Een tweevoudig bod om een wet op de elektronische privacy te hervormen, wordt ondersteund door de technische gemeenschap en het Witte Huis, maar federale wetshandhavers vertellen het Congres dat de veranderingen de civiele vervolging zouden belemmeren.
Civielrechtelijke handhavingsinstanties zoals de Federal Trade Commission en de Securities and Exchange Commission zouden geen kritische informatie kunnen verkrijgen als de wet zou worden gewijzigd om strafrechtelijke bevelen te eisen voor toegang tot gegevens die zijn opgeslagen in cloudservices, volgens getuigen van die instanties die vooraf getuigen van het Senaatsgerechtshof woensdag.
De wetshandhavers reageerden op wetsvoorstellen van Sens. Mike Lee en Patrick Leahy, en vertegenwoordigers Kevin Yoder en Jared Polis, die tot doel hebben de Electronic Communications Privacy Act of ECPA bij te werken.
In zijn huidige vorm beschermt ECPA e-mails tegen snuffelen door de overheid gedurende 180 dagen. Toen de wet in eerste instantie werd opgesteld in 1986, verwijderden e-mailproviders regelmatig e-mails van hun servers een maand of twee nadat ze waren afgeleverd; gebruikers downloadden doorgaans de berichten die ze wilden bewaren. Wat na 180 dagen op een e-mailserver achterblijft, is een eerlijk spel voor de overheid om toegang te krijgen, met slechts een dagvaarding - geen bevel.
Tegenwoordig bieden alomtegenwoordige cloudgebaseerde e-mailsystemen zoals Gmail, die gigabytes gratis opslag bieden, de gemiddelde gebruiker de mogelijkheid om zijn of haar berichten (en agenda's, contacten, notities en zelfs locatiegegevens) voor onbepaalde tijd op de servers van een provider te bewaren.
De ECPA-wijzigingswet vereist dat wetshandhavers een bevel krijgen om toegang te krijgen tot door de server gehoste informatie, ongeacht hoe oud, en vereist dat de overheid een persoon op de hoogte stelt dat zijn of haar informatie binnen 10 dagen is benaderd, met bepaalde uitzonderingen.
Maar wetshandhavingsfunctionarissen verzetten zich tegen enkele van de door het wetsvoorstel voorgestelde wijzigingen en voerden aan dat de vereiste voor criminele warrants civiele procesrechters zonder toegang tot belangrijke elektronische informatie konden achterlaten.
"Het wetsvoorstel in zijn huidige vorm vormt een aanzienlijk risico voor het Amerikaanse publiek doordat het de mogelijkheid van de SEC en andere civiele wetshandhavingsinstanties belemmert om financiële fraude en ander onwettig gedrag te onderzoeken en aan het licht te brengen," zei Andrew Ceresney, directeur van de handhaving bij de Securities and Exchange Commission.
Ceresney en Daniel Salsburg - hoofdadviseur voor technologie, onderzoek en onderzoek in de consumentenbeschermingsafdeling van de FTC - zeiden dat de SEC en de FTC niet op zoek zijn naar de autoriteit om gegevens te verkrijgen met slechts een dagvaarding en stelden in plaats daarvan een systeem voor waar ze een gerechtelijk bevel voor toegang tot de gegevens. Een dergelijk proces zou de onderzochte persoon op de hoogte stellen en hem of haar de kans geven om een zaak voor de rechter te brengen voordat een bevel wordt toegekend of geweigerd.
Ministerie van Justitie vereist Warrants voor mobiele-telefoontrackingtechnologie
Het nieuwe beleid is niet van toepassing op nationale en lokale politie-afdelingen die simulators van mobiele sites hebben gebruikt om criminelen op te sporen.
Maar ondanks hun verzet tegen de voorgestelde wijziging van ECPA, hebben noch de SEC noch de FTC de afgelopen vijf jaar e-mails verkregen via een administratieve dagvaarding, zeiden Ceresney en Salsburg woensdag.
Ceresney zei dat het besluit om dagvaarding te voorkomen "in eerbied" werd genomen voor lopende gesprekken over de hervorming van de ECPA. Een federaal gerechtelijk bevel van 2010 bond ook de handen van de regering door ECPA ongrondwettelijk te verklaren - een beslissing die de ECPA-wijzigingswet voornemens is te codificeren tot wet - maar Ceresney zei dat de SEC de beslissing van de rechtbank niet interpreteert als een belemmering voor het gebruik van dagvaardingen om gegevens te verkrijgen.
De opmerkingen van de civiele rechtshandhavingsambtenaren over de hervorming van de ECPA werden onmiddellijk beantwoord door de technische gemeenschap, die de veranderingen krachtig heeft gesteund.
"De FTC beweert een voorvechter te zijn van de privacy van consumenten, maar toch wil het bureau zonder rechtvaardiging toegang tot de gegevens van de Amerikanen," zei Berin Szoka, president van TechFreedom, een technologische denktank. “Het getuigenis van de Commissie van vandaag bevestigt reeds lang bestaande geruchten dat het alleen de hervorming van de ECPA zal ondersteunen als het de vereiste van het wetsvoorstel niet overschrijdt.
"De FBI is geen buitenaardse kracht die wordt opgelegd aan het Amerikaanse volk", zegt de directeur van het bureau, terwijl de FBI botst met Silicon Valley over coderingsstandaarden.
"Dit is het probleem dat de hervorming van de ECPA al meer dan vijf jaar blokkeert, ondanks de overweldigende steun van twee partijen," voegde Szoka toe. "De getuigenis van de FTC is zorgvuldig samengesteld om redelijk te klinken, maar het bureau helpt eenvoudigweg de belangrijke privacyhervorming van onze generatie tegen te houden."
Julie Brill, een FTC-commissaris, publiceerde woensdag een verklaring waarin ze het niet eens was met de getuigenis van Salsburg. "Ik maak me zorgen dat een gerechtelijk mechanisme voor civielrechtelijke handhavingsinstanties om inhoud van ECPA-providers te verkrijgen, autoriteit kan verankeren die kan leiden tot schendingen van de privacy van personen en, in sommige omstandigheden, in de praktijk ongrondwettelijk kan zijn," zei Brill.
Google en BSA-The Software Alliance, een prominente technische vereniging, verscheen in een afzonderlijk getuigenpanel voor de commissie en drong aan op snelle verandering om de privacy van klanten te verbeteren en de bedrijfsdruk te verlichten.
"Door inconsistente privacybescherming voor gebruikers van cloudservices en inefficiënte en verwarrende hindernissen voor compliance voor serviceproviders te creëren, heeft ECPA een onnodige ontmoediging gecreëerd om over te stappen op een efficiëntere, productievere manier van computergebruik", aldus Richard Salgado, de directeur van Google's wet tak van handhaving en informatiebeveiliging.
Dit verhaal is bijgewerkt met een verklaring van FTC-commissaris Julie Brill.