1 คะแนน โดย GN⁺ 2023-10-23 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในขณะที่สหรัฐฯ ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลระดับรัฐบาลกลางแบบครอบคลุม ข้อมูลส่วนบุคคลที่เก็บจากแอปบนมือถือกำลังไหลผ่าน อุตสาหกรรมโฆษณาแบบเจาะกลุ่มเป้าหมาย ไปเป็นเครื่องมือสอดส่องของรัฐบาล
  • รัฐบาลสามารถซื้อและเข้าถึงข้อมูลผู้ใช้ที่โดยปกติต้องมีคำสั่งศาลหรือหมายค้นจาก data broker ได้ ทำให้เส้นแบ่งระหว่างการสอดส่องโดยบริษัทกับการสอดส่องโดยอำนาจรัฐพร่าเลือน
  • การสืบสวนของ Wall Street Journal พบว่า Near Intelligence ซื้อ ข้อมูลจากอุปกรณ์กว่า 1 พันล้านเครื่อง จาก data broker สำหรับโฆษณา และทำสัญญาให้ข้อมูลถูกส่งต่อไปยังหน่วยงานทหารและข่าวกรองของรัฐบาลกลางผ่านผู้รับเหมาของรัฐบาล
  • ข้อมูลตำแหน่งสามารถใช้ติดตามผู้เข้าร่วมการประท้วง ผู้ที่ไปเยือนสถานที่เฉพาะ ตลอดจนการติดต่อระหว่างนักข่าวกับผู้แจ้งเบาะแส จึงเพิ่มความเสี่ยงไม่เพียงต่อการละเมิดความเป็นส่วนตัว แต่ยังรวมถึงการตอบโต้และการระบุผิดพลาดด้วย
  • ทางออกคือการออก Fourth Amendment is Not For Sale Act ซึ่งห้ามรัฐบาลซื้อข้อมูลที่ไม่สามารถได้มาโดยไม่มีหมายค้น และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคแบบครอบคลุม

เส้นทางที่ข้อมูลโฆษณากลายเป็นการสอดส่องของรัฐบาล

  • สหรัฐฯ ไม่มีกฎหมาย คุ้มครองข้อมูลส่วนบุคคล ระดับรัฐบาลกลางแบบครอบคลุม และอุตสาหกรรมโฆษณาแบบเจาะกลุ่มเป้าหมายทำงานอยู่บนฐานข้อมูลส่วนบุคคลที่เก็บจากแอปบนมือถือ
  • แกนสำคัญที่ทำให้เส้นแบ่งระหว่างการสอดส่องของบริษัทกับการสอดส่องของรัฐบาลอ่อนลง อยู่ที่โครงสร้างการซื้อข้อมูล
    • หากข้อมูลไม่ได้ถูกเข้ารหัสอย่างสมบูรณ์ หรือไม่ได้ถูกผู้ใช้จัดเก็บไว้ในเครื่องโดยตรง รัฐบาลก็สามารถขอรับข้อมูลจากบริษัทสื่อสารและคอมพิวติ้งได้
    • ตามธรรมเนียมแล้วต้องมีคำสั่งศาล แต่ปัจจุบันมีกรณีเพิ่มขึ้นที่รัฐบาลซื้อข้อมูลโดยตรงจาก broker ที่ซื้อข้อมูลมาจากอุตสาหกรรมเทคโนโลยีโฆษณา

กรณีของ Near Intelligence

  • การสืบสวนของ Wall Street Journal เปิดเผยโครงสร้างการซื้อขายข้อมูลของบริษัทชื่อ Near Intelligence
  • Near Intelligence ซื้อข้อมูลบุคคลและอุปกรณ์จาก broker ซึ่งโดยทั่วไปมักถูกขายให้ผู้ลงโฆษณา
    • บริษัทระบุว่าได้ซื้อข้อมูลเกี่ยวกับ อุปกรณ์กว่า 1 พันล้านเครื่อง
    • บริษัททำสัญญากับผู้รับเหมาของรัฐบาล และข้อมูลนี้ถูกส่งต่อไปยังหน่วยงานทหารและข่าวกรองของรัฐบาลกลาง
  • โดยทั่วไป รัฐบาลควรต้องแสดงเหตุอันควรและขอหมายค้นก่อนเข้าถึง ข้อมูลตำแหน่ง แต่ก็สามารถซื้อสิทธิ์เข้าถึงด้วยวิธีเช่นนี้ได้
  • นักพัฒนาแอปสมาร์ทโฟนจำนวนมากต้องการขายข้อมูลผู้ใช้ให้กับผู้เสนอราคาสูงสุดเพื่อหารายได้ และผู้ซื้ออาจรวมถึงรัฐบาลด้วย

ความเสียหายที่การติดตามตำแหน่งโดยไม่มีหมายค้นอาจก่อให้เกิด

  • ตำรวจสามารถใช้เครื่องมือสอดส่องเหล่านี้ระบุอุปกรณ์ของผู้ที่เข้าร่วมการประท้วง แล้วติดตามไปถึงบ้านที่พวกเขานอนอยู่ เพื่อทำให้กลายเป็นเป้าหมายของการสอดส่องเพิ่มเติม การคุกคาม หรือการตอบโต้
  • ยังสามารถติดตามเฉพาะอุปกรณ์ที่เคยอยู่ภายในสถานที่ใดสถานที่หนึ่งได้ด้วย
    • สำนักงานทนายความด้านคนเข้าเมือง
    • คลินิกอนามัยการเจริญพันธุ์
    • สถานพยาบาลด้านสุขภาพจิต
  • สถานการณ์ที่นักข่าวพบกับแหล่งข่าวผู้แจ้งเบาะแสอย่างลับๆ ก็อาจถูกสอดส่องด้วยเครื่องมือเหล่านี้ได้
  • ยังมีกรณีที่เจ้าหน้าที่บังคับใช้กฎหมาย ใช้เทคโนโลยีสอดส่องในทางที่ผิด ด้วย เหตุผลมุ่งร้ายส่วนตัว

พื้นที่ที่ถูกบังคับใช้กฎหมายมากเกินไปและความเสี่ยงจากการระบุผิด

  • การสอดส่องเช่นนี้ทำให้คนที่อาศัยและทำงานในพื้นที่ที่มีการบังคับใช้กฎหมายหนาแน่น เสี่ยงถูกตำรวจสงสัยได้ง่ายขึ้น
  • แม้เพียงอยู่ข้างร้านพิซซ่าที่เกิดเหตุปล้น หรือพักดื่มกาแฟใกล้กราฟฟิตี ก็อาจถูกจัดว่าเป็นอุปกรณ์ที่อยู่ใกล้ที่เกิดเหตุอาชญากรรมและกลายเป็นเป้าหมายของการสอดส่องเพิ่มเติมได้

Fog Data Science และข้อเรียกร้องด้านกฎหมาย

  • กรณีของ Near Intelligence เกิดขึ้นหนึ่งปีหลังจาก EFF สืบสวน Fog Data Science
    • Fog Data Science เป็นบริษัทที่ให้หน่วยงานบังคับใช้กฎหมายระดับรัฐและท้องถิ่นเข้าถึงข้อมูลตำแหน่งที่แม่นยำและต่อเนื่องของชาวอเมริกันหลายร้อยล้านคน
    • ข้อมูลนี้ถูกเก็บจากแอปสมาร์ทโฟน แล้วถูกรวบรวมโดย data broker ที่ขาดความโปร่งใส
    • การเข้าถึงทำได้ง่าย และมักเกิดขึ้นโดยไม่มีหมายค้น
  • ประเด็นหลักที่สภาคองเกรสต้องปิดคือ ช่องโหว่ของ data broker
    • Fourth Amendment is Not For Sale Act เป็นร่างกฎหมายจากทั้งสองพรรคที่ห้ามรัฐบาลสหรัฐฯ ซื้อข้อมูลที่โดยปกติต้องมีหมายค้น
    • Foreign Intelligence Surveillance Act Section 702 มีกำหนดหมดอายุในเดือนธันวาคม 2023 และเป็นโอกาสที่จะใส่ข้อจำกัดเกี่ยวกับ data broker ลงในร่างกฎหมายต่ออายุ
  • สภาคองเกรสและรัฐบาลมลรัฐควรออก กฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค แบบครอบคลุมด้วย
    • หากบริษัทเก็บข้อมูลผู้ใช้น้อยลง ข้อมูลที่รัฐบาลสามารถซื้อจากบริษัทเหล่านั้นก็จะลดลงด้วย
  • จำเป็นต้องมีแรงกดดันเชิงสถาบันเพื่อไม่ให้รัฐบาลเลี่ยงกระบวนการขอหมายค้นด้วยการซื้อข้อมูลที่โดยปกติต้องมีหมายค้น

1 ความคิดเห็น

 
GN⁺ 2023-10-23
ความคิดเห็นใน Hacker News
  • เห็นด้วยกับประเด็นปัญหาของบทความ แต่คิดว่าควรมี แรงกดดันไม่ให้ผู้ให้บริการมือถือขายข้อมูลตำแหน่ง ควบคู่ไปด้วยหรือเปล่า
    การชี้ไปที่นักพัฒนาแอปสมาร์ตโฟนก็มีคุณค่า แต่ ISP สามารถรู้ตำแหน่งได้แม้ไม่มีสมาร์ตโฟน และในทางกฎหมายก็ต้องสามารถรายงานข้อมูลนี้ได้จริง (https://en.wikipedia.org/wiki/Communications_Assistance_for_... เป็นต้น)
    สงสัยว่า EFF มองว่าความพยายามจะสกัดอย่างหลังด้วยกฎหมายกลายเป็นเรื่องไร้ความหมายไปแล้วหรือไม่

    • ไม่ใช่เลย EFF ก็ทำงานดี ๆ ในทิศทางนั้นอยู่มาก
      https://www.eff.org/issues/cell-tracking
    • ใช่ ควรมีกฎที่ ห้ามการเก็บรวบรวม ข้อมูลนั้นตั้งแต่ต้น
      และควรห้ามการล็อกอุปกรณ์ที่ผู้คน “เป็นเจ้าของ” จนใช้มาตรการรับมือไม่ได้ด้วย
      การใช้ข้อมูลนี้โดยภาคเอกชนน่ากังวลพอ ๆ กับการใช้โดยรัฐบาล หรืออาจมากกว่าด้วยซ้ำ อย่างน้อยรัฐก็มักยังต้องรับผิดชอบตามระบอบประชาธิปไตย
    • เคยสร้างหนึ่งใน ระบบรวบรวมตำแหน่ง รุ่นแรก ๆ อาจจะเป็นระบบแรกเลยก็ได้ แต่ไม่กล้ายืนยัน
      ตอนนั้นบริษัทของผมมีความสัมพันธ์ใกล้ชิดกับผู้ให้บริการมือถือในสหรัฐฯ และส่วนใหญ่ทำแอป white-label ในชื่อความปลอดภัยของครอบครัวให้พวกเขา แต่ผู้ใช้จำนวนมากสนใจตำแหน่งของคู่สมรสหรือคนรักมากกว่าลูก
      ช่วงเวลาใกล้ ๆ กัน OAuth 1a ออกมา และผมคิดว่าน่าจะใช้ความสัมพันธ์นี้สร้างแพลตฟอร์มขายตำแหน่งให้กับนักพัฒนาแอปบนพื้นฐานของการยินยอมได้ พร้อมตั้งใจจะใส่ฟีเจอร์คุ้มครองความเป็นส่วนตัวไว้มากมาย
      สุดท้ายมีนักพัฒนาแอปที่ประสบความสำเร็จบ้างเพียงรายเดียว และเมื่อบริษัท aggregator ที่ใส่ใจความเป็นส่วนตัวน้อยกว่าไปจับมือกับนักพัฒนาแอปรุ่นถัดไป อนาคตของผลิตภัณฑ์ก็หายไป ความทรงจำนั้นก็น่าสนุกดี
    • ประโยคที่ว่า หลัง CALEA ผ่านแล้วมีการขยายไปถึง ทราฟฟิก VoIP และอินเทอร์เน็ตบรอดแบนด์ทั้งหมด อย่างมาก ฟังดูเหมือนหน่วยงานบังคับใช้กฎหมายสามารถดักฟังสาย VoIP ใดก็ได้อย่างเสรี อยากรู้ว่าจริง ๆ แล้วทำได้อย่างไร
      เท่าที่เข้าใจ ปกติการโทร VoIP ใช้ SIP เพื่อเรียกอีกฝ่าย (มีความปลอดภัยบางส่วน) ใช้ ICE/STUN/TURN เพื่อให้ทั้งสองฝั่งหาเส้นทางที่ตรงที่สุด จากนั้นจึงส่งสตรีมเสียงจริงให้กัน
      ไคลเอนต์ไม่ได้เข้ารหัสสตรีมเสียงเลยหรือ? หรือผู้ให้บริการดักทุกอย่างหลัง SIP hop แรกแบบ man-in-the-middle? แบบนั้นดูไม่เข้ากับวิธีเฝ้าระวังแบบอ่านอย่างเดียวที่ “ส่งสำเนาข้อมูลเครือข่ายจาก hardware tap หรือ mirror port ของสวิตช์/เราเตอร์ไปยัง IP probe เฉพาะทาง”
    • ยังต้องมีการให้ความรู้ที่ดีกว่านี้เกี่ยวกับความเสี่ยงของการพก ตัวรับ GPS ที่เปิดอยู่ตลอดเวลาและส่งตำแหน่งให้บุคคลที่สามอย่างต่อเนื่อง
      อาจฟังเหมือนโทษเหยื่อก็ได้ แต่ก็ยังมีทางเลือกที่จะปิดโทรศัพท์
  • แนวคิดที่เรียกว่า AdInt ก็น่าดูเช่นกัน มีการกล่าวถึงใน https://www.theregister.com/2023/09/16/insanet_spyware/ และวิธีการทำงานมีรายละเอียดมากกว่าในรายงานสืบสวนต้นฉบับของหนังสือพิมพ์อิสราเอล Haaretz ที่ https://archive.ph/7dbaV
    เคยมีคนโพสต์มาก่อน แต่มีคอมเมนต์แค่ 2 รายการ: https://news.ycombinator.com/item?id=37542097

  • คิดว่าเรื่องนี้จะจบแย่กว่าที่ผู้คนคิดมาก
    การที่บริษัทสมคบกับรัฐบาลไม่ใช่ นิยามของฟาสซิสม์ หรอกหรือ? ถ้าใช่ สิ่งที่เราเห็นตอนนี้ก็เป็นแบบนั้นไม่ใช่หรือ

    • ถ้าพูดตามนิยามทั่วไปคงเรียกว่าฟาสซิสม์ได้ยาก แต่สัญชาตญาณที่ว่าเรื่องทั้งหมดนี้น่าจะจบไม่สวยมีโอกาสสูงว่าจะถูก
      หลังการเปิดโปงของ Snowden เราได้รู้ว่าหลายประเทศได้สะสมช่องโหว่และสร้าง ช่องว่างอำนาจดิจิทัล ที่นำไปใช้ได้แม้กับเป้าหมายเล็กน้อย
      NSO Group แสดงให้เห็นว่าแทบจะเจาะโทรศัพท์เครื่องใดก็ได้อย่างเงียบ ๆ โดยไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติม และกรณีสืบสวนคดีฆาตกรรม Canada/India ล่าสุดก็ชี้ว่าช่องทางที่เคยคิดว่าปลอดภัย สุดท้ายก็อาจถูกดักได้
      ทุกวันนี้ยากจะจินตนาการว่า China หรือ NSA ทำได้จริงถึงขั้นไหน เรายังหลีกเลี่ยงมหันตภัยครั้งใหญ่ได้ แต่ยิ่งรู้สึกมากขึ้นว่าเส้นของการสอดแนมและการควบคุมอินเทอร์เน็ตได้ถูกขีดไว้แล้ว ถึงอย่างนั้นถ้ามีใครสามารถปกป้องการตีความที่มองโลกในแง่ดีกว่านี้ได้อย่างหนักแน่น ก็อยากฟัง
    • เพิ่งเคยได้ยินนิยามที่ว่า “ถ้ารัฐบาลกับบริษัทสมคบกันก็คือฟาสซิสม์”
      โดยทั่วไปฟาสซิสม์ถูกนิยามว่าเป็นชาตินิยมแบบอำนาจนิยม ผู้นำเผด็จการแบบรวมศูนย์ ลัทธิทหาร การปราบปรามฝ่ายตรงข้ามด้วยกำลัง การทำให้ผลประโยชน์ส่วนบุคคลอยู่ใต้ผลประโยชน์ของชาติหรือเชื้อชาติ และการโฆษณาชวนเชื่อเพื่อคงความเชื่อว่ามีลำดับชั้นทางสังคมตามธรรมชาติ
    • ถ้าเป็นเมื่อก่อนคงเห็นด้วยว่าการใช้อำนาจในทางมิชอบแบบนี้จะจบไม่สวย แต่หลังการเปิดโปงของ Snowden และ Wikileaks เราได้เห็นแล้วว่าสถาบันกระแสหลักของเราสามารถไร้ความหมายและชั่วร้ายได้แค่ไหน แต่ก็แทบไม่มีอะไรเปลี่ยน
      ผลหลักของการเปิดโปงเหล่านั้นคือ การเพิ่มขึ้นของประชานิยม แต่ยกเว้นการเสียทำเนียบขาวไปหนึ่งสมัย ก็ไม่มีผลกระทบที่ยั่งยืน และปฏิกิริยาแบบประชานิยมก็นับว่าถูกปราบลงไปแล้ว
      ถ้าอยากสร้างความเปลี่ยนแปลง อาจต้องเข้าไปแทรกตั้งแต่เนิ่น ๆ ตอนที่ยังมีแต่พวกชายขอบสุดโต่งพูดกัน เช่น เมื่อ 25 ปีก่อน หรืออีก 25 ปีข้างหน้า เพื่อหักกระแสถัดไปไปอีกทิศทางหนึ่ง
    • การสอดแนมเว็บในวันนี้จะดูเรียบง่ายไปเลยเมื่อเทียบกับสิ่งที่จะตามมา
      สิ่งอย่าง Quest 3 และ Apple Vision เป็นแค่จุดเริ่มต้น และเมื่อทุกคนเดินไปมาโดยสวม อุปกรณ์ AR ก็จะไม่มีทางหลุดออกจาก point cloud ได้
      บริษัทเหล่านี้จะมีกราฟแบบเรียลไทม์ว่าใครอยู่ที่ไหนและทำอะไรในพื้นที่สาธารณะ รวมถึงคนที่ไม่เคยใช้บริการใด ๆ ของพวกเขาเลยด้วย น่ากลัว
    • จริง ๆ แล้วค่อนข้างตรงกันข้าม ถ้าเป็นรัฐบาลฟาสซิสต์ ผมคิดว่าฝ่ายบริหารจะควบคุมตลาดและบริษัทต่าง ๆ โดยพฤตินัย
      แต่ความเคลื่อนไหวนี้ดูเหมือนบริษัทต่าง ๆ กำลังพยายามควบคุมและแทนที่รัฐบาลโดยพฤตินัยมากกว่า เป็นแนวคิดบิดเบี้ยวของ ทุนนิยมผู้มีส่วนได้ส่วนเสีย ที่เดินไปถึงบทสรุปตามธรรมชาติของมัน
  • ประเด็นสำคัญคือส่วนที่ว่า “หากข้อมูลไม่ได้ถูกเข้ารหัสอย่างสมบูรณ์ หรือไม่ได้จัดเก็บไว้ในเครื่องโดยตรง รัฐบาลก็สามารถขอข้อมูลนั้นจากผู้ให้บริการโทรคมนาคมหรือบริษัทคอมพิวติ้งได้ ตามธรรมเนียมแล้วต้องมีคำสั่งศาล แต่รัฐบาลยิ่งหันไปซื้อจาก data broker ที่ซื้อข้อมูลมาจากอุตสาหกรรม adtech มากขึ้นเรื่อย ๆ”
    ผมมองว่าอุตสาหกรรม adtech รวมถึง Meta และ Google ด้วย แต่บางคนกลับโมโหและบอกว่า “จริง ๆ แล้ว Meta ไม่ได้ขายข้อมูลของคุณ” หรือ “จริง ๆ แล้ว Google ไม่ได้ขายข้อมูลของคุณ”
    หากบริษัทเหล่านี้มีส่วนร่วมในระบบนิเวศนี้และซื้อข้อมูลจาก data broker พวกเขาก็เลวพอ ๆ กับ data broker นั่นแหละ Meta และ Google ไม่ควรทำเป็นเหมือนนักบุญที่ไม่ควรถูกวิจารณ์ ทั้งที่ทำเงินส่วนใหญ่จากความสัมพันธ์แบบนี้และทำให้การสอดส่องเป็นไปได้

    • ที่น่าหงุดหงิดยิ่งกว่านั้นคือรัฐบาลเองก็ใช้บริการเหล่านี้โดยตรงบนเว็บไซต์ของตัวเอง
      ตัวอย่างเช่น ทั้ง dmv.ca.gov และ irs.gov ใช้ Google ทั่วทั้งเว็บไซต์
      เมื่อรัฐบาลเอา Google มาเป็นทางออกเวลาต้องการสิ่งอย่างการยืนยันตัวตนหรือ CAPTCHA โครงสร้างทั้งหมดก็พังลง
  • เคยได้ยินคำพูดว่า “ประชาธิปไตยที่มีเทคโนโลยีล้ำสมัยนั้นมีเสรีภาพน้อยกว่าเผด็จการที่มีเทคโนโลยีดิบ ๆ”

    • คนที่พูดแบบนั้นโง่เขลา ควรไปอ่านชีวิตในอียิปต์โบราณ, Spain ยุคศาลศาสนา, Nazi Germany, และ GDR ดู
      พวกนั้นล้าหลังทางเทคโนโลยีกว่า Switzerland, New Zealand, Denmark, Estonia, Ireland ในปัจจุบัน แต่ก็ไม่ได้มีเสรีภาพมากกว่า [1]
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • ผมไม่คิดว่าข้อมูลส่วนตัวของผมเป็นสิ่งที่ FTC ควรมา “คุ้มครอง” หรือ “กำกับดูแล”
    กฎหมายเดียวที่มีผลจริงคือการ ห้ามจุดขายข้อมูลผู้ใช้ส่วนบุคคลทั้งหมดโดยสิ้นเชิง หากไม่มีความยินยอมโดยชัดแจ้งจากผู้ใช้ (เช่น การยืนยันคุกกี้) แต่เรื่องแบบนั้นไม่มีทางเกิดขึ้นแน่นอน
    และถ้าเรื่องนี้โจ่งแจ้งขนาดนั้น ผมก็สงสัยเหมือนกันว่าทำไมยังไม่มีการฟ้องร้อง รัฐบาลสหรัฐฯ ถูกผูกมัดด้วยรัฐธรรมนูญและบทแก้ไขเพิ่มเติมรัฐธรรมนูญฉบับที่ 4 อยู่แล้ว ผมไม่คิดว่าเราต้องการกฎหมายห่วย ๆ ที่ร่างโดยคนที่ไม่รู้ด้วยซ้ำว่าตัวเองกำลังทำอะไรอยู่