NSA承认购买敏感数据监控美国公民
2024-1-29 18:7:54 Author: mp.weixin.qq.com(查看原文) 阅读量:15 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

上周四,美国参议员罗恩·怀登 (Ron Wyden) 披露称,美国国家安全局 (NSA) 承认从数据经纪商手中购买了关于美国公民所使用网站和应用详细信息的记录。

去年,怀登迫使FBI 承认它也在购买美国公民的敏感数据。如今,他呼吁所有情报机构“停止从非法获得数据的数据经纪商手中购买美国公民的个人数据”。

怀登在向美国国家情报总监 (DNI) 艾薇儿·海恩斯 (Avril Haines) 的信函中提到,“为此,请制定一项政策,未来,”情报机构‘’仅能按照由 FTC 颁布的合法数据出售标准购买美国公民的数据”。

怀登认为情报社区可能帮助数据经纪商违反FTC的一项指令。该指令要求美国公民的数据被出售给第三方之前,必须获得公民“清楚明确的”披露和知情同意。在怀登调查这些数据经纪商的七年里,他表示尚未“发现任何公司在收集用户数据之前发布了这类提醒”。FTC的指令在与数据经纪商 X-Mode 达成协议之后发生。X-Mode 承认在未获得用户同意的情况下出售用户的位置信息,甚至在用户取消同意之后仍然出售这些数据。

怀登在信函中指出该指令是 FTC 提出的“新规则”,但实际并非如此。FTC 并未发布新规则,而是FTC的协议通常被视作“判例法”,是对违反《FTC 法案》等法律的市场发出的信号。

从FTC在网站对该法令的分析来看,X-Mode“不公平地出售敏感数据、不公平地未能尊重客户的隐私选择、不公平地收集和使用客户的位置信息、未经同意验证地收集和使用客户的位置信息、不公平地根据敏感特性对客户进行分类实现营销目的、欺骗性地未能披露位置数据的使用,并提供了从事欺骗性行为或实践的手段和工具。”

FTC 拒绝就该指令是否适用于情报机构购买数据的情况置评。在定义“位置数据”方面,FTC 指令看似排除了发生在美国境外的数据收集行为以及出于“安全目的”或“联邦机构或其它联邦实体出于国家安全目的”的数据使用行为。

NSA 必须清除数据

NSA 的官员告知怀登称,情报机构不仅购买身在美国的美国公民的数据,还购买美国公民的互联网元数据。

怀登提醒称,前者“可基于互联网的行动轨迹如访问与心理健康资源或与性侵犯或家庭虐待幸存者的资源的网站,或者访问节育或堕胎药物相关的远程医疗服务商,暴露敏感的私密信息”,而后者“可能同样敏感”。

为解决这个问题,怀登希望情报社区能够达成库存协议,然后“及时”清除在未获得许可的情况下非法收集的美国公民数据。怀登表示这一流程可使NSA、FBI等机构“实际”使用“他们的信用卡规避《第四修正案》。”

FTC 表示,X-Mode的行为可能会“给客户造成重大伤害,这种伤害不及客户或竞争带来的利益且无法由客户合理避免”。怀登的发言人凯斯楚 (Keith Chu) 表示,对于X-Mode,“向政府出售互联网记录的数据经纪商似乎做出了近乎一致的行为”。FTC的这一指令表明“美国公民必须被告知且同意自己的数据‘出于国家安全目的’被出售给‘政府承包商’,以允许这一实践的发生”。

国防部辩护可疑的数据经纪商交易

美国国防情报与安全部长罗纳德·莫尔特里 (Ronald Moultrie) 回应怀登的信函时指出,国防部在购买美国公民的位置数据时,“遵守高标准的隐私和公民自由保护规定”。他还表示自己“未在美国法律或司法意见中发现任何要求”强制国防部“获得法庭令以收购、访问或使用”那些“像美国政府那样,同样可由外国对手、美国企业和个人获取的”商业信息。

NSA 的负责人保罗·中曾根 (Paul Nakasone) 上将回应该信函时表示,“NSA 采取措施最少化收集美国的个人信息”并“继续仅获取与任务要求相关的最有用的数据”,包括可用的美国公民商用信息,“通信的一端是美国IP地址,另一端则位于国外”,中曾根指出这一数据“对于保护用于维护军事武器系统的美国国防工业基础的安全至关重要”。

虽然FTC目前端掉多个数据经纪商,但怀登认为未经美国公民知情同意出售数据的可疑实践是需要立法的“行业”问题。情报机构不应成为这一不完善市场的客户,而应当停止资助那些被FTC认为对美国公民实施“侵入性”和“未经查验的”监控的企业。

莫尔特里指出,国家情报总监海恩斯判定哪些信息来源对于协助情报机构是“相关且适当的”。但怀登认为美国公民应当有机会拒绝这些入侵性、秘密性的数据收集行为。他指出,美国情报机构从可疑经纪商处购买数据创建了这样一个社会:客户没有机会拒绝入侵性追踪。

怀登表示,“因为情报机构试图使美国人民陷入黑暗中,与数据购买相关的保密性被放大了。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

NSA 发布关于集成SBOMs 提升网络安全的指南

CISA、NSA等联合发布关于SBOM的软件供应链安全保护新指南

NSA离职员工被指向俄罗斯泄露机密数据

NSA和CISA联合发布十大最常见的网络安全配置不当问题清单

NSA发布软件内存安全问题缓解指南

原文链接
https://arstechnica.com/tech-policy/2024/01/nsa-finally-admits-to-spying-on-americans-by-purchasing-sensitive-data/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518768&idx=1&sn=e2580ef28e29b1e69a98c2d5b0a25a4f&chksm=ea94bb5adde3324ca571dfc3d000c70d5f96bcd859fdf0d43446b2a97535d3a9ba37918b7ef1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh