Хотя большая часть опасений по поводу того, что правительства злоупотребляют сканированием CSAM для выявления таких вещей, как политическая оппозиция, связана с иностранными правительствами, некоторые предполагают, что это может стать проблемой и в США.
Мэтт Тейт, главный операционный директор охранной компании Corellium и бывший аналитик GCHQ, эквивалентного британскому АНБ, говорит, что Четвертая поправка означает, что этого не может произойти в США …
Криптограф Джона Хопкинса Мэтью Грин выделил следующий сценарий в отношении добавления в базу данных материалов, не относящихся к детскому сексуальному насилию:
1. Министерство юстиции США обращается к NCMEC с просьбой добавить фотографии, не относящиеся к CSAM, в хэш-базу данных.
2. Когда эти фотографии вызывают недовольство пользователей Apple, Министерство юстиции отправляет в Apple распоряжение о сохранении для получения идентификаторов клиентов.
Тейт говорит в ветке Twitter что база данных составляется Национальным центром пропавших без вести и эксплуатируемых детей (NCMEC), который, строго говоря, не является государственным учреждением — это квазиавтономный орган, хотя он в основном финансируется Министерством юстиции.
Эта невмешательство означает, что Министерство юстиции не может просто выполнять какие-либо действия через NCMEC. Возможно, он мог бы попытаться принудить их через постановление суда или тихо попросить их сделать что-то. Но это не может просто заставить их делать что-то напрямую.
Давайте рассмотрим их по очереди. Что, если Министерство юстиции спросит вежливо? В этом случае NCMEC имеет все стимулы сказать «нет». Сканирование CSAM технологическими компаниями в США происходит добровольно. Есть юридическое обязательство сообщать CSAM, но не юридическое обязательство его искать.
Предположим, Министерство юстиции просит NCMEC добавить хэш для idk, скажем, фотографии секретного документа, и гипотетически NCMEC говорит «да», и Apple использует его в своем умном алгоритме сканирования CSAM. Давай посмотрим что происходит.
В этом сценарии, возможно, у кого-то есть эта фотография на своем телефоне и он загрузил ее в iCloud, чтобы она была отсканирована и вызвала хит. Во-первых, в протоколе iS Apple этого единственного попадания недостаточно, чтобы определить, что у человека есть документ, до тех пор, пока не будет достигнут предварительно настроенный порог.
Но предположим, что запрос состоял из нескольких фотографий, или у человека с фотографией также есть CSAM или ж / д, и порог достигнут. Что тогда?
Что ж, в этом случае Apple получает предупреждение, и Apple просматривает изображения, о которых идет речь. Но ждать! Изображения не CSAM. Это означает две вещи. Во-первых: Apple не обязана сообщать об этом в NCMEC. Во-вторых, Apple теперь знает, что NCMEC действует нечестно.
Как только Apple узнает, что NCMEC работает нечестно, они удаляют базу данных NCMEC. Помните: они по закону обязаны сообщать CSAM, но не обязаны его искать.
Итак, благодаря запросу Министерства юстиции и ответу NCMEC «да», Apple полностью отказалась от сканирования CSAM, и ни NCMEC, ни Министерство юстиции фактически не пострадали. Более того, NCMEC теперь разорен: никто из технических специалистов не будет использовать их базу данных. Короче говоря, Министерство юстиции не может вежливо спросить NCMEC и ответить утвердительно.
Но, говорит он, давайте посмотрим, что произойдет, если правительство заставит NCMEC добавить отпечаток пальца в базу данных. Это, по его словам, предотвратит судебное преследование, поскольку будет противоречить Четвертой поправке, которая защищает от незаконного обыска и изъятия.
Когда NCMEC получает удар CSAM — то, что они называют «кибер-наводкой», — они сообщают об этом в соответствующие правоохранительные органы. Затем правоохранительные органы обычно получают повестку в суд для записи, а затем продвигаются к полному ордеру на обыск для доказательств против индивидуальной торговли CSAM.
Чтобы посадить этого человека в тюрьму, им нужно будет в конечном итоге предоставить доказательства, а это означает, что им нужна вся цепочка доказательств, чтобы соответствовать требованиям 4A. Окончательное доказательство извлекается из ордера, его вероятная причина — из повестки в суд и так далее, вплоть до самого начала.
Но соответствовал ли исходный поиск 4A? Если нет, вся цепочка развалится. Это сложная область, и суды долго с ней боролись. Но в целом консенсусное мнение — да, это соответствует 4A, потому что первоначальный поиск CSAM был добровольным технической компанией.
Но если NCMEC или Apple были * вынуждены * выполнить поиск, то этот поиск был не добровольным со стороны технической компании, а «замещенным поиском». И поскольку это замещенный поиск, это поиск 4A, требующий особого ордера (и конкретизация здесь невозможна).
Таким образом, хотя правительство США могло получить доказательства таким образом, оно не могло использовать их для преследования кого-либо.
Конечно, это не означает, что правительство не может использовать информацию по-другому, но тогда вы попадаете в совершенно другую легальную кроличью нору.
Алекс Стамос из Стэнфорда призвал к более детальному обсуждению рисков неправильного использования сканирования CSAM, и эта тема, безусловно, соответствует требованиям.
