whoami BSEE, digital communica0ons Many years as a - - PowerPoint PPT Presentation
Beyond the Applica0on Cellular Privacy Regula0on Chris0e Dudley @longobord cdudley@scu.edu whoami BSEE, digital communica0ons Many years as a
@longobord ¡ ¡– ¡ ¡cdudley@scu.edu ¡
customer ¡informa0on ¡that ¡service ¡providers ¡cause ¡to ¡be ¡ collected ¡by ¡and ¡stored ¡on ¡mobile ¡communica0ons ¡ devices?” ¡
measures ¡to ¡discover ¡and ¡protect ¡against ¡aWempts ¡to ¡gain unauthorized ¡access ¡to ¡CPNI’ ¡apply ¡in ¡this ¡context?” ¡
a ¡third ¡party ¡to ¡collect, ¡store, ¡host, ¡or ¡analyze ¡such ¡data?” ¡
– Rela0ng ¡to ¡the ¡“quan0ty, ¡technical ¡configura0on, ¡type des0na0on, ¡loca0on, ¡and ¡amount ¡of ¡use ¡of ¡a ¡ telecommunica0ons ¡service.” ¡ – Made ¡available ¡to ¡the ¡carrier ¡by ¡the ¡customer ¡solely ¡by virtue ¡of ¡the ¡carrier-‑customer ¡rela0onship ¡
22 ¡USC ¡§ ¡47 ¡(h)(1)
Verizon ¡California, ¡Inc. ¡v. ¡F.C.C., ¡555 ¡F.3d ¡270 ¡(D.C. ¡Cir
– Loca0on ¡data ¡is ¡currently ¡not ¡available ¡to ¡the ¡ consumer ¡from ¡any ¡telco. ¡
– Industry ¡is ¡bringing ¡it ¡back ¡under ¡new ¡names ¡ – T-‑Mobile ¡calls ¡the ¡app ¡“System ¡Administrator” ¡
– Verizon ¡markets ¡user ¡data ¡online ¡ ¡ – Suggests ¡adver0sers ¡“re-‑correlate”. ¡
– Informa0on ¡“necessary ¡for ¡the ¡opera0on ¡of ¡the ¡ network.” ¡
13 ¡F.C.C.2d ¡420 ¡(1968) ¡
– Consumers ¡oien ¡are ¡preWy ¡clueless ¡ – Many ¡don’t ¡care ¡about ¡that ¡control ¡
– Consumer ¡choice ¡could ¡be ¡lei ¡behind ¡ – Poses ¡enforceability ¡issues ¡
– Opt-‑in ¡schemes ¡with ¡opt-‑out ¡available ¡any ¡0me ¡ – How ¡much ¡data ¡is ¡really ¡necessary ¡if ¡they ¡can’t ¡sell ¡it? ¡
– Carriers ¡become ¡responsible ¡for ¡any ¡data ¡breach ¡on ¡an ¡ unlocked ¡phone ¡
– Far ¡less ¡ambiguity ¡for ¡law ¡enforcement ¡requests ¡for ¡ loca0on ¡tracking ¡data. ¡ – Would ¡require ¡Pen/trap ¡(judicial) ¡order. ¡ – S0ll ¡easier ¡to ¡get ¡than ¡4th ¡Amendment ¡probable ¡caus search ¡warrant. ¡
– Many ¡Senators ¡are ¡making ¡a ¡stand ¡ – White ¡House ¡created ¡a ¡privacy ¡ini0a0ve ¡
– Telcos ¡will ¡try ¡to ¡keep ¡it ¡0ed ¡up ¡in ¡court. ¡ – They ¡will ¡not ¡win ¡(out ¡on ¡a ¡limb ¡here). ¡
w ¡have ¡[data ¡privacy] ¡prac0ces ¡evolved ¡since ¡we ¡collected ¡informa0on ¡on ¡this ¡issue ¡in ¡the ¡2007 ¡Further ¡No0ce? ¡ ¡ ¡consumers ¡given ¡meaningful ¡no0ce ¡and ¡choice ¡with ¡respect ¡to ¡service ¡providers’ ¡collec0on ¡of ¡usage-‑related ¡informa0o ir ¡devices? ¡ ¡ ¡current ¡prac0ces ¡serve ¡the ¡needs ¡of ¡service ¡providers ¡and ¡consumers, ¡and ¡in ¡what ¡ways? ¡ ¡ ¡current ¡prac0ces ¡raise ¡concerns ¡with ¡respect ¡to ¡consumer ¡privacy ¡and ¡data ¡security? ¡ ¡ w ¡are ¡the ¡risks ¡created ¡by ¡these ¡prac0ces ¡similar ¡to ¡or ¡different ¡from ¡those ¡that ¡historically ¡have ¡been ¡addressed ¡under Commission’s ¡CPNI ¡rules? ¡ ¡ e ¡these ¡prac0ces ¡created ¡actual ¡data-‑security ¡vulnerabili0es? ¡ uld ¡privacy ¡and ¡data ¡security ¡be ¡greater ¡considera0ons ¡in ¡the ¡design ¡of ¡soiware ¡for ¡mobile ¡devices, ¡and, ¡if ¡so, ¡should ¡th mission ¡take ¡any ¡steps ¡to ¡encourage ¡such ¡privacy ¡by ¡design? ¡ ¡ at ¡role ¡can ¡disclosure ¡of ¡service ¡providers’ ¡prac0ces ¡to ¡wireless ¡consumers ¡play? ¡ ¡ what ¡extent ¡should ¡consumers ¡bear ¡responsibility ¡for ¡the ¡privacy ¡and ¡security ¡of ¡data ¡in ¡their ¡custody ¡or ¡control? ¡
hether ¡the ¡device ¡is ¡sold ¡by ¡the ¡service ¡provider; ¡ hether ¡the ¡device ¡is ¡locked ¡to ¡the ¡service ¡provider’s ¡network ¡so ¡that ¡it ¡would ¡not ¡work ¡with ¡a ¡different ¡service ¡provider; ¡ ¡ he ¡degree ¡of ¡control ¡that ¡the ¡service ¡provider ¡exercises ¡over ¡the ¡design, ¡integra0on, ¡installa0on, ¡or ¡use ¡of ¡the ¡soiware ¡that ¡collects ¡an nforma0on; ¡ The ¡service ¡provider’s ¡role ¡in ¡selec0ng, ¡integra0ng, ¡and ¡upda0ng ¡the ¡device’s ¡opera0ng ¡system, ¡preinstalled ¡soiware, ¡and ¡security ¡cap he ¡manner ¡in ¡which ¡the ¡collected ¡informa0on ¡is ¡used; ¡ ¡ hether ¡the ¡informa0on ¡pertains ¡to ¡voice ¡service, ¡data ¡service, ¡or ¡both ¡ he ¡role ¡of ¡third ¡par0es ¡in ¡collec0ng ¡and ¡storing ¡data. ¡
¡any ¡other ¡factors ¡relevant? ¡ ¡
at ¡privacy ¡and ¡security ¡obliga0ons ¡should ¡apply ¡to ¡customer ¡informa0on ¡that ¡service ¡providers ¡cause ¡to ¡be ¡collected ¡b “ ” ’
ww.zeit.de/digital/datenschutz/2011-‑03/data-‑protec0on-‑malte-‑spitz/kompleWansicht. ¡ authorizing ¡CPNI ¡Regula0on: ¡47 ¡U.S.C. ¡§ ¡222 ¡ gula0on: ¡47 ¡C.F.R. ¡§ ¡64.2001 ¡et. ¡seq. ¡ ’ de ¡for ¡CPNI ¡Rulemaking ¡Informa0on: ¡96-‑115 ¡ ’ de ¡for ¡CPNI ¡Compliance ¡Cer0fica0on: ¡06-‑36 ¡ ¡Register ¡of ¡official ¡publica0ons: ¡hWps://www.federalregister.gov/ ¡ House ¡announcement ¡of ¡Comprehensive ¡Privacy ¡Blueprint ¡(under ¡Dep’t ¡of ¡Commerce): ¡ ww.n0a.doc.gov/blog/2012/white-‑house-‑unveils-‑new-‑comprehensive-‑privacy-‑blueprint ¡ yond ¡Voice: ¡Mapping ¡the ¡Mobile ¡Marketplace ¡hWp://www.ic.gov/reports/mobilemarketplace/mobilemktgfinal.pdf. ¡ ’s ¡consent ¡decree ¡with ¡Federal ¡Trade ¡Commission, ¡published ¡April ¡5, ¡2011, ¡hWps://federalregister.gov/a/2011-‑7963 ¡ earch ¡on ¡mobile ¡communica0ons ¡ ewresearch.org/pubs/1601/assessing-‑cell-‑phone-‑challenge-‑in-‑public-‑opinion-‑surveys. ¡ and ¡Data ¡Management ¡on ¡Mobile ¡Devices ¡| ¡Pew ¡Research ¡Center's ¡Internet ¡& ¡American ¡Life ¡Project: ¡ ewinternet.org/Reports/2012/Mobile-‑Privacy.aspx ¡ ’s ¡“Privacy ¡Bill ¡of ¡Rights” hWp://thomas.loc.gov/cgi-‑bin/query/z?c112:S.799: ¡ theory, ¡see ¡United ¡States ¡v. ¡Maynard, ¡615 ¡F.3d ¡544, ¡557 ¡(D.C. ¡Cir. ¡2010) ¡ ink ¡sent ¡via ¡SMS ¡on ¡Aug. ¡30, ¡2012 ¡to ¡T-‑Mobile ¡customers: ¡hWps://support.t-‑mobile.com/docs/DOC-‑2929?noredirect=tr ’s ¡marke0ng ¡informa0on ¡on ¡user ¡data: ¡hWp://business.verizonwireless.com/content/b2b/en/precision/overview.html ¡ ’s ¡limited ¡“opt ¡out” ¡requirements: ¡hWp://www.hyperorg.com/blogger/2009/03/07/tales-‑of-‑data-‑pirates-‑op0ng-‑out-‑of-‑
– Incen0ve ¡to ¡accountable ¡carriers ¡to ¡provide ¡beWer ¡ security ¡ – Incen0ve ¡for ¡carriers ¡to ¡grant ¡users ¡control ¡ ¡
– Direct ¡Marke0ng ¡Associa0on ¡ – Interac0ve ¡Adver0sing ¡Bureau ¡