<div dir="ltr">Terms of Reference<br>The section 'Terms of Reference' makes no mention of scope. So perhaps the PJCIS is of the view they can make whatsoever recommendations they see fit. But it is a mistake to consider the PJCIS has carte blanche, where their May 2013 Terms of Reference limit enquiry to the following:<br><br><div style="margin-left:40px">• the desirability of comprehensive, consistent and workable laws and practices to protect the<br>security and safety of Australia, its citizens and businesses,<br>• the need to ensure that intelligence, security and law enforcement agencies are equipped to<br>effectively perform their functions and cooperate effectively in today’s and tomorrow’s<br>technologically advanced and globalised environment, and<br>• the fact that national security brings shared responsibilities to the government and the private sector:<br></div><br>Recommendation 7<br>The Committee recommends that the Explanatory Memorandum to the Telecommunications (Interception and Access) Amendment (Data Retention) Bill 2014 be amended to make clear that service providers are not required to keep web - browsing histories or other destination information, for either incoming or outgoing traffic.<br><br>This sounds persuasive, but the metadata is still subject to definition by the regulator. And it's not clear the power of the regulator is prevented from being able to widen the scope to include this information further down the track.<br><br>There should be clarity if the FQDN is to be logged, as opposed to the complete URL.<br><br>Recommendation 8<br>Good luck defining 'session' for UDP traffic. We'll have to see the new legislation, but either they will have to exclude UDP from logging, or all UDP traffic will need to be logged. Unworkable either way.<br><br>Recommendation 10<br>Rather late in the game to be seeking clarification on requirements for the storage and destruction of retained data. Importantly, they appear to have overlooked any recommendation where data retained is to be restricted to Australian jurisdiction. Without this being stipulated, metadata will be stored in low rent clouds in some very interesting and colourful jurisdictions, unbeknownst to the end user.<br><br>Recommendation 16<br>The PJCIS doesn't seem to appreciate that retrofitting existing infrastructure for data retention in all cases will be incredibly complex and wastefully expensive. A sensible approach would be to allow existing infrastructure to run to end of life, while requiring new infrastructure have the necessary data retention capability.<br><br>Recommendation 23<br>A welcome concession, that prevents retained data being subject to discovery in civil law.<br><br>Recommendation 26<br>Additional time to consider ramifications for media and journalists. But it rather begs the question why the media and journalists' right to free speech are treated with greater respect than the public, and whether this is consistent with democratic norms.<br><br>Recommendation 31<br>Surprisingly, the first review of the costs of the scheme won't be for 3 years. One would think that a cost/benefit analysis should be conducted at the outset.<br><br>Recommendation 35<br>Not only must ISPs comply with data retention. They must ALSO, comply with the Australian Privacy Principles. That's a lot of responsibility on ISPs they never looked for.<br><br>Recommendation 39<br>That the bill be passed, once PJCIS recommendations are addressed. But bear in mind, there are outstanding recommendations from the 2013 PJCIS report (recommendation #1).<br><br>The case for data retention<br><br>The PJCIS claims a broad range of stakeholders support mandatory data retention, and go straight to the Braveheart's case for pursuing pedophiles (who by now one would expect are all on Tor or Freenet). If anyone has taken the time to review the 204 submissions to the PJCIS enquiry, the great majority of submissions see retention as an invasion of privacy rights. Law enforcement agencies uniformlysupport the regime. The real turn up was the Attorney General's dept. submission, which made extensive criticisms of the bill's drafting and inconsistencies.<br><br>In my opinion, the data retention regime is only going to be a huge waste of time and money, which would be better spent beefing up the capabilities of security agencies, some of which should go to facilitating legal intercept capabilities and anti spoofing controls in ISPs.<br><br><div class="gmail_extra">Paul Wilkins<br></div></div>