1 ポイント 投稿者 GN⁺ 2024-01-31 | 1件のコメント | WhatsAppで共有
  • Ron Wyden上院議員が公開した文書により、NSAによるインターネット記録の購入が明らかになり、この記録はユーザーが訪問したWebサイトや利用したアプリを露出させうる
  • Wydenは、情報機関がデータブローカーから米国人の個人データを購入する慣行をやめ、FTC基準を満たした合法的なデータ販売のみを許可するよう求めた
  • NSAは、米国内の携帯電話から収集された位置データの購入・利用は否定した一方、国内インターネット通信および米国IPを含む海外通信の商用netflow非コンテンツデータの購入・利用は認めた
  • この情報が公開されるまでにほぼ3年を要し、WydenがNSA長官候補の指名に保留をかけて初めて公開が承認された
  • データブローカーを通じた政府による個人データ購入は、裁判所や令状要件を迂回できるため、米国人のプライバシーと国内監視への統制を弱める

NSAのインターネット記録購入を確認

  • Ron Wyden上院議員が公開した文書で、NSAが米国人のインターネット記録を購入している事実が確認された
  • このインターネット記録は、ユーザーがどのWebサイトを訪れ、どのアプリを使っているかを明らかにしうる
  • WydenはAvril Haines国家情報長官に送った書簡で、情報機関がデータブローカーから違法に取得された米国人の個人データを買えないようにする政策を採用するよう求めた
  • Wydenは「米国政府は、米国人のプライバシーを露骨に侵害するいかがわしい産業に資金を供給し、正当性を与えるべきではない」と述べた

データブローカーが作る令状回避ルート

  • 政府がデータブローカーから国内データを購入することは、すでに繰り返し起きてきた
  • 連邦機関と地域の法執行機関は民間企業が提供する国内データを買ってきており、これは最高裁が設けた制約を回避する手段として機能しうる
  • 政府は第三者原則(Third Party Doctrine)を適用できるとみているが、多くのアプリやサービスは、ユーザーが十分に認識しないままデータを収集している
    • 一見単純なモバイルゲームでさえ携帯電話の位置情報を照会し、それを特定のデバイスIDと結び付けることができる
    • こうした収集は利用規約の深いところに隠れていることがある

Wydenの公開プロセスと要求事項

  • Wydenは、NSAによる国内インターネットメタデータ購入の情報公開承認を得るまでにほぼ3年かかったと明らかにした
  • 国防総省は2021年3月、米国人の個人データを購入している国防総省の構成機関を確認してほしいというWyden側の要請に対し情報を提供した
  • その後、2021年5月にWydenが非機密情報の公開承認を求めたが、国防総省はこれを拒否した
  • WydenがNSA長官候補の指名に保留をかけて初めて、その情報の公開が承認された
  • Wydenの書簡は、各情報コミュニティ(IC)構成機関に次のことを求めている
    • データブローカーからのデータ購入に関する調査開始
    • データブローカーの事業慣行に対するFTC調査
    • データブローカーから購入した個人データ一覧の提供

NSAが否定したことと認めたこと

  • NSAは2023年にWydenへ送った書簡で、米国内で使用されていることが知られている携帯電話から収集された位置データを、裁判所命令の有無にかかわらず購入も利用もしないと述べた
  • この否定は位置データに限られており、Wydenが懸念したインターネット記録購入全体を否定したものではない
  • 同じ書簡でNSAは、商業的に利用可能なnetflow非コンテンツデータを購入・利用していると認めた
    • 完全に国内のインターネット通信に関するデータ
    • 一方が米国のインターネットプロトコルアドレスで、もう一方が海外にあるインターネット通信に関するデータ
  • この認定は、NSAの国内監視の範囲がデータブローカー市場を通じて広がりうることを示している

Section 702と国内監視への懸念

  • NSAはSection 702の収集を通じて、米国人のデータや通信を「不注意に」かき集めうる機関としてすでに知られている
  • FBIがSection 702を国内監視に繰り返し乱用してきたという文脈もあわせて言及されている
  • このような状況では、NSAがデータブローカーから別途データを購入する必要があるのかという疑問が残る
  • 批判の焦点は、NSAが立証された国家安全保障上の必要性のためではなく、収集できる経路ができたためにより多く集めているように見える点にある
  • データブローカーを通じた米国人データの購入が政府の日常業務として固定化すれば、監視権限に対する実質的な統制はさらに難しくなる

1件のコメント

 
GN⁺ 2024-01-31
Hacker News のコメント
  • 政府が相当な理由なく市民の情報にアクセスするのは、たとえ購入を通じてであっても、合衆国憲法修正第4条の文言そのものではないにせよ、その精神には反しているように見える 現代では「捜索と押収」なしでも個人に関する膨大な情報を集められるので、修正第4条を現代に合わせて更新する憲法改正が必要に思える。データ収集は今の時代で最も大きな争点の一つだが、少なくとも政府が私たちの税金や負債を使って、権利を合法的に迂回すべきではないという点には大半の人が同意しそうだ

    • これは第三者法理にさかのぼる データを第三者に渡した瞬間、もはや「合理的なプライバシーの期待」はないため、捜索ではないという前提だ。家の横に置かれたゴミ箱はまだ自分の管理下にあるので権利があるが、収集車が持っていくよう道路脇に出した瞬間にその権利を放棄した、という判例にも似ている。これが良いと言っているわけではなく、むしろ嫌だが、現在の米国判例上はこう機能している。変えるには議会が新しい法律を作るか憲法を改正する必要があり、「どうあるべきか」という考えは、法律の裏付けがなければ意味が小さくなる
    • このデータ収集と利用の大半は、事実上捜索と押収に当たると思う ただし政府ではなく民間企業が行っているという違いがあり、個人的にはむしろ政府だけが行う場合より悪いと思う
    • 残念ながら修正第4条はかなり狭く解釈されている より具体的なプライバシー権を明記する追加条項があればよいと思う。「違法な」捜索を防ぐということは、結局、事後に法廷まで行かなければならないという意味なので、ほとんど無意味に近い。修正第4条は、本来持つべき力の10%程度しかない感じがする
    • 他人が警察にあなたに関する情報を自発的に提供することは以前から合法で、その人が事業者であるかどうかは関係ない 今すぐ警察に電話して、lumb63 が HN に 2024-01-30T14:14:13 にコメントしたと言えるし、もっと詳しい情報を知っていればそれも言える。警察は合法的に聞くことができる。自分が知っている誰かについて何でも話せるのに、なぜそれが違法であるべきなのか分からない。この状況は修正第4条とは関係がなく、修正第4条は政府が情報を強制的に持ち去ることを防ぐ条項だ
    • 「権利」は、権利章典に含まれているものでさえ毎日踏みにじられている 隠し持った銃を持って州境を越えてみるか、探知犬が反応した後にK-9警官へ車を捜索できないと言ってみるか、表現の自由を盾に毒舌と見なされる言葉をまき散らしてみればいい。「権利」などなく、いまいる場所と時間で個人が守り切れるものだけがある
  • 機関が商業的に入手可能なデータを買うことが、なぜそこまで大きな論争になるのかよく分からない そもそもそのデータが収集され、お金さえ払えば誰にでも提供される現実のほうが、より大きな問題ではないかと思う

    • いくつか可能性を考えられる 第一に、普通の人の立場では、企業がこうした情報を持っていること自体が本質的に問題ないとは言えない。第二に、機関は納税者のお金でこの情報を買うので、私たちが同意しないかもしれない市場を育てていることになる。第三に、政府機関には規則があり、その機関が規則を迂回したり抜け穴を見つけたりすれば、機関への信頼に悪影響がある。第四が最も重要かもしれないが、政府機関には民間企業にはできないことを行う権限と力がある。捜査の開始、検察官からの法的助言、起訴、令状発付、召喚、逮捕、拘禁などが可能で、いずれも侵害的で費用がかかり、弁護士費用から懲役まで、さまざまな悪い結果につながり得る
    • 政府は暴力の独占を持っているので、より異なった、より制限的な規則に従うべきだ NSA が民間データを買うことが法的にどうなのかは分からないが、自国民を監視してはならないという法律の精神には反しているように感じる
    • 政府が特別なのは、全員に影響する法律を作れる広範な権力があるからだ 例えば修正第1条の「議会は表現の自由を制限する法律を作ってはならない」は政府には適用されるが、小学3年生の教室で悪口禁止ルールを設けることには適用されない。民間の集団が特定の表現を禁じるのは、嫌なら別の場所へ行けるので合理的であり得るが、法律と政府行為の領域でははるかに慎重であるべきだ。政府は社会における武力行使を独占した唯一の主体であり、大きな力には大きな責任が伴うべきだ
    • 政府は情報を使って人を起訴できるが、企業にはそれはできない また政府は主権免除と公務員免責のため、悪意ある行動について企業よりはるかに責任を問われにくい
    • 民間企業は政府の後押しなしには、あなたを刑務所に送ったり基本的自由を奪ったりできないが、政府にはそれができる 権利章典と憲法は概して、民間人ではなく政府の行き過ぎからあなたを守るためのもので、民間人同士の問題は主に州・地方レベルの一般法が扱う。米国では常にそうした法的区別があった
  • 記事では NSA について「国内監視を行う能力が十分にあり、実際にも頻繁に行っているなら、なぜ自前の大量収集網からより正当に得られるものを、あえて購入して収集手法の一部が露出するリスクを負うのか」と述べていたが、金銭と情報の交換という手法を敵が学ぶのではないかと NSA が心配する必要はないと思う データブローカーをハッキングするほうが、独自手法が露出する可能性は高い

  • 米国にも EU のような形のプライバシー保護があればよいのにと思う EU の制度は完璧ではないが、それでもあってほしい。私の理解では、Chuck Schumer 上院議員一人が委員会で意味のあるプライバシー保護法案を阻んでいる。まるで一人プライバシー破壊ボールのようだ。どこかで、彼の2人の娘が Meta と Microsoft だったような会社で高給の職に就いていると読んだ。要点は、プライバシー保護が強くなれば企業が売れる情報も減るということだ

    • 彼の娘たちがその要点と何の関係があるのか分からない
  • 市民権を損なう面があるとしても、機関が商業データブローカーをまったく監視しないままにすることはできない 少なくとも国内での犯罪活動のリスクを推定し、予防できなければならないからだ

    • それはむしろ機能に近い 最大のロビー勢力は銀行と、そうしたデータブローカーを使う組織だ。政府が彼らを放置しているから政府も彼らを利用でき、それが法律を迂回する方法になる
  • 問題は、これがNSAだという点 NSAは米国市民を捜査する機関ではなく、国外の信号情報を担当すべき機関。FBIやCIAがこういうことをするなら十分予想できるし、それが間違っているのかも確信できない。少なくとも、広告目的でデータを買う他の主体よりも悪質だとは見なしにくい

    • 完全に正しい話ではない CIAは米国外の情報収集のために作られた機関なので、このデータにアクセスする理由が最も少ない。FBIは法執行機関なので、令状なしにそのデータに触れたり見ることはできず、そうなると進行中の多くの事件でのデータ収集が無効になる可能性がある。NSAは米国に出入りする通信データを収集することになっている。数十年前にはこの区分は完全に明確だったが、今はそうでもない。米国人に関するデータ収集は、そのデータで何をするかによっては違法ではない場合がある。Snowdenの暴露で最も明らかになった部分は、内部脅威が米国人について収集されたNSAのデータを私的用途に悪用していた点だった
    • インターネットにおける国外がいったい何を意味するのか分からない 土地のかたまりの間に明確な線があるわけでもなく、すべてがどこにでもある
    • NSAが米国人を大規模に監視している事実は、2013年にSnowdenが暴露した 2024年になって驚く言い訳はない
  • そもそもデータブローカーがこれらすべての情報を売れるという事実ではなく、この件だけに怒るというのは想像しにくい

    • 両方に同時に憤らないというのも想像しにくい ただし一方は、数百または数千の非道徳的でおおむね匿名の主体が作った、何万件もの小さな同意違反が積み重なった結果。もう一方は、市民が自分たちを守り奉仕するよう資金を出している政府組織が犯した、巨大であからさまな憲法違反。どちらも最も厳しい処罰を受けるべき
  • データがどうやって現実世界の特定の人間と結び付くのか、よく理解できない 自分の車を例にすると、車は自分の所有物だが、あなたが運転してスピード違反をしたら反則切符を切られるのはあなた。データも同じで、この投稿が自分の名前で登録された現実世界のデバイスから上がったのは確かかもしれないが、それを現実世界の自分が実際に使ったという意味ではない

    • グローバルIPアドレスを考えればよい 位置推定は、IPアドレスを国のような不正確な範囲から、都市のようなより精密な地域まで結び付けられる。おおよその位置をいくつかの別データと組み合わせると、特定アカウントに該当する現実世界の候補を大きく絞り込める [1]。ある主要な研究によると、3つの属性だけで米国人口の87%を一意に識別でき、別の研究ではこの3つの事実だけで米国人口の63%を一意に識別できるという。オンライン活動が多ければ、あるWebサイトで他のユーザーがあなたをどう呼ぶかだけで性別や年齢が明らかになることがある。あるWebサイトが性別や誕生日を収集しているなら、その情報をデータブローカーと共有したり売ったりすることもあり得る。警察が問題になり得るオンライン行為の位置を1世帯に絞り込めば、令状を持って実際に訪ねてきて、その時間に家の中のどのコンピューターを誰が使っていたのかを尋ねることができる。 [1] https://www.eff.org/deeplinks/2023/11/debunking-myth-anonymo...
    • 複数のシグナルをまたいで相関を取るやり方で、ここで説明されている https://restoreprivacy[.]com/rtb-data-leveraged-for-user-sur...
  • Facebookもこういうことをしていた 買えるWebサイトのデータは全部買い、広告配信に使えることを知っていたので、データ購入を収益性のある事業にした。米国政府や情報機関が同じことをするなら、これを「違法」や間違いと呼べるのか疑問。政府権限を大きく動員して行ったなら法違反だろうが、すでに入手できるものを買っているだけ

  • 皮肉なのは、これをやったのが中国やロシアではないという点 なぜ自国の機関がやったときには怒りがはるかに小さい、あるいはほとんどないように見えるのか分からない

    • あなたの税金が中国の監視機構に入っているわけではないから 彼らがあなたを監視するのは当然で、それが彼らの仕事。私たちの国は、少なくとも表向きには市民を敵のように扱わないという点で彼らとは違う、と言ってきた。もちろん、ある程度までの話ではあるが