Bill C-22 của Canada là phiên bản đóng gói lại của cơn ác mộng giám sát năm ngoái

 (eff.org)
1 điểm bởi GN⁺ 9 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Bill C-22 của Canada đã chỉnh sửa một số vấn đề của Bill C-2, nhưng phần lớn lo ngại cốt lõi về việc suy yếu quyền kỹ thuật số vẫn còn nguyên
  • Bill C-22 có thể buộc các dịch vụ số như nhà mạng và ứng dụng nhắn tin phải ghi lại và lưu trữ metadata trong 1 năm
  • Bộ trưởng An toàn Công cộng có thể yêu cầu doanh nghiệp tạo cửa hậu giám sát để cơ quan thực thi pháp luật truy cập, và doanh nghiệp cũng không được tiết lộ sự tồn tại của lệnh này
  • Định nghĩa về “lỗ hổng mang tính hệ thống” và mã hóa không rõ ràng, nên không chỉ ứng dụng mà cả hệ điều hành cũng có thể trở thành đối tượng bị yêu cầu vượt qua mã hóa
  • Việc Apple rút Advanced Data Protection tại Anh và vụ hack Salt Typhoon năm 2024 cho thấy rủi ro của cửa hậu là hoàn toàn có thật

Những thay đổi chính và lo ngại về Bill C-22

  • Năm ngoái, chính phủ Canada đã thúc đẩy Bill C-2 dưới danh nghĩa “an ninh biên giới”, nhưng dự luật này có thể làm suy yếu quyền kỹ thuật số và đã không qua được cả giai đoạn ủy ban do vấp phải phản đối từ cộng đồng bảo vệ quyền riêng tư
  • Dự luật mới Bill C-22, tức The Lawful Access Act, đã điều chỉnh một số yếu tố có vấn đề nhưng nhìn chung vẫn để lại những lo ngại tương tự Bill C-2
  • Bill C-22 có thể buộc các dịch vụ số như nhà mạng, ứng dụng nhắn tin và các nền tảng tương tự phải ghi lại và lưu trữ metadata trong 1 năm
  • Bill C-22 cũng mở rộng chia sẻ thông tin với chính phủ nước ngoài, bao gồm cả Mỹ
  • Metadata có thể tiết lộ bạn liên lạc với ai, đi đâu và khi nào làm những việc đó
  • Việc mở rộng thu thập metadata sẽ khiến doanh nghiệp phải lưu giữ nhiều thông tin người dùng hơn hiện nay, đồng thời làm tăng động cơ để các tác nhân xấu tìm cách truy cập số dữ liệu đó

Rủi ro cửa hậu và làm suy yếu mã hóa

  • Vấn đề cốt lõi của Bill C-22 là nó tạo ra cơ chế cho phép Bộ trưởng An toàn Công cộng yêu cầu doanh nghiệp tạo cửa hậu trong dịch vụ của họ
  • Yêu cầu này nhằm cho phép cơ quan thực thi pháp luật truy cập dữ liệu, với điều kiện là không tạo ra “lỗ hổng mang tính hệ thống (systemic vulnerability)”
  • Những cửa hậu giám sát rộng đến mức này có khả năng khiến các vụ rò rỉ dữ liệu vốn đã xảy ra ngày càng nhiều hơn
  • Bill C-22 cũng cấm doanh nghiệp tiết lộ ngay cả sự tồn tại của các lệnh như vậy
  • Trong C-22, định nghĩa của “lỗ hổng mang tính hệ thống” và “mã hóa (encryption)” không đủ rõ ràng
  • Khi định nghĩa mơ hồ, chính phủ sẽ có khoảng trống để yêu cầu doanh nghiệp vượt qua mã hóa
  • Định nghĩa quá rộng của dự luật có thể không chỉ áp dụng với ứng dụng mà còn bao trùm cả hệ điều hành
  • Các quan chức Canada cho rằng có thể bổ sung khả năng giám sát mà không tạo ra lỗ hổng mang tính hệ thống, nhưng việc giám sát liên lạc được mã hóa về bản chất chính là một lỗ hổng mang tính hệ thống

Trường hợp Apple tại Anh và sự phản đối từ doanh nghiệp, Quốc hội Mỹ

  • Cấu trúc của Bill C-22 giống với tình huống năm ngoái khi chính phủ Anh yêu cầu Apple triển khai cửa hậu cho tính năng tùy chọn Advanced Data Protection
  • Chính phủ Anh đã yêu cầu Apple triển khai loại cửa hậu này, và thay vì tuân thủ, Apple đã rút tính năng đó khỏi người dùng tại Anh
  • Người dùng tại Anh đến nay vẫn không thể tiếp cận tính năng bảo vệ quyền riêng tư này, vốn giúp bảo vệ dữ liệu lưu trên iCloud mạnh hơn
  • Meta và Apple lo ngại C-22 có thể trao cho chính phủ Canada quyền lực tương tự, và cả hai công ty đều phản đối dự luật
  • Ủy ban Tư pháp và Ủy ban Đối ngoại của Hạ viện Mỹ cũng đã gửi thư chung tới Bộ trưởng An toàn Công cộng Canada để bày tỏ lo ngại về cửa hậu trong các hệ thống mã hóa

Rủi ro của cửa hậu không chỉ là lý thuyết

  • Rủi ro của những cửa hậu như vậy không chỉ dừng ở mức khả năng trừu tượng
  • Vụ hack Salt Typhoon năm 2024 đã lợi dụng các hệ thống mà nhà cung cấp dịch vụ internet xây dựng để cho phép cơ quan thực thi pháp luật truy cập dữ liệu người dùng
  • Một khi tạo ra những hệ thống như vậy, hacker sẽ tìm đến

Kết luận và tài liệu bổ sung

  • Người dân Canada cần có quyền riêng tư mạnh mẽ, sự minh bạch về cách doanh nghiệp xử lý dữ liệu người dùng, và các cơ chế bảo vệ rõ ràng cho dữ liệu được mã hóa
  • Bill C-22 không mang lại những bảo vệ đó, mà còn tìm cách đi sâu hơn vào không gian số của các công ty công nghệ để tạo ra cơ chế truy cập hợp pháp trên diện rộng
  • Full text of C-22: Toàn văn C-22
  • Canadian Civil Liberties Association statement and letter: Tuyên bố và thư của Canadian Civil Liberties Association
  • Open Media blog on C-22: Blog của Open Media về C-22
  • EFF’s blog on bill C-2: Blog của EFF về Bill C-2

Bài viết liên quan

1 bình luận

 
GN⁺ 9 giờ trước
Ý kiến trên Hacker News

  • Các dịch vụ nhắn tin mã hóa như Signal, WhatsApp, iMessage và Matrix có thể sẽ chặn người dùng và doanh nghiệp Canada khỏi dịch vụ do các yêu cầu về lưu trữ dữ liệu bắt buộccửa hậu mã hóa
    Nếu bạn sống ở Canada hoặc bị ảnh hưởng bởi dự luật này, bạn nên yêu cầu nghị sĩ địa phương và Bộ trưởng An toàn Công cộng Canada bác bỏ dự luật này
    CCLA đã công bố thông tin về Bill C-22 tại đây cách đây hơn một tuần một chút: https://ccla.org/privacy/coalition-to-mps-scrap-unprecedente...
    Các yêu cầu lưu trữ siêu dữ liệu trên diện rộng và cửa hậu mã hóa của Bill C-22 là bất hợp pháp ở Liên minh châu Âu
    Cũng có các công cụ giúp bạn dễ dàng gửi email cho nghị sĩ địa phương và các quan chức chính phủ khác để yêu cầu bác bỏ dự luật kinh khủng này ở nguyên trạng hiện nay: công cụ của Internet Society https://www.internetsociety.org/our-work/internet-policy/kee..., công cụ của OpenMedia https://action.openmedia.org/page/188754/action/1, công cụ của ICLM https://iclmg.ca/stop-c-22/
    Cũng nên gửi email cho Bộ trưởng An toàn Công cộng Canada Gary Anandasangaree(gary.anand@parl.gc.ca) và Bộ trưởng Tư pháp Sean Fraser(sean.fraser@parl.gc.ca)

    • Nhưng cũng khó tránh cảm giác hoài nghi rằng LPC lúc nào cũng sẽ cứ thế ép thông qua dù có nói với nghị sĩ địa phương hay các bộ trưởng đi nữa

  • Có lẽ đây là ý kiến không được ưa thích, nhưng khi chính phủ bộc lộ bộ mặt toàn trị, tôi phần nào lại thấy đó là điều tốt
    Vì nó đánh thức những người vốn phủ nhận thực tế, và thúc đẩy kiểu đổi mới mà tôi thích, tức là công nghệ vượt qua kiểm duyệt
    Có thể không nhiều, nhưng sẽ xuất hiện những nhóm tách ra khỏi các nền tảng tập trung khổng lồ; thường thì đó không phải chuyện lớn, nhưng cũng không hoàn toàn vô nghĩa, và như vậy là tạm ổn
    Trước đây ở Mỹ cũng từng có điều tương tự vào đầu những năm 2000, khi Bộ trưởng Tư pháp John Ashcroft khai thác nỗi sợ sau 9/11, và vào thời đó đã xuất hiện rất nhiều giao thức và ứng dụng mới

    • Một khi các cơ chế chính sách kiểu đó đã được triển khai, tôi nghi ngờ liệu có thể đảo ngược được hay không
      Có vẻ như tất cả mọi người trong chính phủ đều chấp nhận chúng, có lẽ vì lợi ích chi tiêu và lợi ích của các nhà thầu chính phủ có người quen hay người thân dính vào
    • Cần hiểu rằng ở mọi quốc gia toàn trị gần như không có đổi mới chống kiểm duyệt nào thực sự có ý nghĩa
      Đó là trò đùa với lửa, và kết cục của trò đùa với lửa không phải chỉ là đốt cháy bụi trong góc hay món đồ chơi hỏng bạn không thích, mà là biến luôn cả những thứ bạn yêu quý thành tro

  • Các dự luật cứ được đưa trở lại thì cuối cùng cũng sẽ được thông qua

    • Đúng vậy, nếu thất bại năm nay thì năm sau nó sẽ quay lại với một cái tên mới
      Họ chỉ cần thông qua một lần, còn chúng ta thì phải chặn đi chặn lại mãi
    • Quy trình lập pháp có van một chiều
      Người ta cứ bỏ phiếu cho đến khi nó được thông qua, và một khi đã thông qua thì sẽ không bao giờ quay lại được nữa
    • Giờ đã có đa số nên nếu chính phủ đưa ra thì chắc chắn sẽ được thông qua
    • Nếu các nỗ lực kiểu này không khiến họ bị cử tri đá khỏi ghế trong bầu cử thì nó sẽ còn tiếp diễn
      Đáng buồn là chỉ phá hủy các quyền cơ bản thôi vẫn chưa đủ, có vẻ phải làm điều gì thật lố bịch như tăng thuế tài sản với người cao tuổi thì cử tri mới phản ứng

  • Trong vài tuần qua, trên HN có quá nhiều chuyện tồi tệ đối với quyền số
    Áp lực xác minh độ tuổi tăng mạnh hơn, các cuộc tấn công vào mã hóa đầu cuối vẫn tiếp diễn, và giờ lại thêm chuyện này
    Tôi tự hỏi liệu có lý do thời điểm nào không. Có khi họ đang nhắm vào lúc World Cup sắp đến để mọi người bị phân tâm

    • Một phần trong đó là xu hướng Meta, chính xác hơn là Zuck, đang đi trước một bước bằng cách vận động các nhà lập pháp chuyển trách nhiệm xác minh độ tuổi từ nền tảng sang hệ điều hành
    • Tôi không nghĩ phần giao nhau giữa kỹ sư và người hâm mộ World Cup lại lớn đến thế
    • https://www.bbc.com/news/articles/c9q3x19ddl7o có lẽ là bài viết vô tình tóm lược rất tốt tình hình này
    • Ở quê tôi, người ta đang đè nén nhân quyền để tạo không gian cho World Cup
      Đây không phải bình phong, mà là cái cớ để biện minh
      https://www.pivotlegal.org/city_of_vancouver_s_new_fifa_byla...

  • Nếu phía EFF đang theo dõi chuyện này, sẽ rất tốt nếu họ cung cấp bản dịch tiếng Pháp của bài viết đó
    Tôi muốn gửi cho nghị sĩ của mình và chia sẻ với bạn bè, người thân
    Muốn chặn chuyện này thì cần một phong trào quy mô lớn

  • Tôi không hiểu vì sao chuyện này không trở thành tin lớn hơn

    • Vì mệt mỏi rồi. Họ cứ đề xuất cùng một thứ mãi
    • Truyền thông Canada nhận hàng tỷ tiền trợ cấp từ chính phủ Tự do, và đổi lại thể hiện sự thiên vị rất rõ
      Đặc biệt là họ gặp khó khi chỉ trích chính phủ hiện tại dưới thời Mark Carney, và điều đó cũng từng bị chỉ ra từ bên trong giới truyền thông lẫn ở CBC
      Dự luật này không thể nào bào chữa nổi, nên họ chỉ đơn giản là không đưa tin nhiều
      Họ muốn nói về phe đối lập hơn là nói về đảng đang cầm quyền hiện nay

  • Những chuyện như thế này sẽ tiếp tục xuất hiện cho đến khi sự nghiệp của các chính trị gia và công chức thúc đẩy nó bị hủy hoại
    Muốn dừng nó lại thì phải tổ chức và hành động

  • Tôi tò mò động cơ nào khiến chính phủ Canada muốn làm ra kiểu luật như thế này
    Canada đâu có định trở thành nhà nước cảnh sát, và trong đa số trường hợp chính phủ Canada trông khá thoải mái
    Dù vậy, trong thời kỳ COVID họ đúng là đã quá ám ảnh với việc thực thi chính sách COVID
    Hoặc cũng có thể đó là kiểu tư duy châu Âu rằng “điều này là vì lợi ích của các bạn và nhà nước biết cách chăm lo cho các bạn”

  • Nếu các dự luật kiểm duyệt và giám sát trực tuyến trong 6 năm qua, cùng với C-22, được chính phủ Bảo thủ thúc đẩy thì phản ứng của công chúng chắc chắn đã lớn hơn nhiều
    Nhưng vì phe Tự do đang làm điều đó, còn truyền thông dòng chính được trợ cấp hậu hĩnh để đổi lấy sự đồng lõa thì họ cứ bỏ qua
    Nếu bạn tin rằng mục tiêu thật sự của dự luật độc đoán này là bảo vệ trẻ em, chống tội phạm có tổ chức hay an toàn công cộng, thì bạn đang bị lừa
    Chính phủ này đã xóa bỏ án tối thiểu bắt buộc với trọng tội, đối xử với ấu dâm như tội nhẹ, liên tục cho tại ngoại những kẻ bạo lực tái phạm, cố tránh kết tội người nhập cư nếu điều đó có thể ảnh hưởng đến khả năng nhập tịch, đã cho hàng nghìn phần tử khủng bố vào nước này với mức sàng lọc tối thiểu, và còn công khai dung thứ cho sự can thiệp bầu cử của Trung Quốc
    An toàn công cộng nằm rất thấp trong thứ tự ưu tiên của họ, còn việc bịt miệng những người chỉ trích trên mạng thì họ lại cực kỳ khao khát

    • Các đảng lớn thường chỉ là hai mặt của cùng một đồng xu, và đây là một ví dụ điển hình
    • “Một đất nước nơi truyền thông tấn công phe đối lập thay vì chính phủ là một đất nước mà tự do đang bị đe dọa” - Peter Hitchens

  • Tôi không hiểu sao họ lại cố chấp làm điều xấu đến vậy

    • Vì hoàn toàn không có trách nhiệm giải trình trước bầu cử
      Và khối cử tri khăng khăng giữ nguyên tình trạng đó lại quá mải mê nhập khẩu những phần tệ hại của Khối Thịnh vượng chung vào đây, nên trong thời gian tới có lẽ cũng chẳng thay đổi gì
      Khối đó thường lấy chủ nghĩa chống Mỹ làm cái cớ để nhập khẩu lối tư duy văn hóa vùng duyên hải Mỹ chậm khoảng 5 năm, đồng thời hy sinh văn hóa địa phương
      Đó là điều xảy ra khi bạn nhập khẩu chính trị Mỹ mà không nhập khẩu các thể chế kiểu Mỹ vốn giúp kiềm chế sự ồn ào của chính trị Mỹ
    • Đó là kết quả của hai yếu tố chồng lên nhau
      Thứ nhất, cộng đồng hoạch định chính sách của chính phủ Canada có xu hướng chịu ảnh hưởng mạnh từ dòng lập pháp ở Anh, Úc và New Zealand; vụ này gần như bê nguyên Online Safety Act sai lầm của Anh sang, thậm chí ở vài điểm còn tệ hơn
      Thứ hai, do các án lệ của Tòa án Tối cao Canada, đặc biệt là phán quyết Bykovets năm 2024, các cơ quan an ninh và tình báo Canada cảm thấy việc thu thập dữ liệu của họ đã bị trói chặt hoàn toàn
      Hai yếu tố đó đã kéo chính phủ vào một hướng đi rất tăm tối, và họ lại nghĩ rằng mình đang làm điều đúng đắn
    • Đây thực sự là một thời kỳ rất nghiêm trọng. Mọi thứ đang tăng tốc quá nhanh
      Tất cả chuyện xác minh độ tuổi và giám sát này đang bị siết lên với tốc độ khủng khiếp
      Đồng thời, máy tính cá nhân đang bị phá hủy một cách tàn nhẫn, và các con đường để người tiêu dùng tiếp cận bộ nhớ và thiết bị lưu trữ cũng đang biến mất
      Quá tệ. Những kẻ này phải bị trừng phạt
      Thế lực muốn nhà nước xâm nhập vào mọi hệ thống số và thiết lập giám sát phổ quát đã đi quá xa trong vài năm qua
    • Vì họ đã loại bỏ khả năng để những người không xấu xa có thể thành công về mặt chính trị
    • Thường thì là vì tiền
      Có một lượng tiền khổng lồ gắn với việc xây dựng nhà nước phong kiến số mới
      Vì phần lớn công nghệ số thường nhật nằm trong tay một vài doanh nghiệp độc quyền đầy quyền lực, nên họ cảm thấy mình thực sự có cơ hội làm được điều đó