Fog Reveal giver brugerne mulighed for at se, at en bestemt mobiltelefon var på et bestemt sted på et bestemt tidspunkt. Kredit:Electronic Frontier Foundation, CC BY
Offentlige agenturer og private sikkerhedsfirmaer i USA har fundet en omkostningseffektiv måde at engagere sig i garantifri overvågning af enkeltpersoner, grupper og steder:et betalings-for-adgang-webværktøj kaldet Fog Reveal.
Værktøjet gør det muligt for retshåndhævende myndigheder at se "livsmønstre" - hvor og hvornår folk arbejder og bor, hvem de omgås, og hvilke steder de besøger. Værktøjets maker, Fog Data Science, hævder at have milliarder af datapunkter fra over 250 millioner amerikanske mobilenheder.
Fog Reveal kom frem i lyset, da Electronic Frontier Foundation (EFF), en nonprofitorganisation, der går ind for online borgerlige frihedsrettigheder, undersøgte lokalitetsdatamæglere og afslørede programmet gennem en anmodning om Freedom of Information Act. EFF's undersøgelse viste, at Fog Reveal gør det muligt for retshåndhævende myndigheder og private virksomheder at identificere og spore personer og overvåge specifikke steder og begivenheder, såsom stævner, protester, steder for tilbedelse og sundhedsklinikker. Associated Press fandt ud af, at næsten to dusin offentlige myndigheder over hele landet har indgået kontrakt med Fog Data Science om at bruge værktøjet.
Regeringens brug af Fog Reveal fremhæver en problematisk forskel mellem databeskyttelseslovgivning og elektronisk overvågningslovgivning i USA. Det er en forskel, der skaber en slags smuthul, der tillader enorme mængder af personlige data at blive indsamlet, aggregeret og brugt på måder, der ikke er gennemsigtige til de fleste personer. Den forskel er langt vigtigere i kølvandet på højesterettens Dobbs v. Jackson Women's Health Organization-beslutning, som tilbagekaldte den forfatningsmæssige ret til abort. Dobbs sætter privatlivets fred for reproduktive sundhedsoplysninger og relaterede datapunkter, herunder relevante lokalitetsdata, i betydelig fare.
Massen af personlige data Fog Data Science sælger, og offentlige myndigheder køber, eksisterer, fordi stadigt fremadskridende teknologier i smarte enheder indsamler stadig større mængder af intime data. Uden meningsfuldt valg eller kontrol fra brugerens side indsamler, bruger og sælger smartenheds- og appproducenter disse data. Det er et teknologisk og juridisk dilemma, der truer den enkeltes privatliv og frihed, og det er et problem, jeg har arbejdet med i årevis som praktiserende jurist, forsker og juraprofessor.
Statsovervågning
Amerikanske efterretningstjenester har længe brugt teknologi til at engagere sig i overvågningsprogrammer som PRISM, hvor de indsamler data om enkeltpersoner fra teknologivirksomheder som Google, især siden 9/11 - angiveligt af nationale sikkerhedsmæssige årsager. Disse programmer er typisk godkendt af og underlagt Foreign Intelligence Surveillance Act og Patriot Act. Mens der er kritisk debat om fordelene og misbrugene af disse love og programmer, fungerer de under et minimum af domstols- og kongrestilsyn.
Indenlandske retshåndhævende myndigheder bruger også teknologi til overvågning, men generelt med større restriktioner. Den amerikanske højesteret har afgjort, at forfatningens fjerde ændring, som beskytter mod urimelig ransagning og beslaglæggelse, og føderal elektronisk overvågningslovgivning kræver, at nationale retshåndhævende myndigheder skal indhente en kendelse, før de sporer en persons placering ved hjælp af en GPS-enhed eller lokalitetsoplysninger om mobiltelefoner.
Fog Reveal er noget helt andet. Værktøjet – gjort muligt af smart-enhedsteknologi og denne forskel mellem databeskyttelse og elektronisk overvågningslovgivning – giver indenlandske retshåndhævende myndigheder og private enheder mulighed for at købe adgang til kompilerede data om de fleste amerikanske mobiltelefoner, inklusive lokalitetsdata. Det muliggør sporing og overvågning af mennesker i massiv skala uden retstilsyn eller offentlig gennemsigtighed. Virksomheden har kun fremsat få offentlige kommentarer, men detaljer om dets teknologi er kommet frem gennem de refererede EFF- og AP-undersøgelser.
Fog Reveal's data
Every smartphone has an advertising ID—a series of numbers that uniquely identifies the device. Supposedly, advertising IDs are anonymous and not linked directly to the subscriber's name. In reality, that may not be the case.
Private companies and apps harness smartphones' GPS capabilities, which provide detailed location data, and advertising IDs, so that wherever a smartphone goes and any time a user downloads an app or visits a website, it creates a trail. Fog Data Science says it obtains this "commercially available data" from data brokers, permitting the tool to follow devices through their advertising IDs. While these numbers do not contain the name of the phone's user, they can easily be traced to homes and workplaces to help police identify the user and establish pattern-of-life analyses.
Law enforcement use of Fog Reveal puts a spotlight on that loophole between U.S. data privacy law and electronic surveillance law. The hole is so large that—despite Supreme Court rulings requiring a warrant for law enforcement to use GPS and cell site data to track persons—it is not clear whether law enforcement use of Fog Reveal is unlawful.
Electronic surveillance vs. data privacy
Electronic surveillance law protections and data privacy mean two very different things in the U.S. There are robust federal electronic surveillance laws governing domestic surveillance. The Electronic Communications Privacy Act regulates when and how domestic law enforcement and private entities can "wiretap," i.e., intercept a person's communications, or track a person's location.
Coupled with Fourth Amendment protections, ECPA generally requires law enforcement agencies to get a warrant based on probable cause to intercept someone's communications or track someone's location using GPS and cell site location information. Also, ECPA permits an officer to get a warrant only when the officer is investigating certain crimes, so the law limits its own authority to permit surveillance of only serious crimes. Violation of ECPA is a crime.
The vast majority of states have laws that mirror ECPA, although some states, like Maryland, afford citizens more protections from unwanted surveillance.
The Fog Reveal tool raises enormous privacy and civil liberties concerns, yet what it is selling—the ability to track most persons at all times—may be permissible because the U.S. lacks a comprehensive federal data privacy law. ECPA permits interceptions and electronic surveillance when a person consents to that surveillance.
With little in the way of federal data privacy laws, once someone clicks "I agree" on a pop-up box, there are few limitations on private entities' collection, use and aggregation of user data, including location data. This is the loophole between data privacy and electronic surveillance law protections, and it creates the framework that underpins the massive U.S. data sharing market.
The need for data privacy law
Without robust federal data privacy safeguards, smart device manufacturers, app makers and data brokers will continue, unfettered, to utilize smart devices' sophisticated sensing technologies and GPS capabilities to collect and commercially aggregate vast quantities of intimate and revealing data. As it stands, that data trove may not be protected from law enforcement agencies. But the permitted commercial use of advertising IDs to track devices and users without meaningful notice and consent could change if the American Data Privacy Protection Act, approved by the U.S. House of Representatives Committee on Energy and Commerce by a vote of 53-2 on July 20, 2022, passes.
ADPPA's future is uncertain. The app industry is strongly resisting any curtailment of its data collection practices, and some states are resisting ADPPA's federal preemption provision, which could minimize the protections afforded via state data privacy laws. For example, Nancy Pelosi, speaker of the U.S. House of Representatives, has said lawmakers will need to address concerns from California that the bill overrides the state's stronger protections before she will call for a vote on ADPPA.
The stakes are high. Recent law enforcement investigations highlight the real-world consequences that flow from the lack of robust data privacy protection. Given the Dobbs ruling, these situations will proliferate absent congressional action.