德国政府提出法律草案,要求WhatsApp、Google、Facebook等公司向安全机构提供用户密码和个人数据,引发隐私担忧。该草案旨在打击右翼极端主义和仇恨犯罪,但过度的数据访问权可能侵犯公民隐私。
德国相关法律草案,WhatsApp,Google,Facebook&Co.需要将用户密码和其个人化数据传输给安全机构的额外义务引起了人们的关注。
为了法律草案《打击右翼极端主义和仇恨犯罪》,德国联邦司法部长(SPD)除了网络执行法(NetzDG)之外,还希望修订《刑事诉讼法》(StPO)和《电信媒体法》(TMG),不过政界人士和民众对数字经济领域还是缺乏理解。
法律修订本意上是正确的,在Halle袭击后,德国联邦政府发现,互联网激增的右翼激进主义和仇恨犯罪的问题被低估了。2019年10月9日,Halle发生了针对犹太人的恐袭,造成数人伤亡。 但是,提议中的有关电信媒体提供商的用户和其访问数据的全面知情权,就有些过分了。
法案修订计划,执法和情报机构不仅可以访问IP地址,而且将来还可以掌握“所有用户的密码”。这将深深地侵犯公民的隐私,并有可能监控私人的整个生活方式。与之相对的是,德国有必要解决新创建的网络执行法(NetzDG)。
互联网行业生态协会首席执行官对此抱怨说,这不仅是与仇恨犯罪作斗争,而是为国家和有关当局建立全面的监视权。在互联网数字行业试图实施通用数据保护条例(GDPR)并提高数据安全性的同时,德国司法部却变本加厉,要求掌握所有人的密码和其他高度个人化的数据。
实际上,这将使司法机构变成为“全面的在线搜索引擎”,包括访问用户存储在云中的电子邮件,照片或文档。“ 毫无疑问,这将是互联网上最大的窃听和监控,没有对民权和宪法有真正的渴望的任何人希望发生这种事。” 司法部想把“基本价值观”丢到一边,“而这价值观使我们数十年来在网上和线下共存”。
绿党副主席Konstantin von Notz对此也表示批评,这将网络执行法(NetzDG) 处于关键点的改革置于紧要关头,还在其他方面“现在远远超过了原先目标”。 他的提问引发了“深层的宪法问题”:这意味该法案制定过程中,速度优先于缜密,那么网络执行法(NetzDG) 已经犯下的错误将会重演。
同时,联邦司法部正试图权衡这一点。一位发言人透露,服务提供商有数据保护的义务,需要存储敏感数据,例如加密的密码。因此,他认为在打击诸如恐怖主义等“严重罪行”的斗争中才会使用,该条款的作用范围很小。在这种情况下,当局还能够尝试解密已经加密过的哈希值,这当然需要相应的技术。
如果服务提供商违反数据保护法规,未对密码进行加密,那么司法部门将来将可能有机会解密并以明文格式查看密码。没有规定司法当局要同时通知主管的联邦数据保护当局,以便后者可以施加额外的制裁。德国最高数据保护官Ulrich Kelber不想就该草案发表声明,“因为这是一个持续的立法程序”。
Lambrechts发言人解释说,总的来说,根据《电信媒体法》TMG,检察官以前能够索取包括用户访问信息在内的清单数据。根据第100j StPO条款,该数据存储仅涉及密码和类似的安全码(例如PIN),而不涉及也可以查询的IP地址。
司法部长则表示,《电信媒体法》TMG中的信息查询流程“到目前为止只是基本的”。特别是,对“基于IP地址,查询密码,信息的机密性和信息查询的形式”等都没有满足要求。这使得很难从服务提供商那里获取所需要的信息。
该改革草案还建议,当局可能要求服务提供商提供Session和cookie,以便短时间内绕过解码密码步骤,通过此类数据可能足以绕过身份验证或接管用户帐户。该条款还适用于在线密码管理服务,例如Last Pass,只要《电信媒体法》TMG涵盖了这些服务。
这里是Last Pass的安全构架,来自官网。
除了多因子认证(MFA)之外,用户凭借Master Password访问自己存储的密码,Last Pass官方申明不保存这个Master Password。但如果司法机关要求截取这个Master Password,或者截取MFA身份验证码呢?
注意红字部分,如果密码是通过非对称加密间接存储和验证的话,那么是不可能破解出用户原先的密码的。不过前提是服务提供商在后台使用了非对称加密方式,如果没有,呵呵哒。
而且,就算用了非对称加密方式,相关调查部门还可以要求网络服务商提供Session和Cookie,或者要求直接截取用户的临时访问口令Token。这个方式确实可行,调查者可以短期内接管用户权限访问所有信息。
一旦这些法律修订案通过,那么德国司法相关部门真的可以为所欲为了。
2019.12
Commerzbank和Sparkasse开始支持Apple Pay
德国法庭禁止Whatsapp,Facebook和Instagram
扫一扫
2405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
