Trả lời về bảo vệ dữ liệu đối với PRISM như “một màn khói”

Data Protection Responses To PRISM "A Smokescreen"

Một chuyên gia về tính riêng tư trên trực tuyến đã tố giác các câu trả lời cho sự giám sát Internet của Mỹ và đã kêu gọi sự miễn nhiễm tại châu Âu với những người mà nói về các tác động của nó.

An online privacy expert has denounced European responses to US Internet surveillance and called for legal immunity in Europe for those that report its effects.

Published 09:30, 17 June 13, by Simon Phipps

Theo: http://blogs.computerworlduk.com/simon-says/2013/06/data-protection-responses-to-prism-a-smokescreen/index.htm

Bài được đưa lên Internet ngày: 13/6/2013

Lời người dịch: Trích đoạn: “Điều này có lẽ hiển nhiên bất hợp pháp theo Công ước Quyền Con người của châu Âu - ECHR (European Convention of Human Rights) và vì thế nó không thể là hợp pháp đối với các chính phủ châu Âu để không bảo vệ được các công dân của họ khỏi rủi ro này. Nhưng các nhà làm luật của châu Âu đã không hiểu rằng những gì đang bị đe dọa là lớn hơn nhiều so với các mối đe dọa cũ về các giao tiếp dữ liệu đang bị can thiệp trên đường truyền. Các công ty như Microsoft có tham vọng thương mại chiến thắng các hợp đồng Đám mây để xử lý tất cả các dữ liệu mà trước đó có thể còn nằm ở bên trong nước đó - thậm chí các dữ liệu của khu vực nhà nước về cuộc sống riêng tư của các công dân”. Simon Phipps đưa ra 3 giải pháp cho châu Âu để thoát khỏi sự giám sát và phụ thuộc hoàn toàn vào các đám mây của các công ty Mỹ. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Tại hội nghị Nhóm các Quyền Mở ở Luân Đôn gần đây, một trong những câu chuyện phổ biến nhất - Làm thế nào để nghe trộm điện thoại đám mây (mà không ai biết) - đã được chuyên gia độc lập về giám sát và tính riêng tư Caspar Bowden đưa ra. Cho tới năm 2011 ông ta từng là Cố vấn trưởng về tính riêng tư của Microsoft và ông có một sự hiểu biết sâu về mức độ mà Mỹ và các các quốc gia khác giám sát Web.

Các rủi ro có liên quan tới PRISM tới không làm ông ngạc nhiên. Quả thực, trước đó trong năm ông đã là đồng tác giả của một báo cáo cho Nghị viện châu Âu vào tháng 11/2012 với những giải thích đầu tiên về vấn đề của FISA 702, và có liên quan tới những khe hở trong luật Bảo vệ Dữ liệu của EU. Các câu Hỏi - Đáp với Caspar đã được chuẩn bị vào tháng 2 cho một xuất bản phẩm của Pháp. Khi đó ông đã không biết về sự tồn tại của PRISM, và phân tích đã dựa hoàn toàn vào nghiên cứu từ các nguồn tin mở. Như Caspar đã bình luận khi tôi đã hỏi ông cuối tuần này, thì bản phân tích đó vẫn còn hoàn toàn phù hợp.

Hỏi: Vì sao Luật Sửa đổi bổ sung FISA 2008 (FISAAA) là luật nguy hiểm hơn cho tính riêng tư của người dân châu Âu so với Luật Yêu nước?

Trả lời: Cả Luật Yêu nước và Luật FISAAA đều hơn 100 trang, và phức tạp hơn nhiều so với các luật tương ứng của châu Âu. Ít người Mỹ đã nghiên cứu chúng cẩn thận, để kệ một mình các chuyên gia bên này Đại Tây Dương. Cả 2 luật đều cho phép các cơ quan tình báo và ép tuân thủ luật khác nhau của Mỹ can thiệp, cài rệp và lấy dữ liệu theo các cách thức khác nhau.

Nhưng theo các điều khoản của Luật Yêu nước thì hầu hết là về việc yêu cầu các dữ liệu trong các số lượng được xác định và hữu hạn. Cái mới của FISAAA (1881a) là:

1. Nó nhằm chỉ vào các dữ liệu của không phải các công dân Mỹ nằm bên ngoài nước Mỹ (như các dữ liệu thuộc về phần còn lại của thế giới);
2. Nó đặc biệt áp dụng cho các nhà cung cấp điện toán đám mây (không chỉ các nhà chuyển tải viễn thông) và
3. nó đã loại bỏ những ràng buộc trước đó mà từng cản trở sự thu thập dữ liệu liên tục và giám sát ồ ại mà FISAAA cho phép Cơ quan An ninh Quốc gia ra lệnh cho các công ty Đám mây lớn để thực hiện các cài đặt vĩnh viễn cho việc quét liên tục qua tất cả các dữ liệu mà họ xử lý bên ngoài nước Mỹ. Vì họ có thể ra lệnh nên điều này được thực hiện từ bên trong các trung tâm dữ liệu của nhà cung cấp Đám mây, mã hóa các dữ liệu giữa Đám mây và máy tính của bạn là phù hợp và không đưa ra sự bảo vệ nào.

Một nghiên cứu khác gần đây cho Nghị viện châu Âu đã đề xuất rằng mọi người có thể chỉ tự mình mã hóa các dữ liệu trước khi gửi vào Đám mây, nhưng điều này chỉ ra một sự hiểu nhầm cơ bản. Kho lưu trữ dữ liệu ở xa như vậy là một khía cạnh rất thông thường của điện toán đám mây. Nhà cung cấp Đám mây phải có khả năng làm việc với các dữ liệu được giải mã để xử lý sức mạnh của Đám mây sẽ là hữu dụng, và yêu cầu của FISAAA có thể được đặt ở bất kỳ chỗ nào mà sự giải mã này xảy ra. Điều này có thể được thực hiện với phần cứng có sự thanh tra gói sâu - DPI (Deep-Packet-Inspection) hoặc có lẽ kinh tế hơn ở mức không nhìn thấy đối với nền tảng phần mềm. Có các tiền lệ kỹ thuật và pháp lý cho các mối quan tâm đó, và thậm chí một tài liệu các tiêu chuẩn xác định “Can thiệp Hợp pháp Như một Dịch vụ Đám mây” - LIaaS (Lawful-Intercept-as-a-Cloud-service).

2 khía cạnh mà tôi vẫn thấy thú vị rằng trước hết hình như không ai lưu ý thấy phạm vi của FISAAA từng được mở rộng từ việc nghe trộm viễn thông cũng đạt được tới bên trong trung tâm dữ liệu - không có gì được ghi về điều này trong 4 năm. Thứ 2, mỗi tin bài về FISAAA kể từ 2008 đã nêu nó dường như là nó trước hết là một mối đe dọa cho những người Mỹ. Mục tiêu của FISAAA là bất kỳ ai không phải là người Mỹ - mạnh mối là ở thế giới “nước ngoài”!

Hỏi: Chỉ thị Bảo vệ Dữ liệu của EU cấm truyền các dữ liệu cá nhân vượt ra ngoài lãnh thổ của nó. Vì sao điều này không ngăn cản được sự truy cập của Mỹ tới các dữ liệu?

Đó là một màn khói. EU đã đầu hàng sức ép kinh tế Mỹ trong năm 2000 với thỏa thuận “Bến cảng An toàn” (Safe Harbor) mà đã cho phép hầu hết các sự truyền với chỉ những qui định yếu ớt về sự riêng tư thương mại, nhưng thậm chí lãnh đạo Microsoft ở Anh đã cam kết không đưa ra sự bảo vệ nào chống lại Luật Yêu nước (hãy chỉ một mình FISAAA).

Các cơ chế khác cũng đã không được đưa ra ngoại trừ sự cấm chung chung trong Chỉ thị, mà Internet đã làm giảm tới một sự hư cấu pháp lý. Thật kỳ lạ, một lỗ hổng mới đặc biệt từng được pha chế chỉ cho điện toán Đám mây trong Qui định mới về DP được đề xuất, gọi là “Các qui định Ràng buộc Tập đoàn cho các nhà xử lý dữ liệu”.

Các nhà chức trách Bảo vệ Dữ liệu - DPA (Data Protection Authorities) dường như hầu hết đưa vào trong trò chơi đố chữ, vì họ không muốn công chúng hiểu họ có rất ít quyền lực thực tế. Ý tưởng là nhà cung cấp Đám mây có một công ty kiểm toán khu vực tư nhân để chứng thực hệ thống Đám mây chung về an ninh, tạo ra nhiều công việc giấy tờ có ấn tượng, và sau đó truyền ồ ạt vào Đám mây sẽ trở thành hợp pháp mà không có các câu hỏi nào được đặt ra tiếp sau. Tuy nhiên, mà không công ty kiểm toán tư nhân nào, nghĩ tới uy tín của họ, có thể một cách chính thức mở việc nghe trộm bí mất được luật an ninh quốc gia của nước khác ra lệnh cả. Khi người ta đặt điểm này tới các công ty kiểm toán thì họ nhún vai và nói “không phải phòng của tôi”.

Vị thế của DPA rằng điều này không được giả thiết xảy ra, mà nếu xảy ra thì BCR bị phạt theo lý thuyết, nó đã không bị ép tuân thủ phù hợp - và các vấn đề “con sóc bí mật” như vậy là cho các chính phủ chứ không phair cho các DPA. Một cách ngẫu nhiên, nếu bất kỳ ai từ bên trong chính phủ Mỹ hoặc nhà cung cấp Đám mây đã thông báo cho các nhà chức trách của châu Âu về điều này, thì họ có thể cọi thường tòa án giám sát đặc biệt của Mỹ (FISC) và cũng phá Luật Gián điệp Mỹ (mà ngăn cản sự tiết lộ thông tin như vậy với một hình phạt tử hình có thể).

Thật khác thường là hầu hết các quan chức châu Âu và các qui định bảo vệ dữ liệu dường như được xác định để bỏ qua vấn đề đó (một ngoại lệ là công việc nổi tiếng nhất quán của Schleswig-Holstein ULD). Nó phản ánh thái độ khá quan liêu, nhấn mạnh cấu trúc pháp lý đứng trên cả thự tế kỹ thuật. Hơn nữa các quan chức bị vận động hành lang mạnh mẽ từ giới công nghiệp và dưới sức ép to lớn phải tìm ra một số cách thức để hợp pháp hóa điện toán Đám mây, để giữ cho doanh nghiệp châu Âu có tính cạnh tranh. Nhưng việc mất chủ quyền đối với các dữ liệu cá nhân của các công dân châu Âu thì không có cách gì để giữ có tính cạnh tranh được!

Phải ghi nhớ, vấn đề đó không chỉ là với các trung tâm dữ liệu trên lãnh thổ Mỹ. Các Luật Yêu nước và FISAAA có thể được áp dụng một cách nghiêm ngặt ở bất cứ đâu trên thế giới (thậm chí bên trong EU) cho bất kỳ công ty nào đang kinh doanh tại Mỹ, dù trong thực tế có hầu hết rủi ro khi các dữ liệu về mặt vật lý rời khỏi EU. Sự đảm bảo tốt nhất sẽ tới từ việc sử dụng phần mềm tự do (FLOSS) từ đỉnh tới đáy, với việc lưu ý và kiểm toán của tất cả các bản vá, và sự thanh tra được các chuyên gia triển khai cục bộ mà không có lợi ích được ban hoặc các bổn phận đối với các chính phủ nước ngoài.

Hỏi: Điều gì nên được thực hiện để bảo vệ chống lại sự giám sát không gian mạng lan rộng này?

Trả lời: Tôi còn chưa nhắc tới khía cạnh đáng lo ngại nhất. Tôi nghĩ lý do mà các nhà chức trách của châu Âu từng quá tự mãn là họ đã tin tưởng vào những đảm bảo cá nhân từ Mỹ rằng tất cả điều này là về việc đấu tranh chống khủng bố. Nhưng có thứ gì đó mà hầu như không bao giờ được nhắc tới trong phân tích pháp lý hoặc chính sách là định nghĩa về “thông tin tình báo nước ngoài” (kể từ lần đầu Luật FISA vào năm 1978) đã bao gồm “thông tn với sự tôn trọng một tổ chức chính trị nằm ở nước ngoài hoặc lãnh thổ nước ngoài mà có liên quan tới sự tiến hành các công việc ngoại giao của nước Mỹ”.

Đây là một quyền hành thực sự đối với sự giám sát chính trị thuần túy, không có liên quan gì tới các mối đe dọa an ninh thực sự hoặc tội phạm. Như chúng tôi đã nói rồi, 1881a đưa ra sự bảo vệ bằng 0 đối với các dữ liệu không phải của người Mỹ, và thậm chí định nghĩa thông tin mà có thể bị ngắm đích vì những lý do chính trị là rộng lớn hơn đối với những người không phải là người Mỹ, một sự phân biệt đối xử gấp đôi về quốc tịch.

Điều này có lẽ hiển nhiên bất hợp pháp theo Công ước Quyền Con người của châu Âu - ECHR (European Convention of Human Rights) và vì thế nó không thể là hợp pháp đối với các chính phủ châu Âu để không bảo vệ được các công dân của họ khỏi rủi ro này. Nhưng các nhà làm luật của châu Âu đã không hiểu rằng những gì đang bị đe dọa là lớn hơn nhiều so với các mối đe dọa cũ về các giao tiếp dữ liệu đang bị can thiệp trên đường truyền. Các công ty như Microsoft có tham vọng thương mại chiến thắng các hợp đồng Đám mây để xử lý tất cả các dữ liệu mà trước đó có thể còn nằm ở bên trong nước đó - thậm chí các dữ liệu của khu vực nhà nước về cuộc sống riêng tư của các công dân.

Tôi thấy 3 khả năng giải quyết vấn đề. Đầu tiên là châu Âu thương thảo một hiệp định với Mỹ trao sự nhận thức rõ ràng về các quyền ECHR của chúng ta. Nhưng nước Mỹ đã khóa nhiều yêu cầu khiêm tốn hơn như vậy từ EU trong thập niên vừa qua. Khả năng thứ 2 là châu Âu thực hiện một quyết định chiến lược để xây dựng một nền công nghiệp Đám mây nghiêm túc và tự trị (hãy nghĩ cách mà Airbus bây giờ có được thị phần ngang bằng với Boeing). Nhưng Neelie Kroes đang đầu tư 15 triệu euro, trong khi nền công nghiệp Đám mây của Mỹ đã đầu tư hàng chục tỷ USD.

Cuối cùng, khả năng thứ 3, là EU có thể đưa ra sự loại trừ về pháp lý và bồi thường tài chính vì việc báo cáo giám sát mà vi phạm luật của EU. Họ có lẽ là những kỹ sư hoặc luật sư làm việc cho giới công nghiệp hoặc chính phủ Mỹ, và họ có thể bị rủi ro lớn bằng việc trở thành những người nói ra những điều sai trái, nên những bồi thường có thể phải là đáng kể. Đây là phương pháp được sử dụng trong nhiều phần của thế giới, bao gồm cả Mỹ, để đấu tranh chống tham nhũng trong nhà nước và sự trốn thuế.

Vì sao không sử dụng phương pháp này để ép tuân thủ Bảo vệ Dữ liệu và tôn trọng các quyền con người của công dân châu Âu? Sự bồi thường có thể được trả từ những khoản phạt được đặt vào các công ty, và chỉ phương pháp này có thể đưa ra một sự ngăn chặn thực thi được chống lại mọt sự phạm tội không dò tìm ra được một cách ảo. 3 khả năng đó không loại trừ lẫn nhau. Được sử dụng trong một sự kết hợp thì chúng ta có thể có được một nền công nghiệp Đám mây phát triển ở châu Âu với một sân chơi bình đẳng cho sự cạnh tranh, và sự Bảo vệ Dữ liệu thực sự chứ không ảo tưởng.

At the Open Rights Group conference in London recently, one of the most popular talks -- How to wiretap the Cloud (without anybody noticing) -- was given by independent privacy and surveillance expert Caspar Bowden. Until 2011 he was Chief Privacy Adviser to Microsoft and he has a deep understanding of the extent of US and other national surveillance of the Web

The risks related to PRISM came as no surprise to him. Indeed, earlier in the year he had co-authored a report to the European Parliament of November 2012 which was the first explanation of the problem of FISA 702, and associated loopholes in EU Data Protection law. The Q & A with Caspar that follows was prepared in February for a French publication. At that time he had no knowledge of the existence of PRISM, and the analysis was based entirely on research from open sources. As Caspar commented when I asked him this weekend, the analysis is still completely relevant.

Q: Why is the the FISA Amendment Act 2008 (FISAAA) a more dangerous law for Europeans' privacy than the PATRIOT Act?

A: Both the PATRIOT and FISAAA laws are over one hundred pages, and much more complex than corresponding European laws. Few Americans have studied them carefully, let alone experts this side of the Atlantic. Both laws allow various American intelligence and law-enforcement agencies to intercept, bug and seize data in different ways.

But in simple terms PATRIOT is mostly about demanding data in finite and defined amounts. The novelty of FISAAA (1881a) is that:

1. it targets only the data of non-Americans located outside outside the US (i.e. the data belonging to the rest-of-the-world);
2. it specifically applies to Cloud computing providers (not just telecommunications carriers) and
3. it removed previous constraints which hindered continuous data collection and mass-surveillance FISAAA allows the National Security Agency to order the big Cloud companies to make permanent installations for continuously scanning through all the data they process from outside the US. Because they can order this is done from within the Cloud provider's data-centres, encryption of data between the Cloud and your computer is irrelevant and offers no protection.

Another recent study for the European Parliament proposed that people could just encrypt data themselves before sending to the Cloud, but this shows a fundamental misunderstanding. Such remote data storage is a very trivial aspect of Cloud computing. The Cloud provider must be able to work with decrypted data in order for the processing power of the Cloud to be useful, and the FISAAA equipment can be placed wherever this decryption occurs. This might be done with deep-packet-inspection (DPI) hardware or probably more economically at the invisible level of the software platform. There are legal and technical precedents for these concerns, and even a standards document which defines “Lawful-Intercept-as-a-Cloud-service” (LIaaS).

Two aspects I still find amazing are that firstly apparently nobody noticed that the scope of FISAAA was extended from wire-tapping telecommunications to also reach inside the data-centre - nothing was written about this for 4 years. Secondly, every news article about FISAAA since 2008 has reported it as if it was primarily a threat to Americans. The target of FISAAA is everyone who is not American - the clue is in the word "foreign"!

Q: The EU Data Protection Directive prohibits the transfer of personal data outside its territory. Why doesn't this prevent US access to data?

It's a smokescreen. The EU capitulated to US economic pressure in 2000 with the “Safe Harbor” agreement which allowed most transfers with only weak rules about commercial privacy, but even the UK chief of Microsoft has admitted offers no protection against PATRIOT (let alone FISAAA). Neither do the other mechanisms notionally provided as exceptions to the general prohibition in the Directive, which the Internet has reduced to a legal fiction. Bizarrely, a special new loophole has been concocted just for Cloud computing in the proposed new DP Regulation, called "Binding Corporate Rules for data processors".

Data Protection Authorities seem almost complicit in this charade, because they do not want the public to understand they have very little real power. The idea is that the Cloud provider gets a private-sector audit company to certify the generic Cloud system for security, producing a lot of impressive paperwork, and then massive transfers to the Cloud will become lawful without further questions asked. But no private audit company, however fancy their reputation, can discover officially secret wire-tapping ordered by the national security law of another country. When one puts this point to the audit companies they shrug and say “not my department”.

The DPA's position is that this is not supposed to happen, but if it does the BCR was fine in theory, it was just not enforced properly - and anyway such "secret squirrel" matters are for governments not DPAs. Incidentally, if anyone from inside the US government or the Cloud provider informed European authorities about this, they would be held in contempt by the special US surveillance court (FISC) and also be breaking the US Espionage Act also (which deters the disclosure of such information with a possible death penalty).

It is extraordinary that most European officials and DP regulators seem determined to ignore the problem (an exception is the consistently outstanding work of Schleswig-Holstein ULD). It reflects a rather bureaucratic attitude, which emphasises legal structure above technical reality. Also officials have been lobbied intensively by industry and are under immense pressure to find some way to legitimise Cloud computing, to keep European business competitive. But losing sovereignty over Europeans' personal data is no way to stay competitive!

Also it must be remembered, the problem is not just with data-centres on US territory. PATRIOT and FISAAA can be secretly applied anywhere in the world (even inside the EU) to any company doing business in the US, although in practice there is most risk when data physically leaves the EU. The best assurance will come from using free software (FLOSS) from top to bottom, with logging and auditing of all patches, and inspections carried out locally by experts without a vested interest or foreign allegiances.

Q: What should be done to protect against this widespread cyber-surveillance?

A: I haven't yet mentioned the most disturbing aspect. I think the reason that European authorities have been so complacent is they have believed private assurances from the US that this is all about fighting terrorism. But something that is almost never mentioned in legal or policy analysis is that the definition of "foreign intelligence information" (since the first FISA law in 1978) has included

"information with respect to a foreign-based political organization or foreign territory that relates to the conduct of the foreign affairs of the United States "

This is a true carte blanche for purely political surveillance, unrelated to criminality or genuine security threats. As we said already, 1881a offers zero protection to the data of non-Americans, and even the definition of the information which can be targeted for political reasons is broader for non-Americans, a double-discrimination by nationality.

This would be indisputably illegal under the European Convention of Human Rights (ECHR) and so it cannot be lawful for European governments to fail to protect their citizens from this risk. But European policy-makers have not understood that what is at stake is much more than the old risks of data communications being intercepted in transit. Companies such as Microsoft have the commercial ambition of winning Cloud contracts to process all data that previously would have remained inside the country - even public sector data about citizens' private lives.

I see three possibilities to solve the problem. The first is that Europe negotiates a treaty with the US giving explicit recognition of our ECHR rights. But the United States has blocked much more modest demands from the EU over the past decade. The second possibility is that Europe takes a strategic decision to build a serious and autonomous Cloud industry (think how Airbus now has equal market share with Boeing). But Neelie Kroes is investing 15 million Euros, whereas the US Cloud industry has invested tens of billions of dollars.

Finally, the third possibility, is that the EU could offer legal immunity and financial rewards for reporting surveillance which breaks EU law. They might be engineers or lawyers working for US industry or government, and they would be taking enormous risks by becoming whistleblowers, so the rewards would have to be substantial. This is the method used in many parts of the world, including the US, to fight public corruption and evasion of taxation.

Why not use this method to enforce Data Protection and respect for European human rights? The rewards would be paid from fines imposed on the companies, and only this method might provide a realistic deterrent against a crime which is virtually undetectable. These three possibilities are not mutually exclusive. Used in combination we might get a flourishing European Cloud industry with a level playing field for competition, and real not illusory Data Protection.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com