PRISM and Upstream

Lectura en audio de esta entrada.

Antecedentes y contexto

El contexto institucional en el que surgieron PRISM y Upstream fue la expansión posterior a septiembre de 2001 de las autoridades de recopilación de NSA y el reconocimiento de que el marco de la Ley de Vigilancia de Inteligencia Extranjera de 1978 diseñado para la vigilancia electrónica de redes telefónicas contra individuos específicamente seleccionados era inadecuado para el entorno de recopilar comunicaciones basadas en Internet posterior a 2001.

El principal antecedente documentado fue el programa de vigilancia sin orden judicial posterior a septiembre de 2001, revelado en el informe de James Risen y Eric Lichtblau del 16 de diciembre de 2005 New York Times bajo el título Bush permite que Estados Unidos espíe a los que llaman sin tribunales. Bajo ese programa, la rama ejecutiva de la administración Bush autorizó la recolección de NSA de la infraestructura de comunicaciones domésticas de los Estados Unidos sin el proceso de emisión de órdenes judiciales. Los litigios civiles posteriores incluyeron American Civil Liberties Union v. NSA (Distrito Oriental de Michigan, decidido en agosto de 2006 contra el gobierno, revertido por el Sexto Circuito en 2007 en pie) y Hepting v. New York Times (este último Distrito del Norte de California, 2006), que produjo la documentación del programa de espionaje de llamadas de los EE.

La respuesta estatutaria fue la Ley PROTECT America de 2007 (Ley Pública 110-55), aprobada en agosto de 2007, que legalizó gran parte de la recolección que el programa posterior a 2001 había estado llevando a cabo. Las autoridades de la PAA eran temporales y estaban sujetas a un desafío constitucional. La respuesta posterior y duradera fue el Acta de Enmiendas FISA de 2008 (Lei pública 110-261), aprobado en julio de 2008, que codificó la autoridad de Section 702 dentro del Título VII del marco de FISA.

Arquitectura operativa PRISM

El patrón operativo PRISM es el servicio de directivas sobre proveedores de servicios de comunicaciones electrónicas con sede en los EE.UU. bajo el marco Section 702, obligando a los proveedores a entregar a NSA las comunicaciones dirigidas.

La sustancia operativa es que NSA, a través de las directivas, obtiene de los proveedores participantes tanto comunicaciones almacenadas (el contenido de las cuentas de usuarios dirigidos que los provedores han retenido) como productos de interceptación en tiempo real (el contenido de las comunicaciones dirigidas a medida que transitan por la infraestructura del proveedor).

La cronología de proveedores participantes revelada en las diapositivas de la sesión informativa PRISM de 2013 es: Microsoft (añadido en septiembre de 2007), Yahoo (marzo de 2008), Google (enero de 2009), Facebook (junio 2009), PalTalk (diciembre 2009), YouTube (septiembre de 2010), Skype (febrero de 2011), AOL (martes de 2011) y Apple (octubre de 2012). La cohorte participante en el período posterior a 2013 se ha expandido para incluir a casi todos los principales proveedores de servicios de comunicaciones electrónicas con sede en los Estados Unidos.

Arquitectura operativa en sentido ascendente

El patrón operativo Upstream es la cooperación entre NSA y los operadores de telecomunicaciones nacionales de los EE.UU. para acceder al tráfico de Internet y teléfono que fluye a través de la infraestructura del territorio estadounidense de los operadores.

Los nombres en código operativos documentados en el registro de divulgación comprenden cuatro programas principales.

BLARNEY es la asociación de recolección autorizada por FISA en 1978 con AT&T en instalaciones de telecomunicaciones de EE.UU. BLARNEY ha sido la base institucional sobre la que se han construido los posteriores programas Upstream.

FAIRVIEW es la asociación AT&T que comenzó en 1985 y se expandió significativamente después de 2001, operando en aproximadamente diecisiete instalaciones domésticas de los Estados Unidos.

OAKSTAR es la asociación con siete socios corporativos adicionales, menos documentados en el registro público que BLARNEY o FAIRVIEW.

STORMBREW es la asociación Verizon que opera en siete puntos de estrangulamiento, documentada como similar en su patrón a FAIRVIEW pero a una escala institucional más pequeña.

La consecuencia operativa es que NSA tiene acceso a la parte sustancial del tráfico de Internet que atraviesa la infraestructura de cable y conmutación del territorio de los EE.UU. Debido al enrutamiento desproporcionado de Internet global a través de infraestructura estadounidense en el período posterior a 2000, las comunicaciones de Internet de personas no estadounidenses que transitan por los Estados Unidos están dentro del alcance de la recolección Upstream. [1] [2] [3]

Divulgación

La divulgación institucional de PRISM y Upstream procedió principalmente a través de las divulgaciones de los documentos de Snowden de junio de 2013 y los informes posteriores a lo largo de 2013-14.

La divulgación de PRISM se llevó a cabo el 6 de junio de 2013 en publicaciones paralelas de Barton Gellman y Laura Poitras en The Washington Post (U.S., datos de minería de inteligencia británicos de nueve compañías de Internet de EE.UU. en un programa de amplio secreto) y por Glenn Greenwald y Ewen MacAskill en The Guardian ( El programa Prism de NSA aprovecha los datos de los usuarios de Apple, Google y otros). La revelación incluyó la presentación de información interna de 41 diapositivas Xglow097x que describe la arquitectura operativa del programa, los proveedores participantes y el alcance operativo.

La respuesta institucional de los proveedores participantes fue uniforme: la negación del patrón de "acceso directo" que sugerían las diapositivas de información, combinada con el reconocimiento de que los provedores cumplían con las directivas Section 702 válidas.

La divulgación de Upstream siguió a lo largo del período posterior a junio de 2013. La revelación del 5 de junio de 2013 de la orden de metadatos telefónicos Verizon Section 215 precedió a las divulgaciones de Upstreams más amplias. Los informes posteriores a lo longo de 2013-14 incluyendo la cobertura de Der Spiegel de detalles operativos específicos de Up stream, revelaciones paralelas de The Washington Post y The Guardian de las asociaciones FAIRVIEW y BLARNEY, y el informe institucional de la Junta de Supervisión de Privacidad y Libertades Civiles del 2 de julio de 2014 sobre Section 702 produjo la reconstrucción exhaustiva de los registros públicos de la arquitectura Upstream.

El historial de las reformas institucionales

El historial de reformas institucionales en el período posterior a 2013 ha incluido tres ejes principales.

El informe de 2014 de la Junta de Supervisión de la Privacidad y las Libertades Civiles sobre Section 702 recomendó reformas específicas al tiempo que respaldaba la constitucionalidad del programa.

La Ley de Libertad de EE.UU. de 2015 reformó el programa de metadatos de telefonía masiva Section 215 un programa distinto de XGLA073X y Upstream, pero divulgado junto con ellos poniendo fin al patrón de recopilación masiva a favor de la consulta bajo demanda controlada por el proveedor.

El marco Section 702 en sí mismo ha sido reautorizado a lo largo de los períodos de 2012, 2018 (la Ley de Reautorización de Enmiendas de 2017), y 2024, cada vez con sucesivos ajustes institucionales que incluyen el desarrollo de un mecanismo de amicus curiae de la Corte de Vigilancia de Inteligencia Extranjera, la desclasificación de opiniones significativas del Tribunal XG LO082X y la reforma procesal adyacente pero con un alcance operativo continuo. [1] [2] [3]

Respuesta de las instituciones europeas

La respuesta institucional europea a PRISM y Upstream ha dado forma al panorama transatlántico de la protección de datos después de 2013.

En el asunto Schrems I (asunto C-362/14, de 6 de octubre de 2015), el Tribunal de Justicia de la Unión Europea invalidó el marco de puerto seguro UE-EE.UU. de 2000.

En la sentencia "Schrems II" (asunto C-311/18, de 16 de julio de 2020), el mismo tribunal invalidó el marco de protección de la privacidad UE-EE.UU. de reemplazo por motivos similares.

El Marco de Privacidad de Datos UE-EE.UU. 2022 es el sucesor institucional de los marcos anteriores, diseñado para abordar las preocupaciones de Schrems a través de la reforma del marco de supervisión del lado de los EE.UU., incluido el establecimiento de un Tribunal de Revisión de Protección de datos y protecciones procesales adicionales para los datos personales de la UE. [1]

Continuación de la cuestión institucional

La pregunta institucional continua que PRISM y Upstream plantean si el marco XGLA035X cumple con la Cuarta Enmienda tal como se aplica a las comunicaciones de personas estadounidenses recopiladas incidentalmente a través del patrón de orientación de personas no estadounidenses ha sido objeto de comentarios académicos, periodísticos y políticos sostenidos durante el período posterior a 2013.

La posición establecida es que la cuestión sigue sin resolverse. El marco Section 702 sigue siendo el núcleo operativo de la recopilación de inteligencia extranjera de EE.UU. en Internet después de 2008; la cuestión de la recolección incidental continúa siendo impugnada en litigios, en sucesivas revisiones de PCLOB y en cada ciclo de reautorización de XGLA035.

Agencias relacionadas

• Agencia de Seguridad Nacional{/united-states/nsa} el principal operador institucional tanto de PRISM como de Upstream - Oficina Federal de Investigaciones{//united states/fbi] El consumidor institucional documentado posterior a 2008 de material recopilado por XG LO035X para fines de investigación doméstica

Fuentes y lecturas adicionales

1. Barton Gellman and Laura Poitras, U.S., British intelligence mining data from nine U.S. Internet companies in broad secrecy program, The Washington Post, 6 de junio de 2013 la principal revelación inicial de datos de la inteligencia estadounidense de nueve compañías de Internet en un amplio programa secreto. <li><a><li>He <a>https="www.theguardian.com/2013/06/06/c0a0d-tech-negiants-over-global-secreto-program"> en un programa de amplio secreto.