home *** CD-ROM | disk | FTP | other *** search

---

/ Night Owl 9 / Night Owl CD-ROM (NOPV9) (Night Owl Publisher) (1993).ISO / 034a / eff505.zip / EFF505.TXT

Wrap

Text File  |  1993-04-10  |  28KB  |  539 lines

---

1. ·  Newsgroup: comp.org.eff.talk
2. · Message-ID: <1993Apr2.214920.10432@eff.org>
3. ·    Subject: EFFector Online 5.05
4.  
5.                   -==--==--==-<>-==--==--==-
6.                         In this issue:
7.           Keys to Privacy in the Digital Information Age
8.         What's Important About the Medphone Libel Case?
9.                    -==--==--==-<>-==--==--==-
10.  
11.           Keys to Privacy in the Digital Information Age
12.               by Jerry Berman and Daniel J. Weitzner
13.  
14.    With dramatic increases in reliance on digital media for
15. communications, the need for comprehensive protection of privacy in
16. these media grows.  For many reading this newsletter, the point may
17. seem trite, but the scope of the digital communications revolution (of
18. which we only stand at the very beginning), poses major new
19. challenges for those concerned about protecting communications
20. privacy.  Communication carried on paper through the mail system,
21. or over the wire-based public telephone network, is relatively secure
22. from random intrusion by others.  But the same communication
23. carried, for example, over a cellular or other wireless communication
24. system is vulnerable to being intercepted by anyone who has very
25. inexpensive, easy-to-obtain, scanning technology.  If designed and
26. deployed properly, communications technology has the potential to
27. actually support and enhance the level of privacy that we all enjoy.
28. But if, in the design process, privacy concerns are slighted, whether
29. consciously or not, privacy may be compromised.
30.  
31.    Public policy has a critical impact on the degree of privacy
32. protection afforded by the new communications systems now being
33. designed and deployed for public use.  Two ongoing public policy
34. issues present the challenges of digital privacy protection in sharp
35. relief.  In the first case, government policy seeks to limit the
36. introduction of robust encryption technologies.  Motivated by
37. national security concerns, the National Security Agency is using
38. export control regulations to discourage the widespread foreign and
39. domestic adoption of strong encryption systems.  The NSA's
40. reasoning is if uncrackable encryption is available, the NSA will be
41. powerless to intercept the communications of foreign espionage
42. agents operating in and around the United States.  However, the
43. NSA's restriction on the use of powerful encryption systems limits
44. the ability of all who rely on electronic communication systems to
45. protect their privacy.
46.  
47.    Second, on the domestic front, the FBI has proposed a
48. comprehensive licensing regime that would require all new
49. communications systems to be certified as "wire-tappable" before
50. their introduction into the market.  This proposal threatens to force
51. the widespread use of communications systems that have "back
52. doors" in them that make them inherently insecure and to expand
53. the scope of the FBI's wiretapping authority to an unspecified degree.
54. Although these two proposals are now being pursued in independent
55. policy arenas, it is critical to view them together in order to
56. appreciate the full implications for privacy.
57.  
58. Encryption Policy
59.    For the individual who relies on digital communications media,
60. reliable privacy protection cannot be achieved without the protection
61. of robust encryption technology.  While legal restrictions on the use
62. of scanners or other technology that might facilitate such invasions of
63. privacy seem to be attractive preventative measures, these are not
64. lasting or comprehensive solutions.  We should have a guarantee --
65. with physics and mathematics, not only  with laws -- that we can
66. give ourselves real privacy of personal communications through
67. technical means.  We already know how to do this, but we have not
68. made encryption technology widely available for public use because
69. of public policy barriers.  The actual debate going on involves both
70. the National Security Agency and the National Institute of Standards
71. and Technology.  They are in the process of deciding what version of
72. a particularly strong type of encryption system ought to be promoted
73. for public use.  Called Public Key Encryption systems, these coding
74. systems derive their strength, in part, from the size of the ╥key╙ used
75. to encrypt the message.
76.  
77.    In examining discrete issues such as the desirability of various
78. cryptography standards, we take a comprehensive view of "digital
79. privacy" policy as a whole.  Such a comprehensive view requires a
80. clear vision of the underlying civil liberties issues at stake:  privacy
81. and free speech.  It also requires looking beyond the cryptography
82. questions raised by many to include some of law enforcement's
83. recent concerns about the pace of digital infrastructure innovation.
84. For the sake of promoting innovation and protecting civil liberties,
85. we must also bear in mind the principle that computer security
86. policy is fundamentally a concern for domestic, civilian agencies.
87.  
88.    Inasmuch as digital privacy policy has broad implications for
89. constitutional rights of free speech and privacy, these issues must be
90. explored and resolved in an open, civilian policy context.  This
91. principle is clearly articulated in the Computer Security Act of 1987.
92. These questions are simply too important to be decided by the
93. national security establishment alone.  The structure of the Act arose,
94. in significant part, from the concern that the national security
95. establishment was exercising undue control over the flow of public
96. information and the use of information technology.  When
97. considering the law in 1986, the Congress asked the question,
98. "Whether it is proper for a super-secret agency [the NSA] that
99. operates without public scrutiny to involve itself in domestic
100. activities...?"  The answer was a clear no, and the authority for
101. establishing computer security policy was vested in NIST (then the
102. National Bureau of Standards).
103.  
104.    In this context, we need a robust public debate over our
105. government's continuing heavy-handed efforts to control
106. commercially developed cryptography.  It is no secret that
107. throughout the cold war era, the Defense and State Departments and
108. the National Security Agency have used any and all means, including
109. threats of prosecution, control over research and denial of export
110. licenses, to prevent advanced secret coding capabilities from getting
111. into the hands of our adversaries.  NSA does this to maximize its
112. ability to intercept and crack all international communications of
113. national security interest.
114.  
115.    Now the Cold War is over, but the practice continues.  In recent
116. years, Lotus, Microsoft, and others have developed or tried to
117. incorporate powerful encryption means into mass market software to
118. enhance the security and privacy of business, financial, and personal
119. communications.  In an era of computer crime, sophisticated
120. surveillance technologies and industrial espionage, it is a laudable
121. goal.
122.  
123.    Although NSA does not have the authority to interfere with
124. domestic distribution encryption systems, its licensing stranglehold
125. over foreign distribution has significant domestic consequences.
126. United States firms have been unable to sell competitive security and
127. privacy products in international markets.  More important, because
128. the cost of producing two different products is often prohibitive, NSA
129. policy encourages firms to produce a single product for both
130. domestic  and worldwide use, resulting in sub-standard privacy and
131. security  for users both here and abroad.
132.  
133.    While we all recognize that NSA has legitimate national security
134. concerns in the post cold war era, this is a seriously flawed process.
135. Foreign countries or entities who want to obtain advanced encryption
136. technology can purchase it through intermediaries in the United
137. States or from companies in a host of foreign countries who are not
138. subject to US export restrictions.  By taking a page out of the
139. Emperor's New Clothes, NSA opts to act as if the process works by
140. continuing to block export.
141.  
142.    In order to get some improvement in mass market encryption, the
143. computer industry had to resort to using the threat of legislation to
144. get NSA to engage in the negotiations that finally led NSA to agree to
145. expedited clearance for the export of  encryption software of limited
146. key lengths.  Still, all concede that the agreement does not go far
147. enough and that far more powerful products are commonly available
148. in the US.  The remaining limits specifying maximum key lengths
149. offers little long-term security given advances in computer
150. processing power.
151.  
152.    Does this kind of policy make any sense in the post Cold War era?
153. Mass market products offer limited security for our citizens.
154. Determined adversaries can obtain much more powerful products
155. from foreign countries or by purchasing it here in the US.  Is the NSA
156. policy of slowing down the pace of encryption use by foreigners and
157. adversaries -- and there's some debate as to whether the NSA policy
158. really does slow down that pace -- any longer worth the  significant
159. price we pay in terms of failing to meet our own communications
160. privacy and security needs?  We don't think so.
161.  
162. FBI's Digital Telephony Proposal
163.    The public policy debate on electronic privacy issues over the last
164. few years has demonstrated that a comprehensive approach to
165. digital privacy policy cannot be complete without examining both
166. questions regarding the availability of encryption technology and the
167. corresponding infrastructure issues, such as those raised by the FBI's
168. Digital Telephony Proposal.
169.  
170.    Last year, the FBI first proposed a "Sense of the Congress"
171. resolution stating that communications firms and computer and
172. communications equipment manufacturers were obligated to provide
173. law enforcement access to the "plain text" of all voice, data and video
174. communications, including communications using software
175. encryption.  The Electronic Frontier Foundation (EFF) played an
176. active and leading role both in opposing such a law and in seeking to
177. find more acceptable means for meeting legitimate law enforcement
178. needs.  Because of our advocacy and coalition-building efforts with
179. communications and privacy groups, we were successful in
180. persuading Senate Judiciary Chairman Joseph Biden to remove the
181. Sense of the Congress Resolution from active consideration as part of
182. Omnibus crime legislation last year.
183.  
184.    Putting aside its attempt to control the use of encryption systems,
185. last year the FBI proposed legislation that would require telephone
186. companies, electronic information providers, and computer and
187. communications equipment manufacturers to seek an FCC "license" or
188. Attorney General "certification" that their technologies are
189. susceptible to electronic surveillance.  EFF fears we are in danger of
190. creating a domestic version of the export control laws for computer
191. and communications technology.
192.  
193.    While the FBI claims that neither of last year's proposals address
194. encryption issues, the Bureau has made it clear it plans to return to
195.  
196. this issue in the future.  A broad-based coalition of public interest
197. and industry groups, coordinated by the Electronic Frontier
198. Foundation, has called on the FBI to explore more realistic, less
199. vague, and less potentially onerous policy options for meeting
200. legitimate law enforcement needs.  The EFF-coordinated coalition
201. includes over 30 industry groups (including AT&T, Lotus, Microsoft,
202. Sun Microsystems, IBM and Digital Equipment) along with public
203. interest organizations such as the American Civil Liberties Union and
204. Computer Professionals for Social Responsibility.  Last year the
205. coalition was successful at stopping two separate FBI legislative
206. attempts, but we fully expect that the Digital Telephony proposal will
207. be back on the table.
208.  
209. TOWARD A COMPREHENSIVE VISION OF COMMUNICATIONS PRIVACY
210. IN THE INFORMATION AGE
211.    At times, the arcana of encryption standards, export control laws,
212. and technical specifications of new digital telephony equipment may
213. unfortunately obscure the critical issues at stake in protecting
214. individual privacy.  Many people are already relying on digital media
215. -- whether electronic mail, bulletin board systems, or other new
216. media -- for a plethora of personal, political, professional, and
217. cultural communications tasks.  To provide adequate privacy
218. protection in the future, we will have to learn to wrestle with both
219. technical details and constitutional principles together, simply
220. because more and more of our personal activities will be pursued
221. through new digital media.
222.  
223.    The multi-front battle being waged about digital privacy creates
224. formidable roadblocks to a final resolution of the policy disputes at
225. issue.  Neither the restrictions of encryption, nor the FBI's wiretap
226. concerns, can be thoroughly addressed independent of the other.
227. Those who seek greater privacy and security cannot trust a
228. settlement on one front, because their victory is likely to be
229. undermined by action on the other issue.  And law enforcement and
230. national security concerns cannot be adequately addressed without a
231. sense of the overall solution being proposed on both the encryption
232. and infrastructure fronts.  It is time for policymakers to conduct a
233. comprehensive review of digital privacy and security policy, with a
234. consideration of both of these sets of issues.
235.  
236.    In the case of the FBI's Digital Telephony proposal, we must tread
237. carefully.  Current laws governing wiretapping authority, for
238. example, reflect a subtle balance between the guarantees of privacy
239. and security from state intervention embodied in our constitutional
240. tradition on the one hand, and the needs of law enforcement, on the
241. other.  The rule developed for one medium -- voice telephony --
242. cannot be mechanically extended to the host of new communications
243. options now becoming available.  Rather, we must give careful
244. consideration to the scope of wiretap authority that is appropriate to
245. the new media that the FBI seek to sweep under their wiretap
246. authority.  In the case of encryption policy, it is critical that private
247. citizens have access to affordable, effective, and legal encryption
248. technology.  In the information age, concerns for protecting
249. individual privacy should take precedence over outmoded national
250. security concerns left over from the Cold War.
251.  
252.                     -==--==--==-<>-==--==--==-
253.  
254.         "What's Important About the Medphone Libel Case?"
255.  
256.                          By Mike Godwin
257.  
258.    Online conferencing seems so much like informal conversation that
259. it may come as a surprise to some people to discover that they may
260. be bound by the same libel law that applies to The New York Times.
261. It certainly came as a surprise to Peter DeNigris, who is now being
262. sued for statements he made while participating in a forum on
263. Prodigy. But a look at the law of defamation (of which libel law is a
264. major part) makes clear that there's no reason to believe that online
265. statements are "immune" from libel lawsuits.
266.  
267. _What is defamation and what is libel?_
268.  
269.    A communication is considered defamatory if it tends to damage
270. someone's reputation. Some legal definitions of "defamation" also
271. specify that the communication has to be false. If a communication is
272. both false and it defames someone, the person whose reputation is
273. injured can sue for damages. In general, if the defamation is
274. *spoken* in the direct presence of an audience, it's called "slander";
275. defamation in print or in other media is normally called "libel."
276.  
277.    Libel law is an area of great interest for the people who run online
278. forums. If a newspaper or TV station "republishes" a false
279. defamatory statement, the defamed person can sue the newspaper or
280. the station for damages *in addition* to suing the person who made
281. the original false statement. The big question for online forum
282. operators, like CompuServe and Prodigy, is the extent to which the
283. services will be treated like newspapers and TV stations and made
284. responsible for "republication" of libel.
285.  
286.    A possible answer to this question appeared in a recent case called
287. Cubby Inc. v. CompuServe. In that case, which took place in a federal
288. district court in New York, the judge dismissed a libel suit that had
289. been brought against CompuServe as a "republisher." In that case,
290. the judge held that CompuServe is less like a newspaper or TV
291. station than like a library or bookstore owner or book distributor.
292. Although libel law, as limited by the First Amendment, allows print
293. and TV "republishers" to be liable for defamation, it does not allow
294. such liability for those who run bookstores or libraries; holding the
295. latter liable would create a burden on these parties to review every
296. book they carry for defamatory material. This burden would "chill"
297. the distribution of books (not to mention causing some people to get
298. out of the bookstore or library business) and thus would come into
299. serious conflict with the First Amendment.
300.  
301.    But the issues raised in this new libel suit involving Prodigy are
302. different from those in Cubby v. CompuServe.
303.  
304. _The facts of Medphone v. DeNigris_
305.  
306.    Peter DeNigis is being sued by the medical-instrument
307. manufacturer Medphone for statements he made in the Money Talk
308. forum on Prodigy. Medphone is claiming that DeNigris engaged in a
309. "systematic program for defamation and trade disparagement"
310. against the company, and is suing on business-libel and securities-
311. fraud theories. The company decided to sue DeNigris after its stock
312. price plummeted in a way that seemed "not objectively related to the
313. company's performance"--according to the company's press release,
314. its sales had been going up, and it had recently formed two
315. important business alliances. Medphone was alerted to the possible
316. cause of the stock decline when a stockholder notified the company
317. about DeNigris's "frequent" statements about the company on
318. Prodigy.
319.  
320.    One example of a DeNigris posting (on Sept. 7), appeared in the LOS
321. ANGELES TIMES account of the story: "Is the end near for
322. Medphone?????????? Stock is quoted 25 cents to 38 cents. Closed at
323. a new low Friday, at (38 cents). My research indicated company is
324. really having a difficult time. No case, no sales, no profits, and
325. terrible management. This company appears to be a fraud. Probably
326. will cease operations soon."
327.  
328.    Note that this statement does not prove that DeNigris has
329. committed libel. DeNigris is reported to have lost $9000 on
330. Medphone stock that he sold in November, so he may have good-
331. faith reasons to believe what he was saying about the company. He
332. insists his opinions, as stated, are "fair" and "can be documented" by
333. leading publications. If his statements turn out to be true, or even if
334. it turns out that they're false but that he had a good-faith belief that
335. the statements are true, it could mean that he'll win the libel case
336. against him.
337.  
338.    This does not mean, however, that there is not a credible case
339. against him. For one thing, the comment about "fraud" is a very
340. serious and extreme charge and arguably cannot be based merely on
341. the stock's or company's underperformance. For another, DeNigris is
342. alleged to have called Prodigy several times a day to post negative
343. statements about Medphone, which could be credibly interpreted as
344. a plan to affect the company's reputation and stock price.
345.  
346. _Does this case raise any new legal issues?_
347.  
348.    The major difference between Medphone v. DeNigris and Cubby
349. Inc. v. CompuServe is that there has been no effort to hold the online
350. forum (Prodigy) liable as a republisher. This means that the
351. complicated legal issue of "republisher liability" doesn't arise.
352.  
353.    This makes the case a lot simpler legally. It is a well-settled legal
354. principle that the person who *originates* a defamatory statement
355. may be held liable for defamation. Although the Electronic Frontier
356. Foundation and other groups have taken the position (consistent with
357. Cubby) that the owners and operators of digital forums, as
358. *republishers*, deserve the same protections as republishers in other
359. media, none of these groups has taken the position that there is
360. something different about a defamatory statement on a digital forum
361. that makes it less damaging or less libelous than if it appears in
362. other media.
363.  
364.    Some people argue, however, that Prodigy *should* be a party to
365. this lawsuit, or perhaps to another lawsuit. They argue that since
366. Prodigy prescreens its messages, it's less like a bookstore and more
367. like, say, USA Today. And they're troubled by the fact that Prodigy
368. turned over records of some of its subscribers' messages to
369. Medphone's and DeNigris's lawyers--isn't this a violation of the
370. subscribers' privacy rights?
371.  
372. Let's address these criticisms in detail:
373.  
374.    Some Prodigy subscribers apparently are arguing that Prodigy
375. should be a codefendant along with DeNigris, a position that seems
376. grounded in part on a simplistic understanding of traditional libel
377. law and in part on subscribers' innate sympathy to the plight of
378. another subscriber. There are two good reasons to disagree with this
379. position: a) In general, when republishers are held liable for
380. defamation, it tends to create a chilling effect on their medium. b) In
381. particular, Prodigy now says it does not prescreen messages for
382. content (other than bouncing postings with profane language--this is
383. apparently done through software). Following Cubby v. CompuServe,
384. and absent any facts to the contrary, there is no reason to think
385. Prodigy should be a party. (Nor is there any legal reason to think
386.  
387. that Peter DeNigris cannot be a defendant.) And even if there were a
388. good reason for Prodigy to be a party, it's up to Medphone and its
389. lawyers, not to anyone else, whether to sue Prodigy.
390.  
391.    With regard to the privacy rights of subscribers, it should be noted
392. that Prodigy turned over records of subscriber messages to
393. Medphone's lawyers (and, apparently, to DeNigris's lawyers) *in
394. response to subpoenas.* This suggests that there is no violation of the
395. Electronic Communications Privacy Act, which authorizes disclosure
396. of stored electronic communications in response to subpoena. What's
397. more, Prodigy could have been held in contempt of court had it *not*
398. complied with the subpoenas.
399.  
400.    At this point, at least, it seems that the Medphone case does not
401. raise any of the complicated legal issues we might expect to find in a
402. libel lawsuit involving an online forum.
403.  
404. _What is significant about this case?_
405.  
406.    But even if the case does not raise new legal issues, it certainly
407. seems to have raised a new social issue. Specifically, it shows that the
408. very same technology that empowers people to be their own
409. reporters and editors has also created a new potential for them to be
410. defendants. In the old days, individuals who didn't work for
411. newspapers or TV stations rarely had to think about the potential
412. that they might be sued for libel--after all, there wasn't much risk
413. that even an intentionally irresponsible statement was going to do a
414. significant fraction of the damage that might be done through a
415. libelous newspaper article or TV broadcast.
416.  
417.    But just as the increasingly common phenomenon of online forums
418. creates the possibility for each of us to reach vast, new audiences, it
419. also creates the potential for us to commit defamation on a vast new
420. scale. And there isn't any legal ambiguity about whether we can be
421. sued for the defamation that we create ourselves.
422.  
423.    So, the Medphone case does turn out to be significant in a major
424. way--not because it breaks any new legal ground, but because it
425. serves as a warning signal for the increasing number of Americans
426. who publish their opinions online. Absent some new legislation that
427. would give online discussions *more* freedom than the traditional
428. press, participants in online forums will have to learn the same rules
429. that generations of professional journalists have already learned--
430. say something defamatory about somebody to a large audience, and
431. that statement may come back to haunt you.
432.  
433. =============================================================
434.  
435.      EFFector Online is published by
436.      The Electronic Frontier Foundation
437.      666 Pennsylvania Ave., Washington, DC 20003
438.      Phone: +1 202 544-9237 FAX: +1 202 547 5481
439.      Internet Address: eff@eff.org
440.      Coordination, production and shipping by Cliff Figallo, EFF
441.      Online Communications Coordinator (fig@eff.org)
442.  Reproduction of this publication in electronic media is encouraged.
443.  Signed articles do not necessarily represent the view of the EFF.
444.  To reproduce signed articles individually, please contact the authors
445.  for their express permission.
446.  
447.       *This newsletter is printed on 100% recycled electrons*
448. =============================================================
449.  
450.         MEMBERSHIP IN THE ELECTRONIC FRONTIER FOUNDATION
451.  
452. In order to continue the work already begun and to expand our
453. efforts and activities into other realms of the electronic frontier, we
454. need the financial support of individuals and organizations.
455.  
456. If you support our goals and our work, you can show that support by
457. becoming a member now. Members receive our bi-weekly electronic
458. newsletter, EFFector Online (if you have an electronic address that
459. can be reached through the Net), and special releases and other
460. notices on our activities.  But because we believe that support should
461. be freely given, you can receive these things even if you do not elect
462. to become a member.
463.  
464. Your membership/donation is fully tax deductible.
465.  
466. Our memberships are $20.00 per year for students and $40.00 per
467. year for regular members.  You may, of course, donate more if you
468. wish.
469.  
470. Our privacy policy: The Electronic Frontier Foundation will never,
471. under any circumstances, sell any part of its membership list.  We
472. will,  from time to time, share this list with other non-profit
473. organizations  whose work we determine to be in line with our goals.
474. But with us,  member privacy is the default. This means that you
475. must actively grant us permission to share your name with other
476. groups. If you do not  grant explicit permission, we assume that you
477. do not wish your  membership disclosed to any group for any reason.
478.  
479. =============================================================
480. Mail to: The Electronic Frontier Foundation, Inc.
481.          238 Main St.
482.          Cambridge, MA 02142
483.  
484. I wish to become a member of the EFF.  I enclose: $_______
485.             $20.00 (student or low income membership)
486.             $40.00 (regular membership)
487.  
488.     [  ] I enclose an additional donation of $_______
489.  
490. Name:
491.  
492. Organization:
493.  
494. Address:
495.  
496. City or Town:
497.  
498. State:       Zip:      Phone: (    )             (optional)
499.  
500. FAX: (    )              (optional)
501.  
502. Email address:
503.  
504. I enclose a check [  ].
505. Please charge my membership in the amount of $
506. to my Mastercard [  ]  Visa [  ]  American Express [  ]
507.  
508. Number:
509.  
510. Expiration date:
511.  
512. Signature: ________________________________________________
513.  
514. Date:
515.  
516. I hereby grant permission to the EFF to share my name with
517. other non-profit groups from time to time as it deems
518. appropriate   [ ].
519.                        Initials:___________________________
520.  
521. --
522.                     <<*>><<*>><<*>><<*>><<*>><<*>>
523. Cliff Figallo                                     fig@eff.org
524. Electronic Frontier Foundation                    (617)576-4500 (voice)
525. Online Communications Coordinator                 (617)576-4520 (fax)
526.  
527. Path: channel1!uupsi!psinntp!uunet!gatech!usenet.ins.cwru.edu!agate!spool.mu.edu!uwm.edu!zaphod.mps.ohio-state.edu!sol.ctr.columbia.edu!eff!fig
528. From: fig@eff.org (Cliff Figallo)
529. Newsgroups: comp.org.eff.news,comp.org.eff.talk
530. Subject: EFFector Online 5.05
531. Message-ID: <1993Apr2.214920.10432@eff.org>
532. Date: Fri, 2 Apr 1993 21:49:20 GMT
533. Sender: usenet@eff.org (NNTP News Poster)
534. Organization: The Electronic Frontier Foundation
535. Lines: 519
536. Approved: fig@eff.org
537. Originator: fig@eff.org
538. Nntp-Posting-Host: eff.org
539.