2016年2月16日,星期二

《调查权法案》草案-从头再来?

[现在更新 (2016年3月28日) 并于2016年3月1日对法案发表评论]

没有人期望 Intelligence 和 Security 委员会’s Report 上周一的《调查权力法案》草案。主要的 事件应该是 Joint 委员会’s Report 星期四。

但是在ISC出乎意料的大惊小怪之后– “令人惊讶”,“不一致”,“无法提供任何 具体示例”,“好奇的方法”,“必须 澄清”,“不合适”,“错失机会”, “完全不能接受”,“缺乏透明度”, “误导”,“很大程度上难以理解”, “不必要的混乱和复杂”,“完全 不满意”,“看似开放式且不受限制的功率”, "disappointed" –任何口头上的崩溃都不会 Joint 委员会 was likely to seem a bit of a damp squib.

事实证明。  "Unclear, 无助和递归”尽其所能 notorious “数据包括不是数据的任何信息” definition. A 坐着的鸭子适当地摘了下来,但不是一场灾难。

[条例草案评论:现在替换为: “data” includes 数据 which is not electronic 数据 和 any 信息 (无论是否为电子)。]

尽管如此,联合的整体温和 委员会的语言–一个嫌疑人,其中大部分是精心制作的 在委员会内容纳各种意见– should not distract from 的 substance of what 的 委员会 had to say. At 200 pages 和 86 建议报告是一项重要的工作,更重要的是 给定生产它的时间压力。

的 three Parliamentary 委员会 reports (the Commons Science 和 Technology 委员会 Report 完成三部曲)合计为实质 body of analysis 和 criticism of 的 draft 法案。 的 首页 Office has to pick 自身起尘。它是否会重新开始 在未来几周内看到。

This selective commentary 上 的 Joint 委员会 报告主要集中于数据保留(包括Internet连接) 记录)和批量授权。 (编号参考的是结论清单 和报告第7页上的建议。)

网络连接 Records 和 数据 retention

关于项目逐字地说 phone bills

“我们不认为ICR是 等同于分项的电话费帐单。无论好意,此比较 不是有帮助的。” [18] 为什么这是一个重要的结论?对于一些 避免使用ICR就像电话帐单一样– 我们很习惯的东西,不要’不必担心。的 内政大臣在她身上用过它 speech introducing 条例草案 in Parliament.

这个比喻的作用是 轻描淡写ICR的范围及其对隐私的影响。现实是 与分项的电话费完全不同。  ICR更像是通用在线CCTV和 我们阅读习惯的强制性清单。  的y 可以(如果可以使其按预期工作)不仅可以帮助回答 question 她在跟谁说话? (电话帐单详细问题),但 哪里 has she been? 她去哪了 doing? 强迫一代人参与的侵入性 仅在该分数上,ICR的保留率显着大于真实值 itemised phone bill.

此外,ICR可以回答问题 她在读什么书? 这没有 与分项电话帐单有任何关系-除非您的帐单碰巧 列出您去年阅读过的所有书籍,报纸和杂志的标题。 从电话意义上来说,它甚至不是一种可以理解的通信。我们从不习惯在电话上读书。 现在我们远程阅读。偶然的技术阅读已成为一种 “交流”,与我们在讲话或发送电子邮件时一样 another human being.

官方强迫性的阅读习惯日志坚决自由 表达领土,无论立法可能允许什么查询 to be made 上 的 数据bases. Reluctance 阅读有争议的网站,因为担心这样做可能会触发 官方的危险信号本身足以限制言论自由。作为一个 如果违反了人权法,‘essence of 的 right’ that 不论必要与否,都是违法的。

Thanks to 的 Joint 委员会's firmly stated conclusion 的 debate over 现在,ICR可以在适当的情况下进行:作为我们的滚动图 在线生活中,ICR比电话分项账单更具侵入性 并在某些重要方面影响了言论自由。

[条例草案评论:二读辩论避免使用逐项列出的电话费,尽管有新的隐喻有证据: 的“初始接触点”(Theresa 可能)和“前门” a site: '他们更接近行程,揭示了人们参观过的地方。” (Andy Burnham).  

在2016年3月24日向法案委员会提供证据时,对国家犯罪局的说法是不一样的:






]

再来一次 这次很明显

ICR缺乏清晰性是一个经常性的主题。 

我们 建议使Internet连接记录的定义保持一致 throughout 的 Bill[17]. “…的 政府应考虑定义诸如‘internet service’ 和 ‘互联网通讯服务’[17]

“我们欢迎其他信息 内政部提供了有关ICR的信息,尽管我们无权评估 它在多大程度上满足了证人对缺乏明确性的关注”[16].  

要求澄清的不仅仅是律师’ pedantry.  清晰是法治的要求。  侵入性权力应足够清楚,以使某人能够合理确定地预见到可能会被使用的情况。 

喜欢‘互联网连接记录’ itself, 没有一个未定义的术语是通用货币或已被普遍接受 含义。但是,它们为拟议的世代,保留和 access to ICRs. 内政部的解释性文件 on 的 term ‘互联网通讯服务’ are inconsistent.

由于内政部提供了更多的信息,其具体 插图提出了新的问题(请参阅 my further evidence to 的 Joint 委员会)。无论如何,在提供示例的同时肯定有助于阐明 没有明确定义的政府意图。

[条例草案评论:现在,我们对互联网连接记录有了一个一致的定义。 

至于内政部的具体插图, 它在向联合委员会提供的证据中建议,将一个子域(例如news.bbc.co.uk)视为内容,因此不能成为ICR。以前的理解是,第一个斜杠左侧的所有内容都是通信数据(ICR是其中的一个子集)。现在,《实践准则》草案似乎已还原为最初的理解:













T他 内政部现在可以有用地发布其认为是内容和元数据的更新列表,其中包括至关重要的原因 每个分类的基础。 不带 很难看到国会议员或公众如何 期望了解正在辩论的内容。

条例草案对“互联网服务”和“互联网通讯服务”这两个关键术语始终没有明确定义。在通信数据草案操作规范中已对一些宽松的准定义进行了注脚:
  




:如果如缔约方大会脚注草案46和第7.3段第2项中所暗示的那样,“互联网通信服务”旨在仅限于人与人之间的消息传递,那么为什么不在法案表面上明确指出这一点?]

等你回来 充分解决了侵入性,定义和可行性

..政府必须解决 证人概述的重大关注,如果[ICR’]包含在 比尔将获得必要的支持[14] 

“我们对 内政部对现有提案的定义和可行性 must address.” [12]  

虽然 在此之前,对ICR的想法有所支持(“总的来说,有一个[ICR] 作为执法的重要工具” [12], “可以证明是理想的工具” [14]), 的 委员会's emphasis is 上 的 need to address 的 concerns. 它们很重要。一批令人担忧的问题是关于侵入性的。但是怎么 政府可以通过取消报废的方式来解决ICR固有的干扰性 他们(该课程最近提倡的课程 金融 Times)是一个棘手的问题。 

联合会加剧了侵扰性问题 Committee’的建议:执法人员应使用ICR 超出了第47(4)条规定的三个特定目的 草案草案,在内政部运作案例中进行了讨论。委员会 建议应该可以访问以获得 “information 关于已访问的与通讯无关的网站 服务,也不得包含非法材料,只要有必要,并且 按比例进行特定调查” [22]. 乍一看,这似乎使ICR可以进行调查,并且具有与其他通​​信数据请求大致可比的基础。  

[条例草案评论:确实可以扩展访问ICR的目的:






在天平中要权衡的潜在入侵程度已相应增加。再次使用了未定义的术语“互联网服务”。 《通信业务守则》草案建议该草案包括网站,应用程序和互联网通信服务(请参见上文)。

第二组证人’关注的是技术可行性。 “We 促请政府在对本报告的答复中解释有关ICR技术可行性的问题 在实践中解决” [21] 技术 可行性的局限性在于ICR范围不够明确。 从最根本的角度来看, 令人信服的理由是其记录的可行性和有效性 组成不完全了解?委员会不能满足于 the 操作案例 与法案草案一起发布的内容涵盖了所有提出的可行性问题。 

[条例草案评论:政府已经发布了 修改后的业务案例 包括其他材料,以解决立法前审议期间提出的批评,并寻求为回应联合委员会的报告而为该法案中包括的扩展访问目的辩护。]

这带来了丹麦会议的经验 logging. “政府应发布有关差异的完整评估 在ICR提案和丹麦体系以及该法案之间” [20] 最终放弃的丹麦体系是 在原始运营案例中未提及,但在 evidence. 内政大臣评论 on it in 他r 口头证据 在2016年1月13日。她的区别 确定要收集信息的网络上的下落, CTSA现有的IP地址解析规定, cost recovery 和  a more targeted 涉及记录个人互联网连接或会话的方法 比在丹麦系统中每500个数据包采样一次。全面评估将 毫无疑问,必须发展这种解释。

[条例草案评论:政府已经发布了 比较 具有丹麦会话日志记录的经验。从那时起,据报道丹麦提议重新引入会话日志 因成本原因搁置。]

这是3rd party 数据 which I see before me?

一个相关的困惑领域是 草案草案可能与政府背道而驰’的规定政策,需要ISP 捕获并保留3rd party 数据 travelling across 的ir systems. “我们同意政府的意见 ’意图不要求CSP保留 第三方数据。条例草案应予修订,以明确说明,方法是: 定义或删除术语‘relevant communications 数据.” [32]。只有在 内政部书面证据 是否承认某些ICR目标数据可能总计为3rd party 数据. 的 evidence also 说 仅应接受CSP已生成和处理的ICR 保留。实现该意图肯定需要条款 包含要求保留数据的权力的第71条进行了修订。

[条例草案评论: 的 《通信数据业务守则》草案坚决不能将数据保留权用于要求保留第三方数据:



但是,第78条(现在是这样)没有被修改以使之生效。

:条例草案表面上对使用数据保留权的重要限制在哪里?如果没有说明,为什么不呢?]

对ICR可行性的任何进一步评估将 大概必须考虑此限制对运营案例的影响 on availability of non-IP address destination 数据.

[条例草案评论:可变数据可用性对有效性假设的影响未在本文档中专门解决。 修订后的ICR操作案例。]

迪帕还是DRIPA Plus?

Clause 71 of 条例草案 covers 的 existing 数据 DRIPA的保留要求并添加了ICR。但这不’t stop 的re. It 授权内政大臣发布要求生成,获取 并保留一系列足以覆盖虚拟范围的通信数据 能够在任何网络上生成的任何通信数据,直至和 包括未来的物联网。它似乎也足够宽 迫使运营商从其运营商那里获取信息,例如身份信息 customers.

关节 委员会 says: “是否包括ICR或 否,我们认为,鉴于对通信数据的持续需求 而DRIPA即将到期,这是某种形式的数据的持续政策 保留是适当的,这些规定应相应地构成一部分 of 的 法案。” [24] 是什么 委员会的意思是“these provisions”?这是否意味着现有的DRIPA 条款,是否添加ICR?还是指 还有第71条的其余部分?不确定性因 Committee’在第158段中的评论,即 Bill is “不是新的”.  The 扩展数据保留以包括ICR显然是新的(实际上是 只有政府承认的新权力),即使没有 扩展了第71条其余部分的范围。

如果 的 委员会 means simply that 的 应解决DRIPA即将到期的问题,然后可以用相同的术语重写第71条 作为DRIPA,仅辩论是否添加ICR的问题。

[条例草案评论: Clause 78 (as it now is) remains as broad as in 的 draft 法案。

:鉴于已经提出了将数据保留范围扩展到DRIPA / CTSA之外的唯一情况与ICR有关,为什么第78条会更进一步?]

总体而言,内政部有一个强大的 满足联合委员会对ICR的要求是不可能的, 当然是在政府之前给自己的短时间内 在三月份介绍该法案本身。

你在那里与你的私人网络,不要’t think we’ve forgotten you

的 current 数据 retention powers in 迪帕 can be applied only to a public 服务 provider.  的 草案将扩大到任何电信运营商,公众或 私人的。这可能不仅包括网吧之类(可能包括 任何情况都已经在DRIPA之内),但私人办公室,学校,大学 甚至家庭网络。  

关节 委员会的结论是: “电信的定义 服务提供商不能显着地排除较小的提供商,而不会明显地 整体上损害了数据保留建议。我们承认 数据保留通知的潜在负担,尤其是对于较小的提供商而言, 可能很严重。正如我们所拥有的,这使得成本模型得以澄清 以上推荐,必不可少。” 但是,它没有明确解决 扩展到专用网络的情况(与较小的公共场所相对 网络)。

[条例草案评论:条例草案不仅将条例草案的申请书复制到私人网络,而且更进一步。它将设备干扰保证书添加到可以针对专用网络行使的权力列表中。  


大部分法案’权力不仅适用于公众 通信运营商(互联网提供商,ISP,公共WiFi点和 一样),但对所有电信运营商而言。  其中包括任何提供电信服务的人(不仅限于 商业服务)或控制电信网络。家用路由器或 家庭WiFi设置,办公室,学校或大学内的网络,或者 任何形式的私有网络都将被捕获。

与现有法规相比,这是一个重大变化, 哪些权力几乎适用于非公共服务或网络(请参阅 table below).  All 的 《实践守则》草案中提议的权力使用示例如下: 提供公共访问权限或准公共访问权限的网络(例如 酒店)。内政部没有试图证明扩展到所有 private networks. 也没有 解释将设备干扰权扩展到私人的决定 networks following 的 pre-legislative scrutiny of 的 draft 法案。

:如果无意对私人使用权力 网络,为什么权力如此广泛?如果打算这样做,理由在哪里?


绿色突出显示表示已明确应用于非公共服务或网络























过滤通讯 data request

关节 委员会’对所谓的请求的评论 Filter for communications 数据 access: “我们欢迎政府’s proposal to 构建和操作请求过滤器以减少潜在的数量 intrusive 数据 that is made available to applicants. …” [39]

如果 该功能只会使已经进行的复杂搜索更加集中且不那么麻烦 手动,然后对‘filter’可能是适当的。但是如果 提供了当前无法进行的可能搜索 由于所涉及的数据量很大,因此手动查找该功能将更像是功能强大的新查询工具。委员会说: 我们 承认任何有助于访问的系统固有的隐私风险 large amounts of 数据 in this manner…” 它认为,保障措施 would be sufficient to prevent 的 过滤 being used for fishing expeditions.

散装电源

“我们建议政府 publish a fuller justification for each of 的 bulk powers alongside 的 法案。” [56]的 委员会 appears not to be satisfied that 的 full case for 的 尽管已大体上提出了拟议的保障,授权制度和监督,但已确定了大国的权力 “将足以确保按比例使用大功率。” [62].  我们可以看到涉及大国的共同主题的出现: 尊重获得机密材料的机构: “我们进一步建议 所提供的大功率值的示例应由 independent body, such as 的 Intelligence 和 Security 委员会 or 的 截取通讯专员。” [56]“国家安全考虑意味着 我们不适合对大宗商品的价值进行全面评估 权力。情报和安全委员会的审查和结论 该法案将对议员们的审议提供重大帮助 these powers.”  The ISC, with 的 受益于安全检查,从三项安全服务中获取证据 (GCHQ,MI5和SIS)以及内政大臣。

批量通讯 data

的 委员会 repeats 的se sentiments specifically for bulk acquisition of communications 数据: “We agree that bulk communications 数据 has 潜在的侵入性。与其他大国一样,我们相信 我们建议政府提出的更充分的理由 情报和安全委员会对该法案的结论将 assist Parliament’考虑散装的必要性和适当性 acquisition.” [65]

这似乎是对新的获取通讯数据的大批认股权的参考。

有关 communications 数据

虽然 的 委员会 mentions 的 topic of related 作为批量拦截的副产品而获得的通信数据(RCD) 没有提出具体建议。  That 与ISC相反,后者专门介绍RCD。 ISC指出了 缺乏对不列颠群岛人民进行刚果民盟检查的限制 与批量拦截的内容相比,也与非批量通信相比 数据获取通知。 

它评论: “代理商可以选择申请相同的 两种情况下的流程都取决于政策和良好做法,但是 this is not required by 的 draft 法案。 To leave 的 safeguards up to 的 代理机构作为一种良好实践根本无法接受:这种新 立法是提供澄清和保证的机会,但它未能 在这方面做到这一点。” It goes 上 to conclude, 上 条例草案’s approach to communications 数据 generally: “考试方法 法案草案中的通信数据不一致,而且在很大程度上 incomprehensible. 的 委员会 recommends that 的 same process for 授权检查任何通讯数据(包括相关信息) 不论代理商如何获取,都将应用“通讯数据” 最初的数据。必须明确指出这一点 比尔:仅仅依靠内部政策或业务守则是不够的。”

的 use of RCD (and, similarly, equipment 数据 under bulk 设备干扰令)可能是最重要的一项 ISC提出的问题。  It was 的 ISC 在2015年3月对GCHQ发表评论’s use of RCD:


的 ISC also commented 上 communications 数据 generally:

关于用RCD可以做什么,已经完成了什么的疑问 以及政府打算这些机构应采取的措施。一个特殊的问题是 建立或未必能够建立包括国内在内的RCD数据库 data 上 的 back of 海外相关 powers (see paragraphs 115 to 137 of my evidence to 的 Joint 委员会,包括提及被指控的有用性 KARMA POLICE事件数据库是测试这些规定的假设试金石 of 条例草案).

关节 委员会 comments: “我们认为,鉴于 global nature of 的 互联网, 的 limitation of 的 bulk powers to “overseas-related”交流在实践中可能对 在这些权力下可以收集的数据。我们建议 Government should explain 的 value of including this language in 的 法案。” [57] 如果这导致放弃“overseas-related” 限制将与目前的措辞大相径庭 ‘外部通讯’形式,限制了散装的目的 可以执行拦截 自1920年《官方机密法》第4条以来.

刚果民盟是其中一些最 RIPA的难以理解的规定已结转到草案中 Bill. 拦截和使用RCD的权力的潜在深远影响 只有通过菊花链式连接一系列抵押权才能体现出来– 通过规约的后巷有效地导航。

刚果民盟力量的潜在影响力进一步扩大 由IP法案草案中的新权力从 通讯内容并将其视为RCD。

[条例草案评论:相关通信数据现在已被新术语“辅助数据”代替,这反映了RCD比通信数据更广泛的事实。元数据定义也有其他更改-请参阅“关于元数据的一切'。

问题:  根据该法案,可以建立一个假想的KARMA POLICE数据库吗?有了从内容中提取辅助数据的新功能,假想的“ KARMA POLICE PLUS”是否可行?这些都是有意的吗? 如果不是,是否应对此条例草案进行修改以防止这种情况发生?如果是,是否可以将这样一个通用的互联网浏览配置文件数据库(国内和国外)构建为以拦截海外相关通信为主要目的的力量的副产品? 至少对于不列颠群岛的人而言,是否应该限制访问这种数据库的目的?]

将来在这些问题上可能会得到更多的启示。同时,这是我的图表说明 the draft Bill’s provisions 上 communications 数据. [以修订后的图表代替,反映了条例草案的术语,并包括大量个人数据集。]


2016年2月7日星期日

无内容:元数据和《调查权法案》草案

对《调查权力法案》草案感到困惑和困惑?根据下议院众议院科学技术委员会的说法,您的公司很好。 报告草案草案提出的技术问题。缺乏明确性是其关注的重点。

如果这是开始的话,那么本周我们将接受主要议程,届时将任命负责审议法案草案的联合议会委员会提交其报告(2月11日,星期四,上午9.30)。我们期待着其审议的结果。 它收到了来自近60位证人的1,500多页书面证据和口头证据,因此在简短的时间表上没有取得可观的成就。

关于该法案草案的众多争议之一是提议扩大内政大臣的现有权力,以要求通信服务提供商保留通信数据。 强大的功能将不仅仅限于保留,还可以生成和获取数据。 这将包括所谓的Internet连接记录(已访问网站的日志),但是 远不止于此,随着它的发展,它有可能涉足我们在线生活的各个方面以及物联网。政府建议,ICR不应超过现代的电话分项账单,实际上 不接受审查.  

通信数据保留本身是有关执法以及情报机构获取和使用元数据的全局的一部分。元数据不包括我们通信的内容,但是当可以从我们在互联网上留下的面包屑痕迹推断出我们的生活时,区别似乎越来越少。

国会情报和安全委员会于去年3月报告说,GCHQ发现元数据比内容更有用:









委员会还注意到,GCHQ获得的大部分通信数据是批量拦截的副产品:


至于执法,戴维·安德森(David Anderson)在《信任问题'“从我看来很清楚 与最高级官员的谈话,执法部门确实想要记录 存在一个人’与它可以访问的互联网的互动。”

考虑到所有这些因素,看看联合委员会对元数据的获取和使用权有何影响将特别有趣。请注意,即使对于内容和元数据之间的界限没有不确定性,这也是一个复杂的话题。根据法案草案,元数据可以通过不同的途径获得,并且在某种程度上取决于如何获取元数据,不同的机构可以将其用于不同的目的。 

因此,为了激起您的胃口,并希望它对理解即将进行的辩论会派上用场,这里有一页(很容易过分简化,恐怕是这样)的可视化,介绍了元数据如何适应法案草案。 。 

所示认股权证均为大宗认股权证。尽管可以根据针对性和主题性的授权来获取元数据,但如果将其包括在内,则会使本已拥挤的图形变得不可能复杂。类似地,未显示大容量个人数据集的担保。根据第188条,剩余的国家安全公告也没有。 

如果您想进一步了解相关通信数据,请查看我的 evidence to 的 Joint 委员会 (PDF).