Il disegno di legge sul mandato del filtro è un disastro per la privacy e la sicurezza

Tra i suoi molti altri problemi, il Rafforzamento delle misure per l'avanzamento dei diritti delle tecnologie Copyright Act imporrebbe una serie di tecnologie di filtraggio che i fornitori di servizi online devono "accogliere". E quel mandato è ampio, così mal concepito e così tecnicamente fuorviante che creerà inevitabilmente seri rischi per la privacy e la sicurezza.

Dal 1998, il Digital Millennium Copyright Act (DMCA) richiede ai servizi di accogliere "misure tecniche standard" per ridurre le violazioni. La definizione del DMCA di misure tecniche standard (STM) richiede che siano sviluppate da un ampio consenso in un processo aperto, equo, multisettoriale e forse soprattutto volontario . In altre parole, la legge attuale riflette la consapevolezza che la maggior parte delle tecnologie non dovrebbe essere adottata come standard perché gli standard interessano molte, molte parti interessate che meritano tutte voce in capitolo.

Ma il disegno di legge sul mandato del filtro è chiaramente progettato per minare le disposizioni misurate del DMCA. Modifica la definizione di misure tecniche standard per includere anche le tecnologie supportate solo da un numero limitato di titolari dei diritti e società tecnologiche.

Aggiunge inoltre una nuova categoria di filtri denominati "misure tecniche designate" (DTM), che devono essere "accomodati" dai servizi online. "Accomodare" è ampiamente definito come "adattare, implementare, integrare, adattare e conformarsi" alla misura tecnica designata. In caso contrario, potrebbe significare perdere i porti sicuri del DMCA e quindi rischiare di schiacciare la responsabilità per le azioni dei tuoi utenti.

Il Copyright Office sarebbe incaricato di designare tali misure. Chiunque può presentare domanda per tale designazione, comprese le aziende che producono queste tecnologie e vogliono garantire loro un mercato.

L'ampiezza delle potenziali petizioni eserciterebbe molta pressione sul Copyright Office, che esiste per registrare i diritti d'autore, non per valutare la tecnologia. Eserciterebbe una pressione ancora maggiore sulle persone che hanno a cuore i diritti degli utenti di Internet – creatori indipendenti, tecnologi e società civile – affinché si oppongano alle petizioni e presentino prove dei pericoli che produrrebbero. Questi pericoli sono fin troppo probabili, dato il numero di tecnologie che le nuove regole richiederebbero ai servizi di "accogliere".

Richiedere questo "alloggio" metterebbe in pericolo la sicurezza

Il mandato filtro consente al Copyright Office di imporre "accomodazione" sia per tecnologie specifiche che per categorie generali di tecnologie. Ciò apre una serie di problemi di sicurezza.

C'è una ragione per cui la standardizzazione è un processo lungo e arduo, ed è trovare tutti i potenziali problemi prima di richiederla su tutta la linea. Richiedere che una tecnologia non provata e non verificata sia distribuita universalmente sarebbe un disastro per la sicurezza.

Prendi in considerazione un software sviluppato per scansionare i contenuti caricati alla ricerca di opere protette da copyright. Anche lasciando da parte le questioni di fair use, il testo del disegno di legge non pone vincoli all'esperienza di sicurezza dello sviluppatore. Nelle grandi aziende, il software di terze parti viene in genere controllato a fondo da un team di sicurezza interno prima di essere integrato nello stack software. Una legge, specialmente quella che richiede solo l'approvazione minima del Copyright Office, non dovrebbe essere in grado di aggirare questi controlli, e certamente non dovrebbe richiederli alle aziende che non hanno le risorse per farli da soli. Un software mal implementato lascia potenziali vulnerabilità di sicurezza che potrebbero essere sfruttate da hacker malintenzionati per esfiltrare le informazioni personali degli utenti di un servizio.

La sicurezza è già abbastanza difficile così com'è. Gli errori che portano a violazioni del database si verificano continuamente anche con i team che fanno del loro meglio per la sicurezza; chi non ha rapporti di credito gratuiti da una violazione a questo punto? Con questo disegno di legge, quale incentivo ha un'azienda che produce tecnologia di corrispondenza dei contenuti per investire tempo e denaro nella creazione di software sicuro? Il Copyright Office non verificherà gli overflow del buffer. E cosa succede quando viene rilevata una vulnerabilità critica dopo che il software è stato approvato e ampiamente implementato? Le aziende dovranno scegliere tra rinunciare alla loro protezione DMCA e potenzialmente essere citate in giudizio disattivandola o lasciando che i loro utenti siano interessati dal bug. Nessuno vince in quello scenario e gli utenti perdono di più.

"Alloggio" danneggerebbe anche la privacy

Preoccupazioni simili sorgono sulla privacy. È già abbastanza grave che potenziali bug possano essere sfruttati per divulgare i dati degli utenti, ma questo disegno di legge lascia anche la porta spalancata per la raccolta diretta dei dati degli utenti. Questo perché un DTM potrebbe includere un programma che identifica una potenziale violazione raccogliendo dati personali mentre viene utilizzato un servizio e quindi invia tali dati direttamente a una parte esterna per la revisione. La portata di tale raccolta di dati farebbe saltare in aria lo scandalo Cambridge Analytica, poiché sarebbe richiesto a tutti i servizi, per tutti i loro utenti. È facile immaginare come tale funzionalità possa essere un sogno per gli esecutori del copyright (un modo diretto per rintracciare e contattare i trasgressori, nessuna azione richiesta dal fornitore del servizio) e un incubo per la privacy degli utenti.

Anche la tecnologia che raccoglie informazioni solo quando rileva l'uso di supporti protetti da copyright su un servizio sarebbe disastrosa per la privacy. Il disegno di legge non pone restrizioni sui canali di condivisione dei contenuti che rientrerebbero in queste disposizioni. I contenuti visibili pubblicamente sono una cosa, ma i fornitori potrebbero essere costretti ad applicare la tecnologia di scansione a tutti i contenuti che attraversano una piattaforma, anche se inviati solo in un messaggio privato. Peggio ancora, questo disegno di legge potrebbe essere utilizzato per richiedere alle piattaforme di scansionare il contenuto dei messaggi crittografati tra utenti, il che infrangerebbe fondamentalmente la promessa della crittografia end-to-end . Se qualcuno invia un messaggio a un amico, ma il software di scansione lo comunica al servizio o anche direttamente a una società di media, semplicemente non si tratta di crittografia end-to-end . Anche nel migliore dei casi, supponendo che il software funzioni perfettamente come previsto, non è possibile richiederlo per tutte le attività di un servizio e consentire anche la crittografia end-to-end. Se le informazioni sul contenuto di un messaggio possono essere trapelate, quel messaggio non può essere considerato crittografato. In pratica, ciò accadrebbe regolarmente anche per i contenuti di fair use, poiché un essere umano dovrebbe probabilmente esaminarli.

Il Copyright Office dovrebbe "considerare" l'effetto che una tecnologia avrebbe sulla privacy e sulla sicurezza dei dati, ma non deve farne una priorità rispetto alla moltitudine di fattori che deve anche "considerare". Inoltre, la valutazione dei problemi di privacy e sicurezza richiede un livello di competenza tecnologica che esula dall'ambito attuale dell'ufficio. Se un'azienda afferma che la sua tecnologia è sicura e non c'è un tecnico indipendente che si opponga, il Copyright Office potrebbe semplicemente accettare tale dichiarazione. Un'azienda ha interesse a definire "sicuro" e "privato" in modo da poter affermare che il proprio prodotto soddisfa; un utente o un esperto di sicurezza potrebbe definirlo in modo molto diverso. Inoltre, le aziende non hanno interesse a dire esattamente come la loro tecnologia fa ciò che afferma, rendendo ancora più difficile valutare i problemi di sicurezza e privacy che potrebbe sollevare. Ancora una volta, l'onere di osservare i procedimenti del Copyright Office e fornire informazioni per conto di milioni di persone che utilizzano Internet spetta a esperti esterni.

Questo disegno di legge è un disastro in preparazione. In definitiva, richiederebbe che qualsiasi servizio online, pena il debito di centinaia di migliaia di dollari ai principali titolari dei diritti, metta in pericolo la privacy e la sicurezza dei propri utenti. Abbiamo tutti il ​​diritto alla libertà di espressione e non dovremmo sacrificare la privacy e la sicurezza quando ci affidiamo a una piattaforma per esercitare tale diritto online .