Fog Reveal rejser enorme bekymringer om privatlivets fred og borgerlige frihedsrettigheder, skriver kan være tilladt, fordi USA mangler en omfattende føderal lov om databeskyttelse.
Rockingham County Sheriff's Department i Wentworth, NC, er blandt de retshåndhævende myndigheder, som AP fandt ved hjælp af Fog Reveal-lokationssporingsværktøjet. (AP Photo/Allen G. Breed)
By Anne Toomey McKenna
University of Richmond
Government agenturer og private sikkerhedsfirmaer i USA har fundet en omkostningseffektiv måde at engagere sig i garantifri overvågning af personer, grupper og steder: et betal-for-adgang-webværktøj kaldet Fog Reveal.
Værktøjet gør det muligt for retshåndhævende myndigheder at se "livsmønstre" - hvor og hvornår folk arbejder og bor, hvem de omgås, og hvilke steder de besøger. Værktøjets maker, Fog Data Science, hævder at have milliarder af datapunkter fra over 250 millioner amerikanske mobilenheder.
Fog Reveal kom frem i lyset, da Electronic Frontier Foundation (EFF), en nonprofitorganisation, der går ind for borgerlige frihedsrettigheder på nettet, undersøgte lokalitetsdatamæglere og afslørede programmet gennem en anmodning om Freedom of Information Act. EFF'er undersøgelse fandt ud af, at Fog Reveal gør det muligt for retshåndhævende myndigheder og private virksomheder at identificere og spore personer og overvåge specifikke steder og begivenheder, såsom stævner, protester, steder for tilbedelse og sundhedsklinikker. Associated Press fandt, at næsten to dusin offentlige agenturer over hele landet har indgået kontrakt med Fog Data Science om at bruge værktøjet.
Regeringens brug af Fog Reveal fremhæver en problematisk forskel mellem databeskyttelseslovgivning og elektronisk overvågningslovgivning i USA. Det er en forskel, der skaber en slags smuthul, der tillader enorme mængder af personlige data at blive indsamlet, aggregeret og brugt på måder, der ikke er gennemsigtige til de fleste personer. Den forskel er langt vigtigere i kølvandet på Højesterets Dobbs mod Jackson Women's Health Organizationafgørelse, som ophævede den forfatningsmæssige ret til abort. Dobbs sætter privatlivets fred for reproduktive sundhedsoplysninger og relaterede datapunkter, herunder relevante lokalitetsdata, i væsentlig fare.
Massen af personlige data Fog Data Science sælger, og offentlige myndigheder køber, eksisterer, fordi stadigt fremadskridende teknologier i smarte enheder indsamler stadig større mængder af intime data. Uden meningsfuldt valg eller kontrol fra brugerens side indsamler, bruger og sælger smartenheds- og appproducenter disse data. Det er et teknologisk og juridisk dilemma, at truer den enkeltes privatliv og frihed, og det er et problem Jeg har arbejdetpå i årevis som praktiserende jurist, forsker og juraprofessor.
Regeringstilsyn
Amerikanske efterretningstjenester har længe brugt teknologi til at deltage i overvågningsprogrammer som PRISM, indsamling af data om enkeltpersoner fra teknologivirksomheder som Google, især siden 9/11 – angiveligt af nationale sikkerhedshensyn. Disse programmer er typisk godkendt af og underlagt Act for udenlandsk efterretningsovervågning og Patriot Act. Mens der er kritisk debat om fordele og misbrug af disse love og programmer fungerer de under et minimum af domstols- og kongrestilsyn.
Indenlandske retshåndhævende myndigheder bruger også teknologi til overvågning, men generelt med større restriktioner. Den amerikanske højesteret har afgjort, at forfatningens Fjerde ændringsforslag, som beskytter mod urimelig ransagning og beslaglæggelse, og føderal elektronisk overvågningslov kræver, at nationale retshåndhævende myndigheder indhenter en kendelse, før de sporer nogens placering ved hjælp af en GPS-enhed or oplysninger om mobiltelefonens placering.
Fog Reveal er noget helt andet. Værktøjet – gjort muligt af smartenhedsteknologi og denne forskel mellem databeskyttelse og elektronisk overvågningslovgivning – gør det muligt for indenlandske retshåndhævende myndigheder og private enheder at købe adgang til kompilerede data om de fleste amerikanske mobiltelefoner, inklusive lokalitetsdata. Det muliggør sporing og overvågning af mennesker i massiv skala uden retstilsyn eller offentlig gennemsigtighed. Virksomheden har kun fremsat få offentlige kommentarer, men detaljer om dets teknologi er kommet frem gennem de refererede EFF- og AP-undersøgelser.
Fog Reveal's data
Hver smartphone har en reklame-id – en række numre, der entydigt identificerer enheden. Angiveligt er reklame-id'er anonyme og ikke knyttet direkte til abonnentens navn. I virkeligheden er det måske ikke tilfældet.
Private virksomheder og apps udnytter smartphones GPS-funktioner, som giver detaljerede placeringsdata og reklame-id'er, så uanset hvor en smartphone går, og hver gang en bruger downloader en app eller besøger en hjemmeside, skaber den et spor. Tågedatavidenskab siger, at det indhenter disse "kommercielt tilgængelige data" fra datamæglere, der tillader værktøjet at følge enheder gennem deres annoncerings-id'er. Selvom disse numre ikke indeholder navnet på telefonens bruger, kan de nemt spores til hjem og arbejdspladser for at hjælpe politiet med at identificere brugeren og fastslå livsmønsteranalyser.
Fog Reveal giver brugerne mulighed for at se, at en bestemt mobiltelefon var på et bestemt sted på et bestemt tidspunkt. (Electronic Frontier Foundation, CC BY)
Lovhåndhævende brug af Fog Reveal sætter fokus på det smuthul mellem amerikansk databeskyttelseslovgivning og elektronisk overvågningslovgivning. Hullet er så stort, at det – på trods af højesteretskendelser, der kræver en retshåndhævelseskendelse til at bruge GPS og mobildata til at spore personer – ikke er klart, om de retshåndhævende myndigheders brug af Fog Reveal er ulovlig.
Elektronisk overvågning v. databeskyttelse
Elektronisk overvågningslovgivning og databeskyttelse betyder to meget forskellige ting i USA. Der er robuste føderale elektroniske overvågningslove, der regulerer indenlandsk overvågning. Det Elektronisk kommunikationssikkerhedslov regulerer hvornår og hvordan indenlandske retshåndhævende myndigheder og private enheder kan "aflytte", dvs. opsnappe en persons kommunikation eller spore en persons placering.
Sammen med beskyttelsen i det fjerde ændringsforslag kræver ECPA generelt, at retshåndhævende myndigheder får en kendelse baseret på sandsynlige årsager til at opsnappe en persons kommunikation eller spore en andens placering ved hjælp af GPS og lokalitetsoplysninger om mobiltelefoner. Desuden tillader ECPA kun en betjent at få en kendelse, når betjenten efterforsker visse forbrydelser, så loven begrænser dens egen autoritet til kun at tillade overvågning af alvorlige forbrydelser. Overtrædelse af ECPA er en forbrydelse.
Langt de fleste stater har love, der afspejler ECPA, selvom nogle stater, som Maryland, giver borgerne mere beskyttelse mod uønsket overvågning.
Fog Reveal-værktøjet rejser enorme bekymringer om privatlivets fred og borgerlige frihedsrettigheder, men det, det sælger – evnen til at spore de fleste personer til enhver tid – kan være tilladt pga. USA mangler en omfattende føderal lov om databeskyttelse. ECPA tillader aflytninger og elektronisk overvågning, når en person giver sit samtykke til denne overvågning.
Med lidt i vejen for føderale databeskyttelseslove, så snart nogen klikker på "Jeg accepterer" på en pop-up-boks, er der få begrænsninger for private enheders indsamling, brug og aggregering af brugerdata, herunder lokationsdata. Dette er smuthullet mellem databeskyttelse og elektronisk overvågningslovgivning, og det skaber rammerne, der understøtter massivt amerikansk datadelingsmarked.
AP-undersøgende journalist Garance Burke forklarer, hvordan hun og hendes kolleger afslørede politiets brug af Fog Reveal.
Loven om behovet for databeskyttelse
Uden robuste føderale databeskyttelsesforanstaltninger vil fabrikanter af smartenheder, app-producenter og datamæglere fortsætte uhindret med at bruge smartenheders sofistikerede sensorteknologier og GPS-funktioner til at indsamle og kommercielt aggregere enorme mængder af intime og afslørende data. Som det står, er denne databank muligvis ikke beskyttet mod retshåndhævende myndigheder. Men den tilladte kommercielle brug af reklame-id'er til at spore enheder og brugere uden meningsfuld varsel og samtykke kan ændre sig, hvis American Data Privacy Protection Act, godkendt af det amerikanske Repræsentanternes Hus' komité for energi og handel med 53-2 stemmer den 20. juli 2022, passerer.
ADPPAs fremtid er usikker. Appindustrien modsætter sig kraftigt enhver indskrænkning af dens dataindsamlingspraksis, og nogle stater modsætter sig ADPPA's føderale præventionsbestemmelse, som kan minimere den beskyttelse, der ydes via statens databeskyttelseslovgivning. For eksempel har Nancy Pelosi, formand for det amerikanske Repræsentanternes Hus, sagt, at lovgivere bliver nødt til at imødekomme bekymringer fra Californien om, at lovforslaget tilsidesætter statens stærkere beskyttelse før hun vil opfordre til afstemning om ADPPA.
Indsatsen er høj. Nylige retshåndhævende undersøgelser fremhæver konsekvenser i den virkelige verden som skyldes manglen på robust databeskyttelse. I betragtning af Dobbs-dommen vil disse situationer sprede sig uden kongreshandling.
Anne Toomey McKenna er gæsteprofessor i jura, University of Richmond.
Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs oprindelige artikel.
De udtrykte synspunkter er udelukkende forfatterens og afspejler måske ikke dem fra Konsortium Nyheder.