Lag kan klassificera VPN-användare i USA som ‘utländska’, och göra dem till ämne för övervakning utan domstolsbeslut

När kongressen rör sig mot att förnya avsnitt 702 i Foreign Intelligence Surveillance Act (FISA), börjar debatten inkräkta på något mycket mer bekant: verktygen folk använder för att skydda sig online.

VPN-tjänster(nytt fönster), som används av miljontals människor för att hålla sin internetaktivitet privat, genomför dirigering av trafik genom servrar runt om i världen. Men den grundläggande funktionen väcker en fråga som lagstiftare bara har börjat konfrontera: Vad händer när skyddandet av din integritet får din aktivitet att se utländsk ut?

En övervakningslag som aldrig var menad för dig

Avsnitt 702 tillåter amerikanska underrättelsetjänster att samla in kommunikation från utlänningar utomlands utan en domstolsorder. I praktiken har den gränsen aldrig hållit.

Systemet drar rutinmässigt in amerikaners e-postmeddelanden, meddelanden och samtal när de interagerar med utländska mål eller passerar genom global infrastruktur.

Grupper för medborgerliga fri- och rättigheter, lagstiftare och till och med domstolar har i åratal uttryckt oro över hur ofta dessa data är föremål för sök utan en domstolsorder. Nu är lagen uppe för förnyelse igen, med en deadline i april som snabbt närmar sig. Och trots upprepade bevis på maktmissbruk finns det påtryckningar i Washington att förlänga dessa befogenheter med minimala förändringar.

Support för övervakning är blocköverskridande, men det är även motreaktionen. Jim Himes, toppdemokraten i representanthusets underrättelseutskott, ställdes nyligen inför demonstranter vid ett offentligt möte(nytt fönster) som väckte oro över avsnitt 702.

VPN-problemet som ingen räknade med

Ett nytt brev(nytt fönster) från senatorer inklusive Ron Wyden tar upp en annan risk — en som inte fanns när avsnitt 702 skrevs.

VPN-tjänster döljer en användares plats(nytt fönster) genom dirigering av trafik via servrar runt om i världen(nytt fönster). Men under nuvarande övervakningsregler kan samma beteende få en amerikan att se ut som en utlänning.

Lagstiftare frågar om underrättelsetjänster behandlar VPN-trafik som “utländsk” som standard — en klassificering som kan frånta användare deras konstitutionella skydd och placera dem i övervakningssystemet för avsnitt 702.

En förnyelse utan reform ökar risken

Det finns förslag på bordet för att lösa detta. Mark Warner, ordförande för senatens underrättelsekommitté, har sagt att lagstiftare kommer att ta itu med oron kring den utökade definitionen av ”leverantörer av elektroniska kommunikationstjänster” (ECSP).

Den expansionen utökade vem som kan tvingas hjälpa till med övervakning. Den stannar inte längre vid telekom- eller e-postleverantörer. Det kan inkludera alla som har åtkomst till de system som dina data passerar genom, från molntjänster till offentliga WiFi-nätverk. Övervakningen flyttar närmare internets infrastruktur, vilket ökar antalet platser där data kan samlas in under avsnitt 702.

Den blocköverskridande Government Surveillance Reform Act(nytt fönster) skulle gå längre. Lagförslaget, som stöds av lagstiftare inklusive Ron Wyden och Mike Lee, skulle kräva en domstolsorder innan myndigheter kan söka i amerikaners data som samlats in under avsnitt 702 och stänga ett kryphål som tillåter regeringen att köpa personuppgifter från datamäklare istället för att gå till domstol.

Detta kryphål spelar roll eftersom information som normalt skulle kräva en domstolsorder, som platsdata eller webbhistorik, kan köpas på den öppna marknaden utan rättslig tillsyn.

Lagförslaget skulle också rulla tillbaka några av de mest kontroversiella ändringarna på senare tid, inklusive hur brett staten kan tvinga företag eller infrastrukturleverantörer att hjälpa till med övervakning.

Dessa förändringar inriktar sig på ett känt problem: övervakningssystem byggda för utländsk underrättelsetjänst har vänts inåt genom tekniska kryphål och breda tolkningar. Som Ron Wyden har varnat, skulle amerikaner bli ”häpna(nytt fönster)” om de fick veta hur dessa befogenheter faktiskt används.

Utan reform förblir dessa luckor öppna. Och i takt med att VPN-användning blir vanligare, riskerar fler vanliga beteenden att svepas med i den utländska underrättelseinsamlingen.

Var Proton står

På Proton bygger vi verktyg som ger människor kontroll över sina data utan att utsätta dem för dolda kompromisser. Integritet bör inte bero på hur din trafik klassificeras av ett övervakningssystem. Det ska vara standard.

Att använda ett VPN skyddar dig fortfarande. Det krypterar din internettrafik och förhindrar din leverantör, nätverksoperatör eller någon på samma anslutning från att se vad du gör online. Det skyddet spelar roll, och det fungerar. Men kryptering ensamt fixar inte hur övervakningslagar är skrivna. Om din aktivitet faller utanför det skyddet, eller samlas in på annat håll, kan den fortfarande svepas in i system som avsnitt 702.

Detta lyfter också ett bredare problem. Integritet bör inte stanna vid nationella gränser. Människor bör inte utsättas för övervakning bara för att de inte är amerikaner. Rättsligt skydd kan variera. Principen gör det inte.

När lagstiftare debatterar framtiden för avsnitt 702, sträcker sig insatserna bortom underrättelsepolicy. De formar vad skydd faktiskt betyder i praktiken, och vem som får det.