1 ポイント 投稿者 GN⁺ 2023-07-25 | 1件のコメント | WhatsAppで共有
  • Cooper Davis Act は、オンライン薬物取引への対応を名目に、ソーシャルメディア・暗号化通信プロバイダー・オンラインサービスにDEAへの通報義務を課すもので、上院本会議へ送られた
  • 企業が違法薬物の流通を 実際に認識 した場合、ユーザー名などの情報をDEAに提供しなければならず、「willfully blind」という文言が暗号化サービスの責任範囲をめぐる論争を拡大させている
  • プライバシー団体は、この法案が エンドツーエンド暗号化 を維持すること自体をリスク要因にしうるとしており、暗号化を弱めれば利用者のセキュリティとプライバシーが揺らぐと懸念している
  • DEAと支援側は、メキシコのカルテルが Facebook、Instagram、TikTok、Snapchat、WhatsApp、Telegram、Signal、Wire、Wickr などを使用した点と、1,100件以上 の関連事件を根拠として挙げている
  • 反対側は、薬物販売の表現は言語・文脈・隠語の判断を要するため、企業が令状や監督なしに私的データを法執行機関へ引き渡す構造につながりうると見ている

Cooper Davis Actの通報義務と暗号化の衝突

  • Cooper Davis Act は、Snapchatで購入したフェンタニル含有錠剤をそれと知らずに服用して死亡した Kansas の10代少年の名前を冠した超党派法案である
  • 法案は、ソーシャルメディア企業とウェブ通信プロバイダーが、プラットフォーム内の違法薬物流通を actual knowledge として把握した場合、DEAにユーザー名やその他の情報を提供するよう求めている
  • 論争の核心は、企業が違反事実に対して「willfully blind」であった場合、通報しなかった責任を負いうるという文言にある
  • Center for Democracy and Technology の Greg Nojeim は、暗号化サービスプロバイダーが2つの選択肢の間に置かれると懸念している
    • エンドツーエンド暗号化を維持すれば、違法コンテンツに故意に目をつぶったとされる責任リスクを引き受けなければならない
    • エンドツーエンド暗号化を取り除けば、既存ユーザーは新たなセキュリティ脅威とプライバシー侵害にさらされる
  • ACLU の Cody Venzke は、この条項が暗号化を標的にしていると見ており、エンドツーエンド暗号化のようなプライバシー保護技術の目的は、プラットフォーム監視からユーザーを守ることにあると指摘した
  • Signal Foundation の Meredith Whittaker は、全員を全面監視しないことまでこの論理では「willful blindness」になりうると批判した

DEAと支援側が掲げる根拠

  • 法執行機関は長年、エンドツーエンド暗号化が犯罪者、テロリスト、悪意ある行為者に悪用されうる「lawless space」を生み出すと批判してきた
  • DEAは5月の報道資料で、米国に流入するフェンタニルとメタンフェタミンの大半を密売するメキシコのカルテル2組織が、物流調整と被害者接触にソーシャルメディアアプリを使用していると明らかにした
    • 例として Facebook、Instagram、TikTok、Snapchat を挙げた
    • 暗号化プラットフォームとして WhatsApp、Telegram、Signal、Wire、Wickr にも言及した
    • 最近のDEA作戦では、メキシコ麻薬カルテルを標的とした 1,100件以上 の事件にソーシャルメディアアプリと暗号化通信プラットフォームが含まれていた
  • Dick Durbin 上院司法委員長は、企業が違法販売に法的用途のない物質であることを知りながら免責状態で運営されていると批判し、児童性的虐待資料の通報体制に類似した仕組みに言及した
  • Jeanne Shaheen 上院議員側は、DEA統計を法案の必要性の根拠として提示した
    • 5か月間にDEAが調査した 390件 の薬物過剰摂取死関連調査のうち、129件 がソーシャルメディアと直接関連していた
    • 法案は、DEAが国際犯罪ネットワークをより適切に特定・解体できる包括的かつ標準化された通報体制を作ることを目的に掲げている

プライバシー・監視への懸念とプラットフォームへの影響

  • プライバシー擁護者は、児童性的虐待画像の判別よりも 薬物販売表現の検出 の方がはるかに難しいと反論している
    • Alex Padilla 上院議員は、オンライン児童性的虐待画像とは異なり、言語は大規模監視において 文脈 が重要だと強調した
    • 同氏は、この法案が訓練を受けていないテック企業を事実上の法執行機関にしてしまう可能性があると批判した
    • また、合理的な信念だけで令状や監督なしに個人データを連邦法執行機関へ開示させるおそれがあると懸念した
  • NetChoice の Carl Szabo は、ソーシャルメディアサイトはすでに麻薬密売を防ぐために法執行機関と自主的に協力していると述べた
    • 同氏は、法案が施行されればすべての通報が Fourth Amendment 手続きの対象となり、かえって法執行機関が脅威を特定しにくくなる可能性があると見ている

1件のコメント

 
GN⁺ 2023-07-25
Hacker Newsの意見
  • 組織が自分たちの行為を規制する法律に影響力を行使するためにリソースを使えないようにする、いわば見当違いの木に吠えさせない法律が必要だと思う
    その業界が問題を最もよく知っているので意思決定に意見を出せる、という主張は可能だが、法的に秘匿すべき機微情報だけを除いた運用上の生データを提出する程度が限界であるべき
    それ以上は結局、自分たちの利益のためにロビー活動をする政府ロビイストにすぎない

    • 議員たちが薬物所持を犯罪化した瞬間から、すべてがおかしくなった
      普通の人は疑われ、犯罪者には収益性の高い市場独占権を与える仕組みでは、こういう大混乱がついてくる
      Al Caponeのような人々が禁酒法の破滅的な結果を100年前にすでに示したのに、別の物質で同じ過ちを繰り返している
    • 「組織が自分たちの行為を規制する法律に影響力を行使できない」なら、FTCは競争法案に意見を出せず、DoDも軍事法案に意見を出せないということ?
    • 自分たちで「規制」しているというWall Streetマフィアに言い分がありそうだ
    • そういう立場は誰がロビーしてくれるの? ACLU?
      ACLUのMobile Justiceアプリは、万一に備えて全員スマホに入れておくといい
  • Australia、UK、USで毎日のように新しい法案が出ているように見える
    結局、こういうものが通るまで押し続けるのか?

    • 個人が暗号化されたチャネルで通信する権利を保障する憲法修正条項が通らない限りそうだし、それは起こらないだろう
      こういう法案が出るたびに、こちらは毎回勝たなければならないが、向こうは一度勝てばいい
    • その通り。大衆の短期作業記憶はとても短いからだ
      こうした法案に反対する世論の圧力と広告キャンペーンは、継続しなければならない
      ドミノが1つ倒れただけで、「あそこで大丈夫なら、こちらも大丈夫」となってしまう
    • UKだけでなくEuropeも同じ。EUがプライバシー天国だという煙幕にだまされてはいけない
      EUがUSではないからといって、似たような、あるいは同じ資金源に支えられた同じ権威主義的なことをしないという意味ではない
      「凶悪犯を捕まえなければならない/子どもたちのことを考えろ」、「犯罪者にだけ使われる」という同じ言い訳をするが、事実ではない
      こうした法律は、政府に敵対的だと見なされる人たちや、学位の有無に関係なくジャーナリズムを行う人たちにも使われることを知っている
    • 残念ながら、いつかは行政府と議会の構成がかみ合って、結局やり遂げるように見える
      彼らは、我々全員を24時間監視できないことを本当に嫌っている
    • 著作権に関連して消費者の権利を縮小し制限しようとするロビー活動では、このやり方がよく効く
  • この法案はRussiaとChinaへの贈り物
    これで彼らは誰の通信でも読めるようになるだろうが、肝心の自分たちの通信の暗号化をやめると思っているのか?

    • 暗号化を禁止してはいけない理由を鈍い政治家に説明するには、本当に良い言い方だ
    • その説明すら、我々の「敵」の通信を読むためのバックドアを正当化するのに使われるのではないかと恐れている
  • 実際の法案リンクは[1]。懸念は、曖昧な文言のせいでソーシャルメディア企業がエンドツーエンド暗号化を諦める可能性があることにある
    法律の専門家ではないが、提案法案には、提供者がユーザーや通信内容を監視したり、関連する事実・状況を積極的に検索・選別・スキャンしたりしなければならない、と解釈してはならないと明記されている
    目的は、人々がウェブサイトに特定の違法行為の事例を通報したとき、ウェブサイトがその通報を無視できないようにすることのようだ
    [1] https://www.congress.gov/bill/118th-congress/senate-bill/108...

    • もちろん「監視する義務」はないが、同時に故意の無視をしてはならないという義務が生じる
      2つを合わせると、要請があればユーザーを監視できる能力を維持しなければならないという意味になり、つまり恐ろしい暗号化は不可ということになる
      その能力ができれば、次の段階は事実上KYCとSAR機能だ
    • 興味深いことに、リンク先の法案本文には、悪用を故意に無視するという条項が抜けている
      このツイートの4番目の項目が、人々が心配している部分だ: https://twitter.com/JakeLaperruque/status/167888722551627776...
      法案がすでに修正されたのか、それとも問題になっている4番目の項目が後から追加されたのかは分からない
  • 提案者: Sen. Marshall, Roger [R-KS]
    共同提案者: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
    上院議員に電話して、この法案を支持しないと伝えるべきだ。頼りなく見え、効果がないように思えるかもしれないが、上院スタッフは実際にこういうものを記録している

    • 意外だ。純粋に共和党議員だけだと思っていた
  • 裁判官が承認した令状なしに、身体と財産の安全を保障される権利はどこへ行ったのか?
    米国の権利章典は当時非常に議論を呼び、支持者たちも強硬だったため、最終的に憲法の最初の10の修正条項になった。
    支持者たちが最後まで粘っていれば、憲法本文に入れさせるか、元の連合規約の状態にとどめることもできたかもしれないが、妥協したということだ。
    たとえ権利章典が修正条項ではなく憲法本文にあったとしても、今のように簡単に捨てられていたように思う。
    いったい何のためなのか? DEAとCIAを、East India Companyのような特権で運営し続けるためか?
    この法案や麻薬戦争が平均的な米国人にどんな役に立つのか分からない。平均的な米国人に何らかの利益をもたらすとはまったく信じていない。
    むしろ行政機関に重罪に関わる物品市場と情報への特権的アクセスを与え、市民ではなく彼らに利益をもたらす可能性が高いと見ている。

    • CBPが連邦国境から100マイル以内で、事実上無制限の車両捜索権限を持っていることも忘れてはならない。
      米国人口の3分の2がその区域内に住んでいる。
      https://www.aclu.org/know-your-rights/border-zone
      ニューヨーク市で、ブロンクスの自宅から出勤するため地下鉄に乗ったところ、CBPに呼び止められて捜索され、携帯電話とノートPCを押収され、ソーシャルメディアのパスワードを要求され、従わなければ拘束すると脅される状況を想像してほしい: https://www.theatlantic.com/technology/archive/2017/02/give-...
      https://www.wired.com/2017/02/guide-getting-past-customs-dig...
      米国市民が国境を越える際に拘束される場合に備えて、家族、友人、弁護士に移動の事実を知らせておくよう助言される現実は、本当に狂っている。
      この国はどんどんファシズムの方向へ滑り落ちている。
    • 彼らがいつも持ち出す論点は、適切に実装された暗号化と適切に暗号化されたデバイスは事実上破れないため、裁判官が承認した令状があればその権利・保護を無効にできる、という文の後半を無力化するということだ。
      これがパスキー導入を推し進める要因の一つだと思う。パスキーは生体認証だけを要求しているように見えるが、指紋や顔の提出は保護対象ではなく、言葉や証言だけが保護されるため、全体の保護を弱める。
      フィッシングという違法な脅威はなくすが、暗号化の迂回という合法的な脅威は、暗号化がどれほど強くても容易にしてしまう。
    • 通信は身体でも財産でもないので、憲法上、令状は不要だという論理だ。
  • DEAはなぜフェンタニル前駆体を理由に中国を制裁するよう上院に圧力をかけないのか?
    https://www.brookings.edu/articles/chinas-role-in-the-fentan...

    • 需要がある限り、供給側の抑制には見込みがないと分かっているからだ。
  • まず、エンドツーエンド暗号化を攻撃するのは間違っている。
    しかし、暗号化されていないBig Techの責任免除にはだんだんうんざりしている。
    その制度は初期のソーシャルメディア・プラットフォームが生き残れるように作られたものだが、今や彼らはガレージ発のスタートアップではなく、地球上で最も裕福な存在の一部だ。
    自分たちのプラットフォームを管理する能力はあるが、収益に影響するか、法律によって訴追を恐れない限り、善意で管理することはないだろう。

    • 政府が法執行を企業に委ねると何が起きるかは、すでにマネーロンダリング対策/テロ資金対策規制で見ている。
      金融機関には「銀行は顧客を監視できるが、収益に影響があるか、訴追を恐れない限り、善意ではやらない」というような論理が適用される。
      結果として、ある人物や取引情報が制裁対象と少しでもつながっているように見えると、無作為にブロックされることになる。
      Al-Qaedaの取引が通ってメディアに知られれば、罰金と規制当局・議会からの叱責を受けるが、逆に無実の人がブロックされても、少し不満を聞くだけで事業は続く。
      ソーシャルメディア企業にも同じ力学が生まれると思う。少しでも不快だと見なされ得るものは削除されるだろう。
      YouTubeの収益化剥奪問題をさらに悪化させた姿を想像すればよい。
      [1] 例: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
    • これからは、民主的に選ばれた政府が法律を作り執行者を任命する代わりに、民間企業が私のオンライン上のやり取りを「巡回」することになるのか。
    • S230以前は、プロバイダーはコモンキャリアとしての地位によって責任から保護され得たが、その保護を受けながらコンテンツを削除することはできなかった。
      一対一のサービスには、非常に介入しないアプローチが妥当だ。たいてい、くだらない内容を削除する必要はなく、入ってきたゴミは出ていってもゴミなので、人々が無視するかローカルでフィルタリングすればよい。
      しかし公開オンラインフォーラムでは、ある程度のモデレーションが必要で、概して望ましい。誰かがゴミで埋め尽くして、全員にとって役に立たなくしてしまえるからだ。
      S230は、見落としたコンテンツに対する免責だけでなく、善意のモデレーションが行き過ぎて生じた損害についても、モデレーションできるようにする制度だ。
      プラットフォーム上の非難されるべき資料の大半は、違法でも不法行為でもない。不快で侮辱的、軽蔑的で誤解を招く資料も、たいていは合法で、実際の責任を大きく生むものではない。
      ただしS230のような広い保護がなければ、人々は些細なことでも訴訟を起こせるし、数十億ドル企業でなければ、最終的に勝ったとしてもその前に破産しかねない。
      強力な責任保護がない世界とは、自分よりはるかに多くの金と権力を持つ相手を、安全にいら立たせたり不快にさせたりできない世界だ。
      Facebook、Google、Twitterのようなプラットフォームは、その規模と富のおかげで、すでに民事訴訟に対して事実上免疫がある。プライバシー侵害や、ユーザーデータを予告なく遮断して大きな損害を与えた件で、訴訟の効果がほとんどなかったことを見ればよい。
      AppleとGoogleの賃金談合も最終的には有罪となったが、費用は賃金で節約した金額より少なかった。
      悪いポリシーが生じるのは、彼らの規模、富、権力が世論に対してもかなり免疫にしてしまうからだ。
      ソーシャルメディアサイトの悪いガバナンスが公共に有害なら、より多くの代替手段を持つ方がよい。
      FacebookやTwitterなどはS230のない世界でも生き残るだろうが、人々が望みそうな小規模でよりよく管理された代替サービスは、ほとんど生き残れないだろう。
      こうした法案から見えるのは、政府が企業を代理人にして捜査と法執行を行わせようとする姿だ。
      その動機の一つは、デュー・プロセスを徹底的に弱体化できる点にある。憲法は政府の捜索に対する安全装置を作ったが、私たちがデータを「自発的に」企業に渡したため、企業に対しては同じ保護が不足している。
      だから政府が企業に捜索を強制すれば、合衆国憲法修正第4条の権利をかなり迂回できる。
  • YouTubeは、勤務中の曝露で警察官がフェンタニルを過剰摂取したというニュース報道[1]を、フェンタニルの違法流通に関する事実や状況として報告すべきなのか。
    実際の薬物使用の可能性を示唆する歌詞があるという理由だけで、どれほど多くのラップ曲や歌詞が通報対象になるのか。
    「{celebrity_name} dies from drug overdose」のようなニュース記事やソーシャルメディアでの議論もすべて報告すべきなのか。
    フェンタニルの合成方法であるUSPTO特許US3141823A[2]も報告対象なのか。その特許にリンクしたソーシャルメディアユーザーが、フェンタニルの違法製造に関与していた可能性があるからか。
    National Institutes of Healthが出した論文「An Efficient, Optimized Synthesis of Fentanyl and Related Analogs」[3]も報告すべきなのか。その論文にリンクしたユーザーが違法製造に関与していたかもしれないからか。
    提案法案が保存要請の通知を最低5日間禁止するなら、プラットフォームは利用規約違反コンテンツを削除すべきなのか、それともユーザーに知らせないためにそのまま残すべきなのか。
    プラットフォームが問題のコンテンツを削除できないなら、そのコンテンツが著作権侵害物、わいせつ物、または通常なら即時削除する他のコンテンツと一緒に投稿された場合はどうなるのか。
    [1] https://www.youtube.com/watch?v=Jd76HxqCPf0
    [2] https://patents.google.com/patent/US3141823A/en
    [3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/

    • 「犯罪現場でフェンタニルに触れた警官が過剰摂取する」というのは、医学的には起こり得ない。
      実際には、フェンタニルに触れたと思い込んで過剰摂取するのではないかと恐れ、パニック発作を起こしている場合だ。
      病院に搬送されて検査すると血流からフェンタニルの痕跡は出ないが、メディアと警察はその部分を省いて大きく扱う。きまりが悪いからだ。
      警察官がフェンタニルに曝露される唯一の方法は、触れることではなく摂取することだ。
  • メッセージを送る前に GPGで暗号化してくれる補助アプリのようなものを作るのは、どれほど難しいだろうか?
    テキストボックスに内容を入れると暗号化してクリップボードにコピーし、メッセージアプリに貼り付ける、という形でよい。受信側はその逆をすればいい。
    政府やテック企業にメッセージを覗かれないようにするには、自分たちで解決するしかないということが、ますます明らかになっている。

    • GPGには 完全前方秘匿性がないため、インスタントメッセージには最善ではないかもしれない。
      誰かが鍵を入手すると、過去および現在にその鍵で暗号化されたすべての内容を読めてしまう、という意味だ。
      完全前方秘匿性には両端のエンドポイントが一緒に通信する必要があるため、メールの「送って忘れる」構造には合わなかったが、インスタントメッセージには確実に必要だ。
    • Pidginのようなクライアントには、任意のチャネル上で エンドツーエンド暗号化を行うOTRプラグインがあったと記憶している。可能だ。
    • https://news.ycombinator.com/item?id=36091710
      難しいのは、メッセージアプリの開発者がその活動に積極的に敵対する可能性がある状況で、アプリ内への自動貼り付けとアプリ外への自動コピーを行うことだ。
      ウェブメールでこの方式を実装した例としてMailvelope[1]がある。
      手作業を受け入れられるなら、PGPはすでに何とでも一緒に使える。
      [1] https://mailvelope.com/
    • 商業的な「無料」メッセージングを捨て、自分で Matrixインスタンスをデプロイしたうえで、それができない友人や家族のためにアカウントを作ってあげればいい。
    • Briar、Matrix、Mumbleはいずれもそれぞれ欠点はあるが、悪くない選択肢だ。
      Briarがフル機能を備えてiOSに登場し、Android 7以降に設計されたかのようにUIだけ少し整理されれば、ものすごいものになるだろう。