Data
Protection Responses To PRISM "A Smokescreen"
Một
chuyên gia về tính riêng tư trên trực tuyến đã tố giác
các câu trả lời cho sự giám sát Internet của Mỹ và đã
kêu gọi sự miễn nhiễm tại châu Âu với những người
mà nói về các tác động của nó.
An
online privacy expert has denounced European responses to US Internet
surveillance and called for legal immunity in Europe for those that
report its effects.
Published 09:30, 17 June
13, by Simon
Phipps
Bài được đưa lên
Internet ngày: 13/6/2013
Lời
người dịch: Trích đoạn: “Điều này có lẽ hiển
nhiên bất hợp pháp theo Công ước Quyền Con người của
châu Âu - ECHR (European Convention of Human Rights) và vì thế
nó không thể là hợp pháp đối với các chính phủ châu
Âu để không bảo vệ được các công dân của họ khỏi
rủi ro này. Nhưng các nhà làm luật của châu Âu đã
không hiểu rằng những gì đang bị đe dọa là lớn hơn
nhiều so với các mối đe dọa cũ về các giao tiếp dữ
liệu đang bị can thiệp trên đường truyền. Các công
ty như Microsoft có tham vọng thương mại chiến thắng các
hợp đồng Đám mây để xử lý tất cả các dữ liệu
mà trước đó có thể còn nằm ở bên trong nước đó -
thậm chí các dữ liệu của khu vực nhà nước về cuộc
sống riêng tư của các công dân”. Simon Phipps đưa
ra 3 giải pháp cho châu Âu để thoát khỏi sự giám sát
và phụ thuộc hoàn toàn vào các đám mây của các công
ty Mỹ. Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Tại hội
nghị Nhóm các Quyền Mở ở Luân Đôn gần đây, một
trong những câu chuyện phổ biến nhất - Làm
thế nào để nghe trộm điện thoại đám mây (mà
không ai biết) - đã được chuyên gia độc lập về giám
sát và tính riêng tư Caspar Bowden đưa ra. Cho tới năm 2011
ông ta từng là Cố vấn trưởng về tính riêng tư của
Microsoft và ông có một sự hiểu biết sâu về mức độ
mà Mỹ và các các quốc gia khác giám sát Web.
Các rủi ro có liên
quan tới PRISM tới không làm ông ngạc nhiên. Quả thực,
trước đó trong năm ông đã là đồng tác giả của một
báo
cáo cho Nghị viện châu Âu vào tháng 11/2012 với những
giải thích đầu tiên về vấn đề của FISA 702, và có
liên quan tới những khe hở trong luật Bảo vệ Dữ liệu
của EU. Các câu Hỏi - Đáp với Caspar đã được chuẩn
bị vào tháng 2 cho một xuất bản phẩm của Pháp. Khi đó
ông đã không biết về sự tồn tại của PRISM, và phân
tích đã dựa hoàn toàn vào nghiên cứu từ các nguồn tin
mở. Như Caspar đã bình luận khi tôi đã hỏi ông cuối
tuần này, thì bản phân tích đó vẫn còn hoàn toàn phù
hợp.
Hỏi: Vì sao Luật Sửa
đổi bổ sung FISA 2008 (FISAAA) là luật nguy hiểm hơn cho
tính riêng tư của người dân châu Âu so với Luật Yêu
nước?
Trả lời: Cả Luật
Yêu nước và Luật FISAAA đều hơn 100 trang, và phức tạp
hơn nhiều so với các luật tương ứng của châu Âu. Ít
người Mỹ đã nghiên cứu chúng cẩn thận, để kệ một
mình các chuyên gia bên này Đại Tây Dương. Cả 2 luật
đều cho phép các cơ quan tình báo và ép tuân thủ luật
khác nhau của Mỹ can thiệp, cài rệp và lấy dữ liệu
theo các cách thức khác nhau.
Nhưng theo các điều
khoản của Luật Yêu nước thì hầu hết là về việc
yêu cầu các dữ liệu trong các số lượng được xác
định và hữu hạn. Cái mới của FISAAA (1881a) là:
- Nó nhằm chỉ vào các dữ liệu của không phải các công dân Mỹ nằm bên ngoài nước Mỹ (như các dữ liệu thuộc về phần còn lại của thế giới);
- Nó đặc biệt áp dụng cho các nhà cung cấp điện toán đám mây (không chỉ các nhà chuyển tải viễn thông) và
- nó đã loại bỏ những ràng buộc trước đó mà từng cản trở sự thu thập dữ liệu liên tục và giám sát ồ ại mà FISAAA cho phép Cơ quan An ninh Quốc gia ra lệnh cho các công ty Đám mây lớn để thực hiện các cài đặt vĩnh viễn cho việc quét liên tục qua tất cả các dữ liệu mà họ xử lý bên ngoài nước Mỹ. Vì họ có thể ra lệnh nên điều này được thực hiện từ bên trong các trung tâm dữ liệu của nhà cung cấp Đám mây, mã hóa các dữ liệu giữa Đám mây và máy tính của bạn là phù hợp và không đưa ra sự bảo vệ nào.
Một nghiên cứu khác
gần đây cho Nghị viện châu Âu đã đề xuất rằng mọi
người có thể chỉ tự mình mã hóa các dữ liệu trước
khi gửi vào Đám mây, nhưng điều này chỉ ra một sự
hiểu nhầm cơ bản. Kho lưu trữ dữ liệu ở xa như vậy
là một khía cạnh rất thông thường của điện toán đám
mây. Nhà cung cấp Đám mây phải có khả năng làm việc
với các dữ liệu được giải mã để xử lý sức mạnh
của Đám mây sẽ là hữu dụng, và yêu cầu của FISAAA
có thể được đặt ở bất kỳ chỗ nào mà sự giải
mã này xảy ra. Điều này có thể được thực hiện với
phần cứng có sự thanh tra gói sâu - DPI
(Deep-Packet-Inspection) hoặc có lẽ kinh tế hơn ở mức
không nhìn thấy đối với nền tảng phần mềm. Có các
tiền lệ kỹ thuật và pháp lý cho các mối quan tâm đó,
và thậm chí một tài liệu các tiêu chuẩn xác định
“Can thiệp Hợp pháp Như một Dịch vụ Đám mây” -
LIaaS (Lawful-Intercept-as-a-Cloud-service).
2
khía cạnh mà tôi vẫn thấy thú vị rằng trước hết
hình như không ai lưu ý thấy phạm vi của FISAAA từng
được mở rộng từ việc nghe trộm viễn thông cũng đạt
được tới bên trong trung tâm dữ liệu - không có gì
được ghi về điều này trong 4 năm. Thứ 2, mỗi tin bài
về FISAAA kể từ 2008 đã nêu nó dường như là nó trước
hết là một mối đe dọa cho những người Mỹ. Mục tiêu
của FISAAA là bất kỳ ai không phải là người Mỹ - mạnh
mối là ở thế giới “nước ngoài”!
Hỏi: Chỉ thị Bảo
vệ Dữ liệu của EU cấm truyền các dữ liệu cá nhân
vượt ra ngoài lãnh thổ của nó. Vì sao điều này không
ngăn cản được sự truy cập của Mỹ tới các dữ liệu?
Đó là một màn khói.
EU đã đầu hàng sức ép kinh tế Mỹ trong năm 2000 với
thỏa thuận “Bến cảng An toàn” (Safe Harbor) mà đã cho
phép hầu hết các sự truyền với chỉ những qui định
yếu ớt về sự riêng tư thương mại, nhưng thậm chí
lãnh đạo Microsoft ở Anh đã cam kết không đưa ra sự
bảo vệ nào chống lại Luật Yêu nước (hãy chỉ một
mình FISAAA).
Các cơ chế khác cũng
đã không được đưa ra ngoại trừ sự cấm chung chung
trong Chỉ thị, mà Internet đã làm giảm tới một sự hư
cấu pháp lý. Thật kỳ lạ, một lỗ hổng mới đặc
biệt từng được pha chế chỉ cho điện toán Đám mây
trong Qui định mới về DP được đề xuất, gọi là “Các
qui định Ràng buộc Tập đoàn cho các nhà xử lý dữ
liệu”.
Các nhà chức trách
Bảo vệ Dữ liệu - DPA (Data Protection Authorities) dường
như hầu hết đưa vào trong trò chơi đố chữ, vì họ
không muốn công chúng hiểu họ có rất ít quyền lực
thực tế. Ý tưởng là nhà cung cấp Đám mây có một
công ty kiểm toán khu vực tư nhân để chứng thực hệ
thống Đám mây chung về an ninh, tạo ra nhiều công việc
giấy tờ có ấn tượng, và sau đó truyền ồ ạt vào
Đám mây sẽ trở thành hợp pháp mà không có các câu hỏi
nào được đặt ra tiếp sau. Tuy nhiên, mà không công ty
kiểm toán tư nhân nào, nghĩ tới uy tín của họ, có thể
một cách chính thức mở việc nghe trộm bí mất được
luật an ninh quốc gia của nước khác ra lệnh cả. Khi
người ta đặt điểm này tới các công ty kiểm toán thì
họ nhún vai và nói “không phải phòng của tôi”.
Vị thế của DPA rằng
điều này không được giả thiết xảy ra, mà nếu xảy
ra thì BCR bị phạt theo lý thuyết, nó đã không bị ép
tuân thủ phù hợp - và các vấn đề “con sóc bí mật”
như vậy là cho các chính phủ chứ không phair cho các DPA.
Một cách ngẫu nhiên, nếu bất kỳ ai từ bên trong chính
phủ Mỹ hoặc nhà cung cấp Đám mây đã thông báo cho các
nhà chức trách của châu Âu về điều này, thì họ có
thể cọi thường tòa án giám sát đặc biệt của Mỹ
(FISC) và cũng phá Luật Gián điệp Mỹ (mà ngăn cản sự
tiết lộ thông tin như vậy với một hình phạt tử hình
có thể).
Thật
khác thường là hầu hết các quan chức châu Âu và các
qui định bảo vệ dữ liệu dường như được xác định
để bỏ qua vấn đề đó (một ngoại lệ là công việc
nổi tiếng nhất quán của Schleswig-Holstein ULD). Nó phản
ánh thái độ khá quan liêu, nhấn mạnh cấu trúc pháp lý
đứng trên cả thự tế kỹ thuật. Hơn nữa các quan chức
bị vận động hành lang mạnh mẽ từ giới công nghiệp
và dưới sức ép to lớn phải tìm ra một số cách thức
để hợp pháp hóa điện toán Đám mây, để giữ cho
doanh nghiệp châu Âu có tính cạnh tranh. Nhưng việc mất
chủ quyền đối với các dữ liệu cá nhân của các công
dân châu Âu thì không có cách gì để giữ có tính cạnh
tranh được!
Phải
ghi nhớ, vấn đề đó không chỉ là với các trung tâm dữ
liệu trên lãnh thổ Mỹ. Các Luật Yêu nước và FISAAA có
thể được áp dụng một cách nghiêm ngặt ở bất cứ
đâu trên thế giới (thậm chí bên trong EU) cho bất kỳ
công ty nào đang kinh doanh tại Mỹ, dù trong thực tế có
hầu hết rủi ro khi các dữ liệu về mặt vật lý rời
khỏi EU. Sự đảm bảo tốt nhất sẽ tới từ việc sử
dụng phần mềm tự do (FLOSS) từ đỉnh tới đáy, với
việc lưu ý và kiểm toán của tất cả các bản vá, và
sự thanh tra được các chuyên gia triển khai cục bộ mà
không có lợi ích được ban hoặc các bổn phận đối
với các chính phủ nước ngoài.
Hỏi: Điều gì nên
được thực hiện để bảo vệ chống lại sự giám sát
không gian mạng lan rộng này?
Trả lời: Tôi còn
chưa nhắc tới khía cạnh đáng lo ngại nhất. Tôi nghĩ
lý do mà các nhà chức trách của châu Âu từng quá tự
mãn là họ đã tin tưởng vào những đảm bảo cá nhân
từ Mỹ rằng tất cả điều này là về việc đấu tranh
chống khủng bố. Nhưng có thứ gì đó mà hầu như không
bao giờ được nhắc tới trong phân tích pháp lý hoặc
chính sách là định nghĩa về “thông tin tình báo nước
ngoài” (kể từ lần đầu Luật FISA vào năm 1978) đã
bao gồm “thông tn với sự tôn trọng một tổ chức
chính trị nằm ở nước ngoài hoặc lãnh thổ nước
ngoài mà có liên quan tới sự tiến hành các công việc
ngoại giao của nước Mỹ”.
Đây
là một quyền hành thực sự đối với sự giám sát
chính trị thuần túy, không có liên quan gì tới các mối
đe dọa an ninh thực sự hoặc tội phạm. Như chúng tôi
đã nói rồi, 1881a đưa ra sự bảo vệ bằng 0 đối với
các dữ liệu không phải của người Mỹ, và thậm chí
định nghĩa thông tin mà có thể bị ngắm đích vì những
lý do chính trị là rộng lớn hơn đối với những người
không phải là người Mỹ, một sự phân biệt đối xử
gấp đôi về quốc tịch.
Điều
này có lẽ hiển nhiên bất hợp pháp theo Công ước Quyền
Con người của châu Âu - ECHR (European Convention of Human
Rights) và vì thế nó không thể là hợp pháp đối với
các chính phủ châu Âu để không bảo vệ được các
công dân của họ khỏi rủi ro này. Nhưng các nhà làm
luật của châu Âu đã không hiểu rằng những gì đang bị
đe dọa là lớn hơn nhiều so với các mối đe dọa cũ về
các giao tiếp dữ liệu đang bị can thiệp trên đường
truyền. Các công ty như Microsoft có tham vọng thương mại
chiến thắng các hợp đồng Đám mây để xử lý tất cả
các dữ liệu mà trước đó có thể còn nằm ở bên
trong nước đó - thậm chí các dữ liệu của khu vực nhà
nước về cuộc sống riêng tư của các công dân.
Tôi
thấy 3 khả năng giải quyết vấn đề. Đầu tiên là
châu Âu thương thảo một hiệp định với Mỹ trao sự
nhận thức rõ ràng về các quyền ECHR của chúng ta. Nhưng
nước Mỹ đã khóa nhiều yêu cầu khiêm tốn hơn như vậy
từ EU trong thập niên vừa qua. Khả năng thứ 2 là châu
Âu thực hiện một quyết định chiến lược để xây
dựng một nền công nghiệp Đám mây nghiêm túc và tự
trị (hãy nghĩ cách mà Airbus bây giờ có được thị phần
ngang bằng với Boeing). Nhưng Neelie Kroes đang đầu tư 15
triệu euro, trong khi nền công nghiệp Đám mây của Mỹ đã
đầu tư hàng chục tỷ USD.
Cuối
cùng, khả năng thứ 3, là EU có thể đưa ra sự loại trừ
về pháp lý và bồi thường tài chính vì việc báo cáo
giám sát mà vi phạm luật của EU. Họ có lẽ là những
kỹ sư hoặc luật sư làm việc cho giới công nghiệp hoặc
chính phủ Mỹ, và họ có thể bị rủi ro lớn bằng việc
trở thành những người nói ra những điều sai trái, nên
những bồi thường có thể phải là đáng kể. Đây là
phương pháp được sử dụng trong nhiều phần của thế
giới, bao gồm cả Mỹ, để đấu tranh chống tham nhũng
trong nhà nước và sự trốn thuế.
Vì sao không sử dụng
phương pháp này để ép tuân thủ Bảo vệ Dữ liệu và
tôn trọng các quyền con người của công dân châu Âu? Sự
bồi thường có thể được trả từ những khoản phạt
được đặt vào các công ty, và chỉ phương pháp này có
thể đưa ra một sự ngăn chặn thực thi được chống
lại mọt sự phạm tội không dò tìm ra được một cách
ảo. 3 khả năng đó không loại trừ lẫn nhau. Được sử
dụng trong một sự kết hợp thì chúng ta có thể có được
một nền công nghiệp Đám mây phát triển ở châu Âu với
một sân chơi bình đẳng cho sự cạnh tranh, và sự Bảo
vệ Dữ liệu thực sự chứ không ảo tưởng.
At
the Open Rights Group conference
in London recently, one of the most popular talks -- How
to wiretap the Cloud (without anybody noticing) -- was given by
independent privacy and surveillance expert Caspar Bowden. Until 2011
he was Chief Privacy Adviser to Microsoft and he has a deep
understanding of the extent of US and other national surveillance of
the Web
The
risks related to PRISM came as no surprise to him. Indeed, earlier in
the year he had co-authored a report
to the European Parliament of November 2012 which was the first
explanation of the problem of FISA 702, and associated loopholes in
EU Data Protection law. The Q & A with Caspar that follows was
prepared in February for a French publication. At that time he had no
knowledge of the existence of PRISM, and the analysis was based
entirely on research from open sources. As Caspar commented when I
asked him this weekend, the analysis is still completely relevant.
Q:
Why is the the FISA Amendment Act 2008 (FISAAA) a more dangerous law
for Europeans' privacy than the PATRIOT Act?
A:
Both the PATRIOT and FISAAA laws are over one hundred pages, and much
more complex than corresponding European laws. Few Americans have
studied them carefully, let alone experts this side of the Atlantic.
Both laws allow various American intelligence and law-enforcement
agencies to intercept, bug and seize data in different ways.
But
in simple terms PATRIOT is mostly about demanding data in finite and
defined amounts. The novelty of FISAAA (1881a) is that:
- it targets only the data of non-Americans located outside outside the US (i.e. the data belonging to the rest-of-the-world);
- it specifically applies to Cloud computing providers (not just telecommunications carriers) and
- it removed previous constraints which hindered continuous data collection and mass-surveillance FISAAA allows the National Security Agency to order the big Cloud companies to make permanent installations for continuously scanning through all the data they process from outside the US. Because they can order this is done from within the Cloud provider's data-centres, encryption of data between the Cloud and your computer is irrelevant and offers no protection.
Another
recent study for the European Parliament proposed that people could
just encrypt data themselves before sending to the Cloud, but this
shows a fundamental misunderstanding. Such remote data storage is a
very trivial aspect of Cloud computing. The Cloud provider must be
able to work with decrypted data in order for the processing power of
the Cloud to be useful, and the FISAAA equipment can be placed
wherever this decryption occurs. This might be done with
deep-packet-inspection (DPI) hardware or probably more economically
at the invisible level of the software platform. There are legal and
technical precedents for these concerns, and even a standards
document which defines “Lawful-Intercept-as-a-Cloud-service”
(LIaaS).
Two
aspects I still find amazing are that firstly apparently nobody
noticed that the scope of FISAAA was extended from wire-tapping
telecommunications to also reach inside the data-centre - nothing was
written about this for 4 years. Secondly, every news article about
FISAAA since 2008 has reported it as if it was primarily a threat to
Americans. The target of FISAAA is everyone who is not American - the
clue is in the word "foreign"!
Q:
The EU Data Protection Directive prohibits the transfer of personal
data outside its territory. Why doesn't this prevent US access to
data?
It's
a smokescreen. The EU capitulated to US economic pressure in 2000
with the “Safe Harbor” agreement which allowed most transfers
with only weak rules about commercial privacy, but even the UK chief
of Microsoft has admitted offers no protection against PATRIOT (let
alone FISAAA). Neither do
the other mechanisms notionally provided as exceptions to the general
prohibition in the Directive, which the Internet has reduced to a
legal fiction. Bizarrely, a special new loophole has been concocted
just for Cloud computing in the proposed new DP Regulation, called
"Binding Corporate Rules for data processors".
Data
Protection Authorities seem almost complicit in this charade, because
they do not want the public to understand they have very little real
power. The idea is that the Cloud provider gets a private-sector
audit company to certify the generic Cloud system for security,
producing a lot of impressive paperwork, and then massive transfers
to the Cloud will become lawful without further questions asked. But
no private audit company, however fancy their reputation, can
discover officially secret wire-tapping ordered by the national
security law of another country. When one puts this point to the
audit companies they shrug and say “not my department”.
The
DPA's position is that this is not supposed to happen, but if it does
the BCR was fine in theory, it was just not enforced properly - and
anyway such "secret squirrel" matters are for governments
not DPAs. Incidentally, if anyone from inside the US government or
the Cloud provider informed European authorities about this, they
would be held in contempt by the special US surveillance court (FISC)
and also be breaking the US Espionage Act also (which deters the
disclosure of such information with a possible death penalty).
It
is extraordinary that most European officials and DP regulators seem
determined to ignore the problem (an exception is the consistently
outstanding work of Schleswig-Holstein ULD). It reflects a rather
bureaucratic attitude, which emphasises legal structure above
technical reality. Also officials have been lobbied intensively by
industry and are under immense pressure to find some way to
legitimise Cloud computing, to keep European business competitive.
But losing sovereignty over Europeans' personal data is no way to
stay competitive!
Also
it must be remembered, the problem is not just with data-centres on
US territory. PATRIOT and FISAAA can be secretly applied anywhere in
the world (even inside the EU) to any company doing business in the
US, although in practice there is most risk when data physically
leaves the EU. The best assurance will come from using free software
(FLOSS) from top to bottom, with logging and auditing of all patches,
and inspections carried out locally by experts without a vested
interest or foreign allegiances.
Q:
What should be done to protect against this widespread
cyber-surveillance?
A:
I haven't yet mentioned the most disturbing aspect. I think the
reason that European authorities have been so complacent is they have
believed private assurances from the US that this is all about
fighting terrorism. But something that is almost never mentioned in
legal or policy analysis is that the definition of "foreign
intelligence information" (since the first FISA law in 1978) has
included
"information
with respect to a foreign-based political organization or foreign
territory that relates to the conduct of the foreign affairs of the
United States "
This
is a true carte blanche for purely political surveillance, unrelated
to criminality or genuine security threats. As we said already, 1881a
offers zero protection to the data of non-Americans, and even the
definition of the information which can be targeted for political
reasons is broader for non-Americans, a double-discrimination by
nationality.
This
would be indisputably illegal under the European Convention of Human
Rights (ECHR) and so it cannot be lawful for European governments to
fail to protect their citizens from this risk. But European
policy-makers have not understood that what is at stake is much more
than the old risks of data communications being intercepted in
transit. Companies such as Microsoft have the commercial ambition of
winning Cloud contracts to process all data that previously would
have remained inside the country - even public sector data about
citizens' private lives.
I
see three possibilities to solve the problem. The first is that
Europe negotiates a treaty with the US giving explicit recognition of
our ECHR rights. But the United States has blocked much more modest
demands from the EU over the past decade. The second possibility is
that Europe takes a strategic decision to build a serious and
autonomous Cloud industry (think how Airbus now has equal market
share with Boeing). But Neelie Kroes is investing 15 million
Euros, whereas the US Cloud industry has invested tens of billions
of dollars.
Finally,
the third possibility, is that the EU could offer legal immunity and
financial rewards for reporting surveillance which breaks EU law.
They might be engineers or lawyers working for US industry or
government, and they would be taking enormous risks by becoming
whistleblowers, so the rewards would have to be substantial. This is
the method used in many parts of the world, including the US, to
fight public corruption and evasion of taxation.
Why
not use this method to enforce Data Protection and respect for
European human rights? The rewards would be paid from fines imposed
on the companies, and only this method might provide a realistic
deterrent against a crime which is virtually undetectable. These
three possibilities are not mutually exclusive. Used in combination
we might get a flourishing European Cloud industry with a level
playing field for competition, and real not illusory Data Protection.
Dịch: Lê Trung Nghĩa