PRIVACYDAILY

N. 143/2023

LE TRE NEWS DI OGGI:

  • USA, LA LEGGE SULLA PRIVACY DEL MONTANA E’ LA PIU DURA DI QUANTO PENSANO I LOBBISTI
  • FILIPPINE, IL CONTRASTO AGLI ABUSI SESSUALI DEI MINORI ON LINE NON PUO’ BASARSI SOLO SUL CODING, CI VUOLE PIU’ FORMAZIONE
  • NIGERIA, AUMENTANO LE VOCI CHE CHIEDONO UNA MAGGIORE PROTEZIONE DEI MINORI ON LINE

La legge sulla privacy del Montana aveva tutte le carte in regola per essere un’altra punto di una serie di vittorie dell’industria tecnologica negli Stati “rossi” contro le regole severe sul modo in cui i dati personali degli americani vengono “estratti “e condivisi. Tuttavia, il mese scorso il governatore repubblicano Greg Gianforte ha firmato una delle più ampie leggi sulla privacy tecnologica per uno Stato controllato dal GOP: una serie di protezioni per i consumatori che limitano la raccolta di dati online e il modo in cui l’industria trae profitto dalle informazioni personali degli utenti. E il grado di incertezza delle aziende tecnologiche su questa legislazione potrebbe costringere la Silicon Valley a cambiare le sue tattiche a livello statale, nel tentativo di evitare un mosaico di regolamenti e nuove resistenze in un territorio conservatore come il Texas. “Ho quattro lauree in economia. Non sono un idiota, e trattare noi del Montana come un gruppo di rurali arretrati è anche un insulto”, ha ricordato Zolnikov in un’intervista, parlando delle tattiche dell’industria. Ha detto che i lobbisti tecnologici locali del Montana lo hanno avvicinato l’estate scorsa durante la Governor’s Cup, un torneo di golf annuale in cui politici, lobbisti e dirigenti d’azienda locali si mescolano, si scambiano idee e si fanno proposte. Ma le cose si sono rapidamente inasprite poco dopo il nuovo anno, quando sono arrivate le lobby nazionali. Zolnikov, che lavora anche come sviluppatore di energia, era noto per aver proposto regolamenti sulla privacy durante i suoi quasi otto anni di permanenza alla Camera dei Deputati e per essersi preoccupato che i dati personali di qualcuno potessero essere usati ingiustamente contro di lui. Nel 2013 ha promosso con successo una legge che impone agli agenti di polizia di ottenere un mandato per i dati di localizzazione GPS, ma ha anche sentito il peso di vedere i lobbisti far deragliare la legislazione che limita i dati che i fornitori di servizi Internet possono raccogliere dai clienti. Alla Governor’s Cup, i lobbisti hanno chiesto a Zolnikov se avesse in mente qualche proposta di legge sulla privacy dei dati, dato che aveva diversi modelli tra cui scegliere, tra cui quello della California, considerato il più severo del Paese. L’industria ha raccomandato una legislazione che rispecchiasse la legge dello Utah, che segue le linee guida dell’industria tecnologica e l’approccio “laissez-faire” comune ad altri Stati a guida repubblicana.

All’interno di un edificio “non contrassegnato” in un quartiere commerciale di Manila, si combatte 24 ore su 24, 7 giorni su 7, una guerra contro crimini oscuri e per lo più nascosti: l’abuso e lo sfruttamento sessuale dei bambini online. Qui, un sistema sviluppato dagli esperti di sicurezza informatica della PLDT, la più grande società di telecomunicazioni delle Filippine, blocca ogni giorno milioni di tentativi di accesso a materiale pedopornografico da parte degli abbonati. Dallo scorso novembre, PLDT ha bloccato più di 1,3 miliardi di tentativi di accesso a tale materiale grazie alla sua pionieristica piattaforma di protezione dell’infanzia, un sistema che verifica le ricerche degli utenti rispetto a un archivio di indirizzi web noti che ospitano contenuti sessualmente abusivi. “È molto, è preoccupante”, ha dichiarato Angel Redoble, responsabile della sicurezza informatica di PLDT. “Non sappiamo quanto velocemente i nemici stiano migliorando. Dobbiamo affrontarli quotidianamente”. Le Filippine sono state nominate la prima fonte al mondo di contenuti online sullo sfruttamento sessuale dei minori in uno studio del 2020 dell’International Justice Mission, un’organizzazione non governativa con sede negli Stati Uniti che lavora contro il traffico e lo sfruttamento sessuale. Secondo lo studio, la povertà endemica sta contribuendo all’aumento degli abusi nelle Filippine, dove circa 20 milioni dei 115 milioni di abitanti vivono al di sotto della soglia di povertà. Secondo uno studio condotto dall’UNICEF e pubblicato lo scorso anno, circa 2 milioni di bambini filippini sono stati vittime di abusi e sfruttamento sessuale online. Il ministero della Giustizia del Paese ha chiesto alle società di telecomunicazioni e ai fornitori di servizi Internet di informare le forze dell’ordine della presenza di materiale pedopornografico e di aggiornare la loro tecnologia per bloccarlo, pena il rischio di essere perseguiti penalmente. Ma le leggi sulla privacy nelle Filippine limitano l’accesso dei fornitori di servizi Internet: possono vedere l’attività di ricerca di un utente, ma non sono autorizzati a monitorare i singoli utenti o le loro comunicazioni. Gli esperti di tecnologia temono che le leggi sulla protezione dei dati possano involontariamente proteggere alcuni crimini, come lo sfruttamento sessuale dei minori online.

Il Segretario permanente del Ministero federale per gli Affari femminili nigeriano, Moni Udoh, ha dichiarato che l’uso e l’accesso a Internet è in aumento a livello globale e che, man mano che i bambini passano all’uso di Internet, sono esposti a contenuti digitali dannosi, da cui la necessità di trovare modi per proteggerli online. Lo ha dichiarato ieri ad Abuja, in occasione dell’evento che celebra la Giornata del Bambino Africano (DAC) del 2023, sul tema “I diritti del bambino nell’ambiente digitale”.Ha detto che la scelta della commemorazione di quest’anno è appropriata perché “crea l’opportunità per i bambini e le parti interessate di esporre i pro e i contro dell’esposizione dei bambini al mondo digitale”.Parlando di alcuni dei modi migliori per sfruttare Internet per il bene dei bambini, la rappresentante del Fondo delle Nazioni Unite per l’Infanzia (UNICEF), Sharon Oludeji, ha detto che la protezione dei diritti dei bambini è essenziale per il loro benessere.L’UNICEF continuerà a garantire la tutela dei diritti dei bambini ed è per questo che sosteniamo l’accesso digitale per i meno privilegiati”. L’UNICEF sosterrà il governo nella registrazione dei bambini al momento della nascita, al fine di creare un database delle nascite per i bambini.Il Direttore nazionale di Save the Children International, Benjamin Foot, ha affermato che la tecnologia ha portato un cambiamento paradigmatico dai modi analogici di fare le cose alle forme digitalizzate e questo ha avuto un impatto positivo sui bambini, attraverso l’apprendimento, il gioco, la socializzazione e le innovazioni. La digitalizzazione ha accelerato le capacità dei bambini africani, che si impegnano spesso su Internet. Tuttavia, i mali dello spazio digitale danzano proprio davanti a noi. “Secondo l’UNICEF, a livello globale un bambino su tre è utente di Internet. In base a queste statistiche, la maggior parte dei bambini rischia di essere esposta a contenuti osceni, cyber-bullismo, discriminazione, odio, materiali violenti e impostori a scopo di sfruttamento sessuale”. Foot ha dichiarato: “I diritti dei bambini nell’ambiente digitale offrono spazio alla privacy e alla protezione dei dati, alla libertà di espressione e di informazione, all’accessibilità, alla partecipazione e al gioco, alla protezione e alla sicurezza, in linea con la Convenzione delle Nazioni Unite sui diritti umani. “Le opportunità offerte dall’ambiente digitale ai bambini sono enormi e svolgono un ruolo cruciale nel loro sviluppo. La protezione dei bambini nello spazio digitale è quindi fondamentale per la loro sicurezza, anche se operano nell’ambito dei loro diritti di espressione, creatività e partecipazione, soprattutto nella governance.

English version

  • USA, MONTANA PRIVACY LAW IS HARDER THAN LOBBYISTS THOUGHT
  • PHILIPPINES, CONTRASTING ON LINE CHILD SEXUAL ABUSE CAN’T BE BASED ON CODING ONLY, WE NEED MORE TRAINING
  • NIGERIA, INCREASING VOICES CALLING FOR MORE PROTECTION OF MINORS ON LINE

Montana’s privacy law had all the makings of another in a series of tech industry victories in “red” states against strict rules on how Americans’ personal data is “mined “and shared. However, last month Republican Governor Greg Gianforte signed into law one of the most sweeping technology privacy bills for a GOP-controlled state-a set of consumer protections that limit online data collection and how industry profits from users’ personal information. And the degree to which tech companies are uncertain about this legislation could force Silicon Valley to change its tactics at the state level in an effort to avoid a patchwork of regulations and new resistance in conservative territory like Texas. “I have four business degrees. I’m not an idiot, and treating us in Montana as a backward rural group is also an insult,” Zolnikov recalled in an interview, speaking of industry tactics. He said local Montana technology lobbyists approached him last summer during the Governor’s Cup, an annual golf tournament where local politicians, lobbyists and business leaders mingle, exchange ideas and make proposals. But things quickly soured shortly after the New Year when national lobbyists arrived. Zolnikov, who also works as an energy developer, was known for proposing privacy regulations during his nearly eight years in the House of Representatives and worrying that someone’s personal data might be used unfairly against him. In 2013 he successfully sponsored a bill requiring police officers to obtain warrants for GPS location data, but he also felt the brunt of seeing lobbyists derail legislation limiting the data Internet service providers can collect from customers. At the Governor’s Cup, lobbyists asked Zolnikov if he had any proposed data privacy legislation in mind, as he had several models to choose from, including California’s, considered the strictest in the country. Industry recommended legislation that mirrored Utah’s law, which follows tech industry guidelines and the laissez-faire approach common to other Republican-led states.

Inside an unmarked building in a Manila business district, a war is being waged 24/7 against dark and mostly hidden crimes — the online sexual abuse and exploitation of children. Here, a system developed by cybersecurity experts at PLDT — the Philippines’ largest telecommunications company — is blocking millions of attempts by subscribers to access child sexual abuse material every day. Since last November, PLDT has blocked more than 1.3 billion attempts to access such material with its pioneering child protection platform, a system that checks user searches against a vault of known web addresses hosting sexually abusive content. “It’s a lot, it’s worrying,” PLDT chief information security officer Angel Redoble said. “We don’t know how fast the enemies are getting better. We must cope daily.” The Philippines was named the world’s top source of online child sexual exploitation content in a 2020 study by the International Justice Mission, a U.S.-based nongovernmental organization working against sex trafficking and exploitation. According to the study, endemic poverty is helping drive a surge in abuse in the Philippines, where about 20 million of the 115 million population live below the poverty line. An estimated 2 million Filipino children have been victims of online sexual abuse and exploitation, according to a study led by UNICEF published last year. The country’s justice ministry has told telecommunication companies and internet service providers to inform law enforcement agencies of child sexual abuse material and update their technology to block it, or face prosecution. But data privacy laws in the Philippines limit what internet service providers can access — they can see a user’s search activity, but are not allowed to monitor individual users or their communications. Tech experts fear the data protection laws could unintentionally shield some crimes, such as online child sexual exploitation.

Stakeholders in child rights protection have called for more support and awareness on the need to safeguard and protect children from online abuse in the face of increase internet access and overwhelming exposure to the virtual environment.Permanent Secretary, Federal Ministry of Women Affairs, Moni Udoh, said internet usage and access has been on the increase globally and as children transition to using the internet, they are exposed to harmful digital content hence, the need to find ways of protecting them online. She stated this yesterday at an event marking the 2023 Day of the African Child,(DAC), themed ‘The Rights of the Child in the Digital Environment, yesterday in Abuja. She said the choice of this year’s commemoration is apt because it “creates the opportunity for children and stakeholders to exine the pros and cons of exposure of children to the digital world.” Speaking on the some of the best ways to harness the internet for the good of the Child, representative of the United Nations Children’s Fund, (UNICEF), Sharon Oludeji said the protection of the rights of the Child is essential to the wellbeing of children. She said “UNICEF will continue to ensure that children’s rights are protected that is why we support the provision of digital access for the less privileged. She said UNICEF will support government to register children at birth towards building a birth database for children. Country Director, Save the Children International, Benjamin Foot, said technology, brought a paradigm shift from the analog ways of doing things to the digitalized forms and this has positively impacted on children, through learning, playing, socializing and innovations. He said “Digitalization has accelerated the capacity of the African child as they engaged often with the internet. Nevertheless, the ills of the digital space dances right in front of us. “According to UNICEF, one in three internet users globally are internet users. By this statistics most children are at risk of being exposed to obscene content, cyber bullying, discrimination, hate, violent materials, and impostors for sexual exploitation.” Mr. Foot said “The rights of a child in the digital environment provides room for privacy and data protection, freedom expression and information, accessibility, participation and play, protection and safety alongside the UN convention on human rights. “The opportunities in the digital environment for children is enormous and it plays a crucial role in their development. Child protection in the digital space is then paramount to the safety of the child even as they operate within their rights of expression, creativity and child participation especially in governance.

PRIVACY DAILY 100/2023

Il Governo britannico ha effettuato un test inviando un messaggio di allerta di emergenza ai cittadini. Già dall’annuncio del testo, però, le speculazioni hanno invaso i social media e in diversi hanno condiviso informazioni non veritiere e affermazioni stravaganti, tra cui quella secondo cui l’allerta sarebbe stata programmata per rubare i dati personali. L’allarme sperimentale è stato inviato nel tentativo di imitare i programmi esistenti negli Stati Uniti e in Giappone, che allertano le persone in situazioni di pericolo di vita come inondazioni e incendi. L’allarme è stato ricevuto dai telefoni cellulari 4G e 5G ed è consistito in un messaggio inviato insieme a suoni e vibrazioni per un massimo di 10 secondi. Le teorie complottiste emerse negli angoli bui del web sono state sfatate da Full Fact, un’associazione di beneficenza composta da verificatori di fatti e attivisti che mirano a fermare la diffusione di disinformazione dannosa. Sul sito web del governo sono disponibili numerose informazioni che spiegano lo scopo dell’allarme e il suo funzionamento. Il Cabinet Office ha dichiarato che l’allarme non raccoglie dati personali e non permette al Governo di sapere se i telefoni sono attivi o di fornire la loro posizione. Il sito web del governo spiega che l’allarme non richiede numeri di telefono individuali per essere attivato, descrivendo il sistema come “unidirezionale”. Nell’informativa privacy del servizio Emergency Alerts si legge che: “Gli avvisi di emergenza vengono trasmessi dalle antenne di telefonia mobile a tutti i telefoni e tablet compatibili nel raggio d’azione. Il mittente non ha bisogno di conoscere il vostro numero di cellulare o altri dati personali per inviare un avviso. Nessuno raccoglierà o condividerà dati su di voi, sul vostro telefono o sulla vostra posizione quando riceverete un avviso di emergenza”.

Il governo del Lussemburgo è stato criticato per le modalità di conservazione dei dati nel campo delle comunicazioni elettroniche. In particolare, l’associazione di hacking Chaos Computer Club ha biasimato il nuovo disegno di legge presentato dal ministro della Giustizia Sam Tanson, tacciandolo di non essere abbastanza. La sezione lussemburghese dell’associazione di hacking esamina regolarmente la protezione dei dati e le questioni correlate. L’anno scorso, ad esempio, ha lanciato un allarme sui piani dell’UE per il monitoraggio dei messaggi privati. In base alla nuova legge lussemburghese, i dati dei cittadini continueranno a essere raccolti e conservati per sei mesi. Secondo il club, le condizioni in cui il governo può conservare questi dati non sono state sufficientemente definite. Il Chaos Computer Club ritiene che il governo abbia semplicemente copiato una legge belga in materia. Anche il fatto che il contenuto delle conversazioni non verrà conservato, salvando invece metadati come l’ora o l’interlocutore, non rassicura l’associazione. Il Chaos Computer Club ha affermato che queste informazioni potrebbero comunque aiutare a trarre conclusioni sul contenuto della conversazione, citando l’esempio di una persona che telefona a un avvocato divorzista. L’associazione ha anche criticato il meccanismo di controllo previsto. Il disegno di legge prevede una relazione della Camera ogni tre anni, mentre non è prevista alcuna data per nominare una commissione dedicata. Il Club spera in un parere negativo da parte del Consiglio di Stato, anche se ritiene più probabile che il Ministero della Giustizia ascolti fonti come la polizia, i servizi segreti e le autorità giudiziarie piuttosto che organizzazioni e associazioni per i diritti civili.

Il Governo delle Filippine smentisce di essere stato oggetto di un massiccio data breach. L’Ufficio nazionale di investigazione (NBI) ha negato il coinvolgimento dei suoi sistemi nella presunta violazione di dati che avrebbe riguardato più di un milione di persone. L’NBI ha indagato sul presunto data breach non appena  la società di ricerca sulla sicurezza informatica VPNMentor ha segnalato la questione il 18 aprile 2023. “Dai risultati della nostra valutazione delle vulnerabilità, siamo ragionevolmente certi che la presunta violazione non coinvolga nessuno dei sistemi dell’NBI”, ha dichiarato in un comunicato. La falla avrebbe esposto 1.279.437 schede personali per un totale di 817,54 gigabyte di dati relativi a dipendenti di agenzie statali, tra cui l’NBI stessa, la Polizia nazionale filippina (PNP), L’Agenzia delle Entrate (BIR) e la Special Action Force. Il ricercatore di cybersicurezza Jeremiah Fowler ha dichiarato che i record esposti includono certificati di nascita, scansioni di impronte digitali, numeri di identificazione fiscale (TIN), dichiarazioni dei redditi presentate, trascrizioni di certificazioni accademiche e copie del passaporto. Il Segretario per le Tecnologie dell’Informazione e delle Comunicazioni Ivan Uy ritiene che i sistemi dell’NBI e della BIR non siano stati violati. L’NBI ha dichiarato che continuerà a monitorare e indagare sulla presunta violazione dei dati. “Desideriamo rassicurare il pubblico sul fatto che l’NBI, in quanto centro di smistamento nazionale dei casellari giudiziari e di altre informazioni correlate, attribuisce la massima importanza alla privacy dei dati”. Anche il Dipartimento per le tecnologie dell’informazione e delle comunicazioni (DICT), in una dichiarazione ufficiale, ha reso noto di aver iniziato a indagare sulla presunta violazione dopo aver ricevuto da un ricercatore di sicurezza un link al blob storage di Azure.

English version

The British government carried out a test by sending an emergency alert message to citizens. As soon as the text was announced, however, speculation flooded social media and several people shared untrue information and outlandish claims, including that the alert was programmed to steal personal data. The experimental alert was sent in an attempt to imitate existing programmes in the US and Japan, which alert people in life-threatening situations such as floods and fires. The alarm was received by 4G and 5G mobile phones and consisted of a message sent along with sound and vibration for up to 10 seconds. Conspiracy theories that have emerged in dark corners of the web have been debunked by Full Fact, a charity made up of fact-checkers and activists who aim to stop the spread of damaging disinformation. A wealth of information is available on the government website explaining the purpose of the alert and how it works. The Cabinet Office stated that the alert does not collect personal data and does not allow the government to know whether phones are active or provide their location. The government website explains that the alarm does not require individual phone numbers to be activated, describing the system as ‘one-way’. The privacy policy of the Emergency Alerts service states that: “Emergency alerts are transmitted from mobile phone masts to all compatible phones and tablets within range. The sender does not need to know your mobile phone number or other personal data to send an alert. No one will collect or share data about you, your phone or your location when you receive an emergency alert’.

The Luxembourg government has been criticised for the way in which data is stored in the field of electronic communications. In particular, the hacking association Chaos Computer Club blamed the new bill presented by Justice Minister Sam Tanson, accusing it of not going far enough. The Luxembourg branch of the hacking association regularly examines data protection and related issues. Last year, for instance, it raised an alarm about the EU’s plans to monitor private messages. According to the new Luxembourg law, citizens’ data will continue to be collected and stored for six months. According to the club, the conditions under which the government can store this data have not been sufficiently defined. The Chaos Computer Club believes that the government has simply copied a Belgian law on the subject. The fact that the content of the conversations will not be stored, instead saving metadata such as the time or the caller, also does not reassure the association. The Chaos Computer Club stated that this information could still help to draw conclusions about the content of the conversation, citing the example of a person phoning a divorce lawyer. The association also criticised the planned control mechanism. The bill provides for a House report every three years, while no date is set for appointing a dedicated committee. It hopes for a negative opinion from the Council of State, although it considers it more likely that the Ministry of Justice will listen to sources such as the police, intelligence services and judicial authorities rather than civil rights organisations and associations.

The Philippine government denies it was the subject of a massive data breach. The National Bureau of Investigation (NBI) denied the involvement of its systems in the alleged data breach that allegedly affected more than one million people. The NBI investigated the alleged data breach as soon as cyber security research firm VPNMentor reported the matter on 18 April 2023. “From the results of our vulnerability assessment, we are reasonably confident that the alleged breach does not involve any of the NBI’s systems,” it said in a statement. The breach would have exposed 1,279,437 personnel files totalling 817.54 gigabytes of data related to employees of state agencies, including the NBI itself, the Philippine National Police (PNP), The Bureau of Internal Revenue (BIR) and the Special Action Force. Cybersecurity researcher Jeremiah Fowler said the exposed records include birth certificates, fingerprint scans, tax identification numbers (TINs), tax returns filed, transcripts of academic certifications and passport copies. Information and Communications Technology Secretary Ivan Uy believes the NBI and BIR systems were not hacked. The NBI said it will continue to monitor and investigate the alleged data breach. “We wish to reassure the public that the NBI, as the national clearing house for criminal records and other related information, attaches the utmost importance to data privacy.” The Department of Information and Communications Technology (DICT), in an official statement, also disclosed that it had begun investigating the alleged breach after receiving a link to Azure blob storage from a security researcher.