Povestea pana acum:

In anii 90 a fost creat Internetul.

Acest lucru a facut foarte multi oameni foarte suparati si au fost considerati pe larg ca o miscare proasta.

( cu scuze pentru Douglas Adams ) [1]

Un nou proiect de lege aflat la inceput in Congres, numit EARN IT Act. Un „proiect de discutie” lansat de Bloomberg este disponibil ca PDF aici. Acest proiect de lege incearca sa-ti transforme furia pentru Big Tech in visul mult dorit al fortelor de ordine de a interzice criptarea puternica. Este o momeala si un comutator. Nu cauta pentru asta. Voi explica de unde a venit, de ce se intampla acum, de ce este un astfel de truc nedemanat si de ce nu va functiona in scopul declarat. Si abia voi zgaria suprafata multor, multor probleme cu factura.

Anii 1990: Congresul trece sectiunea 230 si CALEA

In anii 90, Congresul a adoptat cateva legi care au ajutat la modelarea internetului asa cum il stim in prezent. Astazi vreau sa vorbesc despre doi dintre ei. Unul a fost sectiunea 230 din Legea privind decizia comunicarilor din 1996 (CDA). Sectiunea 230 spune, in esenta, ca platformele online („furnizorii” de „servicii informatice interactive”), in cea mai mare parte, nu pot fi responsabili pentru lucrurile pe care le spun si fac utilizatorii pe platforma. [2] De exemplu: Daca ma defamezi pe Twitter, te pot da in judecata pentru defaimare, dar nu pot da in judecata pe Twitter. Fara imunitatea oferita de Sectiunea 230, nu ar putea exista foarte bine Twitter, Facebook sau aplicatii de intalnire sau, practic, orice site web cu o sectiune de comentarii. Toti ar fi fost trimisi in judecata din cauza existentei sau nu s-au pornit niciodata, avand in vedere raspunderea juridica potential strivitoare la care ar fi expusi fara sectiunea 230. 

Cealalta lege semnificativa din anii ’90 despre care vreau sa vorbesc astazi este Legea privind asistenta in comunicatii pentru aplicarea legii din 1994 sau CALEA pe scurt. CALEA solicita operatorilor de telecomunicatii (de exemplu, companiile de telefonie) sa-si faca retelele wireless pentru aplicarea legii. Totusi, mandatul respectiv nu acopera „servicii de informatii”: site-uri web, e-mail, social media, aplicatii de chat, stocare in cloud si asa mai departe. Altfel spus, furnizorii de „servicii de informare” nu sunt obligati sa proiecteze pentru a fi prietenosi cu supravegherea. Sa apelam la „extragerea serviciilor de informatii” din CALEA. In plus, chiar si entitatile acoperite sunt libere sa cripteze comunicatiile si sa arunce cheile pentru a le decripta. Sa numim „extragerea criptarii”. Asa cum a explicat colegul meu, avocatul veteran in telecomunicatii, Al Gidari, intr-o postare pe blog din 2016, aceste extrageri reprezinta un compromis intre interesele concurente, cum ar fi aplicarea legii, securitatea retelei, confidentialitatea, libertatile civile si inovatia tehnologica. In sfertul de secol de cand a trecut, CALEA nu a fost niciodata modificata.

Prin adoptarea acestor doua legi, Congresul a facut o alegere politica intelepta pentru a nu strangula tanarul sector economic al Internetului in leaganul sau. Expunerea serviciilor online pentru a raspunde de raspundere legala ar inhiba (printre altele) schimbul gratuit de informatii si idei; Mandatul ca „serviciile de informare” sa fie prietenoase cu supravegherea guvernului SUA ar afecta (printre altele) viabilitatea comerciala a acestora pe pietele externe. Congresul a ales in schimb sa incurajeze inovatia in internet si in alte noi tehnologii digitale. Si internetul a inflorit. ( In anii 90 a fost creat Internetul .) 

Aici in 2020, sectorul Internet (si „tehnologia” mai pe larg) este un motor economic imens in SUA Multumita in parte eforturilor companiilor din SUA, software-ul a mancat lumea. Miliarde de oameni se pot conecta intre ei. Si totusi, nimeni nu pare sa se bucure de faptul ca este online foarte mult, pentru ca se dovedeste ca oamenii sunt ingrozitori. ( Aceasta a facut foarte multi oameni foarte suparati si au fost considerati pe larg ca o miscare proasta .)

2020: Oamenii sunt nebuni in ceea ce priveste sectiunea 230

Anii in care amestecati un font concentrat de venalitate umana de fiecare data cand ne deschidem telefoanele, impreuna cu cresterea metastatica a capitalismului de supraveghere, au nascut actualul „avant” bipartizan. The techlash ia mai multe forme, printre care zelul tot mai mare pentru modificarea sau abrogarea completa a Sectiunii 230. Ideea este ca sectiunea 230 nu mai este necesara; si-a servit scopul initial, daca a avut ceva succes, iar acum companiile americane de tehnologie l-au depasit – si au crescut prea mult pentru perioada lor britanica. Prejudiciul pe care-l permite Sectiunea 230, gandirea merge, depaseste acum binele si, astfel, a venit momentul sa-i raspundem furnizorilor pentru acest prejudiciu.

Desigur, ingrozirea umana nu a fost inventata in secolul 21 si nu este vina Internetului. Daca barbatii ar fi ingeri, nu ar fi fost nevoie de CALEA sau sectiunea 230 [3]. Dupa cum spune prima lege a lui Balk, „Tot ceea ce urasti despre Internet este de fapt tot ceea ce urasti pentru oameni.” Sectiunea 230 a impiedicat furnizorii celor dintai imuni in mare masura sa fie trasi la raspundere pentru abuzul online asupra celui din urma. Dar in epoca tehnologiei, imunitatea s-a erodat lent. 

Spre deosebire de CALEA, sectiunea 230 a fost modificata de cand a fost adoptata: SESTA / FOSTA, adoptata in 2018, strapunge imunitatea furnizorilor de revendicarile civile si de stat privind traficul de sex. La fel cum a prezis toata lumea, SESTA / FOSTA s-a dovedit a pune in pericol lucratorii sexuali in loc sa-i protejeze, iar in prezent este contestata ca neconstitutionala in instanta federala (inclusiv de colega mea Daphne Keller).

Acum, bazandu-se pe „succesul” SESTA / FOSTA, se pare ca senatorii Lindsey Graham (R-SC) si Richard Blumenthal (D-CT) (care s-au numarat printre primii co-sponsori ai SESTA / FOSTA in Senat) sunt pe cale sa introduca un alt proiect de lege care ar lua o alta muscatura din imunitatea sectiunii 230, potrivit The Information si Bloomberg. De aceasta data, obiectivul proiectului de lege este online materialul de abuz sexual asupra copiilor (CSAM). Ideea proiectului de lege este crearea unei comisii federale care sa dezvolte „cele mai bune practici” pentru combaterea CSAM online, pe care furnizorii de servicii online vor trebui sa o urmeze sau risca sa piarda imunitatea sectiunii 230 in ceea ce priveste revendicarile CSAM.

Aceasta propunere nu apare intr-un vid de reglementare. Exista deja o schema legala federala care incrimineaza CSAM si impune taxe furnizorilor. Si deja permite furnizorilor sa fie trasi la raspundere pentru CSAM pentru serviciile lor, fara a fi necesara modificarea sectiunii 230.

Legea federala CSAM

Legea federala, in special capitolul 110 din titlul 18 al Codului SUA (18 USC §§ 2251-2260A), face deja totul despre CSAM o crima: producerea, primirea, accesarea, vizualizarea, detinerea, distribuirea, vanzarea, importul etc. Daca faceti oricare dintre aceste lucruri, Departamentul Justitiei (DOJ) va va judeca si puteti merge la inchisoare multi ani. In afara de pedepsele penale, sectiunea 2255 din lege autorizeaza, de asemenea, procesele civile ale victimelor CSAM, astfel incat sa poti fi trimis in judecata de catre victimele tale pe langa faptul ca mergi la inchisoare. 

Sectiunea 2258A din lege impune obligatii furnizorilor de servicii online, precum Facebook, Tumblr si Dropbox si Gmail. Legea prevede ca furnizorii trebuie sa raporteze CSAM atunci cand o descopera la serviciile lor si apoi sa pastreze ceea ce au raportat (pentru ca este dovada unei infractiuni). Furnizorii „care nu respecta aceasta obligatie se confrunta cu sanctiuni substantiale (si aparent penale) care trebuie platite guvernului federal.” US c. Ackerman, 831 F.3d 1292, 1296-97 (10th Cir. 2016). [4] Statutul pune procurorul general insarcinat cu aplicarea cerintelor de raportare pentru furnizori. Sectiunea 2258A a fost actualizata recent la sfarsitul anului 2018 pentru a extinde sarcinile de raportare ale furnizorilor. Este important de important faptul ca aceste sarcini, chiar si dupa extindere, nu includ nicio obligatie de a monitoriza si filtra proactiv continutul de pe serviciu pentru a cauta CSAM. 

Daca furnizorii raporteaza si pastreaza CSAM in conformitate cu legea, atunci acestia sunt protejati de raspunderea legala (atat civila cat si penala, atat in ​​instanta federala, cat si in instanta de stat) pentru aceste actiuni [5]. Aceasta protectie, care se gaseste in sectiunea 2258B, „izoleaza [furnizorii] numai atunci cand… transmit dovezi in fata fortelor de ordine si respecta instructiunile de conservare a acesteia.” Ackerman, 831 F.3d la 1297. Portul sigur nu este absolut: Sectiunea 2258B (b) descalifica furnizorii de protectie in anumite circumstante, cum ar fi daca furnizorul are o conduita incorecta intentionata. 

Portul sigur al Sectiunii 2258B nu este acelasi lucru cu imunitatea Sectiunii 230. Sectiunea 230, dupa cum s-a mentionat, a avut intotdeauna o exceptie pentru dreptul penal federal. De fapt, textul legal pentru aceasta exceptie, sectiunea 230 litera (e) (1), spune in mod expres, „Nimic din aceasta sectiune nu va fi interpretat pentru a impiedica aplicarea … [capitolul] 110 (referitor la exploatarea sexuala a copiilor) din titlu 18 sau orice alt statut penal federal. ” Aceasta exceptie se limiteaza la cauzele penale; cererile civile impotriva furnizorilor de catre victimele CSAM in conformitate cu sectiunea 2255 sunt inca restrictionate. [6]

Mai simplu spus, sectiunea 230 nu impiedica procurorii federali sa-i oblige pe furnizorii sa raspunda pentru CSAM in serviciile lor. Dupa cum a spus Mike Masnick al lui Techdirt, „niciun lucru din CDA 230 nu impiedica DOJ sa faca nimic.” 

Asa cum prevede Sectiunea 2258A, furnizorii raporteaza intr-adevar CSAM gasit la serviciile lor – de 45 de milioane de ori doar anul trecut, potrivit unei povesti cu profil inalt din septembrie 2019, New York Times. Isi respecta obligatiile de raportare obligatorii sau cel putin, nimeni nu pare sa-i acuze de nerespectare. Daca marile companii tehnologice faceau o practica de a-si sustrage functiile in temeiul Sectiunii 2258A, DOJ ar urma sa urmareasca sanctiuni penale masive impotriva lor si ar fi stiri de prim-plan la nivel national. 

Cu toate acestea, in ciuda conformitatii aparente ale furnizorilor cu legea, organizatiile de aplicare a legii si pentru siguranta copilului au afirmat in ultimele luni ca furnizorii nu fac suficient pentru a combate CSAM. Prin urmare, pentru a stimula furnizorii sa faca mai mult, senatorii Graham si Blumenthal au adus acest nou proiect de lege (care presupun ca a fost redactat cu contributii semnificative din partea DOJ si a grupurilor de siguranta a copiilor). Proiectul de lege isi propune sa loveasca furnizorii acolo unde doare: imunitatea lor din sectiunea 230. 

Rezumatul actului EARN IT

Conceptul de baza al facturii Graham / Blumenthal este reflectat in titlul sau scurt: „EARN IT Act”. Ideea este de a face furnizorii sa „castige” imunitatea sectiunii 230 pentru cererile CSAM, respectand un set de linii directoare care ar fi elaborate de o comisie neelectata si care ar putea fi modificate unilateral de catre procurorul general, dar care nu sunt de fapt legi sau reguli obligatorii. stabilit prin orice proces legislativ sau de reglementare a agentiei. In acest proiect de lege se intampla multe, dar aici este o lista foarte ne exhaustiva a doar cateva dintre caracteristicile primare ale proiectului de lege, cu analiza mea rapida sub acestea:

  • Furnizorii de „servicii informatice interactive” trebuie sa „castige” Sectiunea 230 imunitate pentru CSAM

    • Proiectul de lege elimina imunitatea cu privire la cererile penale civile si de stat doar pentru CSAM; nu ar elimina in general 230 de imunitate (pentru alte revendicari, de exemplu, defaimare)

    • Analiza: „Servicii informatice interactive” (ICS-uri) sunt deja definite in sectiunea 230 si factura nu modifica acest lucru.

      • Definitia nu include dispozitive, dar acopera, aparent, serviciile de mesagerie, desi exista putine cauze in justitie

      • Exemplu: factura ar acoperi WhatsApp, Facebook Messenger si DM DM, dar nu iPhone

    • Analiza: furnizorii ICS includ, de asemenea, furnizori de e-mail, furnizori de stocare cloud etc. inca accesibil fortelor de ordine

  • Sectiunea 230 imunitate pentru CSAM poate fi obtinuta prin 1 din 2 „porturi sigure”:

    • 1: Respectarea „celor mai bune practici” recomandate pentru prevenirea conduitei de exploatare online a copiilor, TBD de catre o noua comisie de 15 membri 

      • Analiza: criptarea, in special criptarea end-to-end, este probabil sa fie vizata ca fiind contrara „celor mai bune practici” pentru prevenirea CSAM, deoarece daca un furnizor nu poate „vedea” continutul fisierelor din serviciul sau din cauza criptarii, acesta este mai greu de detectat fisierele CSAM. 

      • Comisia ar include cel putin 4 reprezentanti ai fortei de ordine, 4 reprezentanti ai industriei tehnologice, 2 repetari ale organizatiilor pentru siguranta copilului si 2 oameni de informatica / experti in inginerie software

        • Analiza: Niciun reprezentant nu este obligat sa vorbeasca pentru utilizatori sau societatea civila.

      • Comisia „va lua in considerare” interesele utilizatorilor in ceea ce priveste confidentialitatea, securitatea datelor si calitatea produselor

        • Analiza: Acesta este un limbaj foarte slab; inseamna ca comisia poate „sa ia in considerare” aceste interese pentru cateva secunde, sa se tarasca singure si apoi sa continue.

      • Comisia recomanda cele mai bune practici procurorului general, care are puterea de a le schimba unilateral inainte de finalizarea acestora, atat timp cat scrie un motiv pentru modificari.

        • Analiza: Aceasta inseamna ca AG ar putea rescrie singura „cele mai bune practici” pentru a afirma ca orice furnizor care ofera criptare end-to-end este categoric exclus de a profita de aceasta optiune de port sigur. Sau ar putea pur si simplu sa refuze sa certifice un set de cele mai bune practici care nu sunt suficient de condamnatoare pentru criptare. Daca AG nu finalizeaza un set de cele mai bune practici, atunci intreaga optiune de port sigur se stinge.

      • O „cea mai buna practica” necesita aprobarea a numai 10 din cei 15 membri ai comisiei pentru a putea fi recomandata AG.

        • Analiza: Acest lucru inseamna ca comisia ar putea ignora in totalitate atat informaticienii, fie ambii reprezentanti ai sigurantei copilului, fie toate cele 4 repetitii din industria tehnologica, atat timp cat poate atinge cvorumul format din 10 persoane.

      • Un ofiter al furnizorului trebuie sa certifice conformitatea cu cele mai bune practici; Declaratia falsa de „cunoastere” este o infractiune federala, care are o amenda si o pedeapsa de 2 ani de inchisoare. 

        • Analiza: Limba cerintei de certificare nu suna optional; se pare ca ofiterii sunt obligati sa certifice, indiferent daca este adevarat sau nu.

    • 2: Implementarea altor „masuri rezonabile” in locul celor mai bune practici

      • Spre deosebire de certificarea conformitatii cu cele mai bune practici prescrise, care garanteaza imunitatea sectiunii 230, luarea optiunii „masuri rezonabile” nu este un mod garantat de „castig” a imunitatii.

      • Analiza: Nu este chiar un adevarat „port sigur” daca furnizorul trebuie sa litigheze inca 230 de probleme de imunitate. Furnizorii care nu pot / nu vor / nu certifica respectarea „celor mai bune practici” vor trebui sa isi asume sansele daca masurile alese vor fi considerate „rezonabile” de catre o instanta.

      • Analiza: Oare o instanta ar putea considera ca criptarea „la capat” este „rezonabila” atunci cand obiectivul nu este securitatea datelor, ci, in schimb, combaterea CSAM? Furnizorii s-ar lupta sa-si concilieze datoria de a asigura securitatea datelor „rezonabile”, asa cum le-a impus FTC si zeci de legi de stat privind securitatea datelor, cu o obligatie conflictuala de a nu cripta informatiile, deoarece este „nejustificata” in conformitate cu Legea IT EARN.

Legea EARN IT are o serie de probleme grave 

Acest proiect de lege are o serie de probleme extrem de grave, prea multe pentru a se incadra intr-o singura postare pe blog. Este un lucru potential neconstitutional in temeiul primelor, al patrulea si al cincilea amendament. Nu am nicio speranta de a enumera chiar toate deficientele proiectului de lege. In schimb, deocamdata, permiteti-mi sa enumerez doar cateva:

  • Datorita sectiunii 230 litera (e) (1), procurorii federali pot deja raspunde furnizorilor pentru CSAM pe serviciile lor (chiar daca procurorii de stat si reclamantii civili nu pot). Piercing imunitatea Sectiunii 230 nu este necesara daca ideea este de a penaliza furnizorii pentru rolul lor in CSAM online, deoarece DOJ are deja aceasta putere. Daca furnizorii precum Facebook sau Dropbox incalca legea federala CSAM, de ce DOJ nu ii urmareste?

  • Daca acesti furnizori isi indeplinesc indatoririle in conformitate cu legea federala de raportare CSAM (Sectiunea 2258A), dar DOJ si Congresul inca cred ca nu fac suficient si ar trebui sa faca chiar mai mult decat prevede legea, de ce nu este raspunsul pentru a modifica doar sectiunea 2258A pentru a adauga taxe suplimentare? De ce sa aducem sectiunea 230 in ea?

  • Proiectul de lege ar permite, de fapt, comisarilor nerecuperabile sa stabileasca cele mai bune practici, ceea ce face ilegal ca furnizorii de servicii online (pentru chat, e-mail, stocare cloud etc.) sa ofere criptare end-to-end – ceva care este in prezent 100% legal pentru ei sa faca in conformitate cu legea federala existenta, in special CALEA. Adica, proiectul de lege ii va face pe furnizorii sa raspunda in conformitate cu o lege pentru exercitarea drepturilor lor legale in temeiul unei alte legi. De ce acest conflict cu CALEA nu este recunoscut nicaieri in proiectul de lege? (Am vazut exact aceeasi problema cu incercarea bolnava de Burr / Feinstein de a interzice indirect criptarea smartphone-urilor.)

  • Amenintarea pierderii imunitatii sectiunii 230 va fi infricosatoare pentru marile companii de tehnologie, cum ar fi Facebook, care incearca cu buna credinta sa respecte legea federala CSAM. Dar aceasta amenintare nu va avea niciun efect asupra actorilor rai din ecosistemul CSAM: site-uri web intunecate dedicate CSAM, care deja nu se califica pentru imunitatea sectiunii 230, deoarece au o mana directa in continutul ilegal de pe site-urile lor. 

  • Daca platformele de buna credinta pun in aplicare noile „bune practici” pentru a detecta CSAM de frica de a pierde imunitatea Sectiunii 230, dar site-urile CSAM cu actori rele nu o fac, atunci comerciantii CSAM vor parasi platformele de buna-credinta pentru cei rai, unde vor fi mai greu de urmarit.

  • Comerciantii CSAM care raman pe platformele de buna-credinta (sa zicem, Facebook) vor putea totusi sa cripteze CSAM inainte de a-l trimite prin intermediul Facebook Messenger, chiar daca Facebook Messenger insusi nu ar trebui sa mai aiba capat la capat. functionalitate de criptare. Chiar daca EARN IT Act interzice furnizorilor sa ofere criptare end-to-end, acest lucru nu ii va impiedica pe infractorii CSAM sa-si clocheze activitatile cu criptare. Acesta va muta doar locul unde se intampla criptarea intr-un alt punct al procesului. Tehnologia de criptare a fisierelor este acolo si a fost utilizata de catre infractorii CSAM de zeci de ani; factura EARN IT Act nu poate modifica asta.

Permiteti-mi sa spun un pic mai multe despre aceste probleme. Dar, mai intai, vreau sa va atrag atentia ca, daca credeti ca acest proiect de lege este vorba, in sfarsit, de a raspunde Big Tech dupa ce a devenit prea mare pentru britanicii sai, in conformitate cu un regim permisiv al sectiunii 230, sunteti avut.

EARN IT Act este un switch-and-Switch

In timp ce EARN IT Act este orientat in mod evident catre Sectiunea 230, este de fapt un mod ciudat de a afecta CALEA fara a o modifica direct. Va amintiti cele doua extrageri din CALEA despre care am discutat mai sus, pentru servicii de criptare si informatii? Atat DOJ, cat si Biroul Federal de Investigatii (FBI) incearca timp de cel putin un deceniu sa le inchida. Dar Congresul nu a aratat nicio apetenta pentru asta. Dupa cum sa spus, CALEA nu a fost niciodata modificata in sfertul de secol de cand a fost trecuta. Chiar si cu tehnologia in plina umflatura, nu exista o frenezie publica furibunda asupra CALEA. Politistii stiu ca multi americani sunt hraniti cu companiile de tehnologie care „se ascund in spatele” Sectiunii 230 din CDA. Dar nimeni nu spune: „Sunt plin de companii tehnologice care se ascund in spatele Sectiunii 1002 din CALEA!” 

Deci, cum poate aplicarea legii sa isi atinga obiectivul dorit de CALEA? Prin impingerea unui proiect de lege care in schimb vorbeste despre sectiunea 230. 

Oamenii sunt suparati de sectiunea 230, asa ca DOJ se apuca de acea furie ca fiind deschiderea sa pentru a ataca criptarea. Spun inca din 2017 ca agentiile federale de aplicare a legii vor profita de sentimentul anti-Big Tech pentru a-si croi drum. Acum, tehnologia este suficient de puternica incat in ​​sfarsit isi fac miscarea. Proiectul de lege ia in mod evident o lovitura la sectiunea 230, dar acea lovitura va ajunge in cele din urma pe CALEA. 

Nu uitati, CALEA face perfect legal ca furnizorii de „servicii informationale” (cum ar fi Apple si Facebook) sa proiecteze criptare care sa nu fie prietenoasa cu aplicarea legii. Chiar si transportatorii telco pot cripta apelurile si arunca cheia de decriptare. Criptarea end-to-end este legala conform legislatiei federale actuale. Cu toate acestea, Legea EARN IT ar permite unei comisii neelectate, necontribuite, sa scrie „cele mai bune practici” (nu legile sau reglementarile actuale, totusi raspunderea ar rezulta din nerespectarea acestora) care, fara sa greseasca, va condamna criptarea end-to-end. . Comisia, la urma urmei, va actiona in umbra unui procuror general care dispretuieste criptarea. Pentru Barr, criptarea nu poate fi decat o „cea mai proasta practica”. Prin angajarea in „cea mai proasta practica”, companiile ar risca sa se confrunte cu valul potential ruinant al litigiilor pe care le are in prezent sectiunea 230. Acesta este:o lege – o sectiune restransa 230 – pentru a sanctiona furnizorii pentru exercitarea drepturilor lor in temeiul unei alte legi – CALEA. Furnizorii ar fi responsabili din punct de vedere legal de a face exact ceea ce legea federala le permite sa faca. 

Intre timp, furnizorii fac in mod evident exact ceea ce legea federala CSAM ii obliga sa faca (raporteaza CSAM). Dupa cum s-a spus, furnizorii care solicita nimeni nu isi incalca sarcinile de raportare in sectiunea 2258A. Ei fac asa cum prevede legea. In caz contrar, ei ar putea fi deja responsabili in conformitate cu legea existenta , iar Sectiunea 230 nu i-ar salva. Nu incalca aceste obligatii de raportare prin furnizarea de criptare end-to-end (asa cum este permis de CALEA). Dupa cum s-a spus, in sectiunea 2258A, furnizorii au nevoie sa raporteze doar CSAM pe care ii cunoscdespre si nu au nicio datorie sa caute in mod afirmativ CSAM prin monitorizarea si filtrarea continutului. De asemenea, nu au nicio datorie sa poata „vedea” fiecare continut din serviciul lor. Daca un furnizor nu stie despre o componenta CSAM, deoarece nu o poate „vedea” din cauza criptarii de la capat la capat, aceasta nu se ocupa de sarcinile de raportare CSAM. 

Daca Congresul doreste sa reduca libertatea companiilor tehnologice si a operatorilor de transport telco pentru a oferi criptare end-to-end in conformitate cu cele doua extinderi ale CALEA, atunci Congresul ar trebui sa scrie un proiect de lege care modifica CALEA! Atunci putem avea acea conversatie. Daca Congresul doreste ca furnizorii sa faca mai mult pentru a combate CSAM, inclusiv ceva nebun precum obligatiile de monitorizare universala si filtrare, atunci Congresul ar trebui sa scrie un proiect de lege care modifica sectiunea 2258A! Atunci putem avea acea conversatie. Dar factura EARN IT Act nu face niciuna din aceste lucruri.

Proiectul de lege EARN IT se refera la CSAM si nu este atat de secret in cazul criptarii. Cu toate acestea, nu modifica legile care sunt de fapt relevante pentru aceste subiecte. In schimb, vizeaza o alta lege in intregime, Sectiunea 230, in mare parte pentru ca este convenabil din punct de vedere politic sa o faca chiar acum. Acest proiect de lege este un plan cinic de exploatare a actualului sentiment anti-Sectiunea 230, pentru a atinge un obiectiv care nu are legatura impotriva criptarii (unul care, apropo, ar fi dezastruos pentru cibersecuritate, confidentialitate, economie, securitate nationala, …) . Congresul nu ar trebui sa ucida libertatea de a cripta, profitand de actuala nepopularitate a Sectiunii 230 pentru a scapa de momeala si comutator.

Totusi, modificarea 230 pentru a afecta CALEA nu este singura momeala si comutare. Priveste mai atent: de ce fortele de ordine urasc criptarea end-to-end? Pentru ca face conversatiile private invizibile fortelor de ordine (si furnizorului serviciului de mesagerie). Acum: De ce toata lumea este suparata pentru sectiunea 230? Nu din cauza conversatiilor private – din cauza celor spuse in public , din perspectiva deplina a fortelor de ordine si a furnizorului si a tuturor celorlalti. Cand oamenii se gandesc la Sectiunea 230, se gandesc probabil la lucrurile oribile pe care le-au vazut in tweet-urile publice, pe postarile de pe Facebook si in fiecare sectiune de comentarii de fiecare data – chestii care nu fac sa fie mai distractiv sa fii online. Probabil ca nu se gandesc la conversatiile private din aplicatiile de chat. 

Marea majoritate a cauzelor judecatoresti care implica sectiunea 230 (in cazul in care cineva incearca sa dea in judecata un furnizor, dar cazul este respins ca fiind interzis de statut) sunt cazuri de defaimare care implica discurs public online. Aproape nimeni nu da in judecata furnizorii de mesagerie din cauza a ceva spus de cineva intr-o conversatie privata. Sectiunea 230 a fost foarte rar invocata in acest context [7] si nu asta motiveaza actuala nepopularitate a legii. Cu toate acestea, conversatiile private sunt motivul nu atat de secret al propunerii EARN IT Act de modificare a sectiunii 230. 

Pe scurt: Acest proiect de lege ia furie populara asupra imunitatii companiilor de social media din sectiunea 230 pentru discursurile publice de pe platformele lor si o transforma intr-un mod intarit de a pedepsi utilizarea criptarii de catre furnizorii de servicii de mesagerie pentru conversatii private . Aceasta este momeala si comutarea mai adanca.

Da, este vorba despre CSAM, nu de defaimare sau alte infractiuni mai putin egregi. Dar este vorba doar de CSAM care apare pe servicii de mesagerie privata criptate de la capat la capat. Mesagerie privata end-to-end criptat este singurul context in care exista o nevoie reala de a ameninta sa pedepseasca furnizorii pentru a nu face suficient despre CSAM, pentru ca este singurul context in care furnizorii nu deja raporteaza CSAM foarte frecvent (deoarece acestea nu pot vezi continutul fisierelor criptate end-to-end; ele pot, desigur, sa raporteze CSAM acolo unde le este raportat de unul dintre „capetele” comunicarii). Acest numar de 45 de milioane de rapoarte din New York Timespovestea este o dovada a cat de des raportatorii furnizorii sunt deja informati – si este clar ca este intr-adevar doar spectrul furnizorilor care se deplaseaza pentru a cripta mai multe comunicari de la capat (mai exact, pe Facebook Messenger) care motiveaza acest proiect de lege.

Daca obiectivul este de a-i determina pe furnizori sa faca mai multe despre CSAM, atunci nu este necesar sa ameninti ca va elimina imunitatea Sectiunii 230 pentru CSAM, care este publicata in contexte publice (cum ar fi un tweet public) sau mesaje private care nu sunt capabile final criptat (cum ar fi DM DM), deoarece furnizorii deja raporteaza acest lucru in conformitate cu legea federala. Si daca ar incalca legea penala federala, atunci cum s-a spus, sectiunea 230 nu i-ar salva. Motivul presupus de stimulare a actiunilor suplimentare la CSAM nu suporta controlul, deoarece furnizorii fac deja tot ce se presupune ca fac (si, intr-adevar, mai mult decat atat), oriunde au capacitatea de a „vedea” continutul. In cele din urma, problema pe care acest proiect de lege incearca sa o rezolve nu este actiunea furnizorului inadecvat pe CSAM. „Problema” este criptarea end-to-end. 

In alta ordine de idei, „problema” este ca nu exista in prezent un mandat pentru furnizori care sa se asigure ca „pot vedea” fiecare continut din serviciile lor si, apoi, sa-l monitorizeze si sa-l filtreze in mod proactiv. Adica „problema” este ca legiuitorii nu au incercat inca sa forteze furnizorii sa efectueze o supraveghere totala a fiecarei informatii referitoare la serviciile lor. Si in loc sa propuna o lege care necesita in mod explicit supravegherea totala – ceva care i-ar obliga pe legiuitorii alesi, intr-un an electoral, sa fie responsabili fata de reprezentantii lor pentru a o propune – senatorii Graham si Blumenthal incearca in schimb sa raspunda de raspundere, sa se ascunda in spatele Sectiei 230 de nepopularitate si, in schimb, lasa o valoare de oameni a unei echipe de baseball neelectate si necontestate (10 din 15 membrii comisiei fiind minimul necesar,nu legi reale sau chiar reguli care fac obiectul unor procese de reglementare obligatorie a agentiilor) care pot fi rescrise unilateral de catre procurorul general Barr, oricum doreste.

Legea EARN IT nu va opri CSAM online

Lucrul cu adevarat ingrijorator al acestui proiect de lege este ca, la fel ca SESTA / FOSTA inainte, acesta nu va functiona. Tot SESTA / FOSTA a facut sa puna lucratorii sexuali in mai multe pericole, ingreunandu-i mai mult sa-si analizeze clientii si sa impartaseasca informatii unul cu altul. In mod similar, efectul probabil al EARN IT Act ar fi acela de a induce comerciantii CSAM sa-si faca mai greu de detectat actiunile. Pentru unul, oricum ar putea inca cripta fisierele lor ilegale, indiferent de „cele mai bune practici” implementate de furnizori. Pentru altul, ar fi incurajati sa se indeparteze de platforme mari si legitime, cum ar fi Facebook, care actioneaza deja cu buna credinta si respectand legislatia CSAM actuala si sa se deplaseze catre site-uri web intunecate a caror ratiune de stat este CSAM. 

Amenintarea pentru reducerea imunitatii sectiunii 230 nu face decat sa sperie furnizorii de buna credinta. Acestea sunt acelea care sunt deja conforme cu Sectiunea 2258A si ar putea fi de asteptat sa indeplineasca orice sarcini suplimentare pe care Congresul trebuie sa le adauge la 2258A. Dar amenintarea imunitatii nu va avea niciun efect asupra serviciilor care nu respecta si nu le pasa. Site-urile dedicate CSAM incalca direct legea CSAM federala. Cu siguranta nu respecta cerintele de raportare a sectiunii 2258A. Asta inseamna ca nu se califica deja pentru imunitatea sectiunii 230.

y porno http://deeperministries.com/__media__/js/netsoltrademark.php?d=adult69.ro/
filme porno in 3 http://nanwm.com/__media__/js/netsoltrademark.php?d=adult69.ro/
mama si fica porno https://www.hotelsrivieradelgarda.it/include/contban.php?cod=106&url=https://adult69.ro/
filme porno cu staruri http://www.reznicks.net/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/amatori
filme porno cu surori http://a-okay.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/anal
porno cu profa http://calknife.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/asiatice
studente porno http://lunar.stockxchange.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/beeg
chat porno romanesc http://www.deploynow.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/blonde
filme porno cu gina pistol http://highereducationfinance.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/brazzers
porno hu http://johnmckee.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/brunete
videoclipuri porno romanesti http://bus-tours.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/chaturbate
porno perfect http://www.ok100.net/__media__/js/netsoltrademark.php?d=adult69.ro/blonda-de-16-ani-este-linsa-in-pizda-de-tatal-ei
porno filmek hd http://www.cropsmart.com/__media__/js/netsoltrademark.php?d=adult69.ro/bruneta-minora-sta-in-genuchi-si-suge-pula-vecinullui-ei
full porno movies http://www.worldsportswire.com/__media__/js/netsoltrademark.php?d=adult69.ro/film-porno-cu-un-cuplu-de-amatori-filmati-cu-camera-ascunsa
porno public agent http://www.automation-forum.com/__media__/js/netsoltrademark.php?d=adult69.ro/blona-frumoasa-care-seamana-cu-bianca-dragusanu-este-supusa-la-perversiuni
porno pornhub http://monroe-e-trout-jr.com/__media__/js/netsoltrademark.php?d=adult69.ro/studenta-face-show-la-web-si-se-masturbeaza-cu-un-vibrator
xxx sex porno http://fbw.idmelody.com/__media__/js/netsoltrademark.php?d=adult69.ro/un-culpu-de-amatori-fac-sex-in-padure-o-fute-pe-la-spate-anal
porno fortat http://unclemiltys.com/__media__/js/netsoltrademark.php?d=adult69.ro/fututa-cu-degetele-de-sora-ei-mai-mica
porno hamster online http://www.emeow.com/__media__/js/netsoltrademark.php?d=adult69.ro/curva-bruneta-care-stie-ce-vrea
filme porno gay hd http://cocksox.net/__media__/js/netsoltrademark.php?d=adult69.ro/fetita-naiva-violata-de-bunic

Dupa cum afirma sectiunea 230 litera (c) (1), sectiunea 230 baruri de imunitate incearca sa trateze furnizorii ca editor sau vorbitor de informatii, cum ar fi CSAM, furnizate de altcineva. Daca un site ajuta la crearea sau dezvoltarea continutului ilegal, acesta nu este eligibil pentru imunitate. Simplu, Sectiunea 230 nu este carte blanche pentru ca furnizorul insusi sa incalce legea. 

Intrucat site-urile consacrate CSAM nu se califica pentru imunitatea sectiunii 230, amenintand ca vor elimina aceasta imunitate, cu exceptia cazului in care „o vor castiga” in baza acestui nou proiect de lege vor avea un efect absolut zero asupra lor. Comerciantii CSAM, care sunt extrem de adaptabili la schimbarile strategiei de aplicare a legii, vor sti acest lucru si vor actiona in consecinta. Si vor fi mult mai greu de urmarit pe site-urile web intunecate decat atunci cand folosesc conturile lor de Facebook.

In plus, EARN IT Act nu va scapa nici macar serviciile online de buna-credinta ale CSAM. Chiar daca exista „cele mai bune practici” care determina o companie sa nu ofere criptare end-to-end, utilizatorii pot inca cripta fisierele inainte de a le transmite prin serviciul companiei. Software-ul independent de criptare a fisierelor este deja acolo; geniul acela nu se va intoarce in sticla. Pedepsirea furnizorului prin eliminarea imunitatii sectiunii 230 nu va rezolva aceasta problema. Dupa cum recunoaste sectiunea 1002 litera (b) (3) din CALEA, nu are sens sa incercati sa raspundeti unei companii pentru o comunicare criptata, daca compania nu a fost cea care a furnizat criptarea.

Legea CUMPARAU da mai multa putere unui avocat general infiorator

Nu in ultimul rand, Legea IT EARN IT confera AG Bill Barr puterea necontrolata de a decide ce trebuie sa implementeze furnizorii de „cele mai bune practici” daca doresc sa garanteze ca vor pastra imunitatea sectiunii 230 pentru CSAM. [8] El ii poate face pe furnizori sa danseze pentru el si suna melodia. Exista sanse aproximativ zero ca Barr nu va folosi acea autoritate unilaterala pentru a stabili „cele mai bune practici” care submineaza confidentialitatea comunicarilor americane. In momentul de fata, criptarea este perfect legala si estimeaza abilitatea lui Barr de a intelege in mod ilegal comunicarile americane, asa cum a facut-o ultima data cand a fost AG. Acest proiect de lege pare ca este motivat de dorinta lui Barr de a pedepsi furnizorii pentru frustrarea dorintei sale infioratoare de a spiona pe toti.

Dar daca ar spune asta cu voce tare, nu ar merge prea bine, asa ca, in schimb, setea lui punitiva este imbracata sub acoperirea Sectiunii 230, deoarece Sectiunea 230 ii face pe oameni sa se invarta. Si-a dat seama ca daca invoca sectiunea 230 in actuala clima, ii poate determina pe americani sa-si taie propriul nas pentru a-si infrunta fata. El ii poate determina sa-si ofere dreptul la o criptare puternica care ii protejeaza de el, atat timp cat ei cred ca asta o va lipi de Big Tech.

Concluzie

Este atat de gresit cu factura EARN IT Act. Sper ca alti membri ai societatii civile vor accepta acest proiect de lege pentru a explica aceste multe alte probleme, pentru ca am trecut deja destul de mult si am abordat doar o singura bucata de ce acest proiect de lege este un astfel de cosmar. 

It’s understandable if you have misgivings about the breadth of Section 230. It’s okay to be angry at Big Tech. But don’t let Senators Graham and Blumenthal dupe you into believing that the EARN IT Act would provide any vindication for you against the major tech companies. The bill’s ultimate intent is to penalize those companies for protecting your privacy and data security. That’s something that tech companies have been legally allowed to do for a quarter-century, and we can’t afford to stop them from doing it. Encryption should be encouraged, not punished. If you value your privacy, if you value data security, or if you just don’t want to see our rogue Attorney General singlehandedly set the rules for the Internet, you’ll contact your congressmembers and oppose the EARN IT Act.

[1] This is a bastardization of the opening lines of The Restaurant at the End of the Universe. Yes, I am aware that the Internet was not actually created in the ‘90s. Yes, I am aware that you think it should be “the internet” and not “the Internet.”

[2] With regard to most civil and state criminal law claims, that is. Section 230 has always had a few exceptions, most significantly for federal criminal and intellectual property law.

[3] With apologies to James Madison and Federalist #51.

[4] The Ackerman case is mostly about Fourth Amendment issues that I won’t get into, at least not today.

[5] Absent this safe harbor, providers are put in an untenable position, because CSAM is basically radioactive. Reporting CSAM by passing it along would otherwise be a crime, because transmitting CSAM is a crime; preserving CSAM as evidence would otherwise be a crime, too, because possessing CSAM is also a crime. Section 2258B was necessary to ensure that providers don’t have to face significant criminal liability for helping to fight CSAM.

[6] Although it expressly mentions the CSAM law, Section 230(e)(1)’s criminal-law exception does not allow Section 2255 civil claims against providers for CSAM content posted by users; at present, those are barred by Section 230’s broad immunity for civil claims. MA ex rel. PK v. Village Voice Media Holdings, 809 F. Supp. 2d 1041, 1055-56 (E.D. Mo. 2011) (citing Doe v. Bates, No. 5-cv-91, 2006 WL 3813758 (E.D.Tex. Dec. 27, 2006)). The EARN IT Act bill would change that.

[7] While courts have seldom addressed the applicability of Section 230 to private messaging services, a few courts have applied the law “to bar claims predicated on a defendant’s transmission of nonpublic messages, and have done so without questioning whether [Section 230] applies in such circumstances.” Fields v. Twitter, Inc., 200 F. Supp. 3d 964, 975-76 (N.D. Cal. 2016) (citing Hung Tan Phan v. Lang Van Pham, 182 Cal.App.4th 323, 324-28 (2010); Delfino v. Agilent Techs., Inc., 145 Cal.App.4th 790, 795-96, 804-08 (2006); Beyond Sys., Inc. v. Keynetics, Inc., 422 F. Supp. 2d 523, 528, 536-37 (D. Md. 2006)), aff’d, 881 F.3d 739 (9th Cir. 2018). Thanks to Jeff Kosseff for pointing me to this authority.

[8] The bill also gives him the power to launch intrusive investigations of any company he can claim he believes isn’t abiding by its certification to those best practices, using a tool called “civil investigative demands” (CIDs), but I’m not even going to get into that.

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR