home *** CD-ROM | disk | FTP | other *** search
/ BBS in a Box 2 / BBS in a box - Trilogy II.iso / Files / MUG News / EFF / cyberspace-legal-matrix < prev    next >
Encoding:
Text File  |  1992-07-14  |  20.3 KB  |  396 lines  |  [TEXT/EDIT]
  1. Cyberspace and the Legal Matrix: Laws or Confusion? 
  2.  
  3. Cyberspace, the "digital world", is emerging as a global arena of social,
  4. commercial and political relations. By "Cyberspace", I mean the sum total
  5. of all electronic messaging and information systems, including BBS's,
  6. commercial data services, research data networks, electronic publishing,
  7. networks and network nodes, e-mail systems, electronic data interchange
  8. systems, and electronic funds transfer systems.
  9.  
  10. Many like to view life in the electronic networks as a "new frontier", and
  11. in certain ways that remains true. Nonetheless, people remain people, even
  12. behind the high tech shimmer. Not surprisingly, a vast matrix of laws and
  13. regulations has trailed people right into cyberspace.
  14.  
  15. Most of these laws are still under construction for the new electronic
  16. environment. Nobody is quite sure of exactly how they actually apply to
  17. electronic network situations. Nonetheless, the major subjects of legal
  18. concern can now be mapped out fairly well, which we will do in this section
  19. of the article. In the second section, we will look at some of the ways in
  20. which the old laws have trouble fitting together in cyberspace, and suggest
  21. general directions for improvement.
  22.  
  23. LAWS ON PARADE
  24.  
  25. - Privacy laws. These include the federal Electronic Communications Privacy
  26. Act ("ECPA"), originally enacted in response to Watergate, and which now
  27. prohibits many electronic variations on wiretapping by both government and
  28. private parties. There are also many other federal and state privacy laws
  29. and, of course, Constitutional protections against unreasonable search and
  30. seizure.
  31.  
  32. - 1st Amendment. The Constitutional rights to freedom of speech and freedom
  33. of the press apply fully to electronic messaging operations of all kinds.
  34.  
  35. - Criminal laws. There are two major kinds of criminal laws.  First, the
  36. "substantive" laws that define and outlaw certain activities. These include
  37. computer-specific laws, like the Computer Fraud and Abuse Act and
  38. Counterfeit Access Device Act on the federal level, and many computer crime
  39. laws on the state level. Many criminal laws not specific to "computer
  40. crime" can also apply in a network context, including laws against stealing
  41. credit card codes, laws against obscenity, wire fraud laws, RICO, drug
  42. laws, gambling laws, etc.
  43.  
  44. The other major set of legal rules, "procedural" rules, puts limits on law
  45. enforcement activities. These are found both in statutes, and in rulings of
  46. the Supreme Court and other high courts on the permissible conduct of
  47. government agents. Such rules include the ECPA, which prohibits wiretapping
  48. without a proper warrant; and federal and state rules and laws spelling out
  49. warrant requirements, arrest requirements, and evidence seizure and
  50. retention requirements.
  51.  
  52. - Copyrights. Much of the material found in on-line systems and in networks
  53. is copyrightable, including text files, image files, audio files, and
  54. software.
  55.  
  56. - Moral Rights. Closely related to copyrights, they include the rights of
  57. paternity (choosing to have your name associated or not associated with
  58. your "work") and integrity (the right not to have your "work" altered or
  59. mutilated). These rights are brand new in U.S. law (they originated in
  60. Europe), and their shape in electronic networks will not be settled for
  61. quite a while.
  62.  
  63. - Trademarks. Anything used as a "brand name" in a network context can be a
  64. trademark. This includes all BBS names, and names for on-line services of
  65. all kinds. Materials other than names might also be protected under
  66. trademark law as "trade dress": distinctive sign-on screen displays for
  67. BBS's, the recurring visual motifs used throughout videotext services, etc.
  68.  
  69. - Right of Publicity. Similar to trademarks, it gives people the right to
  70. stop others from using their name to make money. Someone with a famous
  71. on-line name or handle has a property right in that name.
  72.  
  73. - Confidential Information. Information that is held in secrecy by the
  74. owner, transferred only under non-disclosure agreements, and preferably
  75. handled only in encrypted form, can be owned as a trade secret or other
  76. confidential property. This type of legal protection is used as a means of
  77. asserting ownership in confidential databases, from mailing lists to
  78. industrial research.
  79.  
  80. - Contracts. Contracts account for as much of the regulation of network
  81. operations as all of the other laws put together.
  82.  
  83. The contract between an on-line service user and the service provider is
  84. the basic source of rights between them. You can use contracts to create
  85. new rights, and to alter or surrender your existing rights under state and
  86. federal laws.
  87.  
  88. For example, if a bulletin board system operator "censors" a user by
  89. removing a public posting, that user will have a hard time showing his
  90. freedom of speech was violated. Private system operators are not subject to
  91. the First Amendment (which is focused on government, not private, action).
  92. However, the user may have rights to prevent censorship under his direct
  93. contract with the BBS or system operators.
  94.  
  95. You can use contracts to create entire on-line legal regimes. For example,
  96. banks use contracts to create private electronic funds transfer networks,
  97. with sets of rules that apply only within those networks. These rules
  98. specify on a global level which activities are permitted and which are not,
  99. the terms of access to nearby systems and (sometimes) to remote systems,
  100. and how to resolve problems between network members.
  101.  
  102. Beyond the basic contract between system and user, there are many other
  103. contracts made on-line. These include the services you find in a
  104. CompuServe, GEnie or Prodigy, such as stock quote services, airline
  105. reservation services, trademark search services, and on-line stores. They
  106. also include user-to-user contracts formed through e-mail. In fact, there
  107. is a billion-dollar "industry" referred to as "EDI" (for Electronic Data
  108. Interchange), in which companies exchange purchase orders for goods and
  109. services directly via computers and computer networks.
  110.  
  111. - Peoples' Rights Not to be Injured. People have the right not to be
  112. injured when they venture into cyberspace. These rights include the right
  113. not to be libelled or defamed by others on-line, rights against having your
  114. on-line materials stolen or damaged, rights against having your computer
  115. damaged by intentionally harmful files that you have downloaded (such as
  116. files containing computer "viruses"), and so on.
  117.  
  118. There is no question these rights exist and can be enforced against other
  119. users who cause such injuries. Currently, it is uncertain whether system
  120. operators who oversee the systems can also be held responsible for such
  121. user injuries.
  122.  
  123. - Financial Laws. These include laws like Regulations E & Z of the Federal
  124. Reserve Board, which are consumer protection laws that apply to credit
  125. cards, cash cards, and all other forms of electronic banking.
  126.  
  127. - Securities Laws. The federal and state securities laws apply to various
  128. kinds of on-line investment related activities, such as trading in
  129. securities and other investment vehicles, investment advisory services,
  130. market information services and investment management services.
  131.  
  132. - Education Laws. Some organizations are starting to offer on-line degree
  133. programs. State education laws and regulations come into play on all
  134. aspects of such services.
  135.  
  136. The list goes on, but we have to end it somewhere. As it stands, this list
  137. should give the reader a good idea of just how regulated cyberspace already
  138. is.
  139.  
  140.  
  141. LAWS OR CONFUSION?
  142.  
  143. The legal picture in cyberspace is very confused, for several reasons.
  144.  
  145. First, the sheer number of laws in cyberspace, in itself, can create a
  146. great deal of confusion. Second, there can be several different kinds of
  147. laws relating to a single activity, with each law pointing to a different
  148. result.
  149.  
  150. Third, conflicts can arise in networks between different laws on the same
  151. subject. These include conflicts between federal and state laws, as in the
  152. areas of criminal laws and the right to privacy; conflicts between the laws
  153. of two or more states, which will inevitably arise for networks whose user
  154. base crosses state lines; and even conflicts between laws from the same
  155. governmental authority where two or more different laws overlap. The last
  156. is very common, especially in laws relating to networks and computer law.
  157.  
  158. Some examples of the interactions between conflicting laws are considered
  159. below, from the viewpoint of an on-line system operator.
  160.  
  161. 1. System operators Liability for "Criminal" Activities. 
  162.  
  163. Many different activities can create criminal liabilities for service
  164. providers, including:
  165.  
  166. - distributing viruses and other dangerous program code; 
  167.  
  168. - publishing "obscene" materials;
  169.  
  170. - trafficking in stolen credit card numbers and other unauthorized access
  171. data;
  172.  
  173. - trafficking in pirated software;
  174.  
  175. - and acting as an accomplice, accessory or conspirator in these and other
  176. activities.
  177.  
  178. The acts comprising these different violations are separately defined in
  179. statutes and court cases on both the state and federal levels.
  180.  
  181. For prosecutors and law enforcers, this is a vast array of options for
  182. pursuing wrongdoers. For service providers, it's a roulette wheel of risk.
  183.  
  184. Faced with such a huge diversity of criminal possibilities, few service
  185. providers will carefully analyze the exact laws that may apply, nor the
  186. latest case law developments for each type of criminal activity. Who has
  187. the time? For system operators who just want to "play it safe", there is a
  188. strong incentive to do something much simpler: Figure out ways to restrict
  189. user conduct on their systems that will minimize their risk under *any*
  190. criminal law.
  191.  
  192. The system operator that chooses this highly restrictive route may not
  193. allow any e-mail, for fear that he might be liable for the activities of
  194. some secret drug ring, kiddie porn ring or stolen credit card code ring.
  195. The system operator may ban all sexually suggestive materials, for fear
  196. that the extreme anti- obscenity laws of some user's home town might apply
  197. to his system. The system operator may not permit transfer of program files
  198. through his system, except for files he personally checks out, for fear
  199. that he could be accused of assisting in distributing viruses, trojans or
  200. pirated software; and so on.
  201.  
  202. In this way, the most restrictive criminal laws that might apply to a given
  203. on-line service (which could emanate, for instance, from one very
  204. conservative state within the system's service area) could end up
  205. restricting the activities of system operators all over the nation, if they
  206. happen to have a significant user base in that state. This results in less
  207. freedom for everyone in the network environment.
  208.  
  209. 2. Federal vs. State Rights of Privacy.
  210.  
  211. Few words have been spoken in the press about network privacy laws in each
  212. of the fifty states (as opposed to federal laws). However, what the privacy
  213. protection of the federal Electronic Communications Privacy Act ("ECPA")
  214. does not give you, state laws may.
  215.  
  216. This was the theory of the recent Epson e-mail case. An ex- employee
  217. claimed that Epson acted illegally in requiring her to monitor e-mail
  218. conversations of other employees. She did not sue under the ECPA, but under
  219. the California Penal Code section prohibiting employee surveillance of
  220. employee conversations.
  221.  
  222. The trial judge denied her claim. In his view, the California law only
  223. applied to interceptions of oral telephone discussions, and not to visual
  224. communication on video display monitors. Essentially, he held that the
  225. California law had not caught up to modern technology - making this law
  226. apply to e-mail communications was a job for the state legislature, not
  227. local judges.
  228.  
  229. Beyond acknowledging that the California law was archaic and not applicable
  230. to e-mail, we should understand that the Epson case takes place in a
  231. special legal context - the workplace. E- mail user rights against
  232. workplace surveillance are undeniably important, but in our legal and
  233. political system they always must be "balanced" (ie., weakened) against the
  234. right of the employer to run his shop his own way. Employers' rights may
  235. end up weighing more heavily against workers' rights for company e-mail
  236. systems than for voice telephone conversations, at least for employers who
  237. use intra-company e-mail systems as an essential backbone of their
  238. business. Fortunately, this particular skewing factor does not apply to
  239. *public* communications systems.
  240.  
  241. I believe that many more attempts to establish e-mail privacy under state
  242. laws are possible, and will be made in the future. This is good news for
  243. privacy advocates, a growing and increasingly vocal group these days.
  244.  
  245. It is mixed news, however, for operators of BBS's and other on-line
  246. services. Most on-line service providers operate on an interstate basis -
  247. all it takes to gain this status is a few calls from other states every now
  248. and then. If state privacy laws apply to on-line systems, then every BBS
  249. operator will be subject to the privacy laws of every state in which one or
  250. more of his users are located! This can lead to confusion, and inability to
  251. set reasonable or predictable system privacy standards.
  252.  
  253. It can also lead to the effect described above in the discussion of
  254. criminal liability. On-line systems might be set up "defensively", to cope
  255. with the most restrictive privacy laws that might apply to them. This could
  256. result in declarations of *absolutely no privacy* on some systems, and
  257. highly secure setups on others, depending on the individual system
  258. operator's inclinations.
  259.  
  260. 3. Pressure on Privacy Rights Created by Risks to Service Providers.
  261.  
  262. There are two main kinds of legal risks faced by a system operator. First,
  263. the risk that the system operator himself will be found criminally guilty
  264. or civilly liable for being involved in illegal activities on his system,
  265. leading to fines, jail, money damages, confiscation of system, criminal
  266. record, etc.
  267.  
  268. Second, the risk of having his system confiscated, not because he did
  269. anything wrong, but because someone else did something suspicious on his
  270. system. As discussed above, a lot of criminal activity can take place on a
  271. system when the system operator isn't looking. In addition, certain
  272. non-criminal activities on the system could lead to system confiscation,
  273. such copyright or trade secret infringement.
  274.  
  275. This second kind of risk is very real. It is exactly what happened to Steve
  276. Jackson Games last year. Law enforcement agents seized Steve's computer
  277. (which ran a BBS), not because they thought he did anything wrong, but
  278. because they were tracking an allegedly evil computer hacker group called
  279. the "Legion of Doom". Apparently, they thought the group "met" and
  280. conspired on his BBS. A year later, much of the dust has cleared, and the
  281. Electronic Frontier Foundation is funding a lawsuit against the federal
  282. agents who seized the system. Unfortunately, even if he wins the case Steve
  283. can't get back the business he lost. To this day, he still has not regained
  284. all of his possessions that were seized by the authorities.
  285.  
  286. For now, system operators do not have a great deal of control over
  287. government or legal interference with their systems. You can be a solid
  288. citizen and report every crime you suspect may be happening using your
  289. system. Yet the chance remains that tonight, the feds will be knocking on
  290. *your* door looking for an "evil hacker group" hiding in your BBS.
  291.  
  292. This Keystone Kops style of "law enforcement" can turn system operators
  293. into surrogate law enforcement agents. System operators who fear random
  294. system confiscation will be tempted to monitor private activities on their
  295. systems, intruding on the privacy of their users. Such intrusion can take
  296. different forms. Some system operators may declare that there will be no
  297. private discussions, so they can review and inspect everything. More
  298. hauntingly, system operators may indulge in surreptitious sampling of
  299. private e-mail, just to make sure no one's doing anything that will make
  300. the cops come in and haul away their BBS computer systems (By the way, I
  301. personally don't advocate either of these things).
  302.  
  303. This situation can be viewed as a way for law enforcement agents to do an
  304. end run around the ECPA's bar on government interception of electronic
  305. messages. What the agents can't intercept directly, they might get through
  306. fearful system operators. Even if you don't go for such conspiracy
  307. theories, the random risk of system confiscation puts great pressure on the
  308. privacy rights of on-line system users.
  309.  
  310. 4. Contracts Versus Other Rights.
  311.  
  312. Most, perhaps all, of the rights between system operators and system users
  313. can be modified by the basic service contract between them. For instance,
  314. the federal ECPA gives on-line service users certain privacy rights. It
  315. conspicuously falls short, however, by not protecting users from privacy
  316. intrusions by the system operator himself.
  317.  
  318. Through contract, the system operator and the user can in effect override
  319. the ECPA exception, and agree that the system operator will not read
  320. private e-mail. Some system operators may go the opposite direction, and
  321. impose a contractual rule that users should not expect any privacy in their
  322. e-mail.
  323.  
  324. Another example of the power of contracts in the on-line environment
  325. occurred recently on the Well, a national system based in San Francisco
  326. (and highly recommended to all those interested in discussing on-line legal
  327. issues). A Well user complained that a message he had posted in one Well
  328. conference area had been cross-posted by other users to a different
  329. conference area without his permission.
  330.  
  331. A lengthy, lively discussion among Well users followed, debating the
  332. problem. One of the major benchmarks for this discussion was the basic
  333. service agreement between the Well and its users. And a proposed resolution
  334. of the issue was to clarify the wording of that fundamental agreement.
  335. Although "copyrights" were discussed, the agreement between the Well and
  336. its users was viewed as a more important source of the legitimate rights
  337. and expectations of Well users.
  338.  
  339. Your state and federal "rights" against other on-line players may not be
  340. worth fighting over if you can get a contract giving you the rights you
  341. want. In the long run, the contractual solution may be the best way to set
  342. up a decent networked on- line system environment, except for the old
  343. bogeyman of government intrusion (against whom we will all still need our
  344. "rights", Constitutional and otherwise).
  345.  
  346. CONCLUSION
  347.  
  348. There are many different laws that system operators must heed in running
  349. their on-line services. This can lead to restricting system activities
  350. under the most oppressive legal standards, and to unpredictable,
  351. system-wide interactions between the effects of the different laws.
  352.  
  353. The "net" result of this problem can be undue restrictions on the
  354. activities of system operators and users alike.
  355.  
  356. The answers to this problem are simple in concept, but not easy to execute.
  357. First, enact (or re-enact) all laws regarding electronic services on a
  358. national level only, overriding individual state control of system
  359. operators activities in cyberspace. It's time to realize that provincial
  360. state laws only hinder proper development of interstate electronic systems.
  361.  
  362. As yet, there is little movement in enacting nationally effective laws.
  363. Isolated instances include the Electronic Communications Privacy Act and
  364. the Computer Fraud and Abuse Act, which place federal "floors" beneath
  365. privacy protection and certain types of computer crime, respectively. On
  366. the commercial side, the new Article 4A of the Uniform Commercial Code,
  367. which normalizes on-line commercial transactions, is ready for adoption by
  368. the fifty states.
  369.  
  370. Second, all laws regulating on-line systems must be carefully designed to
  371. interact well with other such laws. The goal is to create a well-defined,
  372. reasonable legal environment for system operators and users.
  373.  
  374. The EFF is fighting hard on this front, especially in the areas of freedom
  375. of the press, rights of privacy, and rights against search and seizure for
  376. on-line systems. Reducing government intrusion in these areas will help
  377. free up cyberspace for bigger and better things.
  378.  
  379. However, the fight is just beginning today. 
  380.  
  381. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 
  382.  
  383. Lance Rose is an attorney who works primarily in the fields of computer and
  384. high technology law and intellectual property. His clients include on-line
  385. publishers, electronic funds transfer networks, data transmission services,
  386. individual system operators, and shareware authors and vendors. He is
  387. currently revising SYSLAW, The Sysop's Legal Manual. Lance is a partner in
  388. the New York City firm of Greenspoon, Srager, Gaynin, Daichman & Marino,
  389. and can be reached by voice at (212)888-6880, on the Well as "elrose", and
  390. on CompuServe at 72230,2044.
  391.  
  392. Copyright 1991 Lance Rose
  393.  
  394.  
  395.  
  396.