförslagets definitioner för att begränsa vilken information om cyberhot som kan identifieras, erhålls och delas, samt för vilka ändamål sådan information kan identifieras, erhållas och delas. De nya definitionerna är begränsade till information som direkt hänför sig till:

  • En sårbarhet i ett system eller nätverk hos en statlig eller privat enhet;
  • Ett hot mot integriteten, konfidentialiteten eller tillgängligheten för ett sådant system eller nätverk eller all information som lagras på, bearbetas på eller överförs av ett sådant system eller nätverk;
  • Ansträngningar att försämra, störa eller förstöra ett sådant system eller nätverk; och
  • Ansträngningar för att få obehörig åtkomst till ett system eller nätverk, inklusive att få sådan obehörig åtkomst i syfte att exfiltrera information som lagras på, bearbetas på eller transitering av ett sådant system eller nätverk, men inte inkluderande ansträngningar för att få sådan obehörig åtkomst som enbart involverar brott mot konsumentvillkor eller konsumentlicenser avtal.

Ändringar för att begränsa den federala regeringens användning av cybersäkerhetssystem: Två ändringsförslag som lämnades in på tisdagen som skulle klargöra (1) att ingenting i detta lagförslag skulle ändra befintliga myndigheter eller ge ny behörighet till någon enhet som använder ett federalt statligt ägt eller driven cybersäkerhetssystem i ett privat sektorssystem eller nätverk för att skydda ett sådant system eller nätverk; och (2) att lagförslagets ansvarsbestämmelse endast omfattar de befogenheter som medges i lagstiftningen. Dessa ändringsförslag är utformade för att reda ut eventuella missförstånd beträffande den privata sektorns användning av cybersäkerhetssystem enligt lagförslaget.

Kort sagt, dessa ändringar begränsar i hög grad hur information som delas under CISPA får användas och vilken information som får delas. "Minimering, retention och meddelandetillägg" ger extra skydd för individer genom att kräva regeringen att meddela ett privat företag när det delar information som inte är för ett ändamål som uttryckligen definieras i CISPA.

Andra viktiga ändringar

Det är den första satsen. Men det är bara en liten del av de föreslagna ändringarna av CISPA, av vilka några går mycket längre mot att skydda integriteten och öka insynen i informationsdelningen enligt lagförslaget. Husregelkommittén tillhandahåller en lista över alla 41 ändringar som har lämnats in för prövning. Här är de som, enligt min bedömning, är de mest anmärkningsvärda.

Uppdatering: Detta är de enda ändringsförslagen som kammaren överväger. Inte ett enda av ändringsförslagen som skulle lösa de primära problemen med CISPA ingår.

  1. Reps. James Langevin / Daniel Lungren tillägg
  2. Rep. John Conyers tillägg
  3. Rep. Mike Pompeo ändringsförslag #36
  4. Reps. Rogers (MI) / Ruppersberger / Issa / Langevin tillägg
  5. Rep. Sheila Jackson Lee-tillägg
  6. Reps. Quayle / Eshoo / Thompson (CA) tillägg
  7. Reps. Amash / Labrador / Paul / Nadler / Polis tillägg
  8. Reps. Mick Mulvaney / Norm Dicks tillägg
  9. Rep. Jeff Flake tillägg
  10. Rep. Laura Richardsons tillägg
  11. Rep. Mike Pompeo ändringsförslag #37
  12. Rep. Robert Woodalls tillägg
  13. Rep. Bob Goodlatte tillägg
  14. Rep. Michael Turners tillägg
  15. Rep. Mick Mulvaneys tillägg
  16. Rep. Erik Paulsen ändringsförslag

Originaltext (som nu i princip är meningslös...)

Liknande ändring: Bestämmelsen skulle förbjuda privata företag att dela någon personlig identifierbar information om deras användare med den federala regeringen, såvida de inte har ett domstolsbeslut eller uttryckt skriftligt medgivande att göra så. Som CISPA för närvarande är skrivet, "uppmuntras" företag helt enkelt att ta bort personligt identifierbar information. Om det godkänns skulle detta ändringsförslag gå långt mot att skydda användarnas integritet på ett meningsfullt sätt. Läs hela ändringstexten här: pdf.

Amash/Labrador/Paul/Nadler/Polls tillägg: Detta tillägg skulle förbjuda delning av "bland annat biblioteksregister, skjutvapenförsäljningsuppgifter och skattedeklarationer" under CISPA, oavsett anledning. Uppenbarligen, ju mer begränsat utbudet av information som kan delas, desto bättre för integriteten. Läs hela ändringstexten här: pdf.

Barton/Markey tillägg: Denna bestämmelse skulle endast tillåta delning av personlig information (som inkluderar allt från namn till personnummer till textmeddelanden och e-postmeddelanden) för att "förebygga en cyberattack", men inte för någon annan syfte. Detta är mindre begränsande än Akin-tillägget, men mer begränsande än "Användningstillägget" som beskrivs ovan, vilket tillåter delning av personlig information av andra skäl än att bara förhindra en Cyber ​​attack. Läs hela ändringstexten här: pdf.

Conyers tillägg: Om det godkänns kommer detta tillägg att göra företag (eller andra enheter inom den privata sektorn) ansvariga enligt både straffrätt och civilrätt för att dela information under CISPA för att "säkerställa att de som av oaktsamhet orsakar skada genom användning av cybersäkerhetssystem eller delning av information inte är undantagna från potentiella civilrättsliga ansvar." Ändringen stipulerar att delning av information som inte är tillåten enligt CISPA måste orsaka "skada" för att de som delade uppgifterna ska vara ansvarig. Med andra ord kan de inte stämmas bara för att de delar informationen om det faktiskt inte orsakar någon skada. Läs hela ändringstexten här: pdf.

Flake-tillägg: Denna extremt korta ändring skulle kräva att underrättelsetjänstens generalinspektör tillhandahåller en fullständig lista över alla statliga myndigheter som tar emot den information som samlats in under CISPA. För närvarande är riksinspektören skyldig att lämna en årlig rapport om vilken information som delats och hur den användes. Om detta ändringsförslag antas skulle det ge större insyn i vem som exakt får tillgång till CISPA-uppgifterna. Läs hela ändringstexten här: pdf.

Goodlatte-tillägg: Detta ändringsförslag syftar till att mer snävt definiera vilken information som får delas med den federala regeringen under CISPA. Specifikt utesluter det delning av information som strikt hänför sig till brott mot en webbplats eller ett företags användarvillkor. Läs hela ändringstexten här: pdf.

Lewis tillägg: Den här är för publiken Occupy Wall Street. Under Rep. Lewis' tillägg, information som delas under CISPA "får inte användas av den federala regeringen för att övervaka, spåra eller erhålla ytterligare information om demonstranters lagliga aktiviteter.” Uppenbarligen är detta tillägg en vinst för det första tilläggets skydd av yttrandefrihet. Läs hela ändringstexten här: pdf.

Lofgren/Paul/Pollis/Hastings tillägg: Detta tillägg skulle begränsa användningen av information som samlats in under CISPA till "cybersäkerhetsändamål", vilket är mer snävt än de nuvarande begränsningarna. Det skulle också tillåta brottsbekämpande myndigheter att använda information som samlats in under CISPA för andra brottmål, så länge de har sannolika skäl, och få rättslig myndighet att använda uppgifterna. Läs hela ändringstexten här: pdf.

Nadler tillägg: Denna ändring skulle utöka preskriptionstiden för att tillåta privata parter att väcka civilrättsliga stämningar mot federal regering för missbruk av information upp till två år efter att de upptäckt, eller "borde" ha upptäckt, överträdelse. (För närvarande tillåter CISPA en preskriptionstid två år efter "datumet för överträdelsen.) Dessutom, Detta ändringsförslag skulle tillåta civilrättsliga åtgärder på grund av "vårdslöshet" (inte bara avsiktlig eller avsiktlig handling). Slutligen skulle det göra det möjligt för en person som drabbats av kränkning av regeringen att begära föreläggande. Läs hela ändringstexten här: pdf.

Quigley tillägg: Detta ändringsförslag skulle ge mycket större insyn i informationen som delas under CISPA genom att endast tillåta att data som delas med den federala regeringen undantas från friheten att Information Act (FOIA) om direktören för National Intelligence specifikt skriftligen bestämmer att avslöjande av materialet enligt FOIA skulle väga tyngre än det allmänna intresset av att göra så. För närvarande kan CISPA tolkas för att undanta all information som delas enligt lagförslaget från FOIA-avslöjande. Läs hela ändringstexten här: pdf.

Sanchez/Lorettas tillägg: Detta ändringsförslag ger riktlinjer för sökning av elektronisk utrustning genom gränssäkerhet. Riktlinjerna är ganska grundliga och expansiva och försöker främst begränsa möjligheten till övergrepp. Jag rekommenderar starkt att du läser detta ändringsförslag i sin helhet för att förstå begränsningarna på platser för användningen av CISPA vid amerikanska gränser. Läs hela ändringstexten här: pdf.

Schakowsky/Thompson/Bennie/Sanchez/Loretta tillägg: Detta tillägg skulle kräva "rimliga ansträngningar" för att ta bort personligt identifierbar information som delas under CISPA. Det är inte alls lika strikt som Akin-tillägget (som nämns ovan), men ett litet steg i rätt riktning. Läs hela ändringstexten här: pdf.

Schakowsky/Sanchez/Loretta tillägg: Den här är nyckeln. Om det antas skulle detta ändringsförslag innebära att information som delas under CISA endast görs tillgänglig för civila organisationer inom den federala regeringen. Som det är skrivet för närvarande skulle CISPA tillåta NSA eller andra militära organisationer (som har liten eller ingen offentlig tillsyn) att få tillgång till informationen. Detta är ett stort problem för förespråkare för privatliv och medborgerlig frihet, och ett som detta ändringsförslag skulle lösa. Läs hela ändringstexten här: pdf.

Schiff/Schakowsky/Hastings/Alcee tillägg: I likhet med andra ändringar som anges ovan skulle denna bestämmelse "minimera" mängden personlig information som delas under CISPA, ge ytterligare begränsningar för regeringens användning av uppgifterna, snävare definiera "information om cyberhot" och "information om cybersäkerhet" och lägga till ytterligare civil tillsyn av Cybersäkerhet. Läs hela ändringstexten här: pdf.

Thompson/Bennie/Paul/Sanchez/Loretta/Amash tillägg: Detta tillägg skulle skapa en större granskning av de åtgärder som vidtagits under CISPA och kräva "rimliga ansträngningar" från regeringen för att ta bort insamlad information från personlig identifierbar information. Läs hela ändringstexten här: pdf.

Thompson/Bennie/Langevin/Sanchez/Loretta/Hastings/Alcee tillägg: Det helt demokratiska ändringsförslaget skulle definiera vilka infrastruktursektorer som är kritiska för nationen, och fastställa en ram för att tillåta befintliga tillsynsmyndigheter att bättre skydda dessa kritiska infrastruktursektorer från cyberattack. Detta är ett intressant tillägg, eftersom det inte ålägger den federala regeringen nya reglerande befogenheter (något som republikanerna är starkt emot), men skulle tillfredsställa president Obamas krav på att cybersäkerhetslagstiftningen inkluderar skydd för kritiska infrastruktur. Läs hela ändringstexten här: pdf.

Woodall-tillägg: Precis som med Nadler-tillägget skulle denna bestämmelse göra den federala regeringen ansvarig om den bryter mot "avslöjandet, användning och skydd av information" delar av CISPA på grund av vårdslöshet (i motsats till "avsiktlig" eller "avsiktlig" handling. Läs hela ändringstexten här: pdf.

Oj! Fortfarande med mig? Okej bra. Så, det här är många (men inte alla) av ändringsförslagen som kommer att föreslås på torsdag (och möjligen fredag), när CISPA tar till parlamentets ordet. Huset kommer att öppna sin session kl 12 ET på torsdag och kl 21 ET på fredag.

För närvarande har CISPA en god chans att passera kammaren - lagförfattarna säger att de har redan rösterna - men dess slutliga framtid beror mycket på vilka ändringsförslag som kommer in i lagförslaget innan det går till senaten. Tidigare idag Obama-administrationen hotade att lägga in sitt veto mot CISPA om den inte innehåller större integritetsskydd och uttryckliga skydd för kritisk infrastruktur. Några av dessa ändringar ovan skulle gå långt för att mildra presidentens oro. Ändå finns det absolut ingen garanti för att CISPA kommer att bli lag, eller ens passera kammaren. Men om du är intresserad av lagstiftningsprocessen (som du uppenbarligen är så långt om du har kommit så långt), är dessa ändringsförslag att titta på.

Bild via kropic1/Shutterstock