home *** CD-ROM | disk | FTP | other *** search

---

/ SysOp's Arsenal / SysOp's Arsenal 1 (Arsenal Computer).ISO / govwatch / ecpafido.txt

< prev

next >

Wrap

Text File  |  1994-07-26  |  22KB  |  462 lines

---

1.  
2. --- Following message extracted from SYSOP18 @ 1:374/14 ---
3.     By Christopher Baker on Thu Jul 21 01:23:11 1994
4. From: Michael Hess
5. To: Floyd Drennon
6. Date: 19 Jul 94  20:03:00
7. Subj: Final word on BBS's and the ECPA 1/2
8.  
9. Floyd Drennon requested a closed session to tell Michael Hess:
10.  
11.  FD> Hi Michael,
12.  
13.  FD> 15 Jul 94, 18:00, Michael Hess wrote to Paul Nebeling:
14.  
15.  MH>> attorney in your specific area for a legal opinion. I did. That's how
16.  MH>> I got my opinion. From several attorneys.
17.  
18.  FD> And for everyone you find to support your position, someone else can find
19.  FD> another who will say exactly the opposite.  Bottom line - there hasn't
20.  FD> been a definitive case concerning a hobbiest board so any advice you
21.  FD> receive at this point will be the unfounded opinion of the person
22.  FD> providing it.
23.  
24. Here is my .02 cents worth that cost me about $20.00 today to compile. I'm sure
25. after reading it you and others may have a different outlook when trying to 
26. deny that the ECPA of 1986 has no application:
27.  
28.          AMATEUR BBS NETWORK APPLICATION OF THE ELECTRONIC
29.          COMMUNICATIONS PRIVACY ACT OF 1986: BOON OR BANE?
30.          =================================================
31.  
32. By Michael Hess, copyright 1994
33.  
34. 9:05 a.m. July 19th, 1994
35.  
36. FEDERAL INFORMATION CENTER......................(800) 726-4995
37.  
38. Notes: Has no information or referral about ECPA 1986.
39. ===
40. 9:12 a.m.
41.  
42. FEDERAL COMMUNICATIONS COMMISSION...............(202) 418-0200
43. (PUBLIC AFFAIRS) 1919 M St. NWst Washington DC 20554
44.  
45. Notes: Has no idea what the ECPA 1986 is. So I looked in my trusty
46. database and called the:
47. ===
48. 9:20 a.m.
49.  
50. NATIONAL CRIMINAL JUSTICE REFERENCE SERVICE
51. BOX 6000  ROCKVILLE, MD.........................(301) 251-5500
52.  
53. Notes: Central clearinghouse for information on law enforcement and
54. criminal  justice.  Publishes bulletins and reports, provides
55. computer searches.
56.  
57. One relevant reference: End Run Around the Fourth Amendment; Why Roving
58. Surveillance Order is Un-Constitutional. 1990, Vol. 28 1990 American
59. Criminal Justice pp. 143-160.
60.  
61. Database only reaches up to 1990, no reference to Jackson Games v.
62. Secret Service 1990 as of yet. Referred me to the:
63. ===
64. 9:35 a.m.
65.  
66. FLORIDA DEPARTMENT of LAW ENFORCEMENT, COMPUTER CRIME DIVISION
67.  
68. contact: Jeff Herig.............................(904) 922-0739
69.  
70. Notes: Jeff could only offer a personal opinion. He wonders why in the
71. world folks in an amateur network would think their policy would negate
72. federal law?
73.  
74. His opinion is if a reasonable expectation of privacy exists then a
75. communication would be covered by the ECPA. This would include private
76. sysop comment areas, sysop mail areas, any communication that is not
77. readily accessible to the public.
78.  
79. As an aside, many of the training sessions that Jeff attends make
80. repeated reference to the Steve Jackson Games case. The training
81. sessions make it clear that electronic mail IS protected by the
82. Electronic Communications Privacy Act of 1986 and that investigators are
83. to keep the ECPA and particulars of the Steve Jackson Games case firmly
84. in mind when investigating a BBS. Then referred me to the:
85. ===
86. 11:03 a.m.
87.  
88. UNITED STATES DEPARTMENT of JUSTICE, COMPUTER CRIMES DIVISION
89.  
90. Dan Schneider...................................(202) 514-1026
91.  
92. Notes: Dan could not give specific advice either. However, he made it
93. clear that a company, group, or amateur policy can NOT supercede or
94. negate federal law. He took notes and is checking with his superior and
95. will get back to me.
96. ===
97. 11:25 a.m.
98.  
99. While I'm waiting let's see what we have learned so far and how we can
100. apply it.
101.  
102. The test keeps coming back to expectation of privacy and the
103. Fourth Amendment. For instance, our local Net 375 1.10 policy states:
104.  
105.      "...fraternization.  This conference (SYSOP375) is to be
106.      kept private; only the sysop and co-sysop may have read
107.      or read/write access to it.  There are many other local..."
108.  
109. It would seem that there may be a reasonable expectation of privacy at
110. the local level. Does the policy above this (Region 18 1.06 policy)
111. negate this at a regional level? This policy states:
112.  
113.      8.   Local Net Policies
114.  
115.     "It is the responsibility of each net to determine the method
116.      of selecting coordinators for that net.  Nets are encouraged
117.      to formulate local policies describing the method and (if
118.      appropriate) the timing of this process, as well as any
119.      other local procedural issues deemed appropriate by the net
120.      membership.  No local net policy may conflict with existing
121.      policies at the region, zone or interzone level..."
122.  
123. It appears that at least in one section of the regional policy that
124. a local net policy defers to the zone or interzone level, no other
125. search appears necessary. The relevent section in International
126. FidoNet 4.07 policy is as follows:
127.  
128.      2.1.6  Private Netmail
129.  
130.      "...The word "private" should be used with great care, especially
131.      with users of a BBS.  Some countries have laws which deal with
132.      "private mail", and it should be made clear that the word
133.      "private" does not imply that no person other than the recipient
134.      can read messages.  Sysops who cannot provide this distinction
135.      should consider not offering users the option of "private mail..."
136.  
137. Todays BBS software has many improved features, especially in security
138. and mail handling ability. Many sysops participate in sysop only message
139. conferences. The exclusion of the general user public is accomplished by
140. security levels or other means through the software package. Many systems
141. also use email software as a "front end" that may handle the reading
142. of a sysop only area [or use a third piece of software, a "sysop editor"]
143. or other private conferences without ever passing these to the BBS
144. software that offers public areas.
145.  
146.      ..."If a user sends a "private message", the user has no control
147.      over the number of intermediate systems through which that
148.      message is routed.  A sysop who sends a message to another
149.      sysop can control this aspect by sending the message direct
150.      to the recipient's system, thus guaranteeing that only the
151.      recipient or another individual to whom that sysop has given
152.      authorization can read the message.  Thus, a sysop may have
153.      different expectations than a casual user..."
154.  
155. International FidoNet policy further points out however that a "sysop
156. may have different expectations than a casual user." It would seem on
157. the face of it that a sysop in Net 375 would have a reasonable
158. expectation of privacy based on three written organizational policies
159. and indeed the Fourth Amendment and the ECPA.
160.  
161. Would the level of reasonable expectation of privacy diminish when
162. applied to a closed or restricted message conference on a regional or
163. North American scale? It does not seem so based on the volume of email
164. in administrative conferences when the question of opening them to the
165. general public arises. Thus it can be deduced that for a sysop, whether
166. at a local, regional or North American level at the least, the technology
167. does indeed exist and is in general use to exclude the general user public
168. from access to certain message conferences.
169.  
170.      2.1.6.1  No Disclosure of in-transit mail
171.  
172.      "...Disclosing or in any way using information contained in private
173.      netmail traffic not addressed to you or written by you is
174.      considered annoying behavior, unless the traffic has been released
175.      by the author or the recipient as a part of a formal policy
176.      complaint.  This does not apply to echomail which is by definition
177.      a broadcast medium, and where private mail is often used to keep
178.      a sysop-only area restricted..."
179.  
180. International FidoNet policy makes three important distinctions in the
181. above. Disclosing private netmail when you are not the intended
182. recipient or the recipients authorized agent is prohibited and well
183. within [at least] US law. Secondly, "echomail" is excluded from the
184. "no disclosure" clause with a dubious caveat that "private mail" in a
185. sysop only message conference is also exempt.
186.  
187. This again, at least in the US, brings up the Fourth Amendment. If a
188. person can show a reasonable expectation of privacy, and further show
189. that that privacy was breached, they may have a reasonable expectation
190. of redress.
191.  
192. Excerpts from Jackson Games v. Secret Service bear this out:
193.  
194.  
195.      "...The Secret Service denies that its personnel or its delegates
196.      read the private electronic communications stored in the seized
197.      materials and specifically allege that this information was
198.      reviewed by use of key search words only. Additionally, the Secret
199.      Service denies the deletion of any information seized with two
200.      exceptions of "sensitive" or "illegal" information, the deletion of
201.      which was consented to by Steve Jackson.     However, the
202.      preponderance of the evidence, including common sense 5,
203.      establishes that the Secret Service personnel or its delegates did
204.      read all electronic communications seized and did delete certain
205.      information and communications in addition to the two documents
206.      admitted deleted. The deletions by the Secret Service, other than
207.      the two documents consented to by Steve Jackson, were done without
208.      consent and cannot be justified..."
209.  
210. Judge Sparks makes it clear that reading and deleting electronic
211. communications "cannot be justified."
212.  
213.      "...Elizabeth McCoy, Walter Milliken and Steffan O'Sullivan also
214.      allege compensatory damages. These Plaintiffs all had stored
215.      electronic communications, or E-mail, on the Illuminati bulletin
216.      board at the time of seizure. All three of these Plaintiffs
217.      testified that they had public and private communications in
218.      storage at the time of the seizure. Steve Jackson, Elizabeth McCoy,
219.      Walter Milliken and Steffan O'Sullivan all testified that
220.      following June of 1990 some of their stored electronic
221.      communications, or E-mail, had been deleted.  It is clear, as
222.      hereinafter set out, that the conduct of the United States Secret
223.      Service violated two of the three statutes which the causes of
224.      action of the Plaintiffs are based and, therefore, there are
225.      statutory damages involved, but the Court declines to find from a
226.      preponderance of the evidence that any of the individual Plaintiffs
227.      sustained any compensatory damages..."
228.  
229. The folks above who were rewarded statutory damages had both "public and
230. private" stored communications. Judge Sparks does not make a distinction
231. in his awarding statutory damages between "public" or "private"
232. communications.
233.  
234.      "...destruction in some manner. Notwithstanding that any alteration
235.      or destruction by Blankenship, Steve Jackson, or anyone else would
236.      constitute a criminal offense under this statute, Foley and the
237.      Secret Service seized -- not just obtained disclosure of the
238.      content -- all of the electronic communications stored in the
239.      Illuminati bulletin board involving the Plaintiffs in this case.
240.      This conduct exceeded the Government's authority under the
241.      statute."
242.  
243.      "The Government Defendants contend there is no liability for
244.      alleged violation of the statute as Foley and the Secret Service
245.      had a "good faith" reliance on the February 28, 1990, court
246.      order/search warrant. The Court declines to find this defense by a
247.      preponderance of the evidence in this case."
248.  
249.      "Steve Jackson Games, Incorporated, as the provider and each
250.      individual Plaintiffs as either subscribers or customers were
251.      "aggrieved" by the conduct of the Secret Service in the violation
252.      of this statute.  While the Court declines to find from a
253.      preponderance of the credible evidence the compensatory damages
254.      sought by each Plaintiff, the Court will assess the statutory
255.      damages of $1,000.00 for each Plaintiff..."
256.  
257. Sam Sparks, the United States District Judge who heard this case made it
258. clear that the Secret Service was not acting properly when it seized,
259. read and deleted stored electronic communications. And that "anyone else"
260. doing it "...would constitute a criminal offense under this statute."
261.  
262. Early in the opinion it was established that a BBS was indeed a "remote
263. computing service" in part:
264.  
265.      "...of the law's applicability under the facts of this case. Steve
266.      Jackson Games, Inc., through its Illuminati bulletin board
267.      services, was a "remote computing service" within the definition of
268.      Section 2711, and, therefore, the only procedure available to the
269.      Secret Service to obtain "disclosure" of the contents of electronic
270.      communications was to comply with this statute. See,  18 U.S.C. 2
271.      7 0 3 . Agent Foley and the Secret Service, however, wanted more
272.      electronic communications, both public and private. A court order
273.      for such disclosure is only to issue if "there is a reason to
274.      believe the contents of a[n] . . . electronic communication . are
275.      relevant to a legitimate law enforcement inquiry." See, 18 U.S.C.
276.      S 2703(d). Agent Foley did not advise the United States
277.      Magistrate..."
278.  
279. And it's very clear that Judge Sparks considered both "public" and
280. "private" communications in his opinion. Sysops need to understand
281. that case law is very limited at this point because of the infancy
282. of computer email communications. However both private and public
283. communication were considered under the ECPA. In addition, the opinion
284. makes clear also that a BBS is indeed a "remote computing service" as
285. defined in the ECPA. The above case is a "beacon" of light in a
286. formerly gray area according to an un-official statement from the
287. Florida Department of Law Enforcement (FDLE), Computer Crimes
288. Division. In my conversation with Jeff Herig he made it clear that
289. the Steve Jackson Games case is the model case they are training
290. their officers on.
291. ===
292. 4:10 p.m. Brriinngg!
293.  
294. UNITED STATES DEPARTMENT of JUSTICE, CRIMINAL CRIMES DIVISION.
295.  
296. Notes: Dan Schneider returns my call and offers once again, in a very general
297. way, that I am being correct in my assumption that should an individual
298. be able to show that they have a reasonable expectation of privacy, an
299. individual may find relief in the Fourth Amendment and further in the
300. ECPA of 1986. He stresses that he simply cannot be responsible for
301. providing specific legal advice. But he allowed that both he and his
302. superior thought that I was considering the options correctly. An
303. analogy agreed upon was of a locked office drawer of an employee. In an
304. office desk there may be drawers normally locked and unlocked. The
305. unlocked drawers may be accessed by employees in the office so a lowered
306. expectation of privacy would be implied. A drawer normally locked
307. however may infer a much greater expectation of privacy because of the
308. severely limited access. The same would hold true for items marked
309. "secret" or "confidential" and there was general agreement that the
310. analogy would hold true for encrypted data. Dan informed me that the
311. Justice Department is relying on the opinions so far rendered. This
312. should tell the average sysop that adherence to the ECPA would be a good
313. idea. Dan also thought that there may be an appeal on file in the Steve
314. Jackson Games suit.
315.  
316. ===
317. 4:30 p. m.
318.  
319.      UNITED STATES DISTRICT COURT WESTERN DISTRICT OF TEXAS,
320.      AUSTIN DIVISION............................(512) 482-5896
321.  
322. A spokeswoman confirmed that Steve Jackson Games indeed has
323. an open appeal in the case.
324.  
325. ===
326. Another earlier case relating to the ECPA of 1986 and its application
327. was an action against Alcor Life Extension Foundation in California. They
328. were running a BBS for clients and prospective clients in the Cryogenics
329. business. The case was settled out of court but did produce a motion for
330. dismissal.
331.  
332. The case consisted of in part the following:
333.  
334.      "...4.  On or about January 11, 1990, plaintiffs commenced civil
335.      action No. SAC 90-021js in the United States District Court, Santa
336.      Ana ("the Action"), against the defendants for injuries and damages
337.      allegedly suffered as a result of the defendants' seizure of
338.      plaintiff's E-mail..."
339.  
340. The prosecution contended that their warrant did not have to comply with
341. the ECPA because the scope of the warrant broadly covered BBS computer
342. equipment and its contents which they felt was sufficient, in lieu of
343. that defense they felt that a "good faith" reliance on the warrant as
344. issued was worthy of a dismissal. While leaving the question open to
345. further consideration, Judge Letts issued the following in reference to:
346.  
347.      "...MOTION TO DISMISS COMPLAINT FOR DECLARATORY RELIEF AND DAMAGES
348.      (ELECTRONIC COMMUNICATIONS PRIVACY ACT OF 1986; U.S.C. Section
349.      2701, et seq.)..."
350.  
351.      "...The Motion of defendants to dismiss plaintiffs' complaint for
352.      came on for hearing regularly on May 14, 1990."
353.  
354.      "Defendants moved to dismiss on the grounds that the complaint
355.      failed to state a claim pursuant to Federal Rule of Civil Procedure
356.      12(b)6.  Defendants asserted that, as a matter of law, no violation of
357.      the Electronic Communication Privacy Act of 1986, 18 U.S.C section 2701,
358.      et seq. occurred, or, alternately, that defendants are entitled to
359.      dismissal due to their good faith reliance on a facially valid search
360.      warrant."
361.  
362.      "Having reviewed the papers filed in connection with this matter,
363.      having heard oral argument, and being fully apprised of the relevant
364.      facts and law,
365.  
366.      IT IS HEREBY ORDERED that the Motion of defendants to dismiss the
367.      complaint is DENIED.  Said denial shall be without prejudice should
368.      defendants wish to raise these same issues later in these
369.      proceeding."
370.  
371.      IT IS SO ORDERED.
372.  
373.      DATED:  May 18, 1990
374.  
375.      [signed]
376.  
377.      J. Spencer Letts
378.      United States District Judge
379. ===
380. 6:07 p.m.
381.  
382. Conclusions
383.  
384. It is clear that there are many remaining questions about specific
385. applications of the ECPA. It is equally clear that authorities to the
386. highest level consider the Steve Jackson Games case to be of
387. considerable import when dealing with stored electronic communications.
388.  
389. Those in FidoNet who believe that the ECPA does not apply to them may
390. take heed to Judge Sparks ruling that makes no distinction between
391. public and private email communications. The statutory award made to the
392. folks whose email was read and deleted offers evidence of this.
393.  
394. Further, the Alcor case, while not offering a precedent, did deny a
395. motion to dismiss based on the defendants claim that the ECPA did not
396. apply. Early on offering evidence that the judiciary considers BBS
397. electronic communications protected under the ECPA.
398.  
399. Some have said that there is no private communication within FidoNet. Even
400. International FidoNet policy allows for different levels of expectations
401. when considering email privacy. In my view, based on the information
402. that I have gathered and presented here, unless a sysop opens any and
403. all communications to any caller or user, some level of the ECPA would
404. come into play.
405.  
406. The rapid advance of technology has made it possible and even likely
407. that FidoNet sysops have some kind of message conferences that are not
408. intended for the general public. Attempting to use FidoNet policy to
409. circumvent US Constitutional protections that can only be waived with a
410. legal signature is sheer folly. It is generally and widely accepted that
411. you cannot give up Constitutional rights without a signed document that
412. specifies exactly what rights you are giving up. Based on everything I
413. have learned, it is my belief that the ECPA in its application so far is
414. doing what it is intended to do. That is, it provides some measure of
415. protection for electronic stored and forwarded communications. Indeed
416. instead of being a bane it is a boon for sysops. Much of the Steve Jacksons
417. Games case by the US Secret Service was based on what a Secret Service
418. Agent saw at log on:
419.  
420.      "...The only information Agent Foley had regarding Steve Jackson
421.      Games, Inc. and Steve Jackson was that he thought this was a
422.      company that put out games, but he also reviewed a printout of
423.      Illuminati on February 25, 1990, which read, "Greetings, Mortal!
424.      You have entered the secret computer system of the Illuminati, the
425.      on-line home of the world's oldest and largest secret conspiracy.
426.      5124474449300/1200/2400BAUD fronted by Steve Jackson Games,
427.      Incorporated. Fnord. " The evidence in this case strongly suggests
428.      Agent Foley, without any further investigation, misconstrued this
429.      information to believe the Illuminati bulletin board was similar in
430.      purpose to Blankenship's Phoenix bulletin board, which provided
431.      information to and was used by "hackers..."
432.  
433. I suspect that those who are so quick to contend that the ECPA has no
434. effect on their system would perhaps even more quickly, change their
435. position should they find themselves in similar circumstances.
436.  
437. And finally it was noted by each party that I contacted; Any policy made
438. by any organization simply CANNOT ignore federal law. In the words of
439. one person consulted, if the Contitutional test of reasonable
440. expectation of privacy was applied and found to have merit, an internal
441. policy "would not mean spit."
442.  
443. CAUTION: I am not an attorney. The above is presented as information
444. only and all readers are advised to seek legal counsel in their
445. jurisdiction for specific advice.
446.  
447. -end ECPAFIDO.TXT-
448.  
449. That is about all the time I am going to spend on it. If anyone would care to
450. further the debate the issue, with factual references such as I have provided, 
451. instead of simply saying the ECPA can't be applied, I will be happy to 
452. participate.
453.  
454.    michael.hess@f48.n375.z1.fidonet.org
455.  
456.  == It was 8", then 5¼" now 3½"... play with it some more.
457.  
458. --- Golded 2.42 1635US1 via D'Bridge 003179 ---
459.  * Origin: BBSNEWS * Lake Jordan, Alabama * USR 16.8 205-567-9310 (1:375/48)
460.  
461.  
462.