Сенаторы представили законопроект, который обяжет крупные медийные платформы отвечать за содержание пользовательских публикаций. ИБ-экспертов беспокоит, что его побочным эффектом может стать запрет сквозного шифрования. Рассказываем, как развивается эта ситуация.
/ Unsplash / Steve Harvey
Законопроект получил название EARN IT Act — Eliminating Abusive and Rampant Neglect of Interactive Technologies. Сенаторы США хотят внести изменения в законодательство, касающееся раздела 230 закона «Об этикете в средствах коммуникации» (Communications Decency Act, CDA). В ней сказано, что ресурсы, подобные Facebook, Twitter и YouTube, не несут ответственности за материалы, размещаемые пользователями. Политики считают, что крупные корпорации злоупотребляют этой возможностью и не уделяют должного внимания разработке инструментов, ограничивающих распространение вредоносного и противозаконного контента на своих площадках.
Авторы EARN IT Act предлагают отозвать гарантированный законом иммунитет, но предусмотреть процедуру, по которой он будет выдаваться в индивидуальном порядке. Для этого ИТ-компания должна проходить регулярный аудит алгоритмов и методов фильтрации контента. Список параметров и лучших практик составит специальная комиссия. В неё войдет глава FTC, генеральный прокурор, министр внутренней безопасности и еще двенадцать человек, назначенные Конгрессом США.
Авторы законопроекта отмечают, что EARN IT Act поспособствует внедрению новых систем фильтрации, способных защитить детей (и других пользователей) от вредоносного и непотребного контента. Идею ужесточения законодательства поддержал и кандидат в президенты США Джо Байден (Joe Biden). В интервью The New York Times он даже призвал «немедленно упразднить раздел 230». По его словам, медиаплатформы подобные Facebook должны отвечать за размещаемую на них информацию.
Но ИТ-сообщество не разделяет точку зрения политиков и считает EARN IT Act плохой идеей. Против него уже высказался Эдвард Сноуден. По его мнению, законопроект идет вразрез с принципом свободы слова. Непонятно, по каким параметрам комиссия будет определять «незаконность» контента в социальных сетях.
Специалисты по ИБ также видят в новом законопроекте угрозу безопасности персональных данных. Как пишут инженеры из Фонда электронных рубежей (EFF), документ наделяет серьезными полномочиями генерального прокурора США, давая ему возможность самостоятельно прописать требования к ИТ-компаниям. Действующий генеральный прокурор Уильям Барр (William Barr) выступает против шифрования в приложениях. Эксперты опасаются, что в случае принятия закона, он может заставить разработчиков встраивать бэкдоры в свои программные и аппаратные платформы, а также запретит E2E-шифрование.
/ Unsplash / Max Bender
Еще несколько лет назад эксперты из Keys Under Doormats, занимающиеся вопросами защиты информации, отмечали, что нельзя гарантировать доступ государственных агентств к данным, не открыв при этом двери злоумышленникам. Уже были прецеденты, когда в сеть утекали инструменты, использующие эксплойты, обнаруженные правоохранительными органами.
Хотя в США вопрос с запретом шифрования end-to-end остается открытым (этого может и не произойти), есть страны, уже закрепившие этот факт на законодательном уровне. Например, такой закон приняли в Австралии в 2018 году, при этом разработчики мессенджеров обязаны предоставлять дешифрованные данные по запросу правоохранительных органов.
Еще одна страна, которая рассматривала вариант с запретом E2E-шифрования, — это Великобритания. Еще в 2016 году к аналогичному шагу Еврокомиссию призывали представители Германии и Франции. Однако с очень большой вероятностью Евросоюз не будет принимать подобные законы. В конце прошлого года представители Еврокомиссии отметили, что они не планируют рассматривать вопросы, касающиеся запрета сквозного шифрования, так как это отрицательно скажется безопасности персональных данных.
/ Unsplash / Steve Harvey
В чем суть законопроекта
Законопроект получил название EARN IT Act — Eliminating Abusive and Rampant Neglect of Interactive Technologies. Сенаторы США хотят внести изменения в законодательство, касающееся раздела 230 закона «Об этикете в средствах коммуникации» (Communications Decency Act, CDA). В ней сказано, что ресурсы, подобные Facebook, Twitter и YouTube, не несут ответственности за материалы, размещаемые пользователями. Политики считают, что крупные корпорации злоупотребляют этой возможностью и не уделяют должного внимания разработке инструментов, ограничивающих распространение вредоносного и противозаконного контента на своих площадках.
Авторы EARN IT Act предлагают отозвать гарантированный законом иммунитет, но предусмотреть процедуру, по которой он будет выдаваться в индивидуальном порядке. Для этого ИТ-компания должна проходить регулярный аудит алгоритмов и методов фильтрации контента. Список параметров и лучших практик составит специальная комиссия. В неё войдет глава FTC, генеральный прокурор, министр внутренней безопасности и еще двенадцать человек, назначенные Конгрессом США.
Что о нем думает сообщество
Авторы законопроекта отмечают, что EARN IT Act поспособствует внедрению новых систем фильтрации, способных защитить детей (и других пользователей) от вредоносного и непотребного контента. Идею ужесточения законодательства поддержал и кандидат в президенты США Джо Байден (Joe Biden). В интервью The New York Times он даже призвал «немедленно упразднить раздел 230». По его словам, медиаплатформы подобные Facebook должны отвечать за размещаемую на них информацию.
Пара материалов из нашего блога на Хабре:
Но ИТ-сообщество не разделяет точку зрения политиков и считает EARN IT Act плохой идеей. Против него уже высказался Эдвард Сноуден. По его мнению, законопроект идет вразрез с принципом свободы слова. Непонятно, по каким параметрам комиссия будет определять «незаконность» контента в социальных сетях.
Специалисты по ИБ также видят в новом законопроекте угрозу безопасности персональных данных. Как пишут инженеры из Фонда электронных рубежей (EFF), документ наделяет серьезными полномочиями генерального прокурора США, давая ему возможность самостоятельно прописать требования к ИТ-компаниям. Действующий генеральный прокурор Уильям Барр (William Barr) выступает против шифрования в приложениях. Эксперты опасаются, что в случае принятия закона, он может заставить разработчиков встраивать бэкдоры в свои программные и аппаратные платформы, а также запретит E2E-шифрование.
/ Unsplash / Max Bender
Еще несколько лет назад эксперты из Keys Under Doormats, занимающиеся вопросами защиты информации, отмечали, что нельзя гарантировать доступ государственных агентств к данным, не открыв при этом двери злоумышленникам. Уже были прецеденты, когда в сеть утекали инструменты, использующие эксплойты, обнаруженные правоохранительными органами.
Ситуация с E2E-шифрованием в мире
Хотя в США вопрос с запретом шифрования end-to-end остается открытым (этого может и не произойти), есть страны, уже закрепившие этот факт на законодательном уровне. Например, такой закон приняли в Австралии в 2018 году, при этом разработчики мессенджеров обязаны предоставлять дешифрованные данные по запросу правоохранительных органов.
Еще одна страна, которая рассматривала вариант с запретом E2E-шифрования, — это Великобритания. Еще в 2016 году к аналогичному шагу Еврокомиссию призывали представители Германии и Франции. Однако с очень большой вероятностью Евросоюз не будет принимать подобные законы. В конце прошлого года представители Еврокомиссии отметили, что они не планируют рассматривать вопросы, касающиеся запрета сквозного шифрования, так как это отрицательно скажется безопасности персональных данных.
О чем мы пишем в корпоративном блоге VAS Experts:
Angmarets
Когда слышал про этот законопроект — слышал в другом ключе. Мол всякие фейсбуки, твитеры и т.д. немного зарвались играя в модераторов и с одной стороны «мы просто площадка, это всё пользователи повыкладывали, ну и что что там клевета, призывы к насилию и т.д. Мы ничего не решаем», а с другой стороны тебя банят за то что ты не угадал гендер очередного вертолёта, но не банят за призывы мочить всех белых. И закон — попытка заставить принять одну из сторон. Компания либо получает иммунитет и является просто площадкой, не несёт ответсвености за контент пользователей но и не может банить людей по желанию левой пятки либо цензурит кого и как хочет, но тогда уже ответсвеность за контент лежит на компании, т.к. компания его публикацию допустила сознательно.
Neuromantix
Если это так — то это давно пора было сделать.
nApoBo3
Никто не мешает компании расширить базовые рекомендованные механизмы, их нельзя сужать, а расширяться можно сколько хочешь.
Подобный подход с одной стороны в интересах крупных компании, он позволяет закрыть вопрос их ответственности.
Но с другой стороны, сам закон не описывает список мер, и это плохо, поскольку, как и указана в статье, они могут быть произвольными и остаются на усмотрение силовых чиновников.
Так что лучше точно не будет.
qw1
Ничего не понятно. Если компания принимает сторону самостоятельной модерации, и вдруг пропускает противозаконную публикацию, то кто конкретно несёт ответственность (уголовную)? Директор? Собственник?
Если компания принимает сторону «у меня иммунитет, вот вам все ключи и отстаньте», то кто конкретно будет заниматься модерацией, за какие бюджеты?
Angmarets
ну так я и не говорил, что проект будет работать. Изначально (насколько я слышал) он был направлен именно на описанную мной проблему. Теперь сюда приплетают опять всякие защиты детей и прочую хрень. Что в итоге получится и как именно он будет работать (или скорее не работать) — покажет время.