Apple en Google waarschuwen dat de voorgestelde online veiligheidswetgeving van Canada autoriteiten in staat zou kunnen stellen technologiebedrijven in het geheim te dwingen de encryptiebescherming op telefoons, cloudplatforms en berichtendiensten te verzwakken.
De zorgen draaien om wetsvoorstel C-22, wetgeving die momenteel wordt besproken in het Canadese Lagerhuis. Het wetsvoorstel is bedoeld om de wettelijke toegang uit te breiden voor wetshandhavings- en inlichtingendiensten die veiligheidsdreigingen en criminele activiteiten onderzoeken. Canadese functionarissen zeggen dat het voorstel de autoriteiten zou helpen digitaal bewijs sneller te verkrijgen en effectiever te reageren op nationale veiligheidsrisico’s.
Apple, Google, Meta en privacyvoorstanders stellen echter dat de wetgeving een kader kan creëren waarmee de overheid stilletjes bedrijven kan opdragen om surveillancemogelijkheden te bouwen of encryptiesystemen te omzeilen zonder gebruikers te informeren.
Tijdens getuigenissen voor de Canadese Permanente Commissie voor Openbare Veiligheid en Nationale Veiligheid drongen vertegenwoordigers van Apple en Google erop aan dat wetgevers sterkere encryptiebescherming en verplichte rechterlijke controle aan het wetsvoorstel toevoegen.
Jeanette Patell, directeur overheidszaken en openbaar beleid van Google in Canada, waarschuwde dat geheime overheidsbevelen de transparantie en het vertrouwen van het publiek zouden ondermijnen. Apple betoogde op vergelijkbare wijze dat het wetsvoorstel de privacybescherming kan schaden waarop gebruikers vertrouwen om persoonlijke communicatie, financiële informatie en gevoelige gegevens te beveiligen.
De voorgestelde wet vereist niet expliciet dat bedrijven encryptie kraken. Toch zeggen critici dat vage taal over “systemische kwetsbaarheden” en wettelijke toegangsbevoegdheden bedrijven onder druk kan zetten om verborgen achterdeurtjes te creëren of beveiligingsarchitecturen in de loop van de tijd te verzwakken.
Apple wees op het recente conflict met het Verenigd Koninkrijk als voorbeeld van de risico’s die geheime overheidseisen met zich meebrengen. Vorig jaar trok Apple versleutelde cloudback-updiensten terug uit het Verenigd Koninkrijk nadat het naar verluidt een vertrouwelijk bevel had ontvangen dat toegang tot versleutelde gebruikersgegevens vereiste.
Toen Canadese wetgevers vroegen of Apple Canada kon verlaten als het gedwongen werd de encryptie te verzwakken, weigerde Apple-directeur Erik Neuenschwander te speculeren, maar zei dat het bedrijf hoopte dat er wijzigingen in de wetgeving zouden worden aangebracht.
Meta waarschuwde ook dat het wetsvoorstel bedrijven kan dwingen overheidsspyware te installeren of mogelijkheden te onderhouden die encryptiebescherming omzeilen. Het bedrijf zei dat dergelijke maatregelen gebruikers uiteindelijk minder veilig kunnen maken door exploiteerbare zwakheden te introduceren in systemen die zijn ontworpen om cyberaanvallen en surveillance te weerstaan.
Public Safety Canada wees beweringen af dat de wetgeving zou vereisen dat systemische kwetsbaarheden in versleutelde diensten worden geïntroduceerd. Overheidsfunctionarissen zeiden dat het wetsvoorstel bedoeld is om “encryptieneutraal” te blijven, terwijl het toch wettige onderzoeken naar ernstige dreigingen toestaat.