美国国土安全部关键基础设施安全局(CISA)前任局长Chris Krebs认为Tiktok剥离法案存在严重漏洞,美国真正需要的是一部全国性的联邦隐私法。
3月13日美国众议院以压倒性票数通过针对TikTok的《保护美国人免受外国对手控制的应用程序法案》(H.R.7521,以下简称法案),包括华盛顿特区战略与国际研究中心战略技术项目主任James A. Lewis、电子前沿基金会隐私专家Hudson Hongo、美国国土安全部关键基础设施安全局(CISA)前任局长Chris Krebs以及密码学专家Bruce Schneier在内的多位安全专家从网络安全、技术政策和隐私法规的专业角度对该法案表达了自己的观点,整理如下:
“不看好参议院会(原封不动地)通过法案”
在接受Venturebeats采访时,Krebs并不看好参议院会(原封不动)通过TikTok剥离法案。“参议院通常不喜欢被强行灌输众议院文件。他们喜欢做自己的事,毫无疑问他们会做出调整。首先,就像任何立法一样,该法案并不完美。它可能存在一些缺陷,但可以改进,而且参议院喜欢对事情发表自己的看法。我怀疑他们会澄清一些语言。”
华盛顿特区战略与国际研究中心战略技术项目主任James A. Lewis认为,禁止TikTok面临着可能无法克服的重大障碍以及与受第一修正案保护的言论自由的关系。伯曼修正案还限制了使用制裁法限制言论的能力。由于这些障碍,之前禁止TikTok的努力都失败了,新的法案也将面临漫长的诉讼,并且很可能会失败。
法案可能会波及微信和Telegram
Krebs认为,Tiktok剥离法案常被忽视的一点是:“它不仅仅涉及字节跳动和TikTok。它的范围要广泛得多,我认为可以单独解决微信和许多其他来自中国和俄罗斯的应用程序的问题,Telegram也有可能被卷入其中。”
电子前沿基金会EFF表达了同样的观点:毫无疑问,尽管这项法案是专门针对TikTok启动的,但它的影响范围可能很广。腾讯的微信应用程序是全球最大的独立通讯平台之一,拥有超过十亿用户,是华侨的重要工具,很可能是下一个目标。
以国家安全的名义
美国众议院通过的TikTok剥离法案主打”国家安全牌”,列出了三个潜在的“风险”:
TikTok是中国政府影响力行动的一部分,旨在左右美国政治。(内容安全)
TikTok可以用来收集美国人的个人数据。(隐私安全)
自愿将TikTok下载到手机或设备上,会让中国注入恶意软件。(网络安全)
前两个风险目前没有任何直接证据,根据The Intercept的报道,在向国会作证时,美国联邦调查局(FBI)、中央情报局(CIA)领导人和国家情报总监“实际上一直小心翼翼地将TikTok构成的国家安全威胁定性为纯粹的假设。”
事实上,不久前美国商务部针对中国联网汽车的“国家安全风险”调查,也完全是基于空穴来风的指控,美国商务部长吉娜雷蒙多只是含混地表示:联网汽车就像“轮子上的智能手机,对国家安全构成严重威胁”。(颇具讽刺意味的是,中国是苹果手机最大的市场之一)
华盛顿特区战略与国际研究中心战略技术项目主任James A. Lewis指出,只有第三点(网络安全)是真正“严肃的”风险,具体来说是安装和更新TikTok应用的风险。本质上,TikTok用户自愿将一款他们几乎没有了解的中国软件下载到自己的设备上。即使该应用通过了应用商店的审核 (欧盟的《数字市场法案》反而削弱了这种保护),也不能保证未来的更新和补丁不会包含恶意软件。
Lewis认为最重要的是通过第三方审查对TikTok软件和更新进行外部监督。一种方法是建立一个由具有安全许可的美国公民组成的监督委员会(CFIUS的常见做法)。监控数据流以及新实体可以存储个人数据的位置、谁可以访问这些数据以及如何使用这些数据的条件可以成为CFIUS协议的一部分。CFIUS可能要求提高新实体运营的透明度以降低风险。这些措施与TikTok 在“德克萨斯计划”中提出的措施类似,但德克萨斯计划存在致命缺陷,即由TikTok自行监管,而CFIUS可能要求外部第三方进行监督和合规。
Lewis指出,影响力行动(内容安全)通常被高估了。民意调查数据显示,如果美国民主真的处于危险之中,那么外部因素的影响微乎其微,国内问题才是症结所在。这种右翼民粹主义浪潮席卷全球多个民主国家,从印度到荷兰再到美国,是对perceived injustices(感知到的不公正)的反应。一些分析人士将此归咎于镀金时代的到来,贫富差距加剧引发了严重的政治紧张。
在接受The Intercept采访时,计算机安全专家Bruce Schneier指出:“TikTok的问题与其所有权无关,所有社交媒体公司都是如此。2016年俄罗斯通过Facebook做到了这一点,他们不必拥有Facebook——他们只是像其他人一样购买广告。”
美国需要的不是干掉TikTok,而是全国性的隐私法
Krebs认为Tiktok剥离法案存在一个严重漏洞(误导性):忽视了美国需要一部全国性的联邦隐私法。
Lewis认为:美国国会不应通过这项范围过大且误导性的法案。真正要做的是阻止任何公司(无论其总部位于何处)收集大量详细美国公民个人数据,然后将这些数据提供给数据经纪人、美国政府机构,甚至外国对手,中国也包括在内。国会应该通过制定全面的消费者数据隐私立法来解决失控的隐私侵犯的真正问题。
电子前线基金会(EFF)的Hudson Hongo认为,法案声称的隐私与国家安全理由并不成立:虽然有人认为,TikTok与其他社交媒体公司的不同之处在于外国政府可以访问其数据。在这方面,TikTok也并不特别。中国并不是唯一要求国内公司根据要求向其提供信息的国家。
在美国,正在更新的《外国情报监视法案》修正案第702条授权大规模收集通信数据。仅在2021年,FBI通过第702条进行了多达340万次无证搜查。美国政府还可以通过国家安全信函向在线提供商索取用户信息,这既可以要求提供商交出用户信息,又可以禁止他们谈论这些信息。虽然美国无法控制其他国家的行为,但如果这是立法者真诚关心的问题,他们可以从在国内解决这个问题开始。
Lewis认为更广泛的解决方案除了通过国家隐私法,还应包括扩大软件供应网络的透明度以及评估限制使用中国技术带来的风险,并非所有中国技术都会产生风险,且真正的风险是可以减轻的,包括那些归因于TikTok的风险。
美国的数字经济正被GDPR“牵着鼻子走”
Krebs认为,在全球数字经济秩序和隐私法规方面,美国已经落后于全球主要经济体并陷入被动。美国的隐私立法是逐个州进行的,加利福尼亚州、伊利诺伊州、纽约州和其他州确实制定了各个州的隐私法,但欧盟的步伐显然更快,《通用数据保护条例》(GDPR)这已经开始确定基调和节奏,现在欧盟正在转向GDPR 2。
Krebs指出:事实上,在全球范围内进行交易的每个人(至少在欧盟)都开始根据GDPR的规定制定自己的内部策略,这同样也正在美国发生,我认为这不是我们想要的方法。这不是国会所希望的做法。我知道,人们对欧洲默认制定美国科技政策有很多抱怨。所以我认为这是我对TikTok发生的任何事情的第一反应。我们必须加强行动,否则欧洲人将继续决定我们企业的运营方式。
参考链接:
https://www.csis.org/analysis/tiktok-and-national-security
https://venturebeat.com/security/security-expert-chris-krebs-on-tiktok-ai-and-the-key-to-survival/
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。