1 điểm bởi GN⁺ 2024-01-31 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các tài liệu do Thượng nghị sĩ Ron Wyden công bố đã tiết lộ việc NSA mua lịch sử Internet, và các hồ sơ này có thể phơi bày những website người dùng đã truy cập cũng như các ứng dụng họ đã sử dụng
  • Wyden yêu cầu các cơ quan tình báo chấm dứt thông lệ mua dữ liệu cá nhân của người Mỹ từ các data broker, và chỉ cho phép việc bán dữ liệu hợp pháp đáp ứng tiêu chuẩn của FTC
  • NSA phủ nhận việc mua hoặc sử dụng dữ liệu vị trí thu thập từ điện thoại di động tại Mỹ, nhưng thừa nhận mua và sử dụng dữ liệu netflow phi nội dung thương mại liên quan đến thông tin liên lạc Internet trong nước và thông tin liên lạc ở nước ngoài có chứa IP của Mỹ
  • Phải mất gần 3 năm thông tin này mới được công khai, và chỉ được phê duyệt công bố sau khi Wyden đặt lệnh giữ đối với đề cử Giám đốc NSA
  • Việc chính phủ mua dữ liệu cá nhân thông qua data broker có thể né tránh yêu cầu của tòa án và lệnh khám xét, làm suy yếu quyền riêng tư của người Mỹ cũng như các biện pháp kiểm soát giám sát trong nước

Xác nhận NSA mua lịch sử Internet

  • Các tài liệu do Thượng nghị sĩ Ron Wyden công bố xác nhận rằng NSA mua lịch sử Internet của người Mỹ
  • Lịch sử Internet này có thể tiết lộ người dùng đã truy cập website nào và sử dụng ứng dụng nào
  • Trong thư gửi Avril Haines, Giám đốc Tình báo Quốc gia, Wyden yêu cầu áp dụng chính sách ngăn các cơ quan tình báo mua dữ liệu cá nhân của người Mỹ được thu thập bất hợp pháp từ các data broker
  • Wyden nói rằng “chính phủ Mỹ không nên tài trợ và hợp thức hóa một ngành công nghiệp mờ ám trắng trợn xâm phạm quyền riêng tư của người Mỹ”

Data broker tạo ra con đường né tránh lệnh khám xét

  • Việc chính phủ mua dữ liệu trong nước từ các data broker đã nhiều lần xảy ra
  • Các cơ quan liên bang và cơ quan thực thi pháp luật địa phương đã mua dữ liệu trong nước do công ty tư nhân cung cấp, và điều này có thể hoạt động như một cách né tránh các hạn chế do Tòa án Tối cao đặt ra
  • Chính phủ cho rằng có thể áp dụng học thuyết bên thứ ba (Third Party Doctrine), nhưng nhiều ứng dụng và dịch vụ thu thập dữ liệu trong khi người dùng không nhận thức đầy đủ
    • Ngay cả một trò chơi di động trông đơn giản cũng có thể truy vấn vị trí điện thoại và liên kết vị trí đó với một ID thiết bị cụ thể
    • Việc thu thập như vậy có thể bị giấu sâu trong điều khoản sử dụng

Quá trình công bố của Wyden và các yêu cầu

  • Wyden cho biết đã mất gần 3 năm để được phê duyệt công bố thông tin về việc NSA mua metadata Internet trong nước
  • Tháng 3/2021, Bộ Quốc phòng đã cung cấp thông tin theo yêu cầu từ phía Wyden nhằm xác định các thành phần của Bộ Quốc phòng đang mua dữ liệu cá nhân của người Mỹ
  • Sau đó, vào tháng 5/2021, Wyden yêu cầu phê duyệt công bố thông tin không mật, nhưng Bộ Quốc phòng đã từ chối
  • Chỉ sau khi Wyden đặt lệnh giữ đối với đề cử Giám đốc NSA, thông tin liên quan mới được phê duyệt công bố
  • Lá thư của Wyden yêu cầu từng thành phần trong Cộng đồng Tình báo (IC) thực hiện các việc sau
    • Khởi động điều tra việc mua dữ liệu từ data broker
    • FTC điều tra các hoạt động kinh doanh của data broker
    • Cung cấp danh sách dữ liệu cá nhân đã mua từ data broker

Những gì NSA phủ nhận và thừa nhận

  • Trong thư gửi Wyden năm 2023, NSA cho biết họ không mua hoặc sử dụng dữ liệu vị trí thu thập từ điện thoại di động được biết là sử dụng trong lãnh thổ Mỹ, bất kể có lệnh tòa hay không
  • Sự phủ nhận này chỉ giới hạn ở dữ liệu vị trí, và không phải là phủ nhận toàn bộ việc mua lịch sử Internet mà Wyden lo ngại
  • Trong cùng bức thư, NSA thừa nhận mua và sử dụng dữ liệu netflow phi nội dung có sẵn trên thị trường
    • Dữ liệu liên quan hoàn toàn đến thông tin liên lạc Internet trong nước
    • Dữ liệu liên quan đến thông tin liên lạc Internet trong đó một bên là địa chỉ Giao thức Internet của Mỹ và bên còn lại ở nước ngoài
  • Sự thừa nhận này cho thấy phạm vi giám sát trong nước của NSA có thể được mở rộng thông qua thị trường data broker

Section 702 và lo ngại về giám sát trong nước

  • NSA vốn đã được biết đến là cơ quan có thể “vô tình” thu gom dữ liệu và thông tin liên lạc của người Mỹ thông qua hoạt động thu thập theo Section 702
  • Bối cảnh FBI nhiều lần lạm dụng Section 702 cho mục đích giám sát trong nước cũng được nhắc đến
  • Trong tình huống như vậy, vẫn còn câu hỏi liệu NSA có cần mua dữ liệu riêng từ data broker hay không
  • Trọng tâm chỉ trích là NSA dường như thu thập nhiều hơn không phải vì một nhu cầu an ninh quốc gia đã được chứng minh, mà vì đã xuất hiện một kênh có thể thu thập
  • Nếu việc mua dữ liệu người Mỹ thông qua data broker trở thành hoạt động thường nhật của chính phủ, việc kiểm soát thực chất đối với quyền hạn giám sát sẽ càng khó khăn hơn

1 bình luận

 
GN⁺ 2024-01-31
Ý kiến trên Hacker News
  • Việc chính phủ truy cập thông tin của công dân mà không có lý do chính đáng, dù là thông qua mua bán, có vẻ đi ngược lại tinh thần của Tu chính án thứ Tư, nếu chưa chắc đã trái với từng chữ của nó. Trong thời hiện đại, có thể thu thập lượng thông tin khổng lồ về một cá nhân mà không cần “khám xét và tịch thu”, nên có lẽ cần một tu chính án hiến pháp để cập nhật Tu chính án thứ Tư cho phù hợp với thời đại. Thu thập dữ liệu là một trong những vấn đề lớn nhất của thời nay, nhưng tôi nghĩ đa số ít nhất cũng đồng ý rằng chính phủ không nên dùng tiền thuế hoặc nợ của chúng ta để lách quyền của chúng ta một cách hợp pháp.

    • Điều này bắt nguồn từ học thuyết bên thứ ba. Tiền đề là một khi bạn giao dữ liệu cho bên thứ ba thì bạn không còn “kỳ vọng hợp lý về quyền riêng tư” nữa, nên đó không phải là khám xét. Nó cũng tương tự án lệ rằng thùng rác đặt sát cạnh nhà vẫn nằm trong quyền kiểm soát của bạn nên bạn vẫn có quyền, nhưng ngay khi bạn đặt nó ra lề đường để xe thu gom mang đi thì bạn đã từ bỏ quyền đó. Tôi không nói điều này là tốt; thực ra tôi ghét nó, nhưng theo án lệ hiện tại của Mỹ thì nó vận hành như vậy. Muốn thay đổi thì Quốc hội phải làm luật mới hoặc sửa Hiến pháp, và các suy nghĩ về “nên như thế nào” sẽ có rất ít ý nghĩa nếu không được pháp luật hậu thuẫn.
    • Tôi cho rằng phần lớn việc thu thập và sử dụng dữ liệu này về thực chất là khám xét và tịch thu. Chỉ khác là không phải chính phủ mà là các công ty tư nhân làm, và cá nhân tôi còn thấy như vậy tệ hơn trường hợp chỉ có chính phủ làm.
    • Đáng tiếc là Tu chính án thứ Tư được diễn giải khá hẹp. Sẽ tốt hơn nếu có một điều khoản bổ sung quy định cụ thể hơn về quyền riêng tư. Việc ngăn “khám xét bất hợp pháp” rốt cuộc có nghĩa là phải ra tòa sau khi sự việc đã xảy ra, nên gần như vô nghĩa. Tôi có cảm giác Tu chính án thứ Tư chỉ có khoảng 10% sức mạnh mà nó đáng lẽ phải có.
    • Việc người khác tự nguyện cung cấp thông tin về bạn cho cảnh sát từ lâu đã là hợp pháp, bất kể người đó có điều hành doanh nghiệp hay không. Ngay bây giờ tôi có thể gọi cảnh sát và nói rằng lumb63 đã bình luận trên HN vào 2024-01-30T14:14:13, và nếu biết thêm thông tin chi tiết thì tôi cũng có thể nói. Cảnh sát có thể nghe một cách hợp pháp. Tôi có thể nói bất cứ điều gì tôi biết về một người nào đó; tôi không hiểu vì sao điều đó phải là bất hợp pháp. Tình huống này không liên quan đến Tu chính án thứ Tư; Tu chính án thứ Tư là điều khoản ngăn chính phủ cưỡng ép lấy thông tin.
    • “Quyền” bị chà đạp hằng ngày, kể cả những quyền nằm trong Tuyên ngôn Nhân quyền. Hãy thử mang súng giấu kín đi qua ranh giới bang, hoặc nói với cảnh sát K-9 rằng họ không được khám xe của bạn sau khi chó nghiệp vụ đã phản ứng, hoặc viện dẫn quyền tự do ngôn luận để phát tán những lời bị coi là công kích gay gắt. Chẳng có thứ gì gọi là “quyền”; chỉ có những gì một cá nhân có thể tự bảo vệ ở địa điểm và thời điểm hiện tại mà thôi.
  • Tôi không hiểu vì sao việc các cơ quan mua dữ liệu có thể mua được trên thị trường lại gây tranh cãi hơn đến vậy. Chẳng phải vấn đề lớn hơn là ngay từ đầu dữ liệu đó đã được thu thập và được cung cấp cho bất kỳ ai chỉ cần trả tiền sao?

    • Có thể nghĩ đến vài khả năng. Thứ nhất, với người bình thường, việc doanh nghiệp nắm giữ loại thông tin này tự thân đã không ổn. Thứ hai, các cơ quan mua thông tin này bằng tiền thuế, tức là chúng ta đang nuôi lớn một thị trường mà có thể chúng ta không đồng ý. Thứ ba, các cơ quan chính phủ có quy tắc, và nếu họ lách quy tắc hoặc tìm kẽ hở thì điều đó làm tổn hại niềm tin vào các cơ quan đó. Thứ tư, có thể là quan trọng nhất: cơ quan chính phủ có thẩm quyền và sức mạnh để làm những việc mà doanh nghiệp tư nhân không thể. Họ có thể mở điều tra, nhận tư vấn pháp lý từ công tố viên, truy tố, xin lệnh khám xét, triệu tập, bắt giữ, giam giữ, và tất cả đều mang tính xâm phạm, tốn kém, có thể dẫn tới đủ hậu quả xấu từ phí luật sư cho tới án tù.
    • Chính phủ có độc quyền sử dụng bạo lực, nên phải tuân theo các quy tắc khác biệt và hạn chế hơn. Tôi không biết về mặt pháp lý việc NSA mua dữ liệu tư nhân là thế nào, nhưng nó có cảm giác đi ngược lại tinh thần của luật cấm giám sát chính công dân của mình.
    • Chính phủ đặc biệt vì có quyền lực rộng lớn để tạo ra luật ảnh hưởng đến tất cả mọi người. Ví dụ, câu “Quốc hội không được ban hành luật hạn chế tự do ngôn luận” trong Tu chính án thứ Nhất áp dụng cho chính phủ, nhưng không áp dụng cho việc đặt quy tắc cấm chửi thề trong lớp học lớp 3. Việc một nhóm tư nhân cấm một số cách biểu đạt có thể hợp lý vì nếu không thích bạn có thể đi nơi khác, nhưng trong phạm vi luật pháp và hành vi của chính phủ thì cần thận trọng hơn nhiều. Chính phủ là chủ thể duy nhất trong xã hội độc quyền sử dụng vũ lực, và quyền lực lớn phải đi kèm trách nhiệm lớn.
    • Chính phủ có thể dùng thông tin để truy tố người dân, còn doanh nghiệp thì không. Ngoài ra, vì quyền miễn trừ chủ quyền và miễn trách nhiệm cho công chức, chính phủ chịu trách nhiệm ít hơn rất nhiều so với doanh nghiệp đối với hành vi ác ý.
    • Doanh nghiệp tư nhân không thể tống bạn vào tù hoặc tước đi các quyền tự do cơ bản của bạn nếu không có sự chấp thuận của chính phủ, còn chính phủ thì có thể. Tuyên ngôn Nhân quyền và Hiến pháp nhìn chung nhằm bảo vệ bạn khỏi sự lạm quyền của chính phủ chứ không phải khỏi tư nhân, còn các vấn đề giữa tư nhân với nhau chủ yếu do luật thông thường ở cấp bang và địa phương xử lý. Ở Mỹ luôn có sự phân biệt pháp lý như vậy.
  • Bài viết nói về NSA rằng “nếu họ có đủ năng lực giám sát trong nước và thực tế cũng thường xuyên làm vậy, thì tại sao lại mua dữ liệu và chấp nhận rủi ro để lộ một phần kỹ thuật thu thập, trong khi họ có thể có được thứ đó một cách chính đáng hơn từ mạng lưới thu thập đại trà của chính mình”, nhưng tôi không nghĩ NSA cần lo rằng kẻ địch sẽ học được kỹ thuật trao tiền lấy thông tin. Việc hack các nhà môi giới dữ liệu có khả năng làm lộ kỹ thuật riêng nhiều hơn.

  • Tôi ước Mỹ cũng có kiểu bảo vệ quyền riêng tư như EU. Cơ chế của EU không hoàn hảo, nhưng tôi vẫn muốn có. Theo tôi hiểu, một mình Thượng nghị sĩ Chuck Schumer đang chặn các dự luật bảo vệ quyền riêng tư có ý nghĩa tại ủy ban. Ông ấy trông như một quả cầu phá hủy quyền riêng tư một người. Tôi đọc đâu đó rằng hai con gái của ông ấy có những công việc lương cao tại các công ty hình như là Meta và Microsoft. Điểm chính là nếu bảo vệ quyền riêng tư mạnh hơn thì doanh nghiệp cũng sẽ có ít thông tin hơn để bán.

    • Tôi không hiểu các con gái của ông ấy liên quan gì đến điểm chính đó.
  • Dù có mặt gây hại cho quyền công dân, cũng không thể để các cơ quan hoàn toàn không giám sát các nhà môi giới dữ liệu thương mại. Ít nhất họ phải có khả năng ước tính và ngăn ngừa nguy cơ hoạt động tội phạm trong nước.

    • Điều đó ngược lại giống như một tính năng hơn. Các nhóm vận động hành lang lớn nhất là ngân hàng và những tổ chức sử dụng các nhà môi giới dữ liệu kiểu đó. Vì chính phủ để mặc họ, nên chính phủ cũng có thể dùng họ, và đó trở thành một cách lách luật.
  • Vấn đề là đây là NSA NSA không phải là cơ quan điều tra công dân Mỹ, mà lẽ ra phải phụ trách tình báo tín hiệu ở nước ngoài. Nếu FBI hay CIA làm việc này thì có thể dự đoán được, và tôi cũng không chắc đó có phải là sai hay không. Ít nhất cũng khó nói là sai trái hơn các bên khác mua dữ liệu vì mục đích quảng cáo

    • Nói vậy không hoàn toàn đúng CIA là cơ quan được lập ra để thu thập tình báo bên ngoài nước Mỹ, nên họ là bên có ít lý do nhất để truy cập dữ liệu này. FBI là cơ quan thực thi pháp luật, nên không thể đụng đến hay xem dữ liệu đó nếu không có lệnh, và như vậy việc thu thập dữ liệu trong nhiều vụ án đang diễn ra có thể bị vô hiệu. NSA được giao nhiệm vụ thu thập dữ liệu liên lạc đi vào và đi ra khỏi nước Mỹ. Vài chục năm trước ranh giới này hoàn toàn rõ ràng, nhưng giờ thì kém rõ hơn. Việc thu thập dữ liệu về người Mỹ có thể không bất hợp pháp, tùy vào họ làm gì với dữ liệu đó. Điều lộ rõ nhất trong các tiết lộ của Snowden là các mối đe dọa nội bộ đã lạm dụng dữ liệu NSA thu thập về người Mỹ cho mục đích cá nhân
    • Tôi không hiểu trên Internet thì nước ngoài rốt cuộc có nghĩa là gì Đâu có một đường ranh rõ ràng giữa các mảnh đất, và mọi thứ thì ở khắp mọi nơi
    • Việc NSA giám sát người Mỹ trên quy mô lớn đã được Snowden tiết lộ vào năm 2013 Đến năm 2024 thì không còn cớ gì để ngạc nhiên nữa
  • Thật khó tưởng tượng việc chỉ nổi giận về chuyện này, chứ không phải về việc ngay từ đầu các nhà môi giới dữ liệu có thể bán tất cả thông tin đó

    • Cũng khó tưởng tượng việc không đồng thời phẫn nộ về cả hai Chỉ là một bên là kết quả tích tụ của hàng chục nghìn vi phạm đồng ý nhỏ lẻ do hàng trăm hoặc hàng nghìn chủ thể vô đạo đức và phần lớn ẩn danh gây ra. Bên còn lại là một vi phạm hiến pháp khổng lồ và trắng trợn do một tổ chức chính phủ, được công dân đóng tiền để bảo vệ và phục vụ họ, thực hiện. Cả hai đều phải chịu hình phạt nghiêm khắc nhất
  • Tôi không hiểu rõ dữ liệu được liên kết với một con người cụ thể trong thế giới thực như thế nào Lấy xe của tôi làm ví dụ: xe thuộc sở hữu của tôi, nhưng nếu bạn lái và chạy quá tốc độ thì người nhận vé phạt là bạn. Dữ liệu cũng tương tự: bài viết này có thể được đăng lên từ một thiết bị ngoài đời thật đăng ký dưới tên tôi, nhưng điều đó không có nghĩa là chính tôi ngoài đời thật đã sử dụng nó

    • Hãy nghĩ đến địa chỉ IP công khai Suy đoán vị trí có thể liên kết địa chỉ IP với một phạm vi không chính xác như quốc gia, cho đến một khu vực chính xác hơn như thành phố. Nếu kết hợp vị trí ước chừng với vài dữ liệu khác, có thể thu hẹp đáng kể các ứng viên ngoài đời thật tương ứng với một tài khoản cụ thể [1]. Theo một nghiên cứu lớn, chỉ ba đặc điểm đã có thể định danh duy nhất 87% dân số Mỹ, và một nghiên cứu khác nói rằng chỉ ba sự kiện đó đã có thể định danh duy nhất 63% dân số Mỹ. Nếu bạn hoạt động trực tuyến nhiều, chỉ cách người dùng khác gọi bạn trên một website nào đó cũng có thể để lộ giới tính hoặc tuổi tác. Nếu một website thu thập giới tính hoặc ngày sinh, họ cũng có thể chia sẻ hoặc bán thông tin đó cho các nhà môi giới dữ liệu. Nếu cảnh sát thu hẹp vị trí của một hành vi trực tuyến có thể có vấn đề xuống một hộ gia đình, họ có thể cầm lệnh đến tận nơi và hỏi ai đã dùng máy tính nào trong nhà vào thời điểm đó. [1] https://www.eff.org/deeplinks/2023/11/debunking-myth-anonymo...
    • Đó là cách bắt tương quan giữa nhiều tín hiệu, và được giải thích ở đây https://restoreprivacy[.]com/rtb-data-leveraged-for-user-sur...
  • Facebook cũng đã làm chuyện này Họ mua mọi dữ liệu website có thể mua được, và vì biết có thể dùng nó cho việc chạy quảng cáo nên đã biến việc mua dữ liệu thành một hoạt động sinh lợi. Nếu chính phủ Mỹ hay các cơ quan tình báo làm y hệt như vậy, tôi tự hỏi liệu có thể gọi đó là “bất hợp pháp” hay sai trái không. Nếu họ làm bằng cách huy động mạnh quyền lực nhà nước thì đó sẽ là vi phạm pháp luật, nhưng họ đang mua những thứ vốn đã có thể kiếm được

  • Điều trớ trêu là chuyện này không phải do Trung Quốc hay Nga làm Tôi không hiểu vì sao khi chính cơ quan trong nước làm thì sự phẫn nộ lại ít hơn nhiều, hoặc gần như không có

    • Vì tiền thuế của bạn không chảy vào bộ máy giám sát của Trung Quốc Việc họ giám sát bạn là điều đương nhiên, đó là công việc của họ. Đất nước chúng ta thì ít nhất bề ngoài vẫn nói rằng mình khác họ ở chỗ không đối xử với công dân như kẻ thù, dĩ nhiên chỉ đúng đến một mức nào đó mà thôi