Hur kan de amerikanska brottsbekämpande myndigheterna komma åt dina uppgifter?

by bernt & torsten

Ett fräckt hack som avslöjade konsumentdata som samlats in av Apple och Facebook-moderbolaget Meta har väckt nya frågor om hur säker vår data är i händerna på teknikföretag och hur lätt brottsbekämpande myndigheter kan få tag i informationen som big tech samlar in.

Det avslöjades förra veckan att hackare skaffade information från vissa Apple- och Meta-användare genom att förfalska en juridisk begäran, en av flera mekanismer genom vilka brottsbekämpande myndigheter kan begära eller kräva att teknikföretag lämnar över data som plats och abonnentinformation.

Lagstiftare och integritetsförespråkare hävdade att förfalskningen var ett varningstecken på att systemet är i behov av reformer.

En genomgång av de otaliga sätten på hur teknikföretag delar konsumentdata med brottsbekämpande myndigheter visar att det ofta är ganska enkelt för sådana organ att få tag på konsumentdata.

[Dina uppgifter är] i stort sett alla tillgängliga för regeringen i en eller annan form.

En juridisk nödbegäran, som den som hackarna förfalskade, till exempel, kräver ingen stämning eller beslut, till skillnad från många andra juridiska begäranden. Det är tänkt att vara reserverat för exceptionella situationer: Apple betraktar juridiska förfrågningar som en “nödsituation” om “det gäller omständighet(er) som involverar överhängande och allvarliga hot mot: 1) individens liv/säkerhet; 2) säkerheten i en stat; 3) säkerheten för kritisk infrastruktur/installation.” Men, som hackarna har visat, kan den lätt utnyttjas.

Här är några av de viktigaste sätten brottsbekämpande myndigheter kan få tag på din data.

Åtkomst till din enhet

Det kanske mest uppenbara sättet brottsbekämpande kan få din data är genom att komma åt din fysiska enhet. Polisen kan stämma din enhet eller få en husrannsakningsorder för att gå igenom dina telefoner. Om din telefon är låst eller om du bara använder krypterade meddelandeappar kan polisen använda kriminaltekniska verktyg för mobila enheter för att bryta krypteringen eller kringgå dina låsskärmar om de är beväpnade med en order.

I februari 2021 beslutade en amerikansk appellationsdomstol att Customs and Border Protection (CBP) fritt kan genomsöka dina enheter utan en dom vid gränserna. Flytten skapade ett enormt kryphål för att rikta in sig på alla som reser in i eller ut ur USA.

Brottsbekämpande begäranden

Om du skannar sekretesspolicyn för dina mest använda appar kommer du förmodligen att hitta en klausul eller två som säger något i stil med “vi delar aldrig din användardata om det inte är som svar på en begäran från brottsbekämpande”. Det betyder att polis, immigration och tullmyndigheter (Ice), FBI och andra brottsbekämpande myndigheter kan få dina användardata direkt från teknikföretag genom olika former av juridiska förfrågningar, utan att behöva söka igenom din enhet. Ibland kan de få det bara genom att be om det.

Google fick till exempel mer än 39 000 förfrågningar om användarinformation mellan juli och december 2020, enligt företagets senaste transparensrapport. Google överlämnade användarinformation som svar på mer än 80 % av dessa förfrågningar, vilket påverkar konton för mer än 89 000 användare.

I många fall kommer dessa förfrågningar med gag-order, vilket innebär att företaget inte kan meddela användarna att deras information har begärts i sex månader eller mer. Ibland tar det år innan en användare får reda på att deras data har överlämnats till brottsbekämpande myndigheter.

Det finns en handfull olika typer av förfrågningar från brottsbekämpande myndigheter, vissa mer omfattande än andra och vissa har större juridisk tyngd. Tre typer av juridiska förfrågningar, i synnerhet, har nyligen väckt oro bland aktivister och experter: geofence-order, sökordsorder och administrativa stämningar.

En sökningsorder för nyckelord tillåter brottsbekämpande myndigheter att få tillgång till informationen från alla som sökte efter vissa termer eller nyckelord inom en viss tidsperiod.

En geofence-order tillåter brottsbekämpande myndigheter att söka enhetsinformation för alla användare som var på en viss plats vid en viss tidpunkt. Google, det enda företaget som för närvarande avslöjar antalet geofence-garantier som det tar emot, sa att det ställde in lite under 3 000 under det sista kvartalet 2020.

Båda typerna av arresteringsorder, menar integritetsexperter, är alltför breda och bryter därmed mot grundlagsskyddet mot orimliga sökningar. Medan många arresteringsorder vanligtvis söker information om en enskild person eller grupp av personer som är misstänkta för ett brott, fungerar geofence och sökordsorder baklänges och kastar ett brett nät i hopp om att begränsa en lista över misstänkta.

Det är inte olikt celltornsdumpar. Brottsbekämpande myndigheter ber mobiltelefonföretag om information från alla personer som var anslutna till ett mobiltorn i närheten av en brottsplats när brottet misstänktes ha inträffat.

En federal domare i Virginia beslutade nyligen att lokala myndigheter bröt mot konstitutionen när de använde en geofence-order för att utreda ett rån 2019, vilket skapade ett prejudikat som advokater som representerar personer som fastnat i dessa typer av sökningar kan använda för att få gottgörelse för att vara falskt misstänkta eller anklagade för ett brott.

Administrativa stämningar har mindre juridisk tyngd än andra förfrågningar: brottsbekämpande myndigheter behöver inte en domare för att skriva under på dem, men de är inte heller självupprätthållande. Det enda sättet som byråerna kan tvinga ett företag att lämna över de uppgifter som krävs i begäran är att ställa dem inför domstol efter att de vägrat att följa.

Ändå kommer företag ofta att efterkomma begäran även om det inte är en domstolsbeordrad stämning. Vissa experter har uttryckt oro över användningen av denna typ av förfrågningar från Ice, som har begärt användardata från teknikföretag som Google, eftersom de är rädda för att byrån använder dem för att utöka sin övervakning av amerikanska medborgare.

Datamäklare

Det finns en hel bransch av företag och företag som köper och säljer din data med vinst. Det skumma nätverket av datamäklare fungerar ganska under radarn men ger ofta enkel åtkomst till användardata som din plats och köphistorik till andra enheter, inklusive brottsbekämpning.

Datamäklare kan samla in dina personuppgifter från en handfull olika källor, såsom dina sociala medieprofiler, offentliga register och andra kommersiella källor eller företag. Vissa datamäklare integrerar direkt i appar för att samla information som plats och köphistorik. Dessa mäklare, som kan inkludera vissa telekommunikationsföretag och kreditupplysningsföretag, säljer sedan dessa rådata, eller slutsatser och analyser baserade på dessa data, till andra företag och statliga myndigheter.

Det är inte alltid klart om en datamäklare har samlat in eller sålt din information. Faktum är att nyligen datamäklaren X Mode, vars kunder inkluderar militära entreprenörer, avslöjades för att ha köpt platsdata från den muslimska böneappen Muslim Pro utan att användarna av appen visste om det.

Övervakningsteknikföretag

Brottsbekämpande myndigheter har också avtal med övervakningsteknikföretag som Clearview AI och Voyager, som skrapar din information från internet och sociala medier och matar in den i sina egna algoritmer.

Konsumentteknikföretag som du kan interagera med dagligen tillhandahåller också tjänster till polisen. Amazons smarta dörrklocka Ring, till exempel, ger vissa poliser särskild tillgång till grannarnas sociala nätverk och gör det enkelt för polisen att övervaka och begära ringfilmer från konsumenter.

Kontrakt mellan teknikföretag och brottsbekämpande myndigheter har blivit vanligare i takt med att teknikindustrin söker nya vägar för tillväxt, säger experter. Eftersom många av de utrymmen som tekniker redan befinner sig i har tydligt dominerande aktörer, har brottsbekämpande kontrakt blivit en tilltalande tillväxtstrategi på grund av det till synes oändliga utbudet av finansiering för myndigheter som Department of Homeland Security och lokal polis.

Datadelning

Det sker också en hel del datadelning mellan myndigheter på lokala, statliga och federala nivåer. Även om det kan verka föga förvånande att brottsbekämpande myndigheter delar information, kan du bli förvånad över att höra att en enhet som DMV delar information med myndigheter som Ice.

Att datadelning underlättas av tjänster från företag som Palantir, som skapar ett centraliserat nätverk av digitala register som inkluderar “kroniska brottslingar” och andra personer som anses av intresse som lätt kan nås av företagets brottsbekämpande partner på alla nivåer – från många lokala polisavdelningar till FBI.