home *** CD-ROM | disk | FTP | other *** search

---

/ Shareware Overload Trio 2 / Shareware Overload Trio Volume 2 (Chestnut CD-ROM).ISO / dir33 / eff01017.zip / EFF01017.TXT

Wrap

Text File  |  1994-09-16  |  24KB  |  442 lines

---

1. Electronic Frontier Foundation
2.  
3.  
4. Testimony of
5.  
6. Jerry J. Berman, Policy Director
7. Electronic Frontier Foundation
8.  
9. before the
10.  
11. United States House Of Representatives
12. Committee on Energy and Commerce 
13. Subcommittee On Telecommunications and Finance
14.  
15. Hearing on 
16.  
17. Digital Telephony Legislation (H.R. 4922)
18.  
19.  
20.  
21. September 13, 1994
22.  
23. Chairman Markey and Members of the Subcommittee:
24.  
25.     I want to thank you for the opportunity to testify today on the 
26. recently introduced Digital Telephony bill (H.R. 4922, S. 2375).  Over 
27. the past several years under the leadership of Chairman Markey, 
28. Representatives Fields, Boucher, and others, the Subcommittee has 
29. demonstrated knowledge, sensitivity, and vision in crafting our nation's 
30. telecommunications policy.  I am pleased that the Subcommittee has 
31. chosen to apply its experience and expertise to the extraordinarily 
32. complex issues posed by the Digital Telephony legislation.
33.     The Electronic Frontier Foundation (EFF) is a public interest 
34. membership organization dedicated to achieving the democratic potential 
35. of new communications and computer technology and works to protect civil 
36. liberties in new digital environments.  EFF also coordinates the Digital 
37. Privacy and Security Working Group (DPSWG), a coalition of more than 50 
38. computer, communications, and public interest organizations and 
39. associations working on communications privacy issues.  I am testifying 
40. today, however, only on behalf of EFF.
41.     Since 1992, the Electronic Frontier Foundation has opposed a 
42. series of FBI Digital Telephony proposals, each of which would have 
43. forced communications companies to install wiretap capability into every 
44. communications network. However, earlier this year, when it became 
45. apparent that some version of the bill would pass the Congress, Senator 
46. Patrick Leahy and Representative Don Edwards asked EFF, along with 
47. computer and communications industry groups, to participate in a process 
48. that would yield a narrow bill that both met law enforcement needs and 
49. had strong privacy protections.  The result of that process is the bill 
50. before us today. 
51.     EFF remains deeply troubled by the prospect of the federal 
52. government requiring communications networks to be made "wiretap ready," 
53. but we believe that this legislation is substantially less intrusive 
54. that the original FBI proposals. If Congress is going to act in this 
55. area, it should work to improve and pass this version of the 
56. legislation.
57.     As I testified to before a joint hearing of the House Subcommittee 
58. on Civil and Constitutional Rights and the Senate Subcommittee on 
59. Technology and the Law on August 11, 1994, we have worked diligently on 
60. this legislation with all interested parties in an effort to strike a 
61. careful balance between law enforcement's ability to conduct electronic 
62. surveillance and the more important public good -- the right to privacy 
63. guaranteed by the 4th amendment. The bill strikes this balance in a 
64. number of critical areas:
65.     
66.     *  Law enforcement gains no additional authority to conduct 
67.            electronic surveillance.  The warrant requirements specified 
68.            under current law remain unchanged
69.  
70.     *  The standard for law enforcement access to online 
71.            transactional records is raised to require a court order
72.            instead of a mere subpoena
73.  
74.     *  Information gleaned from pen register devices is limited to dialed
75.            number information only.  Law enforcement may not receive
76.            location-specific information
77.  
78.     *  The bill does not preclude a citizen's right to use encryption
79.         
80.     *  Privacy must be maintained in making new technologies 
81.            conform to the requirements of the bill and privacy groups 
82.            may intervene in the administrative standard-setting 
83.            process.
84.  
85.      However, Mr. Chairman, the effectiveness of these privacy 
86. protections, as well as the future of technological innovation and the 
87. deployment of advanced telecommunications services to the American 
88. public, turn on one critical issue which remains to be addressed:  Who 
89. assumes the risk and pays the cost of complying with the bill's 
90. requirements?  The government or industry?  
91.       EFF believes that allocating the risk and cost to industry will 
92. place privacy and security at risk if industry is required to foot the 
93. bill for unnecessary or unwarranted surveillance capabilities. 
94. Similarly, privacy may be shortchanged if industry takes short cuts to 
95. save costs in meeting the legislation's requirements.   Industry may 
96. also be discouraged from deploying new and innovative technologies 
97. because of the costs of law enforcement compliance features.  Finally, 
98. public accountability is undermined by making potentially significant 
99. law enforcement costs without public scrutiny and debate.   In our view, 
100. the public interest can only be served if government assumes the risk 
101. and pays the costs of compliance.  While effective law enforcement may 
102. be in the public interest, it should not come at the expense of other 
103. public goods --  privacy, public accountability, and technological 
104. innovation.  To resolve this issue, we believe that the legislation 
105. should be amended to require government to pay all reasonable costs 
106. incurred to meet the statute's requirements on an ongoing basis. 
107.     
108. A.    Linkage of cost to compliance requirements in the first four 
109.     years -- the FBI gets what it pays for and no more
110.  
111.     The bill authorizes, but does not appropriate, $500 million to be 
112. spent by the government in reimbursing telecommunications carriers for 
113. bringing their networks into compliance with the bill within the first 
114. four years of enactment. The FBI maintains that this is enough money to 
115. cover all reasonable expenses of retrofitting. The industry, however, 
116. has consistently maintained that the costs are five to ten times higher. 
117. Given the FBI's confidence in their cost estimate, we believe that 
118. telecommunications carriers should only be required to comply to the 
119. extent that they have been reimbursed. 
120.     In his testimony before a joint hearing of the House Subcommittee 
121. on Civil and Constitutional Rights and the Senate Subcommittee on 
122. Technology and the Law on August 11, 1994, the FBI director stated that 
123. "I think it would be [...] extremely unlikely for a district court judge 
124. in the process which is contemplated by this legislation to force 
125. compliance or use of any sanctions when compliance is impossible because 
126. of the non-reimbursement which is the predicate in the legislation".  
127. Based on the Director's previous testimony and other discussions with 
128. the FBI, EFF believes that the bill should include a provision to 
129. directly link telecommunications carriers liability with government 
130. reimbursement for retrofitting.
131.  
132.  
133. B.    Government reimbursement for compliance costs after four years 
134.     -- public accountability necessary 
135.  
136.     The problem, Mr. Chairman, is that under the current bill, the 
137. government is not responsible for paying the cost of meeting the 
138. mandated capability requirements after four years, particularly with 
139. respect to new services. The FBI has repeatedly argued that the costs 
140. for incorporating surveillance capabilities in new services at the 
141. design stage will be de minimis, a contention which most industry 
142. representatives and EFF believe may not be correct.  
143.     As this Subcommittee is aware, it is impossible to estimate 
144. compliance costs for technologies which are not even on the drawing 
145. boards.  The way to resolve the issue is to have the government assume 
146. the risks.  
147.     If costs for compliance after four years are truly de minimis,  
148. then the expenses born by the taxpayers will be minimal.  If, however, 
149. costs are substantial, the government should pay.  This will insure that 
150. the government,  on a case-by-case basis and with an opportunity for 
151. public oversight, determines if compliance is significant enough to pay 
152. for out of taxpayers' funds.  This will also ensure that the government 
153. sets law enforcement priorities.  
154.     As I stated earlier,  if the telecommunications industry is 
155. responsible for all future compliance costs, it may be forced to accept 
156. solutions which short-cut the privacy and security of telecommunications 
157. networks, or be forced to leave advanced features on the shelf, slowing 
158. technological innovation and the development of the NII.  Linking 
159. compliance to government reimbursement in the out years also has the 
160. added benefit of providing public oversight and accountability for law 
161. enforcement surveillance capability.   
162.     The drafters of this legislation have wisely included public 
163. oversight of government surveillance expenditures in the first four 
164. years.  This same principal should be applied to out year compliance 
165. costs.  
166.  
167. C.    Ensure the right to deploy untappable services 
168.  
169.     The enforcement provisions of the bill suggest, but do not state 
170. explicitly, that services which are untappable may be deployed.    
171. Having worked for many years towards the goal of promoting the 
172. development of the NII, the members of this Subcommittee are clearly 
173. aware that its promise and potential rest on the deployment of advanced 
174. technologies and services.  EFF remains deeply concerned that 
175. technological innovation and the deployment of advanced 
176. telecommunications services to the public may be stifled if 
177. telecommunications carriers are forced to incur huge costs for 
178. compliance, or if the Government is allowed to prohibit a new feature or 
179. service from being deployed.  Although EFF believes that the bill 
180. intends to allow carriers to deploy untappable features or services,  
181. the bill must clearly state that if it is technically and economically 
182. unreasonable to make a service tappable, or if the government has failed 
183. to reimburse a carrier for compliance costs, then it may be deployed, 
184. without interference by a court.  Making the government responsible for 
185. all reasonable costs of having new services comply with the legislation 
186. will go a long way to insuring that this legislation will not be a drag 
187. on innovation.
188.  
189. D.    Additional areas where strengthening is necessary
190.  
191.     In addition to our concerns about compliance costs, EFF believes 
192. that the bill requires strengthening in the following areas before final 
193. passage:
194.  
195.  
196. 1.    Strengthened public process
197.  
198.     In the first four years of the bill's implementation, most of the 
199. requests that law enforcement makes to carriers are required to be 
200. recorded in the public record. However, additional demands for 
201. compliance after that time are only required to be made by written 
202. notice to the carrier.   To facilitate public scrutiny, the bill should 
203. require all compliance requirements, whether initial requests or 
204. subsequent modification, must be recorded in the Federal Register.
205.  
206. 2.    Clarify definition of call identifying information 
207.  
208.     The definition of call identifying information in the bill is too 
209. broad. Whether intentionally or not, the term now covers network 
210. signaling information of networks which are beyond the scope of the 
211. bill.  As drafted, the definition would appear to require 
212. telecommunications carriers to deliver not only the signaling 
213. information generated by their own services, but also the signaling 
214. information generated by information services and electronic 
215. communication services that travel over the facilities of the 
216. telecommunication carrier.  In many cases this may be technically 
217. impractical.  Moreover, it is contrary to the policy adopted by the bill 
218. to maintain a narrow scope.
219.  
220. 3.    Review of minimization requirements in view of commingled 
221.         communications
222.  
223.     The bill implicitly contemplates that law enforcement, in some 
224. cases, will intercept large bundles of communications, some of which are 
225. from subscribers who are not subject of wiretap orders. For example, 
226. when tapping a single individual whose calls are handled by a PBX, law 
227. enforcement may sweep in calls of other individuals as well. Currently 
228. the Constitution and Title III requires "minimization" procedures in all 
229. wiretaps, to minimize the intrusion on the privacy of conversations not 
230. covered by a court's wiretap order.  In the world of 1968, when the 
231. original Wiretap Act was passed, most subscribers telecommunications 
232. facilities carried single conversations on single lines.  But today, 
233. many conversations are co-mingled on one broadband communications 
234. facility.  In order to ensure that constitutionally-mandated 
235. minimization is maintained, the bill should recognize that stronger 
236. minimization procedures may be required.
237.  
238. E. New privacy protections
239.  
240.     The Digital Telephony legislation before us includes significant 
241. recognition that new communication technologies, and new patterns of 
242. technology use, require new privacy protections.  Thanks to the work of 
243. Senator Leahy and Representative Edwards and Senator Biden, the bill 
244. contains a number of significant privacy advances, including enhanced 
245. protection for the detailed transactional information records generated 
246. by online information services, email systems, and the Internet.  These 
247. protections should remain in the legislation.
248.  
249. 1.    Expanded protection for transactional records sought by law 
250.         enforcement
251.  
252.     Chief among these new protections is an enhanced protection for 
253. transactional records from indiscriminate law enforcement access.  For 
254. purposes of maintenance and billing, most online communication and 
255. information systems create detailed records of users' communication 
256. activities as well as lists of the information that they have accessed. 
257. Provisions in the bill recognize that this transactional information 
258. created by new digital communications systems is extremely sensitive and 
259. deserves a high degree of protection from casual law enforcement access 
260. which is currently possible without any independent judicial 
261. supervision. 
262.     EFF commends the authors of this legislation for recognizing that 
263. law enforcement access to transactional records in online communication 
264. systems (everything from the Internet to America OnLine to hobbyist 
265. BBSs) threatens privacy rights.  Indiscriminate access to transactional 
266. records implicates privacy interests because:
267.  
268.     * the records are personally identifiable, 
269.     * they reveal the content of people's communications, and,
270.     * the compilation of such records makes it easy for law enforcement 
271.           to create a detailed picture of people's lives online. 
272.  
273. Based on this recognition, the draft bill contains the following 
274. provisions:
275.  
276.     * Court order required for access to transactional records instead 
277.           of mere subpoena
278.     
279.     In order to gain access to transactional records, such as a list 
280. of to whom a subject sent email, which online discussion group one 
281. subscribes to, or which movies a subject requested on a pay-per view 
282. channel, law enforcement will have to prove to a court, by the showing 
283. of "specific and articulable facts" that the records requested are 
284. relevant to an ongoing criminal investigation. This means that the 
285. government may not request volumes of transactional records merely to 
286. see what it can find through traffic analysis. Rather, law enforcement 
287. will have to prove to a court that it has reason to believe that it will 
288. find specific information relevant to an ongoing criminal investigation 
289. in the records it requests.
290.     With these provisions, we have achieved for all online systems a 
291. significantly greater level of protection than exists today for records 
292. such as email logs, and greater protection than currently exists for 
293. telephone toll records. The lists of telephone calls that are kept by 
294. local and long distance phone companies are available to law enforcement 
295. without any judicial intervention at all. Law enforcement gains access 
296. to hundreds of thousands of such telephone records each year, without a 
297. warrant and without even notice to the citizens involved. Court order 
298. protection will make it much more difficult for law enforcement to go on 
299. "fishing expeditions" through online transactional records, hoping to 
300. find evidence of a crime by accident.  We have also submitted a detailed 
301. memorandum on the importance of protection and would ask that this 
302. document be included in the record of these proceedings along with this 
303. testimony.
304.  
305.     * Standard of proof much greater than for telephone toll records, 
306.           but below that for content
307.  
308.     The most important change that these new provisions offer is that 
309. law enforcement will: (a) have to convince a judge that there is reason 
310. to look at a particular set of records, and; (b) have to expend the time 
311. and energy necessary to have a United States Attorney or District 
312. Attorney actually present a case before a court. However, the burden of 
313. proof to be met by the government in such a proceeding is lower than 
314. required for access to the content of a communication.
315.  
316. 2.    New protection for location-specific information available in 
317.         cellular, PCS and other advanced networks 
318.  
319.     Much of the electronic surveillance conducted by law enforcement 
320. today involves gathering telephone dialing information through a device 
321. known as a pen register. Authority to attach pen registers is obtained 
322. merely by asserting that the information would be relevant to a criminal 
323. investigation. Under current law, courts must approve pen register 
324. requests without any substantive review of the basis for law 
325. enforcement's request. This legislation offers significant new limits on 
326. the use of pen register data.
327.     Under this bill, when law enforcement seeks pen register 
328. information from a telecommunications carrier, the carrier is forbidden 
329. to deliver to law enforcement any information which would disclose the 
330. location or movement of the calling or called party. Cellular phone 
331. networks, PCS systems, and so-called "follow-me" services all store 
332. location information in their networks. This new limitation is a major 
333. safeguard which will prevent law enforcement from casually using mobile 
334. and intelligent communications services as nation-wide tracking systems.
335.  
336. 3.    New limitations on "pen register" authority 
337.  
338.     Contemporary uses of pen registers also involve substantial 
339. privacy invasion, even aside from location information.  Currently, law 
340. enforcement is able to use pen registers to capture not only the 
341. telephone number dialed, but also any other touch-tone digits dialed 
342. which reflect the user's interaction with an automated information 
343. service on the other end of the line, such as an automatic banking 
344. system or a voice-mail password. If this bill is enacted, law 
345. enforcement would be required to use "technology reasonably available" 
346. to limit pen registers to the collection of calling number information 
347. only.  We are aware that new pen register devices are now on the market 
348. which automatically screen out all dialed digits except for the actual 
349. telephone numbers.  Just as this bill would require telecommunications 
350. carriers to deploy technology which facilitates taps, we believe that 
351. law enforcement should be required to deploy technology which shields 
352. users communications from unauthorized invasion.
353.  
354. 4.    Bill does not preclude use of encryption 
355.  
356.     Unlike previous Digital Telephony proposals, this bill places no 
357. obligation on telecommunication carriers to decipher encrypted messages, 
358. unless the carrier actually holds the key to the message as well. 
359.  
360. 5.    Automated remote monitoring precluded 
361.  
362.     Law enforcement is specifically precluded from having automated, 
363. remote surveillance capability. Any court-ordered electronic 
364. surveillance must be initiated by an employee of the telecommunications 
365. carrier, upon request by law enforcement.  Maintaining operational 
366. separation between law enforcement agents and communication networks is 
367. an important privacy safeguard. 
368.  
369. 6.    Privacy considerations essential to development of new technology 
370.  
371.     One of the requirements that telecommunications carriers must meet 
372. to be in compliance with the bill is that the wiretap access methods 
373. adopted must protect the privacy and security of each user's 
374. communication. If this requirement is not met, anyone may petition the 
375. FCC to have the wiretap access requirements modified so that network 
376. security is maintained. This requirement, just like those designed to 
377. serve law enforcement's needs, must be carefully implemented and 
378. monitored so that  the technology used to conduct wiretaps cannot also 
379. jeopardize the security of the network as a whole. If network-wide 
380. security problems arise because of wiretapping standards, then the 
381. standards should be overturned.
382.  
383. F.    Improvements over previous Administration proposals 
384.  
385.     In addition to the privacy protections added to this bill, we also 
386. note that the surveillance requirements are not as far-reaching as the 
387. original FBI version. A number of procedural safeguards are added which 
388. seek to minimize the threatens to privacy, security, and innovation. 
389. Though the underlying premise of the bill is still cause for concern, 
390. these new limitations deserve attention: 
391.  
392. 1.    Narrow Scope
393.  
394.     The bill explicitly excludes Internet providers, email systems, 
395. BBSs, and other online services. Unlike the bills previously proposed by 
396. the FBI, this bill is limited to local and long distance telephone 
397. companies, cellular and PCS providers, and other common carriers. 
398.  
399. 2.    Open process with public right of intervention 
400.  
401.     The public will have access to information about the 
402. implementation of the bill, including open access to all standards 
403. adopted in compliance with the bill, the details of how much wiretap 
404. capacity the government demands, and a detailed accounting of all 
405. federal money paid to carriers for modifications to their networks. 
406. Privacy groups, industry interests, and anyone else has a statutory 
407. right under this bill to challenge implementation steps taken by law 
408. enforcement if they threaten privacy or impede technology advancement.
409.  
410. 3.    Technical requirements standards developed by industry instead of 
411.         the Attorney General
412.  
413.     All surveillance requirements are to be implemented according to 
414. standards developed by industry groups. The government is specifically 
415. precluded from forcing any particular technical standard, and all 
416. requirements are qualified by notions of economic and technical 
417. reasonableness.
418.  
419. 4.    Right to deploy untappable services
420.  
421.     Unlike the original FBI proposal, this bill recognizes that there 
422. may be services which are untappable, even with Herculean effort to 
423. accommodate surveillance needs. We understand that the bill intends to 
424. allow untappable services to be deployed if redesign is not economically 
425. or technically feasible.  These provisions, however, should be 
426. clarified. 
427.  
428. G.    Conclusion
429.  
430.     In closing, I would like to thank Chairman Markey and members of 
431. the Subcommittee, as well as others who have worked so hard on this 
432. legislation.  The Electronic Frontier Foundation looks forward to 
433. working with all of you as the bill moves through the legislative 
434. process.
435.  
436.  
437. -- 
438. <A HREF="http://www.eff.org/~mech/mech.html">       Stanton McCandlish
439. </A><HR><A HREF="mailto:mech@eff.org">              mech@eff.org
440. </A><P><A HREF="http://www.eff.org/">               Electronic Frontier Fndtn.
441. </A><P><A HREF="http://www.eff.org/~mech/a.html">   Online Activist       </A>
442.