Non c'è alcun segno di sorveglianza di massa, ma l'Independent National Security Legislation Monitor suggerisce un sistema di "doppia serratura" in stile britannico per autorizzare l'accesso alle comunicazioni crittografate.
L'esame accurato delle azioni intraprese da poliziotti e spie sotto l'Australia controverse leggi sulla crittografia dovrebbe essere altrettanto vicino a quello delle azioni previste dalle leggi precedenti, secondo il dottor James Renwick, l’Independent National Security Legislation Monitor (INSLM).
Ma ha dissipato le preoccupazioni che l’uso di questi nuovi poteri avesse portato ad una sorveglianza di massa.
L'INSLM sta conducendo un'indagine sul Legge di emendamento (assistenza e accesso) sulle telecomunicazioni e altre normative del 2018, generalmente noto come Atto TOLA, o quando era ancora all'esame del parlamento, il Fattura AA.
Renwick ha dato chiare indicazioni che avrebbe esplorato la questione in dettaglio quando ha aperto due giorni di udienze pubbliche a Canberra giovedì.
"Poteri di sorveglianza intrusiva, comunque conferiti dalla legge e con soglie e garanzie chiare, che già trovano applicazione nell'art mondo fisico, dovrebbe in linea di principio valere per l’analogo mondo virtuale, a meno che non vi siano buone ragioni contrarie", ha disse.
"Sono tendente a ritenere che, poiché sui nostri telefoni cellulari sono contenuti così tanti dati e contenuti di cui non siamo a conoscenza, computer, anche perché sono generati dai DCP [fornitori designati di comunicazioni] che cercano di monetizzare i nostri dati personali informazioni, dovrebbero esserci controlli e garanzie almeno altrettanto approfonditi di quelli pre-TOLA prima che tali informazioni venissero fornite utilizzabile sotto TOLA."
Le agenzie devono ottenere un mandato ai sensi del Legge del 1979 sulle telecomunicazioni (intercettazione e accesso). per avviare il processo di accesso alle comunicazioni. Ma attualmente possono ottenere assistenza da un DCP sotto TOLA con l’approvazione del capo della propria agenzia.
L’INSML non vede segni di “sorveglianza di massa”
Renwick ha esaminato il sette usi conosciuti dei poteri TOLA da parte delle forze dell'ordine, nonché il numero imprecisato di utilizzi da parte dell'Australian Security Intelligence Organization (ASIO). L'ASIO gli ha dato accesso a tutti i documenti, "non importa quanto segreti".
"Nulla di ciò che ho visto finora suggerisce che ci sia stata qualcosa di simile all'idea di 'sorveglianza di massa' come risultato di TOLA", ha detto Renwick.
"Al contrario, ciò che ho visto finora suggerisce che TOLA ha consentito di utilizzare poteri intrusivi preesistenti in modo più mirato o moda limitata - e quindi meno invadente - nei confronti di persone che non sono persone di interesse, perché l'attenzione è rivolta alle persone di interesse. E questo è un cambiamento importante”.
Renwick ha anche riconosciuto il problemi con le definizioni di termini come "debolezza sistemica" e persino "contenuto" rispetto a "metadati", affermando che "non c'è necessariamente una linea chiara" tra i due.
"Per contenuti di questa mattina intendo testi, e-mail, telefonate e immagini", ha detto.
"Per metadati intendo cose come quando è stata inviata un'e-mail, il mittente e i destinatari, la loro posizione, come è stato inviato, come è stato archiviato e anche quali siti Web sono stati visitati, quali app sono state utilizzate e così via"
Ha suggerito che la legge TOLA dovrebbe contenere esempi di ciò che costituisce e non costituisce una debolezza sistemica scritti nella legge stessa, piuttosto che tenerli nascosti in regolamenti o altri documenti.
Renwick ha tuttavia rifiutato l’idea che il dibattito sulla crittografia si riduca a una scelta tra due opposti binari.
Ha citato il Commenti dal "distinto" Encryption Working Group (EWG) riunito dal Carnegie Endowment e dall'Università di Princeton. L'EWG ha chiesto che il dibattito abbandoni due uomini di paglia.
"Questi sono, in primo luogo, che dovremmo smettere di cercare approcci per consentire l'accesso alle informazioni crittografate, ma in secondo luogo, che le forze dell'ordine saranno incapace di proteggere il pubblico a meno che non possa ottenere l'accesso a tutti – e sottolineo la parola tutti – i dati crittografati attraverso un procedimento legale," Renwick disse.
Come ha scritto l'EWG, "[Queste sono] posizioni assolutiste non effettivamente sostenute da partecipanti seri, ma talvolta usate come caricature degli oppositori".
Approvazione indipendente "doppio blocco" per le decrittazioni?
Renwick ha suggerito che il controllo giudiziario indipendente del regime TOLA potrebbe essere fornito da un modello simile a quello del Regno Unito.
La legge equivalente del Regno Unito è la Legge sui poteri investigativi del 2016. Per ottenere l'accesso alle comunicazioni crittografate ai sensi della legge, è necessario presentare domanda ad entrambi Segretario di Stato per gli affari interni e ufficio del commissario indipendente per i poteri investigativi (IPCO).
In base al cosiddetto sistema del “doppio blocco”, sia il ministro dell’Interno che l’IPCO devono dare l’approvazione.
"Dopo aver trascorso del tempo sia con l'IPCO che con le agenzie di sicurezza e di polizia del Regno Unito, posso dire che è stato accolto molto bene, anche perché ha aumentato il livello di fiducia", ha affermato Renwick.
"Le mie conversazioni... mi ha comunque chiarito che l’IPCO era fondamentale affinché il Regno Unito ottenesse un accordo sul CLOUD Act dagli Stati Uniti. Ed è stato detto pubblicamente che anche l’Australia cerca un accordo del genere”.
Renwick ha suggerito che un organismo esterno adeguato potrebbe essere l'attuale Tribunale per i ricorsi amministrativi (AAT).
"Una possibilità è che un'applicazione... potrebbe chiedere l'approvazione alla divisione di sicurezza dell'AAT, che è abituata a trattare informazioni altamente sensibili o segrete", ha affermato.
Ci sono stati preoccupazioni, tuttavia, che l'AAT potrebbe non prestare a domande simili la stessa attenzione che sarebbe prestata da un giudice.
L'inchiesta sulle leggi sulla crittografia dell'INSLM lo è relazione prevista entro il 30 giugno. La sua analisi confluirà nella revisione in corso da parte della commissione parlamentare mista per l’intelligence e la sicurezza (PJCIS), che dovrebbe riferire entro il 30 settembre.
Il PJCIS dovrebbe anche riferire un po' prima, sull'efficacia del regime obbligatorio di conservazione dei dati delle telecomunicazioni, entro il 30 aprile.
Divulgazione: Stilgherrian ha scritto il gruppo di lavoro sulla crittografia brief nazionale sull'Australia, per il quale ha ricevuto un onorario.
Copertura correlata
- L'AFP e la polizia del NSW hanno utilizzato le leggi sulla crittografia australiane sette volte nel 2018-19
- I laburisti sono stati criticati per la loro posizione incoerente sulle leggi australiane sulla crittografia
- Il disegno di legge laburista per correggere le leggi australiane sulla crittografia per il quale ha votato raggiunge il secondo dibattito
- Come il B-Team vigila sulle leggi australiane sulla crittografia e sulla sicurezza informatica
- Il rapporto degli Affari Interni rivela problemi più profondi con le leggi australiane sulla crittografia