1 पॉइंट द्वारा GN⁺ 2023-10-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • जब तक अमेरिका में व्यापक संघीय privacy कानून नहीं है, मोबाइल ऐप्स से जुटाया गया personal data targeted advertising industry के जरिए सरकारी निगरानी के साधन में बदल रहा है
  • सरकार उन user data तक भी data brokers से खरीदकर पहुंच बना सकती है, जिनके लिए सामान्यतः अदालत के आदेश या warrant की जरूरत होती है, जिससे corporate surveillance और state surveillance की सीमा धुंधली हो जाती है
  • Wall Street Journal की जांच में सामने आया कि Near Intelligence ने ad data brokers से 1 अरब से अधिक devices का data खरीदा और सरकारी contractors के जरिए उसे संघीय military और intelligence agencies तक पहुंचाने वाले contracts किए
  • location data का इस्तेमाल प्रदर्शनकारियों, खास सुविधाओं में जाने वालों, पत्रकारों और whistleblowers के संपर्कों को ट्रैक करने में हो सकता है, जिससे privacy हनन के साथ retaliatory action और false positives का खतरा भी बढ़ता है
  • समाधान के तौर पर Fourth Amendment is Not For Sale Act और व्यापक consumer data privacy कानून की जरूरत है, ताकि सरकार वह data खरीद न सके जिसे वह warrant के बिना हासिल नहीं कर सकती

विज्ञापन डेटा सरकार की निगरानी में कैसे बदलता है

  • अमेरिका में व्यापक संघीय privacy कानून नहीं है, और targeted advertising industry मोबाइल ऐप्स से जुटाए गए personal data पर चलती है
  • corporate surveillance और सरकारी निगरानी के बीच की रेखा कमजोर होने की जड़ data खरीदने की संरचना में है
    • अगर data पूरी तरह encrypted न हो या user ने उसे local device पर सीधे store न किया हो, तो सरकार communication और computing कंपनियों से data हासिल कर सकती है
    • पारंपरिक रूप से इसके लिए अदालत का आदेश चाहिए होता था, लेकिन अब ऐसे मामले बढ़ रहे हैं जहां सरकार adtech industry से data खरीद चुके brokers से उसे सीधे खरीद लेती है

Near Intelligence का मामला

  • Wall Street Journal की जांच में Near Intelligence नाम की कंपनी की data trading संरचना सामने आई
  • Near Intelligence ने brokers से वह personal और device data खरीदा जो आमतौर पर advertisers को बेचा जाता है
    • कंपनी ने कहा कि उसने 1 अरब से अधिक devices से जुड़ा data खरीदा
    • उसने सरकारी contractors के साथ contracts किए, और यह data संघीय military व intelligence agencies तक पहुंचा
  • सरकार इस तरीके से location information तक भी पहुंच खरीद सकती है, जिसके लिए सामान्यतः ठोस कारण दिखाकर warrant लेना पड़ता है
  • कई smartphone app developers revenue के लिए user data सबसे ऊंची बोली लगाने वाले को बेचना चाहते हैं, और खरीदारों में सरकार भी शामिल हो सकती है

बिना warrant location tracking से होने वाला नुकसान

  • पुलिस ऐसे surveillance tools से प्रदर्शनों में शामिल लोगों के devices की पहचान कर सकती है और फिर उन्हें उनके घर तक ट्रैक करके आगे निगरानी, harassment या retaliation का निशाना बना सकती है
  • केवल किसी खास जगह के अंदर मौजूद devices को ट्रैक करना भी संभव है
    • immigration lawyers के दफ्तर
    • reproductive health clinics
    • mental health facilities
  • पत्रकारों और whistleblower sources की गुप्त मुलाकातों पर भी ऐसे tools से निगरानी रखी जा सकती है
  • ऐसे मामले भी रहे हैं जहां law enforcement अधिकारियों ने surveillance technology का निजी दुर्भावनापूर्ण कारणों से दुरुपयोग किया

अधिक पुलिसिंग वाले इलाकों और false positives का जोखिम

  • ऐसी निगरानी उन लोगों को, जो ज्यादा policing वाले इलाकों में रहते या काम करते हैं, पुलिस के शक के दायरे में आने के लिए और ज्यादा असुरक्षित बनाती है
  • भले ही कोई सिर्फ लूट की घटना वाली pizza shop के पास रहा हो, या graffiti के पास coffee break ले रहा हो, उसे crime scene के आसपास मौजूद device के रूप में चिन्हित कर अतिरिक्त निगरानी के लिए चुना जा सकता है

Fog Data Science और विधायी मांग

  • Near Intelligence का मामला EFF द्वारा Fog Data Science की जांच के 1 साल बाद सामने आया
    • Fog Data Science वह कंपनी थी जिसने राज्य और स्थानीय law enforcement को करोड़ों अमेरिकियों की सटीक और लगातार location information तक पहुंच दी
    • यह data smartphone apps से जुटाया गया था और opaque data brokers ने इसे aggregate किया था
    • इस तक पहुंच आसान थी, और अक्सर बिना warrant के मिल जाती थी
  • कांग्रेस को जिस मुख्य loophole को बंद करना चाहिए, वह data broker loophole है
    • Fourth Amendment is Not For Sale Act एक bipartisan bill है, जो अमेरिकी सरकार को ऐसा data खरीदने से रोकेगा जिसके लिए सामान्यतः warrant चाहिए होता है
    • Foreign Intelligence Surveillance Act Section 702 दिसंबर 2023 में समाप्त होने वाला था, और उसके renewal bill में data broker प्रतिबंध जोड़ने का अवसर था
  • कांग्रेस और राज्य सरकारों को व्यापक consumer data privacy law भी बनाना चाहिए
    • अगर कंपनियां user data कम जुटाएंगी, तो सरकार के लिए उनसे खरीदने लायक data भी कम होगा
  • यह सुनिश्चित करने के लिए संस्थागत दबाव जरूरी है कि सरकार खरीदारी के जरिए उस जानकारी तक न पहुंचे जिसके लिए मूलतः warrant चाहिए

1 टिप्पणियां

 
GN⁺ 2023-10-23
Hacker News की राय
  • लेख की चिंता से सहमत हूँ, लेकिन मोबाइल कैरियर्स पर location data बेचने से रोकने का दबाव भी होना चाहिए
    smartphone app developers की ओर इशारा करना भी मूल्यवान है, लेकिन ISP बिना smartphone के भी location जान सकते हैं और वास्तव में कानूनी रूप से इसकी रिपोर्ट करने में सक्षम होने चाहिए(https://en.wikipedia.org/wiki/Communications_Assistance_for_... आदि)
    सोचता हूँ कि क्या EFF मानता है कि बाद वाले मामले को legislation से रोकने की कोशिश अब पहले ही बेकार हो चुकी है

    • बिल्कुल नहीं। EFF उस दिशा में भी बहुत अच्छा काम कर रहा है
      https://www.eff.org/issues/cell-tracking
    • सही बात। उस data के collection को ही रोकने वाले rules होने चाहिए
      लोगों के “owned” devices को lock करके उन्हें countermeasures इस्तेमाल न करने देना भी रोका जाना चाहिए
      इस data का private use, सरकार के use जितना, शायद उससे भी ज़्यादा चिंताजनक है। राज्य कम-से-कम कई बार लोकतांत्रिक जवाबदेही तो रखता है
    • मैंने शुरुआती location aggregation systems में से एक बनाया था। शायद पहला भी रहा हो, लेकिन पक्का नहीं कह सकता
      उस समय मेरी company के अमेरिकी mobile carriers के साथ काफ़ी करीबी रिश्ते थे, और हम मुख्यतः family safety के नाम पर white-label apps बनाते थे। लेकिन बहुत से users को बच्चों से ज़्यादा अपने spouse या partner की location में दिलचस्पी थी
      लगभग उसी समय OAuth 1a आया, और मैंने सोचा कि इस रिश्ते का इस्तेमाल करके consent के आधार पर app developers को location बेचने वाला platform देना अच्छा होगा। उसमें privacy features भी बहुत डालना चाहता था
      आख़िर में थोड़ा भी सफल होने वाला app developer सिर्फ़ एक था, और privacy की कम परवाह करने वाले aggregators ने अगली पीढ़ी के app developers के साथ हाथ मिला लिया, तो product का future ख़त्म हो गया। पुरानी यादें दिलचस्प होती हैं
    • CALEA पारित होने के बाद सारे VoIP और broadband internet traffic तक बड़े विस्तार की बात ऐसे लगती है जैसे law enforcement किसी भी VoIP call को मनमर्ज़ी से tap कर सकती हो। असल में यह कैसे संभव होता है, यह जानना चाहता हूँ
      मेरी समझ में आम तौर पर VoIP call में SIP से सामने वाले को ring किया जाता है (आंशिक रूप से secure), फिर ICE/STUN/TURN से दोनों पक्ष सबसे direct path ढूँढ़ते हैं, और उसके बाद actual voice stream exchange होती है
      क्या clients बस voice stream को encrypt नहीं करते? या carrier पहले SIP hop के बाद सब कुछ man-in-the-middle की तरह intercept करता है? वह “hardware tap या switch/router mirror port से network data की copy किसी dedicated IP probe तक भेजना” वाले read-only surveillance model से मेल नहीं खाता
    • हमेशा चालू GPS receiver साथ लेकर चलने और अपनी location लगातार third parties को भेजने के जोखिम के बारे में बेहतर education की भी ज़रूरत है
      यह victim blaming जैसा लग सकता है। फिर भी फ़ोन बंद करने का विकल्प मौजूद है
  • AdInt की अवधारणा भी देखने लायक है। इसका ज़िक्र https://www.theregister.com/2023/09/16/insanet_spyware/ में था, और यह कैसे काम करता है, इस पर ज़्यादा विवरण इज़राइली अख़बार Haaretz की मूल जाँच https://archive.ph/7dbaV में है
    यह पहले भी पोस्ट हुआ था, लेकिन उस पर सिर्फ़ 2 comments थे: https://news.ycombinator.com/item?id=37542097

  • लगता है यह मामला लोगों की सोच से कहीं ज़्यादा बुरी तरह ख़त्म होगा
    क्या corporations का सरकार के साथ मिल जाना fascism की परिभाषा नहीं है? अगर है, तो लगता है हम अभी वही देख रहे हैं

    • इसे सामान्य अर्थ में fascism कहना मुश्किल है, लेकिन यह जो सब है उसका बुरा अंत होगा — यह instinct शायद सही निकल सकती है
      Snowden खुलासों के बाद हमने जाना कि कई देशों ने vulnerabilities जमा कीं और ऐसे digital power gaps बनाए जिन्हें मामूली उद्देश्यों के लिए भी इस्तेमाल किया जा सकता है
      NSO Group ने दिखाया कि किसी भी फ़ोन में बिना अतिरिक्त software के लगभग चुपचाप घुसा जा सकता है, और हाल की Canada/India murder investigation जैसी बातें यह संकेत देती हैं कि जो channels सुरक्षित माने जाते थे, वे भी आख़िरकार intercept किए जा सकते हैं
      आज China या NSA वास्तव में कहाँ तक जा सकते हैं, इसकी कल्पना करना भी मुश्किल है। अभी तक महाविनाश टला है, लेकिन surveillance और internet control की रेखा पहले ही खिंच चुकी है — यह एहसास लगातार मज़बूत हो रहा है। फिर भी अगर कोई इससे ज़्यादा आशावादी व्याख्या का मज़बूती से बचाव कर सकता है, तो सुनना चाहूँगा
    • “सरकार और corporations मिल जाएँ तो वह fascism है” — यह परिभाषा मैंने पहली बार सुनी है
      आम तौर पर fascism को authoritarian nationalism, केंद्रीकृत तानाशाही नेतृत्व, militarism, विरोधियों का दमन, राज्य या नस्ल के हित के नाम पर व्यक्ति के हितों को अधीन करना, और प्राकृतिक सामाजिक hierarchy में विश्वास बनाए रखने के लिए propaganda से परिभाषित किया जाता है
    • पहले मैं भी मानता कि ऐसे abuses का बुरा अंत होगा, लेकिन Snowden और Wikileaks के खुलासों के बाद भी हमने देखा कि हमारी संस्थाएँ कितनी nihilistic और दुष्ट हो सकती हैं, और फिर भी ख़ास बदलाव नहीं आया
      उन खुलासों का मुख्य प्रभाव populism का उभार था, लेकिन White House का एक कार्यकाल खोने के अलावा कोई स्थायी असर नहीं पड़ा, और वह populist प्रतिक्रिया भी लगभग दबा दी गई
      अगर बदलाव लाना है, तो शायद तब और पहले दख़ल देना होगा जब सिर्फ़ सनकी fringe लोग ही इसकी बात कर रहे हों — जैसे 25 साल पहले, या 25 साल बाद — ताकि अगली लहर को किसी और दिशा में मोड़ा जा सके
    • आज की web surveillance, आगे जो आने वाला है उसके मुक़ाबले मामूली लगेगी
      Quest 3 और Apple Vision तो बस शुरुआत हैं, और जब हर कोई AR devices पहनकर घूमेगा, तब point cloud से बाहर निकलने का कोई रास्ता नहीं बचेगा
      इन कंपनियों के पास public spaces में हर व्यक्ति कहाँ है और क्या कर रहा है, इसका real-time graph होगा — यहाँ तक कि वे लोग भी शामिल होंगे जिन्होंने कभी उनकी कोई service इस्तेमाल नहीं की। डरावना है
    • बल्कि यह लगभग उल्टा है। अगर सरकार fascist होती, तो executive branch प्रभावी रूप से market और corporations को control करती
      लेकिन यह रुझान ज़्यादा उस दिशा का लगता है जहाँ corporations प्रभावी रूप से सरकार को control और replace करना चाहती हैं। stakeholder capitalism जैसी विकृत सोच अपने स्वाभाविक नतीजे तक पहुँचती दिख रही है
  • “अगर डेटा पूरी तरह encrypted नहीं है या सीधे local पर stored नहीं है, तो सरकार telecom या computing company से वह डेटा हासिल कर सकती है। पारंपरिक रूप से इसके लिए court order चाहिए होता था, लेकिन अब सरकारें ad-tech industry से डेटा खरीदने वाले data brokers से उसे बस खरीद लेती हैं” — यही मुख्य बात है.
    मेरा मानना है कि ad-tech industry में Meta और Google भी शामिल हैं। लेकिन कुछ लोग यह कहकर नाराज़ हो जाते हैं कि “Meta वास्तव में तुम्हारा डेटा नहीं बेचता” या “Google वास्तव में तुम्हारा डेटा नहीं बेचता”.
    अगर ये कंपनियाँ इस ecosystem में भाग लेती हैं और data brokers से खरीदती हैं, तो वे data brokers जितनी ही बुरी हैं। Meta और Google को इस रिश्ते से ज़्यादातर पैसा कमाने, surveillance को संभव बनाने, और फिर भी आलोचना से ऊपर किसी जिम्मेदार वयस्क होने का दिखावा नहीं करना चाहिए

    • और भी ज़्यादा झुंझलाने वाली बात यह है कि सरकार खुद अपनी websites पर इन services का सीधे इस्तेमाल करती है।
      उदाहरण के लिए dmv.ca.gov और irs.gov दोनों अपनी site पर हर जगह Google का उपयोग करते हैं।
      जब सरकार identity verification, CAPTCHA जैसी चीज़ों के लिए Google को समाधान बना लेती है, तो पूरी संरचना ही टूट जाती है
  • मैंने कभी यह बात सुनी थी कि “उन्नत तकनीक वाली लोकतांत्रिक व्यवस्था, आदिम तकनीक वाली तानाशाही से कम स्वतंत्र होती है”

    • यह कहने वाला मूर्ख था। Ancient Egypt, Inquisition काल का Spain, Nazi Germany, और GDR के जीवन के बारे में पढ़ना चाहिए।
      ये आज के Switzerland, New Zealand, Denmark, Estonia, Ireland की तुलना में तकनीकी रूप से पीछे थे, लेकिन ज़्यादा स्वतंत्र नहीं थे [1]
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • मेरे हिसाब से मेरा personal data ऐसी चीज़ नहीं है जिसे FTC को “protect” या “regulate” करना चाहिए।
    प्रभावी होने वाला एकमात्र कानून वही होगा जो user की explicit consent (जैसे cookie confirmation) के बिना personal user data की बिक्री के पूरे point-of-sale को पूरी तरह प्रतिबंधित कर दे, लेकिन ऐसा कभी नहीं होगा।
    और अगर यह इतना खुल्लमखुल्ला है, तो मुझे यह भी हैरानी है कि अभी तक कोई मुकदमा क्यों नहीं हुआ। अमेरिकी सरकार पहले से ही Constitution और Fourth Amendment से बंधी हुई है। मुझे नहीं लगता कि ऐसे लोगों द्वारा बनाए गए आधे-अधूरे कानून की ज़रूरत है जिन्हें खुद पता नहीं कि वे क्या कर रहे हैं।