home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload Trio 2 / Shareware Overload Trio Volume 2 (Chestnut CD-ROM).ISO / dir33 / hr_5199.zip / EN.BIL next >
Text File  |  1994-10-28  |  21KB  |  318 lines
  1. 103d CONGRESS H. R. 5199  As Introduced in the House
  2.  
  3. Note: This document is the unofficial version of a Bill or Resolution.
  4.       The printed Bill and Resolution produced by the Government Printing
  5.       Office is the only official version.
  6.  
  7. VERSION   As Introduced in the House
  8. CONGRESS  103d CONGRESS
  9.            2d Session
  10. BILL                                   H. R. 5199
  11. TITLE     To amend the National Institute of Standards and Technology Act to
  12.               provide for the establishment and management of voluntary
  13.               encryption standards to protect the privacy and security of
  14.               electronic information, and for other purposes.
  15.                                   --------------------
  16.                             IN THE HOUSE OF REPRESENTATIVES
  17.                                     OCTOBER 6, 1994
  18.           Mr. Brown of California introduced the following bill; which was
  19.               referred to the Committee on Science, Space, and Technology
  20.                                   --------------------
  21. TEXT                                     A BILL
  22.           To amend the National Institute of Standards and Technology Act to
  23.               provide for the establishment and management of voluntary
  24.               encryption standards to protect the privacy and security of
  25.               electronic information, and for other purposes.
  26.             Be it enacted by the Senate and House of Representatives of the
  27.           United States of America in Congress assembled,
  28.           SECTION 1. SHORT TITLE.
  29.             This Act may be cited as the `Encryption Standards and Procedures
  30.           Act of 1994`.
  31.           SEC. 2. FINDINGS AND PURPOSES.
  32.             (a) Findings  . - The Congress finds the following:
  33.                 (1) Advancements in communications and information technology
  34.               and the widespread use of that technology have enhanced the
  35.               volume and value of domestic and international communication of
  36.               electronic information as well as the ability to preserve the
  37.               confidentiality, protect the privacy, and authenticate the
  38.               origin, of that information.
  39.                 (2) The proliferation of communications and information
  40.               technology has made it increasingly difficult for the
  41.               government to obtain and decipher, in a timely manner and as
  42.               provided by law, electronic information that is necessary to
  43.               provide for public safety and national security.
  44.                 (3) The development of the Nation`s information
  45.               infrastructure and the realization of the full benefits of that
  46.               infrastructure require that electronic information resident in,
  47.               or communicated over, that infrastructure is secure,
  48.               confidential, and authentic.
  49.                 (4) Security, privacy, and authentication of electronic
  50.               information resident in, or communicated over, the Nation`s
  51.               information infrastructure are enhanced with the use of
  52.               encryption technology.
  53.                 (5) The rights of individuals and other persons to security,
  54.               privacy, and protection in their communications and in the
  55.               dissemination and receipt of electronic information should be
  56.               preserved and protected.
  57.                 (6) The authority and ability of the government to obtain and
  58.               decipher, in a timely manner and as provided by law, electronic
  59.               information necessary to provide for public safety and national
  60.               security should also be preserved.
  61.                 (7) There is a national need to develop, adopt, and use
  62.               encryption methods and procedures that advance the development
  63.               of the Nation`s information infrastructure and that preserve
  64.               the personal rights referred to in paragraph (5) and the
  65.               governmental authority and ability referred to in paragraph
  66.               (6), as provided by law.
  67.             (b) Purposes  . - It is the purpose of this Act -
  68.                 (1) to promote the development of the Nation`s information
  69.               infrastructure consistent with public welfare and safety,
  70.               national security, and the privacy and protection of personal
  71.               property;
  72.                 (2) to encourage and facilitate the development, adoption,
  73.               and use of encryption standards and procedures that provide
  74.               sufficient privacy, protection, and authentication of
  75.               electronic information and that reasonably satisfy the needs of
  76.               government to provide for public safety and national security;
  77.               and
  78.                 (3) to establish Federal policy governing the development,
  79.               adoption, and use of encryption standards and procedures and a
  80.               Federal program to carry out that policy.
  81.           SEC. 3. ENCRYPTION STANDARDS AND PROCEDURES.
  82.             (a) Computer System Security and Privacy Advisory Board. -
  83.                 (1) Requirement of privacy expertise  . - Section 21(a)(2) of
  84.           the National Institute of Standards and Technology Act (15 U.S.C.
  85.           278g-4(a)(2)) is amended by inserting `(including computer systems
  86.           privacy)` after `related disciplines`.
  87.                 (2) Expanded functions  . - Section 21(b) of such Act (15
  88.           U.S.C. 278g-4(b)) is amended -
  89.                     (A) by striking `and` at the end of paragraph (2);
  90.                     (B) by striking the period at the end of paragraph (3)
  91.                   and inserting `; and`; and
  92.                     (C) by adding after paragraph (3) the following new
  93.                   paragraph:
  94.                 `(4) to advise the Institute and the Congress on privacy
  95.               issues pertaining to electronic information and on encryption
  96.               standards developed under section 31(b).`.
  97.             (b) Standards and Procedures  . - The National Institute of
  98.           Standards and Technology Act is further amended -
  99.                 (1) by redesignating section 31 as section 32; and
  100.                 (2) by inserting after section 30 the following new section
  101.               31:
  102.           `SEC. 31. ENCRYPTION STANDARDS AND PROCEDURES.
  103.             `(a) Establishment and Authority  . - The Secretary, acting
  104.           through the Director, shall establish an Encryption Standards and
  105.           Procedures Program to carry out this section.  In carrying out this
  106.           section, the Secretary, acting through the Director, may (in
  107.           addition to the authority provided under section 2) conduct
  108.           research and development on encryption standards and procedures,
  109.           make grants, and enter into contracts, cooperative agreements,
  110.           joint ventures, royalty arrangements, and licensing agreements on
  111.           such terms and conditions the Secretary considers appropriate.
  112.             `(b) Federal Encryption Standards  . -
  113.                 `(1) In general  . - The Secretary, acting through the
  114.           Director and after providing notice to the public and an
  115.           opportunity for comment, may by regulation develop encryption
  116.           standards as part of the program established under subsection (a).
  117.                 `(2) Requirements  . - Any encryption standard developed
  118.           under paragraph (1) -
  119.                     `(A) shall, to the maximum extent practicable, provide
  120.                   for the confidentiality, integrity, or authenticity of
  121.                   electronic information;
  122.                     `(B) shall advance the development, and enhance the
  123.                   security, of the Nation`s information infrastructure;
  124.                     `(C) shall contribute to public safety and national
  125.                   security;
  126.                     `(D) shall not diminish existing privacy rights of
  127.                   individuals and other persons;
  128.          .
  129.            `(E) shall preserve the functional ability of the
  130.                   government to decipher, in a timely manner, electronic
  131.                   information that has been obtained pursuant to an
  132.                   electronic surveillance permitted by law;
  133.                     `(F) may be implemented in software, firmware, hardware,
  134.                   or any combination thereof; and
  135.                     `(G) shall include a validation program to determine the
  136.                   extent to which such standards have been implemented in
  137.                   conformance with the requirements set forth in this
  138.                   paragraph.
  139.                 `(3) Consultation  . - Standards developed under paragraph
  140.           (1) shall be developed in consultation with the heads of other
  141.           appropriate Federal agencies.
  142.             `(c) Permitted Use of Standards  . - The Federal Government shall
  143.           make available for public use any standard established under
  144.           subsection (b), except that nothing in this Act may be construed to
  145.           require such use by any individual or other person.
  146.             `(d) Escrow Agents  . -
  147.                 `(1) Designation  . - If a key escrow encryption standard is
  148.           established under subsection (b), the President shall designate at
  149.           least 2 Federal agencies that satisfy the qualifications referred
  150.           to in paragraph (2) to act as key escrow agents for that standard.
  151.                 `(2) Qualifications  . - A key escrow agent designated under
  152.           paragraph (1) shall be a Federal agency that -
  153.                     `(A) possesses the capability, competency, and resources
  154.                   to administer the key escrow encryption standard, to
  155.                   safeguard sensitive information related to it, and to carry
  156.                   out the responsibilities set forth in paragraph (3) in a
  157.                   timely manner; and
  158.                     `(B) is not a Federal agency that is authorized by law to
  159.                   conduct electronic surveillance.
  160.                 `(3) Responsibilities  . - A key escrow agent designated
  161.           under paragraph (1) shall, by regulation and in consultation with
  162.           the Secretary and any other key escrow agent designated under such
  163.           paragraph, establish procedures and take other appropriate steps -
  164.                     `(A) to safeguard the confidentiality, integrity, and
  165.                   availability of keys or components thereof held by the
  166.                   agent pursuant to this subsection;
  167.                     `(B) to preserve the integrity of any key escrow
  168.                   encryption standard established under subsection (b) for
  169.                   which the agent holds the keys or components thereof;
  170.                     `(C) to hold and manage the keys or components thereof
  171.                   consistent with the requirements of this section and the
  172.                   encryption standard established under subsection (b); and
  173.                     `(D) to carry out the responsibilities set forth in this
  174.                   paragraph in the most effective and efficient manner
  175.                   practicable.
  176.                 `(4) Authority  . - A key escrow agent designated under
  177.           paragraph (1) may enter into contracts, cooperative agreements, and
  178.           joint ventures and take other appropriate steps to carry out its
  179.           responsibilities.
  180.             `(e) Limitations on Access and Use  . -
  181.                 `(1) Release of key to certain agencies  . - A key escrow
  182.           agent designated under subsection (d) may release a key or
  183.           component thereof held by the agent pursuant to that subsection
  184.           only to a Federal agency that is authorized by law to conduct
  185.           electronic surveillance and that is authorized to obtain and use
  186.           the key or component by court order or other provision of law.  An
  187.           entity to whom a key or component thereof has been released under
  188.           this paragraph may use the key or component thereof only in the
  189.           manner and for the purpose and duration that is expressly provided
  190.           for in the court order or other provision of law authorizing such
  191.           release and use.
  192.                 `(2) Limitation on use by private persons and foreign
  193.               citizens  . -
  194.                     `(A) In general  . - Except as provided in subparagraph
  195.           (B), a person (including a person not a citizen or permanent
  196.           resident of the United States) that is not an agency of the Federal
  197.           Government or a State or local government shall not have access to
  198.           or use keys associated with an encryption standard established
  199.           under subsection (b).
  200.                     `(B) Exception  . - A representative of a foreign
  201.           government may have access to and use a key associated with an
  202.           encryption standard established under subsection (b) only if the
  203.           President determines that such access and use is in the national
  204.           security and foreign policy interests of the United States. The
  205.           President shall prescribe the manner and conditions of any such
  206.           access and use.
  207.                 `(3) Limit on use by government agencies  . - A government
  208.           agency, instrumentality, or political subdivision thereof shall not
  209.           have access to or use a key or component thereof associated with an
  210.           encryption standard established under subsection (b) that is held
  211.           by a key escrow agent under subsection (d) unless such access or
  212.           use is authorized by this section, by court order, or by other law.
  213.             `(f) Review and Report  . -
  214.                 `(1) In general  . - Within 2 years after the date of the
  215.           enactment of this Act and at least once every 2 years thereafter,
  216.           the Secretary shall conduct a hearing on the record in which all
  217.           interested parties shall have an opportunity to comment on the
  218.           extent to which encryption standards, procedures, and requirements
  219.           established under this section have succeeded in fulfilling the
  220.           purposes of this section and the manner and extent to which such
  221.           standards, procedures, and requirements can be improved.
  222.                 `(2) Report  . - Upon completion of a hearing conducted under
  223.           paragraph (1), the Secretary shall submit to the Congress a report
  224.           containing a statement of the Secretary`s findings pursuant to the
  225.           hearing along with recommendations and a plan for correcting any
  226.           deficiencies or abuses in achieving the purposes of this section
  227.           that are identified as a result of the hearing.
  228.             `(g) Regulations  . - Within one year after the date of the
  229.           enactment of this Act, the Secretary and each key escrow agent
  230.           designated by the President under subsection (d) shall, after
  231.           notice to the public and opportunity for comment, issue any
  232.           regulations necessary to carry out this section.
  233.             `(h) Liability  . - The United States shall not be liable for any
  234.           loss incurred by any individual or other person resulting from any
  235.           compromise or security breach of any encryption standard
  236.           established under subsection (b) or any violation of this section
  237.           or any regulation or procedure established by or under this section
  238.           by -
  239.                 `(1) any person who is not an official or employee of the
  240.               United States; or
  241.                 `(2) any person who is an official or employee of the United
  242.               States, unless such compromise, breach, or violation is
  243.               willful.
  244.             `(i) Severability  . - If any provision of this section, or the
  245.           application thereof, to any person or circumstance, is held
  246.           invalid, the remainder of this section, and the application
  247.           thereof, to other persons or circumstances shall not be affected
  248.           thereby.
  249.             `(j) Definitions  . - For purposes of this section:
  250.                 `(1) The term `content`, when used with respect to electronic
  251.               information, includes the substance, purport, or meaning of
  252.               that information.
  253.                 `(2) The term `electronic communications system` has the
  254.               meaning given such term in section 2510(14) of title 18, United
  255.               States Code.
  256.                 `(3) The term `encryption` means a method -
  257.                     `(A) to encipher and decipher the content of electronic
  258.                   information to protect the privacy and security of such
  259.                   information; or
  260.                     `(B) to verify the integrity, or authenticate the origin,
  261.                   of electronic information.
  262.                 `(4) The term `encryption standard` means a technical,
  263.               management, physical, or administrative standard or associated
  264.               guideline or procedure for conducting encryption, including key
  265.               escrow encryption, to ensure or verify the integrity,
  266.               authenticity, or confidentiality of electronic information
  267.               that, regardless of application or purpose, is stored,
  268.               processed, transmitted, or otherwise communicated domestically
  269.               or internationally in any public or private electronic
  270.               communications system.
  271.                 `(5) The term `key escrow encryption` means an encryption
  272.               method that allows the government, pursuant to court order or
  273.               other provision of law, to decipher electronic information that
  274.               has been encrypted with that method by using a unique secret
  275.               code or key that is, in whole or in part, held by and obtained
  276.               from a key escrow agent.
  277.                 `(6) The term `key escrow agent` means an entity designated
  278.               by the President under subsection (d) to hold and manage keys
  279.               associated with an encryption standard established under
  280.               subsection (b).
  281.                 `(7) The term `key` means a unique secret code or character
  282.               string that enables a party other than the sender, holder, or
  283.               intended recipient of electronic information to decipher such
  284.               information that has been enciphered with a corresponding
  285.               encryption standard established under subsection (b) only with
  286.               such code or string.
  287.                 `(8) The term `electronic information` means the content,
  288.               source, or destination of any information in any electronic
  289.               form and in any medium which has not been specifically
  290.               authorized by a Federal statute or an Executive Order to be
  291.               kept secret in the interest of national defense or foreign
  292.               policy and which is stored, processed, transmitted or otherwise
  293.               communicated, domestically or internationally, in an electronic
  294.               communications system, and
  295.                     `(A) electronic communication within the meaning of
  296.                   section 2510(12) of title 18, United States Code; or
  297.                     `(B) wire communication within the meaning of section
  298.                   2510(1) of such title.
  299.                 `(9) The term `government` means the Federal Government, a
  300.               State or political subdivision of a State, the District of
  301.               Columbia, or a commonwealth, territory, or possession of the
  302.               United States.
  303.             `(k) Authorization of Appropriations  . -
  304.                 `(1) In general  . - From amounts otherwise authorized to be
  305.           appropriated to the Secretary of Commerce for fiscal years 1995
  306.           through 1997 to carry out the programs of the Institute, the amount
  307.           of $50,000,000 shall be available for such fiscal years to carry
  308.           out this section.  Such amount shall remain available until
  309.           expended.  Of such amount, $1,000,000 shall be available for the
  310.           National Research Council study on national cryptography policy
  311.           authorized under section 267 of the National Defense Authorization
  312.           Act for Fiscal Year 1994 (10 U.S.C 421 note).
  313.                 `(2) Transfer authority  . - The Secretary may transfer funds
  314.           appropriated pursuant to paragraph (1) to a key escrow agent other
  315.           than the Secretary in amounts sufficient to cover the cost of
  316.           carrying out the responsibilities of the agent under this section.
  317.           Funds so transferred shall remain available until expended.`.
  318.