jos olet joskus lukenut Tietosuojakäytännön, olet saattanut huomata kohdan, jossa kerrotaan jotain siitä, miten tietosi jaetaan lainvalvojille, mikä tarkoittaa, että jos poliisi vaatii niitä ja hänellä on tarvittavat paperit, he todennäköisesti saavat ne. Mutta ehkä, kuten useimmat amerikkalaiset aikuiset, et lue tietosuojakäytäntöjä kovin huolellisesti, jos ollenkaan. Siinä tapauksessa saatat yllättyä kuullessasi, kuinka suuri osa tiedoistasi on kolmansien osapuolten käsissä, kuinka paljon lainvalvonnalla on pääsy niihin, miten niitä voidaan käyttää sinua vastaan tai mitkä ovat oikeutesi — jos niitä on — estää ne.

monet Capitolin kapinalliset saattavat saada tämän selville nyt, sillä heitä vastaan nostetut jutut on rakennettu Facebook ja Google-verkkopalveluista otetuilla todisteilla. Vaikka he jättivät jälkeensä digitaalisen todistusaineiston tutkijoiden (ja internet-etsivien) seurattavaksi, kaikki tiedot eivät olleet julkisesti saatavilla. Jos lukee läpi tapauksia, joissa ihmisiä syytetään rikoksista liittyen Washingtonin tammikuun 6. päivän tapahtumiin, FBI sai haltuunsa myös sisäisiä tietoja eri sosiaalisen median alustoilta ja matkapuhelinoperaattoreilta.

mutta lainvalvojien ei tarvitse olla väitetty kapinallinen saadakseen tietoja sinusta toiselta yhtiöltä. Itse asiassa sinua ei tarvitse epäillä rikoksesta lainkaan. Poliisi käyttää yhä enemmän käänteisten etsintäkuulutusten kaltaisia taktiikoita napatakseen monien ihmisten tiedot siinä toivossa, että heidän joukostaan löytyisi epäilty. Saatat joutua pyyhkäistyksi yhteen vain siksi, että olit väärässä paikassa väärään aikaan tai etsit väärää hakusanaa. Et ehkä koskaan tiedä, että jäit kiinni nuottaan.

”tutkijat menevät näille palveluntarjoajille ilman epäiltyä ja pyytävät laajaa tietoa, jota ei ole kohdennettu, jotta voitaisiin periaatteessa tunnistaa epäillyt, joita heillä ei ollut jo mielessä”, Jennifer Granick, ACLU: n speech, privacy, and technology Projectin valvonta-ja kyberturvallisuusneuvoja, kertoi Recodelle. ”Nämä massavalvontatekniikat ovat yhä yleisempiä.”

periaatteessa, jos yritys kerää ja tallentaa tietojasi, niin poliisi voi todennäköisesti saada ne käsiinsä. Ja kun se tulee digitaalisen elämän, siellä on paljon tietoja hallussa kolmansien osapuolten siellä saada. Näin he saavat sen.

miten lainvalvonta ostaa tietosi, ei tarvita lupaa

hyvä uutinen on, että on olemassa joitakin tietosuojalakeja, jotka säätelevät sitä, voiko hallitus saada tietosi ja miten: sähköisen viestinnän tietosuojalaki (ECPA), joka säädettiin ensimmäisen kerran vuonna 1986, vahvisti nämä säännöt.

mutta laki on useita vuosikymmeniä vanha. Vaikka sitä on päivitetty vuodesta 1986, monet sen opinkappaleet eivät oikeastaan heijasta sitä, miten käytämme Internetiä tänään, tai kuinka suuri osa tiedoistamme pysyy sellaisten yritysten käsissä, jotka tarjoavat näitä palveluja meille.

se tarkoittaa, että on harmaita alueita ja porsaanreikiä, ja joidenkin asioiden kohdalla hallituksen ei tarvitse käydä läpi mitään oikeusprosesseja ollenkaan. Lainvalvojat voivat ja hankkivat sijaintitietoja esimerkiksi tiedonvälittäjiltä. Ja vaikka sijaintitietoyhtiöt väittävät, että niiden tiedot on de-identified, asiantuntijoiden mukaan se on usein mahdollista tunnistaa uudelleen henkilöitä.

”ajatus on, että jos se on myynnissä, niin se on OK”, sanoi Kurt Opsahl, Electronic Frontier Foundationin (EFF) varatoimitusjohtaja ja lakiasiainjohtaja. ”Yksi ongelma on tietenkin se, että monet näistä tiedonvälittäjistä saavat tietoa käymättä läpi suostumusprosessia, jota ehkä haluat.”

ja se ei ole vain sijaintitietoa. Kasvojentunnistusyhtiö Clearview AI: n koko liiketoimintamalli on myydä lainvalvontaviranomaisille pääsy sen kasvojentunnistustietokantaan, josta suuri osa on karsittu julkisesti saatavilla olevista, Internetistä kaapatuista kuvista Clearview. Ellet asu kaupungissa tai osavaltiossa, joka on kieltänyt kasvojentunnistuksen, on tällä hetkellä laillista, että poliisi maksaa kasvojesi tiedot, riippumatta siitä, kuinka puutteellinen tekniikka sen takana voi olla.

tilanne voisi muuttua, jos laiksi tulisi esimerkiksi neljäs lisäys Is Not For Sale-lakiin, joka kieltää lainvalvojia hankkimasta kaupallisesti saatavilla olevia tietoja. Toistaiseksi porsaanreikä on kuitenkin auki.

”yksi haasteista minkä tahansa teknologialain kanssa on, että teknologia kehittyy nopeammin kuin laki”, Opsahl sanoi. ”On aina haastavaa soveltaa näitä lakeja nykyaikaiseen ympäristöön, mutta on silti, kaikki nämä monta vuosikymmentä myöhemmin, tarjonnut vankan yksityisyyden suojan. Parannettavaa varmasti olisi, mutta se tekee tänäänkin hyvää työtä.”

mitä lainvalvonta voi saada läpi tuomioistuimissa

jos sinua epäillään rikoksesta ja poliisi etsii todisteita digitaalisesta elämästäsi, niin ECPA sanoo, että heillä täytyy olla haaste, oikeuden määräys tai etsintälupa ennen kuin yritys saa antaa pyytämänsä tiedot. Toisin sanoen yhtiö ei voi luovuttaa sitä vapaaehtoisesti. Muutamia poikkeuksia on — esimerkiksi, jos on syytä epäillä välitöntä vaaraa tai rikos on käynnissä. Rikostutkinnassa nämä poikkeukset eivät kuitenkaan päde.

yleisesti ottaen oikeusprosessi, jota tutkijat joutuvat käyttämään, riippuu siitä, mitä tietoja he etsivät:

• haaste: tämä antaa tutkijoille niin sanottuja tilaajatietoja, kuten nimesi, osoitteesi, palvelun pituuden (esimerkiksi Facebook-profiilisi), lokitiedot (kun olet soittanut puheluita tai Kirjautunut sisään ja ulos Facebook-tililtäsi) ja luottokorttitiedot.
• tuomioistuimen määräys eli ” D ” määräys: D viittaa 18 US Code § 2703 (d), jonka mukaan tuomioistuin voi määrätä internet-palveluntarjoajat antamaan lainvalvontaviranomaisille kaikki tiedot tilaajasta muu kuin niiden viestinnän sisältö. Niin, että voisi sisältää kuka sähköpostitse ja milloin, mutta ei sisältöä varsinaisen sähköpostin.
• etsintälupa: tämä antaa lainvalvojille Pääsyn itse sisältöön, erityisesti tallennettuun sisältöön, joka sisältää sähköposteja, valokuvia, videoita, viestejä, suoria viestejä ja sijaintitietoja. Vaikka ECPA sanoo, että sähköpostit tallennetaan yli 180 päivää voidaan saada vain haaste, että sääntö juontaa juurensa ennen kuin ihmiset rutiininomaisesti piti sähköposteja toisen yrityksen palvelimelle (kuinka pitkälle taaksepäin ei Gmailin saapuneet mennä?) tai käytti sitä varmuuskopiona. Tässä vaiheessa, useat tuomioistuimet ovat päättäneet, että etsintälupa on tarpeen sähköpostin sisältöä riippumatta siitä, kuinka vanha sähköpostit ovat,ja palveluntarjoajat yleensä vaativat lupaa ennen kuin he suostuvat luovuttamaan ne.

jos haluat saada käsityksen siitä, kuinka usein hallitus pyytää tietoja näiltä yrityksiltä, jotkut niistä julkaisevat avoimuusraportteja, joissa annetaan perustiedot siitä, kuinka monta pyyntöä ne saavat, minkä tyyppisiä ja kuinka monta pyyntöä ne täyttävät. Ne osoittavat myös, kuinka paljon pyynnöt ovat lisääntyneet vuosien varrella. Tässä on Facebook avoimuusraportti, tässä Google ja tässä Apple. EFF julkaisi myös oppaan vuonna 2017, jossa kerrotaan, miten useat teknologiayritykset vastaavat viranomaisten pyyntöihin.

sinun ei tarvitse olla epäilty tai osallisena rikokseen saadaksesi tietosi

joten sanotaan, että olet päättänyt, ettet koskaan tee rikosta, joten lainvalvonta tietojesi saaminen ei koskaan ole sinulle ongelma. Olet väärässä.

kuten edellä mainittiin, tietosi voitiin sisällyttää ostoon tiedonvälittäjältä. Tai se voidaan napata digitaaliseen nuottaan, joka tunnetaan myös käänteisenä etsintälupana, jossa poliisi pyytää tietoja suuresta ihmisjoukosta siinä toivossa, että epäilty löytyisi heidän sisällään.

”nämä ovat uusia tekniikoita löytää asioita, joita ei olisi koskaan aiemmin voitu löytää, ja joilla on kyky köyttää viattomia ihmisiä”, ACLU: n Granick sanoi.

tästä kaksi esimerkkiä: minne menit ja mitä etsit. Vuonna geofence etsintäkuulutus, lainvalvonta saa tietoa kaikista laitteista, jotka olivat tietyllä alueella tiettynä ajankohtana — vaikkapa, jossa rikos tapahtui — sitten kaventaa niitä ja saa tilitietoja laite(t) he luulevat kuuluvat heidän epäilty(t). Avainsanojen etsintäkuulutuksia varten poliisi voi kysyä selaimelta kaikki IP-osoitteet, jotka etsivät tiettyä juttuunsa liittyvää termiä, ja sen jälkeen tunnistaa mahdollisen epäillyn kyseisestä ryhmästä.

nämä tilanteet edustavat edelleen juridisesti harmaata aluetta. Vaikka jotkut tuomarit ovat kutsuneet niitä neljännen lisäyksen rikkomukseksi ja kieltäytyneet hallituksen lupapyynnöistä, toiset ovat sallineet ne. Olemme nähneet ainakin yhden tapauksen, jossa käänteiset etsintäluvat ovat johtaneet syyttömän henkilön pidätykseen.

sinulle ei välttämättä kerrota vuosiin, että tietosi on saatu — jos sinulle ylipäätään kerrotaan

toinen huolestuttava seikka tässä on se, että riippuen siitä, mitä pyydetään ja miksi, et ehkä koskaan saa tietää, pyysikö poliisi tietojasi yritykseltä vai antoiko kyseinen yritys ne heille. Jos sinua syytetään rikoksesta ja tietoja käytetään todisteena sinua vastaan, silloin tiedät. Mutta jos tiedot on saatu ostamalla tietojen välittäjä tai osana irtotavarana pyynnön, et ehkä. Jos yritys kertoo, että lainvalvonta haluaa tietosi ja antaa sinulle ennakkoilmoituksen, voit yrittää torjua heidän pyyntönsä itse. Mutta tutkijat voivat saada suukapulamääräyksiä, jotka estävät yrityksiä kertomasta käyttäjille mitään, jolloin jää toivoa, että yhtiö taistelee puolestasi.

niiden avoimuusraporttien mukaan Google, Apple ja Facebook näyttävät joskus taistelevan tai työntävän takaisin — esimerkiksi jos ne pitävät pyyntöä liian laajana tai rasittavana — joten jokainen pyyntö ei ole onnistunut. Mutta siinä he ovat. Se ei välttämättä päde kaikkiin.

”jokainen palveluntarjoaja ei ole Google tai Facebook, jolla on syväpenkkiläinen Lakiosasto, jolla on vakavaa asiantuntemusta liittovaltion valvontalainsäädännöstä”, Granick sanoi ”jotkut tarjoajat, emme tiedä mitä he tekevät. Ehkä he eivät tee mitään. Se on todellinen ongelma.”

suurin osa hallituksen pyynnöistä jopa maailman suurimmille yrityksille johtaa ainakin joidenkin käyttäjätietojen luovuttamiseen, ja olemme nähneet tapauksia, joissa jonkun tiedot on annettu hallitukselle ja tämä henkilö ei ole tiennyt vuosiin. Esimerkiksi oikeusministeriö sai demokraattiset edustajat. Adam Schiffin ja Eric Swalwellin tilaajatiedot (ja heidän perheenjäsentensä tiedot) Applelta suuren valamiehistön haasteen kautta. Tämä tapahtui vuosina 2017 ja 2018, mutta kongressin jäsenet saivat tietää asiasta vasta kesäkuussa 2021, kun vaitiolomääräys umpeutui.

jos tietojasi pyyhkäistään jollain käänteisellä etsintäluvalla, mutta sinua ei koskaan tunnisteta epäillyksi tai syytetä, et ehkä koskaan saa tietää siitä lainkaan, jos tiedot antanut yritys ei kerro sitä sinulle. EFF: n Opsahl sanoi, että suurin osa suurista teknologiayrityksistä lähettää läpinäkyvyysraportteja ja sitä pidetään alan parhaana käytäntönä. Se ei tarkoita, että he kaikki noudattavat sitä, eikä heidän tarvitsekaan.

miten voit estää tämän

kun kyseessä ovat kolmansien osapuolten hallussa olevat tietosi, sinulla ei ole paljoakaan valtaa tai sananvaltaa, jos ja mitä he luovuttavat. Luotat lakeihin, jotka on kirjoitettu ennen nykyaikaisen Internetin olemassaoloa, tuomarin tulkintaan niistä (olettaen, että se menee tuomarin eteen, mitä haasteita ei saa), ja yrityksiin, joilla on tietosi taistelemaan niitä vastaan. Jos saat ilmoituksen vireillä olevasta käskystä, voit ehkä taistella sitä vastaan itse. Se ei takaa, että voitat.

paras tapa suojata tietosi on käyttää palveluita, jotka eivät sitä alun perinkään saa. Yksityisyys huolet, mukaan lukien kyky kommunikoida ilman valtion valvontaa, ovat tehneet salatut viestisovellukset kuten Signal ja yksityiset selaimet kuten DuckDuckGo suosittuja viime vuosina. He minimoivat käyttäjiltä keräämänsä tiedot, eli heillä ei ole paljon annettavaa, jos tutkijat yrittävät kerätä niitä. Voit myös pyytää palveluita poistamaan tietosi palvelimiltaan tai olemaan lataamatta niitä niille (olettaen, että ne ovat vaihtoehtoja). FBI ei saa paljoa irti Applen iCloudista, jos siihen ei ole ladannut mitään.

siinä vaiheessa tutkijoiden on yritettävä saada laitteelta haluamansa tiedot … mikä on aivan toinen purkillinen laillisia matoja.