Tính riêng tư của châu Âu bị mất - và làm thế nào để lấy lại được

By Glyn Moody, Published 11:13, 25 September 13

Theo: http://blogs.computerworlduk.com/open-enterprise/2013/09/european-privacy-lost---and-how-to-get-it-back/index.htm

Bài được đưa lên Internet ngày: 25/09/2013

Lời người dịch: Các trích đoạn: “Trong làn sóng các rò rỉ từ Edward Snowden, chúng ta bây giờ biết rằng không có gì là tốt lành cả, rằng các giao tiếp truyền thông của chúng ta đang bị gián điệp và bị lưu trữ trong một phạm vi không thể tưởng tượng nổi trước đó, và rằng không chỉ mã khóa không an toàn như chúng ta từng nghĩ, mà còn bị các chính phủ Mỹ và Anh làm xói mòn có chủ ý để thực hiện việc gián điệp lên mọi người dễ dàng hơn”. Để tránh điều này, người châu Âu cho rằng “Những đầu tư trong một Đám mây châu Âu (European Cloud) sẽ mang những lợi ích kinh tế cũng như cung cấp nền tảng cho chủ quyền dữ liệu bền lâu. Điều đó chính xác là những gì tôi đã bảo vệ vào tháng 1, nhưng có một sự cấp bách được bổ sung vào việc chuyển đổi sang nguồn mở, vì chúng ta biết rằng các công ty phần mềm thương mại từng là đồng lõa trong việc làm suy yếu các sản phẩm của họ để cho phép các nhà chức trách Mỹ và Anh gián điệp những người sử dụng”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Vào đầu năm nay, tôi đã thảo luận về một báo cáo được viết cho Nghị viện châu Âu (EP), nó đã cảnh báo rằng khung pháp lý của Mỹ đã cho phép các nhà chức trách ở đó gián điệp các dữ liệu của Liên minh châu Âu (EU) mà bất kỳ dịch vụ điện toán đám mây nào của Mỹ nắm giữ. Tôi cũng đã lưu ý như một thực tế thú vị rằng NSA từng xây dựng một trung tâm dữ liệu mới khổng lồ, và rằng mã hóa có thể không đưa ra sự bảo vệ mà chúng ta từng nghĩ.

Ngược về khi đó điều này từng được xem hầu hết như là sự phỏng đoán hoang dã. Thông điệp chung từng là “đừng lo, mọi điều đều tốt lành”. Tất nhiên, trong làn sóng các rò rỉ từ Edward Snowden, chúng ta bây giờ biết rằng không có gì là tốt lành cả, rằng các giao tiếp truyền thông của chúng ta đang bị gián điệp và bị lưu trữ trong một phạm vi không thể tưởng tượng nổi trước đó, và rằng không chỉ mã khóa không an toàn như chúng ta từng nghĩ, mà còn bị các chính phủ Mỹ và Anh làm xói mòn có chủ ý để thực hiện việc gián điệp lên mọi người dễ dàng hơn.

Một trong những tác giả của báo cáo tiên tri đó của EP từng là Caspar Bowden, người đã đưa ra một cái nhìn được cập nhật vào tình trạng về tính riêng tư của EU dưới ánh sáng của những tiết lộ của Snowden. Nó có tên là “Các chương trình giám sát (PRISM) của Cơ quan An ninh Quốc gia Mỹ (NSA) và các hoạt động của Luật Giám sát Tình báo Nước ngoài (FISA) và tác động của nó lên các quyền cơ bản của các công dân EU” [.pdf] và việc đọc không thể thiếu cho bất kỳ ai mà muốn biết chúng ta đang đứng ở đâu và - quan trọng hơn - chúng ta có thể có khả năng làm gì.

Đây là tóm tắt:

Phần đầu đưa ra một tính toán lịch sử các chương trình giám sát của Mỹ, chỉ ra rằng các nhà chức trách Mỹ đã liên tục không đếm xỉa tới quyền con người về tính riêng tư của những người không phải là người Mỹ. Phân tích các chương trình giám sát khác nhau (Echelon, PRISM) và pháp luật về an ninh quốc gia của Mỹ (FISA, PATRIOT và FAA) rõ ràng chỉ ra rằng các hoạt động giám sát của các nhà chức trách Mỹ được tiến hành mà không tính tới các quyền của các công dân và những người cư trú không phải người Mỹ. Đặc biệt, phạm vi của FAA tạo ra một sức mạnh giám sát ồ ạt đặc biệt nhằm vào các dữ liệu của những người không phải người Mỹ nằm bên ngoài nước Mỹ, bao gồm cả các dữ liệu được “Điện toán đám mây” xử lý, mà lảnh tránh qui định Bảo vệ Dữ liệu EU.

Phần 2 đưa ra tổng quan các khe hở pháp lý chính, các lỗ hổng và các xung đột của các chương trình đó và những hậu quả khác nhau của chúng đối với các quyền của những người Mỹ và các công dân EU. Phần này tháo gỡ các điều khoản pháp lý mà các chương trình giám sát của Mỹ và những sự không chắc chắn xa hơn trong các ứng dụng của họ, như:

• những giới hạn nghiêm trọng đối với Sửa đổi bổ sung số 4 đối với các công dân Mỹ

• các sức mạnh đặc biệt đối với các giao tiếp truyền thông và dữ liệu cá nhân của những người không phải là người Mỹ;

• sự thiếu hụt bất kỳ các quyền riêng tư có thể nhận thức được đối với “những người không phải là người Mỹ” theo FISA

Phần này cũng chỉ ra rằng việc gia tăng và lan truyền rộng rồi sử dụng Điện toán đám mây làm xói mòn tiếp tục sự bảo vệ dữ liệu đối với các công dân của EU, và rằng một sự rà soát lại một số cơ chế đang tồn tại và được đề xuất từng được đưa ra tại chỗ để bảo vệ các quyền của các công dân EU sau khi xuất khẩu dữ liệu, thực sự vận hành như là các lỗ hổng.

Cuối cùng, một số lựa chọn chiến lược cho EP được phát triển, và các khuyến cáo có liên quan được gợi ý để thúc đẩy qui định của EU trong tương lai và cung cấp những bảo vệ có hiệu lực để bảo vệ các quyền của các công dân EU.

Trong những cái sau làm một yêu cầu mà các website của Mỹ chào các dịch vụ tại EU nên bị ép triển khai một lưu ý cảnh báo rằng dữ liệu có thể bị giám sát. Không may, hầu hết mọi người sẽ chỉ nháy vào “đồng ý” (“agree”) khi những điều đó bật ra, có lẽ thậm chí không có đọc các chi tiết. Hữu dụng hơn, báo cáo gợi ý rằng thỏa thuận Safe Harbour (Bến cảng An toàn) theo đó các dữ liệu cá nhân của EU được xuất khẩu sang Mỹ, nên được viện tới và thỏa thuận lại dưới ánh sáng của những gì chúng ta bây giờ biết về các hoạt động giám sát của Mỹ.

Ý tưởng khác là như sau:

Chính sách công nghiệp đầy đủ cho phát triển một khả năng tính toán Đám mây châu Âu (European Cloud) tự trị dựa vào phần mềm tự do nguồn mở nên được ủng hộ. Một chính sách như vậy có thể làm giảm sự kiểm soát của Mỹ đối với đầu cao của chuỗi giá trị thương mại điện tử Đám mây và các thị trường quảng cáo trực tuyến của EU. Dữ liệu hiện hành của châu Âu được mở ra cho điều khiển thương mại, giám sát tình báo nước ngoài và gián điệp công nghiệp. Những đầu tư trong một Đám mây châu Âu (European Cloud) sẽ mang những lợi ích kinh tế cũng như cung cấp nền tảng cho chủ quyền dữ liệu bền lâu.

Điều đó chính xác là những gì tôi đã bảo vệ vào tháng 1, nhưng có một sự cấp bách được bổ sung vào việc chuyển đổi sang nguồn mở, vì chúng ta biết rằng các công ty phần mềm thương mại từng là đồng lõa trong việc làm suy yếu các sản phẩm của họ để cho phép các nhà chức trách Mỹ và Anh gián điệp những người sử dụng.

Bowden cũng đưa ra khuyến cáo thú vị sau:

Sự bảo vệ và những sáng kiến có hệ thống đối với những người thổi còi sẽ được giới thiệu trong Qui định mới. Những người thổi còi nên được trao những đảm bảo mạnh về sự miễn nhiễm và tị nạn, và được thưởng 25% tiền phạt bất kỳ phải nộp sau đó. Người thổi còi có thể phải sống trong nỗi sợ hãi bị trả thù từ nước của họ đối với phần đời còn lại của họ, và phải đề phòng tránh “sự đầu hàng” (việc bắt cóc). Thật chớ trêu, luật Mỹ đưa ra các phần thưởng mức 100 triệu USD cho những người thổi còi tiết lộ sự tham nhũng (trong môi trường mua sắm công và áp giá).

Tôi nghĩ điều này thực sự là một ý tưởng lớn. Những người thổi còi không chỉ được ban cho những đảm bảo miễn nhiễm và bảo vệ, họ có thể có khả năng sinh lợi từ các hành động công khai mạnh mẽ bằng việc chia sẻ trong các khoản phạt được áp đặt. Điều đó có thể làm thay đổi bức tranh trong thế giới máy tính, vì nó có thể làm ít dễ dàng hơn đối với các ứng dụng nguồn đóng để ẩn đi các cửa hậu dạng mà chúng ta đã biết tới gần đây.

Giống như báo cáo trước đó mà Bowden đã đóng góp, nghiên cứu gần đây nhất là quan trọng, và tôi khuyến cáo rằng mỗi người đọc nó để hiểu mọi điều tồi tệ thế nào, và cách mà chúng ta có thể bắt đầu sửa điều đó. Đây là đoạn kết bài diễn văn hoành tráng của báo cáo, nó đặt ra những điều trong một ngữ cảnh lịch sử:

Những suy nghĩ được nhắc tới trong tâm trí của mọi người bằng những tiết lộ của Edward Snowden không thể ngừng nghĩ tới. Chúng ta đang sống trong một xã hội khác trong hậu quả. Mỗi người bây giờ đều biết, rằng cộng đồng tình báo Mỹ có thể biết bất kỳ bí mật cá nhân nào trong các dữ liệu điện tử được gửi trong dải của NSA. Những diễn biến đó có thể gây bất ổn sâu sắc cho các xã hội dân chủ, loại trừ sự thực hiện các quyền con người và chính trị cơ bản, và tạo ra một dạng mới sức mạnh Toàn thị cưỡng bức và xảy ra tức thời.

Có một sự đối xứng lịch sử giữa những xâm nhập trong các quyền của những người Mỹ theo Sửa đổi bổ sung số 4, và sự xem thường quyền con người đối với tính riêng tư của bất kỳ ai khác trên thế giới. Trong giai đoạn dẫn tới cuộc Chiến tranh giành Độc lập của Mỹ thì nước Anh đã sử dụng “các quyền chung” trao quyền cho bất kỳ sự tìm kiếm nào mà không nghi ngờ, và nó là sự phẫn uất chống lại sức mạnh đó và sự lạm dụng của nó đã tạo động lực cho Sửa đổi bổ sung số 4 sau đó đối với Hiến pháp Mỹ.

FISA 702 (tên hiệu là §1881a) là một sự cho phép chung để thu thập dữ liệu và kéo lưới đối với các thông tin liên quan tới các công việc đối ngoại của Mỹ, nhưng tính riêng tư của những người Mỹ là không bị xâm phạm một cách hợp pháp (dù là theo lý thuyết) trừ phi ngưỡng pháp lý cao của “tính cần thiết” được đáp ứng. Điều đặc biệt đối với các cuộc cách mạng Mỹ là trước đó 10 năm một trường hợp nổi tiếng trong luật của Anh đã cấm các cho phép chung như vậy. Họ đã xem nó như là sự đạo đức giả mà các luật họ đã không viết, và có thể không thay đổi, đã bảo vệ tính riêng tư của những người thống trị của họ, nhưng không đối với các chủ đề thuộc địa. Nguyên lý y hệt đang bị đe dọa ngày nay.

At the beginning of this year, I discussed a report written for the European Parliament, which warned that the US legal framework allowed the authorities there to spy on EU data held by any US cloud computing service. I also noted as an interesting fact that the NSA was building a huge new data centre, and that encryption might not offer the protection we thought.

Back then this was mostly regarded as wild speculation. The general message was "don't worry, everything's fine." Of course, in the wake of the leaks f-rom Edward Snowden, we now know that nothing is fine, that our communications are being spied on and stored on a previously unimaginable scale, and that not only is encryption not as safe as we thought, but has been wilfully undermined by the US and UK governments so as to make spying on everyone easier.

One of the authors of that prescient EP report was Caspar Bowden, who has put together an up-dated look at the state of EU privacy in the light of the Snowden revelations. It's entitled "The US National Security Agency (NSA) surveillance programmes (PRISM) and Foreign Intelligence Surveillance Act (FISA) activities and their impact on EU citizens' fundamental rights" [.pdf] and is indispensable reading for anyone who wants to know whe-re we stand and - more importantly - what we might be able to do.

Here's the summary:

The first section provides a historical account of US surveillance programmes, showing that the US authorities have continuously disregarded the human right to privacy of non-Americans. The analysis of various surveillance programmes (Echelon, PRISM) and US national security legislation (FISA, PATRIOT and FAA) clearly indicates that surveillance activities by the US authorities are conducted without taking into account the rights of non- US citizens and residents. In particular, the scope of FAA cre-ates a power of mass- surveillance specifically targeted at the data of non-US persons located outside the US, including data processed by 'Cloud computing', which eludes EU Data Protection regulation.

The second section gives an overview of the main legal gaps, loopholes and controversies of these programmes and their differing consequences for the rights of American and EU citizens. The section unravels the legal provisions governing US surveillance programmes and further uncertainties in their application, such as:

- serious limitations to the Fourth Amendment for US citizens
- specific powers over communications and personal data of “non-US persons”;
- absence of any cognizable privacy rights for “non-US persons” under FISA

The section also shows that the accelerating and already widespread use of Cloud computing further undermines data protection for EU citizens, and that a review of some of the existing and proposed mechanisms that have been put in place to protect EU citizens’ rights after data export, actually function as loopholes.

Finally, some strategic options for the European Parliament are developed, and related recommendations are suggested in order to improve future EU regulation and to provide effective safeguards for protection for EU citizens’ rights.

Among the latter is a requirement that US Web sites offering services in the EU should be forced to carry a warning notice that data may be subject to surveillance. Unfortunately, most people will just click on "agree" when such things pop up, probably without even reading the details. More usefully, the report suggests that the Safe Harbour agreement under which EU personal data is exported to the US, should be revoked and re-negotiated in the light of what we now know about US surveillance activities.

Another idea is the following:

A full industrial policy for development of an autonomous European Cloud computing capacity based on free/open-source software should be supported. Such a policy would reduce US control over the high end of the Cloud e-commerce value chain and EU online advertising markets. Currently European data is exposed to commercial manipulation, foreign intelligence surveillance and industrial espionage. Investments in a European Cloud will bring economic benefits as well as providing the foundation for durable data sovereignty.

That's precisely what I advocated back in January, but there's an added urgency to moving to open source, since we know that commercial software companies have been complicit in weakening their products to allow the US and UK authorities to spy on users.

Bowden also makes the following interesting recommendation:

Systematic protection and incentives for whistle-blowers should be introduced in the new Regulation. Whistle-blowers should be given strong guarantees of immunity and asylum, and awarded 25% of any fine consequently exacted. The whistle-blower may have to live in fear of retribution f-rom their country for the rest of the lives, and take precautions to avoid “rendition” (kidnapping). Ironically, US law already provides rewards of the order of $100m for whistle-blowers exposing corruption (in the sphere of public procurement and price-fixing).

I think this is a really great idea. Not only are whistleblowers accorded guarantees of immunity and protection, they would be able to profit f-rom their public-spirited actions by sharing in the fines imposed. That would dramatically change the landscape in the computer world, since it would make it less easy for closed-source applications to hide backdoors of the kind we have learned about recently.

Like the earlier report that Bowden contributed to, this latest study is important, and I recommend that everyone read it in order to understand just how bad things are, and how we might start to rectify that. Here's the report's splendid peroration, which puts things in a historical context:

The thoughts prompted in the mind of the public by the revelations of Edward Snowden cannot be unthought. We are already living in a different society in consequence. Everybody now knows, that the US intelligence community might know any personal secret in electronic data sent in range of the NSA. These developments could be profoundly destabilising for democratic societies, precluding exercise of basic political and human rights, and creating a new form of instantaneous and coercive Panoptic power.

There is a historical symmetry between the incursions on the Fourth Amendment rights of Americans, and the disregard for the human right to privacy of everyone else in the world. In the period leading up the US War of Independence the British used “general warrants” which authorised any search without suspicion, and it was resentment against this power and its abuse that motivated the subsequent Fourth Amendment to the US Constitution.

FISA 702 (aka §1881a) is a general warrant to collect data and trawl for information related to US foreign affairs, but Americans' privacy is legallly sacrosanct (albeit in theory) unless the high legal threshold of “necessity” is met. What particularly galled the American revolutionaries was that ten years earlier a famous case in English law had prohibited such general warrants. They regarded it as hypocrisy that laws they did not write, and could not change, protected the privacy of their rulers, but not colonial subjects. The same principle is at stake today.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com