home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / cud4 / cud408.txt < prev    next >
Text File  |  1992-11-05  |  52KB  |  895 lines

  1.  
  2.  
  3. Computer underground Digest    Fri, Feb 21, 1992   Volume 4 : Issue 08
  4.  
  5.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  6.        Associate Editor: Etaion Shrdlu
  7.  
  8. CONTENTS, #4.08 ( Feb 21, 1992)
  9. File 1--"Computer down-underground Digest (CDUGD)
  10. File 2--CuD articles on Craig Neidorf's legal expenses
  11. File 3--Update Of Info. In 2/5/92 Newsbytes Article On BBS Phone Rates
  12. File 4--FULL TEXT: Calif. data-priv/comp.crime bill
  13.  
  14. Issues of CuD can be found in the Usenet alt.society.cu-digest news
  15. group, on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of LAWSIG,
  16. and DL0 and DL12 of TELECOM, on Genie, on the PC-EXEC BBS at (414)
  17. 789-4210, and by anonymous ftp from ftp.cs.widener.edu (147.31.254.132),
  18. chsun1.spc.uchicago.edu, and ftp.ee.mu.oz.au.  To use the U. of
  19. Chicago email server, send mail with the subject "help" (without the
  20. quotes) to archive-server@chsun1.spc.uchicago.edu.
  21. NOTE: THE WIDENER SITE IS TEMPORARILY RE-ORGANIZING AND IS CURRENTLY
  22. DIFFICULT TO ACCESS. FTP-ERS SHOULD USE THE ALTERNATE FTP SITES UNTIL
  23. FURTHER NOTICE.
  24.  
  25. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  26. information among computerists and to the presentation and debate of
  27. diverse views.  CuD material may  be reprinted as long as the source
  28. is cited.  Some authors do copyright their material, and they should
  29. be contacted for reprint permission.  It is assumed that non-personal
  30. mail to the moderators may be reprinted unless otherwise specified.
  31. Readers are encouraged to submit reasoned articles relating to the
  32. Computer Underground.  Articles are preferred to short responses.
  33. Please avoid quoting previous posts unless absolutely necessary.
  34.  
  35. DISCLAIMER: The views represented herein do not necessarily represent
  36.             the views of the moderators. Digest contributors assume all
  37.             responsibility for ensuring that articles submitted do not
  38.             violate copyright protections.
  39.  
  40. ----------------------------------------------------------------------
  41.  
  42. Date: Sun Feb 16 08:28:41 1992 GMT
  43. From: aaron@NACJACK.GEN.NZ
  44. Subject: "Computer down-underground Digest" (CDUGD)
  45.  
  46. Hello from New Zealand!  A few friends and I are starting up an
  47. electronic publication similar to CuD to be called 'Computer - Down -
  48. Under Ground Digest' (CDUGD). Its content will be similar to that of CuD,
  49. but it will mainly deal with computing issues in New Zealand.
  50.  
  51. Since there has been some interest from outside of New Zealand, CDUGD
  52. will be available for reading on the alt.hackers Usenet newsgroup.
  53.  
  54. Please send any suggestions/comments to: aaron@nacjack.gen.nz
  55.  
  56. Aaron Schiff
  57. Editor, CDUGD
  58.  
  59. ((Moderators' note: Aaron asked if we minded the similarity between
  60. the title of his project and CuD. We have no objections, and wish him
  61. well in his endeavor)).
  62.  
  63. ------------------------------
  64.  
  65. Date: Tue, 18 Feb 92 22:13:31 EST
  66. From: Keith Moore <moore@CS.UTK.EDU>
  67. Subject: CuD articles on Craig Neidorf's legal expenses
  68.  
  69. I have read repeated pleas on various networked discussion groups for
  70. readers to help defray Craig's legal expenses.  While I sympathize
  71. with his position and am in fact willing to help, I'm sure many of the
  72. readers would like to know what all of that money was spent for.  I
  73. want to help Craig, but I don't like the idea of giving over money to
  74. lawyers.  The high price of legal help is arguably as much of the
  75. problem as the reckless disregard for law and due process demonstrated
  76. by the government.
  77.  
  78. Also, why are we asked to send money directly to the law firm that
  79. defended Craig, and not to Craig himself?
  80.  
  81. I'm sure I'm not the only one among your readership with these kinds
  82. of questions, and would appreciate it if you could address them in a
  83. future issue of CuD.  Perhaps the computer underground, realizing how
  84. much we are at the mercy of both lawyers and the government, would
  85. find it in its interest to act to curtail their powers.
  86.  
  87. ------------------------------
  88.  
  89. Date: Wed, 12 Feb 92 11:10:29 PDT
  90. From: lorbit!walter_s@UCBVAX.BERKELEY.EDU(Walter Scott)
  91. Subject: Update Of Info. In 2/5/92 Newsbytes Article On BBS Phone Rates
  92.  
  93.      If you do not recall, or are otherwise unaware, there is a
  94. complaint (docket #UC-205) filed before the Oregon Public Utility
  95. Commission intended to prevent US West from reclassifying BBS phone
  96. lines to business rates. SysOp Tony Wagner filed the complaint back in
  97. October. On 2/5/92, Dana Blankenhorn of Newsbytes Magazine released a
  98. story, subsequently published in Newsbytes, that covered the Wagner
  99. complaint. What follows is my own efforts to update Blankenhorn's
  100. information. Herein, find corrections of some items reported by
  101. Blankenhorn or simply left out of his article.
  102.  
  103.      Over the weekend of 2/8/92, I managed to conduct a short interview
  104. with Tony Wagner of Portland, Oregon and First Choice Communications
  105. BBS. I learned that Wagner's BBS is still online. This is contrary to
  106. my understanding of the 2/5/92 Newsbytes story by Dana Blankenhorn.
  107. Wagner's BBS is available at:
  108.  
  109. 503-297-0278
  110. 503-297-0279
  111. 503-297-0343 [RESTRICTED ACCESS]
  112.  
  113.      Wagner mentions his dispute with US West in bulletin #1 on his
  114. system. Here is full text of that bulletin.
  115.  
  116. ======================= TEXT BEGINS ===============================
  117.             Well The U.S. West phone company has decided that ALL
  118.             Phone lines that have modems on them Should be classed
  119.             As Business Lines..
  120.  
  121.             I have run a FREE Bulletin Board System for years out
  122.             of my own pocket with out ever asking users to help
  123.             pay the Cost of running the system..
  124.  
  125.             This will have to change if U.S. West has their way
  126.             So please leave me mail as to how you feel about this
  127.             better yet Call the Phone Company and tell them how you
  128.             feel..
  129.  
  130.             If this happens I will do something like a Pay system
  131.             that will cost around $1.00-3.00 Per hour depending
  132.             on what parts of the BBS you want to use The Advantage
  133.             to you will be unlimited Time on NO Time Limits If it
  134.             get to busy I will add more lines Wildcat can handle
  135.             250 Lines :-)
  136.  
  137.             I may then even add a bunch of Doors with Games Etc.
  138. ========================== TEXT ENDS ==============================
  139.  
  140.      Wagner's legal expenses were not dealt with in the manner implied
  141. by Newsbytes on 2/5/92. Although an investigation of Wagner's
  142. "Pacific Northwest Phone's" conference (the location on Wagner's system
  143. of the FidoNet PNWBELL echo) would indicate that the subject of others
  144. chipping in to pay for legal services was broached, Wagner informed me
  145. that no group of SysOps or users ever paid for, or attempted to pay
  146. Richard Samuels (Wagner's original attorney).
  147.  
  148.      Richard Samuels withdrew from Wagner's complaint filing at the
  149. Oregon Public Utility Commission shortly before a December 10 hearing
  150. date. Wagner represented himself at that hearing.
  151.  
  152.      The "Pacific Northwest Phone's" conference on First Choice
  153. Communications additionally reveals an important item of interest. It
  154. is apparent that US West and SouthWestern Bell are sharing information
  155. about disputes with BBS operators in their respective operating
  156. jurisdictions. Such is illustrated in the following message pulled from
  157. the "Pacific Northwest Phone's" conference on First Choice Communications.
  158.  
  159. =========================== TEXT BEGINS ==============================
  160.  From    : SCOTT LENT                        Number    : 223 of 241
  161. To      : ALL                               Date      : 01/10/92 11:56am
  162. Subject : a note                            Reference : NONE
  163. Read    : [N/A]                             Private   : NO
  164. Conf    : 505 - Pacific Northwest Phone's
  165.  
  166.  
  167. That may or may not be of interest to those of you serviced by US West:
  168.  
  169. A group of sysops in Missouri met with representatives from Southwestern Bell
  170. on 01/07/92 in St. Louis for the second in a series of negotiations. At the
  171. meeting, William Bailey, District Manager-Rate Administration, divulged that
  172. he had been in contact with "someone from US West," and that their
  173. conversation included discussion of their respective telephone tariffs.
  174. Specifically, he made reference to your (Oregon's) tariff wording that
  175. refers to "domestic use."
  176.  
  177. This information is two-fold.  First, you now know that your RBOC people are
  178. in contact with others about tariff wording.  Secondly, your RBOC people are
  179. aware that other RBOCs are negotiating with their consumers over regulations
  180. that affect the modeming community.
  181.  
  182. Scott
  183.  
  184. --- DB B1056/004017
  185.  * Origin: GKCSA-the ultimate bal...er...Bell buster (1:280/310)
  186. =========================== TEXT ENDS =================================
  187.  
  188.  
  189.      Wagner has retained attorney Kevin Myles to represent him in his
  190. complaint case at the Oregon Public Utility Commission. Myles has until
  191. March 3, 1992 to file a brief. A round of reply briefs, from the
  192. opposing parties in the complaint, is also possible.
  193.  
  194.                  Walter Scott
  195. --
  196. "Lightfinger" Rayek's Friendly Casino: 206/528-0948, Seattle, Washington.
  197.  
  198. ------------------------------
  199.  
  200. Date: Mon, 17 Feb 92 19:19:18 PST
  201. From: autodesk!megalon!jwarren@FERNWOOD.MPK.CA.US(Jim Warren)
  202. Subject: FULL TEXT: Calif. data-priv/comp.crime bill
  203.  
  204.    This includes the full text of legislation that was introduced Feb.
  205. 10th in the California State Senate by a senior member of that body,
  206. the Chair of the Senate Judiciary Committee, Senator Bill Lockyer of
  207. Southern Alameda County.  This copy of the bill plus staff background
  208. comments is being uploaded within days of its availability in Senate
  209. offices.
  210.  
  211. SB1447 TOPICS
  212.    Sec.1:  "Privacy Act of 1992", Senate Bill 1447 (Lockyer, Privacy)
  213.    Sec.2:  Driver's licenses: Use of human-readable and magstripe information
  214.    Sec.3:  Privacy: Rights of employees and prospective employees
  215.    Sec.4:  Computer crime laws: Modifications
  216.    Sec.5:  Automatic vehicle identification [AVI] systems: Control of uses
  217.  
  218. CONTENTS OF THIS MESSAGE                                      [words/chars]
  219.    Introductory comments and details of notation conventions     [757/5191]
  220.    Reformatted verbatim text of the Feb. 10th bill             [3227/21285]
  221.    Background notes prepared by Sen. Lockyer's assistant       [2465/15546]
  222. If printed, this would take approximately 12 pages.
  223.  
  224. REPORTEDLY A LEGISLATIVE "FIRST"
  225.    This effort in "electronic democracy" may be the first time that state
  226. legislation has been distributed online, for access by the general public,
  227. at the same time it becomes available to legislators and their staff.
  228.    A senior member of the Senate computer system's technical staff reportedly
  229. said they have never-before down-loaded a machine-readable copy of initial
  230. legislation onto a personal computer for redistribution on public computer
  231. networks.
  232.   Furthermore, Sen. Lockyer's Legislative Assistant responsible for the bill
  233. said he knows of no prior instance where legislative staff have gone online
  234. on public nets to seek citizen input and discussion about new legislation.
  235.  
  236. SOURCES OF ORIGINAL DOCUMENTS & INFORMATION
  237.    Mr. Ben Firschein is the Legislative Assistant to Sen. Lockyer who is
  238. handling this bill:
  239.       Office of Senator Bill Lockyer
  240.       Room 2032, State Capitol
  241.       Sacramento CA 95814
  242.       Mr. Firschein/916-445-6671, main number/916-445-5957, email/**
  243.    Formatted, binary, machine-readable versions of this text will be
  244. available on the WELL, the Whole Earth 'Lectronic Link.  The WELL is a public
  245. teleconferencing system located in Sausalito, California, accessible via the
  246. Internet; voice/415-332-4335, 2400-baud data/7-E-1/415-332-6106.  For read-
  247. only access instructions, SEND A REQUEST TO:  jwarren@well.sf.ca.us.
  248. ** -- Mr. Firschein will be online on the WELL within a week or so.  You may
  249. request his email address, also, from  jwarren@well.sf.ca.us.
  250. There will be four read-only files:
  251.    A.  The original file that was down-loaded from the Senate's legislative
  252. computer system in WordPerfect format on a PC-compatible diskette.
  253.    B.  The above file, converted to a Word-5.0 Macintosh format, with
  254. pagination approximating the printed copies of the bill available from the
  255. legislative offices.
  256.    C.  Background information, explanations and mention of some alternatives,
  257. prepared by Mr. Firschein, in original WordPerfect format for PC-compatibles.
  258.    D.  That backgrounder file, converted to Word-5.0 Macintosh format.
  259.  
  260. REPRESENTING LEGISLATION-IN-PROGRESS: A NOTATION PROBLEM
  261.    In the California Senate, printed legislation-in-progress uses the
  262. following conventions:
  263.   When stating new legislation, *plain-text* states PROPOSED law.
  264.   When *amending* current law, *plain-text* states the CURRENT law, and
  265. *strike-thru text* indicates current law to be deleted while *underscored* or
  266. *italicized* text represents wording to be added to those current statutes.
  267. Deletions and additions represented by strike-thru and underlining or italics
  268. *amend* current law.
  269.   But, the basic ASCII character-set -- and a great many older terminals and
  270. computer printers -- have no strike-thru, italics or underlining.  So, here
  271. is how that unavailable notation is represented in this document:
  272.     [[ annotation ]] -- explanatory comments by "uploader" Jim Warren
  273.        all capitals  -- originally bold-face text; no legislative meaning
  274.   Unless stated as amending current law:
  275.        plain-text    -- text of new legislation, proposed to be new law
  276.   When stated as amending current law:
  277.        plain-text    -- text of current law to remain unchanged
  278.     << strikethru >> -- text in current law, proposed for deletion
  279.     %% underscore %% -- text proposed to be added to current law.
  280.  
  281. THE BEGINNING ...
  282.   The introduction of this legislation in the Senate is the beginning of
  283. a lengthy process or review and revision by amendment, prior to its possible
  284. passage into law.
  285.   Please send your comments and suggestions about the legislation -- and
  286. about the Senate staff's active cooperation in making it publicly available,
  287. online -- to Mr. Firschein and Sen. Lockyer.
  288.  
  289. --Jim Warren, 345 Swett Rd., Woodside CA 94062; voice/415-851-7075,
  290.   fax/415-851-2814, email/jwarren@well.sf.ca.us -or- jwarren@autodesk.com
  291.   [ for identification purposes, only: contributing editor, MicroTimes;
  292.     Chair, First Conference on Computers, Freedom & Privacy (March, 1991);
  293.     and member, Board of Directors, Autodesk, Inc.; blah blah blah ]
  294.  
  295. ===================== verbatim text of the legislation =====================
  296.  
  297.     "THE PRIVACY ACT OF 1992"  --  CALIFORNIA STATE SENATE BILL No. 1447
  298.                         Introduced by Senator Lockyer
  299.                               February 10, 1992
  300.  
  301.  
  302.    An act to add Section 1799.4 to the Civil Code, to add Section 2805 to the
  303. Labor Code, to amend Section 502 of the Penal Code, and to amend Section
  304. 27565 of the Streets and Highways Code, relating to privacy.
  305.  
  306.  
  307.  
  308.                       LEGISLATIVE COUNSEL'S DIGEST
  309. [[**** The Legislative Counsel's Digest is NOT part of the bill.  It is
  310.   only a summary prepared by the legislature's legal counsel. ****]]
  311.  
  312.    SB 1447, as introduced, Lockyer.  Privacy.
  313.    (1) Existing law prohibits the disclosure of specified information by
  314. business entities which perform bookkeeping services and by persons providing
  315. video cassette sales or rental services.
  316.    This bill would provide that a business entity that obtains information
  317. from a consumer's driver's license or identification card shall not sell the
  318. information or use it to advertise goods or services, without consent.
  319.    (2) Existing law prohibits employers from making or enforcing rules or
  320. policies forbidding or preventing employees from engaging or participating in
  321. politics, and from controlling the political activities or affiliations of
  322. employees.
  323.    This bill would provide that any employer shall be liable to an employee
  324. or prospective employee for damages caused by subjecting the employee to
  325. discipline or discharge, or denying employment to a prospective employee, on
  326. account of the exercise by that person of privacy rights guaranteed by the
  327. California Constitution.
  328.    (3) Existing law sets forth definitions and penalties for specified
  329. computer-related crimes.
  330.    This bill would require the owner or lessee of any computer, computer
  331. system, computer network, computer program, or data, as specified, to report
  332. to a local law enforcement agency any known violations of the provisions
  333. described above.  The bill would also provide that any person who recklessly
  334. stores or maintains data in a manner which enables a person to commit acts
  335. leading to a felony conviction under the provisions described above, shall be
  336. liable to each injured party for a specified civil penalty.  The bill would
  337. make related changes.
  338.    (4) Existing law requires the Department of Transportation to develop and
  339. adopt functional specifications and standards for an automatic vehicle
  340. identification system to be used in toll facilities, as specified.
  341.    This bill would provide that a vehicle owner shall have the choice of
  342. being billed after using the facility, or of prepaying tolls, in which case
  343. the department or any privately owned entity operating a toll facility shall
  344. issue an account number to the vehicle owner which is not derived from the
  345. vehicle owner's name, address, social security number, or specified other
  346. sources, and would prohibit the keeping of any record of this information.
  347.    Vote:  majority.    Appropriation:  no.    Fiscal committee:  yes.
  348. State-mandated local program:  no.
  349.  
  350.  
  351.  
  352.  THE PEOPLE OF THE STATE OF CALIFORNIA DO ENACT AS FOLLOWS:
  353.  
  354.   SECTION 1. This act shall be known and may be cited as the Privacy Act of
  355. 1992.
  356.   SEC. 2. Section 1799.4 is added to the Civil Code, to read:
  357.    1799.4.  A business entity that obtains information from a consumer's
  358. driver's license or identification card for its business records or for other
  359. purposes shall not sell the information or use it to advertise goods or
  360. services, without the written consent of the consumer.
  361.   SEC. 3. Section 2805 is added to the Labor Code, to read:
  362.    2805.  (a) Any employer, including any state or local governmental entity
  363. or instrumentality thereof, shall be liable to an employee or prospective
  364. employee for damages caused by either of the following:
  365.    (1) Subjecting the employee to discipline or discharge on account of the
  366. exercise by the employee of privacy rights guaranteed by Section 1 of Article
  367. I of the California Constitution, provided the activity does not
  368. substantially interfere with the employee's bona fide job performance or
  369. working relationship with the employer.
  370.    (2) Denying employment to a prospective employee on account of the
  371. prospective employee's exercise of privacy rights guaranteed by Section 1 of
  372. Article I of the California Constitution.
  373.    (b) Damages awarded pursuant to this section may include punitive damages,
  374. and reasonable attorney's fees as part of the costs of the action. If the
  375. court decides that an action for damages was brought without substantial
  376. justification, the court may award costs and reasonable attorney's fees to
  377. the employer.
  378.   SEC. 4. Section 502 of the Penal Code is amended to read:
  379. [[**** Note that this would AMEND current law. ****]]
  380.    502.  (a) It is the intent of the Legislature in enacting this section to
  381. expand the degree of protection afforded to individuals, businesses, and
  382. governmental agencies from tampering, interference, damage, and unauthorized
  383. access to lawfully created computer data and computer systems.  The
  384. Legislature finds and declares that the proliferation of computer technology
  385. has resulted in a concomitant proliferation of computer crime and other forms
  386. of unauthorized access to computers, computer systems, and computer data.
  387.    The Legislature further finds and declares that protection of the
  388. integrity of all types and forms of lawfully created computers, computer
  389. systems, and computer data is vital to the protection of the privacy of
  390. individuals as well as to the well-being of financial institutions, business
  391. concerns, governmental agencies, and others within this state that lawfully
  392. utilize those computers, computer systems, and data.
  393.    (b) For the purposes of this section, the following terms have the
  394. following meanings:
  395.    (1) "Access" means to gain entry to, instruct, or communicate with the
  396. logical, arithmetical, or memory function resources of a computer, computer
  397. system, or computer network.
  398.    (2) "Computer network" means any system which provides communications
  399. between one or more computer systems and input/output devices including, but
  400. not limited to, display terminals and printers connected by telecommunication
  401. facilities.
  402.    (3) "Computer program or software" means a set of instructions or
  403. statements, and related data, that when executed in actual or modified form,
  404. cause a computer, computer system, or computer network to perform specified
  405. functions.
  406.    (4) "Computer services" includes, but is not limited to, computer time,
  407. data processing, or storage functions, or other uses of a computer, computer
  408. system, or computer network.
  409.    (5) "Computer system" means a device or collection of devices, including
  410. support devices and excluding calculators which are not programmable and
  411. capable of being used in conjunction with external files, one or more of
  412. which contain computer programs, electronic instructions, input data, and
  413. output data, that performs functions including, but not limited to, logic,
  414. arithmetic, data storage and retrieval, communication, and control.
  415.    (6) "Data" means a representation of information, knowledge, facts,
  416. concepts, computer software, computer programs or instructions.  Data may be
  417. in any form, in storage media, or as stored in the memory of the computer or
  418. in transit or presented on a display device.
  419.    (7) "Supporting documentation" includes, but is not limited to, all
  420. information, in any form, pertaining to the design, construction,
  421. classification, implementation, use, or modification of a computer, computer
  422. system, computer network, computer program, or computer software, which
  423. information is not generally available to the public and is necessary for the
  424. operation of a computer, computer system, computer network, computer program,
  425. or computer software.
  426.    (8) "Injury" means any alteration, deletion, damage, or destruction of a
  427. computer system, computer network, computer program, or data caused by the
  428. access.
  429.    (9) "Victim expenditure" means any expenditure reasonably and necessarily
  430. incurred by the owner or lessee to verify that a computer system, computer
  431. network, computer program, or data was or was not altered, deleted, damaged,
  432. or destroyed by the access.
  433.    (10) "Computer contaminant" means any set of computer instructions that
  434. are designed to modify, damage, destroy, record, or transmit information
  435. within a computer, computer system, or computer network without the intent or
  436. permission of the owner of the information.  They include, but are not
  437. limited to, a group of computer instructions commonly called viruses or
  438. worms, which are self-replicating or self-propagating and are designed to
  439. contaminate other computer programs or computer data, consume computer
  440. resources, modify, destroy, record, or transmit data, or in some other
  441. fashion usurp the normal operation of the computer, computer system, or
  442. computer network.
  443.    (c) Except as provided in subdivision (h), any person who commits any of
  444. the following acts is guilty of a public offense:
  445.    (1) Knowingly accesses and without permission alters, damages, deletes,
  446. destroys, or otherwise uses any data, computer, computer system, or computer
  447. network in order to either (A) devise or execute any scheme or artifice to
  448. defraud, deceive, or extort, or (B) wrongfully control or obtain money,
  449. property, or data.
  450.    (2) Knowingly accesses and without permission takes, copies, or makes use
  451. of any data from a computer, computer system, or computer network, or takes
  452. or copies any supporting documentation, whether existing or residing internal
  453. or external to a computer, computer system, or computer network.
  454.    (3) Knowingly and without permission uses or causes to be used computer
  455. services.
  456.    (4) Knowingly accesses and without permission adds, alters, damages,
  457. deletes, or destroys any data, computer software, or computer programs which
  458. reside or exist internal or external to a computer, computer system, or
  459. computer network.
  460.    (5) Knowingly and without permission disrupts or causes the disruption of
  461. computer services or denies or causes the denial of computer services to an
  462. authorized user of a computer, computer system, or computer network.
  463.    (6) Knowingly and without permission provides or assists in providing a
  464. means of accessing a computer, computer system, or computer network in
  465. violation of this section.
  466.    (7) Knowingly and without permission accesses or causes to be accessed any
  467. computer, computer system, or computer network.
  468.    (8) Knowingly introduces any computer contaminant into any computer,
  469. computer system, or computer network.
  470.    (d) (1) Any person who violates any of the provisions of paragraph (1),
  471. (2), (4), or (5) of subdivision (c) is punishable by a fine not exceeding ten
  472. thousand dollars ($10,000), or by imprisonment in the state prison for 16
  473. months, or two or three years, or by both that fine and imprisonment, or by a
  474. fine not exceeding five thousand dollars ($5,000), or by imprisonment in the
  475. county jail not exceeding one year, or by both that fine and imprisonment.
  476.    (2) Any person who violates paragraph (3) of subdivision (c) is punishable
  477. as follows:
  478.    (A) For the first violation which does not result in injury, and where the
  479. value of the computer services used does not exceed four hundred dollars
  480. ($400), by a fine not exceeding five thousand dollars ($5,000), or by
  481. imprisonment in the county jail not exceeding one year, or by both that fine
  482. and imprisonment.
  483.    (B) For any violation which results in a victim expenditure in an amount
  484. greater than five thousand dollars ($5,000) or in an injury, or if the value
  485. of the computer services used exceeds four hundred dollars ($400), or for any
  486. second or subsequent violation, by a fine not exceeding ten thousand dollars
  487. ($10,000), or by imprisonment in the state prison for 16 months, or two or
  488. three years, or by both that fine and imprisonment, or by a fine not
  489. exceeding five thousand dollars ($5,000), or by imprisonment in the county
  490. jail not exceeding one year, or by both that fine and imprisonment.
  491.    (3) Any person who violates paragraph (6), (7), or (8) of subdivision (c)
  492. is punishable as follows:
  493.    (A) For a first violation which does not result in injury, an infraction
  494. punishable by a fine not exceeding two hundred fifty dollars ($250).
  495.    (B) For any violation which results in a victim expenditure in an amount
  496. not greater than five thousand dollars ($5,000), or for a second or
  497. subsequent violation, by a fine not exceeding five thousand dollars ($5,000),
  498. or by imprisonment in the county jail not exceeding one year, or by both that
  499. fine and imprisonment.
  500.    (C) For any violation which results in a victim expenditure in an amount
  501. greater than five thousand dollars ($5,000), by a fine not exceeding ten
  502. thousand dollars ($10,000), or by imprisonment in the state prison for 16
  503. months, or two or three years, or by both that fine and imprisonment, or by a
  504. fine not exceeding five thousand dollars ($5,000), or by imprisonment in the
  505. county jail not exceeding one year, or by both that fine and imprisonment.
  506.  
  507. [[**** Use of << STRIKETHRU >> and %% UNDERSCORE %% begins, hereafter. ****]]
  508.  
  509.    (e) (1) In addition to any other civil remedy available, %% any injured
  510. party, including but not limited to %% the owner or lessee of the
  511. computer, computer system, computer network, computer program, or data may
  512. bring a civil action against any person convicted under this section for
  513. compensatory damages, including %% consequential or incidental damages.  In
  514. the case of the owner or lessee of the computer, computer system, computer
  515. network, computer program, or data, damages may include, but are not limited
  516. to,%% any expenditure reasonably and necessarily incurred by the owner or
  517. lessee to verify that a computer system, computer network, computer program,
  518. or data was or was not altered, damaged, or deleted by the access.  << For >>
  519. [[**** Yes, that was a struck-thru "For" ending that paragraph. ****]]
  520.    %% (2) Any person who recklessly stores or maintains data in a manner
  521. which enables a person to commit acts leading to a felony conviction under
  522. this section shall be liable to each injured party for a civil penalty of ten
  523. thousand dollars ($10,000), up to a maximum of fifty thousand dollars
  524. ($50,000).  Failure to report a previous violation of this section to a local
  525. law enforcement agency pursuant to subdivision (f) may constitute evidence of
  526. recklessness %%
  527.    %% (3) For %% the purposes of actions authorized by this subdivision, the
  528. conduct of an unemancipated minor shall be imputed to the parent or legal
  529. guardian having control or custody of the minor, pursuant to the provisions
  530. of Section 1714.1 of the Civil Code.
  531.    << (2) >>
  532.    %% (4) %% In any action brought pursuant to this subdivision the court may
  533. award reasonable attorney's fees to a prevailing party.
  534.    << (3) >>
  535.    %% (5) %% A community college, state university, or academic institution
  536. accredited in this state is required to include computer-related crimes as a
  537. specific violation of college or university student conduct policies and
  538. regulations that may subject a student to disciplinary sanctions up to and
  539. including dismissal from the academic institution.  This paragraph shall not
  540. apply to the University of California unless the Board of Regents adopts a
  541. resolution to that effect.
  542.    (f) %% The owner or lessee of any computer, computer system, computer
  543. network, computer program, or data shall report to a local law enforcement
  544. agency, including the police, sheriff, or district attorney, any known
  545. violations of this section involving the owner or lessee's computer, computer
  546. system, computer network, computer program, or data.  The reports shall be
  547. made within 60 days after the violations become known to the owner or
  548. lessee. %%
  549.    %% (g) %% This section shall not be construed to preclude the
  550. applicability of any other provision of the criminal law of this state which
  551. applies or may apply to any transaction, nor shall it make illegal any
  552. employee labor relations activities that are within the scope and protection
  553. of state or federal labor laws.
  554.    << (g) >>
  555.    %% (h) %% Any computer, computer system, computer network, or any software
  556. or data, owned by the defendant, which is used during the commission of any
  557. public offense described in subdivision (c) or any computer, owned by the
  558. defendant, which is used as a repository for the storage of software or data
  559. illegally obtained in violation of subdivision (c) shall be subject to
  560. forfeiture, as specified in Section 502.01.
  561.    << (h) >>
  562.    %% (i) %% (1) Subdivision (c) does not apply to any person who accesses
  563. his or her employer's computer system, computer network, computer program, or
  564. data when acting within the scope of his or her lawful employment.
  565.    (2) Paragraph (3) of subdivision (c) does not apply to any employee who
  566. accesses or uses his or her employer's computer system, computer network,
  567. computer program, or data when acting outside the scope of his or her lawful
  568. employment, so long as the employee's activities do not cause an injury, as
  569. defined in paragraph (8) of subdivision (b), to the employer or another, or
  570. so long as the value of  supplies and computer services, as defined in
  571. paragraph (4) of subdivision (b), which are used do not exceed an accumulated
  572. total of one hundred dollars ($100).
  573.    << (i) >>
  574.    %% (j) %% No activity exempted from prosecution under paragraph (2) of
  575. subdivision << (h) >> %% (i) %% which incidentally violates paragraph (2),
  576. (4), or (7) of subdivision (c) shall be prosecuted under those paragraphs.
  577.    << (j) >>
  578.    %% (k) %% For purposes of bringing a civil or a criminal action under this
  579. section, a person who causes, by any means, the access of a computer,
  580. computer system, or computer network in one jurisdiction from another
  581. jurisdiction is deemed to have personally accessed the computer, computer
  582. system, or computer network in each jurisdiction.
  583.    << (k) >>
  584.    %% (l) %% In determining the terms and conditions applicable to a person
  585. convicted of a violation of this section the court shall consider the
  586. following:
  587.    (1) The court shall consider prohibitions on access to and use of
  588. computers.
  589.    (2) Except as otherwise required by law, the court shall consider
  590. alternate sentencing, including community service, if the defendant shows
  591. remorse and recognition of the wrongdoing, and an inclination not to repeat
  592. the offense.
  593.  
  594.   SEC. 5. Section 27565 of the Streets and Highways Code is amended to read:
  595. [[** NOTE: This is another amendment, with strikethrus and underscores. **]]
  596.    27565.  (a) The Department of Transportation, in cooperation with the
  597. district and all known entities planning to implement a toll facility in this
  598. state, shall develop and adopt functional specifications and standards for an
  599. automatic vehicle identification system, in compliance with the following
  600. objectives:
  601.    (1) In order to be detected, the driver shall not be required to reduce
  602. speed below the applicable speed for the type of facility being used.
  603.    (2) The vehicle owner shall not be required to purchase or install more
  604. than one device to use on all toll facilities, but may be required to have a
  605. separate account or financial arrangement for the use of these facilities.
  606.    (3) The facility operators shall have the ability to select from different
  607. manufacturers and vendors.   The specifications and standards shall encourage
  608. multiple bidders, and shall not have the effect of limiting the facility
  609. operators to choosing a system which is able to be supplied by only one
  610. manufacturer or vendor.
  611.    (b) %% The vehicle owner shall have the choice of prepaying tolls, or
  612. being billed after using the facility.  If the vehicle owner prepays tolls:
  613.    (1) The department or any privately owned entity operating a toll facility
  614. shall issue an account number to the vehicle owner. The account number shall
  615. not be derived from the vehicle owner's name, address, social security
  616. number, or driver's license number, or the vehicle's license number, vehicle
  617. identification number, or registration.
  618.    (2) Once an account has been established and an account number has been
  619. given to the vehicle owner, neither the department nor the privately owned
  620. facility shall keep any record of the vehicle owner's name, address, social
  621. security number, or driver's license number, or the vehicle's license number,
  622. vehicle identification number, or registration.
  623.    (3) The vehicle owner may make additional prepayments by specifying the
  624. account number and furnishing payment. %%
  625.    %% (c) %% Any automatic vehicle identification system purchased or
  626. installed after January 1, 1991, shall comply with the specifications and
  627. standards adopted pursuant to subdivision (a).
  628.    %% (d) Any automatic vehicle identification system purchased or installed
  629. after January 1, 1993, shall comply with the specifications and standards
  630. adopted pursuant to subdivisions (a) and (b). %%
  631.  
  632.            [[**** END OF SB 1447, DATED FEBRUARY 10, 1992 ****]]
  633.  
  634. =============== background comments by legislative assistant ===============
  635.  
  636.  
  637. [[**** In this section, since underlining is for emphasis, only, and has no
  638. legal meaning, I changed Mr. Firschein's underlined text to all-caps. ****]]
  639.  
  640.                        California State Senate
  641.                             Bill Lockyer
  642.                       Tenth Senatorial District
  643.                        Southern Alameda County
  644.                            State Capitol
  645.                     Sacramento, California 95814
  646.                            (916)445-6671
  647.  
  648. TO: Interested parties
  649. FROM: Ben Firschein, Senator Lockyer's Office
  650. DATE: February 14, 1992
  651.  
  652. RE: BACKGROUND INFORMATION ON SB 1447 (LOCKYER, PRIVACY)
  653.    You should have received a copy of SB 1447 (Lockyer, Privacy) in the mail
  654. recently.  Senator Lockyer introduced the bill in an effort to address some
  655. of the concerns raised at the privacy hearing on December 10, 1991.
  656.    This memorandum is intended to explain the intent of the various sections
  657. of the bill, but it is not a committee analysis.
  658.    (A committee analysis will be forthcoming at a later date, when the bill
  659. is set for a hearing).  We welcome suggestions as to how to clarify the
  660. language of the bill, or otherwise improve the bill.
  661.  
  662.  
  663. SECTION 1: CITATION
  664.    The bill may be cited as the "Privacy Act of 1992"
  665.  
  666. SECTION 2: INFORMATION OBTAINED FROM DRIVER'S LICENSES
  667.    This section requires the written consent of a consumer for a business
  668. entity to (1) sell information obtained from the consumer's driver's license
  669. or (2) use such information to advertise goods or services.
  670.    The section is intended to cover instances where a consumer presents a
  671. driver's license or identification card for identification purposes during a
  672. business transaction.  The section is not intended to prevent businesses from
  673. using driver's license information for business record-keeping, or for other
  674. purposes related to the transaction (i.e. authorizing a transaction).
  675.    The section is not intended to change existing law with respect to the
  676. ability of businesses to obtain driver's license information from other
  677. sources (such as DMV records).
  678.    The need for this section is heightened by the new "magstripe" drivers
  679. license developed by the Department of Motor Vehicles.  This license has a
  680. magnetic stripe on the back which contains much of the information on the
  681. front of the license.  The stripe will enable a business entity to store
  682. information contained on a driver's license simply by scanning the card
  683. through a reader.
  684.    A publication by the Department of Motor Vehicles dated May 1991
  685. ("Department of Motor Vehicles Magnetic Stripe Drivers License/Identification
  686. Card") states that "using point of sale (POS) readers and printers, the
  687. business community can electronically record the DL [driver's license] /ID
  688. number on receipts and business records."  The publication notes that
  689. "magnetic stripe readers are readily available, relatively low in cost, and
  690. are already available in many retail outlets."
  691.    However, a merchant might access much more than the driver's license/ID
  692. number; the publication notes that "readers have been produced, and market
  693. available readers can be modified that will read the three tracks of
  694. information contained on the California card."  According to the publication,
  695. the tracks contain information such as license type, name, address, sex,
  696. hair-color, eye-color, height, weight, restrictions, issue date.
  697.  
  698. SECTION 3:
  699. DEPRIVATION OF THE RIGHT TO PRIVACY OF EMPLOYEES OR PROSPECTIVE EMPLOYEES
  700.    This section provides that an employer shall be liable to an employee or
  701. prospective employee for damages caused by subjecting an employee to
  702. discipline or discharge or denying employment to a prospective employee, on
  703. account of the exercise by that person of privacy rights guaranteed by the
  704. California Constitution.
  705.    This section is modeled after Connecticut Labor Code Section 31-51q.  The
  706. Lockyer bill goes further than the Connecticut statute in that it applies to
  707. prospective as well as current employees.
  708.    The bill would allow punitive damages and reasonable attorney's fees to be
  709. awarded pursuant to Section 3 (page 3 lines 10-12).
  710.    The bill would specify that if the court decides that an action for
  711. damages was brought by an employee or a prospective employee without
  712. "substantial justification," the court may award costs and reasonable
  713. attorney's fees to the employer (page 3, lines 12-15).
  714.    As with the Connecticut statute, an employee's cause of action would only
  715. exist if the activity for which the employee was disciplined or discharged
  716. did not "substantially interfere with the employee's bona fide job
  717. performance or working relationship with the employer." (Page 3, lines 4-5).
  718.    POSSIBLE AMENDMENT: The language in the bill covering prospective
  719. employees (page 3, lines 6-9) omits the "substantial interference" language
  720. contained in the section covering existing employees.  Perhaps the bill
  721. should specify that a prospective employee lacks a cause of action if the
  722. prospective employer has a compelling business interest in rejecting someone
  723. because they engaged in certain acts (even though those acts were protected
  724. by the constitutional right to privacy).
  725.    Such an amendment would be consistent with cases such SOROKA V. DAYTON
  726. HUDSON CORPORATION, 91 Daily Journal D.A.R. 13204 (1st Appellate District).
  727. The court in SOROKA found that a psychological screening test administered to
  728. Target Store security officer applicants violated the applicants' state
  729. constitutional right to privacy when it inquired about their religious
  730. beliefs and sexual orientation, because there was no compelling need for the
  731. test.
  732.    POSSIBLE AMENDMENT # 2: One of the participants in the privacy hearing
  733. suggests language making it clear that the rights and remedies set forth in
  734. the section are not exclusive and do not pre-empt or limit any other
  735. available remedy.
  736.    POTENTIAL ARGUMENTS AGAINST THIS SECTION: Some may argue that in light of
  737. cases such as Soroka, this statute is unnecessary, because these rights are
  738. already set forth in existing case law.
  739.    They may also point out that the California Supreme Court held in WHITE V.
  740. DAVIS that the right to privacy is self-executing, meaning that every
  741. Californian has standing to sue directly under Article I, Section I of the
  742. California Constitution for a privacy violation.  WHITE V. DAVIS (1975) 13
  743. Cal.3d 757, 775.  Given that the right to privacy is self-executing, why is a
  744. statute needed?
  745.    The answer is that case law is in a state of flux, and there is no
  746. guarantee that future courts will construe Article I in such a liberal
  747. fashion.  Also, the bill is an improvement over existing case law in that it
  748. specifically lists the types of damages that may be awarded, including
  749. punitive damages, and reasonable attorney's fees.
  750.  
  751. SECTION 4. COMPUTER CRIMES
  752.    Jim Warren (one of the witnesses at the hearing) posted the Leg Counsel
  753. draft of the bill on one of the networks and showed me some of the responses.
  754. This section generated most of the comments, some of which were quite vocal.
  755.    First a word of caution to those uninitiated in the ways of the
  756. Legislature: MOST OF THE LANGUAGE IN THIS SECTION IS EXISTING LAW.  Our
  757. proposed additions are contained in language that is in italics or
  758. underlined.  IF IT IS NOT IN ITALICS OR UNDERLINES, IT IS EXISTING LAW.
  759.    PROPOSED ADDITION #1 (page 7, line 25): Extend the existing computer crime
  760. statute [Penal Code Section 502] to allow civil recovery by any injured party
  761. against someone convicted under Section 502 of breaking into a computer. (The
  762. existing law just allows recovery by the owner or lessee of a computer
  763. system). For example, if someone is convicted under Section 502 of breaking
  764. into TRW's computers and altering credit records, the existing statute would
  765. allow TRW to recover against the hacker in a civil suit, but the statute
  766. would not allow someone whose credit history was injured by the hacker to sue
  767. the hacker under statute.
  768.    PROPOSED ADDITION #2 (page 7, lines 30-33): Extend Penal Code Section 502
  769. to allow civil recovery against a convicted hacker for more than just the
  770. cost of expenditures necessary to verify that a computer system was or was
  771. not altered, damaged, or deleted by the access.  The proposed language would
  772. allow civil recovery for ALL CONSEQUENTIAL OR INCIDENTAL DAMAGES resulting
  773. from the intrusion.
  774.    PROPOSED ADDITION #3 (page 7, lines 38-40 & page 8, lines 1-6): Create a
  775. cause of action against those who "recklessly store or maintain data in a
  776. manner which enables a person to commit acts leading to a felony conviction
  777. under this section."
  778.    The section is intended to address the situation where someone stores
  779. information (e.g. credit data) in a manner which easily allows unauthorized
  780. access, and the person who is able to access the information as a result of
  781. the lack of safeguards injures a third party (e.g. a creditor, or a person
  782. whose credit history is altered).
  783.    The source of the section is the case of PEOPLE V. GENTRY 234 Cal.App.3d
  784. 131 (1991).  In that case, a hacker figured out that if he queried the credit
  785. databases of TRW, CBI, or Trans Union, about a nonexistent person, each
  786. system would create a new file for that non-existent person.  The non-
  787. existent person would have an exemplary credit history, because there was no
  788. negative credit information in the new file.  The hacker in the GENTRY case
  789. went into the business of rehabilitating people's credit history by having
  790. them change their name, and then creating credit files on these "new" people.
  791.    The court stated in a footnote "we do not address the potential liability
  792. to innocent third parties who might be harmed by this feature of the software
  793. program.  Although Gentry found a weakness in the program and exploited it,
  794. responsibility should not rest solely with the felon. Credit reporting
  795. companies should recognize that this flaw is needlessly risky and remedy it."
  796. (GENTRY, page 135, footnote 3).
  797.    POTENTIAL CONCERNS:  some people who have seen the bill worry that section
  798. 4 would apply to someone (e.g. a computer bulletin board operator) who stores
  799. information on a computer about how to commit a crime (e.g. information about
  800. how to break into a computer, or how to build a bomb)
  801.    The section is intended to be limited to reckless storage of data in a
  802. manner which enables a person to commit acts LEADING TO A FELONY CONVICTION
  803. UNDER SECTION 503 (not other types of criminal acts).  "Reckless storage" is
  804. intended to mean maintaining a system that lacks appropriate security
  805. safeguards; it is not intended to include storing information about how to
  806. commit crimes. Hopefully any potential ambiguities can be clarified through
  807. amendments.
  808.    PROPOSED ADDITION #4: The bill requires the reporting to local law
  809. enforcement of violations of the computer crime statute (Penal Code Section
  810. 503) within 60 days after such violations become known to the owner or lessee
  811. of a computer system (page 8, lines 26-34).  The bill states that "failure to
  812. report a previous violation of this section to a local law enforcement
  813. agency...may constitute evidence of [reckless storage of data]."
  814.    This is intended to ensure that people report such crimes to law
  815. enforcement.  There are anecdotal reports that some of these crimes are not
  816. being reported because people are concerned about bad publicity resulting
  817. from reports that their systems were broken into.
  818.    POSSIBLE AMENDMENT: it has been suggested that the reporting requirement
  819. be limited to certain types of systems, or to a certain level of monetary
  820. loss.  Objections have been raised that the bill would apply equally to
  821. someone who operates a home computer and to a business that operates a large
  822. mainframe.  One could argue that the reporting requirement is more essential
  823. where a computer owner has a fiduciary or quasi-fiduciary duty to the people
  824. whose records are stored on the system (e.g. accounting or credit records).
  825. An accountant's or a credit company's failure to report a computer break-in
  826. is more serious than a computer game bulletin board operator's failure to
  827. report a break in.
  828.    One possible objection to restricting the reporting requirement to a
  829. certain level of financial loss is that financial loss is hard to quantify.
  830.    However, Section 503 already uses amount of financial loss to determine
  831. the type of criminal penalty to apply, so one could argue that amount of
  832. monetary loss could similarly be used as an indication of the need to
  833. report.
  834.  
  835. SECTION 5. AUTOMATIC VEHICLE IDENTIFICATION SYSTEMS
  836.    Existing law directs Caltrans to develop specifications for automatic
  837. vehicle tracking systems for toll facilities, such as those on bridges
  838. (Streets and Highways Code 27565).  People will soon be able have a device
  839. installed in their car which allows them to drive through a toll facility
  840. without stopping.  The device will send a signal to a computer,  which will
  841. keep track of their use of the facility.  At the end of the month, they will
  842. get a bill. Presumably there will continue to be booths that people can drive
  843. through and pay cash.
  844.    At the December 10 privacy hearing, concern was expressed that the device
  845. offers potential for abuse.  For example, if you know a particular vehicle is
  846. driving through the facility, why not program the system to:
  847.    1. Stop all people with outstanding warrants
  848.    2.  Stop all people who have not paid their vehicle registration
  849.    3.  Compile lists of all people who drove through the facility during a
  850. given month and sell the lists to the private sector.
  851.    One could argue that uses 1 and 2 are legitimate uses of this technology,
  852. because people who have broken the law should expect to come into contact
  853. with the police when they drive on public roads and highways.  But one could
  854. also argue that people have an expectation of privacy when they drive and are
  855. not breaking the law at the time they are stopped (e.g. they are not
  856. speeding, driving under the influence, or otherwise doing anything to attract
  857. the attention of the police).
  858.    Use # 3 is harder to justify.  Why should people have to reveal their
  859. personal lives to the private sector in order to use a device that will speed
  860. up their commute?
  861.    WHAT THE BILL DOES: The bill allows people the option of prepaying their
  862. tolls, and then using the facility anonymously. People would continue to have
  863. the option of being billed, rather than prepaying tolls.
  864.    Under the bill, people who prepaid their tolls would be given an
  865. identification number unrelated to the vehicle owner's name, address, social
  866. security number, or driver's license number, or the vehicle's license number,
  867. vehicle identification number, or registration (page 10, lines 34-40).  When
  868. they drive through the facility, the facility would look at their account,
  869. and let them through if there was still money in the account.
  870.    The bill provides that once a numbered account has been established,
  871. neither Caltrans nor a private facility shall keep any record of the vehicle
  872. owner's name, address, social security number, or driver's license number, or
  873. the vehicle's license number, vehicle identification number, or registration
  874. (Page 11, lines 1-7).
  875.    The user could make additional prepayments under the bill by specifying
  876. the account number and furnishing payment (Page 11, lines 8-10).
  877.  
  878. [[**** END OF MR. FIRSCHEIN'S BACKGROUNDER ON SB 1447 OF FEB. 14, 1992 ****]]
  879.  
  880.                   ==================================
  881.  
  882. [[**** Both of these documents were edited by word-processor, rather than
  883. by retyping most of the text.  I believe it is faithful to the original.
  884. Any errors are mine; not those of Mr. Firschein nor Sen. Lockyer.
  885.   --Jim Warren ****]]
  886.  
  887. ------------------------------
  888.  
  889. End of Computer Underground Digest #4.08
  890. ************************************
  891.  
  892.  
  893. 
  894. Downloaded From P-80 International Information Systems 304-744-2253
  895.