home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / miscpub1 / effss.txt

< prev

next >

Wrap

Text File  |  1992-09-26  |  35KB  |  596 lines

---

1. Article 8 of comp.org.eff.news:
2. Xref: vpnet comp.org.eff.news:8 comp.org.eff.talk:868 misc.legal:1503
3. Path: vpnet!tellab5!laidbak!ism.isc.com!ispd-newsserver!rpi!usc!elroy.jpl.nasa.gov!decwrl!world!eff!mnemonic
4. From: mnemonic@eff.org (Mike Godwin)
5. Newsgroups: comp.org.eff.news,comp.org.eff.talk,misc.legal
6. Subject: Less intrusive, more efficient searches and seizures
7. Summary: Need suggestions in response to Virus Conference paper
8. Message-ID: <1991Apr3.161113.21048@eff.org>
9. Date: 3 Apr 91 16:11:13 GMT
10. Followup-To: comp.org.eff.talk
11. Organization: The Electronic Frontier Foundation
12. Lines: 577
13. Approved: mnemonic@eff.org
14.  
15.  
16. Mitch Kapor and I submitted the following paper to the 
17. Fourth Annual Computer Virus and Security Conference in
18. New York earlier in March. Since then, discussions of the paper
19. have led to two main lines of feedback: a) law enforcement
20. needs *technical* guidance about gathering computer evidence
21. without being overinclusive, yet meeting the requirements of
22. the rules of evidence, and b) civil-liberties and law-enforcement
23. needs converge on the need for less intrusive searches, since
24. LE would like to be able to search efficiently and not have to
25. scan whole hard disks for information.
26.  
27. In the interest of being able to develop these technical guidelines,
28. which should supplement and help implement the legal guidelines 
29. discussed in the paper, we publish the paper here, and ask for your
30. responses.
31.  
32. ---------------------------------------------------------
33.  
34. Civil Liberties Implications of Computer Searches and 
35. Seizures:
36. Some Proposed Guidelines for Magistrates Who Issue Search 
37. Warrants
38.  
39. Submitted by:
40.  
41. Mitchell Kapor, B.A. Yale (1971), M.A. Beacon College (1978)
42.     President, The Electronic Frontier Foundation
43.  
44. Mike Godwin, B.A. University of Texas at Austin (1980), J.D. (1990)
45.     Staff Counsel, The Electronic Frontier Foundation
46.  
47.  
48. I. Introduction.
49.  
50. We are now about a decade and a half  into the era of affordable 
51. desktop computers. Yet for most people--and especially for the legal 
52. community--the civil-liberties implications of this new consumer 
53. technology have only barely begun to register. Only by acquiring a 
54. knowledge of the new technology, of its uses, and of its importance to 
55. traditional civil liberties can we guarantee the protection of those civil 
56. liberties in the future.
57.     Currently, the Electronic Frontier Foundation (EFF) is focusing 
58. on two major aspects of this failure of the law-enforcement 
59. community to fully incorporate civil-liberties awareness in its 
60. investigations of computer-related crime:
61.  
62.     1) When law enforcement officials lack understanding both of 
63. the new technology and--just as important--of how it is normally used, 
64. they simply cannot conduct the discretion-less, "particular" searches 
65. and seizures required by the Fourth Amendment1 when those searches 
66. and seizures involve computer equipment and data.
67.  
68.     2) The electronic conferencing systems offered by  computer-
69. based electronic bulletin-board systems (BBSs), commercial 
70. information services, and noncommercial computer networks--which 
71. may, to various degrees, be subject to law-enforcement searches and 
72. seizures--have created an environment for some of the most vigorous 
73. exercise of First Amendment prerogatives this nation has ever seen. 
74. When law enforcement does not routinely recognize the First 
75. Amendment significance of BBSs and other forms of electronic speech 
76. and publishing, its broad searches and seizures can "chill" the free 
77. exercise of those First Amendment rights.
78.  
79.     This paper is adapted from the EFF's response to the American 
80. Bar Association Criminal Justice Section's suggested guidelines for the 
81. issuance of search warrants relating to business records (July 1990)2. 
82. The guidelines seemed to be based in large part on J. McEwan, 
83. Dedicated Computer Crime Units (1989), D. Parker, Computer Crime: 
84. Criminal Justice Resource Manual (1989), and C. Conly, Organizing for 
85. Computer Crime Investigation and Prosecution. Published by the 
86. National Institute of Justice, all three publications were oriented 
87. toward informing law enforcement of the kinds of abuses to which 
88. computer technology potentially lends itself.
89.     But while such a focus may be useful for prosecutors, who may 
90. need to be brought up to speed on the technology, it is not a good focus 
91. for magistrates, who must evaluate law enforcement's claims that 
92. there is probable cause for particular searches and seizures in particular 
93. cases. For example, it may be useful for prosecutors to know that "the 
94. data in the storage device or media can be erased, replaced with other 
95. data, hidden, encrypted, modified, misnamed, misrepresented, 
96. physically destroyed, or otherwise made unusable."3  But this does not 
97. mean that the magistrate should always find probable cause to believe 
98. that a particular computer owner or operator has done so, and then 
99. authorize a highly intrusive and disruptive seizure of a BBS so that 
100. investigators can do a low-level search for hidden or encrypted data.
101.     Similarly, the fact that a clever hobbyist can find criminal uses 
102. for all sorts of equipment does not create probable cause to believe that 
103. every piece of electronic property that could conceivably be used in any 
104. type of computer crime -- or that could conceivably be evidence in 
105. some type of computer crime -- should be seized in every 
106. investigation.4 
107.     Moreover, the kind of exhaustive listing of potential computer-
108. crimes and crime techniques in these references, together with their 
109. instructive but not particularly representative anecdotal evidence, 
110. cannot help but give both law-enforcement agents and magistrates the 
111. impression that BBSs and similar systems are likely  to be used for 
112. computer-related crimes of various sorts.
113.     Our criticism of the original ABA Criminal Justice Section 
114. suggested guidelines was basically threefold:
115.     1) There was no guidance to the magistrate as to when the 
116. computer or related equipment should not be seized, either because it 
117. is not necessary as evidence or because such a seizure would intolerably 
118. "chill" the lawful exercise of First Amendment rights or abridge a 
119. property owner's Fourth Amendment rights.
120.     2) There was inadequate recognition of the business or 
121. individual computer owner's interest in continuing with lawful 
122. commercial business, which might be hindered or halted by the seizure 
123. of an expensive computer.
124.     3) There was no effort to measure the actual likelihood that 
125. investigators would find computers equipped with such justice-
126. obstructing measures as automatic-erasure software or "degausser" 
127. boobytrap hardware, the presence of which might justify a "no-knock" 
128. search and seizure, among other responses. 
129.     Section II of this paper, infra, contains the EFF's general 
130. comments on the suggested guidelines. while Section III contains our 
131. amended version of those guidelines.
132.  
133.  
134.  II. Comments on Proposed Guidelines on Searches and Seizures
135.  
136. A.  Searches and seizures of computers used for publishing or 
137. electronic bulletin boards.
138.  
139.     While the same legal principles apply to searches and seizures of 
140. computerized records as to other records, when the search is of records 
141. on a computer used for publishing or for operating an electronic 
142. bulletin board system (BBS), the need for particularity is heightened 
143. since the material to be searched may be protected by the First 
144. Amendment.  Particularity is also needed because First Amendment 
145. rights of association and statutory rights of privacy may be impinged by 
146. seizure of electronic mail or other private and third-party 
147. correspondence.
148.     Also, seizure of a computer used by a publication or for running 
149. an electronic bulletin board system (BBS) may violate the First 
150. Amendment by acting as a prior restraint on future speech and by 
151. interfering with the rights of expression and association of the operator 
152. and users of the system.
153.  
154.  B. No-knock entries because of risk of destruction of data.
155.  
156.     We believe the concern with possible destruction of data, 
157. whether stored internally or externally, is overstated in the proposed 
158. commentary.  Such a concern can justify a "no-knock" entry only in 
159. rare circumstances on a strong factual showing by law enforcement 
160. personnel.  First, we are not aware of any data showing that a device 
161. like a degausser is frequently  or commonly used to destroy evidence 
162. during a search.  Second, the only data that can be destroyed "at the flip 
163. of a [power] switch" is the relatively small amount of information in 
164. the internal memory (RAM) of a computer, and not information 
165. stored on an internal hard disc.  Information is only contained in RAM 
166. when a computer is being actively operated, and then only information 
167. about the current application the computer is running.  
168.     Thus, in order for a no-knock entry to be warranted, there must 
169. be credible evidence presented to the judicial officer either that (l) it is 
170. likely that the suspects have a device like a degausser by which data 
171. will be destroyed, or (2) the computer user will be using the computer 
172. for illegal purposes at the time of the search, e.g., when a warrant is 
173. sought at the moment a telephone tap demonstrates that computer 
174. user is in the act of using the computer to illegally access a computer 
175. database without authorization.
176.  
177.  C. Searches and seizures when the computer is used for electronic 
178. communications (e-mail).
179.  
180.     E-mail and other stored electronic communications are protected 
181. by the Electronic Communications Privacy Act, 18 U.S.C.  2701-2711.  E-
182. mail should thus be protected from search and seizure, unless there is 
183. probable cause to search and seize a specific electronic communication.  
184. Accordingly, if a search is likely to take place of a computer which 
185. provides an e-mail service to users, such as most BBSs, the affiant 
186. should inform the judicial officer of this possibility so that the judicial 
187. officer can establish procedures to ensure that the officers executing the 
188. warrant do not view e-mail for which no probable cause exists, and to 
189. ensure that the BBS computer is not seized unnecessarily as this will 
190. prevent the authorized access of users to their e-mail.
191.  
192.  D. Search vs. seizure
193.  
194.     We suggest that the commentary make a stronger distinction 
195. between the factors applicable to searches of computers, and those 
196. which demonstrate that the seizure itself of a computer or of discs is 
197. warranted.  Because of this, we propose that several of the paragraphs 
198. be rearranged.
199.  
200. E. Seizure of computer discs.
201.  
202.     Often, warrants have provided for the wholesale seizure of all 
203. computer discs, without any requirement that the officers executing the 
204. warrant review the data contained on each disc and seize copies only of 
205. relevant files.  Because of the voluminous amount of materials that 
206. can be stored on a computer disc, such a seizure is often equivalent to a 
207. prohibited general search, as it permits the seizure of a great many files 
208. for which there is no probable cause to seize.  The commentary does 
209. mention the possibility of establishing a procedure to ensure that not 
210. all files on a disc are seized, but we believe this should be further 
211. emphasized.
212.     We believe that that only in the situation where an entire 
213. organization is permeated with fraud or other misconduct is the 
214. wholesale seizure of computer discs appropriate.  In all other 
215. circumstances, the search of the computer discs for seizable data should 
216. be conducted on the organization's premises.  While this type of on-
217. premises search may be time-consuming, the same exact procedure is 
218. followed when officers executing a warrant are searching through 
219. hard-copy files for seizable material.  The judicial officer should allow 
220. the wholesale seizure of discs and a search off-premises of these discs 
221. for seizable material only if the affiant can present specific factors 
222. which demonstrate a necessity for an off-premises search.  Further, if 
223. the judicial officer does permit an off-premises search of the computer 
224. discs, the warrant should require that such a search take place promptly 
225. (presumptively within a matter of days), and that the officers executing 
226. the warrant then promptly copy only the relevant parts of the discs and 
227. immediately return the originals to the owner or custodian.
228.     The citation to Voss v. Bergsgaard, 774 F.2d 402 (10th Cir. 1985), 
229. does not support the proposition it is cited for, in that it suggests the 
230. description there was sufficiently particular when in fact the Court held 
231. the warrant unconstitutionally overbroad.
232.  
233. F. Seizure of computer where isolated information or records stored on 
234. the computer is the object of the search.
235.  
236.     While the seizure of a computer should be authorized when the 
237. computer is the instrumentality of a crime, in most other 
238. circumstances, where officials seek isolated information or records 
239. stored on the computer, seizure should not be authorized.  In the first 
240. place, such a seizure would violate the particularity requirement as 
241. many non-seizable records would be seized.  Secondly, the seizure may 
242. force a halt to legitimate business operations.  
243.     In such circumstances, the judicial officer should require that the 
244. search of the computer hard drive take place at the organization's 
245. premises, and that the officers executing the warrant make copies only 
246. of the seizable files or data.
247.  
248.  
249. III. Revisions to Business Record Guidelines and Guideline 
250. Commentary
251.  
252. The original ABA Criminal Justice Section Suggested Guideline 
253. appeared in the form of a two-paragraph "Guideline" articulating the 
254. general principles underlying Constitutional searches and seizures of 
255. business records, followed by four pages of "Commentary" laying out 
256. the legal issues raised by business-record searches and seizures, with a 
257. particular focus on computer-based records. We prepared suggested 
258. modifications to the guideline and to the commentary which 
259. incorporates the discussion in Sections I and II.
260.  
261. A. As to the guideline, the first two paragraphs read as follows:
262.  
263. As is the case generally, the description for searches and seizures 
264. of business records should be so definite that it eliminates officer 
265. discretion in determining which items are covered, which are 
266. not, and when the search must come to an end. However, 
267. because it is not always possible to meet this standard, the 
268. particularity requirement may be applied with less rigidity than 
269. in other settings. The judicial officer, in assessing particularity, 
270. must determine if the description of the records (whether in 
271. writing or electronically maintained) is as specific as the 
272. circumstances allow -- or, in the alternative, whether the 
273. description is sufficiently specific to prevent the searching party 
274. from unnecessarily examining non-relevant records in order to 
275. find the desired records.
276.  
277. The particularity requirement is most likely to be met when (1) 
278. probable cause exists to seize all the items within a particular 
279. category, as when the entire enterprise is permeated with fraud 
280. or other misconduct, or (2) when the warrant sets out some 
281. objective standard, a limiting feature, that allows the officers to 
282. differentiate between what can and cannot be seized, or (3) when 
283. the application describes as fully as possible, in light of what the 
284. investigators know, what is to be seized, or (4) when the warrant 
285. spells out a method for executing the search that limits the 
286. exposure of non-relevant materials, such as appointing a third-
287. party monitor.
288.  
289. To this Guideline EFF proposed adding the following paragraph:
290.  
291.     "Warrants for computerized records must be drawn narrowly 
292. and with enough specificity to eliminate or minimize the researchers' 
293. discretion and intrusion into other materials stored on the computer. 
294. Seizure of the computer itself, while proper in the limited 
295. circumstances where it is the instrumentality of a crime (as when the 
296. computer is itself a tool directly used to commit telecommunications 
297. fraud), is generally not justified when the object of the search is 
298. evidence stored on the computer, particularly since seizure of the 
299. computer may force a legitimate business to cease operations. Where 
300. the computer being searched is used in the publication or 
301. communication of information, warrants must be drawn even more 
302. narrowly to avoid infringing on First Amendment rights of expression 
303. and association, and seizures of such computers may also violate First 
304. Amendment rights unless the computer is the instrumentality of a 
305. crime."
306.  
307.  In the commentary, the additions we suggested are underlined, and at 
308. any point where we suggest deleting some material we have indicated 
309. this by brackets ([]).  In addition, our proposal rearranged several of the 
310. paragraphs:
311.  
312. (Beginning after Second Paragraph on p. 39)
313.     When the records are electronically stored in a computer, as is 
314. frequently the situation, the same legal principles apply.  []  In most 
315. respects, search and seizure issues in computer cases are like those in 
316. other criminal cases.  J. McEWAN, DEDICATED COMPUTER CRIME 
317. UNITS 55-56 (189); CF. D. PARKER, COMPUTER CRIME:  CRIMINAL 
318. JUSTICE RESOURCE MANUAL (1989).
319.     When computerized records are sought, they must be described, 
320. as in the case with written records, with enough specificity to eliminate 
321. or minimize the searchers' discretion as to what may be examined and 
322. seized.  When the information sought can be made definite (e.g., a 
323. memorandum from sales manager Jones to field agent Smith, dated 
324. March 11, 1980, concerning the sale of certain chemicals), the 
325. particularity requirement is easily satisfied whether the record is in 
326. writing or electronically stored.  If it is likely that the record of this 
327. document exists only in electronic form, the particular computer and 
328. storage media should be identified, and the affidavit should be clear 
329. that the searchers have the technical capacity to access the information.
330.     The need for particularity is heightened where the computer to 
331. be searched is used for a newspaper, magazine, electronic publishing or 
332. to operate an electronic bulletin board.5  There are "special restraints 
333. upon searches for and seizures of material arguably protected by the 
334. First Amendment."  Lo-Ji Sales, Inc. v. New York, 442 U.S. 319, 326 n.5 
335. (1970).  Where the materials to be seized may be protected by the First 
336. Amendment, both the particularity requirement and the probable 
337. cause requirement must be met with "scrupulous exactitude."  See, e.g., 
338. Voss v. Bergsgaard, 774 F.2d 402, 405 (10th Cir. 1985) (quoting Stanford 
339. v. Texas, 379 U.S. 476, 485 (1965) and citing Zurcher v. Stanford Daily, 
340. 436 U.S. 547, 565 (1978).
341.     In addition, when a computer used to operate a BBS is searched, 
342. there is significant danger that First Amendment rights of association 
343. and statutory rights of privacy may be impinged by seizure of electronic 
344. mail (e-mail) or other private communications which have no relation 
345. to the alleged criminal activity justifying the search.  Seizure and 
346. search of e-mail isgoverned by the procedures of the Electronic 
347. Communications Privacy Act, 18 U.S.C.  2701-2711.  Similarly, seizure 
348. of material on a BBS meant for publication or dissemination which is 
349. not related to the alleged crime may violate First Amendment rights of 
350. free expression.
351.     When the affiant describes [] the records to be seized only in 
352. general terms, such as "books, letters, papers, memoranda, contracts, 
353. files, computer tape logs, computer operation manuals, and computer 
354. tape printouts," there is a  likelihood that the particularity 
355. requirements have not been met.  In such a circumstance, the judicial 
356. officer should question the affiant to see whether any additional 
357. limiting standards -- time period, authorship, transaction, or offense, 
358. for example -- can be established.  The more limitations in the affidavit, 
359. the more likely that Fourth Amendment particularity exists.6
360.     In some instances, the affidavit may contemplate so extensive a 
361. seizure of computerized data that a successful  search would cripple the 
362. business.  Under these circumstances,the judicial officer should explore 
363. with the applicant the feasibility of copying or otherwise acquiring the 
364. information sought without depriving the owner or custodian of its 
365. use.  Since the justification for a search is to gather evidence, not close a 
366. business, it is important that the seizure be no more intrusive than 
367. necessary.  To this end, the judicial officer may require the applicant to 
368. demonstrate technical expertise or access to such.
369.     One troubling problem arises from the way computerized 
370. records are stored.  Because computer discs have such a large storage 
371. capacity, it is common to store unrelated data on the same disc.  This 
372. means that a seizure of an entire disc may involve substantial amounts 
373. of information that is not relevant to the inquiry.  When the discs are 
374. maintained by an innocent third party, such as a large accounting firm, 
375. the invasion of privacy is compounded, since the relevant discs may 
376. also contain data for other clients of the firm.  To protect the rights of 
377. these third parties, special procedures may be necessary.
378.     Similarly, the wholesale seizure of a large number of computer 
379. discs would appear to violate the particularity requirement, and be a 
380. prohibited general search, in a situation where the entire organization 
381. is not permeated with fraud or other misconduct.7  In such cases, the 
382. search of the computer  discs for seizable items preferably should be 
383. conducted on the organization's premises.  Wholesale removal of discs 
384. for off-premises searches should be authorized only if identifiable 
385. particular circumstances so mandate, and in such case the officers 
386. executing the warrant should promptly copy only relevant parts of the 
387. discs and promptly return the discs to the owner or custodian.
388.     To limit the scope of the seizure and the invasion of the rights of 
389. the third parties, and to protect the owner's rights (and the custodian as 
390. well), the judicial officer should consider (1) appointing an expert to 
391. accompany the law enforcement officers on the search to provide 
392. guidance to them in identifying the named items; (2) directing that all 
393. searches of discs for seizable items be conducted on the organization's 
394. premises, and (3) in situations where an on-premise search of the discs 
395. is not feasible because of specific reasons, establishing a procedure 
396. whereby the relevant parts of the disc may be promptly copied and then 
397. the original returned to the owner or custodian within a reasonable 
398. period of time, presumptively no longer than several days.
399.     The computer itself may be subject to seizure when it is an 
400. instrumentality for the commission of an offense, for  example when it 
401. is employed to commit a host of illegal acts:  software piracy, 
402. embezzlement, and telecommunications fraud are among these.8  For 
403. a fuller description of offenses committed with computers, see 
404. McEWAN, DEDICATED COMPUTER CRIME, Units 1-5, 38 (1989).  
405. Computers may also serve criminal enterprises by maintaining 
406. databases of, for example, drug distributions or customers for child 
407. pornography.  In terms of establishing probable cause and particularity, 
408. the affidavit must, as is generally true, provide reason to believe that 
409. an offense has been committed, and that the object to be seized -- the 
410. computer -- is implicated.  The computer should be identified as fully 
411. as possible, i.e., by manufacturer, model number and serial number to 
412. meet the particularity requirement.
413.     Seizure of the computer itself should not be authorized where 
414. information or records stored on the computer are the only object of 
415. the search.  Such computer seizures and the attendant seizure of all 
416. data on the computer's hard drive would not meet the particularity 
417. requirement.  In addition, as with the wholesale seizure of 
418. computerized records, the seizure of the computer will often make it 
419. impossible for a lawful business to continue operating.  If the computer 
420. is used for publishing or communicating information, e.g., if it is used 
421. by a newspaper, publication or for running a BBS, seizure may violate 
422. the First Amendment, because the seizure may act as a prior restraint 
423. on future speech or may interfere with the rights of expression and 
424. association of the operator and users of the system.
425.      Because a computer is actually a system of several parts, the 
426. affidavit should specify what exactly is to be seized.  An expert may be 
427. necessary in order to ensure a complete and precise listing.  
428.     When the affidavit, of necessity, employs technical language to 
429. explain the offense involved, such as "patching a long distance phone 
430. call to avoid paying the toll," See Ottensmeyer v. Chesapeake and 
431. Potomac Tel. Co., 756 F.2d 986 (4th Cir. 1985), the affiant's credentials, 
432. training, and education in computer sciences should be set forth so that 
433. the judicial officer has a basis for evaluating the analysis and 
434. interpretation in the affidavit.  In unusual situations when the judicial 
435. officer has difficulty comprehending the nature of the offense alleged, 
436. or questions the expertise of the affiant or the affiant's witnesses, the 
437. judicial officer can summon an expert witness to provide additional 
438. testimony.  Ordinarily, however, the procedure is to require the affiant 
439. to further supplement the affidavit, or attempt to rewrite it to meet the 
440. judicial officer's objections.  The judicial officer may also require an 
441. expert to accompany the affiant in order to insure that the seizable 
442. items are properly identified and removed in a reasonable manner to 
443. avoid injury to property, [] needless exposure of unrelated records, or 
444. infringement of First Amendment rights.  In Ottensmeyer, 756 F.2d at 
445. 986, an expert accompanied the searching party.  Cf. De Massa v. 
446. Nunez, 747 F.2d 1283 (9th Cir. 1984) (special master appointed to 
447. supervise the seizure of documents during execution of warrant at 
448. attorney's office);  Forro Precision Inc. v. International Business 
449. Machine Corp., 673 F.2d 1045 (9th Cir. 1982) (discussing the role of an 
450. expert during the execution of the warrant).
451.     Because computer systems increasingly rely on complicated 
452. access procedures and may also have the capacity to destroy data when 
453. an unauthorized user attempts to access them there is an additional 
454. need for expertise.  The judicial officer should make sure that the 
455. officers executing the warrant have the capacity to make the seizure 
456. without destroying data or damaging property unnecessarily, and thus 
457. may appoint an outside expert to monitor or supervise the execution of 
458. the warrant.  The appointment of an expert provides added assurance 
459. that (1) there will not be an inadvertent interruption in the electric 
460. power during data manipulation by the officers that could result in the 
461. loss of information, (2) that if there is a hard disc drive, the heads on 
462. the drive will be "parked" before moving the system to avoid 
463. destroying stored information, (3) that when such equipment as 
464. telephone modems, auto-dialers, and printers are connected to the 
465. computer, they will be disconnected without loss of information, and 
466. (4) that the officers executing the search warrant will not 
467. unintentionally change data while collecting evidence.  See generally, 
468. C. CONLY, ORGANIZING FOR COMPUTER CRIME INVESTIGATION 
469. AND PROSECUTION 22 (1989).
470.  
471.  
472. IV. Conclusion.
473.  
474.     These suggestions were submitted to the ABA through Judge 
475. William R. McMahon of Ohio, who chairs the ABA, NCSCJ committee 
476. on Modern Technology and the Courts.  It is the EFF's hope that these 
477. suggestions can also be used as a resource by state and federal 
478. legislatures, by state and federal judiciaries, and--perhaps most 
479. importantly--by the front-line law-enforcement officials and 
480. prosecutors whose job it is to integrate the enforcement of the law with 
481. the preservation of our civil liberties.
482. 1The Fourth Amendment to the U.S. Constitution states that "The 
483. right of the people to be secure in their persons, houses, papers, and 
484. effects, against unreasonable searches and seizures, shall not be 
485. violated, and no Warrants shall issue, but upon probable cause, 
486. supported by Oath or affirmation, and particularly describing the 
487. place to be searched, and the persons or things to be seized."
488. 2Sections II and III of this paper were originally researched and 
489. written for EFF by Nick Poser, Esq., and Terry Gross, Esq., of 
490. Rabinowitz, Boudin, Standard, Krinsky & Lieberman. Harvey 
491. Silverglate, Esq., and Sharon Beckman, Esq., of Silverglate & Good 
492. reviewed these sections and offered valuable suggestions and 
493. comments.
494.  
495. 3D. Parker, Computer Crime: Criminal Justice Resource Manual 
496. (1989), page 68.
497. 4 A  "sample" search warrant  in Conly, Organizing for  Computer 
498. Crime Investigation and Prosecution includes the following 
499. language:
500.  
501. "In the County of Baltimore, there is now property subject to 
502. seizure, such as computers, keyboards, central processing units, 
503. external and/or internal drives, internal and/or external 
504. storage devices such as magnetic tapes and/or disks, terminals 
505. and/or video display units and/or receiving devices and 
506. peripheral equipment such as, but not limited to, printers, 
507. automatic dialers, modems, acoustic couplers, and or [sic] direct 
508. line couplers, peripheral interface boards and connecting cables 
509. or ribbons, diaries, logs, and other records, correspondence, 
510. journals, ledgers memoranda [sic], computer software, 
511. programs and source documentation, computer logs, magnetic 
512. audio tapes and recorders used in the obtaining, maintenance, 
513. and or [sic] dissemination of information obtained from the 
514. official files and computers of the [sic] MCI 
515. Telecommunications Inc. and other evidence of the offense."
516.  
517.     Although clearly taken from a warrant drafted for a specific 
518. crime involving MCI, this language is frequently copied almost 
519. verbatim in warrants involving far different crimes. Moreover, the 
520. drafters, perhaps afraid that their language was not sufficiently 
521. inclusive, made sure to add the phrase "such as, but not limited to" 
522. in reference to what qualifies as a "peripheral" for the purposes of the 
523. warrant. One may wonder how such a broad description meets the 
524. "particularly describing" clause of the Fourth Amendment, or how it 
525. limits the discretion of the executing officer as to which property he 
526. or she will seize.
527. 5   There is growing recognition that bulletin board systems (BBSs) are 
528. a form of press.  See, e.g., An Electronic Soapbox: Computer Bulletin 
529. Boards and the First Amendment, 39 Fed. Com. L. J. 217, 240 (1988), 
530. citing Legi-Tech, Inc. v. Keiper, 766 F.2d 728, 734-36 (2d Cir. 1985).
531. 6Two problems, unrelated to particularity, may arise with respect to 
532. the seizure of computerized data.  [] First, in certain circumstances, 
533. affiants may have specific information that the suspects have devices 
534. by which computerized data may be rapidly destroyed, and in such 
535. cases affiants may seek permission to enter the premises without 
536. announcing their authority and purpose.  Affiants may also seek such 
537. permission in cases where it is known that the suspect will be using 
538. the computer for illegal purposes at the time of the search, e.g., when 
539. a warrant is sought at the moment a telephone tap demonstrates that 
540. the computer user is in the act of illegally accessing a computer 
541. database over the telephone lines, as evidence of the crime could be 
542. lost if the computer user shuts off the computer.  For an analysis of 
543. the standard for "no-knock" entries in business premises see 
544. Guideline 10.3 infra.
545.  
546.     The second problem relates to the time period in which the 
547. computerized data are stored.  In addition, unlike written records, 
548. data internal to the system are not likely to be so maintained for long 
549. periods.  Although computers commonly have book-length or longer 
550. storage capacity, the typical procedure is to transfer the data to 
551. external storage, typically in the form of a disc or tape.  Given the 
552. practice, the judicial officer must evaluate the affidavit with care to 
553. ascertain the likelihood that the data is in the computer and has not 
554. been transferred to a different location or erased.  If electronic 
555. communications are maintained on the computer, such as with 
556. computers operating electronic bulletin boards, reference must be 
557. made to the Electronic Communications Privacy Act, 18 U.S.C.  2701-
558. 2711, and the affiants should inform the judicial officer, so that he can 
559. establish procedures to ensure that the privacy of these 
560. communications is protected, and that no communications are 
561. searched unless probable cause exists as to that communication.
562. 7 Generic listings which would permit the seizure of virtually all 
563. computer related materials fail to meet the particularity requirement.  
564. See, e.g., Voss v. Bergsgaard, 774 F.2d 402, 407 (10th Cir. 1985), [] 
565. (affidavit held insufficient which described the computer records and 
566. materials to be seized as follows:  "One Alpha Micro computer 
567. processing unit, approximately four Alpha Micro computer 
568. terminals, computer printers, and computer manuals, logs, printout 
569. files, operating instructions, including coded and handwritten 
570. notations, and computer storage materials, including magnetic tapes, 
571. magnetic discs, floppy discs, programs and computer source 
572. documents"
573. 8A computer is certainly "property" and hence  theoretically might be 
574. subject to seizure if it is forfeitable pursuant to a specific statute 
575. authorizing such forfeiture, e.g., the Racketeer Influenced and 
576. Corrupt Organizations Act, 18 U.S.C. $ 1913. Because a computer is 
577. also a communications device much as a typewriter or printing press 
578. is, however, seizure of the computer raises First Amendment issues 
579. not present in other types of forfeitures. For this reason, the better 
580. procedure when dealing with an arguably forfeitable computer 
581. system is not to seize it, which raises First Amendment and prior-
582. restraint problems, but to allow the government to proceed instead by 
583. subpoena or motion, where the delicate issues can be litigated 
584. without the prior restraint that seizure pendente lite would cause.
585.  
586.  
587. -- 
588. Mike Godwin, (617) 864-0665 | "You gotta put down the ducky
589. mnemonic@eff.org            |  if you wanna play the saxophone."
590. Electronic Frontier         |  
591. Foundation                  |                  
592.  
593.  
594.  
595. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
596.