Geofence-kjennelser: Høyesterettssaken som omformer personvernet

Geofence-kjennelser: Høyesterettssaken som omformer personvernet

En sak som nå ligger hos USAs høyesterett kan fundamentalt endre hvordan politiet bruker posisjonsdata for å identifisere mistenkte, og den setter søkelyset på hvor mye av dine daglige bevegelser som stille og rolig samles inn av appene og tjenestene du bruker. Saken, United States v. Chatrie, dreier seg om et verktøy kalt geofence-kjennelse, og utfallet kan omforme reglene for digital overvåkning i årevis fremover.

Hva er en geofence-kjennelse?

En geofence-kjennelse er en rettslig ordre som tvinger et selskap – oftest Google – til å utlevere posisjonsdata for alle enheter som befant seg innenfor et definert geografisk område i et bestemt tidsvindu. I motsetning til en tradisjonell kjennelse rettet mot en kjent mistenkt, kaster geofence-kjennelser et bredt nett. Etterforskere definerer sted og tidsrom, og teknologiselskapet returnerer en liste over anonyme enhets-ID-er. Derfra kan politiet be selskapet om å innsnevre listen og til slutt identifisere bestemte personer.

I Chatrie-saken ble denne teknikken brukt til å identifisere en mistenkt i et bankran ved å hente ut posisjonsdata fra enheter i nærheten av åstedet på gjerningstidspunktet. Det sentrale juridiske spørsmålet er om denne praksisen krenker fjerde grunnlovstilleggets vern mot urimelige ransaking, ettersom etterforskere ikke har noe spesifikt mål når de innledningsvis ber om dataene.

Problemet med å stole på selskapenes retningslinjer

Et av de mest betydningsfulle problemene juridiske eksperter har reist om geofence-kjennelser, er at reglene som styrer dem i stor grad er skrevet av private selskaper – ikke av domstoler eller lovgivere. Google har utviklet sin egen tretrinns prosess for å håndtere slike forespørsler, noe som gir visse begrensninger på hvordan data deles. Men disse begrensningene eksisterer fordi Google valgte å innføre dem, ikke fordi noen lov krever det.

Dette er et meningsfylt skille. Et selskap kan endre sine interne retningslinjer når som helst. Det kan kjøpes opp, presses eller rett og slett bestemme at en annen tilnærming tjener forretningsinteressene bedre. Når sikkerhetstiltakene rundt en kraftfull overvåkningsteknikk avhenger av selskapets eget skjønn snarere enn juridiske standarder, er vernet som er tilgjengelig for vanlige folk iboende ustabilt.

Den bredere bekymringen er at dette mønsteret ikke er unikt for geofence-kjennelser. På mange områder innen digital overvåkning har politiet beveget seg raskere enn lovgivningen. Resultatet er et lappeteppe av praksiser som varierer etter selskap, jurisdiksjon og den konkrete teknologien som er involvert.

Hva dette betyr for deg

Du trenger ikke å være mistenkt for å bli fanget opp i en geofence-kjennelse. Hvis telefonen din befant seg i nærheten av et åsted på feil tidspunkt, kan enhetsdata dine bli inkludert i en innledende forespørsel. Denne virkeligheten har skapt voksende bekymring blant personvernforkjempere, borgerrettighetsorganisasjoner og juridiske lærde som hevder at masseinnsamling av posisjonsdata er grunnleggende uforenlig med grunnlovsvernet mot generelle ransaking.

Det er også verdt å forstå hvor disse posisjonsdataene kommer fra i utgangspunktet. De fleste smarttelefoner samler kontinuerlig inn og sender posisjonsopplysninger gjennom en funksjon Google kaller Sensorvault, som samler data fra Google-kontoer. Disse dataene genereres ikke bare når du aktivt bruker Google Maps, men gjennom bakgrunnsprosesser knyttet til apper og tjenester som har posisjonsstyring aktivert.

Å bruke et VPN kan beskytte visse typer data – særlig IP-adressen din og nettlesingstrafikken – men det hindrer ikke enheten din i å rapportere GPS-baserte posisjonsdata til Google eller andre tjenester. Personvern knyttet til posisjon er et lagdelt problem, og verktøy på nettverksnivå adresserer bare én del av det. Å deaktivere posisjonshistorikk i Google-kontoinnstillingene dine, gjennomgå hvilke apper som har tilgang til posisjon, og forstå hvilke data telefonen din sender som standard – alt dette er tiltak som har betydning uavhengig av eventuell nettverksbeskyttelse du måtte bruke.

Hvor loven står nå

En håndfull delstater har tatt skritt for å begrense geofence-kjennelser gjennom lovgivning, men det finnes ingen føderal standard. At Høyesterett tar opp United States v. Chatrie signaliserer at den juridiske uklarheten har blitt så betydelig at den krever avklaring på høyeste nivå. Uansett hva domstolen bestemmer, vil det sette en presedens som påvirker hvordan etterforskere kan bruke posisjonsdata over hele landet.

Juridiske eksperter har vært tydelige på at lovgivning – ikke bare rettslige avgjørelser – til syvende og sist er nødvendig. Domstoler kan avgjøre om en bestemt praksis er grunnlovsmessig, men de kan ikke bygge det helhetlige rammeverket som styrer hvordan overvåkningsteknologi skal utvikles, godkjennes og føres tilsyn med. Det krever at lovgiverne handler.

Viktige punkter

• Geofence-kjennelser ber om posisjonsdata for alle enheter i et område – ikke bare fra kjente mistenkte – noe som reiser alvorlige spørsmål om fjerde grunnlovstillegget.
• Gjeldende regler rundt disse kjennelsene kommer i stor grad fra selskapenes egne retningslinjer, ikke fra loven, noe som betyr at de kan endres uten offentlig medvirkning eller lovgivningsprosess.
• Posisjonsdataene dine samles kontinuerlig inn av tjenester som Google, ofte gjennom bakgrunnsaktivitet i apper, uavhengig av om du bruker VPN.
• Du kan redusere eksponeringen din ved å gjennomgå innstillingene for posisjonshistorikk, begrense apptillatelser og forstå hvilke data enhetene dine deler som standard.
• Høyesteretts avgjørelse i United States v. Chatrie vil være en av de mest betydningsfulle kjennelsene om digitalt personvern på mange år. Det er verdt å følge med på sakens utvikling for alle som bryr seg om hva som skjer med dataene sine.