om du någonsin har läst en sekretesspolicy kanske du har märkt ett avsnitt som säger något om hur dina uppgifter kommer att delas med brottsbekämpning, vilket innebär att om polisen kräver det och har det nödvändiga pappersarbetet, kommer de sannolikt att få det. Men kanske, som de flesta amerikanska vuxna, läser du inte sekretesspolicyer mycket noggrant om alls. I så fall kan du bli förvånad över att veta hur mycket av dina uppgifter är i händerna på tredje part, hur mycket tillgång brottsbekämpning har till det, hur det kan användas mot dig, eller vad dina rättigheter är — om någon — för att förhindra det.

många av Capitol insurrectionists kan upptäcka detta nu, eftersom fall mot dem är byggda med bevis från internettjänster som Facebook och Google. Medan de lämnade ett spår av digitala bevis för utredare (och internetdetektiver) att följa, var inte alla dessa uppgifter offentligt tillgängliga. Om du läser igenom fall av personer som anklagats för brott i samband med händelserna i Washington i Januari 6, hittar du FBI också fått interna register från olika sociala medieplattformar och mobiltelefonbärare.

men du behöver inte vara en påstådd insurrektionist för brottsbekämpning för att få data om dig från ett annat företag. Faktum är att du inte behöver misstänks för ett brott alls. Polisen använder alltmer taktik som omvända sökningsoptioner för att fånga data från många människor i hopp om att hitta sin misstänkta bland dem. Du kan få sopas upp i en bara för att du var på fel plats vid fel tidpunkt eller tittade upp fel sökord. Och du kanske aldrig vet att du fastnade i dragnet.

”utredare går till dessa leverantörer utan misstänkt och ber om en bred uppsättning information som inte är riktad för att i princip identifiera misstänkta som de inte redan hade i åtanke”, berättade Jennifer Granick, övervaknings-och cybersäkerhetsråd för ACLU: s tal -, Integritets-och teknikprojekt, Recode. ”Dessa mer massövervakningstekniker blir allt vanligare.”

i grund och botten, om ett företag samlar in och lagrar dina data, kan polisen förmodligen få tag på det. Och när det gäller ditt digitala liv finns det mycket av dina data som innehas av tredje part där ute för att få. Så här får de det.

hur brottsbekämpning köper dina data, ingen garanti behövs

den goda nyheten är att det finns några sekretesslagar som styr om och hur regeringen kan få dina data: Electronic Communications Privacy Act (ECPA), som först antogs 1986, fastställde dessa regler.

men lagen är flera decennier gammal. Även om det har uppdaterats sedan 1986, återspeglar många av dess principer inte riktigt hur vi använder internet idag, eller hur mycket av våra data stannar i händerna på de företag som tillhandahåller dessa tjänster till oss.

det betyder att det finns gråa områden och kryphål, och för vissa saker behöver regeringen inte gå igenom några juridiska processer alls. Brottsbekämpning kan och köper platsdata från datamäklare, till exempel. Och medan platsdataföretag hävdar att deras data har avidentifierats, säger experter att det ofta är möjligt att identifiera individer igen.

”tanken är att om det är tillgängligt för försäljning, så är det okej”, säger Kurt Opsahl, vice verkställande direktör och chefsjurist för Electronic Frontier Foundation (EFF). ”Naturligtvis är ett av problemen att många av dessa datamäklare får information utan att gå igenom samtyckesprocessen som du kanske vill ha.”

och det är inte bara platsdata. Ansiktsigenkänningsföretaget Clearview AI: s hela affärsmodell är att sälja brottsbekämpande organ tillgång till sin ansiktsigenkänningsdatabas, varav mycket avlägsnades från offentligt tillgängliga bilder Clearview skrapade från internet. Om du inte bor i en stad eller stat som har förbjudit ansiktsigenkänning, är det för närvarande lagligt för polisen att betala för dina ansiktsdata, oavsett hur bristfällig tekniken bakom den kan vara.

detta kan förändras om något som det fjärde ändringsförslaget inte är till salu, som förbjuder brottsbekämpning från att köpa kommersiellt tillgängliga data, skulle bli lag. Men för tillfället är kryphålet Öppet.

”en av utmaningarna med någon tekniklag är att tekniken utvecklas snabbare än lagen”, sa Opsahl. ”Det är alltid en utmaning att tillämpa dessa lagar i en modern miljö, men har fortfarande, alla dessa många decennier senare, gett ett solidt integritetsskydd. Det kan definitivt bli förbättringar, men det gör fortfarande bra arbete idag.”

vilken brottsbekämpning kan komma igenom domstolarna

om du misstänks för ett brott och polisen letar efter bevis i ditt digitala liv, säger ECPA att de måste ha en stämning, domstolsorder eller teckningsoption innan ett företag får tillhandahålla de uppgifter de begär. Det vill säga, företaget kan inte bara överlämna det frivilligt. Det finns några undantag-till exempel om det finns anledning att tro att det finns överhängande fara eller ett brott pågår. Men när det gäller brottsutredningar gäller dessa undantag inte.

i stort sett beror den rättsliga processen som utredare måste använda på vilken data de letar efter:

• stämning: detta ger utredare vad som kallas abonnentinformation, till exempel ditt namn, adress, tjänstens längd (hur länge du har haft din Facebook-profil, till exempel), logginformation (när du har ringt telefonsamtal eller loggat in och Ut från ditt Facebook-konto) och kreditkortsinformation.
• domstolsbeslut, eller” D ” order: D hänvisar till 18 US Code 2703(d), som säger att en domstol kan beordra Internetleverantörer att ge brottsbekämpning några poster om Abonnenten annat än innehållet i deras kommunikation. Så det kan inkludera vem som mailade dig och när, men inte innehållet i det faktiska e-postmeddelandet.
• sökorder: detta ger brottsbekämpning tillgång till själva innehållet, specifikt lagrat innehåll, som inkluderar e-post, foton, videor, inlägg, direktmeddelanden och platsinformation. Medan ECPA säger att e-postmeddelanden som lagras i över 180 dagar kan erhållas med bara en stämning, går den regeln tillbaka till innan människor rutinmässigt behöll sina e-postmeddelanden på ett annat företags server (hur långt tillbaka går din Gmail-inkorg?) eller använde den som en säkerhetskopia. Vid denna tidpunkt har flera domstolar beslutat att en order är nödvändig för e-postinnehåll oavsett hur gammal e-postmeddelandena är, och tjänsteleverantörer kräver i allmänhet en order innan de går med på att överlämna dem.

om du vill få en uppfattning om hur ofta regeringen begär data från dessa företag, släpper några av dem transparensrapporter som ger grundläggande detaljer om hur många förfrågningar de får, vilken typ och hur många av dessa förfrågningar de uppfyller. De visar också hur mycket dessa förfrågningar har ökat under åren. Här är Facebook: s transparensrapport, här är Googles, och här är Apples. EFF lade också ut en guide i 2017 som visar hur flera teknikföretag svarar på regeringens förfrågningar.

du behöver inte vara misstänkt eller inblandad i ett brott för brottsbekämpning för att få dina uppgifter

så låt oss säga att du har bestämt att du aldrig kommer att begå ett brott så att brottsbekämpning att få dina uppgifter kommer aldrig att vara ett problem för dig. Du har fel.

som nämnts ovan kan dina data inkluderas i ett köp från en datamäklare. Eller det kan skopas upp i en digital dragnet, även känd som en omvänd sökningsorder, där polisen begär data om en stor grupp människor i hopp om att hitta sin misstänkta inom dem.

”det här är nya tekniker för att upptäcka saker som aldrig kunde ha upptäckts tidigare och som har kapacitet att rep i oskyldiga människor”, säger Granick, från ACLU.

två exempel på detta: vart du gick och vad du sökte efter. I en geofence-order får brottsbekämpning information om alla enheter som befann sig i ett visst område vid en viss tidpunkt — säg, där ett brott inträffade — smalnar sedan ner dem och får kontoinformation för enheten / enheterna som de tror tillhör deras misstänkta(s). För sökord teckningsoptioner, polisen kan be en webbläsare för alla IP-adresser som sökte efter en viss term i samband med deras fall och sedan identifiera en eventuell misstänkt från den gruppen.

dessa situationer representerar fortfarande ett lagligt grått område. Medan vissa domare har kallat dem en fjärde Ändringsöverträdelse och vägrade regeringens begäran om teckningsoptioner, har andra tillåtit dem. Och vi har sett åtminstone en instans där omvända husrannsakningsorder har lett till gripandet av en oskyldig person.

du kanske inte får veta i flera år att dina uppgifter erhölls-om du alls får veta

en annan oroande aspekt på detta är att du, beroende på vad som begärs och varför, kanske aldrig vet om polisen begärde dina uppgifter från ett företag eller om det företaget gav det till dem. Om du är anklagad för ett brott och att data används som bevis mot dig, vet du det. Men om dina uppgifter erhålls genom köp från en datamäklare eller som en del av en massförfrågan kanske du inte. Om ett företag säger att brottsbekämpning vill ha dina uppgifter och ger dig förhandsmeddelande, kan du försöka bekämpa deras begäran själv. Men utredare kan få gag-order som hindrar företag från att berätta för användarna någonting, då är du kvar för att hoppas att företaget kämpar för dig.

enligt deras transparensrapporter verkar Google, Apple och Facebook kämpa eller driva tillbaka ibland — till exempel om de tycker att en begäran är alltför bred eller betungande — så inte alla förfrågningar är framgångsrika. Men det är dem. Det är inte nödvändigtvis sant för alla.

”inte varje leverantör är en Google eller Facebook som har en djup bänk juridisk avdelning med allvarlig expertis inom federal övervakning lag,” Granick sa ”Vissa leverantörer, vi vet inte vad de gör. De kanske inte gör någonting. Det är en riktig fråga.”

majoriteten av regeringens förfrågningar till och med till de största företagen i världen resulterar i avslöjandet av åtminstone vissa användardata, och vi har sett fall där någons data gavs till regeringen och den personen visste inte i flera år. Till exempel fick justitieministeriet Demokratiska representanter. Adam Schiffs och Eric Swalwells abonnentregister (och deras familjemedlemmar) från Apple genom en stor jury stämning. Detta inträffade 2017 och 2018, men kongressmedlemmarna fick reda på det först i juni 2021, då gag-ordern löpte ut.

om din information sopas upp i något som en omvänd sökningsorder men du aldrig identifieras som misstänkt eller laddad, kanske du aldrig vet om det alls om företaget som tillhandahöll det inte berättar för dig. Opsahl, från EFF, sa att de flesta av de stora teknikföretagen publicerar transparensrapporter och det anses vara en branschens bästa praxis att göra det. Det betyder inte att de alla följer det, inte heller måste de.

hur du kan förhindra detta

när det gäller dina uppgifter som innehas av tredje part, du har inte mycket kontroll eller säga över om och vad de ska avslöja. Du litar på lagar skrivna innan det moderna internet existerade, en domares tolkning av dem (förutsatt att det går före en domare, vilka stämningar kanske inte) och de företag som har dina uppgifter för att bekämpa dem. Om du meddelas om en väntande order kan du kanske bekämpa den själv. Det är ingen garanti för att du vinner.

det bästa sättet att skydda dina data är att använda tjänster som inte får det i första hand. Integritetsfrågor, inklusive möjligheten att kommunicera fritt från statlig övervakning, har gjort krypterade meddelandeprogram som Signal och privata webbläsare som DuckDuckGo populära de senaste åren. De minimerar de data de samlar in från användare, vilket innebär att de inte har mycket att ge om utredare försöker samla in det. Du kan också be tjänster att ta bort dina data från sina servrar eller inte ladda upp dem till dem i första hand (förutsatt att det är alternativ). FBI kan inte få mycket från Apples iCloud om du inte har laddat upp något till det.

vid den tiden måste utredarna försöka få de data de vill ha från din enhet … vilket är en helt annan burk av lagliga maskar.