解释加拿大为网络攻击开绿灯的计划

Explaining Canada’s Plan to Green-light Cyber Attacks

【作者】 Michael Geist

查看原文
分享到:
四年前,爱德华·斯诺登的一系列监控披露震惊了世界,迫使许多人重新思考关于网络活动隐私的基本假设。,在接下来的几年里,我们对其他国家在类似网络活动中的作用有了更多的了解,通常是与华盛顿合作。这些与网络相关的监控项目的合法性和监督陷入了一个模糊的领域。,在加拿大,元数据项目面临法律挑战,法院判决质疑该国机构是否在法律上越位,对情报监督和许多人认为不充分的审查程序的担忧,加上当时保守党政府匆忙起草的一项立法,C-51号法案(2015年《反恐怖主义法》),这引发了广泛的批评。,本周,加拿大自由党政府公布了几十年来首次真正尝试彻底改革加拿大的监控和安全法,并没有回避斯诺登揭露的活动。,C-59法案(或2017年《国家安全法》)庞大而复杂,需要数月的研究才能全面评估其影响,尽管克雷格·福塞斯、肯特·罗奇和韦斯利·沃克等学者以及不列颠哥伦比亚省公民自由协会和加拿大大赦国际等公民自由声音都做出了一些显著反应。,然而,乍一看,它解决了一个难以跟上新兴技术步伐的法律框架,并解决了保守党早期C-51法案的一些核心批评。领先的是一个监督上层建筑,它取代了以前的孤立方法,这种方法往往使监督委员的资源和法律权力不足。政府承诺投入数百万美元,为新的监督结构提供所需的资源,同时赋予法律权力,更好、更有效地审查加拿大的活动。,该法案还将该国信号情报机构通信安全机构的一些活动置于准司法控制之下,这是该国历史上首次。新设立的情报专员(由前法官担任)必须授权一些“合理”的活动,CSE才能继续进行,对以前由国防部长酌情决定的一系列活动进行有意义的独立监督。然而,新的准司法控制可能需要一些调整,因为它受到保密性的限制——该机构只向政府和新的情报监督机构提供推理——以及缺乏上诉机制。,然而,仅靠更好的监督并不能有效地解决隐私安全平衡问题。,该法案旨在缩减破坏权力,缩小恐怖主义宣传条款的范围,并修改可能适用于公众抗议的备受批评的条款。然而,它并没有解决人们对政府内部信息共享的严重担忧,这种信息共享创造了一种“全面信息意识”的方法,而这种方法与该国的《隐私法》几乎不共存。此外,新立法避免了完全重新陷入关于合法获取数字通信的辩论,这表明另一项关于法院监督互联网服务提供商披露等问题的法案可能仍在酝酿中。,该法案可能需要最仔细研究的方面是重塑CSE的授权和权力,以及扩大加拿大安全情报局(CSIS)的网络安全活动。,从操作角度来看,CSE一直处于网络相关问题的前沿,但《国防法》中确定的任务需要广泛的解释,以使其所有网络安全活动都适合。该法令规定:通信安全机构的任务是:(a)根据加拿大政府的情报优先事项,从全球信息基础设施获取和使用信息,以提供外国情报;,(b) 提供咨询、指导和服务,帮助确保对加拿大政府具有重要意义的电子信息和信息基础设施得到保护;以及(c)为联邦执法和安全机构履行其合法职责提供技术和业务援助。,此外,目前的任务规定限制了CSE活动的地理范围:根据第(1)(a)和(b)、(a)款开展的活动不得针对加拿大人或加拿大境内的任何人;以及,(b)应采取措施保护加拿大人在使用和保留被拦截信息时的隐私。,新法案明确确认,CSE是一个网络安全机构,首次行使防御和进攻权力,并赋予其在加拿大国内运作的能力。这可能会鼓励CSE参与对外国政府的黑客攻击,访问国内互联网公司的信息,并扰乱通信活动。,新的授权确定了五项广泛的活动:外国情报、网络安全和信息保障、防御性网络行动、积极的网络行动以及技术和行动援助。鉴于外国情报和技术/行动援助是先前授权的遗留问题,新授权重新解释了建议、指导和服务,将防御和进攻性网络行动以及网络安全包括在内。,纳入积极的网络行动应引起特别关注,因为这表明加拿大愿意在全球范围内积极参与黑客活动:“机构授权的积极网络行动方面是在全球信息基础设施上或通过全球信息基础架构开展活动,以降低、破坏、影响,回应或干涉外国个人、国家、组织或恐怖组织在国际事务、国防或安全方面的能力、意图或活动。,该法案限制了这些网络操作,规定它们“不得针对加拿大人或加拿大境内的任何人”。“CSE的历史防御行动仍然有限,因为它们“不得针对加拿大境内的全球信息基础设施的任何部分”,需要部长授权,并且必须得到新设立的情报专员的批准。其新承认的进攻性网络行动也面临着类似的限制。然而,这些限制并不适用于所有情况,包括涉及获取或分析公开可用数据或网络安全、软件和系统测试的活动。,评估该法案的挑战将是梳理这些条款的影响。近年来,有许多关于加拿大参与监控活动的披露,如对机场Wi-Fi的监控或上传和下载到互联网存储网站。新规定是否明确允许此类活动?考虑将基础设施的广泛定义与为研发、测试系统或网络安全活动等目的获取、使用、分析、保留或披露基础设施信息的全面授权相结合。基础设施的定义包括:(a)全球信息基础设施的任何物理或逻辑功能组成部分;或者,(b)在网络上提供服务的两个或多个设备(不包括链接到单个用户的端点设备)之间的交互过程中发生的事件,或者在个人和机器之间发生的事件(如果交互仅涉及全球信息基础设施的功能组件)。,它不包括可能与可识别人员相关的信息。,这似乎为积极参与广泛的网络监控活动和获取网络流量以进行分析、测试、保留或披露打开了大门。这些活动不需要授权。经国防部长和情报专员批准,CSE可以被授权侵入网络,在网络上安装或分发任何东西,并采取任何行动保持秘密。它甚至可能被授权进行“未经选择的”外国情报获取——同样的大规模监视被证明是斯诺登爆料中最具爆炸性的一次——只要这些活动不是针对加拿大人的。授权有一些限制,最长可持续一年。延长部长授权不受新任情报专员授权的约束。CSE或政府对可识别人员的看法是不确定的,这引发了人们对关键数字标识符(如互联网协议地址)在他们看来是否可识别的质疑。,不可忽视的是CSE国内网络安全防御任务的显著扩展。该机构现在可以获取加拿大的数据,并与指定的国内基础设施或电子信息进行互动,以进行网络防御,从而使该机构在国内私营部门的网络安全中发挥重要的新作用。,情报专员和国防部长必须批准此类活动,CSE才能参与其中。,然而,根据C-59号法案,CSE还被授予几乎无限的自由裁量权,根据其网络安全授权评估任何系统的漏洞(包括加拿大私营部门的系统或拥有大量加拿大数据的系统)。开展此类活动不需要部长或情报专员的授权,尽管据推测,CSE在未经明确授权的情况下访问国内系统时,仍会受到《刑法》中窃听和反黑客保护的限制。,CSIS条款扩大了可能具有重大网络影响的数据集的收集范围。该法案规定,只有当数据集是公开的、属于批准的类别或主要与加拿大境外的非加拿大人有关时,CSIS才能收集数据集。这第三类主要与非加拿大人有关的数据集似乎涵盖了美国的主要社交媒体和搜索数据集,其中包括数百万加拿大人,但主要与加拿大无关。这项新计划包括一项更具针对性的尝试,旨在恢复联邦法院最近因“不必要”而关闭的CSIS元数据项目。支持者会辩称,这些与网络相关的条款只是反映了当今全球通信的现实,以及对国际网络的参与,如包括澳大利亚、加拿大、,新西兰、联合王国和美国。然而,加拿大对这些网络的参与和对更强有力的网络安全战略的接受应该睁大眼睛,认识到在明确授权对外国政府进行攻击性黑客攻击和大规模网络数据收集的情况下,加拿大现在是网络破坏和监控项目的积极参与者,几年前,这些项目的披露震惊了许多人。

相关资源