- ในขณะที่สหรัฐฯ ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลระดับรัฐบาลกลางแบบครอบคลุม ข้อมูลส่วนบุคคลที่เก็บจากแอปบนมือถือกำลังไหลผ่าน อุตสาหกรรมโฆษณาแบบเจาะกลุ่มเป้าหมาย ไปเป็นเครื่องมือสอดส่องของรัฐบาล
- รัฐบาลสามารถซื้อและเข้าถึงข้อมูลผู้ใช้ที่โดยปกติต้องมีคำสั่งศาลหรือหมายค้นจาก data broker ได้ ทำให้เส้นแบ่งระหว่างการสอดส่องโดยบริษัทกับการสอดส่องโดยอำนาจรัฐพร่าเลือน
- การสืบสวนของ Wall Street Journal พบว่า Near Intelligence ซื้อ ข้อมูลจากอุปกรณ์กว่า 1 พันล้านเครื่อง จาก data broker สำหรับโฆษณา และทำสัญญาให้ข้อมูลถูกส่งต่อไปยังหน่วยงานทหารและข่าวกรองของรัฐบาลกลางผ่านผู้รับเหมาของรัฐบาล
- ข้อมูลตำแหน่งสามารถใช้ติดตามผู้เข้าร่วมการประท้วง ผู้ที่ไปเยือนสถานที่เฉพาะ ตลอดจนการติดต่อระหว่างนักข่าวกับผู้แจ้งเบาะแส จึงเพิ่มความเสี่ยงไม่เพียงต่อการละเมิดความเป็นส่วนตัว แต่ยังรวมถึงการตอบโต้และการระบุผิดพลาดด้วย
- ทางออกคือการออก Fourth Amendment is Not For Sale Act ซึ่งห้ามรัฐบาลซื้อข้อมูลที่ไม่สามารถได้มาโดยไม่มีหมายค้น และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคแบบครอบคลุม
เส้นทางที่ข้อมูลโฆษณากลายเป็นการสอดส่องของรัฐบาล
- สหรัฐฯ ไม่มีกฎหมาย คุ้มครองข้อมูลส่วนบุคคล ระดับรัฐบาลกลางแบบครอบคลุม และอุตสาหกรรมโฆษณาแบบเจาะกลุ่มเป้าหมายทำงานอยู่บนฐานข้อมูลส่วนบุคคลที่เก็บจากแอปบนมือถือ
- แกนสำคัญที่ทำให้เส้นแบ่งระหว่างการสอดส่องของบริษัทกับการสอดส่องของรัฐบาลอ่อนลง อยู่ที่โครงสร้างการซื้อข้อมูล
- หากข้อมูลไม่ได้ถูกเข้ารหัสอย่างสมบูรณ์ หรือไม่ได้ถูกผู้ใช้จัดเก็บไว้ในเครื่องโดยตรง รัฐบาลก็สามารถขอรับข้อมูลจากบริษัทสื่อสารและคอมพิวติ้งได้
- ตามธรรมเนียมแล้วต้องมีคำสั่งศาล แต่ปัจจุบันมีกรณีเพิ่มขึ้นที่รัฐบาลซื้อข้อมูลโดยตรงจาก broker ที่ซื้อข้อมูลมาจากอุตสาหกรรมเทคโนโลยีโฆษณา
กรณีของ Near Intelligence
- การสืบสวนของ Wall Street Journal เปิดเผยโครงสร้างการซื้อขายข้อมูลของบริษัทชื่อ Near Intelligence
- Near Intelligence ซื้อข้อมูลบุคคลและอุปกรณ์จาก broker ซึ่งโดยทั่วไปมักถูกขายให้ผู้ลงโฆษณา
- บริษัทระบุว่าได้ซื้อข้อมูลเกี่ยวกับ อุปกรณ์กว่า 1 พันล้านเครื่อง
- บริษัททำสัญญากับผู้รับเหมาของรัฐบาล และข้อมูลนี้ถูกส่งต่อไปยังหน่วยงานทหารและข่าวกรองของรัฐบาลกลาง
- โดยทั่วไป รัฐบาลควรต้องแสดงเหตุอันควรและขอหมายค้นก่อนเข้าถึง ข้อมูลตำแหน่ง แต่ก็สามารถซื้อสิทธิ์เข้าถึงด้วยวิธีเช่นนี้ได้
- นักพัฒนาแอปสมาร์ทโฟนจำนวนมากต้องการขายข้อมูลผู้ใช้ให้กับผู้เสนอราคาสูงสุดเพื่อหารายได้ และผู้ซื้ออาจรวมถึงรัฐบาลด้วย
ความเสียหายที่การติดตามตำแหน่งโดยไม่มีหมายค้นอาจก่อให้เกิด
- ตำรวจสามารถใช้เครื่องมือสอดส่องเหล่านี้ระบุอุปกรณ์ของผู้ที่เข้าร่วมการประท้วง แล้วติดตามไปถึงบ้านที่พวกเขานอนอยู่ เพื่อทำให้กลายเป็นเป้าหมายของการสอดส่องเพิ่มเติม การคุกคาม หรือการตอบโต้
- ยังสามารถติดตามเฉพาะอุปกรณ์ที่เคยอยู่ภายในสถานที่ใดสถานที่หนึ่งได้ด้วย
- สำนักงานทนายความด้านคนเข้าเมือง
- คลินิกอนามัยการเจริญพันธุ์
- สถานพยาบาลด้านสุขภาพจิต
- สถานการณ์ที่นักข่าวพบกับแหล่งข่าวผู้แจ้งเบาะแสอย่างลับๆ ก็อาจถูกสอดส่องด้วยเครื่องมือเหล่านี้ได้
- ยังมีกรณีที่เจ้าหน้าที่บังคับใช้กฎหมาย ใช้เทคโนโลยีสอดส่องในทางที่ผิด ด้วย เหตุผลมุ่งร้ายส่วนตัว
พื้นที่ที่ถูกบังคับใช้กฎหมายมากเกินไปและความเสี่ยงจากการระบุผิด
- การสอดส่องเช่นนี้ทำให้คนที่อาศัยและทำงานในพื้นที่ที่มีการบังคับใช้กฎหมายหนาแน่น เสี่ยงถูกตำรวจสงสัยได้ง่ายขึ้น
- แม้เพียงอยู่ข้างร้านพิซซ่าที่เกิดเหตุปล้น หรือพักดื่มกาแฟใกล้กราฟฟิตี ก็อาจถูกจัดว่าเป็นอุปกรณ์ที่อยู่ใกล้ที่เกิดเหตุอาชญากรรมและกลายเป็นเป้าหมายของการสอดส่องเพิ่มเติมได้
Fog Data Science และข้อเรียกร้องด้านกฎหมาย
- กรณีของ Near Intelligence เกิดขึ้นหนึ่งปีหลังจาก EFF สืบสวน Fog Data Science
- Fog Data Science เป็นบริษัทที่ให้หน่วยงานบังคับใช้กฎหมายระดับรัฐและท้องถิ่นเข้าถึงข้อมูลตำแหน่งที่แม่นยำและต่อเนื่องของชาวอเมริกันหลายร้อยล้านคน
- ข้อมูลนี้ถูกเก็บจากแอปสมาร์ทโฟน แล้วถูกรวบรวมโดย data broker ที่ขาดความโปร่งใส
- การเข้าถึงทำได้ง่าย และมักเกิดขึ้นโดยไม่มีหมายค้น
- ประเด็นหลักที่สภาคองเกรสต้องปิดคือ ช่องโหว่ของ data broker
- Fourth Amendment is Not For Sale Act เป็นร่างกฎหมายจากทั้งสองพรรคที่ห้ามรัฐบาลสหรัฐฯ ซื้อข้อมูลที่โดยปกติต้องมีหมายค้น
- Foreign Intelligence Surveillance Act Section 702 มีกำหนดหมดอายุในเดือนธันวาคม 2023 และเป็นโอกาสที่จะใส่ข้อจำกัดเกี่ยวกับ data broker ลงในร่างกฎหมายต่ออายุ
- สภาคองเกรสและรัฐบาลมลรัฐควรออก กฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค แบบครอบคลุมด้วย
- หากบริษัทเก็บข้อมูลผู้ใช้น้อยลง ข้อมูลที่รัฐบาลสามารถซื้อจากบริษัทเหล่านั้นก็จะลดลงด้วย
- จำเป็นต้องมีแรงกดดันเชิงสถาบันเพื่อไม่ให้รัฐบาลเลี่ยงกระบวนการขอหมายค้นด้วยการซื้อข้อมูลที่โดยปกติต้องมีหมายค้น
1 ความคิดเห็น
ความคิดเห็นใน Hacker News
เห็นด้วยกับประเด็นปัญหาของบทความ แต่คิดว่าควรมี แรงกดดันไม่ให้ผู้ให้บริการมือถือขายข้อมูลตำแหน่ง ควบคู่ไปด้วยหรือเปล่า
การชี้ไปที่นักพัฒนาแอปสมาร์ตโฟนก็มีคุณค่า แต่ ISP สามารถรู้ตำแหน่งได้แม้ไม่มีสมาร์ตโฟน และในทางกฎหมายก็ต้องสามารถรายงานข้อมูลนี้ได้จริง (https://en.wikipedia.org/wiki/Communications_Assistance_for_... เป็นต้น)
สงสัยว่า EFF มองว่าความพยายามจะสกัดอย่างหลังด้วยกฎหมายกลายเป็นเรื่องไร้ความหมายไปแล้วหรือไม่
https://www.eff.org/issues/cell-tracking
และควรห้ามการล็อกอุปกรณ์ที่ผู้คน “เป็นเจ้าของ” จนใช้มาตรการรับมือไม่ได้ด้วย
การใช้ข้อมูลนี้โดยภาคเอกชนน่ากังวลพอ ๆ กับการใช้โดยรัฐบาล หรืออาจมากกว่าด้วยซ้ำ อย่างน้อยรัฐก็มักยังต้องรับผิดชอบตามระบอบประชาธิปไตย
ตอนนั้นบริษัทของผมมีความสัมพันธ์ใกล้ชิดกับผู้ให้บริการมือถือในสหรัฐฯ และส่วนใหญ่ทำแอป white-label ในชื่อความปลอดภัยของครอบครัวให้พวกเขา แต่ผู้ใช้จำนวนมากสนใจตำแหน่งของคู่สมรสหรือคนรักมากกว่าลูก
ช่วงเวลาใกล้ ๆ กัน OAuth 1a ออกมา และผมคิดว่าน่าจะใช้ความสัมพันธ์นี้สร้างแพลตฟอร์มขายตำแหน่งให้กับนักพัฒนาแอปบนพื้นฐานของการยินยอมได้ พร้อมตั้งใจจะใส่ฟีเจอร์คุ้มครองความเป็นส่วนตัวไว้มากมาย
สุดท้ายมีนักพัฒนาแอปที่ประสบความสำเร็จบ้างเพียงรายเดียว และเมื่อบริษัท aggregator ที่ใส่ใจความเป็นส่วนตัวน้อยกว่าไปจับมือกับนักพัฒนาแอปรุ่นถัดไป อนาคตของผลิตภัณฑ์ก็หายไป ความทรงจำนั้นก็น่าสนุกดี
เท่าที่เข้าใจ ปกติการโทร VoIP ใช้ SIP เพื่อเรียกอีกฝ่าย (มีความปลอดภัยบางส่วน) ใช้ ICE/STUN/TURN เพื่อให้ทั้งสองฝั่งหาเส้นทางที่ตรงที่สุด จากนั้นจึงส่งสตรีมเสียงจริงให้กัน
ไคลเอนต์ไม่ได้เข้ารหัสสตรีมเสียงเลยหรือ? หรือผู้ให้บริการดักทุกอย่างหลัง SIP hop แรกแบบ man-in-the-middle? แบบนั้นดูไม่เข้ากับวิธีเฝ้าระวังแบบอ่านอย่างเดียวที่ “ส่งสำเนาข้อมูลเครือข่ายจาก hardware tap หรือ mirror port ของสวิตช์/เราเตอร์ไปยัง IP probe เฉพาะทาง”
อาจฟังเหมือนโทษเหยื่อก็ได้ แต่ก็ยังมีทางเลือกที่จะปิดโทรศัพท์
แนวคิดที่เรียกว่า AdInt ก็น่าดูเช่นกัน มีการกล่าวถึงใน https://www.theregister.com/2023/09/16/insanet_spyware/ และวิธีการทำงานมีรายละเอียดมากกว่าในรายงานสืบสวนต้นฉบับของหนังสือพิมพ์อิสราเอล Haaretz ที่ https://archive.ph/7dbaV
เคยมีคนโพสต์มาก่อน แต่มีคอมเมนต์แค่ 2 รายการ: https://news.ycombinator.com/item?id=37542097
คิดว่าเรื่องนี้จะจบแย่กว่าที่ผู้คนคิดมาก
การที่บริษัทสมคบกับรัฐบาลไม่ใช่ นิยามของฟาสซิสม์ หรอกหรือ? ถ้าใช่ สิ่งที่เราเห็นตอนนี้ก็เป็นแบบนั้นไม่ใช่หรือ
หลังการเปิดโปงของ Snowden เราได้รู้ว่าหลายประเทศได้สะสมช่องโหว่และสร้าง ช่องว่างอำนาจดิจิทัล ที่นำไปใช้ได้แม้กับเป้าหมายเล็กน้อย
NSO Group แสดงให้เห็นว่าแทบจะเจาะโทรศัพท์เครื่องใดก็ได้อย่างเงียบ ๆ โดยไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติม และกรณีสืบสวนคดีฆาตกรรม Canada/India ล่าสุดก็ชี้ว่าช่องทางที่เคยคิดว่าปลอดภัย สุดท้ายก็อาจถูกดักได้
ทุกวันนี้ยากจะจินตนาการว่า China หรือ NSA ทำได้จริงถึงขั้นไหน เรายังหลีกเลี่ยงมหันตภัยครั้งใหญ่ได้ แต่ยิ่งรู้สึกมากขึ้นว่าเส้นของการสอดแนมและการควบคุมอินเทอร์เน็ตได้ถูกขีดไว้แล้ว ถึงอย่างนั้นถ้ามีใครสามารถปกป้องการตีความที่มองโลกในแง่ดีกว่านี้ได้อย่างหนักแน่น ก็อยากฟัง
โดยทั่วไปฟาสซิสม์ถูกนิยามว่าเป็นชาตินิยมแบบอำนาจนิยม ผู้นำเผด็จการแบบรวมศูนย์ ลัทธิทหาร การปราบปรามฝ่ายตรงข้ามด้วยกำลัง การทำให้ผลประโยชน์ส่วนบุคคลอยู่ใต้ผลประโยชน์ของชาติหรือเชื้อชาติ และการโฆษณาชวนเชื่อเพื่อคงความเชื่อว่ามีลำดับชั้นทางสังคมตามธรรมชาติ
ผลหลักของการเปิดโปงเหล่านั้นคือ การเพิ่มขึ้นของประชานิยม แต่ยกเว้นการเสียทำเนียบขาวไปหนึ่งสมัย ก็ไม่มีผลกระทบที่ยั่งยืน และปฏิกิริยาแบบประชานิยมก็นับว่าถูกปราบลงไปแล้ว
ถ้าอยากสร้างความเปลี่ยนแปลง อาจต้องเข้าไปแทรกตั้งแต่เนิ่น ๆ ตอนที่ยังมีแต่พวกชายขอบสุดโต่งพูดกัน เช่น เมื่อ 25 ปีก่อน หรืออีก 25 ปีข้างหน้า เพื่อหักกระแสถัดไปไปอีกทิศทางหนึ่ง
สิ่งอย่าง Quest 3 และ Apple Vision เป็นแค่จุดเริ่มต้น และเมื่อทุกคนเดินไปมาโดยสวม อุปกรณ์ AR ก็จะไม่มีทางหลุดออกจาก point cloud ได้
บริษัทเหล่านี้จะมีกราฟแบบเรียลไทม์ว่าใครอยู่ที่ไหนและทำอะไรในพื้นที่สาธารณะ รวมถึงคนที่ไม่เคยใช้บริการใด ๆ ของพวกเขาเลยด้วย น่ากลัว
แต่ความเคลื่อนไหวนี้ดูเหมือนบริษัทต่าง ๆ กำลังพยายามควบคุมและแทนที่รัฐบาลโดยพฤตินัยมากกว่า เป็นแนวคิดบิดเบี้ยวของ ทุนนิยมผู้มีส่วนได้ส่วนเสีย ที่เดินไปถึงบทสรุปตามธรรมชาติของมัน
ประเด็นสำคัญคือส่วนที่ว่า “หากข้อมูลไม่ได้ถูกเข้ารหัสอย่างสมบูรณ์ หรือไม่ได้จัดเก็บไว้ในเครื่องโดยตรง รัฐบาลก็สามารถขอข้อมูลนั้นจากผู้ให้บริการโทรคมนาคมหรือบริษัทคอมพิวติ้งได้ ตามธรรมเนียมแล้วต้องมีคำสั่งศาล แต่รัฐบาลยิ่งหันไปซื้อจาก data broker ที่ซื้อข้อมูลมาจากอุตสาหกรรม adtech มากขึ้นเรื่อย ๆ”
ผมมองว่าอุตสาหกรรม adtech รวมถึง Meta และ Google ด้วย แต่บางคนกลับโมโหและบอกว่า “จริง ๆ แล้ว Meta ไม่ได้ขายข้อมูลของคุณ” หรือ “จริง ๆ แล้ว Google ไม่ได้ขายข้อมูลของคุณ”
หากบริษัทเหล่านี้มีส่วนร่วมในระบบนิเวศนี้และซื้อข้อมูลจาก data broker พวกเขาก็เลวพอ ๆ กับ data broker นั่นแหละ Meta และ Google ไม่ควรทำเป็นเหมือนนักบุญที่ไม่ควรถูกวิจารณ์ ทั้งที่ทำเงินส่วนใหญ่จากความสัมพันธ์แบบนี้และทำให้การสอดส่องเป็นไปได้
ตัวอย่างเช่น ทั้ง dmv.ca.gov และ irs.gov ใช้ Google ทั่วทั้งเว็บไซต์
เมื่อรัฐบาลเอา Google มาเป็นทางออกเวลาต้องการสิ่งอย่างการยืนยันตัวตนหรือ CAPTCHA โครงสร้างทั้งหมดก็พังลง
เคยได้ยินคำพูดว่า “ประชาธิปไตยที่มีเทคโนโลยีล้ำสมัยนั้นมีเสรีภาพน้อยกว่าเผด็จการที่มีเทคโนโลยีดิบ ๆ”
พวกนั้นล้าหลังทางเทคโนโลยีกว่า Switzerland, New Zealand, Denmark, Estonia, Ireland ในปัจจุบัน แต่ก็ไม่ได้มีเสรีภาพมากกว่า [1]
[1] https://worldpopulationreview.com/country-rankings/freedom-i...
ผมไม่คิดว่าข้อมูลส่วนตัวของผมเป็นสิ่งที่ FTC ควรมา “คุ้มครอง” หรือ “กำกับดูแล”
กฎหมายเดียวที่มีผลจริงคือการ ห้ามจุดขายข้อมูลผู้ใช้ส่วนบุคคลทั้งหมดโดยสิ้นเชิง หากไม่มีความยินยอมโดยชัดแจ้งจากผู้ใช้ (เช่น การยืนยันคุกกี้) แต่เรื่องแบบนั้นไม่มีทางเกิดขึ้นแน่นอน
และถ้าเรื่องนี้โจ่งแจ้งขนาดนั้น ผมก็สงสัยเหมือนกันว่าทำไมยังไม่มีการฟ้องร้อง รัฐบาลสหรัฐฯ ถูกผูกมัดด้วยรัฐธรรมนูญและบทแก้ไขเพิ่มเติมรัฐธรรมนูญฉบับที่ 4 อยู่แล้ว ผมไม่คิดว่าเราต้องการกฎหมายห่วย ๆ ที่ร่างโดยคนที่ไม่รู้ด้วยซ้ำว่าตัวเองกำลังทำอะไรอยู่