GDPRは無意味だった：チャット監視でEUのプライバシーは終焉へ

Hacker Newsの意見

• 誰かが「個人的に隠すことなんてないからSignalでチャットしてる」と言ったら、私はいつもその人にスマホのロックを解除して私に渡してみてほしいと頼む。この冗談を言っても、うまく伝わらないことが多い。(関連記事)

  • その理屈は間違っている。人々は政府とお互いを同じようには信頼しない。投票が秘密であるのにも理由がある。もし政府がチャットとソーシャルネットワークだけで国民の投票傾向を80%以上予測でき、新しい政党の結成を事前に把握し、友人たちの秘密まで掴んで報道機関に流したり、曖昧な罪状で起訴できたりするなら、私たちは政府を実質的に変えられる機会を失うことになる。知識は力だ。今の力のバランスが個人に偏りすぎているように感じるのか、自問してみてほしい
  • 私は個人的な話から一歩離れて、人々が最も恐れる権力があらゆる秘密の調整を事前に知っている状況を考えてみてほしいと勧めたい。私は自分自身にはほとんど隠すことがないが、誰かが秘密を持てることを心から望む。そうでなければ、私たちは権力の乱用にもっと効果的に抵抗できない
  • もし本当にスマホを差し出してきたら、その次に何をするつもりなのか気になる。写真や恋人との会話を漁って、何かを見つけて笑おうというのか？ こういう状況が現実でどう続いていくのか、あまり想像できない

• こういう政策を導入するなら、まず5年間、すべての政治家と公務員、その家族、さらには子どもたちまでを対象に先に試すべきだと思う。セキュリティ研究者にはそのシステムを自由にハックできるように認め、刑事罰はなしにすべきだ。データにアクセスした記録はすべて、公開ブロックチェーン上に仮名で記録されるべきだ。5年後には統計と報告書を公開し、どれだけ犯罪が減ったのか、誰がなぜ処罰されたのかを大量のログとともに開示し、最後に国民がこのシステムの実施可否を投票で決めるのが筋だと思う

  • この提案の問題は、政治家は行動を変えないだろうという点だ。最適な政治家は道徳性のない徹底した現実主義者であるべきで、連邦的民主主義で成功するにはやむを得ない。Chat Controlを積極的に推進しているロビー勢力が誰なのか知る必要がある。メディアは彼らの不正を掘り起こし、広く知らせるべきだ
  • こういうやり方は誰にとっても公正な扱いではないと思う。この全面監視は、違法であれ合法であれ、あらゆる秘密を暴き、深刻な被害をもたらすことになる。国家が国民を監視することを許した瞬間、その国家は存在してほしくない形に変わってしまう。監視国家に良い結果は期待できない
  • こういうシステムがあれば、Ursula von der LeyenとPfizerの間のSMSも見られたはずだという点では皮肉だ
  • 本当の問題は、あらゆる犯罪をすべて防ぐ、あるいは解決するという目標そのものが、自由にとって最悪のシナリオだということだ。抵抗自体が不可能になるので、最終的には権力の乱用と独裁へ崩れていく確率は0%ではない。実際に独裁へ抵抗した数多くの革命や血なまぐさい歴史、民主主義への移行がどれほど多くの暴力と脅迫、犠牲を伴ってきたかを考えれば、私たちにはいつでも抵抗できる権利と、さらには暴力や憎悪についてすら組織的に語れる空間が必要だ。こうした自由は悪人にも利用されうるが、それは私たちが支払うべき代償だ

• 「チャット」という言葉を外して「Control」だけ残すべきだと思う。今議論されているChatControl法案は曖昧すぎて、オンラインで共有や同期が可能なあらゆるサービスに適用されうる。チャット、メール、ファイル共有、ToDoリストなど、全部が対象だ

  • 私には、ChatControlはEUが米国のNSA/Echelonのような密かな大規模監視システムの構築に失敗した結果に見える。欧州の検索エンジンやクラウドと同じように失敗し、結局は露骨に法律を作って押し通そうとしているのだと思う。実装が実質的に非効率であることを願う。私たちは1984やBrave New Worldに生きているのではなく、映画Brazilのような「1985年EU式」ディストピアにいる
  • 辞書的な意味でいえばwiretap（盗聴）という言葉もあるし、いっそ今後は「wireless tap（無線盗聴）」と呼ぼうという話だ

• 西側の民主国家の人たちは、この現象をどう受け止めているのか気になる。私はほとんど独裁に近い国で生きてきたので、こういう統制が当然だと感じてきた。だが、EUや米国は違うと思っていた。こういうニュースが出続けているのに、目立った反応がないのが理解できない

  • 市民団体、プライバシー団体、裁判所、EU議会などではかなり強い反対がある。批判事例
  • 私は米国に住んでいるが、私自身もこの状況には呆れている。以前はインターネットコミュニティは、もっと軽いディストピア的でない規制に対しても強く反応していたのに、最近はどれだけ状況が悪くなっても皆が無感覚だ。犠牲を伴う何かのために積極的に動く人が減り、私でさえ何をすべきかわからない。少し前まではSOPAの話で皆が怒っていたのに、今は本当にみんな鈍感になったように感じる
  • 西側では主に「子どもを守らなければならない」という名目で世論誘導がよく行われる。小児性愛、薬物、自殺、自傷、サイバーブリングなどについて、メディアが恐ろしい事例を持ち出して反対意見を封じる戦略が通用している
  • EUと米国は確かに違う。プライバシーは主にコンプライアンスと民事訴訟を通じて守られる。以前起きた3億人規模のデータ流出事件でも、課された罰金は1件あたり0.25ドル程度だった。その一方でEUは、企業ポリシー違反などに対してははるかに高額の罰金を科す。例として、アイルランドDPCがFacebookのEU-米国間データ移転違反に12億ユーロ（約13億ドル）の罰金を科したことがある。関連リンク
  • 私の国は、ほんの35年前に共産主義から抜け出したばかりだ。私の知る人たちは皆その政策に反対している。大国が多数決で決めようとする試みは何度もあったが、今でも各国すべての同意を必要とする「全会一致の原則」に従っている。1か国でも反対すれば導入は難しい

• 最近I2Pを使ってみたが、設計や技術的な品質が本当に印象的だった。分散ネットワークに必要な機能をほぼすべて備えた見事なソフトウェアだ。ただ、ネットワーク効果のため実質的に最も不足しているのはコミュニティだ。安定したルーターが多いほど高速で信頼性の高いネットワークになるが、現状では遅い。それでも一度使ってみることを勧めたいし、セキュリティや匿名性に関心がなくても、hole punchingや公開鍵によるグローバルアドレス付与など、面白い点が多い。SAMインターフェースとライブラリも提供されていて、他のアプリにも適用できる

  • I2P公式サイト
  • I2Pは20年以上前から良いと聞いてきたが、実際に使うと、Torノードのように他人が怪しいサイトへアクセスしたことで自分にとばっちりが来るような危険があるのか気になる
  • このコメントのおかげで私もI2Pを始めることになった。私のRaspberry Piルーターと複数のサーバーが、今ではI2P floodfillノードになっている
  • 具体的に何のことを話しているのか気になるので、関連リンクを共有してほしいというお願いだ

• 中央サーバーなしで暗号化メッセンジャーアプリを作れるのか気になっていた。BitTorrentのマグネットリンクのように、皆がメッセージ中継の帯域を分担しつつ、自分に関係するメッセージだけを見られる構造だ。初歩的な知識では可能そうに見えるし、将来のプライバシー志向ソリューションになりそうだと思った。調べてみたら、実際にBriarというものがある

  • 昔のSkypeがそういう仕組みだった。中央サーバー（スーパーノード）があって発見機能だけを提供し、ユーザーは直接接続して会話していた。長時間起動され、リソースに余裕のあるクライアントはスーパーノードにもなれた
  • Delta ChatはWeb版はないが、インストール不要のアプリの中では最高だと思う。Chatiwiは、インストール不要の唯一のe2e暗号化チャットサービスのようだ（純粋なJavaScriptなのでソースコードやネットワークを確認できる）。BriarとToxはアプリをインストールしなければならず、iOSでは動かない。Briarは中断されたようだ
  • さまざまな分散化レベルのソリューションが存在する。Briarは完全なp2pだ。Matrixはサーバーがあるが、各サーバーが独自に運用される連合モデルだ
  • 中央ノードのないp2p暗号化メッセンジャーは十分作れるが、一般ユーザーにとって簡単で人気の出るものにするのはほぼ不可能だ。友だち追加やマルチデバイス同期、プッシュ通知などが非常に難しい。一方で、MatrixやJabberのようなものを個人サーバーで動かし、Wireguardでアクセス制御するほうがはるかに現実的だ。セットアップも自動化されたアプリがある（Amnezia Proxy参照）。こうしたサーバーは公開運用ではないので一般人はアクセスできず、家族やプロジェクトなど小規模グループには十分だ。だが、FacebookやTwitterのような大規模サービスはUXの摩擦のため不可能だ
  • 政治的な問題を技術的ソリューションだけで解決しようとした時点で、すでに負けている

• EUではユーザー追跡のような個人情報収集は許しながら、ユーザー自身が削除や操作できるローカルCookieに匿名データを保存することは、むしろもっと厳しく制限している。しかもいつも煩わしい警告まで付く

  • EUは以前からインターネット監視を一貫して推進してきており、今ようやく政治環境が熟してきたように見える。こうした言い訳や正当化の論理を長年維持してきたのを見ると、何十年にもわたって組織的な背後勢力があったのではないかと推測してしまう。単に「EUが無能だ」で片づけるのは甘いと思う
  • EUの論理は「政府だけが個人情報を追跡できる」であり、米国の論理は「巨大企業だけが個人情報を追跡すべきだ」というものだ。個人的には政府が追跡するほうがまだましだ。どうせ政府は巨大企業からデータを買うだろうし、巨大企業はその要求のおかげでもっと儲かるのだから
  • EUでは実際には、固有識別子のような情報を含まない完全に匿名のCookieは許可されている。「匿名化データ」と言っていても実際にはそうでないことが多い
  • GDPRは、ローカルCookieに保存される匿名化データを規制する法律ではない

• 私の国（現首相はEUのお気に入りの人物だ）では、その政策が通ることは絶対にない。少数与党政権で、大統領も国民も反対している。今回は通らず、2年後に再び議論されるだろうと思う。だが、デンマークの人たちはこういうことが起きているのに、大規模な反対デモがないのが理解できない

  • 理由は金の流れを追えばわかる。最近急増しているインターネット検閲も、AI企業が新製品を売り込むためにロビー活動した結果だ

• ChatControlイニシアチブの実際の背後にいるのが誰なのか気になる。名前が黒塗りされていた記憶がある

  • DSAを強く推進したのは、非常に物議を醸しているThierry Bretonだ。Atosの元CEOで、欧州域内市場担当のコミッショナー、現在はBank of Americaのアドバイザーだ。Atosは欧州のセキュリティインフラ構築の最大受益企業だ。だが実際には、キリスト教、社会主義、自由主義、緑の党など、幅広いEU議会の支持によって通過した。投票記録参照
  • デンマークとスウェーデンが先頭に立っている
  • 人々はスウェーデンが主導していると言うが、実際にはNSAが運営するThornという慈善団体が2012年からロビー活動してきた
  • Thorn公式情報

• ECJ（欧州司法裁判所）がChatControlのような法案に対して無効訴訟を受け付ける可能性があるのか気になる。たとえ可決されたとしても、政府の構造が賛成か反対かに関係なく、私的に影響を受ける個人は法案の無効を裁判所に求められる。だから、まだ法廷に持ち込めるはずだ

  • ECJが以前にそのような判断を下したことがあるのか気になる