| 10 августа 2021 г. — 7:08 PT
Хотя большинство опасений по поводу злоупотребления правительствами сканированием CSAM для обнаружения таких вещей, как политическая оппозиция, были связаны с иностранными правительствами, некоторые полагают, что это может стать проблемой и в США.
Мэтт Тейт, главный операционный директор компании безопасности Corellium и бывший аналитик британского аналога АНБ GCHQ, говорит, что Четвертая поправка означает, что этого не может произойти в США…
Криптограф Университета Джонса Хопкинса Мэттью Грин выделил следующий сценарий в отношении добавления материалов, не являющихся детской порнографией, в базу данных:
1. Министерство юстиции США обращается в NCMEC с просьбой добавить фотографии, не являющиеся CSAM, в базу данных хэшей.
2. Когда эти фотографии будут найдены у пользователей Apple, Министерство юстиции отправляет запрос на сохранение данных в Apple для получения идентификаторов клиентов.
Тейт говорит в цепочке твитов, что база данных составляется Национальным центром по борьбе с пропавшими без вести и эксплуатируемыми детьми (NCMEC), который строго говоря не является правительственным агентством – это квазиавтономный орган, хотя и в основном финансируется Министерством юстиции.
Такая независимость означает, что Министерство юстиции не может просто так заставить NCMEC что-либо делать. Оно, возможно, могло бы попытаться принудить их через судебный приказ или тихо попросить сделать что-то. Но оно не может просто заставить их делать что-то напрямую.
Давайте рассмотрим их по очереди. Что, если Министерство юстиции попросит любезно? В этом случае у NCMEC есть все стимулы сказать «нет». Сканирование CSAM технологическими компаниями в США происходит добровольно. Существует юридическое обязательство сообщать о CSAM, но нет юридического обязательства искать его.
Предположим, Министерство юстиции просит NCMEC добавить хэш, скажем, фотографии секретного документа, и гипотетически NCMEC говорит «да», а Apple внедряет его в свой умный алгоритм сканирования CSAM. Давайте посмотрим, что произойдет.
В этом сценарии, возможно, кто-то имеет эту фотографию на своем телефоне и загрузил ее в iCloud, поэтому она была отсканирована и вызвала срабатывание. Во-первых, по протоколу Apple, одного срабатывания недостаточно для идентификации того, что у человека есть документ, пока не будет достигнут предварительно заданный порог.
Но предположим, что запрос касался множества фотографий, или человек с фотографией также имеет CSAM или что-то подобное, и порог достигнут. Что тогда?
Ну, в этом случае Apple получает уведомление, и Apple проверяет изображения в вопросе. Но подождите! Изображения не являются CSAM. Это означает две вещи. Во-первых: Apple не обязана сообщать об этом в NCMEC. И во-вторых, Apple теперь знает, что NCMEC работает недобросовестно.
Как только Apple поймет, что NCMEC работает недобросовестно, она откажется от базы данных NCMEC. Помните: они юридически обязаны сообщать о CSAM, но не юридически обязаны искать его.
Так что, благодаря тому, что Министерство юстиции попросило, а NCMEC сказало «да», Apple полностью отказалась от сканирования CSAM, и ни NCMEC, ни Министерство юстиции на самом деле не получили срабатывания. Более того, NCMEC теперь разрушено: никто в сфере технологий не будет использовать их базу данных. Так что, если коротко, Министерство юстиции не может попросить NCMEC вежливо и получить согласие.
Но, говорит он, давайте посмотрим, что произойдет, если правительство принудит NCMEC добавить отпечаток пальца в базу данных. Это, говорит он, предотвратит уголовное преследование, поскольку это будет противоречить Четвертой поправке, которая защищает от незаконного обыска и изъятия.
Когда NCMEC получает срабатывание CSAM – то, что они называют «кибер-сообщением» – они сообщают об этом соответствующим правоохранительным органам. Правоохранительные органы затем обычно получают судебный приказ на получение записей, а затем работают над получением полного ордера на обыск для сбора доказательств против лица, торгующего CSAM.
Чтобы посадить этого человека в тюрьму, им в конечном итоге потребуется предъявить доказательства, а это означает, что вся цепочка доказательств должна соответствовать 4A. Окончательные доказательства получены из ордера, его вероятная причина из повестки, и так далее, вплоть до самого начала.
Но был ли первоначальный поиск совместим с 4A? Если нет, вся цепочка рушится. Это сложная область, и суды долгое время боролись с ней. Но в целом, общепринятое мнение таково: да, это соответствует 4A, потому что первоначальный поиск CSAM был добровольным со стороны технологической компании.
Но если NCMEC или Apple были * принуждены * провести поиск, то этот поиск не был добровольным со стороны технологической компании, а был «делегированным поиском». И поскольку это делегированный поиск, это поиск по 4A, который требует конкретного ордера (и конкретизация здесь невозможна).
Таким образом, хотя правительство США могло получить таким образом доказательства, оно не могло использовать их для преследования кого-либо.
Конечно, это не означает, что правительство не могло использовать эту информацию другими способами, но тогда вы попадете в совершенно другую юридическую «кроличью нору».
Алекс Стамос из Стэнфорда призвал к более тонкому обсуждению рисков злоупотребления сканированием CSAM, и эта цепочка твитов, безусловно, соответствует этому.