2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
2018年12月6日,澳大利亞議會通過了“2018年電信和其他立法修正案(援助和獲取)法案”。
簡而言之,這使得澳大利亞檢察長有權(quán)強迫任何在澳大利亞經(jīng)營的公司破解其自身的安全性,允許代表其客戶訪問其持有的信息。
要求獲得這種準入的原因包括國家安全(廣泛的綜合目的),起訴澳大利亞境內(nèi)的犯罪以及起訴在其他國家犯下的罪行。
未能提供訪問權(quán)或通知客戶入侵本身就是刑事犯罪。
這是對法律巨大變化的快速解釋。需要進一步調(diào)查,我們試圖在下面提供。該法案長達224頁,因此我們不會對每一項變更發(fā)表評論。但是,我們會考慮其對新西蘭政府,公司和居民的實際影響。
雖然一些技術(shù)出版物已經(jīng)意識到變化的程度,但它們誤解了它的應(yīng)用。同樣,我在法案上看到的法律評論似乎也錯過了法律變革的廣泛影響。我們希望澄清它可能被解釋的方式,以及它對新西蘭人民和企業(yè)的影響。
第一頁包含以下聲明:
修訂有關(guān)電信,計算機訪問權(quán)證和搜查令以及其他目的的法律的法案。
美國云計劃規(guī)定,美國政府可以向美國政府(以及其他司法管轄區(qū))提供類似的訪問權(quán)限。
從這一點來看,它似乎也涵蓋了與我們的“2012年搜索和監(jiān)視法案”相同的領(lǐng)域。但它的應(yīng)用更進一步。
其他司法管轄區(qū)要求訪問,但不一定要求公司違反自己的安全。該法案迫使公司破壞可能構(gòu)成其向客戶提供服務(wù)的基礎(chǔ)的安全性,同時可能損害這些公司持有的其他信息的安全性。
為此,該法案修訂了13項單獨的法案,其中許多法案已經(jīng)到位。我們在本文中考慮的主要變化是1997年的電信法案。
根據(jù)新法律,我們尚未看到任何法庭案件。由于總檢察長的請求本身是保密的,我們想象任何有關(guān)此類請求的爭議都會得到一些小心處理,并且很可能會受到壓制,至少在做出有利于DCP(指定通信提供商)的決定之前。
由于DCP被限制通知其客戶,我們可能不會看到根據(jù)這項新法律的任何案件,直到有資格進行戰(zhàn)斗的公司(如Google或亞馬遜)收到請求。
運輸,服務(wù)和電磁能量
根據(jù)該法案提出的請求是針對DCP的。這在s317C中被定義為控制網(wǎng)絡(luò)的運營商,運營商,通過這些網(wǎng)絡(luò)提供通信服務(wù)的運營商,運輸服務(wù)提供商,以及提供允許通過運輸服務(wù)和電子服務(wù)訪問信息的服務(wù)的運營商。
運輸服務(wù)的實際定義很難寫
通過引導(dǎo)和/或非引導(dǎo)電磁能量進行通信的服務(wù)。
由此我們假設(shè)通過互聯(lián)網(wǎng)提供通信服務(wù)的任何服務(wù)都是運輸服務(wù)提供商。
與提供電子服務(wù)的那些相結(jié)合,它似乎包括幾乎所有基于互聯(lián)網(wǎng)的,甚至是現(xiàn)在的公司。
有一些例外,特別是傳統(tǒng)上只在一個方向上流動的信息,例如廣播服務(wù)。1992年廣播服務(wù)法案(定義廣播服務(wù))如何跟上在線提供的新媒體的爆炸式增長,仍有待觀察。
請求和通知
該法案以獲取信息為基礎(chǔ)。有三種類型的可能請求:技術(shù)協(xié)助請求(TAR),技術(shù)協(xié)助通知(TAN)和技術(shù)能力通知(TCN)。
這三者之間存在幾個基本差異,基于誰可以發(fā)布它們,所需的閾值和可以請求的內(nèi)容。
安全總監(jiān),澳大利亞秘密情報局,澳大利亞信號局或攔截機構(gòu)的首席執(zhí)行官可能會要求提供TAR。初始機構(gòu)是澳大利亞聯(lián)邦警察局,澳大利亞犯罪委員會或州或北領(lǐng)地的警察部隊。
TAN可由安全總監(jiān)或任何攔截機構(gòu)的首席執(zhí)行官提供。只有總檢察長或安全總監(jiān)或攔截機構(gòu)的首席官員才能提供TCN。
TAR的基礎(chǔ)相對開放,并在該法案的第317G(5)條中概述。它包括為了澳大利亞的對外關(guān)系以及信息的安全性和完整性而提及維護國家安全。
這些信息如何幫助,或閾值可能是什么,沒有明確定義。由于這是一項自愿性請求,它似乎主要將決定權(quán)交給DCP,如果DCP遵循TAR,DCP將受到保護,免受民事訴訟。
TAR是一項自愿請求,要求DCP采取某些行動。雖然沒有理由不能提出這樣的自愿請求,但是s317G(1)(c)為DCP提供了免于履行TAR的民事責(zé)任的保護。
因此,如果要遵循TAR請求,則提供其信息的一方將被限制采取行動。然后可能更有可能遵循自愿請求。
TAN和TCN在其可用目的方面更具限制性。
他們必須具有執(zhí)行澳大利亞刑法,協(xié)助在國外執(zhí)行刑法或維護國家安全的相關(guān)目標。無論是在澳大利亞還是在外國,該罪行的最高刑期必須至少為三年。
外國也可以要求對在該國持有死刑的犯罪提供援助。根據(jù)“2004年監(jiān)視設(shè)備法”第27A條,可以向外國提供援助。
DCP必須遵循TAN和TCN。TAN是使用DCP已有的功能提供幫助,例如使用對其系統(tǒng)中存儲的信息的訪問。TCN要求DCP創(chuàng)建對當(dāng)前可能不存在此類訪問的信息的訪問。這是漏洞參數(shù)開始的地方。
漏洞
TCN設(shè)置DCP的要求以創(chuàng)建訪問所需信息的方法。通常,這些信息可以被加密,或者DCP的系統(tǒng)已被設(shè)置為使這種訪問變得困難。這樣做是為了讓DCP的客戶在保密方面獲得一些安慰。TCN需要DCP來破壞該安全性。
這一要求受到了IT社區(qū)的廣泛攻擊。主流媒體在很大程度上將其描述為對消息傳遞服務(wù)的攻擊。但是,它擴展到任何DCP保留信息,因此它將涵蓋任何加密的電子郵件服務(wù),任何云服務(wù)以及澳大利亞存儲中心中保存的任何其他信息。
這包括亞馬遜云服務(wù)和Office 365中的任何內(nèi)容(盡管此信息可能在TAR / TAN下可檢索)。
它還包括大量新西蘭政府文件,現(xiàn)在存儲在澳大利亞的云存儲中。
該法確實包括一項補貼,即如果需要引入系統(tǒng)性脆弱性或系統(tǒng)性弱點,則不需要遵循TAR / TAN / TCN。
無益,這兩個術(shù)語都沒有正確定義。許多評論員建議,訪問加密服務(wù)的唯一方法是引入一種“后門”或漏洞,然后允許訪問。
這是必需的,因為DCP故意創(chuàng)建了一個安全的系統(tǒng),并且很可能在此基礎(chǔ)上出售其服務(wù)。因此,IT社區(qū)的論點是,破壞這種安全性的任何訪問都將成為系統(tǒng)性漏洞或弱點。從邏輯上講,這將是一個有效的論點。
但是,應(yīng)從法律解釋的角度來看待它。
新西蘭和澳大利亞之間的法律解釋相對類似,都基于相同的來源法律制度(并且一方的決策通常在另一方面被引用)。法院通常會以賦予其意義和目的的方式解釋立法。
雖然IT社區(qū)將安全性視為系統(tǒng)漏洞,但這會使法律失去作用。因此,法院需要設(shè)定更高的門檻,并考慮實施議會的意圖。
由于任何要求TCN必須經(jīng)過總檢察長的請求,議會都提供了自己的保障,因此使用此類法律只有經(jīng)總檢察長批準后才可能根據(jù)行政部門的意見。
然后,法院可以將大多數(shù)此類請求視為在法律允許范圍內(nèi),僅在通知限制通知的情況下才會創(chuàng)建易于訪問的漏洞。
我們認為,法院可能會認為漏洞可以得到充分保護,因此無法達到閾值。在此基礎(chǔ)上,大多數(shù)TCN可能是可執(zhí)行的。
然而,至少在新西蘭,有些情況下,法院故意采取非常狹隘的觀點。
在這些極少數(shù)情況下,已經(jīng)采取措施限制可能被視為違反其他權(quán)利的行為,允許法院有效地超越議會制定法律的權(quán)利。這種情況可能存在于此,因為新法律確實試圖破壞隱私權(quán)。
授予TCN不僅僅是尋求信息的一方的問題。創(chuàng)建此類漏洞可能會降低DCP存儲的任何其他信息的安全性。律師事務(wù)所,我們的客戶和新西蘭政府可能是私人和商業(yè)敏感信息。
保護客戶
我們尚未看到法院將如何處理此類爭議以及如何解釋系統(tǒng)性漏洞或弱點。
這些定義可能無法公開獲得,直到富裕到足以承擔(dān)澳大利亞政府的公司(例如亞馬遜及其AWS服務(wù))收到此類請求。
希望至少對新西蘭來說,政府文件可以同時轉(zhuǎn)移到陸上設(shè)施。
如果您在澳大利亞使用DCP,請考慮以DCP難以訪問的方式親自加密信息。或者將其存放在新西蘭的非美國公司。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。