1 ポイント 投稿者 GN⁺ 2023-10-23 | 1件のコメント | WhatsAppで共有
  • 米国には包括的な連邦個人情報保護法が存在しないため、携帯電話アプリで収集された個人情報がターゲティング広告産業を経由して政府監視の手段へと流れている
  • 政府は本来なら裁判所命令や令状が必要なユーザーデータであっても、データブローカーから購入してアクセスできるため、企業による監視と公権力による監視の境界が曖昧になっている
  • Wall Street Journalの調査で、Near Intelligenceは広告用データブローカーから10億台以上のデバイスデータを購入し、政府契約業者を通じて連邦の軍事・情報機関に渡される契約を結んでいたことが確認された
  • 位置データはデモ参加者、特定施設の訪問者、記者と内部告発者の接触を追跡するのに使われうるため、プライバシー侵害を超えて報復や誤認のリスクまで高める
  • 解決策は、政府が令状なしでは取得できないデータを購入できないようにするFourth Amendment is Not For Sale Actと、包括的な消費者データ個人情報保護法の制定である

広告データが政府監視に変わる経路

  • 米国には包括的な連邦個人情報保護の立法がなく、ターゲティング広告産業は携帯電話アプリで収集した個人情報を基盤として動いている
  • 企業監視と政府監視の境界が弱まる核心には、データ購入の仕組みがある
    • データが完全に暗号化されているか、ユーザーがローカルに直接保存している場合でない限り、政府は通信・コンピューティング企業からデータを得ることができる
    • 従来は裁判所命令が必要だったが、現在ではアドテック業界からデータを買ったブローカーから政府が直接購入する事例が増えている

Near Intelligenceの事例

  • Wall Street Journalの調査で、Near Intelligenceという企業のデータ取引構造が明らかになった
  • Near Intelligenceは通常広告主に売られる個人・デバイスデータをブローカーから購入している
    • 同社は10億台以上のデバイスに関するデータを購入したと明らかにしている
    • 政府契約業者と契約を結び、このデータは連邦の軍事・情報機関へ渡されていた
  • 政府は通常、相当な理由を示して令状を取得しなければならない位置情報にも、この方法でアクセス権を買うことができる
  • 多くのスマートフォンアプリ開発者は収益のために、ユーザーデータを最も高い価格を提示した相手に売ろうとし、その買い手に政府が含まれる可能性がある

令状なしの位置追跡が生みうる被害

  • 警察はこのような監視ツールでデモに参加した人々のデバイスを特定し、その人たちが眠る自宅まで追跡して、追加の監視・嫌がらせ・報復の対象にすることができる
  • 特定の場所の中にあったデバイスだけを追跡する方法も可能である
    • 移民弁護士事務所
    • リプロダクティブ・ヘルスのクリニック
    • メンタルヘルス施設
  • 記者と内部告発者の情報提供者が秘密裏に会う状況も、こうしたツールで監視されうる
  • 法執行機関の関係者が監視技術を私的で悪意ある理由乱用した事例もある

過剰取締地域と誤認のリスク

  • このような監視は、取締活動の多い地域に住む人や働く人を、警察の疑いの対象にされやすくする
  • 強盗事件が起きたピザ店の隣にいただけ、あるいはグラフィティの近くでコーヒーブレイクをしていただけでも、犯罪現場の近くにあったデバイスとして分類され、追加監視の対象になりうる

Fog Data Scienceと立法要求

  • Near Intelligenceの事例は、EFFがFog Data Scienceを調査してから1年後に出てきた
    • Fog Data Scienceは、州および地方の法執行機関に対し、数億人の米国人の精密かつ継続的な位置情報へのアクセスを提供していた企業である
    • このデータはスマートフォンアプリで収集された後、不透明なデータブローカーによって集約されたものだ
    • アクセスは容易で、しばしば令状なしで行われる
  • 議会が塞ぐべき核心はデータブローカーの抜け穴である
  • 議会と州政府は包括的な消費者データ個人情報保護法も制定しなければならない
    • 企業がユーザーデータの収集を減らせば、政府がその企業から購入できるデータも減る
  • 政府が本来令状を必要とする情報を、購入によって迂回できないようにする制度的な圧力が必要である

1件のコメント

 
GN⁺ 2023-10-23
Hacker Newsの意見
  • この記事の問題意識には同意するが、通信事業者が位置データを販売できないようにする圧力も必要ではないかと思う
    スマートフォンアプリ開発者を問題視するのも価値はあるが、ISPはスマートフォンがなくても位置を把握でき、実際に法的にもそれを報告できる必要があるはずだ(https://en.wikipedia.org/wiki/Communications_Assistance_for_... など)
    EFFは後者について、立法で防ごうとする試みはすでに無意味だと見ているのか気になる

    • まったくそんなことはない。EFFもその方向で多くの良い仕事をしている
      https://www.eff.org/issues/cell-tracking
    • その通り。そのデータの収集そのものを防ぐルールが必要だ
      人々が「所有」している機器をロックして対策を取れなくすることも防ぐべきだ
      このデータの民間利用は政府利用と同じくらい、あるいはそれ以上に心配だ。国家には少なくとも民主的責任が伴う場合が多い
    • 初期の位置集計システムの1つを作った。もしかすると最初だったかもしれないが、自信はない
      当時私の会社は米国の通信事業者と密接な関係があり、主に家族の安全を名目にしたホワイトラベルアプリを作っていた。ただ、多くのユーザーは子どもよりも配偶者や恋人の位置に関心を持っていた
      同じ頃にOAuth 1aが登場し、この関係を活用して、同意を前提にアプリ開発者へ位置情報を販売するプラットフォームを提供できればよいと考えた。プライバシー保護機能も多く盛り込もうとしていた
      結局、多少なりとも成功したアプリ開発者は1社しかおらず、プライバシー保護にあまり注意を払わない集計業者が次世代のアプリ開発者と組んだことで、製品の将来は消えた。思い出話は面白い
    • CALEAの成立後にすべてのVoIPとブロードバンドインターネットトラフィックにまで大きく拡大された、という文は、法執行機関がどんなVoIP通話でも自由に盗聴できるかのように聞こえる。実際にはどう可能なのか気になる
      通常、VoIP通話はSIPで相手を呼び出し(部分的に保護されている)、ICE/STUN/TURNで双方が最も直接的な経路を見つけ、その後に実際の音声ストリームをやり取りする構造だと理解している
      クライアントは音声ストリームをそのまま暗号化しないのだろうか? それとも通信事業者が最初のSIPホップ以降のすべてを中間者攻撃のように傍受するのだろうか? それでは「ハードウェアタップやスイッチ/ルーターのミラーポートでネットワークデータのコピーを専用IPプローブに渡す」という読み取り専用の監視方式とは合わないように見える
    • 常時オンのGPS受信機を持ち歩き、自分の位置を継続的に第三者へ送信する危険について、もっとよい教育も必要だ
      被害者非難のように聞こえるかもしれない。それでも携帯電話の電源を切るという選択は可能だ
  • AdIntという概念も参考になる。https://www.theregister.com/2023/09/16/insanet_spyware/で言及されており、仕組みはイスラエル紙Haaretzの元の調査 https://archive.ph/7dbaV により詳しく載っている
    以前投稿されたが、コメントは2件しかなかった: https://news.ycombinator.com/item?id=37542097

  • この件は、人々が思っているよりもずっとひどい形で終わる気がする
    企業が政府と結託するのはファシズムの定義ではないのか? だとしたら、今私たちが見ているのはまさにそれではないかと思う

    • 典型的な意味でファシズムとは言いにくいが、これらすべてが悪い結末を迎えそうだという直感は、おそらく当たっている可能性が高い
      Snowdenの暴露以降、多くの国が脆弱性を備蓄し、些細な目的にも適用できるデジタル権力格差を積み上げてきたことが分かった
      NSO Groupは、どんな携帯電話にも追加ソフトウェアなしで事実上ひそかに侵入できることを示し、最近のCanada/Indiaの殺人捜査のような件も、安全だと思われていたチャネルが結局は傍受されうることを示唆している
      今日のChinaやNSAが実際にどこまで可能なのか、想像するのも難しい。まだ大惨事は避けられているが、監視とインターネット統制の線はすでに引かれているという感覚がますます強くなっている。それでも、もっと楽観的な解釈を強く擁護できるなら聞いてみたい
    • 「政府と企業が結託したらファシズムではないか」という定義は初めて聞いた
      一般にファシズムは、権威主義的ナショナリズム、中央集権的な独裁指導者、軍国主義、反対派の強制的抑圧、国家や人種の利益という名目のもとで個人の利益を従属させること、そして自然な社会的階層があるという信念を維持するためのプロパガンダとして定義される
    • 昔なら、この種の濫用が悪い結末を迎えるという点には同意していただろうが、SnowdenやWikileaksの暴露の後で、私たちの制度圏がどれほど虚無主義的で邪悪になりうるかを見ても、特に何も変わらなかった
      それらの暴露の主な効果はポピュリズムの上昇だったが、ホワイトハウスを1期失ったこと以外に持続的な影響はなく、そのポピュリズム的反応も事実上は封じ込められた
      変化を起こしたいなら、まだ狂った周縁だけが騒いでいる段階、たとえば25年前や25年後くらいのもっと早い時点で介入しないと、次の流れを別の方向へ向けられないのかもしれない
    • 今日のWeb監視は、これから来るものに比べれば素朴に見えるだろう
      Quest 3やApple Visionのようなものは始まりにすぎず、誰もがARデバイスを使って歩き回るようになれば、点群(point cloud)から逃れる方法はなくなる
      これらの企業は、公共の場所で誰もがどこで何をしているかについてのリアルタイムグラフを持つことになり、どのサービスも使ったことのない人々まで含まれる。恐ろしい
    • むしろ逆に近い。ファシスト政府であれば、行政府が市場と企業を事実上統制すると考える
      しかしこの動きは、企業が政府を事実上支配し、置き換えようとしている側に近く見える。ステークホルダー資本主義という歪んだ発想が、自然な帰結まで行き着いた姿だ
  • 「データが完全に暗号化されているか、ローカルに直接保存されていない限り、政府は通信事業者やコンピューティング企業からそのデータを入手できる。伝統的には裁判所命令が必要だったが、政府はますます広告技術業界からデータを買ったデータブローカーから、そのまま買い取るようになっている」という点が核心だと思う。
    広告技術業界にはMetaやGoogleも含まれると考えている。ところが一部は「Metaは実際にはあなたのデータを売っていない」とか「Googleは実際にはあなたのデータを売っていない」と言って怒る。
    こうした企業がこのエコシステムに参加し、データブローカーから購入しているなら、データブローカーと同じくらい悪質だ。MetaやGoogleは、こうした関係で大半の金を稼ぎ監視を可能にしておきながら、批判されなくてよい大人のようなふりをするべきではない。

    • さらに腹立たしいのは、政府が自分たちのウェブサイトでこのサービスを直接使っている点だ。
      たとえば、dmv.ca.gov と irs.gov はどちらもサイト全体で Google を使っている。
      政府が本人確認やCAPTCHAのようなものが必要なときにGoogleを解決策にするなら、その仕組みは破綻している。
  • 「高度な技術を持つ民主主義は、原始的な技術を持つ独裁国家より自由が少ない」という話を聞いたことがある。

    • そう言った人は愚かだった。古代エジプト、宗教裁判時代のスペイン、ナチス・ドイツ、東ドイツでの生活を読んでみるべきだ。
      彼らは今日のスイス、ニュージーランド、デンマーク、エストニア、アイルランドより技術的には遅れていたが、より自由だったわけではない [1]。
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • 自分の個人データは、FTCが「保護」したり「規制」したりすべき対象ではないと思う。
    実効性のある唯一の立法は、ユーザーの明示的同意(例:Cookie確認)なしに 個人ユーザーデータの販売窓口全体を完全に禁止 することだけだが、そんなことは絶対に起こらないだろう。
    そして、これがこれほど露骨なのなら、なぜまだ訴訟が起きていないのかも不思議だ。米国政府はすでに憲法と修正第4条に縛られている。何をしているのかも分かっていない人たちが作った杜撰な法律が必要だとは思わない。