显示带有标签的帖子 迪帕. 显示所有帖子
显示带有标签的帖子 迪帕. 显示所有帖子

2018年2月22日,星期四

阐明调查权法


作为《调查权力法》(IPAct)的全面实施 拉近距离,我们可以有用地考虑它的一些更微妙的观点 的解释。这些将有助于划定IPAct的权力,明确立法的程序要求,并确定谁可以 被迫去做什么。

与前身不同,《调查条例》 《 2000年权力法》(RIPA),《知识产权法》都带有开放性和 transparency.  该法案本身暴露了 权力泛滥给公众。  但是,尽管有300页的细节,但仍需做出决定 about the 含义 of some provisions 和how they are 至 be applied.

以前,由于斯诺登的启示或在公民自由组织提起的诉讼期间,这种法律解释(即使有的话)趋于公开。 Examples include the 含义 of ‘external’ RIPA下的通讯,RIPA下的主题拦截令的法律依据, 以及使用1984年S.94电信法的权力来获取批量通信 来自电信公司的数据。

在监视领域,影响权力使用方式的隐蔽法律解释实质上与授予权力的法规一样是法律的一部分。  当 法治是法律应公开颁布。人们应该能够事先了解容易使用权力的情况,并了解其行使方式。根据法学的品味,秘密法要么是坏法,要么根本不是法。

新的调查权力专员有机会 to 公开展示 法律解释将影响IPAct监视权的使用。 

大多数IPAct权力都需要获得司法机构的批准 专员,或现在提议用于通信数据获取的新专员 通信数据授权办公室。司法专员或其他 审查者可能必须对该法的某些规定形成看法 批准认股权证或通知时。  一些 解释可能具有比单个批准更广泛的意义。

根据《知识产权法》,如果可以在不违反专员不违背专员职责的前提下进行,则可以发表通过的解释。 the public 利益, nor prejudice national security or the prevention or 检测严重犯罪或英国的经济状况。

必须考虑对IPAct的哪些解释?的 辩论最多的是司法专员的审查水平 必须适用于部长级决定,以发行认股权证和技术 功能通知。感谢戴上我的Techlaw帽子,我将把这个问题留给一直在思考它的公共和行政法专家 自法案草案于2015年11月发布以来。

批准决定通常涉及对必要性和 比例性。这些就其本质而言将是事实敏感的,因此更多 在不透露应保留的运营事项的情况下很难公开 秘密。不过,也许可以采用一些通用方法 public.

法定释义的重点包括以下几方面: 要求对IPAct的语言进行正确理解的观点。  

我起草了一系列条款,这些条款提出了不同程度的解释性挑战。有些要点是古老的爱好, 可以追溯到我对原始草案草案的评论。其他是新的。毫无疑问 随着IPAct的付诸实践将出现。

批量拦截

选择 examination

有什么问题

U散装拦截令帽类活动算作考试选择 截获的内容或辅助数据?而 问题可以简单地说,答案不是那么容易。

为什么意义重大?

选择检查是IPAct的三项规定的基础。

首先,必须在获得单独的针对性检查令之前 selecting intercepted 内容 对于 examination 通过使用标准(例如电子邮件地址) 如果目的是识别不列颠群岛的个人, 该个人发送或打算用于该个人的通信内容。 (第152(4)条) (但是,次级数据不需要有针对性的检查令。 到二级数据的含义,请参见下文。)

其次,这是违法行为(根据适用的知识和 意向阈值) 选择拦截 内容或辅助数据进行检查 违反该法的 safeguards. (S.155)

三,批量拦截令授权 考试选择 必须描述 the manner in 哪一个intercepted 内容 or secondary data will be 选择用于 examination 和the conduct by 哪一个that activity will be secured (S.136(4)(c)).

与S.136(4)(c)相比, RIPA的等效规定。奇怪的是,它在 拦截行为守则草案

重要的是要知道什么活动才是选择 for 检查.  这是特别的 自动化处理的问题。

可能 interpretations?

考试是指正在阅读,观看或聆听 (S.263)但是,哪些活动被捕获 选择对于 检查?选择之间必须有多近的联系 以及随后的检查?  是否 必须有特定的意图来检查选定的项目(例如 分析人员在数据库上发出搜索请求时)?请选择是否可能 examination suffice?  (也许是 interest that 大卫·安德森 Q.C.'s 大功率评论 在第2.17段中讨论 在...的标题下‘考试选择’使用强项和弱项 选择器以选择材料“possible 检查” by analysts.)

拦截实践守则草案描述了从获取数据到分析师进行检查的一系列步骤。它使用术语“检查选择”的方式可能既涉及分析人员的选择,也涉及中间处理步骤:
“实际上,可以使用几种不同的处理系统来实现拦截和/或获取辅助数据,并且 考试选择 of the data so 获得ed. 
这些处理系统处理来自通信链路的数据或拦截机构已选择拦截的信号。然后,将一定程度的过滤应用于那些链路和信号上的流量,以选择具有潜在智能价值的通信类型,同时丢弃那些最不可能具有智能价值的通信。由于这种过滤的结果(在处理系统之间会有所不同),这些链接和信号上的大部分通信都会被自动丢弃。然后可能会进行进一步的复杂搜索,以得出与该机构有关的最有可能具有最大情报价值的进一步通信’的法定职能。这些通讯可能是 入选考试 用于满足必要性和相称性条件的手令中指定的一项或多项操作目的。只有未过滤掉的项目才有可能成为 入选考试 by authorised 人s."(强调)
如果只选择检查 分析师查询数据库的操作,然后 S.136(4)(c)仍将要求手令描述 manner in 哪一个an analyst could select 内容 or secondary data 对于 检查。这可能包括描述分析师如何进行搜索 数据库。它还可能涵盖了“查询重点数据集”的操作 (databases in 哪一个the data is organised so as 至 optimise particular kinds of 分析人员的查询)。

但是考试选拔排除在外 在批量捕获和存储之间进行的所有自动化处理?如果选择“用于检查”,原则上似乎没有理由应排除自动选择。  

各种自动处理之间的详细信息 capture 和storage are mainly kept secret.  但是,可以从《工作守则》草案中获得一些线索。 情报和安全委员会2015年3月的报告,来自批量 Powers Review.  大国评论 描述使用的过程‘strong 选择器s’(电话号码或电子邮件 地址)以在被拦截时几乎实时地选择它们:

“随着互联网流量的流逝 那些选择的载体,系统将通信与以下列表进行比较 strong 选择器s in near real-time. Any communications 哪一个match the selectors are automatically collected 和all 其他 communications are 自动丢弃。”

Such 选择 against a list of e-mail addresses or telephone numbers of 利益 除检查或至少可能的检查以外,不得将其用于任何其他目的。但是,如果(如 在《大国评论》中进行了描述)是否可以应用进一步的分类程序?

“即使通讯在哪里 known 至 与......有关specific targets, GCHQ 确实 not have the resources 至 检查他们全部。分析人员根据他们的经验和判断来决定 他们的查询返回的结果中最有可能是智能的 value 和will examine 上 ly these.”

Weaker 选择器s may 与......有关subject-matter 和be combined to create complex non-real time queries 哪一个determine what material is 分流后保留以备检查。模式匹配算法可以 可能被用来将表现出可疑行为特征的人标记为 候选人进行进一步调查。

这些过程中哪些(如果有)的问题 选择检查的数量对 IPAct规定的流程的操作。

二手数据

有什么问题

'Secondary data' under 知识产权法 has been extended, compared 与RIPA相当‘相关通讯数据’,以便包含一些 沟通内容的要素。但是定义很难 to apply 和in some respects verges 上 the metaphysical.  

为什么意义重大?

二手数据, 尽管它的名字,也许是 最重要的数据类别 within 知识产权法. 它是, roughly speaking, metadata 根据目标性,主题性或批量拦截令获得。因此不是 遵守适用于拦截内容的所有使用限制。

特别是,与内容不同,没有要求 获得针对性的检查令,以便选择用于 examination by use of a 选择器 (such as an e-mail address) referable 至 有人知道在不列颠群岛。

因此,辅助数据的范围越广,越多 无需有针对性的检查令就可以访问数据,并且通常将更多内容视为内容 will be included.

可能 interpretations?

根据IPAct的S.137,二级数据包括:

“identifying data 哪一个-

(a)包含于,包含为 通信的一部分,附加到或与之逻辑关联(无论是通过 the sender or 其他wise),
(b)具有逻辑上的能力 与通讯的其余部分分开,并且
(c)如果分开的话, 不会透露任何合理地被认为是 meaning (if any) of the communication, disregarding any 含义 arising from 通信事实或来自与传输有关的任何数据的事实 the communication.”

Identifying data is data 哪一个may be used 至 identify, or 协助识别任何人,设备,系统或服务,任何事件或 任何人,事件或事物的位置。

识别数据本身是广义的。这包括 离线以及在线事件,例如照片上的日期或位置数据。 但是,真正的挑战在于理解(c)。一个人如何评价 ‘meaning’这些目的的沟通?如果是名称或位置,或者 电子邮件地址,或从通讯中提取时间, 它自己揭示了什么含义?是否已提取每个项目以供考虑 单独还是将提取的数据项一起考虑?  怎么样‘meaning’机器对机器 沟通需要评估?测试沟通可能意味着什么 电脑还是人类?

A list of the specific types of data that do 和do not fall 该行的两侧都可以帮助理解与抽象数据相关的信息 这样的定义。斯诺登文件中有一个GCHQ 内部参考清单 distinguishing between 内容 和related communications data under 里帕.

技术能力 NOTICES

由或施加 behalf of

有什么问题

技术能力通告(TCN)可能要求 电信运营商要安装指定的功能来协助任何 截获,设备干扰或批量购置令或通讯 数据采集​​通知,将来可能会收到。

特别是,TCN可能需要电信运营商 有能力删除由其或代表其应用的电子保护 该运营商的任何通信或数据。这包括加密。  但是什么时候“由或代表”应用加密 that operator?

为什么意义重大?

在该法案通过议会期间, 大量辩论 关于是否可以使用TCN停止电信 运营商为其用户提供端到端加密功能。问题是 从来没有完全解决。如果尝试去做,将会出现一个问题。 是否以这种方式使用TCN,是E2E加密是由运营商还是代表运营商进行的。 如果没有,那么就没有管辖权就此发布TCN encryption facility.

可能 interpretations?

原则上,加密可以由操作员,用户或两者同时应用。运营商无疑会争辩说,在端到端 它仅向用户提供应用加密和加密的功能 任何加密都是由用户而不是运营商应用的。  该论点的力量可能会有所不同 取决于特定情况下的精确技术安排。

强制性数据 RETENTION

通过获取数据 generation

有什么问题

知识产权法赋予了国务卿权力 批准司法专员,以发出通信数据保留通知 给电信运营商。通知可能要求操作员保留 指定的通讯数据长达12个月。

数据保留通知尤其可以包括:

“的要求或限制 relation 至 the 获得 (whether by collection, 代 or 其他wise), (i)保留数据,或(ii)保留数据的生成或处理。”

该规定明确要求保留数据 可以包括获取或生成保留数据。但是那到底是什么 意思?特别是为什么‘obtaining’保留数据包括 ‘generation’?

为什么意义重大?

强制性通信数据保留是最重要的一项 controversial aspects of 知识产权法. 它是 under challenge in the courts and, 由于先前的法律挑战,政府 已经必须咨询 该法的修正案。

要求数据保留的权力在每个领域都更广泛 尊重之前的立法,数据保留和 2014年《调查权力法》。它们可用于私下,而不仅仅是 公共,电信运营商。它们涵盖的数据范围更广。和 they can require data be 获得ed 和generated, not just retained.

因此,这些新权力的范围非常重要,尤其是 因为要求电信运营商不要透露存在 data retention notices 至 哪一个they are subject.

可能 interpretations?

这对什么意思‘obtain’ data by ‘generation’? It 显然意味着与仅生成数据进行保留不同, 因为那是单独说明的。最深远的解释是 该通知是否可能要求运营商要求第三方 生成通信数据并将其移交给操作员。可以使用吗 强迫Wi-Fi运营商获取并保留用户的身份信息?

议会辩论期间没有任何建议 可以以这种方式使用它,但随后对此进行了奇怪的起草 规定根本没有受到关注。

网络连接 RECORDS

‘Internet service’ and ‘互联网通讯服务’

有什么问题

IPAct同时使用 ‘internet service’ 和‘互联网通讯服务’ 其规定了对公共机构访问Internet连接记录(ICR)的限制。但是它 没有提供定义。这些众所周知的行业或技术也不是 terms.

为什么意义重大?

ICR是访问过的互联网目的地的日志,例如 网站。 ICR特别敏感,因为它们可以成为 有关某人的信息’的生活方式,健康,政治,阅读习惯等 上。因此,与普通法相比,《知识产权法》规定了更严格的限制 通信数据,有关可以访问ICR的机构以及用于什么目的的信息。

该法案规定了若干目的, 在不同的情况下,公共机构可以访问ICR。它们包括:
  • 至 identify 哪一个person or apparatus is using 已知服务和使用时间的互联网服务。 (S.62(3))
  • 至 identify 哪一个internet communications 一个人正在使用服务,以及何时以及如何使用它 身份已知的设备。 (S.62(4)(b)(i)和S.62(5)(c)(i))
  • 至 identify 哪一个internet service is being 由以下人员或设备使用,何时以及如何使用它 identity is already known. (S.62(4)(b) (iii) 和S.62(5)(c) (iii))

的 second 和third purposes apply identically 至 internet services 和互联网通讯服务s. 的 first purpose applies 上 ly to 网络服务s.

的 purposes 对于 哪一个the powers can be used may therefore 不同,这取决于我们处理的是互联网服务还是 互联网通讯服务. But as already noted, the Act 确实 not tell us 这些术语的含义是什么。

可能 interpretations?

我们可以在注释的脚注中找到解释的线索。 通信数据业务守则草案. 

脚注49指出‘internet service’ is a service 通过互联网提供。从表面上看,这似乎排除了 提供访问权限的服务 互联网。但是,示例在草案第9.6段中说明了S.62(3) 代码提出了不同的建议。

脚注49继续说“互联网服务”包括 ‘互联网通讯服务s, websites 和应用领域.’ It also suggests 在线旅行预订或地图服务的示例。

这种解释提出了一些问题。

首先是关于互联网通讯服务的建议 是互联网服务的子集。如果正确,则各小节 该法案第62(4)(b)(i)和62(5)(c)(i)条(以上是互联网通信服务) 是多余的,因为相应的(iii)小节已经涵盖了互联网 同样的服务。

If ‘互联网通讯服务’是多余的,那么 其定义的不确定性可能并不意味着自S.62可以 应用于任何“互联网服务”。

《守则》草案在其他地方建议第(iii)款 relate 至 ‘other’互联网服务(即互联网通讯之外的其他服务) (i)小节涵盖的服务)。但是,该语言不会出现在 the Act.

Second is the suggestion that websites 和应用领域 are different from 互联网通讯服务s.  面对它,互联网交流 服务可能只是电子邮件或消息传递服务。但是如果是这样,我们是什么 to make of ‘applications’因为很多消息传递服务 are app-based?

最后,更令人困惑的是,守则草案的脚注48 实践学院说,互联网通信服务是一项 提供一个或多个人之间通过Internet进行的通信 and ‘may include’电子邮件服务,即时消息服务,互联网 telephony services, social networking 和web 对于ums.

This goes wider than just e-mail 和messaging services. Does it, 对于 instance, include 上 line games with the ability 至 chat 至 其他 players?  在上下文中‘person’ refer 仅针对人类,还是包括机器通讯?

那些涉及批准和批准访问ICR的申请的人将必须考虑这些内容。 terms mean 和how they fit 至gether within the scheme of 法案。 

谁的材料 拥有是犯罪

有什么问题

Another ground 上 哪一个access 至 ICRs may be 获得ed is 至 识别已知人员在何处或何时访问或运行文件或程序 which “全部或主要涉及提供或获取其内容的材料 拥有是犯罪”。犯下的罪行相对较少 仅仅拥有物质。儿童的非法毒品和不雅图片属于 《工作守则》草案中提到的两个。

为什么意义重大?

定义的宽度会影响哪些类型的犯罪分子 activity can be the subject of 应用领域 至 access ICRs under this head.

可能 interpretations?

该部分的适用范围是否比单纯拥有更广泛,因为 instance where possession is an offence 上 ly if it is with a view 至 some 其他 活动?如果拥有不是犯罪,那么拥有犯罪怎么办? it is 对于 人al use?

通讯数据

最多第一个网址 slash

有什么问题

长期以来,人们一直认为,在RIPA中, web address 至 the right of the first 削减 is 内容, but 其他wise the URL 是通讯数据。 里帕包含一个复杂的定义,旨在 实现那个结果。尽管内政部表示IPAct可以实现 同样的结果,定义的确切实现方式并不总是很明显。

为什么重要

Communications data retention 和acquisition powers can be 仅针对通信数据而不是内容进行部署。所以重要的是 know what is 和is not 内容.  它是 对于内政部拥有的Internet连接记录尤其重要 反复说,包括顶级网址,但不包括页面URL。

在2015年6月, 信任问题 在第9.53段, 大卫·安德森(David Anderson)说内政部为他提供了这个定义 “博客”(现称为ICR)的类型:

“网络日志是对 interaction that a user of the internet has with 其他 computers connected 至 互联网。这将包括访问第一个网站的网站 ‘/’ of its [url], 但不是用户已访问的所有网页的详细记录。这个 record will contain times of contacts 和the addresses of the 其他 computers or services with 哪一个contact occurred.”

他接着说:

“在此定义下, 日志将显示用户访问过www.google.com或www.bbc.co.uk, 而不是特定页面。”

他还指出  那:

“根据目前接受的 内容和CD之间的区别,www.bbc.co.uk将是通信数据 while 万维网。bbc.co.uk/sport would be 内容; 和this is set out in the 获取代码。但是,该定义有任意要素– 对于 例如sport.bbc.co.uk(否‘www.’)带您前往与 www.bbc.co.uk/sport.”

可能 interpretations

下议院 Science 和Technology Committee 批评了草案中的数据定义。  的y remain complex 和abstract in the final legislation.

法案进行前的审查内政部 submitted 证据 给联合委员会,联合委员会提供了有关什么的更多信息 kinds of data would constitute communications data 和ICRs. 

在其书面证据附件A第20段的表格中, 内政部分类为‘content’ the following:

“网页中的网址 浏览会话(例如www.bbc.co.uk/news/story或news.bbc.co.uk或 friend’sname.facebook.com)”

第一个示例反映了先前的理解,即 完整的URL是内容。第二个和第三个示例(子域)与 上面摘录中列出的先前理解‘A Question of Trust’ 通过将第一个斜杠左侧的内容分类为内容。

无论采用这种方法的优点有哪些, arbitrariness noted by 大卫·安德森, it is difficult 至 find anything in the legislation 在建议的点画线。内政部没有提供证据 解释为什么它画线了。 

通信数据业务守则草案 确实 不是专门针对这一点,而是对完全合格的解释 第17页上的域名可能表明内政部现已恢复为 the original position described in 信任问题 .

考虑到ICR的敏感性,这是一个非常重要的领域,不仅对于受IPAct要求约束的ISP,而且对于广大公众来说,知道哪些类型的数据都可能受到保留和访问。 

这是另一个指向 是否希望发布全面的数据类型列表,以说明 kinds of data fall into 哪一个categories and, by reference 至 the definitions 在IPAct本身中,为什么要这样做。



2017年1月2日,星期一

Cyber​​leagle监视

For over two years I have been blogging 上 surveillance, a 至pic that cuckoo-like has grown 至 crowd out most 其他 IT 和internet law 至pics 上 这个博客。 

现在,《调查权法》已纳入英国法令,这似乎是对本法规及其先前事件启发的43个职位进行分类的好时机。

2013年8月20日: 人人遇见政府. 对斯诺登的反应提示。一切都与信任有关。


{2014年4月8日:CJEU在以下方面使欧盟数据保留指令无效 爱尔兰数字版权。二级立法对英国实施的有效性存有疑问。}

2014年7月12日: 剖析DRIP-紧急数据保留和调查权法案. 在联合政府之后的第二天发布’周五发布了DRIP法案,以在周一的紧急情况下提交国会 四天的时间表。到目前为止,仍然是所有帖子中访问量最多的页面 this blog. 

2014年7月20日: 的 其他 side of communications data。具有严重后果的通信数据获取错误的统计数据:错误的指控,搜查令,逮捕。从那时起,使用后续的IOCCO年度报告中的数据进行了更新。 

2014年10月10日: 提交调查权审查的意见书. Various submissions (including mine) 至 大卫·安德森 QC’s调查权审查。

2014年11月15日: Of straws 和haystacks。追溯RIPA的历史’S.8(4)的整体拦截力 通过1960年代的电缆审查丑闻 根据1920年《官方机密法》第4条。

2014年12月3日: 另一轮数据保留。修订DRIPA的《反恐怖主义和安全法案》的IP地址解析条款。

2014年12月21日: 切尔滕纳姆·卡罗尔。五个Baa-a-aack门。

2015年1月2日: GCHQ的纠结网’s fishing warrant。 S.8(4)RIPA批量拦截令的详细分析。

2015年2月2日: IP地址解析-尚未解决的难题? A short rant about the Counter-Terrorism 和Security Bill.

{11 六月 2015: "信任问题 " published.}

2015年7月13日: Red lines 和no-go zones - the coming surveillance debate。讨论  大卫·安德森 Q.C.'s Investigatory Powers Review report "信任问题 ".

2015年8月12日: 即将到来的监视辩论。由13部分组成的系列文章,分析了可能在即将出台的《调查权法案》中出现的特定主题。

2015年9月5日: 预测英国’新的监视法。该法案内容的九种预测包括大量拦截,广泛的部长权力,浏览历史,数字足迹,法令数据生成,通信数据/内容边界,第三方数据收集,请求过滤器和司法授权。

{2015年11月4日:《调查权草案》发布。}

2015年11月4日: Prediction 和Verdict - the draft Investigatory Powers Bill。草案草案的内容与我9月5日的预测。

2015年11月9日: 从监督到洞察-隐藏监视法解释。认为监督机构应根据行使或主张的权力积极寻求并作出公开的重要法律解释。

2015年12月23日: #IPBill圣诞问答。草案草案带有一点季节性乐趣,包括永不遗忘的定义“数据包括不是数据的任何信息”。在最终立法中,突出显示的十点中有五点已改变,包括这一点。

2016年1月16日: 一份前所未有的电话账单。根据我的证据,对立法前的联合委员会进行了分析,分析了互联网连接记录与政府当时倾向于比较的传统逐项电话帐单相比,其内容更丰富,影响范围更广并且本质上与以往不同。 

2016年2月7日: No Content: Metadata 和the draft Investigatory Powers Bill。在草案中强调通讯数据功能的重要性。

2016年2月16日: 《调查权法案》草案-从头再来? Discussion of the 联合委员会 和ISC Reports 上 the draft Bill.

{2016年3月1日:《调查权法案》提交议会。}

2016年3月15日: 重新访问相关通信数据。解析和可视化该法案中最复杂,最关键的定义之一。

2016年3月19日: 《调查权法案》的20分,从将来的论证到三重否定. 紧接该条例草案发表前,发表了20条推文,随后根据该条例草案发表了评论。

2016年3月24日: 关于元数据的一切。条例草案的更多形象化’复杂的元数据定义网络。

2016年3月29日: 密码学家,您有祸了! 这本适用于密码学的少量圣经语录收成平淡无奇…

2016年4月1日: 正式公告. …但不像这次愚人节的尝试那样平淡。

2016年4月15日: 证明未来的《调查权法案》。争论条例草案 ’通过采用技术中立的制图方法对未来的能力进行尝试的尝试重复了RIPA的错误。更好的方法是对将来的隐私入侵平衡进行验证。

2016年5月26日: 内容v元数据竞赛是《调查权法案》的核心。深入研究条例草案’内容与元数据之间的界线,包括情报机构提取某些内容并将其视为元数据的新权力。 

2016年6月12日: 列表。反乌托邦隐约可见,拿着剪贴板。

2016年7月19日: 数据保留-辩护律师。总检察长摘要’在Watson / Tele2案中对DRIPA和同等瑞典法律提出异议的意见。

2016年8月11日: 辅助数据如何命名。一个想象中的 法案起草委员会会议在白厅举行。

{2016年8月19日:《大国评论》发布。}

2016年9月7日: 大功率的饰件? 如果在议会程序开始之初委托并出版了《大国评论》,那会是什么样子。

{2016年11月29日:《调查权力法》获得皇家同意。}

2016年12月10日: 《 2016年调查权力法》圣诞节测验。测试您对#IPAct知识的20个问题。 

2016年12月31日: 《调查权法》-天鹅还是火鸡? 对该法的立法后反思。  

这标志着开始的结束。即将面临的法律挑战,新的法律挑战和英国脱欧将为未来的博客提供丰富的材料。

[于2017年1月2日21.25修订,添加了一些{contextual events}和风格编辑。]

2016年12月31日,星期六

《调查权法》-天鹅还是火鸡?

《调查权法案》(现新成立) 调查权法,其记忆力可能比最近记忆中的任何立法都受到了更多的审查。但是,很少有如此严格的审查需求。

超过300页的内容构成了时任总理戴维·卡梅伦(David Cameron)形容为上届议会最重要的法案。生效时 the IP Act will replace much of 里帕 (the Regulation of 调查权法 2000), described by 大卫·安德森 Q.C.’s report 信任问题 as ‘除了一小部分同修之外,所有人都无法理解’。它还将取代许多年来秘密行使的非RIPA权力-有些是, 调查权法庭 我们发现,法律框架不够明确。 
除了GCHQ规模的2013年斯诺登的启示,这一切都不会发生’使用大量拦截力。下雪两年后, 仍在承认 以前不知道(除了已知的人以外)使用不透明的法定权力。 
经过三个审查和后来的几个议会委员会,该法令成千上万的工作时间是带来天鹅还是火鸡,尚无定论。如果长时间的孵化产生了一只天鹅,那是一种羽毛,在那只天鹅的羽毛已经看起来明显皱纹之后 欧盟法院判决 沃森/ Tele2,在皇家同意书发布三周后发布。该决定至少将要求对该法案的数据保留方面进行实质性修改。 
那么,天鹅还是火鸡?
司法批准
在天鹅方面,拦截和设备干扰令以及大多数可通过通知行使的权力,均需获得独立司法专员的事先批准。对于某些人来说,对于将要进行的审查的程度仍然存有疑问。但是,司法批准是对当前惯例的重大改进,目前仅由国务卿来决定签发手令。
编纂的权力
同样令人赞叹不已的是,授予执法和情报机构的众多权力中令人印象深刻的300页编纂。标题为‘Bulk warrants’是RIPA的可喜变化’的经过认证的手令,迫使读者在法律放弃其机密之前,绕着一堆复杂的条款玩跳房子。
Granted, 知识产权法 also ties itself in a few impenetrable knots. Parts are built 上 shaky or even non-existent definitional foundations. But it would be churlish not 至 acknowledge 知识产权法’对其前辈的总体改进。 
议会审查
当我们考虑议会对大国权力的审查时,事情就变得不那么优雅了。
立法前 联合委员会 承认证人是根据不完整的信息作证。回应联合委员会’政府的建议 大功率运行案例 与条例草案一起’s introduction into Parliament. That added a little light 至 that 哪一个信任问题 had previously shed 上 the use of bulk powers. 
But it was 上 ly with the publication of 大卫·安德森’s 大功率评论 在国会程序即将结束时 毫无争议的消息来源提供了对使用大功率的各种方式的更深入的了解。 (以举例的方式‘selector’-最基本的批量拦截术语-在《大国力量评论》中出现27次,在“信任问题”中出现5次,在“业务案例”中出现两次,但在联合议会审查委员会报告或情报与安全委员会中都没有出现报告。)
By the time the 大功率评论 was published it was 至o late 对于 the detailed information within it 至 fuel a useful Parliamentary debate 上 how any bulk powers within the Act should be framed. 大卫·安德森 至uched 上 the timing when he declined 至 enter into a discussion of whether bulk powers might be trimmed:
“我已经考虑过是否可以建议“trimming”一些大国的权力,例如通过描述绝不应该被授权的行为类型,或试图限制可能由所收集材料制成的下游用途。但是,特别是在议会进程的这一后期,我认为不应该沿着这一道路走。技术和术语的变化将不可避免地快于立法者跟上立法者的能力。这项条例草案的计划,不是我的责任,它具有广泛的前瞻性权力,详尽的作业守则和强有力的保障。如果新法律希望在未来10或15年内适应技术的发展,则需要避免采用过于规范和技术定义的方法的陷阱。”
如果该法律在《大国评论》中被标记出来’我们发现这些权力具有明确的运作目的,而大量拦截力量具有至关重要的作用。
在议会程序的早期阶段进行全面的审查可能会导致更紧密地量身定做的大国权力。如下所述(“容易受到法律挑战”)广度的权力可能会再次出现,困扰着政府。
强制数据保留
关于扩大权力的看法 强制通信数据保留高度分化。但是天鹅或火鸡,数据保存将成为法庭上的一个问题。欧盟法院判决 沃森/ Tele2,尽管有关现有的DRIPA立法,但仍需要对IP法案进行修改。这些变化需要多大的范围 毫无疑问将引起争议,并可能导致新的法律挑战。因此,很有可能将强制性数据保留范围扩展到包括生成和获取所谓的Internet连接记录:站点级Web浏览历史记录。  
许多人会说 我们一直在阅读的官方授权清单,无论是纸质书还是网站,都跨越红线。用人权的话来说,可能等于不尊重隐私和言论自由的实质:这种权力没有任何必要性,相称性,监督或保障就可以合法化。
权力限制v保障措施
该法令的假设是,可以通过保障措施(独立的事先批准,进入限制,监督)和对其行使的软限制(必要性和相称性)来抵消权力的广度。 
这些可以提供防止滥用的保护。如果异议是针对某种预期用途,那就太不舒服了:例如,挖掘数以百万计的通信数据以形成怀疑,而不是以特定的怀疑为根据。
权力的范围越广,具体性就越弱,则有可能在没有事先征得公众意识和同意的情况下,授权对其进行某些有意但不可预见或未加理解的使用。 1984年的《电信法》第94条就发生了这种情况,可以说是根据RIPA进行了批量拦截。当然,互联网和手机的融合导致了RIPA权力所体现的入侵和隐私平衡的转变。 里帕权力经过有针对性的面向未来的考量,以允许进行技术变更,从而促进了这一点,这种方法反复出现(我认为这不利于它) in 知识产权法.
In 信任问题 大卫·安德森 speculated 上 a future Panopticon of high tech intrusive surveillance powers:
“Much of this is technically possible, or plausible. 的 impact of such powers 上 the innocent could be mitigated by the usual apparatus of safeguards, regulators 和Codes of Practice. But a country constructed 上 such a basis would surely be intolerable 至 many of its inhabitants. A state that enjoyed all those powers would be truly 至talitarian, even if the authorities had the best 利益s of its people 在 heart.”
他接着说,关于通过必要和相称的基本权利原则来控制权力的行使:
“由于法院提出的这些概念是适应性强,细微差别和针对特定环境的,因此它们非常适合平衡隐私和安全性的相互竞争的必要性。但是出于相同的原因,它们可能看起来很灵活,并且能够主观应用。作为对国家权力施加严格限制的一种手段(上面我的第二个原则),与具有更绝对性质的严格规则相比,它们不确定性更大,而且更具争议性。”
《知识产权法》废除了硬性规定。相反,它赋予了广泛的权力,这些权力通过保障措施和日常应用的软限制得以缓解:必要性和相称性。
赋予广泛权力以保障与软限制相抵消的理念反映了一种信念,即由于英国长期以来尊重自由的传统,我们可以并且应该信任我们的当局(经过适当监督)拥有我们不希望看到的权力。不那么谨慎的手。 
另一种观点认为,一个长期以来尊重自由的社会的标志是它画出了清晰的红线。它并没有赋予州政府过分广泛或深远的权力,无论我们多么相信我们可以信任他们(及其监督者),以及无论如何我们都可以设置许多防止滥用的保障措施。 
两种方法都源于一种信念(尽管有时似乎很乐观),即我们的社会是建立在根深蒂固的自由原则之上的。然而,它们导致明显不同的措辞和结果。
Be that as it may, 知识产权法 grants broad general powers. Will the Act foster trust in the system that it sets up? 
信任问题
大卫·安德森’的原始评论的框架为“A Question of Trust”。尽管我们可能认为,一个由善意和正直的敬业公职人员运作的系统,但是对于怀疑论者来说,对侵入性国家权力所提出的信任问题的答案是 found in 预防原则的一个版本:自由的代价是永恒的警惕。
不论谁创造了这个词,奴隶制废奴主义者温德尔·菲利普斯(Wendell Phillips)在1852年都强调说,它关系到广大人民以及机构:
“永恒的警惕是自由的代价;…只有通过不断的监督,才能防止任职的民主人士沦为暴君。只有通过不间断的煽动,一个民族才能充分地意识到自己的原则,不致使自由受到物质繁荣的影响。”
即使是那些不太愿意怀疑的人,也可能会认为,具有广泛的,普遍的权力和软性限制的系统,比起具体限定的,具体定义的权力,其信任推定要宽松得多。 
Either way a heavy burden is placed 上 oversight bodies 至 ensure openness 和transparency. To quote 信任问题 : “…信任取决于验证而不是声誉,…”. 
One specific point deserves highlighting: the effectiveness of the 5 year review provided 对于 by 知识产权法 will depend upon sufficient information about the operation of the Act being available 对于 evaluation.
隐藏的法律解释
透明度使我们想到了隐藏的法律解释问题。该法令将其交给新的监督机构,无论是否 主动寻求和发表行使或主张权力的重要法律解释
可以做到这一点从 2014年报告 情报服务专员Mark Waller爵士的演讲中,他讨论了主题财产干预令是否具有法律依据。但是,那是黑暗中的灯塔。 几种有争议的法律解释 一直被隐藏起来,直到斯诺登的后果迫使他们进入公众视野。 
大卫·安德森(David Anderson)品管(QC)在他的行为后反思中强调了这一点“jury is out”要点,强调“政府必须进行宣传(或新委员会必须从中获利)”在新法规中对技术或有争议概念的内部解释。他在《信任问题》中建议公共当局应考虑如何更好地向议会和公众告知他们如何解释权力。
实际上,我们不能安全地依靠政府来做到这一点。该法案包括一系列新的保密条款,其后对诸如谁适用端到端加密(服务提供商或用户)​​,‘互联网通讯服务’,内容与次要数据之间的分界线以及其他争议点可能仍然无法公开显示。有趣的是,未来的调查权委员会是否会公开承诺实施该提案。
容易受到法律挑战
结果,该法令在保障措施上很长,但在权力限制上却很短。这种结构看起来越来越有可能遇到法律问题。 
采取散装拦截令的签发权。它包含 各种不同的技术。它们的范围从拦截点的实时“强选择器”应用(类似到多个同时目标拦截)到纯‘target discovery’:模式分析和异常检测,旨在检测可疑行为,可能在将来使用机器学习和预测分析进行检测。在频谱的两端之间是种子分析技术,该技术应用于当前和历史批量数据,其中调查的起点是与已知或怀疑的不当行为相关的信息。
该法案对这些不同技术没有区别。它的框架是一个更高的层次:出于一般目的(国家安全,单独或与严重犯罪或英国经济状况结合使用)的必要性,相称性等。
Statutory bulk powers could be differentiated 和limited。例如,可以在种子数据挖掘和非种子数据挖掘之间进行区分。如果模式识别和异常检测对于检测计算机化的网络攻击非常有价值,则立法可以指定其用途,并限制其他用途。这样的限制可能会阻止它被用于尝试以少数群体报告形式检测和预测一般人群中的可疑行为。 
  
与特定种类的散装技术有关的任何此类区分或限制的缺乏,使得该法可能容易受到未来人权挑战的威胁。人权法院已经在建议,如果不是从本质上拒绝大批收集,那么至少必须限制和区分使大批量收集成为可能的权力。
因此在 施雷姆斯 欧盟法院(在 爱尔兰数字版权 在[57])说:
“…立法不限于在一般情况下授权存储的严格必要条件… without any 区分,限制或例外 是根据追求的目标而制定的。” (emphasis added)
欧洲法院阐述了相同的原则’s recent 沃森/ Tele2 判断,批评强制性大宗通讯数据保留:
“It is 全面 因为这会影响所有使用电子通信服务的人,即使这些人即使在间接情况下也不会引起刑事诉讼。因此,它甚至适用于那些没有证据表明他们的行为可能与严重的刑事犯罪有联系的人,甚至是间接的或遥远的联系者。此外,它不提供任何 例外,因此它甚至适用于根据国家法律规定其通讯必须遵守专业保密义务的人员….
106这样的立法不需要任何 关系 在。。之间 data 哪一个must be retained 和a 对公共安全的威胁。特别是,它不限于保留(i)与特定时间段和/或地理区域有关的数据和/或可能以一种或另一种方式涉嫌严重犯罪的人群, (ii)因其他原因可以通过保留其数据为打击犯罪做出贡献的人…” (emphasis added)
的 CJEU is also due 至 rule 上 the proposed agreement 在。。之间 EU 和Canada over sharing of Passenger Names Records (PNR data). 的 particular 利益 of the PNR case is that the techniques intended 至 be applied 至 bulk PNR data are similar 至 the kind of generalised 目标发现 techniques that could be applied 至 bulk data 获得ed under 知识产权法 powers. As described by Advocate General Mengozzi in his 意见 自2016年9月8日起,这涉及将PNR数据与风险人群的情景或个人资料类型进行交叉检查:
“…PNR计划的实际利益 …特别是为了保证数据的大量传输,这将使主管当局可以在自动处理和场景工具或预定的评估标准的帮助下,识别执法部门不认识的个人,他们可能仍会提供‘interest’或对公共安全构成风险,因此可能随后接受更彻底的个人检查。”
AG Mengozzi recommends that the Agreement must (among 其他 things):
-明确规定要收集的数据类别(不包括敏感数据)
-包括详尽的犯罪清单,这些清单将授权当局处理PNR数据
-为了最小化‘false positives’由自动处理生成,包含原理和明确的规则:
  • 关于方案,预定的评估标准和与PNR进行比较的数据库,必须
  • 在很大程度上可以得出针对可能有合理怀疑参加恐怖主义或严重跨国犯罪的个人的结果,而这些个人必须
  • 不基于个人’他的种族或族裔血统,他的政治见解,他的宗教或哲学信仰,他的工会会员身份,他的健康或性取向。
随着大国受到越来越严格的审查,权力的限制和分化问题似乎会更加突出。知识产权法’与保障措施和软限制相抵触的大国主义哲学可能使立法的范围过于笼统,无法通过。

尽管在短期内可能会令政府满意,但成功将广泛框架的权力纳入规约的努力可能会在法院积蓄未来的问题。一个人想知道是否在几年内’到时候,政府将感到遗憾的是没有形成一套更为具体的有限和差异化的权力。

[2016年12月31日修正案,明确指出并非全部RIPA都已被取代。]