home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / legal / mys01161.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  19.2 KB  |  355 lines
  1.  
  2.  
  3.                     COMPUTER ELECTRONIC MAIL AND PRIVACY
  4.                     ====================================
  5.  
  6.                                      by
  7.  
  8.                              Ruel T. Hernandez
  9.  
  10.                              801 Cedarbend Way
  11.                        Chula Vista, California 92010
  12.                            (619) 421-6517 (voice)
  13.                           (CompuServe: 71450,3341)
  14.                          (GEnie Mail: R.HERNANDEZ)
  15.  
  16.                               January 11, 1987
  17.  
  18.                Copyright (c) 1986, 1987 by Ruel T. Hernandez
  19.  
  20.  
  21.      (This is an edited version of a law school seminar paper I wrote at
  22. California Western School of Law.  A another version of the paper, entitled
  23. "Electronic Mail - Your Right to Privacy," by Ruel T. Hernandez as told to
  24. Dan Gookin, was published as the cover story in The Byte Buyer, San Diego's
  25. Microcomputer Magazine, volume 4, number 24, December 5, 1986.  That version
  26. may also be found on their BBS at 619/226-3304 or 619/573-0359.  Note,
  27. citations to the Electronic Communications Privacy Act of 1986 refer to the
  28. final version passed by the House of Representatives on October 2, 1986,
  29. which was passed by the Senate the day before, as listed in the
  30. Congressional Record.)
  31.  
  32.  
  33.                                 INTRODUCTION
  34.  
  35.      Two years ago, legislation was introduced into Congress that sought to
  36. provide federal statutory guidelines for privacy protection of computer
  37. communications, such as electronic mail found on commercial computer systems
  38. and on remote computer systems, commonly known as bulletin board systems
  39. (BBS).  Old federal wiretap law only gave protection to normal audio
  40. telephonic communications.  There was no contemplation of computers or their
  41. operators using telephone lines to communicate.  The old federal wiretap law
  42. regulated police interceptions of communications while they are being
  43. transmitted on a telephone line.  Before the Electronic Communications
  44. Privacy Act of 1976, the law did not provide guidelines for protecting the
  45. transmitted message once it was stored within a computer system.
  46.  
  47.  
  48.                                  QUESTIONS
  49.  
  50.      (1) Whether electronic mail and other intended private material stored
  51. within an electronic computer communication system have Fourth Amendment
  52. privacy protection?
  53.  
  54.      (2) Should private electronic mail and other such material be accorded
  55. the protection guidelines as with telephone communication and the U.S. Mail?
  56.  
  57.  
  58.                                   PROBLEM
  59.  
  60.      Law enforcement seeks criminal evidence stored as E-Mail on either a
  61. local, user-supported BBS, or on a commercial computer service, such as
  62. CompuServe, GEnie or The Source.  (Note, this situation is equally
  63. applicable to personal, private data stored on a remote system for later
  64. retrieval, as with CompuServe's online disk storage capabilities.)
  65.  
  66.      For instance, a computer user calls up a computer communication system.
  67. Using the electronic mail function, he leaves a private message that can
  68. only be read by an intended recipient.  The message is to inform the
  69. recipient of a conspiracy plan to violate a federal or state criminal
  70. statute.  Law enforcement gets a tip about the criminal activity and learn
  71. that incriminating evidence may be found on the computer system.
  72.  
  73.      In 1982, such a situation occurred.  (Meeks, Brock, "Life at 300 Baud:
  74. Crime on the BBS Network," Profiles, August, 1986, 12-13.)  A Detroit
  75. federal grand jury, investigating a million-dollar cocaine ring, issued a
  76. subpoena ordering a commercial service, The Source, to hand over private
  77. subscriber data files.  The files were routinely backed up to guard against
  78. system crashes.  The grand jury was looking for evidence to show that the
  79. cocaine ring was using The Source as communication base to send messages to
  80. members of the ring.  With such evidence, the grand jury could implicate or
  81. indict those suspected to be a part of the cocaine ring.  The Source refused
  82. to obey the subpoena.  The prosecution argued The Source could not
  83. vicariously assert a subscriber's privacy rights.  Constitutional rights are
  84. personal and could only be asserted by the person whose rights are invaded.
  85. Additionally, if the files containing messages were duplicated, any
  86. reasonable expectation of privacy by users would be extinguished.  A court
  87. battle ensued.  However, before a ruling could be made, the kingpin of the
  88. cocaine ring entered a surprise guilty plea to federal drug trafficking
  89. charges.  The case against the Source was discontinued.
  90.  
  91.      Publicly posted messages and other public material may be easily
  92. retrieved by law enforcement.  It is the private material, such as E-Mail,
  93. that poses the problem.
  94.  
  95.      Law enforcement's task is then to gather enough evidence to
  96. substantiate a criminal case.  Specifically, they would want the E-Mail, or
  97. other private files, transmitted by suspected criminals.  A computer
  98. communications service, as keeper and transmitter of private electronic
  99. messages, would not want to turn over the private data.
  100.  
  101.  
  102.                            INADEQUACY OF OLD LAW
  103.  
  104.      Brock Meeks of Profiles magazine noted that as of August, 1986, "no ...
  105. protection exist[ed] for electronic communications.  Any law enforcement
  106. agency can, for example, confiscate a local BBS and examine all the message
  107. traffic," including and private files and E-Mail.  (Ibid.)
  108.  
  109.      In the next section, case law will be examined and statutory law prior
  110. to the Electronic Communications Privacy Act of 1986 (ECPA) will be noted.
  111. Seemingly applicable statutes, as they stood, provided no guidelines for
  112. privacy protection of electronic computer communication systems, such as
  113. CompuServe, GEnie, and local, user-operated BBSs.
  114.  
  115. CASE LAW
  116.  
  117.      There is little case law available on computer communications and
  118. Fourth Amendment constitutional problems.  (M.D. Scott, Computer Law, 9-9
  119. (1984 & Special Update, August 1, 1984).)  If not for the surprise
  120. preemptive guilty plea, the above described Detroit case may have provided
  121. guidance on computer communications and privacy issues.
  122.  
  123.      Of the available cases, Scott noted those that primarily dealt with
  124. financial information found in bank and consumer credit organization
  125. computers.   In U.S. v. Davey, 426 F.2d 842, 845 (2 Cir. 1970), the
  126. government had the right to require the production of relevant information
  127. wherever it may be lodged and regardless of the form in which it is kept and
  128. the manner in which it may be retrieved, so long as it pays the reasonable
  129. costs of retrieval.  In a California case, Burrows v. Superior Court, 13
  130. Cal. 3d 238, 243, 118 Cal. Rptr. 166, 169 (1974), a depositor was found to
  131. have a reasonable expectation that a bank would maintain the confidentiality
  132. of both those papers in check form originating from the depositor and the
  133. depositor's bank statements and records of those same checks.  However, in
  134. U.S. v. Miller, 425 U.S. 435, 440 (1976), customer account records on a
  135. banks' computer were held to not be private papers of the bank customer,
  136. and, hence, there is no Fourth Amendment problem when they are subpoenaed
  137. directly from the bank.
  138.  
  139.      The computer data and information in these cases have more of a
  140. business character in contrast to personal E-Mail found on remote computer
  141. systems such as CompuServe or a local BBS.  Under the old law, a prosecutor,
  142. as in the Detroit case, may try to analogize duplicated and backed up E-Mail
  143. to business situations where data on business computer databases are also
  144. backed up.  Both types of computer data are stored on a system and then
  145. later retrieved.  The provider of the remote computing service or the sysop
  146. would counterargue that the nature of computers always require the
  147. duplication and backup of any computer data, whether the data files are E-
  148. Mail or centrally-based financial or credit data.  Duplication does not
  149. necessarily make E-Mail the same as financial or credit data stored in
  150. business computers.  Centrally-based business information is more concerned
  151. with the data processing.  That information is generally stored and
  152. retrieved by the same operator.  E-Mail is more concerned with personal
  153. communications between individuals where the sender transmits a private
  154. message to be retrieved only by an intended recipient.  The sender and the
  155. recipient have subjective expectations of privacy that when viewed
  156. objectively is reasonable.  Therefore, there is a constitutionally protected
  157. expectation of privacy under Katz v. U.S., 389 U.S. 347, 19 L.Ed. 88 S.Ct.
  158. 507 (1967).  However, the prosecution would note under California v.
  159. Ciraolo, -- U.S. --, 106 S.Ct. 1809 (1984), the users would have to protect
  160. their electronic mail from any privacy intrusion.  The provider or operator
  161. of the remote system has ultimate control of his system.  He has complete
  162. access to all areas of the system.  He could easily examine the material.
  163. The prosecution would note the user could not reasonably protect his private
  164. data from provider or operator invasion.  This "knot-hole" would exclude any
  165. idea of privacy.  If there is no privacy, there can be no search and
  166. therefore no Fourth Amendment constitutional violation.  Law enforcement can
  167. retrieve the material.
  168.  
  169. FEDERAL WIRETAP STATUTES
  170.  
  171.      The federal wiretap statutes, before the Electronic Communication
  172. Privacy Act of 1986, protected oral telephone communications from police
  173. interceptions.  This protection was made in 1968 in response to electronic
  174. eavesdropping by government.  (Cohodas, Nadine, "Congress Races to stay
  175. Ahead of Technology," Congressional Quarterly Weekly Report, May 31, 1986,
  176. 1235.)  Although E-Mail appears to come under the statute's definition of
  177. "wire communication," under the old law, it was limited to audio
  178. transmissions by wire or cable and does not mention stored computer data.
  179. (18 U.S.C. sec. 2510(1).)  The old law required that an interception of a
  180. wire communication be an aural acquisition of the communication.  (18 U.S.C.
  181. sec. 2510(4).)  Being "aural," the communication must be "heard."
  182. Therefore, a computer communication may come under the old law while being
  183. transmitted.  After a caller's message is "sent" on a remote computer
  184. system, the message is then stored within the computer's system.  The
  185. communication's conversion into computer stored data, thus no longer in
  186. transmission until retrieved, takes the communication out of the old
  187. statutory protection.
  188.  
  189.      "Eighteen years ago ... Congress could not appreciate - or in some
  190. cases even contemplate - [today's] telecommunications and computer
  191. technology...."  (132 Cong. Rec. S7992 (daily ed. June 19, 1986) (statement
  192. of Sen. Leahy).)
  193.  
  194. CALIFORNIA'S INVASION OF PRIVACY AND WIRETAP STATUTE
  195.  
  196.      California's "invasion of privacy" and wiretap statutes (Cal. Penal
  197. Code sec. 630 et seq.), appears to provide state protection for BBSs.
  198. California Penal Code sec. 637 reads as:
  199.  
  200.      Every person not a party to a telegraphic or telephonic
  201.      communication who willfully discloses the contents of a
  202.      telegraphic or telephonic message, or any part thereof, addressed
  203.      to another person, without the permission of such person, unless
  204.      directed so to do by the lawful order of a court, is punishable
  205.      by imprisonment in the state prison, or in the count jail not
  206.      exceeding one year, or by fine not exceeding five thousand
  207.      dollars ($5000), or by both fine and imprisonment.
  208.  
  209.      Again, the question here would be whether "telegraphic or telephonic
  210. messages" include computer communications via modem where a transmitted
  211. message is subsequently stored within a computer awaiting retrieval by its
  212. intended recipient.  Again, the storage of the data takes the computer
  213. communications out of the statute.  When the statute was passed, the
  214. California legislature, much like the Congress, could not foresee the
  215. technological advances in computer communications.
  216.  
  217.      It should be noted that Assemblywoman Moore introduced legislation in
  218. 1985 that would amend have the California state constitution to explicitly
  219. provide state constitutional privacy protection for remote computing
  220. services and their stored information.  However, nothing has come out of
  221. this.  Aside from political reasons for the lack of further action is one
  222. possible legal consequential argument against the amendment may be if
  223. computer privacy protection is specified in the state constitution, more
  224. litigation may result to tie up the courts in cases deciding whether or not
  225. there is privacy protection for other unspecified matters.  Although,
  226. overall, the California state constitution is much more specific than the
  227. United States Constitution, it may be best to not be any more specific with
  228. regard to privacy.
  229.  
  230. PROTECTION FOR U.S. MAIL
  231.  
  232.      Statutory U.S. Mail protection provides a suggestion for statutory
  233. provisions of privacy protection for E-Mail deposited in electronic
  234. communication systems.  The unauthorized taking out of and examining of the
  235. contents of mail held in a "depository for mail matter" before it is
  236. delivered to the mail's intended recipient is punishable by fine,
  237. imprisonment, or both.  (18 U.S.C. sec. 1702.)
  238.  
  239.  
  240.                            SOLUTION - THE NEW LAW
  241.  
  242.      There are two methods towards a solution:  (1) court decisions; and (2)
  243. new legislated privacy protection.
  244.  
  245. COURT DECISIONS
  246.  
  247.      Courts may have chosen to read computer communications protection into
  248. the old federal wiretap statute or into existing state law.  However, they
  249. were reluctant to do so.  Courts "are in no hurry to [revise or make new law
  250. in this area] and some judges are openly asking Congress for help....
  251. [F]ederal Appeals Court Judge Richard Posner in Chicago said Congress needed
  252. to revise current law, adding that 'judges are not authorized to amend
  253. statutes even to bring them up-to-date.'"  (Cohodas, Nadine, "Congress Races
  254. to Stay Ahead of Technology," Congressional Quarterly Weekly Report, May 31,
  255. 1986, p. 1233.)
  256.  
  257. NEW STATUTE
  258.  
  259.      Last October 21, 1986, President Reagan signed the Electronic
  260. Communications Privacy Act of 1986 amending the federal wiretap law.  The
  261. new Act (P.L. 99-508) would not take immediate effect until three months
  262. after the signing - presumably January 21, 1986.  (18 U.S.C. secs. 111 and
  263. 202.)
  264.  
  265.      When the new law does take effect, it would first provide privacy
  266. protection for any
  267.  
  268.      'electronic communication' ... [by] any transfer of signs,
  269.      signals, writing, images, sounds, data or intelligence of any
  270.      nature transmitted in whole or in part by a wire, radio,
  271.      electromagnetic, photoelectronic or photooptical system that
  272.      affects interstate or foreign commerce...."
  273.  
  274. (18 U.S.C. sec. 2510(10).)
  275.  
  276.      Second, and more importantly for this discussion, ECPA would protect
  277. "stored wire and electronic communications," i.e. E-Mail stored and backed
  278. up on disk or tape on an electronic computer communication system.  (18
  279. U.S.C. sec. 2701(a)(1) and (2).)  The legislation makes it a federal
  280. criminal offense to break into any electronic system holding copies of
  281. messages or to exceed authorized access to alter or obtain the stored
  282. messages.  (Ibid.)
  283.  
  284.      The legislation would protect electronic computer communication systems
  285. from law enforcement invasion of user E-Mail without a court order.  (18
  286. U.S.C. sec. 2703.)  Although the burden of preventing invasion of the E-Mail
  287. is placed on the subscriber or user of the system, the government must give
  288. him notice allowing him fourteen days to file a motion to quash a subpoena
  289. or to vacate a court order seeking disclosure of his computer data.  (18
  290. U.S.C. sec. 2704(b).)  However, the government may give delayed notice when
  291. there are exigent circumstances as listed by the Act (18 U.S.C. sec. 2705.)
  292.  
  293.      The legislation gives a civil cause of action to the provider or
  294. operator, subscriber, customer or user of the system aggrieved by an
  295. invasion of private material stored in the system in violation of ECPA.  (18
  296. U.S.C. sec. 2702; see also 18 U.S.C. sec. 2520.)  If the provider or
  297. operator has to disclose information stored on his system due to a court
  298. order, warrant, subpoena, or certification under ECPA, there can be no cause
  299. of action against him by any person aggrieved by such disclosure.  (18
  300. U.S.C. sec. 2703(e); see also sec. 2702(b).)
  301.  
  302.      The electronic communications, under this new Act, must be sent by a
  303. system that "affects interstate or foreign commerce."  (18 U.S.C. sec.
  304. 2510(12).)  The "electronic communications" may practically be limited to
  305. electronic communications sent by common carrier telephone lines.
  306.  
  307.      There may be some question as to whether or not ECPA is confined to
  308. commercial systems and does not cover user-operated bulletin board systems.
  309. That would be similar to arguing the old federal wiretap law was confined to
  310. long distance communications and not to local telephone calls.  The House
  311. report (H.R. No. 647, 99th Cong. (1986)), indicates user-operated BBSs are
  312. intended to be covered by the Act.  The House noted a difference between
  313. commercial subscription systems and user-operated BBSs readily accessible by
  314. the public.  However, it also noted the different levels of security found
  315. on user-operated BBSs, i.e. the difference between system areas containing
  316. private electronic mail and other areas containing public information.
  317. Electronic communications that the operator attempts to keep confidential
  318. would be protected by ECPA, while there would be no liability for access to
  319. features configured to be readily accessible by the general public.
  320. Language in the Act also refers to "the person or entity providing the wire
  321. or electronic communication service."  Such language may be seen to indicate
  322. the inclusion of individuals who operate a BBS.  (18 U.S. secs. 2701(c)(1)
  323. and 2702(a)(1) and (b).)  Additionally, a remote computing service was
  324. defined in the Act as an electronic communications system that provides
  325. computer storage or processing services to the public.  (18 U.S.C. sec.
  326. 2710(2).)  This would certainly be applicable to a user-operated BBS that
  327. is easily accessible to public with the simple dialing of a telephone number
  328. by a modem-equipped computer.  On the political side, Senator Leahy, a
  329. principal sponsor of the Act was reported to have been "soliciting [users
  330. and operators' of BBSs] comments and encourage sensitivity to the needs of
  331. BBS's in the legislation....  They are ... willing to listen to our side of
  332. things."  (BBSLAW02.MSG, dated 07/24/85, information from Chip Berlet,
  333. Secretary, National Lawyers Guild Civil Liberties Committee, transmitted by
  334. Paul Bernstein, SYSOP, LAW MUG, Chicago, Illinois 312/280-8180, regarding
  335. Federal Legislation Affecting Computer Bulletin Boards, deposited on The
  336. Legacy Network 213/553-1473.)
  337.  
  338.  
  339.                                  CONCLUSION
  340.  
  341.      Electronic mail stored on computer communication systems have Fourth
  342. Amendment constitutional privacy protection.  Unfortunately, before the
  343. Electronic Communications Privacy Act of 1986, such protection was not
  344. articulated by federal or state statutory guidelines.  Case law also did
  345. not provide any helpful guidance.  The peculiarities of computers and
  346. computer storage posed problems which were not addressed by the old wiretap
  347. laws.  They were also problems overwhelmed by constitutional privacy law as
  348. defined by the United States Supreme Court.  A legislative solution was
  349. required and was provided for by ECPA.
  350.  
  351.      [For more information on ECPA, see 132 Cong. Rec. H8977 (daily ed.
  352. October 2, 1986) or "Major Provisions of 1986 Electronic Privacy Act,"
  353. Congressional Quarterly Weekly Report, October 11, 1986, 2558.]
  354.  
  355.