アメリカの監視の中核にある法的抜け穴
2018年、最高裁判所はCarpenter v. United States事件で、政府がキャリアから携帯電話の位置情報データを取得する前に令状を取得する必要があると判決しました。これはアメリカの歴史におけるプライバシー保護のランドマーク判決と広く見なされていました。デジタル時代に私たちが残す足跡が私たちの生活の親密な絵を明かし、修正第4条の保護がその足跡に及ぶことを認めるものでした。
しかし、この判決には重大な抜け穴がありました。キャリアから直接取得したデータにのみ適用されたのです。位置情報を集約する商業データブローカー — アプリ、広告ネットワーク、デバイスセンサーから位置情報を集約する企業 — から購入したデータはその適用外でした。法執行機関はすぐにこの機会を認識し、以来、FBI、国土安全保障省、IRS、および他の連邦機関は、この抜け穴を中心とした監視プログラムを静かに構築してきました。
先週の上院公聴会でパテル FBI長官はその慣行を公式かつ公開で認めました。宣誓証言の下で、同機関は商業利用可能な位置情報データを購入していることを確認しました。「電子通信プライバシー法に基づき憲法および法律と一致する商業利用可能な情報を購入しており、それは我々にとって有価値な情報をもたらしています」とパテルは上院議員に述べました。
データブローカーが実際に販売しているもの
これがなぜ重要なのかを理解するために、商業的位置情報データが実際に何を含んでいるのかを理解することが役に立ちます。データブローカーはスマートフォンのGPSチップから位置情報を集約します。主にインストールするアプリ — 天気アプリ、ゲーム、小売ロイヤルティプログラム — が位置情報許可をリクエストしてからその中間業者にそのデータを売却する方法で収集されます。このデータの一部は名目上は匿名化されていますが、研究者は繰り返し匿名化がほぼ表面的であることを実証しています。運動パターンは個人ごとに非常にユニークで、再識別は簡単です。
その結果のデータセットには、タイムスタンプ付きの位置情報ピンが含まれることができ、数メートル以内の精度で、数分ごとに更新され、数ヶ月または数年間にわたります。連邦機関がそのようなデータを購入する場合、実際の効果は、個人の物理的な位置情報履歴の継続的な令状なし監視とほぼ区別されません — 機関が許可を求めるために裁判官に行く代わりに、単に商業購入を行うこと以外に。
パテルの認可は、FBI が当該慣行を正当な慣行と見なしていることを明らかにしています。法的論拠は現在の判例の下で技術的に防御可能です。商業的第三者と自発的に共有されたデータは第三者原則に該当し、その情報にはプライバシーの合理的な期待がないと述べられています。裁判所はこの原則を固定電話と銀行記録の時代に確立しました。日々の生活のあらゆる動きを追跡できるスマートフォン位置情報データに適用することは全く異なる命題です。
