Μετάφραση από το άρθρο του Christopher Soghoian, με την άδειά του.
Τα ΜΜΕ απ’ όλο τον κόσμο έδειξαν μεγάλο ενδιαφέρον για την είδηση ότι το Αμερικανικό Υπουργείο Δικαιοσύνης ζήτησε και πήρε δικαστική εντολή προκειμένου να ζητήσει από το Twitter να αποκαλύψει πληροφορίες που σχετίζονται με διάφορους χρήστες που συνδέονται με το WikiLeaks.
Το δίκαιο για την προστασία της επικοινωνίας είναι ιδιαίτερα πολύπλοκο και δυστυχώς κανένας από τους επιστήμονες που ειδικεύονται στον τομέα αυτό δεν έχουν ακόμα εκφράσει την άποψή τους. Ως εκ τούτου πολλοί σχολιαστές και δημοσιογράφοι εκφράζουν χωρίς περιορισμούς τις αναλύσεις τους για αυτό το ενδιαφέρον γεγονός. Παρόλο που δεν είμαι δικηγόρος, οι κυβερνητικές αιτήσεις προς εταιρίες του διαδικτύου είναι το θέμα της διατριβής μου, οπότε θα προσπαθήσω να κάνω μια χρήσιμη ανάλυση. Ωστόσο επαναλαμβάνω ότι δεν είμαι δικηγόρος, οπότε σας προτείνω να διατηρήσετε μια επιφύλαξη.
Μια γρήγορη εισαγωγή στο Νόμο
Στις 14 Δεκμεβρίου ένας δικηγόρος του Αμερικάνικου Υπουργείου Δικαιοσύνης ζήτησε και πήρε δικαστική εντολή προκειμένου να ζητήσει από το Twitter να αποκαλύψει εγγραφές που σχετίζονται με αρκετούς χρήστες. Η δικαστική εντολή βασίστηκε στην στο 18 USC 2703(d) και δεν πρόκειται για κλήτευση (παρόλο που το AP, οι New York Times, το Salon και πολλά άλλα μέσα αναφέρουν). Οι κλητεύσεις είναι κατ ουσίαν επιστολές από όργανα επιβολής του νόμου στο όνομα της δικαιοσύνης και δεν έχουν στην πραγματικότητα επεξεργαστεί ή υπογραφεί από κάποιον δικαστή. Η 2703(d) εντολή έχει εκδοθεί από δικαστή.
Σύμφωνα με το καταστατικό ο δικαστής δεν εκδίδει μια εντολή 2703(d) παρά μόνο αν η κυβέρνηση «προσφέρει συγκεκριμένα και αδιάσειστα στοιχεία που δείχνουν ότι υπάρχουν βάσιμοι λόγοι να πιστεύει ότι μια τηλεφωνική ή ηλεκτρονική επικοινωνία, ή οι εγγραφές ή οι πληροφορίες που περιέχονται είναι σχετικό υλικό για μια διεξαγόμενη ποινική έρευνα». Δεν ξέρουμε ποια είναι αυτά τα στοιχεία, δεδομένου ότι δεν γνωρίζουμε την αρχική αίτηση που έγινε στο δικαστήριο (δεν είναι ξεκάθαρο αν αυτά τα έγγραφα είναι μυστικά. Προσπάθησα να τα βρω στο ηλεκτρονικό σύστημα αλλά δεν κατάφερα να τα εντοπίσω, οπότε θα πρέπει να περιμένουμε μέχρι την Δευτέρα μέχρι κάποιος να πάρει ένα τηλέφωνο στο αρμόδιο γραφείο και να τα ζητήσει).
Η «d» εντολή μπορεί να χρησιμοποιηθεί προκειμένου να αποκτηθούν στοιχεία πελατών (όνομα, διεύθυνση, πληροφορίες πιστωτικών καρτών, διεθύνσεις IP που χρησιμοποιήθηκαν για σύνδεση με την υπηρεσία) και πληροφορίες χωρίς περιεχόμενο που σχετίζονται με την επικοινωνία του διερευνώμενου (από/προς και στοιχεία ημερομηνίας για emails κ.λπ.). Μπορεί επίσης να χρησιμοποιηθεί για να αποκτηθεί κάθε αποθηκευμένη ή εξερχόμενη επικοινωνία (όπως τα αποθηκευμένα mails στον φάκελο «απεσταλμένα»), όλες τις επικοινωνίες που είναι παλιότερες από 180 ημέρες, όπως επίσης και αυτές που έχουν ανοιχτεί και διαβαστεί τουλάχιστον μία φορά. Αν η κυβέρνηση θέλει να αποκτήσει πρόσβαση σε μηνύματα που δεν έχουν αναγνωστεί ή έχουν ημερομηνία μικρότερη των 180 ημερών θα πρέπει να ζητήσει επιπλέον δικαστική εντολή του άρθρου 41 που απαιτεί την αναφορά πιθανής αιτίας.
Η εντολή στο Twitter
Η κυβερνητική «d» εντολή για το WikiLeaks όπως περιγράφει το καταστατικό ζητούσε τις πληροφορίες του χρήστη που συνδεόταν με τον λογαριασμό (αντιγράφοντας ουσιαστικά τον πλήρη κατάλογο από το καταστατικό):
1. Το όνομα του χρήστη, το ψευδώνυμο ή άλλες τέτοιες πληροφορίες.
2. Την ταχυδρομική διεύθυνση, διεύθυνση κατοικίας, επαγγελματική διεύθυνση, ηλεκτρονική διεύθυνση (email) και άλλα στοιχεία επικοινωνίας.
3. Πληροφορίες για τις συνδέσεις, ή εγγραφές για τις συνδέσεις και τον χρόνο που διήρκησαν.
4. Διάρκεια της υπηρεσίας (συμπεριλαμβανομένου και την ημερομηνία έναρξης) και πληροφορίες για τους τύπους των υπηρεσιών που χρησιμοποιήθηκαν.
5. Τηλεφωνικό νούμερο ή άλλα νούμερα επικοινωνίας ή ταυτότητας, συμπεριλαμβανομένων προσωρινών διευθύνσεων δικτύων (IP) και
6. Πληροφορίες για τους τρόπους και τις πηγές πληρωμών των υπηρεσιών (συμπεριλαμβανομένων τα στοιχεία πιστωτικών καρτών) και πληροφορίες πληρωμών.
Το δεύτερο μέρος της εντολής όμως είναι αυτό που είναι πιο ενδιαφέρον. Και πάλι σύμφωνα με το καταστατικό η κυβέρνηση ζητάει τις πληροφορίες χωρίς περιεχόμενο για τις επικοινωνίες του διερευνούμενου. Αυτό που φαίνεται να ψάχνει η κυβέρνηση στο δεύτερο μέρος είναι τα στοιχεία που σχετίζονται με την επικοινωνία του Twitter από και προς το λογαριασμού που διερευνά. Του τι σημαίνει αυτό μπορεί αν συζητηθεί. Θα μπορούσε να σημαίνει το όνομα και την ημερομηνία για κάθε χρήστη που έστειλε ή έλαβε ένα προσωπικό μήνυμα σε κάποιον από τους λογαριασμούς που διερευνώνται. Θα μπορούσε επίσης να σημαίνει τη λίστα με όσους δημόσια επικοινώνησαν ή ανέφεραν τα ονόματα των διερευνούμενων χρηστών ή που έχουν αναφερθεί σε tweets από τους χρήστες αυτούς. Θα μπορούσε ακόμα να περιλαμβάνει τις λίστες με τους followers, παρόλο που αυτή είναι δημόσια ήδη οπότε η κυβέρνηση δεν θα την ζητούσε μέσω δικαστηρίου.
Το καταστατικό (και η νομολογία) επιτρέπει στην κυβέρνηση να χρησιμοποιήσει το ένταλμα «d» για να αποκτήσει πρόσβαση σε πληροφορίες παλαιότερες των 180 ημερών, για αυτές που έχουν διαβαστεί τουλάχιστον μια φορά και έχουν αποθηκευτεί στο φάκελο των απεσταλμένων. Αυτό που δεν μου είναι όμως ξεκάθαρο είναι το αν τελικά η κυβέρνηση όντως ζήτησε αυτές τις πληροφορίες από το Twitter ζητώντας την «αλληλογραφία και τις σημειώσεις των εγγραφών που σχετίζονται με τους λογαριασμούς».
Η αρχική μου εντύπωση είναι αυτό δεν είναι αίτημα για το περιεχόμενο των επικοινωνιών αλλά για τις επικοινωνίες μεταξύ των χριστών και του ίδιου του Twitter (για παράδειγμα υπηρεσίες από την εξυπηρέτηση πελατών). Ωστόσο δεν είμαι εντελώς σίγουρος για αυτό… οπότε θα περιμένω να δω τι θα πουν οι ειδικοί επί του θέματος.
Διαβάζοντας ανάμεσα στις γραμμές
Αφήνοντας πίσω μας τη νομική συζήτηση ας περάσουμε στο διασκεδαστικό κομμάτι: Θα κάνω υποθέσεις. Βασιζόμενος στην εντολή και στα γεγονότα που ακολούθησαν μπορούν να γίνουν μερικές ενδιαφέρουσες παρατηρήσεις.
1. Η ώρα του ερασιτέχνη. Στην εντολή 2703(d) γράφτηκε λάθος το όνομα ενός εκ των διερευνούμενων προσώπων, του Rop Gonggrijp. Επίσης ζητούνται οι πιστωτικές κάρτες και οι τραπεζικές πληροφορίες για αρκετούς χρήστες του Twitter, παρόλο που το Twiiter είναι δωρεάν οπότε δεν κατέχει τέτοιου τύπου πληροφορίες (υποθέτουμε ότι όλο και κάποιος στο Υπουργείο Δικαιοσύνης ξέρει έστω και λίγα πράγματα για το Twitter, αφού το ίδιο έχει 350.000 followers στον επίσημο λογαριασμό του).
Η κρατικός εισαγγελέας που εμφανίζεται στην εντολή, Tracey Doherty-McCormick, έχει διώξει την online εκμετάλλευση ανηλίκων μόλις πριν 5 μήνες πριν την έκδοση της εντολής για το Twitter. Δεδομένου ότι η έρευνα για το WikiLeaks είναι η έρευνα της δεκαετίας για την εθνική ασφάλεια και του ότι το δικαστήριο θα ζητούσε το άνοιγμα των λογαριασμών ενός μέλους του Ισλανδικού κοινοβουλίου θα φανταζόταν κανείς ότι το Υπουργείο Δικαιοσύνης θα ανέθετε την υπόθεση σε κάποιον ανώτερο.
Από την προσωπική μου εμπειρία έξω από το τμήμα Ηλεκτρονικού Εγκλήματος & Πνευματικής Ιδιοκτησίας (CCIPS) και του τμήματος Εθνικής Ασφάλειας οι περισσότεροι δικηγόροι του Υπουργείου Δικαιοσύνης ξέρουν πολύ λίγα πράγματα για την τεχνολογία. Έτσι μπορεί απλά η Doherty-McCormick, μέσω της εμπειρίας που αποκόμισε διώκοντας παιδόφιλους που χρησιμοποιούσαν το διαδίκτυο να έγινε η πλέον έμπειρη εισαγγελέας στο τμήμα και για αυτό και μόνο να ζητήθηκε η βοήθειά της στην έρευνα.
Ωστόσο, οι τεχνικές γνώσεις που απαιτούνται για να ξεγελάσεις έναν παιδόφιλο που κανονίζει ένα ραντεβού με κάποιον που νομίζει ότι είναι 13 χρονών δεν είναι ακριβώς αυτό που χρειάζεσαι όταν ερευνάς έναν εξελιγμένο οργανισμό που λειτουργεί από εκπαιδευμένους και ταλαντούχους αναλυτές ασφάλειας. Πιθανότατα η Doherty-McCormick βρίσκεται σε καθημερινή επικοινωνία με τους ειδικούς τεχνικούς επιστήμονες-δικηγόρους από την CCIPS, που βοηθάνε στην παρούσα έρευνα.
2. Τρεις από αυτούς που αναφέρονται στην εντολή, οι Jacob Appelbaum, Rop Gonggrijp και Julian Assange είναι ειδικοί αναλυτές ασφαλείας. Ο Appelbaum έχει δουλέψει για το Tor Project και έχει συγγράψει μια πολύ εντυπωσιακή έρευνα για την κρυπτογράφηση. Ο Assange επίσης είναι συγγραφέας ενός εξελιγμένου συστήματος κρυπτογραφημένων αρχείων και ο Rop έχει δουλέψει πολλά χρόνια στην δημιουργία ενός λογισμικού για την κρυπτογράφηση των τηλεφωνικών συνομιλιών. Και οι τρεις πιθανότατα χρησιμοποιούν ισχυρότατη κρυπτογράφηση για τις ευαίσθητες επικοινωνίες τους και χρησιμοποιούν το Tor για κρύψουν την IP διεύθυνσή τους. Έτσι, δεν είμαι σίγουρος τι ακριβώς ελπίζει να βρει το Υπουργείο Δικαιοσύνης όταν ζητάει από το Twitter αυτά τα δεδομένα, αφού αμφιβάλω αν αυτοί οι συγκεκριμένοι έχουν εμπιστευθεί στο Twitter οτιδήποτε προσωπικό.
3. Γιατί επιλέχθηκε το ένταλμα «d»; Για μια υπόθεση τόσο σοβαρή, είναι σχεδόν σοκαριστικό ότι η κυβέρνηση επέλεξε ένα ένταλμα «d» προκειμένου να συλλέξει πληροφορίες. Τουλάχιστον για τον Assange και τον Manning, υπάρχουν σίγουρα αρκετά για να στοιχειοθετηθεί «πιθανή αιτία» και να εκδοθεί ένα δικαστικό ένταλμα του άρθρου 41 που μπορεί να περιέχει τα πλήρη στοιχεία των επικοινωνιών και όλες τις πληροφορίες για τις τοποθεσίες. Αυτό που είναι ακόμα πιο περίεργο ότι έχει επιλεχθεί το ποινικό νομικό πλαίσιο και όχι το δίκαιο εξωτερικών υποθέσεων. Για να είμαι απόλυτα ειλικρινής θα έβαζα στοίχημα ότι το Υπουργείο Δικαιοσύνης έχει ήδη εκδώσει ένα ένταλμα FISA (Foreighn Intelligence Surveilance Act) για τον Assange και τους συνεργάτες του. Πραγματικά δεν μπορώ να καταλάβω τι πρέπει να υποθέσει κανείς.
4. Twitter. Η μεγαλύτερη ιστορία, πολύ πιο ενδιαφέρουσα από το ίδιο το ένταλμα της κυβέρνησης είναι ότι το Twitter αποφάσισε να παλέψει για την προστασία των προσωπικών δεδομένων των χρηστών του. Η εταιρία πήγε στο δικαστήριο και πέτυχε να πάρει την έγκριση του δικαστή προκειμένου να δημοσιεύσει το αίτημα (κάτι που δεν ήταν υποχρεωμένη να κάνει) και μετά ενημέρωσε τους χρήστες του προκειμένου να μπορέσουν να ζητήσουν ανακοπή της διαδικασίας. Το Twitter θα μπορούσε να συμμορφωθεί αθόρυβα και κανείς δε θα μπορούσε να τους καταλογίσει καμία απολύτως νομική ευθύνη. Για την ακρίβεια πολλές άλλες εταιρίες του διαδικτύου σε καθημερινή βάση παραδίδουν τα στοιχεία των χρηστών τους όποτε υπάρχουν κυβερνητικές εντολές και δεν έχουν ποτέ διανοηθεί να ζητήσουν την δημοσίευση των ενταλμάτων ή να δώσουν στους πελάτες τους την ευκαιρία να αντισταθούν.
Ο Alex Macgillicray, γενικός σύμβουλος του Twitter είναι σίγουρα πίσω από αυτή την κίνηση διαφύλαξης των προσωπικών δεδομένων. Ο Macgillicray ήταν ένας από τους πρώτους φοιτητές του Berkman Center του Harvard. Πριν πάει στο Twitter εργάστηκε στα θέματα πνευματικών δικαιωμάτων και προσωπικών δεδομένων στην Google και συνέβαλε στο να δημοσιεύσει τις αιτήσεις για διαγραφή Sites στο chillingeffects.org. Πρόσφατα το Twitter άρχισε να στέλνει επίσης αντίγραφα διαγραφών στο chillingeffects.org.
Είναι πολύ ωραίο να βλέπεις εταιρίες να αντιστέκονται και να παλεύουν για λογαριασμό της διαφύλαξης των προσωπικών δεδομένων των χρηστών τους. Είμαι σίγουρος ότι αυτό θα κάνει καλό μακροχρόνια στις δημόσιες σχέσεις του Twitter και θα της δώσει ένα συγκριτικό πλεονέκτημα σε σχέση με άλλες μεγάλες εταιρίες και παρόχους υπηρεσιών internet που μερικές φορές παρά είναι πρόθυμες να βοηθήσουν τις κυβερνητικές υπηρεσίες. Απλά δείτε τις διαφορές μεταξύ του Amazon, του Paypal (που ανήκει στο eBay) και στο Twitter.
Ένα ακόμα παράδειγμα αυτής της διαφοράς σε σχέση με τη δράση του Twitter είναι και το σχόλιο του υπεύθυνου του eBay πριν από λίγα χρόνια:
«Εμείς (στο eBay) προσπαθούμε να εισάγουμε κανόνες που θα άνουν δύσκολο στους χρήστες να διαπράξουν απάτες και θα είναι εύκολο για εσάς (τις νομικές υπηρεσίες) να ερευνάτε. Αυτή είναι η πολιτική μας. Ξέρω από τις έρευνες για απάτες στο eBay ότι έχουμε πιθανότατα την πιο γενναιόδωρη πολιτική σε σχέση με οποιαδήποτε εταιρία όσον αφορά τη δημοσίευση των στοιχείων. Δεν χρειαζόμαστε κλήτευση εκτός από πολύ περιορισμένες περιπτώσεις. Χρειαζόμαστε κλήτευση μόνο όταν μας ζητάνε στοιχεία πιστωτικών καρτών και ορισμένες φορές όταν μας ζητάνε διευθύνσεις IP.
5. Ζήτησε η κυβέρνηση τα περιεχόμενα των προσωπικών μηνυμάτων; Όπως έγραψα παραπάνω δεν είναι ξεκάθαρο αν η κυβέρνηση ζήτησε τα στοιχεία των προσωπικών μηνυμάτων. Θα περίμενα να ήταν πιο ξεκάθαροι στην περιγραφή αν το έκαναν. Ωστόσο βασιζόμενος στην αντίδραση του twitter στο ένταλμα 2703(d) αν η κυβέρνηση ζητούσε αυτές τις πληροφορίες θα περίμενα το twitter να αντισταθεί βασιζόμενη στην 4η τροπολογία του Αμερικάνικου Συντάγματος.
Υποθέτω ότι η κυβέρνηση επέλεξε να μη ζητήσει αυτές τις πληροφορίες ως στρατηγική κίνηση πιθανώς φοβούμενη ότι οι δικηγόροι του Twitter θα αρνούνταν να συμπεριλάβουν αυτές τις πληροφορίες και θα βασίζονταν στην αντισυνταγματικότητα ενός τέτοιου αιτήματος. Τα τελευταία δύο χρόνια δεν είναι λίγες οι φορές που τα δικαστήρια αρνήθηκαν εντάλματα της κυβέρνησης σχετικά με τα προσωπικά δεδομένα. Το ένταλμα για το Twitter θα ήταν εξαιρετική περίπτωση για την δημιουργία νομολογίας επί του θέματος και πιθανότατα θα αποτελούσε ρίσκο για την κυβέρνηση.
Τι έρχεται μετά
Αυτή η υπόθεση είναι εξαιρετικά μεγάλης σημασίας. Περιλαμβάνει υπόθεση προσωπικών δεδομένων, το Twitter, αδιαμφισβήτητα την πιο hot υπηρεσία του διαδικτύου, το WikiLeaks και ένα μέλος του Ισλανδικού κοινοβουλίου. Περιμένω η υπόθεση να φτάσει στο δικαστήριο και όλοι θα προσπαθήσουν να ελέγξουν αυτή την υπόθεση. Οι οργανισμοί για τα προσωπικά δεδομένα, οι παρόχοι υπηρεσιών επικοινωνιών και πιθανότατα ακόμα και το Ισλανδικό κοινοβούλιο θα καταθέσουν αιτήματα συμμετοχής.
Ως ερευνητής των προσωπικών δεδομένων αγωνιώ για την εξέλιξη της υπόθεσης.
* Ο Christopher Soghoian είναι αναλυτής ασφαλείας και προσωπικών δεδομένων. Έχει εκδώσει έρευνες για θέματα που καλύπτουν την ασφάλεια προσωπικών δεδομένων, της νομοθεσία για το διαδίκτυο, την πολιτική του διαδικτύου κ.λπ. |
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου