平衡国家安全与隐私:审查 OSINT 实践中商业可用信息的使用
简·贾普厄勒曼斯https://orcid.org/0000-0002-7854-8047和桑德朗根赫伊曾
摘要
开源情报 (OSINT) 研究人员利用专门的工具同时访问来自多个来源的大量数据。这些工具配备了(付费) 模块,允许用户利用包含商业可用信息的聚合数据集,例如来自手机用户的位置数据。情报和安全部门对来自 OSINT 工具的商业可用信息的利用影响基本权利和自由;更具体地说,影响个人数据保护权。根据在荷兰情报和安全部门监督委员会内就此主题开展工作的先前经验以及 OSINT 实践的国际发展,本文对这种新的 OSINT 实践和监督机构的反应提供了见解。本文不主张一刀切的禁令,而是建议采用更精细的方法来处理来自 OSINT 工具的商业可用信息。在荷兰监督机构和美国国家情报总监办公室工作的基础上,本文向情报和安全部门提出了四项建议,要求它们在 OSINT 实践中负责任地处理商业可用信息。
本文表达的观点为作者的观点,不一定反映荷兰政府的观点。
© 2024 作者。由 Taylor & Francis Group, LLC 授权出版
这是一篇开放获取的文章,根据知识共享署名许可条款发布(http://creativecommons.org/licenses/by/4.0/),允许在任何媒体中不受限制地使用、分发和复制,前提是正确引用原始作品。本文发表的条款允许作者或经其同意将已接受的手稿发布在存储库中。
在当今的数字时代,开源情报 (OSINT) 是收集有关国家安全威胁信息的重要工具。例如,视频片段揭露了阿萨德政权在叙利亚使用化学武器的证据。1俄罗斯入侵乌克兰后,军队的战场动向可以通过社交媒体帖子2以及商业卫星图像进行追踪3,开源情报被视作对国家安全的威胁。例如,据报道,ZG利用泄露的数据揭露了美国在非洲和欧洲的情报人员,4一款食品配送应用程序的泄密事件导致疑似俄罗斯情报人员的个人数据被泄露。5广告技术也可能使情报和安全人员以及政治领导人遭受勒索和黑客攻击,从而破坏其组织和机构的安全。6
情报和安全部门对 OSINT 工具中商业可用信息的利用进行了严格审查,考虑到其对个人数据保护权的影响。该分析以荷兰情报和安全部门监督委员会和美国国家情报总监办公室的先前工作为基础。该分析仅限于 OSINT 工具背景下的商业可用数据的使用。在其他背景下(例如网络安全或金融领域)的商业可用数据的使用可能需要进一步研究。7
首先,本文考察了 OSINT 实践的国际发展,特别是关于商业可用信息的收集和处理。其次,分析了这种OSINT 实践对基本权利和自由的影响,特别是从隐私权和数据保护的角度。最后,本文对这种新兴的 OSINT 实践进行了评估并提出了监管建议,以便为情报和安全部门建立一个法律框架,使其在 OSINT 实践中负责任地处理商业可用信息。
开源情报及商业可用信息
什么是 OSINT?
OSINT可以定义为“根据公开信息而产生的情报,这些信息被及时收集、利用并传播给适当的受众,以满足特定的情报需求”。8OSINT 的一些主要用途是预警、情报收集、反恐、地理空间分析、(反)影响行动和网络安全。
OSINT 包括来自社交媒体、网站、新闻文章、博客和公共记录的数据。然而,在当今时代,它还可能包括泄露的数据和商业上可用的位置数据。OSINT 从业者使用各种工具和技术来收集和分析信息,包括网络抓取、数据挖掘、社交网络分析和地理空间映射。9
经常出现的问题是,商业信息的收集和处理是否仍可视为“公开信息”和 OSINT 实践。2020 年,美国司法部长程序规定,“信息只有在普遍向公众开放的情况下才可公开获取”,并且“商业数据获取可能经过量身定制和专门用于政府用途,而处于类似情况的私营部门购买者无法获得,因此数据不能被视为公开获取。”10相比之下,欧洲刑警组织的规定明确指出,“欧洲刑警组织可以直接从公开来源检索和处理数据,包括个人数据,例如媒体和公共数据以及商业情报提供商。”11
归根结底,OSINT 和商业可用信息的定义无关紧要。现代 OSINT 与商业可用信息的获取和后续处理密不可分。从法律角度来看,这种 OSINT 做法值得公众关注,因为它严重干涉了隐私权,并可能导致数据保护风险。
OSINT 工具
通过 OSINT 收集信息的历史可以追溯到 19 世纪中叶的美国和 20 世纪初的欧洲。12近年来,开源情报(OSINT) 专业 (商业) 工具的创建和使用取得了重大进展。这些工具帮助情报部门查阅各种开源资源,包括社交媒体,如 Facebook 和 X (以前的Twitter)。这些开源情报工具的例子有 SpiderFoot、Recon-ng、Maltego 和Shodan。十三
与使用网络浏览器进行的标准开源调查相比,OSINT 工具具有两大优势。首先是易于使用;使用自动化 OSINT 工具进行一次搜索即可同时查询数百个来源。然后,该工具可以提供结果的可视化表示。14
使用此类工具的第二个主要优势是,它们可以访问工具供应商以商业方式提供的数据源。这些工具允许用户使用付费模块或“插件”来访问更多数据,包括聚合数据集。供应商可以将这些数据集聚合为一个可搜索的源(“复合数据集”),在某些情况下,它可能包含数十亿个数据点。15
这些专门提供 OSINT 工具的公司的收入模式就是基于提供这些付费模块。16荷兰情报和安全服务审查委员会将这种自动化数据处理和工具的使用称为“自动化 OSINT”。17监督机构的报告显示了开源情报工具与商业可用信息的使用是如何密不可分的。
商业信息与国家安全
在 OSINT 的背景下,商业可用信息是指公司提供的数据集,通常是通过其 OSINT 工具中的付费模块提供的。这些数据集有时包含从互联网上“抓取”的数据,这意味着这些数据是根据前缀参数从可公开访问的来源自动收集的。18
除了抓取的历史数据外,此类数据集还可能包括有关加密货币交易、泄露数据集和广告数据的信息。广告数据还可以包括位置数据。应用程序或网站提供商生成的有关用户的信息(例如通过 cookie 或广告)通常会出售给其他方或与其他方交换。这些数据(也称为广告情报)最终可能会出现在商业数据集中,可以通过 Web 浏览器或使用自动化 OSINT 工具进行搜索。19向客户出售(汇总)数据集的商业方通常使用数据经纪人来获取数据。数据经纪人是一个价值数十亿美元的市场,20收集和存储涵盖几乎每个消费者的数十亿数据元素。21主要数据经纪商的例子有埃森哲(Accenture)、LexisNexis 和甲骨文(Oracle)(Datalogix)。22
这些“数据经纪人”的客户大多是营销公司、对冲基金、房地产公司和其他数据经纪人。但也有少数公司向执法机构和情报机构出售信息。23提供商业可用信息的服务提供商的例子有 Venntel、Anomaly Six 和 Babel Street。24“电子前沿基金会”将政府组织利用商业信息的做法可视化为以下信息图:图 1。
图 1. 向政府出售数据的经纪人。电子前沿基金会,“联邦政府如何购买我们的手机位置数据”(2022年 6 月 13 日),https://www.eff.org/deeplinks/2022/06/how-federal-government-buys-our-cell-phone-location-data
利用开源情报 (OSINT) 和商业可用信息保护国家安全
情报和安全部门可以使用 OSINT 工具和商业可用信息来保护国家安全。情报和安全部门收集有关可能威胁国家安全的目标的信息。这些目标例如可能参与策划恐怖袭击的圣战分子或右翼极端分子。其他目标可能是来自其他情报和安全部门的个人(外国情报官员)。有关这些目标的个人数据将被获取和处理以用于(反)间谍目的。OSINT 对情报领域的意义也在美国第一个 OSINT 战略中变得清晰起来,该战略恰如其分地命名为“首选情报科目:释放 OSINT 的价值”(于 2024 年 3 月发布)。二十五
OSINT 工具可用于快速收集各种在线资源上的个人信息,例如由各种搜索引擎索引的网站、社交媒体服务以及互联网论坛上的公开信息。许多人还会在社交媒体服务上无意中发布身份信息(包括位置数据),这些信息可能会被情报和安全部门使用。二十六例如,Pastor-Galindo 等人表明,叙利亚和伊拉克的 ISIS 战士可以通过他们在 Instagram 或 Twitter 上无意发布的带有地理标记的照片被追踪。二十七此类信息最终也可能成为广告数据中可供商业使用的信息。二十八
开源情报和商业信息对国家安全构成威胁
然而,商业上可获得的信息也可能带来威胁国家安全受到威胁,因为其可能被对手利用。这种观点在美国尤为盛行。对手也会收集有关其自身目标和外国军队调动的信息。二十九例如,据报道,ZG维护着一个庞大的系统,从 TikTok、X 和 Facebook等平台收集社交媒体用户的数据。三十
此前有新闻报道称美国政府部门利用商业信息,31美国的政治辩论似乎已经从隐私问题转向国家安全问题。三十二这导致总统于 2024 年 2 月 28 日发布行政命令,以保护美国人的敏感个人数据免遭“令人担忧的国家”的利用。33
该行政令以先前的措施为基础,授权司法部长和国土安全部长监管数据传输并提出安全措施。这包括禁止或限制大规模数据传输,并实施保护措施,防止外国实体获取敏感数据。虽然这是应对数据经纪行业风险的重要一步,但这项行政令并非万能药。时间将告诉我们,最终将通过哪项立法来监管美国的数据经纪。
隐私权,开源情报以及商业上可用的信息
为了确定应如何规范情报和安全部门对 OSINT 工具和商业可用数据的使用,根据《欧洲人权公约》(ECHR)第 8 条中的隐私权对这种情报方法进行了测试。三十四
商业信息和隐私权
在情报领域,OSINT 经常被描述为“首选来源”。三十五情报和执法机构经常使用“开源”和“公开信息”等术语来收集信息,而几乎没有法律要求。然而,必须考虑到,标有“开源”或“公开”的信息实际上可能并不容易被公众获取。现代 OSINT 技术的使用引发了对隐私、公民自由和滥用可能性的担忧。
从欧洲法律角度来看,使用 OSINT 工具收集和处理数据显然会侵犯《欧洲人权公约》第 8 条保护的隐私权。三十六欧洲人权法院在判例中明确指出,情报和安全部门以及执法机构存储和处理个人数据侵犯了《欧洲人权公约》第8条保护的私人生活权。三十七因此,这种隐私干涉只有在满足某些条件时才是合理的。这些将在下一节中解释。
干涉隐私权的正当标准
《欧洲人权公约》第8(2)条规定,当满足以下三个条件时,这种隐私干涉是合法的:(1)具有合法目的;(2)干涉“符合法律规定”;(3)干涉“在民主社会中是必要的”。
收集和处理数据的合法目的是保护国家安全。在实践中,当情报手段干涉隐私权以保护国家安全时,各国很少会遇到争论和证明“追求合法目的”的问题。
各国必须争辩说,情报方法的使用“符合法律”。欧洲人权法院对“法律”一词的解释很宽泛。根据欧洲人权法院的说法,法律既包括 (1) 成文法,包括已发布的调查方法应用指南,也包括 (2) 非成文法,例如已解决的判例法。三十八欧洲人权法院在其判例法中规定,对侦查方法的规制必须满足以下三个要求才能被视为“依法”:(1)可及性,(2)可预见性,以及(3)一定的法律质量。三十九可获取法律是指成文法、判例法或指南必须公开。因此,秘密指南不被视为可获取法律。40可预见性要求规定:(a)主管当局的权力范围和(b)情报方法的实施方式必须对相关个人明确。换言之,国家法律必须明确、可预见且易于理解。
情报方法不能通过赋予执法当局“不受约束的权力”来规范。41欧洲人权法院可以要求“一定的法律质量”,涉及(1)法规的详细程度和(2)《欧洲人权公约》缔约国的国内法律框架中必须实施的最低程序保障。这些详细的法规和国内法程序保障旨在抵消政府滥用权力的风险。四十二欧洲人权法院要求的规定和最低程序保障的详细程度将取决于调查的强度和对隐私权的干涉。43欧洲人权法院通常会考虑案件的情况,例如可能采取措施的性质、范围和持续时间;下令采取这些措施的理由;有权授权、执行和监督这些措施的当局;以及国家法律规定的补救类型。四十四
当前 OSINT 实践中的隐私干扰
目前尚无关于在 OSINT 实践中收集和处理公开信息和商业信息的法律案例。因此,尚不清楚欧洲人权法院在这方面将要求何种程度的法规和程序保障。此外,执法机构和情报与安全部门对 OSINT 实践的监管也有所不同。四十五尽管如此,隐私干扰的标准及其机制保持不变。因此,这些标准用于确定如何规范 OSINT 工具和商业可用信息的收集。
一般而言,成文法或指导方针应明确说明情报和安全部门是否可以利用 OSINT 工具和商业可用信息执行任务。这将满足“可访问和可预见的法律”标准。“法律质量”和所需的程序保障更难确定。各国可以将获得独立机构或法官授权获取商业可用信息的要求视为程序保障。收集数据的必要性、比例性和辅助性必须在书面文件中得到证明,然后由独立机构进行评估。这可以降低情报和安全部门滥用此类数据的风险。此外,在处理个人信息时必须应用数据保护原则,以保护所涉个人的隐私权。
当使用 OSINT 工具并收集和处理商业可用信息时,隐私干扰会非常严重,可能需要额外的法规和程序保障。以下因素可能有助于确定隐私干扰的严重程度和是否需要额外的保障。这些因素是 (a) 数据的类型,(b) 收集和随后存储的数据的规模,以及 (c) 其后续分析。四十六
例如,当数据从新闻文章和社交媒体服务的可公开访问部分复制时,对隐私权的干扰最小。当处理位置数据和泄露的数据集时,对隐私权的干扰可能很大。四十七显然,包括从欧洲关于情报和安全部门处理位置数据的判例法来看,位置数据的处理严重干扰了个人数据和隐私保护的权利。四十八位置数据可以确定一个人的生活概况和日常生活规律、居住地以及在特定地点居住的时间。49位置数据与其他数据(例如收集数据的应用类型)结合时也会变得敏感。例如,媒体报道称,第三方或数据经纪人从 Muslim Pro 和 Muslim Mingle 等热门应用中收集数据,这些数据被出售给商业机构和政府机构,包括美国军方。50
目前尚无关于情报和安全部门或执法部门收集和处理泄露数据集时侵犯隐私的严重程度的判例法。然而,数据集的规模可能很大,收集和提供非公开数据以及交易被盗数据在许多国家(包括荷兰)都是犯罪行为。这表明了人们如何从隐私权的角度看待这类信息。51
对收集到的数据进行后续分析也是确定侵犯隐私权的严重程度和是否需要额外保障措施的一个因素。在与大规模拦截有关的判例法中,欧洲人权法院也明确表示,它认为隐私侵犯在分析阶段最为严重。52显然,至少应该采用数据保护原则作为保障措施。53这意味着在将个人数据存储在目标文件中时应进行必要性和相称性测试,应对数据进行充分保护,并应在有限的时间内保留数据。54请注意,这些保障措施只有在实践中应用并能受到独立有效的权威机构事后审查时才能有效。
商业可用信息的实践使用和限制
为了进一步说明情报和安全部门在实践中对 OSINT 工具和商业可用信息的使用和限制,本节分析了荷兰情报和安全部门审查委员会的报告和美国国家情报总监办公室 (ODNI) 的报告。
荷兰关于“自动化开源情报”的报告
2022年 9 月,荷兰情报和安全服务审查委员会发布了题为“自动化 OSINT”的报告,该报告介绍了 OSINT 工具的使用和商业可用信息的英文版。55
荷兰情报和安全服务审查委员会发现,荷兰的情报和安全服务部门都使用了 OSINT 工具和商业上可用的信息。情报和安全总局只是偶然使用这些 OSINT 工具,以收集有关威胁荷兰国家安全的目标的信息。军事情报和安全局经常使用 OSINT 工具和商业上可用的信息。自动化 OSINT 工具由军事情报和安全局的一个专业部门部署,其使用是 OSINT 专业人员情报流程的标准组成部分。56
在荷兰法律框架中,开源情报收集可以基于情报和安全部门为保护国家安全而收集情报的一般法律基础进行。如果要获取个人私生活的某些方面的“或多或少的完整信息”,则必须使用特殊调查权力从可公开访问的信息来源系统地收集个人数据。57
此外,各部门使用自动化开源情报工具进行的数据处理必须遵守《荷兰情报和安全服务法》中有关数据处理的一般规定。其中包括处理数据的必要性和比例性测试,以及数据可靠性测试。荷兰审查委员会认为进行这项测试尤为重要前部署了这样的 OSINT 工具后,服务部门可以深入了解该工具的运作方式以及底层数据源。要进行比例评估,必须事先了解工具的工作原理(功能)和底层数据源。
简而言之,荷兰审查委员会发现,荷兰情报和安全部门检查了这些 OSINT 工具具有哪些操作价值,并在此过程中评估了目的和必要性的要求。但是,他们未能充分审查对数据主体基本权利的影响。“数据保护影响评估”将有助于识别合规风险,并应导致采取措施遵守这些数据保护法规。评估可能会导致情报和安全部门决定不使用 OSINT 工具的某些功能或不复制这些工具呈现的某些结果。此外,情报和安全部门可以限制某些(受过培训的)员工使用 OSINT 工具和商业上可获得的信息,而这些员工则可以依靠明确的政策、程序和工作指示来开展工作。58
美国商业可用信息报告 (CAI)
2022年 1 月 27 日,ODNI 发布了一份关于情报界 (IC) 处理 CAI 的报告。59高级顾问小组在其报告中发现,商业信息既是情报的有力工具,也是个人隐私和公民自由的敏感信息。他们不赞成全面禁止使用商业信息。然而,考虑到“隐私和公民自由问题以及可能限制获取 CAI 的立法”,“情报界应该在这一领域制定深思熟虑且平衡的方法。”60
简而言之,该专家组得出了与荷兰监督机构类似的建议,指出 IC 必须首先了解其如何处理商业可用信息,然后才能做出改进。61这与数据保护影响评估非常相似。只有“了解你的数据”才能评估和降低风险。
最值得注意的是,专家组建议情报界应首先制定一个多层次的流程,对商业可用信息进行分类,并关注采购合同、数据流和数据使用。其次,情报界应根据从该流程中获得的知识,制定一套商业可用信息的标准和程序。要制定这些标准和程序,必须做到以下几点:(1) 确定任务分析的需求/价值(必要性测试);(2) 解释他们打算如何使用它;(3) 分析供应商和数据质量;(4) 应用和评估采购机制;(5) 注意数据安全;(6) 法律审查;(7) 审计商业可用信息的使用情况;(8) 定期重新评估。62
该小组还提供了处理商业可用信息时的实用建议作为保障措施。这些建议包括:(1) 数据最小化方法和技术,包括通过访问供应商的数据而不是批量获取数据来获取商业可用信息的能力;(2) 对商业可用信息的保留、访问、查询、其他使用和传播的限制;(3) 可能要求对相关人员进行特殊培训,并对商业可用信息的查询和其他使用进行审计。63
2024 年 5 月,美国情报部门根据专家组的建议,发布了《商业可用信息政策框架》。该框架涵盖了上述许多方面。首先,它制定了“管理所有商业可用信息的访问、收集和处理的一般原则”,例如,确定生成和汇总商业可用信息的方法,并评估他们访问或收集的商业可用信息的完整性和质量。其次,它制定了一个框架来管理某些敏感形式的商业可用信息的访问、收集和处理。
如果 CAI 由商业实体购买或提供,则该 CAI 被视为“敏感”信息,简而言之,它包含来自美国人的“大量”个人身份信息,或“超过最低限度”的敏感数据(例如政治观点和性取向),或捕获敏感活动(“在较长时间内形成生活模式的活动”)。对于这些敏感形式的 CAI,引入了增强的保护措施。这些措施包括应用隐私增强技术,例如过滤或匿名化数据,或实施限制数据访问的程序。该框架还承诺每两年向公众提供一份关于敏感 CAI 的访问、收集、处理和保护的报告。
简而言之,该框架中的措施有助于负责任地收集情报。然而,该框架也赋予各机构很大的自由裁量权,以决定此类信息是否敏感,是否值得加强保障。64
结论
OSINT的作用远不止收集新闻网站上的文章或社交媒体服务上可公开访问的数据。OSINT 工具使情报和安全服务能够同时查询数百个来源并提供结果的可视化表示。此外,OSINT工具可以提供对商业可用信息的访问。这些数据集又由(基本上不受监管的)数据经纪人提供,并提供给执法机构以及情报和安全服务。
新闻报道、荷兰情报和安全服务审查委员会的报告以及国家情报总监办公室的报告和框架表明,情报和安全服务在实践中利用了 OSINT 工具和商业信息。在美国,新闻报道引发了一场关于商业信息如何对隐私构成威胁的公开辩论,但在政治层面上,它主要被视为对国家安全的威胁。
目的是阐明情报专业人员如何合法使用商业可用信息来保护国家安全,并为情报和安全部门提供负责任地处理这些信息的实用建议。因此,确定了源自隐私权的法律要求,并分析了两份关于情报和安全部门处理商业可用信息的报告。这项分析得出的结论是,各国需要平衡国家安全和隐私,并采取以下四个步骤负责任地收集和处理商业可用信息:
1.在使用 OSINT 工具或获取商业可用信息之前,情报和安全部门必须注意:(a)数据如何被处理,(b)什么数据被处理,以及(c)为什么处理数据,以识别滥用这些数据的风险。换句话说,情报和安全部门应该首先在数据保护影响评估中评估其影响,并采取措施降低风险。
2.情报部门应制定标准和程序并实施保障措施,例如确定使用这些数据的必要性和价值(同时平衡其与基本权利的影响)、分析供应商和数据质量、应用获取机制(例如采购程序)并定期评估这些标准。然后,情报和安全部门应在处理商业可用信息时实施保障措施,例如数据最小化方法和技术,以及对商业可用信息的保留、访问、查询、其他用途和传播的限制。
3.必须对 OSINT 从业人员进行适当的培训,让他们了解使用 OSINT 工具时应注意的事项。情报和安全部门应定期评估其政策和指导方针,并审查其做法。
4.独立有效的监督机构应审查立法和内部政策是否得到遵守。
这些步骤将有助于确保实施保障措施,防止在现代 OSINT 实践中滥用个人信息。
参考文献
1.国际特赦组织,《公开来源证据如何在应对杜马化学武器袭击中发挥主导作用》,2023 年 4 月 23 日,https://www.amnesty.org/en/latest/news/2018/04/how-open-source-evidence-took-a-lead-role-in-the-response-to-the-douma-chemical-weapons-attack/
2.杰克·休森,“一家私人公司正在利用社交媒体追踪俄罗斯士兵”对外政策,2023年3月2日,https://foreignpolicy.com/2023/03/02/ukraine-Russia-war-military-social-media-osint-open-source-intelligence/
3.多伊娜·恰库 (Doina Chiacu),“马克萨尔称,俄罗斯地面部队和坦克车队正向基辅驶去”,路透社2022年2月27日,https://www.reuters.com/world/europe/ Russian-convoy-ground-forces-fuel-tanks-moving-toward-kyiv-maxar-2022-02-27/
4.扎克·多夫曼,《中国利用窃取的数据揭露中情局在非洲和欧洲的特工》对外政策,2020年12月21日,https://foreignpolicy.com/2020/12/21/china-stolen-us-data-expose-cia-operatives-spy-networks/
5.Aric Toler,《食品配送泄密事件揭露俄罗斯安全特工》贝灵猫,2022年4月1日,https://www.bellingcat.com/news/rest-of-world/2022/04/01/food-delivery-leak-unmasks- Russian-security-agents/
6.约翰尼·瑞安 (Johnny Ryan) 和沃尔菲·克里斯特尔 (Wolfie Christl),“欧洲隐藏的安全危机:有关欧洲国防人员和政治领导人的数据如何流向外国和非国家行为者”(爱尔兰公民自由委员会,2023 年),https://www.iccl.ie/wp-content/uploads/2023/11/Europes-hidden-security-crisis.pdf
7.例如,请参阅 JD Work 的《评估商业网络情报活动》国际情报与反情报杂志, 第 33 卷,第 2 期(2020 年),第 278-308 页。
8.美国国家情报总监办公室,《2011 年美国国家情报概览》https://www.govinfo.gov/content/pkg/GOVPUB-PREX28-PURL-gpo19700/pdf/GOVPUB-PREX28-PURL-gpo19700.pdf
9.例如,请参阅 Heather J. Williams 和 Ilana Blum 的《为国防企业定义第二代开源情报 (OSINT)》 (加利福尼亚州圣莫尼卡:兰德公司,2018 年),https://www.rand.org/content/dam/rand/pubs/research_reports/RR1900/RR1964/RAND_RR1964.pdf
10.美国国家情报总监办公室,《司法部长根据第 12333 号行政命令批准的情报活动程序》https://www.intelligence.gov/assets/documents/702%20Documents/declassified/AGGs/ODNI%20guidelines%20as%20approved%20by%20AG%2012.23.20_OCR.pdf
11.参见欧盟理事会 2009 年 4 月 6 日关于设立欧洲警察组织办公室的决定(2009/371/JHA)第 25(4) 条,《欧盟官方公报》L 121/37。
12.Ludo Block,《开源情报的悠久历史》情报史杂志, 第 23 卷,第 2 期(2023 年),第 95-109 页。
13.Javier Pastor-Galindo、Pantaleone Nespoli、Felix Gómez Mármol 和Gregorio Martínez Pérez,“尚未开发的OSINT 金矿:机遇、开放挑战和未来趋势”IEEE 访问, 第 8 卷(2020 年),第 10282-10304 页。
14.例如,请参阅约瑟夫·考克斯 (Joseph Cox) 的《美国军方如何从普通应用程序购买位置数据》副,2020年11月16日,https://www.vice.com/en/article/jgqm5x/us-military-location-data-xmode-locate-x; Charlie Savage,《备忘录称情报分析人员未经授权使用美国智能手机位置数据》纽约时报,2021年1月22日,https://www.nytimes.com/2021/01/22/us/politics/dia-surveillance-data.html
15.荷兰情报和安全服务审查委员会,《自动化 OSINT:开源调查的工具和来源》(报告编号 74,2022 年),https://english.ctivd.nl/binaries/ctivd-eng/documenten/review-reports/2022/09/19/index/CTIVD+NR74+Toezichtsrapport+ENG.pdf,第 3 页。
16.Hamilton Bean 的《国家情报总监的开源中心:组织沟通视角》一文中对经纪费进行了批评。国际情报与反情报杂志, 第 20 卷,第 2 期(2007 年),第 240-257 页。
17.荷兰情报和安全服务审查委员会,“自动化 OSINT”,第 3 页。
18.早在 1995 年,互联网数据的收集和与 OSINT 的关系就已得到承认(参见科学与技术情报委员会开放源代码小组委员会记录,1991 年 10 月至 1995 年(《信息自由法》文件,2022 年 2 月 8 日发布),https://www.cia.gov/readingroom/document/06798974)请参阅 Robert David Steele 的《开源程序:行动中的缺失》国际情报与反情报杂志,第 21 卷,第 3 期(2008 年),第 609-619 页,对这些“互联网抓取”活动的批评。
19.Paul Vines、Franziska Roesner和 Tadayoshi Kohno,《探索 ADINT:使用广告定位进行预算监控 - 或者 Alice 如何购买广告来追踪 Bob》,2017 年电子社会隐私研讨会论文集,ACM(2017 年),第153–164 页。另请参阅荷兰情报和安全服务审查委员会,“自动化 OSINT”。
20.Transparency Market Research,《数据经纪商市场》,2022 年,https://www.transparencymarketresearch.com/data-brokers-market.html
21.美国联邦贸易委员会,《数据经纪人:呼吁透明度和问责制:联邦贸易委员会报告》(2014 年 5 月)https://www.ftc.gov/reports/data-brokers-call-transparency-accountability-report-federal-trade-commission-may-2014,第 43 页。
22.美国国家情报总监办公室,《国家情报总监办公室高级顾问小组关于商业可用信息的解密报告》(2022 年 1 月,2023 年 6 月解密),https://www.dni.gov/files/ODNI/documents/assessments/ODNI-Declassified-Report-on-CAI-January2022.pdf
23.Thorsten Wetzling 和 Charlotte Dietrich,《商业和公开数据的过度使用:欧洲情报改革的下一个前沿?》(Stiftung Neue Verantwortung,2022 年),https://www.stiftung-nv.de/sites/default/files/snv_commercially_available_data.pdf.pdf
24.Bennett Cyphers,《联邦政府如何购买我们的手机位置数据》,电子前沿基金会,2022 年 6 月 13 日,https://www.eff.org/deeplinks/2022/06/how-federal-government-buys-our-cell-phone-location-data
25.美国国家情报总监办公室,《2024-2026 年 IC OSINT 战略》(2024 年 3 月),https://www.dni.gov/files/ODNI/documents/IC_OSINT_Strategy.pdf
26.Vines等人,“探索 ADINT”,第 153-164 页。
27.Pastor-Galindo等人,“尚未开发的 OSINT 金矿”,第 31 页。
28.例如,Ryan 和 Christl 提到了数据经纪人提供的一类名为“政府——情报和反恐”的数据,这些数据“来自社交分享、搜索页面访问和共享页面的点击返回”。Ryan 和 Christl,《欧洲隐藏的安全危机》,第 11-12 页。
29.例如,请参阅拜伦·陶的《在热点地区追踪美国士兵手机的简易方法》华尔街日报,2021年4月26日,https://www.wsj.com/articles/the-ease-of-tracking-mobile-phones-of-us-soldiers-in-hot-spots-11619429402; Michael Kans,“数据经纪人和国家安全”,法律战,2021年4月29日,https://www.lawfaremedia.org/article/data-brokers-and-national-security
30.凯特·卡德尔,《文件显示中国收集大量西方目标数据》华盛顿邮报,2021年12月31日,https://www.washingtonpost.com/national-security/china-harvests-masses-of-data-on-western-targets-documents-show/2021/12/31/3981ce9c-538e-11ec-8927-c396fa861a71_story.html; Brian Fung,《立法者称 TikTok 构成国家安全威胁,但证据尚不明确》,美国有线电视新闻网,2023年3月21日,https://edition.cnn.com/2023/03/21/tech/tiktok-national-security-concerns/index.html
31.例如,请参阅 Cox 的《美国军方如何从普通应用程序购买位置数据》;Tau 的《在热点地区追踪美国士兵手机的便利性》;Thomas Claburn 的《美国参议员质疑联邦机构购买美国人互联网数据》,登记册,2022年9月22日,https://www.theregister.com/2022/09/22/federal_agcies_american_data/
32.贾斯汀·谢尔曼,《开放数据市场与国家安全风险》,法律战,2022年2月3日,https://www.lawfaremedia.org/article/open-data-market-and-risks-national-security; Thomas Claburn,“你只需 12 美分就可以从数据经纪人那里购买美国军事人员的个人信息”,登记册,2023年11月7日,https://www.theregister.com/2023/11/07/data_brokers_military_data/
33.
“防止相关国家获取美国人大量敏感个人数据和美国政府相关数据”,2024 年 2 月 28 日第 14117 号行政命令,《美国联邦公报》,https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-lated
34.《欧洲人权公约》被选为分析隐私干涉的条约。《欧盟基本权利宪章》也可能具有相关性,特别是因为它在第 8 条中明确保护了数据保护权。然而,欧盟已将国家安全视为“每个成员国的唯一责任”(《欧洲联盟条约》第 4(2) 条),欧洲联盟法院 (CJEU) 几乎没有适用于国家安全领域的判例法,但有一个值得注意的例外,即 CJEU 2020 年 10 月 6 日的 C-511/18、C-512 和C520/18,ECLI:EU:C:2020:791 (La Quadrature du Net 及其他)。
35.“向前,”开源情报:专业手册(华盛顿特区:联合军事情报训练中心,1996 年)。另请参阅前面提到的第一个美国 OSINT 战略,“首选 INT:释放 OSINT 的价值”,美国国家情报总监办公室,“IC OSINT 战略 2024-2026”(2024 年 3月),https://www.dni.gov/files/ODNI/documents/IC_OSINT_Strategy.pdf
36.有关执法领域,请参阅:Bert-Jaap Koops,“互联网公开来源中的警察调查:程序法问题”,计算机法律与安全评论, 第 29 卷,第 6 期(2013 年),第 654-665 页;Jan-Jaap Oerlemans,“调查网络犯罪”(博士论文)(莱顿:阿姆斯特丹大学出版社 2017 年),第 95-102 页。在国家安全背景下,这项法律分析的结果不会有所不同。
37.例如,参见欧洲人权法院 2000 年 5 月 4 日第 28341/95 号判决,ECLI:CE:ECHR:2000:0504JUD002834195,§ 43(罗塔鲁诉罗马尼亚) 及欧洲人权法院 2006 年 6 月 6 日,申请号 62332/00,ECLI:CE:ECHR:2006:0606JUD006233200,§ 72 (Segerstedt-Wiberg 等人诉瑞典)。
38.例如,参见欧洲人权法院 1990 年 4 月 24 日第 11801/85 号申请,ECLI:CE:ECHR:1990:0424JUD001180185,§28(克鲁斯林诉法国) 及申请号 11105/84, ECLI:CE:ECHR:1990:0424JUD001110584, § 28–29 (胡维格诉法国) 及欧洲人权法院 1984 年 8 月 2 日,申请号 8691/79,ECLI:CE:ECHR:1984:0802JUD000869179,§66 (马龙诉英国)。
39.欧洲人权法院,“欧洲人权公约第 8 条尊重私人和家庭生活、住宅和通信权利指南”,https://www.echr.coe.int/documents/d/echr/guide_art_8_eng。需要注意的是,在某些情况下,欧洲人权法院仅测试法律的可预见性,然后将其视为法律所需质量的一部分。例如,参见欧洲人权法院 2010 年 9 月 2 日,申请号 35623/05,ECLI:CE:ECHR:2010:0902JUD003562305,§ 60(Uzun 诉德国)。
40.例如,参见欧洲人权法院 1998 年 9 月 23 日,申请号 27273/95,ECLI:CE:ECHR:1998:0923JUD002727395,§ 37-38(佩特拉诉罗马尼亚)。
41.例如,参见欧洲人权法院 1984 年 8 月 2 日第 8691/79 号申请,ECLI:CE:ECHR:1984:0802JUD000869179,§66-68(马龙诉英国) 及欧洲人权法院 2000 年 5 月 4 日,28341/95,ECLI:CE:ECHR:2000:0504JUD002834195,§ 55(罗塔鲁诉罗马尼亚)。
42.例如,参见欧洲人权法院 2008 年 7 月 1 日第 58243/00 号申请,ECLI:CE:ECHR:2008:0701JUD005824300,§ 62(自由等人诉英国)。
43.Oerlemans,“调查网络犯罪”,第 79-80 页。
44.例如,参见欧洲人权法院 2015 年 12 月 5 日,申请号 47143/06,ECLI:CE:ECHR:2015:1204JUD004714306,§ 232(罗曼·扎哈罗夫诉俄罗斯)。
45.Ainara Bordes Perez,《开源情报:当今运营挑战概述及其对人权的影响》,罗马尼亚情报研究评论, 第2卷,第30期(2023年),第5-33页。
46.同样地,数字化领域的现代化委员会
时间安排,“数字化管理中的监管行为”[数字时代刑事调查现代化委员会,《数字环境下调查权力的监管》],sl(2018 年),https://hdl.handle.net/1887/68377,第 163-164 页。
47.荷兰情报和安全服务审查委员会,“自动化 OSINT”,第 20 页。
48.例如,参见欧洲人权法院 2018 年 2 月 8 日第 31446/12 号判决,ECLI:CE:ECHR:2018:0208JUD00314412(本·法伊萨/法国)另请参阅欧洲法院2020 年 10 月 6 日,C-511/18 和 C-520/18,ECLI:EU:C:2020:791(La Quadrature du Net ea/总理及其他) 和 CJEU 2016 年 12 月 21日,C-203/15 和 C-698/15,ECLI:EU:C:2016:572 和 ECLI:EU:C:2016:970,§ 99 (Tele2 Sverige AB 和 Watson)。
49.Dominika Czerniak,“刑事诉讼中位置数据的收集——欧洲(欧盟和斯特拉斯堡)标准”,Revista Brasileira de Direito Processual Penal,第 7 卷(2021),第 123 页。
50.约瑟夫·考克斯 (Joseph Cox),“美国军方如何从普通应用程序购买位置数据。”
51.另请参阅 Wetzling 和 Dietrich,“商业和公开数据的不当使用”。
52.欧洲人权法院,2021 年 5 月 25 日,申请号 58170/13、62322/14 和24960/15,ECLI:CE:ECHR:2021:0525JUD005817013,§ 330(老大哥观察等诉英国)。
53.另请参阅 Wetzling 和 Dietrich,“商业和公开数据的不当使用”。
54.例如,参见欧洲人权法院 2021 年 5 月 25 日,申请号 58170/13、62322/14 和24960/15,ECLI:CE:ECHR:2021:0525JUD005817013,第 335 和 339 节(老大哥观察等诉英国)。另请参阅 Dominika Czerniak,“刑事诉讼中位置数据的收集”,第 123 页。
55.荷兰语原始报告于 2022 年 2 月发布。
56.荷兰情报和安全服务审查委员会,“自动化 OSINT”,第 17-18 页。
57.2017年荷兰情报和安全服务法第 38 条。
58.荷兰情报和安全服务审查委员会,“自动化 OSINT”,第 19-21 页。
59.美国国家情报总监办公室,《国家情报总监办公室高级顾问小组关于商业可用信息的解密报告》(2022 年 1 月,2023 年 6 月解密),https://www.dni.gov/files/ODNI/documents/assessments/ODNI-Declassified-Report-on-CAI-January2022.pdf
60.同上.,第 13 页。
61.同上.,第 2 页
62.同上.,第 2 页
63.同上.,第 28 页。
64.美国国家情报总监办公室,《情报界商业可用信息政策框架》(2024 年 5 月),https://www.dni.gov/files/ODNI/documents/CAI/Commercially-Available-Information-Framework-May2024.pdf
披露声明
作者未报告任何潜在的利益冲突。
贡献者说明
Jan-Jaap Oerlemans 是乌得勒支大学威廉·庞贝刑法和犯罪学研究所的情报和法律特聘教授。他还是莱顿大学刑法和犯罪学研究所的刑法助理教授。直到 2024 年,他一直担任荷兰情报和安全部门审查委员会的高级研究员。作者的联系方式为[email protected]。
Sander Langenhuijzen 是荷兰国防部的法律顾问。在 2024年之前,他曾担任荷兰情报和安全服务审查委员会的研究员。作者的联系方式为[email protected]。
原文始发于微信公众号(丁爸 情报分析师的工具箱):【论文】平衡国家安全与隐私:审查 OSINT 实践中商业可用信息的使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论