为什么你绝对应该担心反隐私的赚取IT法案

2020-07-24 00:10:28

因为互联网是一个陌生而复杂的地方,此时此刻,你的数字隐私的命运与在线留言板和评论区的命运交织在一起。而且,我们很抱歉地报告,事情看起来不是那么火爆。

争论的焦点是看似无关的“赚取IT法案”。在共和党参议员林赛·格雷厄姆(Lindsey Graham)和一系列两党共同发起人的推动下,并于上周四由参议院司法委员会(Senate Judiciary Committee)投票表决的这项措施,表面上旨在打击在线儿童性虐待材料。然而,据接受Masable采访的隐私和安全专家表示,该法案既直接威胁到端到端加密,又承诺通过削弱第230条来刺激新的、持续的在线审查制度。第230条是1996年“通信体面法”(Communication Decency Act)的一项条款,旨在保护互联网提供商免受其用户行为的责任。

正如我们经常能发现的那样,魔鬼在于细节。电子前沿基金会(Electronic Frontier Foundation)的政策分析师乔·穆林(Joe Mullin)表示,这是因为新修订的法案实质上赋予了州议员监管互联网的能力。他分析了该措施一旦成为法律,将带来的审查风险。

穆林在一封电子邮件中解释说,所有50个州都将能够制定新的互联网规则,在线平台和网站将必须遵守这些规则。对新规则的唯一限制是,在某种程度上,它们必须与打击儿童性虐待的斗争相联系。如果网站不遵守新的州级互联网规则,它们将面临私人诉讼,并可能面临州级刑事起诉。

这一担忧得到了美国公民自由联盟(ACLU)的响应,该联盟在7月1日的一封公开信中警告称,允许各州为[儿童性虐待材料]设定自己的平台责任标准,[赚取IT法案]的修订版允许各州制定不适当的标准,根据这些标准判断平台对用户生成内容的责任。

如果这一点还不够清楚,本月早些时候,在一封写给民主党参议员黛安·范斯坦(Diane Feinstein)和印度麦金尼(India McKinney)EFF联邦事务主管格雷厄姆(Graham)的公开信中,他们预测,“赚取IT法案”将导致在线平台失去第230条豁免权。换句话说,在线公司可能会对用户生成的内容承担责任。这可能会激励那些公司主动停止提供我们都认为理所当然的互联网文化中不可磨灭的服务,比如留言板。

为什么要有评论区、论坛、电子邮件服务或文件存储服务,如果你可能会为用户做的事情惹上大麻烦-即使在你不知情的情况下,穆林问道。在线平台将通过移除或不提供这些功能来对冲风险。

而且,即使如果“赚取IT法案”成为法律,可能会有50条不同的州级规则存在,但并不是说生活在一个相对不插手的州就一定会免除你的责任。毕竟,当一家公司可以简单地根据最严格的州政府的要求量身定做一切时,为什么要不厌其烦地制定50种不同的政策,并发布50种不同的特定地点的产品呢?

端到端加密是数字隐私的黄金标准。如果实现得当,它可以确保只有邮件的发件人和目标收件人才能阅读其内容。基本上,这意味着像政府、私人公司和黑客这样的第三方不会阅读你的信息、银行对账单和医生笔记。

“赚取IT法案”严格来说是“消除对交互技术的滥用和严重忽视”的首字母缩写,它有一份联合发起人名单,其中包括许多长期以来反对消费者获得端到端加密的参议员。2016年,参议员范斯坦(Feinstein)与共和党参议员理查德·伯尔(Richard Burr)共同起草了一项法案,该法案或多或少会使端到端加密变得非法。范斯坦就是这样一位收入IT法案的联合发起人。

“赚取IT法案”可能不像之前禁止端到端加密的努力那样明确,但专家们坚称,这同样是对苹果(Apple)等公司用来保护客户数据不受黑客攻击的一项技术的威胁。

当今年3月5日首次在参议院提出《赚取IT法案》时,它直接威胁到了端到端加密的合法性-以至于早在4月份,免费、开源、安全的即时通讯应用Signal就发表了一篇博客文章,警告称,如果该法案获得通过,它在美国的运营能力将面临风险。

“赚取IT法案”将第230条的保护变成了一个虚伪的谈判筹码,警告信号。从更高的层面上讲,该法案提出的制度是,公司必须通过遵循一套由委员会设计的最佳实践来获得第230条的保护,而这些最佳实践极不可能允许端到端加密。

该法案上周进行了修改,以消除部分担忧,但这些修改还不足以说服真正的隐私专家。斯坦福大学互联网与社会中心负责监控和网络安全的副主任Riana Pfefferkorn在7月6日的一篇博客文章中也明确表示了这一点。她写道,参议员帕特里克·莱希(Patrick Leahy)的修正案并不是一些人拿出的灵丹妙药,因为它回答了批评人士的担忧,即如何赚取IT可能会阻碍加密并损害网络安全。

穆林对此表示同意,并警告说,该法案可能会导致立法者坚持要求提供商在用户的设备、信息和对话被加密之前扫描它们。

他说,州立法者可以很容易地绕过莱希修正案,要求进行某种形式的客户端扫描,这已经是反加密部队一年来的发展方向。

免费反恶意软件服务Objective-See的创始人、前美国国家安全局黑客、JAMF首席安全研究员帕特里克·沃德尔(Patrick Wardle)呼应了穆林的观点,他指出,反隐私人群的收益IT法案看起来更像是一样的。

[这]似乎只是政府的最新举措。因为削弱了加密,他在推特上的一条直接消息中说。希望它不会去任何地方。

沃德尔反对“赚取IT法案”的原因有很多,不仅仅是因为他曾为美国国家安全局工作。2017年,Wardle发现了一种恶意软件菌株,它已经感染了美国数百台电脑,并被用来通过网络摄像头监视毫无戒备的受害者。2018年初,一名俄亥俄州男子被控在数千台电脑上安装恶意软件。

沃德尔反对“赚取IT法案”,他确实帮助将一名被控制作儿童色情作品的人绳之以法,这应该是一个巨大的警示,表明该措施并不像支持者所说的那样直截了当。

重要的是,该法案还没有通过;它甚至还没有提交参议院进行全票表决。即使是EFF也不能说该法案何时甚至是否会获得全票。

这并不意味着,如果它最终成为法律,它对你的隐私和我们所知的互联网构成的威胁就不会变得不那么真实。