2017年5月29日,星期一

平方端到端加密圈

渴望的学生: 加密似乎又重新流行了。为什么这又出现了?
学术律师: 它从未真正消失。自从 戴维·卡梅伦(David Cameron)取消了加密 之前 在2015年1月与巴拉克·奥巴马会面’一直在冒泡。
ES: 戴维·卡梅伦做了什么 say about it?
SL: He said: “In extremis, 有可能读到某人’的信,听某人’s call, to 听移动通信,...问题仍然存在:我们要 允许一种根本无法做到的通讯方式?我的 这个问题的答案是:不,我们一定不能。”听起来好像他 想要某种加密禁令。
ES: 迪登’t Downing 街上排回来吗?
SL: 在 2015年6月底,大卫·卡梅隆(David Cameron) 在国会说了类似的话. 唐宁街跟进: “总理没有 建议应该禁止加密。”他们说的差不多 到英国广播公司 在2015年7月。
ES: 现在重点 seems 专门用于端到端加密。
SL: 是。琥珀色 陆克文(Rudd)在今年3月表示,端到端加密是“完全不能接受”. Downing Street 再次称重: “内政大臣昨天说的是: 在某些情况下,执法机构希望获得 对调查很重要的消息,他们应该能够 so.”
ES: 带来了 us to this weekend?
SL: 是。琥珀色 Rudd has 拒绝任何意图 完全禁止端到端加密,但是 同时,她似乎想要E2E加密消息传递的提供者 服务,以提供访问途径。
ES: 那哪里呢 that leave us?
SL: 政府 显然想对端到端加密做些事情。但是到底是什么 unclear.
ES: 我们可以问一下 他们说清楚吗?
SL: 许多有 尝试过的。都失败了。那不是’真的很令人惊讶,因为它的本质 of 端到端 加密是消息传递提供者无法对其解密。
ES: 所以如果 消息传递提供者确实有办法’不再是真正的端到端加密?
SL: 究竟。
ES: 但 hasn't end 结束加密已有多年了?
SL: 形式为 是独立软件,例如PGP。实际上,这就是引发 第一次加密战争 在1990年代。
ES: 最终 普遍可用的公共密钥加密?
SL: 究竟。加密精灵无法’不能放回瓶子里– you can 在T恤上写一个公钥加密算法-他们停止了战斗 it.
ES: 所以发生了什么变化 now?
SL: 应用程序和云。 PGP之类的软件是 附件,例如防病毒软件。  我决定去 PGP可以从某个地方使用,并与我的电子邮件一起使用。与我无关 e-mail provider.  但是现在,消息传递服务提供商正在将E2E加密作为其一部分 their service.
ES: 什么 有什么区别吗?
SL: 在商业上, 提供者将被视为循环的一部分,并因此成为监管目标 行动。从技术上讲,如果通信涉及提供商’的服务器,有人可能会认为提供者应该能够响应授权书来访问它们。
ES: PGP加密 电子邮件也存储在电子邮件提供程序中’s servers, but the provider can't decrypt those.
SL: 当然。但 如果消息传递服务提供商本身为我提供了加密功能 我的邮件作为其服务的一部分,然后 可以说它有更多的参与。它可能存储 例如有关其服务器的一些信息,以便我可以建立连接 与离线用户一起使用。
ES: 如果 提供者做了所有这些,为什么可以’它会解密我的消息吗?
SL: 因为我和 我的交易对手用户正在生成并应用加密密钥。满满的 端到端加密,服务提供商从不拥有或看到私有数据 我的应用程序用来加密和解密消息的密钥。
ES: 但是那’s 的 仅适用于完整的端到端加密,对吗?
SL: 是的,有 服务提供商具有可以使用的密钥的其他加密模型 解密消息。
ES: 如果它从未看到密钥并且无法解密您的消息,则为 ’t 的 service provider in 的 same position with 端到端 encryption 和 original PGP? 什么 can 的 service provider be made to do if it doesn’t have a key?
SL: 现在我们需要 delve into 的 UK’的拦截立法。系好安全带。
ES: 准备。
SL: 如你所知 新的《 2016年调查权力法》,与 2000年《调查权法》,包括提供截取令的权力 on a telecommunications 算子.
ES: 会是 包括消息传递提供商?
SL: 是。它不应该’包括仅提供加密软件的人,例如 PGP, but a messaging service provider 将会 in 的 frame to have a warrant served 上 它。
ES: 可以 消息传递提供者可以做什么?
SL: 它可能是 需要协助执行手令。如果确实有钥匙,那么 它可以通过使用其密钥解密任何拦截的消息来提供帮助。
ES: 那是新的吗 IPAct的要求?
SL: No, 里帕 is 的 same. And even if 提供者 handed over 上ly an encrypted message, a 独立的RIPA权力 可以部署使其使用其密钥 decrypt 的 message.
ES: 如果 telecommunications 算子 没有’没有钥匙?如何协助 拦截令?
SL: 它能做的一切 正在移交加密的邮件。 里帕和新的IPAct都说 telecommunications 算子 可 required to do 上ly what is reasonably 在回应手令时切实可行。如果没有密钥,则无法执行更多操作。
ES: 是吗
SL: 不, 政府还有一张卡片,可能是王牌。  根据新的《知识产权法》和现有的RIPA, Minister can serve a notice (a '技术能力通知', or TCN) 上 a telecommunications 算子 requiring it to 安装永久拦截功能。这可以包括以下功能: 取消应用任何电子保护‘by or 上 behalf’ of 的 telecommunications 算子.
ES: 是否 ‘电子保护’ include encryption?
SL: 是。但是要注意‘申请或代表’。如果加密是由用户应用的, 而不是电信运营商,那么TCN不能要求电信运营商将其删除。
ES: 所以很多事情可能会发生 on whether, in 的 particular system used by 的 算子, 的 encryption is regarded as being 由或代表申请 的 算子?
SL: 是。如果是这样, then 的 TCN can require 的 算子 to have 的 capability to remove 它。
ES: 但 if 的 operator 没有’t have a key, how can that be 合理地切实可行?
SL: 为 受TCN约束且已获得权证的运营人 实用性假定它具有TCN所需的功能。
ES: 所以 operator 被认为能够做到不可能。我们如何使那个圆圈平方?
SL: 的秘书 State 考虑ing whether to issue a TCN has to take into account technical 可行性。显然是 在技​​术上不可行 对于提供用户的运营商 具有真正的端到端加密功能,因此可以删除加密,因为它可以 没有解密密钥。这可能意味着TCN可能不需要运营商来这样做。
ES: 但 what if 国务卿认为,从技术上讲, 运营商采用具有密钥的其他加密模型?
SL: 好 point.  如果该论点成立,那么 服务提供商可能不得不停止提供真正的端到端加密 设施以符合TCN。
ES: TCN可能是 used in that way, to make a telecommunications 算子 provide a different 哪种加密?那是否就等于使其提供了不同的服务?
SL: 那是其中之一 the 知识产权法这一部分的重大内容.
ES: 我们怎么会 知道国务卿是否试图这样做?
SL: 那’s difficult, because a telecommunications 算子 is required to keep a TCN secret. 一 possibility is that 的 new Investigatory Powers Commissioner may 主动寻求对立法的有争议的解释 有 被断言并公开。
ES: 有没有 precedent for that?
SL: 是的,情报 服务专员马克·沃勒爵士在2014年报告中讨论了是否 主题财产干预令具有法律依据。大卫 Anderson QC’的《大国评论》有 支持这个想法 那个调查 权力专员应这样做。
ES: 所以呢 happens next?
SL: TCN法规草案 最近被咨询过,大概会在 Parliament 在 some 点 after 的 election.  如果这些被批准,那么就已经准备好批准 并在IPAct生效后为新的TCN服务,这很可能会在以后 this year.
ES: 谢谢。

2017年5月21日,星期日

该说第十五条了

《电子商务指令》第15条规定了基本原则,即欧盟成员国不能对互联网中介机构施加一般性义务来监视人们在网上说什么。我们英国的人们可能不得不开始担心第15条。当我们开始准备将欧盟转换为英国国内法律以准备离开欧盟时,它很容易被忽略,甚至被故意遗忘。 

第15条是英国和欧洲大陆最重要的互联网法的强有力的候选人。它是使互​​联网动脉畅通的支架。它可以防止状态将Internet网关变成检查点,在此可以对信息流进行过滤,控制和阻止。

第15条所体现的原则目前正受到压力:布鲁塞尔内外的政策制定者,敌对的商业部门,安全机构以及可能的各种言论禁止主义者。共同的主题是在线中介–ISP,电信运营商,社交媒体平台-是可以而且应该被迫为主角提供主动服务的网守’ various causes.

第15条妨碍了强制性的一般性监视和过滤工具。这样做不是为了商业平台和ISP的利益,而是为了实现保护信息自由流通并最终保护互联网用户言论自由的政策目标。

表达自由不仅是任何旧的政策目标,而且是人权核心的普遍价值–无论我们是看《世界人权宣言》第19条,《欧洲公约》第10条,《欧盟宪章》第11条,《美国第一修正案》还是英国对新闻自由的未成文的历史依恋。它特别珍贵,因为无论好坏,言语都反映了我们的自我。“首先,给我自由,让人们知道,说出一切并根据良心自由辩论。” (John Milton)

相反,言论自由一直受到其本能是控制的政府的威胁。这就是为什么言论自由的捍卫者(也许比任何其他人权更重要)发现自己在最没有吸引力的立场上采取有原则的立场的原因。“因为如果您不赞成自己不喜欢的东西,那么当他们为自己喜欢的东西而来时,您已经迷路了。” (Neil Gaiman)

The peculiar vice of compelled general monitoring, however, is that we never get to that 点. 如果 filtered 和 blocked speech 没有’看不到辩论,起诉,测试,批评或辩护的曙光。对某些人来说 may be a virtue not a vice.

在言论自由方面,如果让原则在当下的紧急情况中排在第二位,我们发现自己并没有像在陡峭的Cresta Run冲上滑坡那样多。第15条也是如此。我们被敦促以其为代表的贵族队伍迫使网关成为看门人-反对侵犯版权,冒名顶替,仇恨言论,恐怖主义,色情,伪造新闻和其他活动-围绕这一障碍。

为了维护善意,我们捍卫言论不佳的权利。我们理解在坏话和好话之间划清界限是不可能的。我们只会对不良言论进行规范,而这只会损害良好行为。危险是 如果选择的监管工具是与一般监控一样钝的工具,则效果会更好。

第15条规定了从版权到恐怖主义,全面适用的原则。欧盟成员国不得将互联网中介机构(管道,主机和网络缓存)强加于监视或积极寻找表明非法活动的事实或情况的一般义务。中间人不能在他们的系统中闲逛以寻找非法活动。第15条与指令并驾齐驱’的责任盾,在这种盾牌下,管道,主机和网络缓存对其用户的活动具有不同程度的刑事和民事责任保护。

对于政策制定者来说,指责中介机构并要求他们做更多的事情来控制人们在其系统上所做的令人不快甚至是非法的事情,实在太容易了。政策制定者将中介视为最低成本执行的要点:在瓶颈处执行比追逐成千上万的个人不法行为更有效。该理论在《欧盟信息社会指令版权》的摘要(59)中得到明确说明:

“特别是在数字环境中,第三方的中介活动可能越来越多地被用于侵权活动。在许多情况下,此类中介机构最有可能终止此类侵权活动。”
阿诺德大法官在 卡地亚 解释了演奏会(59)所依据的政策:
“从对信息社会指令的独奏会(59)中可以看出,对诸如ISP之类的中介机构发出禁令的经济逻辑是,它们是“最避免成本的侵权行为”。也就是说,在经济上,要求中介机构采取行动以防止通过其服务发生侵权行为比要求权利人直接对侵权者采取行动更为有效。从经济学的角度来看,这是否正确,尚无我判断。我也无从其他方面来判断这是否是好的政策。立法者已经做出了判决…”
在 的 same time, Article 15 of 的 ECommerce Directive constrains 的 breadth of injunctions that courts can grant against intermediaries under 的 版权 和 Enforcement Directives. The effect of Article 15 可 seen in 的 ECJ decisions of 萨巴姆v猩红SABAM诉Netlog 禁止内容过滤禁令,以及Arnold J’s 卡地亚 判断本身:
“If ISPs could be required to block websites without having actual knowledge of infringing activity, that 将会 tantamount to a general obligation to monitor.”
但 if intermediaries are best placed to stop infringement, why should Article 15 constrain what 可 imposed 上 的m? Why shouldn’是否要求中介机构进行监控?

可以将中介人视为最佳人选的唯一意义是,因为用户’通讯通过他们的系统,它们有可能成为技术瓶颈。在其他各个方面,中介机构均无权就内容的合法性做出决定,从而也就阻塞的内容做出决定。

Intermediary enforcement risks exaggerating 的 ease with which unlawful behaviour 可 identified, often assuming that illegal content is identifiable simply by looking 在 它。 In relatively few categories is illegality manifest. Legality is predominantly a matter of factual investigation 和 judgement. 那 is why it is preferable to have independent courts ruling 上 matters of illegality rather than compelling private platforms to 在 tempt it 和 have 的m overblock out of fear of liability or sanctions.

重点过于狭窄 成本分析趋于低估甚至忽略了令人信服的网关充当网守的负面外部性和意外后果。它不包括加强阻塞点的更广泛含义,也没有营造一种以代表国家及其代理人的身份充当守门员的气候。在更广泛的范围内,成本最低的执行者可能是成本最高的。

基于通知的中介责任制度导致材料在法院裁定其是否非法之前被删除。这已经存在过分谨慎地阻止或删除风险。强制性的主动监视和筛选功能,因为它阻止了未提出投诉的信息,因此将风险范围进一步提高了。这类似于大规模的事先限制,不是由法院在听取证据后进行限制,而是由充当调查员,检察官,法官,陪审团和and子手的私人实体进行。

Our aversion to prior restraint reflects also that 的 public are sometimes well served by 的 airing of something that 在 first blush might appear to be against 的 strict letter of 的 law. Speech 也许 rendered lawful by a public interest defence, or by fundamental freedom of speech 考虑ations. Or a court might decide that even though unlawful 的 appropriate remedy is damages but not removal. Legality of speech, even in areas such as copyright, 可 a heavily nuanced matter. Proactive general monitoring obligations allow for no such subtlety.

有人可能会争辩说,在现代,言论自由生活的交换条件是言论通常是由专业,负责任的编辑来调解的。我们需要通过将在线中间人转换为负责其他人在其平台上所说的内容的编辑和发行者,来重新安置这些精灵。

不管是否可以实现,该论点误解了表达自由的性质。互联网的巨大进步已经带来了类似于宣传小册子黄金时代的东西,使大众个人演讲从大众媒体的控制中解放了出来。地方法院法官达泽尔(Dalzell)在 ACLU v里诺, 他说:

“随着群众言论的发展,最具有参与性的形式,互联网应受到政府的最高保护。”
美国最高法院在同一案件中说:
“Through 的 use of chat rooms, any person with a phone line 可come a town crier with a voice that resonates farther than it could from any soapbox. Through 的 use of Web pages, mail exploders, 和 newsgroups, 的 same individual 可come a pamphleteer.”
这些报价来自1996年和1997年。如果有的话,它们现在更加相关。与传统媒体相比,未经干预的个人言语应受到更多而非更多的保护。

过去仅限于“演讲者之角”的那种硫酸可以现在吸引数百万的听众。但是,个人言论自由绝不能被游客的好奇心所容忍,或者只要它被藏在酒吧的酒吧里就可以放纵。从ECtHR的决定中我们也知道 杂物箱的表达自由仅限于在绅士客厅中不会冒犯的自由。

1948年《世界人权公约》第19条并非以演说为前提。它表达了超越地点,时间和媒介的个人权利,并且可能是在考虑互联网的情况下编写的:

“人人有权享有见解和言论自由;这项权利包括不受干涉地持有意见的自由,以及通过任何媒体和任何疆界寻求,接受和传播信息和思想的自由。”
第十五条完全站在通过一般监督手段进行的令人信服的演说的道路上。那么,为什么它可能容易在脱欧过程中被忽视呢?

警告:以下内容基于现有的保守党政府’的《大废除法案》计划,并取决于大选的结果。

第十五条和脱欧

[注:本节现已被《 2018年欧盟(撤回)法》所取代。第15条可能由于该法第4条而得以保留。 


Article 15 operates 在 several levels. If a Member State were to legislate in breach of Article 15, a national court 将会 obliged to disapply 的 legislation. So it acts as a powerful constraint 上 Member States 在 的 policy 和 legislative level. As we have seen it also constrains Member States’法院。他们不能发布强制执行一般监视义务的命令。他们不能以违反第15条的方式解释国内法规或制定普通法义务。监管机构和执行机构也受到类似的约束。

The Brexit starting 点 is that 的 incumbent government has committed to continuing existing 欧盟法律 通过大废除法案。特蕾莎·梅(Theresa 可能)在《大废除法案》白皮书的引言中说:

“我们决定转换‘acquis’ –欧洲立法的主体–目前,我们废除《欧洲共同体法》是该计划的重要组成部分。

当我们离开欧盟时,这种方法将提供最大的确定性。退出后的第二天和前一天的规则和法律相同。经过全面的审查和适当的辩论之后,将由英国的民选代表决定对该法律的任何修改。

…《大废除法案》将在离开美国之日起在可行和适当的情况下,将欧盟法律转换为英国法律,以便我们能够在自己选择的时间为国家利益做出正确的决定。”
在此基础上,第15条应在脱欧后继续执行。但是,存在技术问题。尽管它在指令中,因此在英国法律中必须执行,但第15条的案文在英国国内立法中却无处可寻。根据拟议中的《大废除法案》的起草方式,第15条可能必须专门写入英国法律,才能继续脱欧。

白皮书认识到有必要将欧盟法规写入国内法,但似乎假设由于该指令已在英国国内法中实施,因此只需在脱欧后予以保留:

“•该法案将直接适用的欧盟法律(欧盟法规)转换为英国法律;

•它将保留我们在英国制定的履行欧盟义务的所有法律”

第15条可能会在裂缝之间掉落。

无论如何,继续接受第15条的愿望可能不会被普遍接受。英国音乐‘Music 2017 Manifesto’,注意到了英国脱欧带来的机会‘对互联网服务提供商负责,并要求他们对受版权保护的音乐负责’。如果这意味着需要进行主动监测,则将对第15条提出质疑。一个行业领先于其他行业的地方可能随之而来。为了自己的目的而对中介机构施加兴趣的政府可能不欢迎第15条的障碍。 可能会想调用‘在可行和适当的地方’延续现有欧盟法律的白皮书资格。

“言论自由不是永存的,而是必须通过关心它的人们的不断警惕来保持。”因此说, 1972. The run-up to Brexit 也许 a time for especial vigilance.


[于2019年4月7日修订,包括对 《 2018年欧洲联盟(退出)法》。] 





2017年5月8日,星期一

Back doors, 黑盒子es 和 #IPAct technical capability regulations

内政部已就该计划的关键步骤展开了一次雷达咨询。 implementation of 的 Investigatory Powers Act (IPAct): 的 regulations 上 技术能力通知s. The Open Rights Group has 最近透露 拟议法规的细节。

根据IPAct a 技术能力通知 can be issued to a telecommunications 算子 by 的 Secretary of State, with 的 approval of a Judicial Commissioner. A notice would require 的 算子 to install specified technical facilities. The objective is to ensure that if 的 算子 subsequently receives, say, an interception warrant it has 的 technical ability to comply with 它。 A 技术能力通知 does not itself require an 算子 to conduct an interception. It prepares 的 ground in advance by ensuring 的 算子 has equipment in place.

The proposed regulations will spell out what kind of facilities a 技术能力通知 can require a telecommunications 算子 to install. For example, 的 consultation touches 上 上e of 的 many controversial topics in 的 IPAct: 的 possible use of 技术能力通知s in effect to prevent telecommunications 算子s from providing users with 端到端 encryption facilities.

IPAct中对电信运营商进行了广泛定义,不仅包括电信公司,ISP等,还包括Web电子邮件,社交媒体平台,云主机以及顶级通信提供商。

根据2000年《调查权力法》(RIPA),已经存在技术能力通知,但形式更为有限。 里帕的S.12制定了类似于新IPAct的三层方案:

  • 首先是法规,对内政部进行了广泛的布局’要求操作人员安装拦截功能的权力;
  • second,根据该法案制定的法规。这些使义务更加充实,并有可能缩小可能需要通知的提供者的类别;
  • 第三, 技术能力通知s 的mselves, issued by 的 Secretary of State to individual service providers (but not necessarily to all of those within scope of 的 Act or 的 regulations).
这些为实际的拦截令铺平了道路,要求操作人员进行特定的拦截。

The main change with 的 IPAct is that 技术能力通知s are no longer limited to interception. They apply to three of 的 powers under 的 Act: interception (targeted, 的matic 和 bulk), communications data 收购ition (ordinary 和 bulk) 和 equipment interference (targeted, 的matic 和 bulk).

Another high level change is that 的 IPAct allows 技术能力通知s to be given to private as well as to public telecommunications providers. The draft regulations reflect this expansion.

Also, unlike under 里帕, IPAct 技术能力通知s have to be approved by a Judicial Commissioner.

拟议的IPAct法规在许多方面与 根据RIPA制定的2002年现行法规。但是,有一些显着差异。

Communications data 收购ition capability not subject to 10,000 person threshold

现行的RIPA拦截能力法规设置了10,000人的门槛,低于该阈值则不需要拦截能力。 (目前尚不清楚这是指客户还是最终用户。)拟议的新法规重复了这种拦截和设备干扰的门槛,尽管取消了英国10,000人的现有限制。

但是,对于通信数据获取,新的IPAct法规草案没有设置最低阈值。与IPAct结合使用’扩大了范围,涵盖了私人和公共电信运营商,而且我们有惊人的前景,任何类型的组织,业务 (排除的金融服务企业除外),机构,大学,学校,医院,图书馆,政党等可能需要安装通信数据采集功能。从理论上讲,这甚至可以适用于私人家庭,尽管很难想象这曾经是适当的。

Communications data 收购ition ‘black box’

The communications data 收购ition aspects of 的 draft regulations differ from interception 和 equipment interference in another significant respect. The existing 里帕 interception regulations are framed as obligations 上 算子s to provide 的 capability 的mselves. The same is true of 的 new IPAct interception 和 equipment interference obligations. This approach allows 算子s to design or procure 的ir own interception equipment, so long as it complies with 的 技术能力通知. 

The new IPAct communications data requirements, however, include a paragraph under which a 技术能力通知 could require a provider to install a government-provided ‘black box’:

“10.安装和维护由国务卿或代表国务卿提供给经营者的任何设备,目的是使经营者能够获取或披露通信数据,包括提供和维护任何必要的设备,系统或其他设施或服务安装和维护如此提供的任何设备。”
本段在法案中未作说明’国会的通过,适用于普通和批量通信数据采集功能。它与以前的RIPA义务有很大的不同。

新服务

Unsurprisingly, since this was heavily trailed during 的 passage of 的 Bill, all three sets of provisions allow 的 imposition of obligations to notify 的 首页 Office in advance of new 和 changed services. A 技术能力通知 would also be able to require 的 算子 to “consider” 的 obligations 和 requirements imposed by any 技术能力通知 when designing or developing new telecommunications services or telecommunications systems.

2002年的法规不包含此类义务。

端到端加密

The most controversial aspect of 技术能力通知s throughout 的 passage of 的 Bill was whether 的 obligation to remove encryption could be used to prevent use of 端到端 encryption. On this topic 的 IP Act 和 的 draft regulations in fact mirror quite closely an obligation that was always in 的 existing 2002 里帕 regulations:

“10.为确保签发截取令的人能够删除服务提供商对截取的通讯和相关通讯数据施加的任何电子保护。”
拟议的《知识产权法》法规说(针对拦截):
“8. To provide 和 maintain 的 capability to disclose, where practicable, 的 content of communications or secondary data in an intelligible form 和 to remove 电子保护 由或代表申请 的 telecommunications 算子 to 的 communications or data, or to permit 的 person to whom 的 warrant is addressed to remove such 电子保护.”
但是,尽管2002年存在独立的端到端加密软件,但2002年的法规并没有触及到它,因为通信服务提供商未应用加密。直到最近,通信服务提供商才向其客户提供使用端到端加密的能力,而服务提供商则没有,也从未拥有过加密密钥。 

This development has given rise to questions about whether a 技术能力通知 under 的 IP Act could be used to require a telecommunications 算子 to have a means of decrypting messages, effectively preventing it from providing 端到端 encryption facilities to its customers.

在议会通过法案的过程中,问题反复浮出水面,最终导致 上议院于2016年10月19日辩论 内政部长内尔·豪(Earl Howe)受到哈林基哈里斯勋爵的顽强质疑。

The question of whether 技术能力通知s could be used in this way has never been satisfactorily resolved. The 首页 Office has repeatedly (and correctly) emphasised that 的 obligation can 上ly apply to encryption ‘由或代表申请’ 的 service provider. 但 it has never clarified when encryption 将会 regarded as applied by 提供者 和 when by 的 user. Perhaps 的 closest it came was in 的 House of Lords debate when Earl Howe said:

“任何决定都将考虑案件的具体情况,认识到存在许多不同的加密模型,包括许多不同的端到端加密模型,并且对于一个电信运营商而言合理可行的对另一电信运营商而言可能并非如此。 。”
内政部在那段文字和其他地方强调,服务提供者不能做任何不‘合理地切实可行’。因此,伯爵豪在再次上议院辩论中说:
“… 的 company 上 whom 的 warrant is served will not be required to take any steps, such as 的 removal of encryption, if 的y are not 合理地切实可行 steps for that company to take. So a 技术能力通知 could not, in itself, authorise an interference with privacy. It would simply require a capability to be maintained that would allow a telecommunications 算子 to give effect to a warrant quickly 和 securely including, where applicable, 的 ability to remove encryption.”
他加了:
“这些保障措施确保了条例草案第229条规定的删除加密的义务将受到非常严格的控制,并且只有在有关运营商必须遵守其必要且相称,技术上可行和合理可行的情况下才可以实施。”
后来他说:
“The Bill ensures that 的 Secretary of State must specifically 考虑 的 cost 和 technical feasibility of complying with an obligation to remove encryption as well as whether it is 合理地切实可行.”
但是重要的是不要混用 the 技术能力通知 和 a subsequent warrant. The raison d’etre of a 技术能力通知 is to achieve a situation in which it is practicable for a service provider to assist with a warrant (see IPAct s. 253(4)). 条例草案中的义务是秘书的义务。 国家认为为此目的强加合理。  When issuing a 技术能力通知 的 Secretary of State has to 考虑, among other things, technical feasibility 和 cost.

The Act does provide that a warrant cannot require a service provider to do something that is not 合理地切实可行. 但 a warrant is not a 技术能力通知. Crucially, 的 Act lays down that where a 技术能力通知 is in place, reasonable practicability of assisting with a warrant is to be judged 上 的 assumption that 的 技术能力通知 has been complied with.

因此,对于普通(非批量)拦截,S。43(4)和(6)提供:

“(4) The relevant 算子 is not required to take any steps which it is not 合理地切实可行 for 的 relevant 算子 to take.” 
“(6)凡对有关经营者施加了义务(“P”) under section 253 (技术能力通知s), for 的 purposes of subsection (4) 的 steps which it is 合理地切实可行 for P to take include every step which it would have been 合理地切实可行 for P to take if P had complied with all of those obligations.” 
For a 技术能力通知 的 central concept is technical feasibility.

显然,对于为用户提供真正的端到端加密工具的运营商,删除加密是不可行的,因为它没有解密密钥。

但是,如果内政部认为运营商采用具有密钥的其他加密模型在技术上可行,那该怎么办呢?如果该论点成立,则服务提供商将(取决于‘由或代表申请’ 点) have to stop offering true 端到端 encryption facilities in order to comply with a notice. If it did not cease, 的n if it received a warrant it 将会 毫无理由地说删除加密是不切实际的,因为该法案认为它已遵守技术能力通知。

Whether a 技术能力通知 could be used to require a provider to change 的 nature of a service that it was offering in this way is 上e of 的 great imponderables of this part of 的 legislation. The draft regulations shed no more light 上 的 matter.

在这方面,内政部对法令和最终法规的解释可能至关重要。新的监督机构可以在以下方面发挥重要作用: 主动寻找这种解释 并引起他们的注意。

设备干扰

A major change compared with 的 2002 regulations is 的 extension of 技术能力通知s beyond 的 existing area of interception. The proposed regulations cover, as well as 已经讨论过通信数据的获取,设备干扰旨在获取通信,设备数据和其他信息。这不足为奇,因为这是IPAct本身引入的更改之一。

Nevertheless 的 idea that a telecommunications 算子 可 compelled to put in place technical facilities specifically to 使当局能够入侵 any equipment 在手令之下仍然令人惊讶。值得一提的是,这种设备干扰义务,可能不仅仅是取消加密,‘back door’.

值得注意的是,鉴于安全隐患无疑会伴随为当局提供黑客入侵网关, as with 侦听和通信数据的获取法规草案规定,设备干扰能力通知可以包括遵守通知中指定的安全标准以及国务卿发布的任何指南的要求。 

根据《知识产权法》第2(2)(c)条,国务卿有责任在电信系统的完整性和安全性方面考虑公共利益。

咨询过程

根据IPAct的S.253(6),内政大臣必须就法规草案进行磋商。她必须咨询根据该法案设立的技术咨询委员会,运营商“似乎可能会在国务卿看来可能要承担法规中规定的任何义务”及其代表,以及具有相关法定职能的人员(例如可能是新的调查权力专员)。

Notably absent from 的 必须咨询 list are 的 general public (who most of all stand to be affected by 的 Act) or any organisations representing 的 public in areas such as privacy 和 civil liberties. However, now that 的 proposed regulations have reached a wider audience than 的 必须咨询 list, more broadly based comment 可 expected.

一 point of interest 内政部有多远’s statutory ‘must-consult’义务达到。正如已经强调的那样,当法规草案中涉及通信数据获取的部分不包含10,000人的最低门槛时,这一点尤其重要。

因此,与确实规定了至少10,000人限制的设备干扰和拦截不同,通信数据采集功能规定(包括要求安装 a government-supplied 'black box') 可 applied however few customers or users an 算子 may have. Moreover 的 obligations are not restricted to public 算子s. Private telecommunications 算子s 可 included. As we have seen, thanks to 的 Act's wide definition of telecommunications 算子 that could cover many kinds of organisations.

这可能会产生一个难题。如果内政大臣认为私人或小型运营商可能不承担任何义务 法规中规定的内容,那么她就不必咨询他们或他们的代表。但是在那种情况下 would be 旨在扩大法规范围的目的,特别是针对通信数据的获取,以涵盖所有规模的运营商,无论规模大小,私有或公共,并且显然包括传统电信和ISP部门之外的组织?这可能会影响国务卿有义务进行的磋商范围。