home *** CD-ROM | disk | FTP | other *** search
/ CD-ROM Aktief 1995 #3 / CDA3.iso / survival / ecpafido.txt < prev    next >
Encoding:
Text File  |  1994-07-28  |  21.8 KB  |  462 lines
  1.  
  2. --- Following message extracted from SYSOP18 @ 1:374/14 ---
  3.     By Christopher Baker on Thu Jul 21 01:23:11 1994
  4. From: Michael Hess
  5. To: Floyd Drennon
  6. Date: 19 Jul 94  20:03:00
  7. Subj: Final word on BBS's and the ECPA 1/2
  8.  
  9. Floyd Drennon requested a closed session to tell Michael Hess:
  10.  
  11.  FD> Hi Michael,
  12.  
  13.  FD> 15 Jul 94, 18:00, Michael Hess wrote to Paul Nebeling:
  14.  
  15.  MH>> attorney in your specific area for a legal opinion. I did. That's how
  16.  MH>> I got my opinion. From several attorneys.
  17.  
  18.  FD> And for everyone you find to support your position, someone else can find
  19.  FD> another who will say exactly the opposite.  Bottom line - there hasn't
  20.  FD> been a definitive case concerning a hobbiest board so any advice you
  21.  FD> receive at this point will be the unfounded opinion of the person
  22.  FD> providing it.
  23.  
  24. Here is my .02 cents worth that cost me about $20.00 today to compile. I'm sure
  25. after reading it you and others may have a different outlook when trying to 
  26. deny that the ECPA of 1986 has no application:
  27.  
  28.          AMATEUR BBS NETWORK APPLICATION OF THE ELECTRONIC
  29.          COMMUNICATIONS PRIVACY ACT OF 1986: BOON OR BANE?
  30.          =================================================
  31.  
  32. By Michael Hess, copyright 1994
  33.  
  34. 9:05 a.m. July 19th, 1994
  35.  
  36. FEDERAL INFORMATION CENTER......................(800) 726-4995
  37.  
  38. Notes: Has no information or referral about ECPA 1986.
  39. ===
  40. 9:12 a.m.
  41.  
  42. FEDERAL COMMUNICATIONS COMMISSION...............(202) 418-0200
  43. (PUBLIC AFFAIRS) 1919 M St. NWst Washington DC 20554
  44.  
  45. Notes: Has no idea what the ECPA 1986 is. So I looked in my trusty
  46. database and called the:
  47. ===
  48. 9:20 a.m.
  49.  
  50. NATIONAL CRIMINAL JUSTICE REFERENCE SERVICE
  51. BOX 6000  ROCKVILLE, MD.........................(301) 251-5500
  52.  
  53. Notes: Central clearinghouse for information on law enforcement and
  54. criminal  justice.  Publishes bulletins and reports, provides
  55. computer searches.
  56.  
  57. One relevant reference: End Run Around the Fourth Amendment; Why Roving
  58. Surveillance Order is Un-Constitutional. 1990, Vol. 28 1990 American
  59. Criminal Justice pp. 143-160.
  60.  
  61. Database only reaches up to 1990, no reference to Jackson Games v.
  62. Secret Service 1990 as of yet. Referred me to the:
  63. ===
  64. 9:35 a.m.
  65.  
  66. FLORIDA DEPARTMENT of LAW ENFORCEMENT, COMPUTER CRIME DIVISION
  67.  
  68. contact: Jeff Herig.............................(904) 922-0739
  69.  
  70. Notes: Jeff could only offer a personal opinion. He wonders why in the
  71. world folks in an amateur network would think their policy would negate
  72. federal law?
  73.  
  74. His opinion is if a reasonable expectation of privacy exists then a
  75. communication would be covered by the ECPA. This would include private
  76. sysop comment areas, sysop mail areas, any communication that is not
  77. readily accessible to the public.
  78.  
  79. As an aside, many of the training sessions that Jeff attends make
  80. repeated reference to the Steve Jackson Games case. The training
  81. sessions make it clear that electronic mail IS protected by the
  82. Electronic Communications Privacy Act of 1986 and that investigators are
  83. to keep the ECPA and particulars of the Steve Jackson Games case firmly
  84. in mind when investigating a BBS. Then referred me to the:
  85. ===
  86. 11:03 a.m.
  87.  
  88. UNITED STATES DEPARTMENT of JUSTICE, COMPUTER CRIMES DIVISION
  89.  
  90. Dan Schneider...................................(202) 514-1026
  91.  
  92. Notes: Dan could not give specific advice either. However, he made it
  93. clear that a company, group, or amateur policy can NOT supercede or
  94. negate federal law. He took notes and is checking with his superior and
  95. will get back to me.
  96. ===
  97. 11:25 a.m.
  98.  
  99. While I'm waiting let's see what we have learned so far and how we can
  100. apply it.
  101.  
  102. The test keeps coming back to expectation of privacy and the
  103. Fourth Amendment. For instance, our local Net 375 1.10 policy states:
  104.  
  105.      "...fraternization.  This conference (SYSOP375) is to be
  106.      kept private; only the sysop and co-sysop may have read
  107.      or read/write access to it.  There are many other local..."
  108.  
  109. It would seem that there may be a reasonable expectation of privacy at
  110. the local level. Does the policy above this (Region 18 1.06 policy)
  111. negate this at a regional level? This policy states:
  112.  
  113.      8.   Local Net Policies
  114.  
  115.     "It is the responsibility of each net to determine the method
  116.      of selecting coordinators for that net.  Nets are encouraged
  117.      to formulate local policies describing the method and (if
  118.      appropriate) the timing of this process, as well as any
  119.      other local procedural issues deemed appropriate by the net
  120.      membership.  No local net policy may conflict with existing
  121.      policies at the region, zone or interzone level..."
  122.  
  123. It appears that at least in one section of the regional policy that
  124. a local net policy defers to the zone or interzone level, no other
  125. search appears necessary. The relevent section in International
  126. FidoNet 4.07 policy is as follows:
  127.  
  128.      2.1.6  Private Netmail
  129.  
  130.      "...The word "private" should be used with great care, especially
  131.      with users of a BBS.  Some countries have laws which deal with
  132.      "private mail", and it should be made clear that the word
  133.      "private" does not imply that no person other than the recipient
  134.      can read messages.  Sysops who cannot provide this distinction
  135.      should consider not offering users the option of "private mail..."
  136.  
  137. Todays BBS software has many improved features, especially in security
  138. and mail handling ability. Many sysops participate in sysop only message
  139. conferences. The exclusion of the general user public is accomplished by
  140. security levels or other means through the software package. Many systems
  141. also use email software as a "front end" that may handle the reading
  142. of a sysop only area [or use a third piece of software, a "sysop editor"]
  143. or other private conferences without ever passing these to the BBS
  144. software that offers public areas.
  145.  
  146.      ..."If a user sends a "private message", the user has no control
  147.      over the number of intermediate systems through which that
  148.      message is routed.  A sysop who sends a message to another
  149.      sysop can control this aspect by sending the message direct
  150.      to the recipient's system, thus guaranteeing that only the
  151.      recipient or another individual to whom that sysop has given
  152.      authorization can read the message.  Thus, a sysop may have
  153.      different expectations than a casual user..."
  154.  
  155. International FidoNet policy further points out however that a "sysop
  156. may have different expectations than a casual user." It would seem on
  157. the face of it that a sysop in Net 375 would have a reasonable
  158. expectation of privacy based on three written organizational policies
  159. and indeed the Fourth Amendment and the ECPA.
  160.  
  161. Would the level of reasonable expectation of privacy diminish when
  162. applied to a closed or restricted message conference on a regional or
  163. North American scale? It does not seem so based on the volume of email
  164. in administrative conferences when the question of opening them to the
  165. general public arises. Thus it can be deduced that for a sysop, whether
  166. at a local, regional or North American level at the least, the technology
  167. does indeed exist and is in general use to exclude the general user public
  168. from access to certain message conferences.
  169.  
  170.      2.1.6.1  No Disclosure of in-transit mail
  171.  
  172.      "...Disclosing or in any way using information contained in private
  173.      netmail traffic not addressed to you or written by you is
  174.      considered annoying behavior, unless the traffic has been released
  175.      by the author or the recipient as a part of a formal policy
  176.      complaint.  This does not apply to echomail which is by definition
  177.      a broadcast medium, and where private mail is often used to keep
  178.      a sysop-only area restricted..."
  179.  
  180. International FidoNet policy makes three important distinctions in the
  181. above. Disclosing private netmail when you are not the intended
  182. recipient or the recipients authorized agent is prohibited and well
  183. within [at least] US law. Secondly, "echomail" is excluded from the
  184. "no disclosure" clause with a dubious caveat that "private mail" in a
  185. sysop only message conference is also exempt.
  186.  
  187. This again, at least in the US, brings up the Fourth Amendment. If a
  188. person can show a reasonable expectation of privacy, and further show
  189. that that privacy was breached, they may have a reasonable expectation
  190. of redress.
  191.  
  192. Excerpts from Jackson Games v. Secret Service bear this out:
  193.  
  194.  
  195.      "...The Secret Service denies that its personnel or its delegates
  196.      read the private electronic communications stored in the seized
  197.      materials and specifically allege that this information was
  198.      reviewed by use of key search words only. Additionally, the Secret
  199.      Service denies the deletion of any information seized with two
  200.      exceptions of "sensitive" or "illegal" information, the deletion of
  201.      which was consented to by Steve Jackson.     However, the
  202.      preponderance of the evidence, including common sense 5,
  203.      establishes that the Secret Service personnel or its delegates did
  204.      read all electronic communications seized and did delete certain
  205.      information and communications in addition to the two documents
  206.      admitted deleted. The deletions by the Secret Service, other than
  207.      the two documents consented to by Steve Jackson, were done without
  208.      consent and cannot be justified..."
  209.  
  210. Judge Sparks makes it clear that reading and deleting electronic
  211. communications "cannot be justified."
  212.  
  213.      "...Elizabeth McCoy, Walter Milliken and Steffan O'Sullivan also
  214.      allege compensatory damages. These Plaintiffs all had stored
  215.      electronic communications, or E-mail, on the Illuminati bulletin
  216.      board at the time of seizure. All three of these Plaintiffs
  217.      testified that they had public and private communications in
  218.      storage at the time of the seizure. Steve Jackson, Elizabeth McCoy,
  219.      Walter Milliken and Steffan O'Sullivan all testified that
  220.      following June of 1990 some of their stored electronic
  221.      communications, or E-mail, had been deleted.  It is clear, as
  222.      hereinafter set out, that the conduct of the United States Secret
  223.      Service violated two of the three statutes which the causes of
  224.      action of the Plaintiffs are based and, therefore, there are
  225.      statutory damages involved, but the Court declines to find from a
  226.      preponderance of the evidence that any of the individual Plaintiffs
  227.      sustained any compensatory damages..."
  228.  
  229. The folks above who were rewarded statutory damages had both "public and
  230. private" stored communications. Judge Sparks does not make a distinction
  231. in his awarding statutory damages between "public" or "private"
  232. communications.
  233.  
  234.      "...destruction in some manner. Notwithstanding that any alteration
  235.      or destruction by Blankenship, Steve Jackson, or anyone else would
  236.      constitute a criminal offense under this statute, Foley and the
  237.      Secret Service seized -- not just obtained disclosure of the
  238.      content -- all of the electronic communications stored in the
  239.      Illuminati bulletin board involving the Plaintiffs in this case.
  240.      This conduct exceeded the Government's authority under the
  241.      statute."
  242.  
  243.      "The Government Defendants contend there is no liability for
  244.      alleged violation of the statute as Foley and the Secret Service
  245.      had a "good faith" reliance on the February 28, 1990, court
  246.      order/search warrant. The Court declines to find this defense by a
  247.      preponderance of the evidence in this case."
  248.  
  249.      "Steve Jackson Games, Incorporated, as the provider and each
  250.      individual Plaintiffs as either subscribers or customers were
  251.      "aggrieved" by the conduct of the Secret Service in the violation
  252.      of this statute.  While the Court declines to find from a
  253.      preponderance of the credible evidence the compensatory damages
  254.      sought by each Plaintiff, the Court will assess the statutory
  255.      damages of $1,000.00 for each Plaintiff..."
  256.  
  257. Sam Sparks, the United States District Judge who heard this case made it
  258. clear that the Secret Service was not acting properly when it seized,
  259. read and deleted stored electronic communications. And that "anyone else"
  260. doing it "...would constitute a criminal offense under this statute."
  261.  
  262. Early in the opinion it was established that a BBS was indeed a "remote
  263. computing service" in part:
  264.  
  265.      "...of the law's applicability under the facts of this case. Steve
  266.      Jackson Games, Inc., through its Illuminati bulletin board
  267.      services, was a "remote computing service" within the definition of
  268.      Section 2711, and, therefore, the only procedure available to the
  269.      Secret Service to obtain "disclosure" of the contents of electronic
  270.      communications was to comply with this statute. See,  18 U.S.C. 2
  271.      7 0 3 . Agent Foley and the Secret Service, however, wanted more
  272.      electronic communications, both public and private. A court order
  273.      for such disclosure is only to issue if "there is a reason to
  274.      believe the contents of a[n] . . . electronic communication . are
  275.      relevant to a legitimate law enforcement inquiry." See, 18 U.S.C.
  276.      S 2703(d). Agent Foley did not advise the United States
  277.      Magistrate..."
  278.  
  279. And it's very clear that Judge Sparks considered both "public" and
  280. "private" communications in his opinion. Sysops need to understand
  281. that case law is very limited at this point because of the infancy
  282. of computer email communications. However both private and public
  283. communication were considered under the ECPA. In addition, the opinion
  284. makes clear also that a BBS is indeed a "remote computing service" as
  285. defined in the ECPA. The above case is a "beacon" of light in a
  286. formerly gray area according to an un-official statement from the
  287. Florida Department of Law Enforcement (FDLE), Computer Crimes
  288. Division. In my conversation with Jeff Herig he made it clear that
  289. the Steve Jackson Games case is the model case they are training
  290. their officers on.
  291. ===
  292. 4:10 p.m. Brriinngg!
  293.  
  294. UNITED STATES DEPARTMENT of JUSTICE, CRIMINAL CRIMES DIVISION.
  295.  
  296. Notes: Dan Schneider returns my call and offers once again, in a very general
  297. way, that I am being correct in my assumption that should an individual
  298. be able to show that they have a reasonable expectation of privacy, an
  299. individual may find relief in the Fourth Amendment and further in the
  300. ECPA of 1986. He stresses that he simply cannot be responsible for
  301. providing specific legal advice. But he allowed that both he and his
  302. superior thought that I was considering the options correctly. An
  303. analogy agreed upon was of a locked office drawer of an employee. In an
  304. office desk there may be drawers normally locked and unlocked. The
  305. unlocked drawers may be accessed by employees in the office so a lowered
  306. expectation of privacy would be implied. A drawer normally locked
  307. however may infer a much greater expectation of privacy because of the
  308. severely limited access. The same would hold true for items marked
  309. "secret" or "confidential" and there was general agreement that the
  310. analogy would hold true for encrypted data. Dan informed me that the
  311. Justice Department is relying on the opinions so far rendered. This
  312. should tell the average sysop that adherence to the ECPA would be a good
  313. idea. Dan also thought that there may be an appeal on file in the Steve
  314. Jackson Games suit.
  315.  
  316. ===
  317. 4:30 p. m.
  318.  
  319.      UNITED STATES DISTRICT COURT WESTERN DISTRICT OF TEXAS,
  320.      AUSTIN DIVISION............................(512) 482-5896
  321.  
  322. A spokeswoman confirmed that Steve Jackson Games indeed has
  323. an open appeal in the case.
  324.  
  325. ===
  326. Another earlier case relating to the ECPA of 1986 and its application
  327. was an action against Alcor Life Extension Foundation in California. They
  328. were running a BBS for clients and prospective clients in the Cryogenics
  329. business. The case was settled out of court but did produce a motion for
  330. dismissal.
  331.  
  332. The case consisted of in part the following:
  333.  
  334.      "...4.  On or about January 11, 1990, plaintiffs commenced civil
  335.      action No. SAC 90-021js in the United States District Court, Santa
  336.      Ana ("the Action"), against the defendants for injuries and damages
  337.      allegedly suffered as a result of the defendants' seizure of
  338.      plaintiff's E-mail..."
  339.  
  340. The prosecution contended that their warrant did not have to comply with
  341. the ECPA because the scope of the warrant broadly covered BBS computer
  342. equipment and its contents which they felt was sufficient, in lieu of
  343. that defense they felt that a "good faith" reliance on the warrant as
  344. issued was worthy of a dismissal. While leaving the question open to
  345. further consideration, Judge Letts issued the following in reference to:
  346.  
  347.      "...MOTION TO DISMISS COMPLAINT FOR DECLARATORY RELIEF AND DAMAGES
  348.      (ELECTRONIC COMMUNICATIONS PRIVACY ACT OF 1986; U.S.C. Section
  349.      2701, et seq.)..."
  350.  
  351.      "...The Motion of defendants to dismiss plaintiffs' complaint for
  352.      came on for hearing regularly on May 14, 1990."
  353.  
  354.      "Defendants moved to dismiss on the grounds that the complaint
  355.      failed to state a claim pursuant to Federal Rule of Civil Procedure
  356.      12(b)6.  Defendants asserted that, as a matter of law, no violation of
  357.      the Electronic Communication Privacy Act of 1986, 18 U.S.C section 2701,
  358.      et seq. occurred, or, alternately, that defendants are entitled to
  359.      dismissal due to their good faith reliance on a facially valid search
  360.      warrant."
  361.  
  362.      "Having reviewed the papers filed in connection with this matter,
  363.      having heard oral argument, and being fully apprised of the relevant
  364.      facts and law,
  365.  
  366.      IT IS HEREBY ORDERED that the Motion of defendants to dismiss the
  367.      complaint is DENIED.  Said denial shall be without prejudice should
  368.      defendants wish to raise these same issues later in these
  369.      proceeding."
  370.  
  371.      IT IS SO ORDERED.
  372.  
  373.      DATED:  May 18, 1990
  374.  
  375.      [signed]
  376.  
  377.      J. Spencer Letts
  378.      United States District Judge
  379. ===
  380. 6:07 p.m.
  381.  
  382. Conclusions
  383.  
  384. It is clear that there are many remaining questions about specific
  385. applications of the ECPA. It is equally clear that authorities to the
  386. highest level consider the Steve Jackson Games case to be of
  387. considerable import when dealing with stored electronic communications.
  388.  
  389. Those in FidoNet who believe that the ECPA does not apply to them may
  390. take heed to Judge Sparks ruling that makes no distinction between
  391. public and private email communications. The statutory award made to the
  392. folks whose email was read and deleted offers evidence of this.
  393.  
  394. Further, the Alcor case, while not offering a precedent, did deny a
  395. motion to dismiss based on the defendants claim that the ECPA did not
  396. apply. Early on offering evidence that the judiciary considers BBS
  397. electronic communications protected under the ECPA.
  398.  
  399. Some have said that there is no private communication within FidoNet. Even
  400. International FidoNet policy allows for different levels of expectations
  401. when considering email privacy. In my view, based on the information
  402. that I have gathered and presented here, unless a sysop opens any and
  403. all communications to any caller or user, some level of the ECPA would
  404. come into play.
  405.  
  406. The rapid advance of technology has made it possible and even likely
  407. that FidoNet sysops have some kind of message conferences that are not
  408. intended for the general public. Attempting to use FidoNet policy to
  409. circumvent US Constitutional protections that can only be waived with a
  410. legal signature is sheer folly. It is generally and widely accepted that
  411. you cannot give up Constitutional rights without a signed document that
  412. specifies exactly what rights you are giving up. Based on everything I
  413. have learned, it is my belief that the ECPA in its application so far is
  414. doing what it is intended to do. That is, it provides some measure of
  415. protection for electronic stored and forwarded communications. Indeed
  416. instead of being a bane it is a boon for sysops. Much of the Steve Jacksons
  417. Games case by the US Secret Service was based on what a Secret Service
  418. Agent saw at log on:
  419.  
  420.      "...The only information Agent Foley had regarding Steve Jackson
  421.      Games, Inc. and Steve Jackson was that he thought this was a
  422.      company that put out games, but he also reviewed a printout of
  423.      Illuminati on February 25, 1990, which read, "Greetings, Mortal!
  424.      You have entered the secret computer system of the Illuminati, the
  425.      on-line home of the world's oldest and largest secret conspiracy.
  426.      5124474449300/1200/2400BAUD fronted by Steve Jackson Games,
  427.      Incorporated. Fnord. " The evidence in this case strongly suggests
  428.      Agent Foley, without any further investigation, misconstrued this
  429.      information to believe the Illuminati bulletin board was similar in
  430.      purpose to Blankenship's Phoenix bulletin board, which provided
  431.      information to and was used by "hackers..."
  432.  
  433. I suspect that those who are so quick to contend that the ECPA has no
  434. effect on their system would perhaps even more quickly, change their
  435. position should they find themselves in similar circumstances.
  436.  
  437. And finally it was noted by each party that I contacted; Any policy made
  438. by any organization simply CANNOT ignore federal law. In the words of
  439. one person consulted, if the Contitutional test of reasonable
  440. expectation of privacy was applied and found to have merit, an internal
  441. policy "would not mean spit."
  442.  
  443. CAUTION: I am not an attorney. The above is presented as information
  444. only and all readers are advised to seek legal counsel in their
  445. jurisdiction for specific advice.
  446.  
  447. -end ECPAFIDO.TXT-
  448.  
  449. That is about all the time I am going to spend on it. If anyone would care to
  450. further the debate the issue, with factual references such as I have provided, 
  451. instead of simply saying the ECPA can't be applied, I will be happy to 
  452. participate.
  453.  
  454.    michael.hess@f48.n375.z1.fidonet.org
  455.  
  456.  == It was 8", then 5¼" now 3½"... play with it some more.
  457.  
  458. --- Golded 2.42 1635US1 via D'Bridge 003179 ---
  459.  * Origin: BBSNEWS * Lake Jordan, Alabama * USR 16.8 205-567-9310 (1:375/48)
  460.  
  461.  
  462.