澳大利亚经营的公司破解其自身的安全性

2018年12月6日，澳大利亚议会通过了“2018年电信和其他立法修正案(援助和获取)法案”。

简而言之，这使得澳大利亚检察长有权强迫任何在澳大利亚经营的公司破解其自身的安全性，允许代表其客户访问其持有的信息。

要求获得这种准入的原因包括国家安全(广泛的综合目的)，起诉澳大利亚境内的犯罪以及起诉在其他国家犯下的罪行。

未能提供访问权或通知客户入侵本身就是刑事犯罪。

这是对法律巨大变化的快速解释。需要进一步调查，我们试图在下面提供。该法案长达224页，因此我们不会对每一项变更发表评论。但是，我们会考虑其对新西兰政府，公司和居民的实际影响。

虽然一些技术出版物已经意识到变化的程度，但它们误解了它的应用。同样，我在法案上看到的法律评论似乎也错过了法律变革的广泛影响。我们希望澄清它可能被解释的方式，以及它对新西兰人民和企业的影响。

第一页包含以下声明：

修订有关电信，计算机访问权证和搜查令以及其他目的的法律的法案。

美国云计划规定，美国政府可以向美国政府(以及其他司法管辖区)提供类似的访问权限。

从这一点来看，它似乎也涵盖了与我们的“2012年搜索和监视法案”相同的领域。但它的应用更进一步。

其他司法管辖区要求访问，但不一定要求公司违反自己的安全。该法案迫使公司破坏可能构成其向客户提供服务的基础的安全性，同时可能损害这些公司持有的其他信息的安全性。

为此，该法案修订了13项单独的法案，其中许多法案已经到位。我们在本文中考虑的主要变化是1997年的电信法案。

根据新法律，我们尚未看到任何法庭案件。由于总检察长的请求本身是保密的，我们想象任何有关此类请求的争议都会得到一些小心处理，并且很可能会受到压制，至少在做出有利于DCP(指定通信提供商)的决定之前。

由于DCP被限制通知其客户，我们可能不会看到根据这项新法律的任何案件，直到有资格进行战斗的公司(如Google或亚马逊)收到请求。

运输，服务和电磁能量

根据该法案提出的请求是针对DCP的。这在s317C中被定义为控制网络的运营商，运营商，通过这些网络提供通信服务的运营商，运输服务提供商，以及提供允许通过运输服务和电子服务访问信息的服务的运营商。

运输服务的实际定义很难写

通过引导和/或非引导电磁能量进行通信的服务。

由此我们假设通过互联网提供通信服务的任何服务都是运输服务提供商。

与提供电子服务的那些相结合，它似乎包括几乎所有基于互联网的，甚至是现在的公司。

有一些例外，特别是传统上只在一个方向上流动的信息，例如广播服务。1992年广播服务法案(定义广播服务)如何跟上在线提供的新媒体的爆炸式增长，仍有待观察。

请求和通知

该法案以获取信息为基础。有三种类型的可能请求：技术协助请求(TAR)，技术协助通知(TAN)和技术能力通知(TCN)。

这三者之间存在几个基本差异，基于谁可以发布它们，所需的阈值和可以请求的内容。

安全总监，澳大利亚秘密情报局，澳大利亚信号局或拦截机构的首席执行官可能会要求提供TAR。初始机构是澳大利亚联邦警察局，澳大利亚犯罪委员会或州或北领地的警察部队。

TAN可由安全总监或任何拦截机构的首席执行官提供。只有总检察长或安全总监或拦截机构的首席官员才能提供TCN。

TAR的基础相对开放，并在该法案的第317G(5)条中概述。它包括为了澳大利亚的对外关系以及信息的安全性和完整性而提及维护国家安全。

这些信息如何帮助，或阈值可能是什么，没有明确定义。由于这是一项自愿性请求，它似乎主要将决定权交给DCP，如果DCP遵循TAR，DCP将受到保护，免受民事诉讼。

TAR是一项自愿请求，要求DCP采取某些行动。虽然没有理由不能提出这样的自愿请求，但是s317G(1)(c)为DCP提供了免于履行TAR的民事责任的保护。

因此，如果要遵循TAR请求，则提供其信息的一方将被限制采取行动。然后可能更有可能遵循自愿请求。

TAN和TCN在其可用目的方面更具限制性。

他们必须具有执行澳大利亚刑法，协助在国外执行刑法或维护国家安全的相关目标。无论是在澳大利亚还是在外国，该罪行的最高刑期必须至少为三年。

外国也可以要求对在该国持有死刑的犯罪提供援助。根据“2004年监视设备法”第27A条，可以向外国提供援助。

DCP必须遵循TAN和TCN。TAN是使用DCP已有的功能提供帮助，例如使用对其系统中存储的信息的访问。TCN要求DCP创建对当前可能不存在此类访问的信息的访问。这是漏洞参数开始的地方。

漏洞

TCN设置DCP的要求以创建访问所需信息的方法。通常，这些信息可以被加密，或者DCP的系统已被设置为使这种访问变得困难。这样做是为了让DCP的客户在保密方面获得一些安慰。TCN需要DCP来破坏该安全性。

这一要求受到了IT社区的广泛攻击。主流媒体在很大程度上将其描述为对消息传递服务的攻击。但是，它扩展到任何DCP保留信息，因此它将涵盖任何加密的电子邮件服务，任何云服务以及澳大利亚存储中心中保存的任何其他信息。

这包括亚马逊云服务和Office 365中的任何内容(尽管此信息可能在TAR / TAN下可检索)。

它还包括大量新西兰政府文件，现在存储在澳大利亚的云存储中。

该法确实包括一项补贴，即如果需要引入系统性脆弱性或系统性弱点，则不需要遵循TAR / TAN / TCN。

无益，这两个术语都没有正确定义。许多评论员建议，访问加密服务的唯一方法是引入一种“后门”或漏洞，然后允许访问。

这是必需的，因为DCP故意创建了一个安全的系统，并且很可能在此基础上出售其服务。因此，IT社区的论点是，破坏这种安全性的任何访问都将成为系统性漏洞或弱点。从逻辑上讲，这将是一个有效的论点。

但是，应从法律解释的角度来看待它。

新西兰和澳大利亚之间的法律解释相对类似，都基于相同的来源法律制度(并且一方的决策通常在另一方面被引用)。法院通常会以赋予其意义和目的的方式解释立法。

虽然IT社区将安全性视为系统漏洞，但这会使法律失去作用。因此，法院需要设定更高的门槛，并考虑实施议会的意图。

由于任何要求TCN必须经过总检察长的请求，议会都提供了自己的保障，因此使用此类法律只有经总检察长批准后才可能根据行政部门的意见。

然后，法院可以将大多数此类请求视为在法律允许范围内，仅在通知限制通知的情况下才会创建易于访问的漏洞。

我们认为，法院可能会认为漏洞可以得到充分保护，因此无法达到阈值。在此基础上，大多数TCN可能是可执行的。

然而，至少在新西兰，有些情况下，法院故意采取非常狭隘的观点。

在这些极少数情况下，已经采取措施限制可能被视为违反其他权利的行为，允许法院有效地超越议会制定法律的权利。这种情况可能存在于此，因为新法律确实试图破坏隐私权。

授予TCN不仅仅是寻求信息的一方的问题。创建此类漏洞可能会降低DCP存储的任何其他信息的安全性。律师事务所，我们的客户和新西兰政府可能是私人和商业敏感信息。

保护客户

我们尚未看到法院将如何处理此类争议以及如何解释系统性漏洞或弱点。

这些定义可能无法公开获得，直到富裕到足以承担澳大利亚政府的公司(例如亚马逊及其AWS服务)收到此类请求。

希望至少对新西兰来说，政府文件可以同时转移到陆上设施。

如果您在澳大利亚使用DCP，请考虑以DCP难以访问的方式亲自加密信息。或者将其存放在新西兰的非美国公司。