Statliga myndigheter och privata säkerhetsföretag i USA har hittat ett kostnadseffektivt sätt att engagera sig i garantifri övervakning av individer, grupper och platser:ett betal-för-åtkomst-webbverktyg som heter Fog Reveal.

Verktyget gör det möjligt för poliser att se "livsmönster" – var och när människor arbetar och bor, vilka de umgås med och vilka platser de besöker. Verktygets tillverkare, Fog Data Science, säger sig ha miljarder datapunkter från över 250 miljoner amerikanska mobila enheter.

Fog Reveal kom fram när Electronic Frontier Foundation (EFF), en ideell organisation som förespråkar medborgerliga friheter online, undersökte platsdatamäklare och avslöjade programmet genom en begäran om Freedom of Information Act. EFF:s utredning fann att Fog Reveal gör det möjligt för brottsbekämpande och privata företag att identifiera och spåra människor och övervaka specifika platser och evenemang, som demonstrationer, gudstjänstlokaler och hälsovårdskliniker. Associated Press fann att nästan två dussin statliga myndigheter över hela landet har ingått avtal med Fog Data Science för att använda verktyget.

Regeringens användning av Fog Reveal belyser en problematisk skillnad mellan dataskyddslagstiftning och elektronisk övervakningslagstiftning i USA. Det är en skillnad som skapar ett slags kryphål som tillåter att enorma mängder personuppgifter samlas in, aggregeras och används på sätt som inte är transparenta. för de flesta personer. Den skillnaden är mycket viktigare i kölvattnet av Högsta domstolens beslut från Dobbs mot Jackson Women's Health Organization, som återkallade den konstitutionella rätten till abort. Dobbs sätter integriteten för information om reproduktiv hälsa och relaterade datapunkter, inklusive relevant platsdata, i betydande fara.

Den stora mängden personuppgifter Fog Data Science säljer, och statliga myndigheter köper, finns eftersom ständigt avancerade teknologier i smarta enheter samlar in allt större mängder intim data. Utan meningsfullt val eller kontroll från användarens sida samlar, använder och säljer tillverkare av smarta enheter och appar denna data. Det är ett tekniskt och juridiskt dilemma som hotar individens integritet och frihet, och det är ett problem som jag har arbetat med i flera år som praktiserande jurist, forskare och juridikprofessor.

Statlig övervakning

Amerikanska underrättelsetjänster har länge använt teknik för att engagera sig i övervakningsprogram som PRISM, för att samla in data om individer från teknikföretag som Google, särskilt sedan 9/11 – till synes av nationella säkerhetsskäl. Dessa program är vanligtvis godkända av och omfattas av Foreign Intelligence Surveillance Act och Patriot Act. Även om det pågår en kritisk debatt om fördelarna med och missbruken av dessa lagar och program, verkar de under ett minimum av domstols- och kongresstillsyn.

Inhemska brottsbekämpande myndigheter använder också teknik för övervakning, men generellt med större restriktioner. USA:s högsta domstol har slagit fast att konstitutionens fjärde tillägg, som skyddar mot orimlig sökning och beslag, och federal elektronisk övervakningslagstiftning kräver att inhemska brottsbekämpande myndigheter skaffar en arresteringsorder innan de spårar någons plats med hjälp av en GPS-enhet eller mobilplatsinformation.

Fog Reveal är något helt annat. Verktyget – som möjliggörs av smart enhetsteknik och den skillnaden mellan datasekretess och elektronisk övervakningslagstiftning – tillåter inhemska brottsbekämpande myndigheter och privata enheter att köpa åtkomst till sammanställd data om de flesta amerikanska mobiltelefoner, inklusive platsdata. Det möjliggör spårning och övervakning av människor i stor skala utan domstolskontroll eller offentlig insyn. Företaget har lämnat få offentliga kommentarer, men detaljer om dess teknologi har kommit ut genom de refererade EFF- och AP-utredningarna.

Fog Reveals data

Every smartphone has an advertising ID—a series of numbers that uniquely identifies the device. Supposedly, advertising IDs are anonymous and not linked directly to the subscriber's name. In reality, that may not be the case.

Private companies and apps harness smartphones' GPS capabilities, which provide detailed location data, and advertising IDs, so that wherever a smartphone goes and any time a user downloads an app or visits a website, it creates a trail. Fog Data Science says it obtains this "commercially available data" from data brokers, permitting the tool to follow devices through their advertising IDs. While these numbers do not contain the name of the phone's user, they can easily be traced to homes and workplaces to help police identify the user and establish pattern-of-life analyses.

Law enforcement use of Fog Reveal puts a spotlight on that loophole between U.S. data privacy law and electronic surveillance law. The hole is so large that—despite Supreme Court rulings requiring a warrant for law enforcement to use GPS and cell site data to track persons—it is not clear whether law enforcement use of Fog Reveal is unlawful.

Electronic surveillance vs. data privacy

Electronic surveillance law protections and data privacy mean two very different things in the U.S. There are robust federal electronic surveillance laws governing domestic surveillance. The Electronic Communications Privacy Act regulates when and how domestic law enforcement and private entities can "wiretap," i.e., intercept a person's communications, or track a person's location.

Coupled with Fourth Amendment protections, ECPA generally requires law enforcement agencies to get a warrant based on probable cause to intercept someone's communications or track someone's location using GPS and cell site location information. Also, ECPA permits an officer to get a warrant only when the officer is investigating certain crimes, so the law limits its own authority to permit surveillance of only serious crimes. Violation of ECPA is a crime.

The vast majority of states have laws that mirror ECPA, although some states, like Maryland, afford citizens more protections from unwanted surveillance.

The Fog Reveal tool raises enormous privacy and civil liberties concerns, yet what it is selling—the ability to track most persons at all times—may be permissible because the U.S. lacks a comprehensive federal data privacy law. ECPA permits interceptions and electronic surveillance when a person consents to that surveillance.

With little in the way of federal data privacy laws, once someone clicks "I agree" on a pop-up box, there are few limitations on private entities' collection, use and aggregation of user data, including location data. This is the loophole between data privacy and electronic surveillance law protections, and it creates the framework that underpins the massive U.S. data sharing market.

The need for data privacy law

Without robust federal data privacy safeguards, smart device manufacturers, app makers and data brokers will continue, unfettered, to utilize smart devices' sophisticated sensing technologies and GPS capabilities to collect and commercially aggregate vast quantities of intimate and revealing data. As it stands, that data trove may not be protected from law enforcement agencies. But the permitted commercial use of advertising IDs to track devices and users without meaningful notice and consent could change if the American Data Privacy Protection Act, approved by the U.S. House of Representatives Committee on Energy and Commerce by a vote of 53-2 on July 20, 2022, passes.

ADPPA's future is uncertain. The app industry is strongly resisting any curtailment of its data collection practices, and some states are resisting ADPPA's federal preemption provision, which could minimize the protections afforded via state data privacy laws. For example, Nancy Pelosi, speaker of the U.S. House of Representatives, has said lawmakers will need to address concerns from California that the bill overrides the state's stronger protections before she will call for a vote on ADPPA.

The stakes are high. Recent law enforcement investigations highlight the real-world consequences that flow from the lack of robust data privacy protection. Given the Dobbs ruling, these situations will proliferate absent congressional action.