拜登政府正試圖鉗制政府使用商業間諜軟件,這些軟件也可能被其他國傢用來損害其利益。總統已經簽署一項行政命令,稱聯邦機構不能使用"對美國政府構成重大反間諜或安全風險或被外國政府或外國人士不當使用的重大風險"的間諜軟件。
該命令確切地說明什麼是間諜軟件--在用戶不知情的情況下從設備中竊取信息和數據的軟件--被美國政府使用的資格。如果是這樣就不允許:
被外國個人或政府用來攻擊美國政府
被一個有意在未經美國政府許可的情況下發佈有關美國政府活動的"非公開信息"的實體出售
"在試圖監視美國的"外國政府或外國人士的直接或有效控制之下
被用於監視美國公民或通過監視活動傢、學者、記者、持不同政見者、政治人物或非政府組織成員或邊緣化社區來侵犯人權
還出售給"從事系統的政治鎮壓行為,包括任意逮捕或拘留、酷刑、法外或出於政治動機的殺戮,或其他嚴重侵犯人權的國傢"。
政府機構在確定某件間諜軟件是否符合這些條件時,確實有一點回旋餘地。如果開發商在得知此事後采取"適當的措施",如取消違規方的合同或與美國合作"反擊"該軟件的不當使用,那麼該間諜軟件被用來對付美國也是可以的。政府還必須考慮間諜軟件供應商在出售軟件時是否"知道或有理由知道"該軟件會被濫用。
白宮官員並沒有具體說明被禁止的確切軟件列表,但現在有許多公開的商業間諜軟件應用為政府提供服務(還有更多的黑市中售賣的軟件)。
雖然該命令不是對間諜軟件的徹底禁止,但它可能排除市場上的許多產品。除非該軟件是專門賣給美國政府的,否則幾乎沒有辦法確定外國實體是否也在使用它來針對美國或該命令所保護的人群類型。
例如,NSO集團的PegASUS(飛馬)間諜軟件據稱有保障措施;該公司聲稱它隻出售給經以色列國防部批準的政府機構。記者發現,這種間諜軟件可以悄悄地入侵手機,竊取和記錄各種數據,很可能被一些政府用來對付國傢元首、記者、活動傢和其他人(據稱聯邦調查局也考慮過使用它)。
Pegasus在美國已經被完全禁止;2021年,美國商務部將NSO和Candiru一起列入其實體名單,禁止美國公司與它做生意。例如,據《紐約時報》報道,這意味著它不能從戴爾和微軟等公司購買硬件和軟件。然而,Pegasus遠不是政府使用的唯一間諜軟件。據報道,一名Meta公司的員工的手機被希臘國傢情報機構使用Cytrox的Predator間諜軟件入侵。
值得註意的是,這項命令將間諜軟件定義為可以讓你在未經授權的情況下進入一臺電腦,從而獲取電腦上的數據,從電腦上錄制音頻和視頻,或追蹤其位置的軟件。政府經常使用黃貂魚(Stingray)等技術跟蹤人們的位置,或通過其他方式獲得數據,如支付數據經紀人。人們可能會認為這是他們的手機被用來監視他們,但提供這些數據的應用程序並沒有被算作間諜軟件。
沿著這條線索,該命令明確指出外國政府或人們使用間諜軟件來針對記者、政治傢和活動傢。然而,美國政府也有在其境內外對這些群體的人進行電子監控的歷史。
政府並不是唯一對這樣的間諜軟件采取行動的實體。例如,蘋果公司已經起訴NSO集團,並為其設備引入"鎖定模式",旨在使其更難在設備上遠程安裝間諜軟件。