Overheidsinstanties en particuliere beveiligingsbedrijven in de VS hebben een kosteneffectieve manier gevonden om personen, groepen en plaatsen zonder garantie te bewaken:een betalende webtool genaamd Fog Reveal.

De tool stelt wetshandhavers in staat om 'levenspatronen' te zien:waar en wanneer mensen werken en wonen, met wie ze omgaan en welke plaatsen ze bezoeken. De maker van de tool, Fog Data Science, beweert miljarden datapunten te hebben van meer dan 250 miljoen Amerikaanse mobiele apparaten.

Fog Reveal kwam aan het licht toen de Electronic Frontier Foundation (EFF), een non-profitorganisatie die pleit voor online burgerlijke vrijheden, onderzoek deed naar makelaars in locatiegegevens en het programma ontdekte via een Freedom of Information Act-verzoek. Uit het onderzoek van EFF bleek dat Fog Reveal wetshandhavers en particuliere bedrijven in staat stelt om mensen te identificeren en te volgen en om specifieke plaatsen en evenementen te volgen, zoals bijeenkomsten, protesten, gebedshuizen en gezondheidsklinieken. De Associated Press ontdekte dat bijna twee dozijn overheidsinstanties in het hele land een contract hebben gesloten met Fog Data Science om de tool te gebruiken.

Het gebruik van Fog Reveal door de overheid wijst op een problematisch verschil tussen de wetgeving inzake gegevensprivacy en de wetgeving inzake elektronische bewaking in de VS. Het is een verschil dat een soort maas in de wet creëert, waardoor enorme hoeveelheden persoonlijke gegevens kunnen worden verzameld, geaggregeerd en gebruikt op manieren die niet transparant zijn voor de meeste personen. Dat verschil is veel belangrijker in de nasleep van de beslissing van het Hooggerechtshof Dobbs v. Jackson Women's Health Organization, waarin het grondwettelijke recht op abortus werd ingetrokken. Dobbs brengt de privacy van reproductieve gezondheidsinformatie en gerelateerde datapunten, inclusief relevante locatiegegevens, in groot gevaar.

De schat aan persoonlijke gegevens die Fog Data Science verkoopt, en overheidsinstanties kopen, bestaat omdat steeds geavanceerdere technologieën in slimme apparaten steeds grotere hoeveelheden intieme gegevens verzamelen. Zonder zinvolle keuze of controle van de kant van de gebruiker, verzamelen, gebruiken en verkopen slimme apparaten en app-makers die gegevens. Het is een technologisch en juridisch dilemma dat de individuele privacy en vrijheid bedreigt, en het is een probleem waar ik jaren aan heb gewerkt als praktiserend advocaat, onderzoeker en professor in de rechten.

Overheidstoezicht

Amerikaanse inlichtingendiensten gebruiken technologie al lang om deel te nemen aan bewakingsprogramma's zoals PRISM, waarbij gegevens over individuen worden verzameld van technologiebedrijven zoals Google, vooral sinds 9/11 - ogenschijnlijk om redenen van nationale veiligheid. Deze programma's zijn doorgaans geautoriseerd door en onderworpen aan de Foreign Intelligence Surveillance Act en de Patriot Act. Hoewel er kritisch wordt gediscussieerd over de verdiensten en misbruiken van deze wetten en programma's, opereren ze onder enig toezicht van de rechtbank en het congres.

Binnenlandse wetshandhavingsinstanties gebruiken ook technologie voor bewaking, maar over het algemeen met grotere beperkingen. Het Amerikaanse Hooggerechtshof heeft geoordeeld dat het vierde amendement van de grondwet, dat bescherming biedt tegen onredelijke huiszoekingen en inbeslagnames, en de federale wetgeving inzake elektronische bewaking, nationale wetshandhavingsinstanties verplichten om een ​​bevel te verkrijgen voordat iemands locatie kan worden gevolgd met behulp van een GPS-apparaat of locatiegegevens van een mobiele site.

Fog Reveal is iets heel anders. De tool - mogelijk gemaakt door technologie voor slimme apparaten en dat verschil tussen gegevensprivacy en elektronische bewakingswetbescherming - stelt binnenlandse rechtshandhavingsinstanties en particuliere entiteiten in staat toegang te kopen tot verzamelde gegevens over de meeste Amerikaanse mobiele telefoons, inclusief locatiegegevens. Het maakt het volgen en monitoren van mensen op grote schaal mogelijk zonder toezicht van de rechtbank of openbare transparantie. Het bedrijf heeft weinig openbare opmerkingen gemaakt, maar details van zijn technologie zijn naar buiten gekomen via de EFF- en AP-onderzoeken waarnaar wordt verwezen.

De gegevens van Fog Reveal

Every smartphone has an advertising ID—a series of numbers that uniquely identifies the device. Supposedly, advertising IDs are anonymous and not linked directly to the subscriber's name. In reality, that may not be the case.

Private companies and apps harness smartphones' GPS capabilities, which provide detailed location data, and advertising IDs, so that wherever a smartphone goes and any time a user downloads an app or visits a website, it creates a trail. Fog Data Science says it obtains this "commercially available data" from data brokers, permitting the tool to follow devices through their advertising IDs. While these numbers do not contain the name of the phone's user, they can easily be traced to homes and workplaces to help police identify the user and establish pattern-of-life analyses.

Law enforcement use of Fog Reveal puts a spotlight on that loophole between U.S. data privacy law and electronic surveillance law. The hole is so large that—despite Supreme Court rulings requiring a warrant for law enforcement to use GPS and cell site data to track persons—it is not clear whether law enforcement use of Fog Reveal is unlawful.

Electronic surveillance vs. data privacy

Electronic surveillance law protections and data privacy mean two very different things in the U.S. There are robust federal electronic surveillance laws governing domestic surveillance. The Electronic Communications Privacy Act regulates when and how domestic law enforcement and private entities can "wiretap," i.e., intercept a person's communications, or track a person's location.

Coupled with Fourth Amendment protections, ECPA generally requires law enforcement agencies to get a warrant based on probable cause to intercept someone's communications or track someone's location using GPS and cell site location information. Also, ECPA permits an officer to get a warrant only when the officer is investigating certain crimes, so the law limits its own authority to permit surveillance of only serious crimes. Violation of ECPA is a crime.

The vast majority of states have laws that mirror ECPA, although some states, like Maryland, afford citizens more protections from unwanted surveillance.

The Fog Reveal tool raises enormous privacy and civil liberties concerns, yet what it is selling—the ability to track most persons at all times—may be permissible because the U.S. lacks a comprehensive federal data privacy law. ECPA permits interceptions and electronic surveillance when a person consents to that surveillance.

With little in the way of federal data privacy laws, once someone clicks "I agree" on a pop-up box, there are few limitations on private entities' collection, use and aggregation of user data, including location data. This is the loophole between data privacy and electronic surveillance law protections, and it creates the framework that underpins the massive U.S. data sharing market.

The need for data privacy law

Without robust federal data privacy safeguards, smart device manufacturers, app makers and data brokers will continue, unfettered, to utilize smart devices' sophisticated sensing technologies and GPS capabilities to collect and commercially aggregate vast quantities of intimate and revealing data. As it stands, that data trove may not be protected from law enforcement agencies. But the permitted commercial use of advertising IDs to track devices and users without meaningful notice and consent could change if the American Data Privacy Protection Act, approved by the U.S. House of Representatives Committee on Energy and Commerce by a vote of 53-2 on July 20, 2022, passes.

ADPPA's future is uncertain. The app industry is strongly resisting any curtailment of its data collection practices, and some states are resisting ADPPA's federal preemption provision, which could minimize the protections afforded via state data privacy laws. For example, Nancy Pelosi, speaker of the U.S. House of Representatives, has said lawmakers will need to address concerns from California that the bill overrides the state's stronger protections before she will call for a vote on ADPPA.

The stakes are high. Recent law enforcement investigations highlight the real-world consequences that flow from the lack of robust data privacy protection. Given the Dobbs ruling, these situations will proliferate absent congressional action.