De nieuwste versie van Canada’s lopende Bill C-22 heeft opnieuw aanleiding gegeven tot een reactie van mondiale technologiebedrijven over de pogingen van de regering om “surveillance in te bouwen” in de internetinfrastructuur. Het wetsvoorstel is bedoeld om verschillende digitale dienstverleners te verplichten om metagegevens van gebruikers lange tijd te bewaren en wetshandhavingsinstanties te voorzien van "legale toegang" -kanalen. Sommige bedrijven met privacybescherming als belangrijkste verkoopargument hebben publiekelijk verklaard dat zij zich liever terugtrekken uit de Canadese markt dan meewerken aan de handhaving.

Volgens de huidige openbare tekst heeft "Bill C-22" betrekking op internetproviders, instant messaging-platforms en e-maildiensten, en kan het zelfs gevolgen hebben voor hardwarefabrikanten, waardoor zij de metadata-informatie van gebruikers maximaal een jaar moeten bewaren. Tegelijkertijd moeten relevante bedrijven ook technische mechanismen opzetten om wetshandhavingsinstanties in staat te stellen deze informatie in overeenstemming met de wet te verkrijgen tijdens strafrechtelijke onderzoeken. Critici zijn van mening dat dit in essentie neerkomt op het feit dat de overheid bedrijven dwingt om 'achterdeurtjes' in het systeem te reserveren, waardoor de privacy- en veiligheidsgrenzen van internetdiensten fundamenteel veranderen.

Signaaldirecteur Udbhav Tiwari getuigde voor de Permanente Commissie voor Openbare Veiligheid en Nationale Veiligheid van het Canadese Huis van Afgevaardigden en zei dat Bill C-22 de digitale hulpmiddelen die mensen dagelijks gebruiken in een uitgebreid surveillancenetwerk zou veranderen. Hij wees erop dat het dwingen van bedrijven om metadata van gebruikerscommunicatie te bewaren volledig in strijd is met de al lang bestaande privacybeschermingspraktijken van Signal. Het standpunt van Signal is dat als deze wetgeving wordt aangenomen, het voor het bedrijf moeilijk zal zijn om in Canada te blijven opereren zonder zijn belangrijkste privacyverplichtingen op te offeren.

DuckDuckGo, een op privacy gericht zoek- en webservicesbedrijf, stuurde ook een soortgelijk signaal. De woordvoerder bevestigde dat zodra Bill C-22 is goedgekeurd, het bedrijf zijn VPN-diensten in Canada zal verwijderen. De bekende VPN-aanbieder NordVPN en andere soortgelijke dienstverleners hebben ook verklaard dat zij niet zullen uitsluiten dat zij zich uit de Canadese markt terugtrekken om te voorkomen dat zij gedwongen worden deel te nemen aan de constructie van mechanismen voor het bewaren van metagegevens en toegangsmechanismen.

Ook grote platformbedrijven hebben bedenkingen of zijn zelfs tegen het wetsvoorstel. Apple en Google hebben zich aangesloten bij de waarschuwingen uit de sector dat de wetgeving hen zou kunnen dwingen de bestaande encryptiemaatregelen te verzwakken. Vorig jaar blokkeerde Apple met succes een soortgelijk voorstel in Groot-Brittannië dat een voor de overheid toegankelijke achterdeur naar iCloud zou hebben gecreëerd. Dit incident is slechts het laatste in een reeks conflicten tussen Apple en regelgevende instanties in verschillende landen over beveiliging en gebruikersprivacy. Het benadrukt ook het langetermijnspel tussen bedrijven en overheden over de kwestie van ‘veiligheid versus privacy’.

De voornaamste zorg van tegenstanders is dat zodra een ‘achterdeur’ kunstmatig in een digitaal systeem wordt geïnstalleerd, ongeacht of de oorspronkelijke bedoeling ervan beperkt is tot wetshandhavings- of nationale veiligheidsdoeleinden, deze uiteindelijk zal worden ontdekt en uitgebuit door kwaadwillende actoren. De burgerorganisatie OpenMedia omschreef Bill C-22 als een poging om een ​​‘toezichtstaat’ te creëren en haalde een zaak eind 2024 als bewijs aan. Op dat moment hebben hackers, die naar verluidt werden gesteund door de Chinese overheid, ingebroken in de systemen die door meerdere Amerikaanse communicatie-operators worden gebruikt voor wettig toezicht door de politie, en stalen ze een grote hoeveelheid gevoelige gegevens van bedrijven als AT&T, Verizon en Lumen Technologies. Hieruit bleek dat het systeem voor ‘wettige surveillance’ zelf ook een waardevol aanvalsdoel zou kunnen worden.

Geconfronteerd met de scepsis van de industrie en het maatschappelijk middenveld zei de Canadese minister van Openbare Veiligheid, Gary Anandasangaree, vorige week dat Bill C-22 zou worden gewijzigd om duidelijk te maken dat digitale dienstverleners niet verplicht zouden zijn de end-to-end-encryptie zelf te doorbreken. Hij benadrukte echter ook dat de verplichting om metadata te bewaren blijft bestaan, wat ook een van de belangrijkste aandachtspunten van het huidige geschil is.

Op andere gebieden zijn er de laatste tijd regelmatig controverses rond "achterdeurtjes" ontstaan. Een beveiligingsonderzoeker beschuldigde Microsoft onlangs van het opzettelijk achterlaten van een achterdeur in zijn BitLocker-coderingssysteem en probeerde het probleem tot zwijgen te brengen nadat de onderzoeker vragen had gesteld. Nadat de details van de kwetsbaarheid openbaar waren gemaakt, heeft Microsoft dringend een tijdelijke update uitgebracht, maar er is nog niet direct gereageerd op de vraag of de fout een ontwerpfout of opzettelijk was. Voor critici vergroten dergelijke incidenten de publieke bezorgdheid over de grens tussen ‘legitieme toegang’ en ‘technische achterdeurtjes’, waardoor het moeilijker wordt om vertrouwen te winnen in wetgevingsvoorstellen zoals Bill C-22.