Was wir nicht noch über PRISM wissen
Viel bleibt ungewiss über die Anzahl der Benutzer, die von der NSA Prisma-Überwachung-Programm, das ergreift Ort, Umfang, welche Unternehmen beteiligt sind, und wie die NSA diese sensiblen Daten umgeht betroffen. Hier sind einige der größten ungelösten Fragen.
Die NSA regelmäßig sammeln und untersuchen eine riesige Schneise der Cloud-Kommunikation der amerikanischen und ausländischen Internet-Nutzer? Die Agentur nachweisen und versuchen vorsichtig gerichtliche Überprüfung um begrenzte Mengen an Benutzerdaten in Bezug auf Einzeluntersuchungen zu erhalten? Oder ist die Antwort irgendwo in der Mitte, mit Abfragen gebaut, so dass die meisten-Algorithmen Scan oder alle Konten, die Ermittlung einer kleineren Gruppe von "interessant" Konten, deren Inhalt an die NSA gesendet werden?
Dieser Beitrag versucht, einige grundsätzliche Fragen, die wir brauchen, antwortete erlangen genügend Klarheit in Bezug auf die Überwachung stattfindet, haben eine fundierte demokratische politische debate.1 geben wir auch unsere Annäherungen der realistische "Best Case" und "Worst Case" Szenarien gegeben, was wir bereits über das Programm wissen, markieren Sie das Spektrum der möglichen Realitäten dargelegt.
Für jedes Unternehmen beteiligt wie viele Benutzer Konten gehabt haben einige private Daten an die NSA übertragen?
Während Unternehmen geben die NSA "Direktzugang" auf ihre Server verweigert haben, diese Ablehnungen sind sorgfältig formuliert und die Unternehmen haben zugegeben, dass sie tun, was sie als rechtmäßige Aufträge entsprechen – vor allem 702 FISA orders2 — und Push zurück, wenn diese Aufträge zu breit sind. Die New York Times berichtet, dass einige dieser Aufträge kann "eine breite Sweep für Intelligenz, wie Protokolle von bestimmten Suchbegriffen." Leider ohne weitere Besonderheiten von Unternehmen detailliert die ungefähre Anzahl der Benutzerkonten, deren Daten von solchen Aufträgen berührt werden, bleibt uns im Unklaren darüber, wie breit die Aufträge sind.
Könnte sich die NSA beispielsweise für alle Google Mail-e-Mails bitten, die enthalten das Wort "golden Gate Bridge", die in den letzten 24 Stunden empfangen oder gesendet wurden? Für alle privaten Facebook-Nachrichten eines Benutzers, die durch eine IP-Adresse einem bestimmten Land zugeordnet, über einen Zeitraum von einem Monat angemeldet? Gibt es Aufträge für Informationen, die laufend zur Verfügung gestellt werden muss? Werden Informationen wird von den Unternehmen gefiltert, so dass keine Informationen über Amerikaner übergeben? Um ein besseres Verständnis des Bereichs haben, ermutigen wir Unternehmen, um eine detailliertere Informationen in ihrer Transparenz-Berichte oder anderswo.
Wir freuen uns auf Anfragen von Google und Facebook an die Regierung für mehr Spielraum, um diese Informationen im Transparenz-Berichte zu veröffentlichen. Diese Anträge sollten ernst genommen werden, und wir ermutigen auch die NSA selbst mehr offen mit, welche Informationen gesammelt werden.
Besten Fall: Die NSA sendet eine kleine Nummer FISA 702 sind eng gezielt für bestimmte Untersuchungen und Aufträge auf nur eine kleine Anzahl von Benutzerkonten zu berühren; im Idealfall haben bei den meisten Hunderte oder vielleicht Tausende von Konten Auskünfte an die NSA jedes Jahr.
Worst Case: Unternehmen erhalten unglaublich breit FISA 702 Aufträge, die bei Überfahren von großen Schwaden von Benutzerdaten, die NSA auf eine regelmäßige oder laufenden, wie die e-Mails aller Benutzer in einem bestimmten Land, drehen oder eine, die eine Formulierung wie "golden Gate Bridge" enthalten.
Welche Informationen über Aktivitäten der Nutzer ist ohne die Mitarbeit der Firmen gesammelt?
Es gibt vieles, was wir nicht wissen, über was die NSA ohne die Mitwirkung der Unternehmen sammeln kann. Während Objekte wie die NSA in der Lage, einige Formen von Metadaten zu sammeln, ohne Einbeziehung eines Unternehmens sind, erschwert die Verschlüsselung bereitgestellt von Unternehmen wie Google und Facebook in den letzten Jahren für die NSA Inhalt zu erhalten, ohne an dem Unternehmen beteiligt. Eine Interpretation des PRISMAS ist jedoch, dass die NSA aggressive Taktiken wie Diebstahl private Verschlüsselungsschlüssel von Servern im Unternehmen verwendet wird, um durchzuführen Spionage ohne Unternehmenswissen. Alex Stamos hat eine Taxonomie von Möglichkeiten zur Verfügung gestellt, die technisch erfahrene Benutzer nützlich für das Verständnis der Vielfalt an Möglichkeiten finden können.
Besten Fall: Die NSA überwacht keine Metadaten oder Content-Daten der Nutzer außer über rechtmäßige und gezielte Anfragen an das Unternehmen.
Worst Case: Die NSA überwacht im großen und ganzen Benutzer Metadaten und Content-Daten ohne jegliche Beteiligung von Unternehmen.
Welche internen Prüfungen hat die NSA auf wie Daten angefordert werden und verwendet (mis)?
Im Moment wir sehr wenig Wissen darüber, wie die NSA die Daten verwendet. Wir wissen, dass es für "nationale Sicherheit" Zwecke wie Spionage, Staatssicherheit Untersuchungen und Tracking von Kernwaffen verwendet wird. Es ist davon auszugehen, dass die USA spionieren Agenturen überwachen und Eingreifen bei geschäftlichen Aktivitäten (ein Beispiel) sowie die Angelegenheiten anderer Staaten, wahrscheinlich auch die Politik der Demokratien (ein mögliches Beispiel). Aber wir wissen nicht, wie häufig solche Ziele gewählt werden könnten, oder welche Standards den USA Geheimdienste auf diese Tätigkeiten gelten könnte.
Abgesehen von Zwecken gibt es andere wichtigen Fragen über Kontrollmechanismen. Welche Beweiskraft Standard für Informationen zum Unternehmen eingeholt werden benötigt? Sobald diese Sammlung der Fall, aber bevor die Daten eine Person ansieht, welche Minimierung Verfahren sicherzustellen, dass nur entsprechend gezielten Daten stattfinden werden von Analysten geprüft? Daten gelöscht, und wenn so was löschen löst? Wie viel Prozent der Daten gelöscht wird? Sind Daten über Amerikaner immer gelöscht, sobald sie entdeckt wird? Für Beschäftigte bei der NSA in der Lage, zu betrachten, sehr private Informationen wie z. B. der Inhalt einer persönlichen e-Mail welche Prüfungen gibt es zu verhindern, dass diese Person missbrauchen diese Informationen?
Besten Fall: Daten werden nur angestrebt, einmal gibt es deutliche Hinweise des Terrorismus von anderen Aktivitäten, die nationalen Sicherheit beeinträchtigen könnten. Nur für eine aktive Untersuchung relevanten Daten werden gespeichert, und nur so lange wie es nötig ist. Nicht relevante Daten werden sofort gelöscht. Alle Mitarbeiterzugriff auf private Daten ist protokolliert und regelmäßig für unangemessen oder fragwürdige verwendet.
Worst Case: Analysten können Angeln Expeditionen ohne jeden Beweis des Vergehens gehen. Daten werden auf unbestimmte Zeit gespeichert. Irrelevante Daten werden nicht verworfen, einschließlich inländische Daten über amerikanische Nutzer. Es gibt einige Kontrollen wie Mitarbeitern Zugriff als Ergebnis die Werkzeuge zu ihrer Verfügung, und wenig Verantwortlichkeit nutzen können.
Amerika hat lange gekämpft, um demokratische Grundsätze mit Intelligenz Notwendigkeiten in Einklang zu bringen. Es ist schwierig, das richtige Gleichgewicht. Es gibt zwar berechtigte Argumente für Vertraulichkeit im Hinblick auf bestimmte Quellen und Operationen, geheime Rechtsauslegungen und Praktiken sind deutlich gegensätzlich zu amerikanischen Werte: die Öffentlichkeit handeln durch den Kongress, bekommt zu entscheiden, was erlaubt ist. Diese kritischen Governance-Prozess ist nur möglich mit Transparenz. Weiter erodieren unglaubwürdig und unbegründete Behauptungen, dass Aufsicht nur nationale Sicherheit gefährdet die amerikanische Öffentlichkeit Vertrauen in die Intelligenzgemeinschaft. Wir hoffen, dass die NSA einen besseren Weg zu wählen: entsprechend Informationen zu deklassifizieren, arbeiten mit Unternehmen, den Umfang ihrer Überwachung Programme offen zu legen und verdienen das Vertrauen der amerikanischen Öffentlichkeit. Wir bitten Sie, gemeinsam mit uns die harten Fragen.
- 1. beachten Sie, dass die folgenden Fragen über die Quellen für die Sammlung von Informationen und der Umfang dieser Auflistung, aber sind nicht zentriert um "Prisma" selbst die Wortspiele zu vermeiden, die Regierung und Intelligenz Agentur Beamte gespielt haben, um zu verhindern, dass inhaltliche Fragen der Überwachung stattfindet.
- 2. FISA 702 Bestellungen beziehen sich auf 50 USC § 1881a.
Von der Electronic Frontier Foundation unter Creative Commons veröffentlicht