Fog Reveal consente agli utenti di vedere che un telefono cellulare specifico si trovava in un luogo specifico in un momento specifico. Credito:Electronic Frontier Foundation, CC BY
Le agenzie governative e le società di sicurezza private negli Stati Uniti hanno trovato un modo conveniente per impegnarsi nella sorveglianza senza mandato di individui, gruppi e luoghi:uno strumento web a pagamento chiamato Fog Reveal.
Lo strumento consente alle forze dell'ordine di vedere "modelli di vita":dove e quando le persone lavorano e vivono, con chi si associano e quali luoghi visitano. Il produttore dello strumento, Fog Data Science, afferma di avere miliardi di punti dati da oltre 250 milioni di dispositivi mobili statunitensi.
Fog Reveal è venuto alla luce quando la Electronic Frontier Foundation (EFF), un'organizzazione no profit che difende le libertà civili online, stava indagando sui broker di dati sulla posizione e ha scoperto il programma attraverso una richiesta del Freedom of Information Act. L'indagine di EFF ha rilevato che Fog Reveal consente alle forze dell'ordine e alle società private di identificare e rintracciare le persone e monitorare luoghi ed eventi specifici, come raduni, proteste, luoghi di culto e cliniche sanitarie. L'Associated Press ha rilevato che quasi due dozzine di agenzie governative in tutto il paese hanno stipulato un contratto con Fog Data Science per l'utilizzo dello strumento.
L'uso da parte del governo di Fog Reveal evidenzia una differenza problematica tra la legge sulla privacy dei dati e la legge sulla sorveglianza elettronica negli Stati Uniti. È una differenza che crea una sorta di scappatoia, consentendo la raccolta, l'aggregazione e l'utilizzo di enormi quantità di dati personali in modi non trasparenti alla maggior parte delle persone. Questa differenza è molto più importante sulla scia della decisione della Corte Suprema Dobbs v. Jackson Women's Health Organization, che ha revocato il diritto costituzionale all'aborto. Dobbs mette in serio pericolo la privacy delle informazioni sulla salute riproduttiva e dei relativi punti dati, compresi i dati relativi alla posizione.
Il tesoro di dati personali che Fog Data Science sta vendendo e che le agenzie governative stanno acquistando esiste perché le tecnologie in continua evoluzione nei dispositivi intelligenti raccolgono quantità sempre più vaste di dati intimi. Senza una scelta o un controllo significativi da parte dell'utente, i produttori di dispositivi intelligenti e app raccolgono, utilizzano e vendono tali dati. È un dilemma tecnologico e legale che minaccia la privacy e la libertà individuale, ed è un problema su cui ho lavorato per anni come avvocato praticante, ricercatore e professore di diritto.
Sorveglianza del governo
Le agenzie di intelligence statunitensi utilizzano da tempo la tecnologia per impegnarsi in programmi di sorveglianza come PRISM, raccogliendo dati su individui da società tecnologiche come Google, in particolare dall'11 settembre, apparentemente per motivi di sicurezza nazionale. Questi programmi in genere sono autorizzati e soggetti al Foreign Intelligence Surveillance Act e al Patriot Act. Sebbene vi sia un dibattito critico sui meriti e gli abusi di queste leggi e programmi, esse operano sotto un minimo di supervisione del tribunale e del Congresso.
Anche le forze dell'ordine nazionali utilizzano la tecnologia per la sorveglianza, ma generalmente con maggiori restrizioni. La Corte Suprema degli Stati Uniti ha stabilito che il quarto emendamento della Costituzione, che protegge da perquisizioni e sequestri irragionevoli, e la legge federale sulla sorveglianza elettronica richiedono alle forze dell'ordine nazionali di ottenere un mandato prima di rintracciare la posizione di qualcuno utilizzando un dispositivo GPS o le informazioni sulla posizione del sito cellulare.
Fog Reveal è qualcosa di completamente diverso. Lo strumento, reso possibile dalla tecnologia dei dispositivi intelligenti e dalla differenza tra la privacy dei dati e le protezioni della legge sulla sorveglianza elettronica, consente alle forze dell'ordine nazionali e a soggetti privati di acquistare l'accesso ai dati compilati sulla maggior parte dei telefoni cellulari statunitensi, inclusi i dati sulla posizione. Consente il monitoraggio e il monitoraggio delle persone su vasta scala senza il controllo del tribunale o la trasparenza pubblica. La società ha rilasciato pochi commenti pubblici, ma i dettagli della sua tecnologia sono emersi attraverso le indagini EFF e AP di riferimento.
Dati di Fog Reveal
Every smartphone has an advertising ID—a series of numbers that uniquely identifies the device. Supposedly, advertising IDs are anonymous and not linked directly to the subscriber's name. In reality, that may not be the case.
Private companies and apps harness smartphones' GPS capabilities, which provide detailed location data, and advertising IDs, so that wherever a smartphone goes and any time a user downloads an app or visits a website, it creates a trail. Fog Data Science says it obtains this "commercially available data" from data brokers, permitting the tool to follow devices through their advertising IDs. While these numbers do not contain the name of the phone's user, they can easily be traced to homes and workplaces to help police identify the user and establish pattern-of-life analyses.
Law enforcement use of Fog Reveal puts a spotlight on that loophole between U.S. data privacy law and electronic surveillance law. The hole is so large that—despite Supreme Court rulings requiring a warrant for law enforcement to use GPS and cell site data to track persons—it is not clear whether law enforcement use of Fog Reveal is unlawful.
Electronic surveillance vs. data privacy
Electronic surveillance law protections and data privacy mean two very different things in the U.S. There are robust federal electronic surveillance laws governing domestic surveillance. The Electronic Communications Privacy Act regulates when and how domestic law enforcement and private entities can "wiretap," i.e., intercept a person's communications, or track a person's location.
Coupled with Fourth Amendment protections, ECPA generally requires law enforcement agencies to get a warrant based on probable cause to intercept someone's communications or track someone's location using GPS and cell site location information. Also, ECPA permits an officer to get a warrant only when the officer is investigating certain crimes, so the law limits its own authority to permit surveillance of only serious crimes. Violation of ECPA is a crime.
The vast majority of states have laws that mirror ECPA, although some states, like Maryland, afford citizens more protections from unwanted surveillance.
The Fog Reveal tool raises enormous privacy and civil liberties concerns, yet what it is selling—the ability to track most persons at all times—may be permissible because the U.S. lacks a comprehensive federal data privacy law. ECPA permits interceptions and electronic surveillance when a person consents to that surveillance.
With little in the way of federal data privacy laws, once someone clicks "I agree" on a pop-up box, there are few limitations on private entities' collection, use and aggregation of user data, including location data. This is the loophole between data privacy and electronic surveillance law protections, and it creates the framework that underpins the massive U.S. data sharing market.
The need for data privacy law
Without robust federal data privacy safeguards, smart device manufacturers, app makers and data brokers will continue, unfettered, to utilize smart devices' sophisticated sensing technologies and GPS capabilities to collect and commercially aggregate vast quantities of intimate and revealing data. As it stands, that data trove may not be protected from law enforcement agencies. But the permitted commercial use of advertising IDs to track devices and users without meaningful notice and consent could change if the American Data Privacy Protection Act, approved by the U.S. House of Representatives Committee on Energy and Commerce by a vote of 53-2 on July 20, 2022, passes.
ADPPA's future is uncertain. The app industry is strongly resisting any curtailment of its data collection practices, and some states are resisting ADPPA's federal preemption provision, which could minimize the protections afforded via state data privacy laws. For example, Nancy Pelosi, speaker of the U.S. House of Representatives, has said lawmakers will need to address concerns from California that the bill overrides the state's stronger protections before she will call for a vote on ADPPA.
The stakes are high. Recent law enforcement investigations highlight the real-world consequences that flow from the lack of robust data privacy protection. Given the Dobbs ruling, these situations will proliferate absent congressional action.