Senate Bill Re-Introduces Suspicious Activity Reports for Tech

0
59

Eine weitere Herausforderung für Section 230 des Communications Decency Act, die Tech-Plattformen davor schützt, für verschiedene Formen von Inhalten, die auf ihnen veröffentlicht werden, haftbar zu sein, ist mit Unterstützung beider Parteien wieder aufgetaucht. Es ist eine Seite aus dem Banking Secrecy Act (BSA) entnommen, aber anstatt verdächtige Aktivitätsberichte (SARs) einzureichen, würde der Gesetzentwurf Tech-Unternehmen dazu zwingen, „verdächtige Übertragungsaktivitätsberichte“ (STARs) für „illegale Aktivitäten“ auf ihren Plattformen einzureichen.

Diese Woche haben die Senatoren Joe Manchin aus West Virginia und John Cornyn aus Texas ihr Gesetz „See Something Say Something Online“ wieder eingeführt, das Tech-Unternehmen dazu zwingen würde, „verdächtige Aktivitäten den Strafverfolgungsbehörden zu melden, ähnlich wie Banken verdächtige Aktivitäten melden müssen Transaktionen über 10.000 USD oder andere, die auf kriminelle Aktivitäten hinweisen könnten. “

Laut einem zusammenfassenden Dokument aus Manchins Büro sind Unternehmen „weitgehend von der Haftung für die von Einzelpersonen auf ihren Plattformen ergriffenen Maßnahmen abgeschirmt, da es keine Anreize gibt, illegale Aktivitäten zu bereinigen. Selbst wenn sie Maßnahmen ergreifen, löschen sie die Daten häufig nur, anstatt sie an die zuständigen Behörden weiterzuleiten, was es für die Strafverfolgung schwieriger macht, schlechte Akteure online zu verfolgen. Es ist an der Zeit, diese Websites zur Rechenschaft zu ziehen und etwas zu sagen, wenn sie etwas online sehen. “

Es bleiben jedoch viele Fragen offen, warum eine solche Gesetzesvorlage erforderlich ist, einschließlich Bedenken darüber, welche Maßnahmen unter den weit gefassten Rahmen fallen könnten und welche Daten gesammelt würden.

Anne Fauvre-Willis ist COO bei Oasis Labs, einem Unternehmen, das sich auf den Datenschutz konzentriert. Sie sagt, dies sei ein großartiges Beispiel für eine Gesetzesvorlage mit guten theoretischen Absichten, aber kostspieligen Auswirkungen auf die Praxis.

“Ich verstehe, dass die Regulierungsbehörden den Technologieunternehmen mehr Verantwortung beim Schutz ihrer Benutzer auferlegen möchten, aber dies tut das Gegenteil”, sagte Fauvre-Willis in einer E-Mail. “Es verletzt das Recht des Einzelnen auf Privatsphäre und entzieht ihm auf unüberlegte Weise jegliche Kontrolle über seine Daten.”

Keine Sterne? Kein Schutz gemäß Abschnitt 230

Mit dem Gesetzentwurf würde ein System geschaffen, das dem Gesetz über das Bankgeheimnis ähnelt, indem die Einrichtung eines Büros innerhalb des Justizministeriums (DOJ) als Clearingstelle für diese Berichte genehmigt wird, ähnlich dem Financial Crimes Enforcement Network (FinCEN) innerhalb des Ministeriums of Treasury “, heißt es in einer Pressemitteilung aus Manchins Büro.

Der Gesetzentwurf wurde erneut eingeführt, um die Schwelle für die Meldung von „schweren Verbrechen“ anzuheben, die in der Pressemitteilung als Drogenverkauf, Hassverbrechen, Mord oder Terrorismus ausgewiesen werden, um „sicherzustellen, dass die Privatsphäre der Benutzer sicher bleibt“.

Weiterlesen: FinCEN ermutigt Banken, Kundeninformationen miteinander zu teilen

Tech-Unternehmen müssten STARs innerhalb von 30 Tagen nach Kenntnisnahme solcher Informationen senden. “Verdächtige Übertragungen” können eine Vielzahl von Materialien enthalten, einschließlich “öffentlicher oder privater Beiträge, Nachrichten, Kommentare, Tags, Transaktionen oder anderer benutzergenerierter Inhalte oder Übertragungen, die die Daten festschreiben, erleichtern, anregen, fördern oder auf andere Weise unterstützen Begehung eines schweren Verbrechens. “

Wenn sich die Unternehmen dagegen entscheiden, wird ihnen der Schutz gemäß Abschnitt 230 entzogen, und das Endergebnis ist wahrscheinlich, dass sie in Vergessenheit geraten.

Durch die Drohung, den Schutz von Abschnitt 230 wegen Nichteinhaltung des Gesetzentwurfs aufzuheben, werden die Einreichungen von STARs in der Praxis obligatorisch, wenn nicht in Wortform. Um sicherzustellen, dass diese Unternehmen weiterhin bestehen können, müssen sie den Datenschutz der Benutzer weiter verletzen.

STARs würden von einer Vielzahl persönlicher Informationen begleitet, die mit dem Absender der Post in Verbindung stehen.

Sie würden den Namen, den Ort und die Identitätsinformationen enthalten, die der Plattform gegeben wurden. Zeit, Ursprung und Ziel der Übertragung; alle relevanten Texte, Informationen und Metadaten, die sich darauf beziehen. Es ist nicht klar, wie breit oder eng diese relevanten Informationen sein könnten. Unternehmen, die STARs einreichen, müssten sie nach ihrer Einreichung fünf Jahre lang aufzeichnen.

Eine pauschale Knebelbestellung bedeutet auch, dass die Ziele von STARs nicht darüber informiert werden. Und STARs würden auch nicht den Anforderungen des Freedom of Information Act (FOIA) unterliegen.

Darüber hinaus sieht die Rechnung die Einrichtung einer Abteilung unter dem DOJ vor, um diese Berichte zu verwalten. Es würde auch eine zentralisierte Online-Ressource eingerichtet, die von jedem Mitglied der Öffentlichkeit verwendet werden könnte, um den Strafverfolgungsbehörden verdächtige Aktivitäten im Zusammenhang mit „schweren Verbrechen“ zu melden.

“Mit einer zu weit gefassten Definition der Meldung von” verdächtigen Aktivitäten “ignoriert der Gesetzentwurf den Schutz der Privatsphäre der Verbraucher vollständig und verwendet standardmäßig eine Welt, in der die Regierung am besten Bescheid weiß”, sagte Fauvre-Willis.

„In der Praxis bedeutet dies, dass Unternehmen bei einer Weitergabe große Datenmengen weitergeben müssten, die möglicherweise relevant sind, aber möglicherweise auch nicht. Diese Daten können vertrauliche Informationen über Personen enthalten, darunter E-Mails, Alter, Sozialversicherungsnummern und wer weiß was noch. “

Wie STARs einen Daten-Honeypot erstellen

Unternehmen dazu zu zwingen, regelmäßig personenbezogene Daten in Bezug auf Milliarden von Posts, Nachrichten, Tags und anderen Maßnahmen preiszugeben, die Menschen täglich ergreifen, scheint eine großartige Möglichkeit zu sein, einen riesigen Honeypot personenbezogener Daten zu erstellen, der beunruhigende Auswirkungen hat.

“Der Ansatz” etwas sehen, etwas sagen “wurde im Offline-Kontext gründlich entlarvt – was zu Eingriffen in die Privatsphäre führte, ohne die öffentliche Sicherheit zu verbessern – und wäre im Kontext von Online-Plattformen noch negativer”, sagte Nadine Strossen. ein Rechtsprofessor an der New York University und ehemaliger Präsident der ACLU.

Der Gesetzentwurf beschreibt speziell die Schaffung einer zentralen Online-Ressource, in der Personen (anscheinend jeder) STARs einreichen können. Ob Tech-Unternehmen dann persönliche Informationen über Benutzer bereitstellen müssten, gegen die STARs von Mitgliedern der Öffentlichkeit eingereicht wurden, ist eine offene Frage, die in der 11-seitigen Rechnung nicht behandelt wird.

Weiterlesen: Wie FinCEN zum Honeypot für sensible personenbezogene Daten wurde

“Die Einrichtung einer Clearingstelle für diese Daten in einem von der Bundesregierung betriebenen zentralen System scheint mit Sicherheitsrisiken behaftet zu sein”, sagte Fauvre-Willis. „Das Speichern sensibler Daten ist keine leichte Aufgabe und das Teilen auf sichere und geschützte Weise, noch schwieriger. Und wenn die Regierung diese Daten hat, was werden sie damit machen? Diese Rechnung ist voller Herausforderungen und halber Überlegungen. “

Daten sind sensibel, und die daraus resultierende Datenlawine könnte bedeuten, dass es sich um einen saftigen Honigtopf für Personen handelt, die daran interessiert sein könnten, diese Daten auf eine Weise zu verwenden, die nur durch den Umfang ihrer Vorstellungskraft begrenzt ist.

“Es schafft eine Möglichkeit für die Öffentlichkeit, schlechte Tweets zu melden”, sagte Jerry Brito, der Geschäftsführer des Coin Center, in einem Telefonanruf. “Hast du Twitter gesehen?”

Strossen sagte, die Gesetzgebung würde auch jeden ermutigen und befähigen, bestimmte Benutzer oder Plattformen zu verwüsten, indem er einfach einen STAR einreicht.

“Angesichts der vagen, umfassenden Beschreibungen von ‘verdächtigen Aktivitäten’, die subjektive Urteile auslösen, könnte behauptet werden, dass eine unbegrenzte Anzahl von Posts in sie passt”, sagte sie in einer E-Mail. “Die Menschen könnten dieses Gesetz bewaffnen, um das Leben für jeden unglücklich zu machen, von politischen Gegnern über wirtschaftliche Konkurrenten bis hin zu Personen, die sie nicht mögen.”

Redefreiheit, Datenschutz und Dezentralisierung

Umgekehrt sagte Strossen: “Es können plausible Argumente dafür vorgebracht werden, dass dieses Gesetz die Rede- und Datenschutzrechte der Plattformbenutzer verletzt, da die Bundesregierung Plattformen beauftragt, detaillierte Informationen über die Kommunikation ihrer Benutzer zu überwachen und offenzulegen.”

“Die Regierung kann die verfassungsrechtlichen Beschränkungen ihrer eigenen Handlungen nicht umgehen, indem sie Plattformen zu Spionage und Zensur zwingt, an denen die Regierung nicht direkt teilnehmen darf.”

Unternehmen müssten anscheinend nicht nur Direktnachrichten überwachen, die sie sonst möglicherweise nicht überwachen, sondern der Gesetzentwurf rät auch von der Einführung einer End-to-End-Verschlüsselung ab. Eine solche Verschlüsselung würde Unternehmen daran hindern, weitreichende Informationen über von Einzelpersonen gesendete Nachrichten zu erhalten, was dazu führen könnte, dass sie die STAR-Einreichungen nicht einhalten können.

“Das bedeutet, dass Twitter suchen und Ihre DMs ständig auf verdächtige Dinge überwachen muss”, sagte Brito. „Und dann darüber informieren. Das ist aus allen denkbaren Gründen problematisch. “

Weiterlesen: Google Down: Die Gefahren der Zentralisierung

Brito glaubt, dass die Reaktion der Technologieunternehmen tatsächlich darin bestehen würde, sich der Verschlüsselung zuzuwenden, wie dies Apple und WhatsApp getan haben, obwohl er nicht der Meinung ist, dass sich der Begriff „privat“ in der Rechnung speziell auf verschlüsselte Kommunikation bezieht.

“Sie werden sagen:” Alle Kommunikationen, die wir auf unseren Plattformen bereitstellen, sind durchgehend verschlüsselt, sodass wir nicht in die Kommunikation unserer Kunden sehen können “, sagte er. “Und dann wird die Regierung zurückkommen und sagen: ‘Okay, dann brauchen wir eine Hintertür.’ Das ist also eine Sache. Die andere Sache ist, dass es die Leute zur Dezentralisierung drängen wird. “

In dezentralen Systemen gibt es keine zentrale Stelle (oder Firma), die einseitig beschließen kann, diese Vorschriften einzuhalten und die Kommunikation der Benutzer zu überwachen.

Die bevorstehende Datenflut: Wer fragt danach?

Die BSA, von der der Schwerpunkt dieses Gesetzes stark abhängt, hat dazu geführt, dass Compliance-Beauftragte eine SAR für alles einreichen, was möglicherweise zu einer Haftung für die Finanzinstitute führen könnte.

Aus diesem Grund haben Banken immer mehr SARs eingereicht, deren Zahl sich in den letzten zehn Jahren nahezu verdoppelt hat.

Wie ein Anwalt für Finanzkonformität in einem früheren Interview beschrieben hat, haben Finanzinstitute eine defensivere SAR-Einreichung durchgeführt und einen nachdenklichen Prozess in etwas verwandelt, das eher dem Aktivieren des Kontrollkästchens ähnelt. Im Wesentlichen besteht die Idee darin, dass Banken eine große Anzahl von SARs einreichen, um sich vor Haftung zu schützen oder mit Geldstrafen wegen möglicher Nichteinhaltung der BSA belegt zu werden.

Es ist schwer vorstellbar, dass diese Rechnung etwas anderes macht, sondern stattdessen STARs verwendet.

Brito sprach auch die Frage an, ob die potenzielle Informationsflut etwas ist, was die Strafverfolgung will. Zum Beispiel ist FinCEN mit steigender Anzahl von SARs geschrumpft. Dies bedeutet, dass relativ wenige Personen alle kommenden SARs analysieren und möglicherweise die Qualität der Informationen, die sie sammeln möchten, einschränken.

“Haben die Sponsoren dieses Gesetzes mit den Strafverfolgungsbehörden gesprochen?” er hat gefragt. „Weil sie als Ergebnis sehr gut Zehntausende von Berichten erhalten könnten, wenn jemand das Wort Bombe verwendet, zum Beispiel‚ dieser Club war die Bombe ‘. Das hilft ihnen nicht und sie müssen sie alle durchgehen. “

Dies berücksichtigt auch nicht, dass Facebook und andere Social-Media-Plattformen bereits Compliance-Teams haben, die in solchen Fragen eng mit den Strafverfolgungsbehörden zusammenarbeiten. Facebook und Instagram berichten und entfernen beispielsweise jährlich Millionen Fälle von Kinderpornografie.

“Wen soll das abdecken, der das heute noch nicht macht?” sagte Brito.

Squashing Wettbewerb

Ein weiterer Nebeneffekt dieser Gesetzgebung wäre, trotz aller Bestürzung über die Einführung großer Tech- und Kartellgesetze die Fähigkeit anderer Tech-Unternehmen zu beeinträchtigen, mit den bereits dominierenden Plattformen zu konkurrieren.

“Wie bei jeder derart belastenden Regulierung würde eine weitere nachteilige Auswirkung darin bestehen, die bereits dominierenden Online-Plattformen wie Facebook und Google weiter zu verankern und weitere Markteintrittsbarrieren für neue, kleine Unternehmen zu schaffen”, sagte Strossen Ressourcen, um mit den regulatorischen Anforderungen fertig zu werden, aber ihre potenziellen Konkurrenten nicht. “

Die Moderation von Inhalten selbst ist eine große Aufgabe, die Ressourcen, Systeme und Aufmerksamkeit erfordert. Die Schaffung zusätzlicher Hindernisse, wie dies bei dieser Rechnung der Fall ist, würde die Vorabkosten für den Einstieg ins Spiel exponentiell erhöhen und eine Vielzahl von Gründen liefern, warum jemand dies nicht tun sollte.

“Diese Gesetzesvorlage hat, wie viele, die versuchen, das Internet zuvor zu regulieren, den indirekten Effekt, dass kleine Startups und Unternehmer mehr als alles andere verletzt werden”, sagte Fauvre-Willis. „Je mehr diese Rechnungen in Kraft treten, desto größer ist der Graben, den große Unternehmen gegen kleine Innovatoren haben. Facebook und Google können bei Bedarf Anwälte und Teams einstellen, um diesen Prozess zu verwalten. Ein Frühphasenunternehmen kann das nicht. Dies hat die unbeabsichtigte Folge, dass Innovationen erstickt werden. “