Noll
Mjukvaruutvecklare rädsla att Australiens nya kryptering lagar som kan tvinga dem att i hemlighet lägga malware och bakdörrar för att deras arbetsgivares produkter och tjänster. Dessa rädslor är till stor del ogrundade, säger experter.
Avsnitt 317C(b)(6) säger att en typ av särskilt kommunikationsleverantör är en “person” som “utvecklar, levererar eller uppdateringar av programvara som används för, eller sannolikt kommer att användas i samband med: (a) ett börsnoterat transport tjänsten; eller (b) en elektronisk tjänst som har en eller flera slutanvändare i Australien”.
Avsnitt 317D(1)(a) sedan förklarar att “elektroniska tjänster” omfattar “en tjänst som levererar material till personer med utrustning som är lämplig för att ta emot materialet, där leverans av tjänsten med hjälp av en vagn service”, och enligt avsnitt 317D(2), “service omfattar en webbplats”.
Se: Alla kommer att använda kryptering, Australien ska komma över det
Men enligt en Departementet för Inrikes Frågor staffer som har utarbetat den nya lagar, en obligatorisk Teknisk Kapacitet Meddelande (TCN) kan inte serveras på individer inom företaget.
“Företagets enhet är slutpunkten där. Så vi kan inte kräva, säger en anställd för att vara i drift under ett hemligt meddelande som [arbetsgivaren] är okunniga om,” Adam Ingle berättade Crypto 2018 Workshop om Kryptering och Övervakning i augusti.
“Det har förmågan att serveras på individer och företag, men endast när dessa individer är deras egen separat enhet.”
Ingle också drivit tillbaka mot den rädsla som särskilt tjänsteleverantörer kan tvingas att utveckla vad malware eller bakdörrar byråer ville.
“Om industrin och regeringen skulle nå en lösning som skulle göra det möjligt tillgång som inte går att ta bort elektroniska skydd, och inte lockar att förbudet mot systemiska brister och svagheter, om industrin spelare var medveten om att ifrågasätta det, det är en mycket robust domstolsprövning process i Australien,” Ingle sagt.
“De kan mycket väl gå till domstol och bestämma att påstå detta meddelande är inte rimligt och proportionerligt, är tekniskt genomförbart, [eller] praktiskt, eller säga att man kommer att införa en systematisk sårbarhet, och är därför olagligt.
Till skillnad från den BRITTISKA medel, en Australisk TJÄRA eller TAN inte kan tvinga igenom en borttagning av elektroniska skydd såsom kryptering eller mekanismer för autentisering, avlyssning förmåga att göras, eller datalagring kapacitet att göras.
“De faktiskt är en mer begränsad makt, och vad de kan göra är att anges uttryckligen i den primära lagstiftning, snarare än lagar och förordningar själva, så kommer parlamentet att behovet av att granska några ytterligare saker,” Ingle sagt.
Utvecklarna har också hakade på lydelsen av § 114 i Schema 2 av Stöd och Tillgång Act, som leds av: “en Person[s] med kunskap om en dator eller en dator för att hjälpa tillgång etc.”.
Också Australien är kryptering lagar kommer att falla offer för olika definitioner
Detta schema hänvisar till assistans från personer som “anställd hos ägaren eller arrendatorn av den dator eller enhet”, “en person som är eller var ett system som administratör för systemet, inklusive den dator eller enhet”, och även “en person som använder eller har använt dator eller enhet”.
Men detta schema är om ändringar av de regler som gäller för enheter som är föremål för tillgång till dator teckningsoptioner, något helt separat från TJÄRA/TAN/TCN regimen.
Enligt Elizabeth O ‘ Shea, som är advokat och ledamot av Digital Rights Watch, en TAN eller TREDJELANDSMEDBORGARE kan ges till en person om de uppfyller definitionen i Lagen, och som har “fysiska personer”, den juridiska termen för individer i motsats till juridiska personer som en införliva företaget, men hon downplays rädsla.
“Det är högst osannolikt dock att en enskild medarbetare skulle vara en mottagare av ett meddelande (annat än som en officer för företaget), och även om den anställde var mottagare, som han eller hon skulle vara förbjudet att lämna ut information om de märker att andra i företaget,” sa hon till ZDNet.
O ‘ Shea tvivel att en byrå kommer att utnyttja de meddelanden på detta sätt av två skäl.
För det första, den regim som endast kräver att någon fullgör, i den utsträckning de är kapabla till att göra så som beskrivits i avsnitt 317ZA och 317ZB.
“Det skulle förmodligen vara svårt för en person att göra den handling eller en sak som krävs av meddelandet ensam,” sade hon.
För det andra, den regim som gör det möjligt för upplysningar om meddelandet för administration eller verkställighet av de föregående meddelande.
“Det verkar mycket osannolikt därför att en enskild anställd skulle ges ett meddelande i de fall bolaget inte skulle ha någon kunskap om varsel,” O ‘ Shea sade.
“Det är fortfarande tekniskt möjligt dock, även om detta inte var avsikten av upphovsmännen. Med tanke på den breda definition av handlingar eller saker som kan krävas för att vara gjort av ett meddelande, det är inte omöjligt att föreställa sig något som detta händer någon gång, så om författarna inte avser det, de borde ha formulerat det annorlunda.”
Australiens kryptering lagarna inte bryter mot GDPR
Vissa utvecklare har också varit orolig för att de skulle tvingas att utföra handlingar som skulle strida mot Eu: s strikta General Data Protection Förordning (GDPR), men det är inte fallet, enligt Anna Johnston, chef för Sallinger Integritet.
I med GDPR terminologi, det finns sex grunder om vilka personuppgifter som kan vara lagligt “behandlas”, som definieras i Artikel 6. En av dem, Artikel 6.1 c), är “den utsträckning som … behandlingen är nödvändig för att fullgöra en rättslig skyldighet som den registeransvarige [den enhet som styr personuppgifter]”.
Måste läsa: Vad är GDPR? Allt du behöver veta om den nya allmänna bestämmelser för dataskydd
Även i Artikel 2.1(d) säger att GDPR gäller inte alls för att “behandling av personuppgifter … av behöriga myndigheter för att förebygga, utreda, avslöja eller lagföra brott … inklusive skydd mot och förhindrande av hot mot den allmänna säkerheten”.
Varje Eu-land har sin egen definition av “behöriga myndigheter”, men i huvudsak de är lagstadgat godkända brottsbekämpande och den nationella säkerheten organ som är verksamma under de ganska komplicerade gränser som fastställs i Direktivet (EU) 2016/680.
“Om du talar om GDPR eller den Australiska Lagen om Integritetsskydd, sekretesslagar satt begränsningar på när personlig information kan användas eller lämnas ut av en organisation. Men dessa begränsningar kommer att överskridas om ett utnyttjande eller röjande är nödvändigt för att kunna följa annan lagstiftning,” Johnston sa till ZDNet.
Relaterade Täckning
Det är faktiskt i Australien kryptering lagar? Allt du behöver veta ASD generaldirektör slår ut på kryptering Bill falska nyheter God Jul, Arbete: Dutton baulks på kryptering Bill förändringar Australiens kryptering lagar kommer att falla offer för olika definitioner Säkerhet kommer att vara meningslöst enligt kryptering-nya lagar: Senetas Här går vi igen: PJCIS öppnar översyn av Australiens kryptering lagar Förhastade PJCIS granskning av kryptering Bill producerar rusade och föraktfull rapport
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0