Tor Ekeland, advogado da Clearview AI, diz que seu rosto é propriedade pública

A Clearview é a mais nova empresa no setor de vigilância que amamos odiar.

O aplicativo, um "ferramenta de pesquisa pós-fato", permite que milhares de agências governamentais e corporativas comparem fotos de criminosos suspeitos com um catálogo de 3 bilhões de imagens selecionadas da internet. ARelatório do New York Timesdescobriu que mais de 600 agências policiais começaram a usar o Clearview no ano passado eBuzzfeed expandidoque listam mais de 2.000 clientes, incluindo empresas como Macy's e Walmart, bem como organizações como a Interpol.

"Clearview não é um sistema de vigilância e não é construído como um", de acordo com o site da empresa, que alega que a empresa apenas coleta imagens de sites públicos. Ainda assim, questões sobre a segurança cibernética do Clearview têm sido criado e validado.

Na semana passada, veio à tona que um ator desconhecido obteve "acesso não autorizado" a toda a lista de clientes da empresa de reconhecimento facial. Embora a localização e as motivações do hacker sejam desconhecidas, se for encontrado, é provável que o indivíduo seja indiciado sob o Computer Fraud and Abuse Act (CFAA), disse Tor Ekeland, representante legal da Clearview, em um telefonema.

O CFAA é um estatuto federal usado para processar hackers de computador. Promulgada dois anos depois que o Apple Macintosh chegou às prateleiras, mas antes da internet, a lei proíbe o acesso a um computadorsem permissãobem como a exclusão, alteração ou bloqueio não autorizados de dados armazenados de forma privada.

Ekeland ganhou destaque na última década como um crítico declarado da CFAA. Ele chamou a lei de vaga eproblemático, e disse que poderia ser usado como um porrete parasufocar o discurso político.

Ex-advogado corporativo especializado em direito de valores mobiliários, Ekeland fez carreira defendendo criminosos de computador controversos. Seu primeiro cliente foi Andrew “Weev” Auernheimer, um autointitulado troll neonazista, que Ekeland enfrentoupro bono. Auernheimer explorou uma falha na segurança da AT&T para coletar informações pessoais de usuários deixadas expostas em um site público.

A Wired apelidou Ekeland, um alcoólatra reformado e ex-produtor de teatro experimental, de “O advogado do troll."

O cerne da defesa de Auernheimer por Ekeland foi baseado no princípio constitucional: a linguagem da CFAA é tão ampla e foi alterada com tanta frequência que não atende ao padrão razoável de definir o que é proibido.

Condenado a mais de três anos de prisão, o caso de Auernheimer foi anulado em apelação, embora a CFAA não tenha sido alterada. Nos anos seguintes, Ekeland se tornou o advogado de referência para hackers indiciados sob essa lei mal definida.

Ele representou Matthew Keys, um ex-editor de mídia social da Reuters, acusado de auxiliar hackers do Anonymous a acessar o site do Los Angeles Times sem permissão. Ele falou publicamente em defesa de Julian Assange, escrevendo que "processar Assange por um crime de computador evita o elefante na sala: este é o processo de um publicador de informações de interesse e importância para o público sobre nosso governo".

“Infelizmente, violações de dados fazem parte da vida no século 21”, Ekeland disse ao Daily Beast, após o hack da Clearview. Nada se não for consistente, Ekeland ainda é receptivo a hackers, mesmo estando do outro lado da conversa.

Da mesma forma, ele defende a controversa prática comercial da Clearview de raspar imagens de mídias sociais e sites de fornecedores terceirizados, conforme protegido pela Primeira Emenda. São todas informações disponíveis publicamente, ele disse.

“Quero dizer, antes de tudo, a common law nunca reconheceu o direito à Política de Privacidade do seu rosto”, disse Ekeland. “É um argumento meio bizarro de se fazer porque [seu rosto é] a coisa mais pública que existe.”

A consistência filosófica de Ekeland marginaliza os fatos. Os protocolos de segurança da Clearview não foram testados, não foram regulamentados e agora provaram ser pouco confiáveis. A empresa abriga três bilhões de imagens para alimentar uma ferramenta de vigilância alimentada por IA usada por atores corporativos e estatais; agora sua lista de clientes foi publicada, mostrando mais uma vez que T é confiável para manter a Política de Privacidade do usuário. Ela até tem o Congresso sinos de alarme tocando.

Ele teria se saído melhor pegando um cano de chumbo e dando uma surra no chefe. Ele teria enfrentado menos tempo.

Ainda assim, Ekeland está disposto a defender seu cliente, já que ele já defendeu muitas figuras controversas antes. O que se segue é uma transcrição editada e condensada da nossa conversa telefônica.

Qual é o seu problema com a CFAA?

Bem, a infração central da CFAA é que ela T define suas proibições centrais, certo? Ela T define o que constitui acesso não autorizado a um computador ou o que é exceder o acesso autorizado a um computador protegido. Dizer que exceder o acesso não autorizado a um computador protegido é exceder sua permissão é uma definição circular.

Quando você tem termos estatutários frágeis que são deixados para os tribunais determinarem, você obtém interpretações conflitantes feitas por juízes que não sabem nada sobre ciência da computação, mas acham que sabem.

Há funcionários que acham que entendem de computadores em rede porque têm um smartphone ou digitam em um computador. Essas definições geralmente chocam as pessoas que trabalham profissionalmente em segurança da informação. Um dos maiores problemas é que as pessoas recorrem a conceitos do mundo físico para criar definições de redes digitais, mas a analogia falha em questões de segurança. Nossa common law T evoluiu com base em uma série de nós em rede cujo propósito principal era a transmissão de comunicações e a busca e recuperação de informações.

[Essas definições] são altamente contingentes às percepções e paradigmas das pessoas. E não é nem um pouco preto no branco. É óbvio que se eu adotar suas pressuposições emocionais, morais e legais, há uma incoerência conceitual e definicional para proibições centrais na CFAA.

O problema com isso é que parece criminalizarde minimiscomportamento. Pode ser lido para criminalizar a exclusão temporária de uma carta de um documento do Word. Então é como um estatuto realmente draconiano que tem penalidades realmente draconianas que muitas vezes não são proporcionais ao dano infligido.

Como o caso de Keys, onde ele foi acusado de ter fornecido informações de login para acessar os sites da Tribune Media Company. Na minha Opinião, a Tribune foi totalmente negligente em sua infraestrutura e segurança. O governo federal apresentou, tipo, uma recomendação de sentença inicial de cinco anos. Ele foi condenado a dois anos, pelo que começou como uma disputa trabalhista. Ele teria se saído melhor pegando um cano de chumbo e dando uma surra no chefe. Ele teria enfrentado menos tempo.

É uma lei que foi escrita pela primeira vez em 1984 e foi modificada um BIT desde então, mas é anterior ao Facebook ou ao Google, anterior aos smartphones, e é muito antiquada.

Você já argumentou no passado que isso poderia ser usado como uma ferramenta política para controlar e silenciar a expressão.

Certamente pode ser usado para isso.

Estou certo em minha avaliação de que o hacker da Clearview seria acusado pela CFAA?

Ah, sim. Na minha Opinião, ele cometeu um crime grave sob isso. Ele tinha acesso [não autorizado] a um computador protegido. Mas aqui está a diferença fundamental, e acho que é aqui que há alguma confusão Para Você.

O argumento de que o público deve ter acesso a dados públicos na internet. Certo? No caso Weev, ele baixa 114.000 endereços de e-mail de um servidor público sem nenhuma segurança nele. Isso, na minha Opinião, é completamente legal porque o público tem o direito da Primeira Emenda de acessar informações públicas na internet pública que não estão marcadas como privadas.

Se o governo viesse e dissesse a você quais livros você poderia pegar emprestado da biblioteca ou que arte você poderia ver no museu de arte, você diria que isso é censura. Mas diferencie isso de alguém hackeando e obtendo meus dados privados. O argumento de que a informação deve ser livre e que o público deve ter acesso público a dados públicos não é um argumento que diz que não deve haver Política de Privacidade.

Você poderia argumentar que o público tem o direito de saber quem está na lista de clientes da Clearview. Certo?

Por quê? Envie o argumento, faça o argumento, qual é o argumento?

Porque eles rasparam três bilhões de imagens de milhões de pessoas. E T sabemos exatamente como elas estão sendo usadas ou armazenadas.

Você sabe exatamente as imagens que a Clearview indexou? Eles apenas indexaram a internet pública. Você tem acesso completo ao mesmo conjunto de dados que a Clearview indexou.

Seu argumento é que, como você T gosta de um uso específico de informação, informações públicas na internet pública devem ser restritas. Você sabe qual é essa estrutura proposicional? É censura. Censura é quando o estado entra e dita se alguém pode ou não ler ou ouvir algo ou usar informações porque o estado considera moral ou legalmente prejudicial de alguma forma.

Este é o caso de Weev. E eu tenho sido consistente em todos os aspectos em ONE os meus casos. Agora as pessoas dizem que T podemos usar, digamos, fotos que são postadas publicamente na internet.

Quero dizer, antes de tudo, o direito consuetudinário nunca reconheceu o direito à Política de Privacidade do seu rosto. Argumentar que seu rosto é privado é um argumento meio bizarro de se fazer porque [é] realmente a coisa mais pública que existe. Muitas pessoas agora estão argumentando sobre Política de Privacidade em termos de rostos, mas ficaram em silêncio sobre a questão da pornografia de vingança ou imagens sexuais não consensuais de mulheres. O que eles disseram foi que as mulheres não tinham direitos de propriedade e não tinham direitos de Política de Privacidade e seu recurso era a porra da lei de direitos autorais, graças à CDA [Seção] 230, [que reduz a responsabilidade da plataforma pelo que é postado online.] Então, todas essas pessoas que agora estão de repente HOT para dizer, 'Oh meu Deus, rostos são privados', não se importam quando as vidas das mulheres são destruídas pela pornografia de vingança.

Um direito à Política de Privacidade na sua cara nunca aconteceu na lei. Isso é uma coisa nova que as pessoas estão inventando agora. Eu tenho o direito à Política de Privacidade na nossa sexualidade, porque todos nós usamos roupas, certo? Mas isso remonta a séculos. Então a lógica está realmente fodida e distorcida aqui.

Você disse no passado que o Google poderia ser processado sob a CFAA. Como a lei existe e como é interpretada, a Clearview provavelmente também poderia ser?

Ah, esse era um caso de risco. E foi contra isso que eu lutei. Você leuhiQ x LinkedIn? Essencialmente, o que hiQ significa é: você tem um direito da Primeira Emenda de acessar informações públicas na internet pública. É diferente se essas informações forem marcadas como privadas e você ignorar as restrições de Política de Privacidade . Mas Clearview T faz isso. Acho que a questão do CFAA está morta, honestamente, para Clearview porque, a menos que o Nono Circuito esteja errado em seu raciocínio em hiQ v LinkedIn. [Clearview alega apenas extrair dados de páginas da web públicas.] Então você está de volta ao paradigma fundamental do que dá ao estado o direito, ou a qualquer pessoa o direito, de determinar o acesso a uma biblioteca pública ou museu de arte público com base no fato de que eles acham que o uso dessas informações é prejudicial.

Não há jurisprudência que reconheça uma exceção biométrica às proteções da Primeira Emenda. O que vai impedir o estado, uma vez que ele começa a [colocar limites no acesso] às informações biométricas, de decidir que quer regular a fala em outras áreas fora das exceções reconhecidas à primeira emenda, que é a fala de conduta criminosa constituída, fraude, difamação, obscenidade? É muito mais complicado do que todas essas pessoas vagando por aí inventando direitos de Política de Privacidade do seu rabo que elas T teorizaram, que elas T se reconciliaram com a Primeira Emenda e são baseadas em fatos de funcionalidade de computador que elas T entendem.

A Clearview está acessando informações públicas, mas não está claro o que está fazendo com elas. Ela está construindo uma ferramenta que poderia ser usada para vigilância que poderia eventualmente infringir os direitos das pessoas. Essa é a preocupação.

Primeiro, há uma ferramenta de vigilância realmente intensa chamada Facebook. O Facebook é uma ferramenta de vigilância que todas as agências governamentais de inteligência e vigilância adorariam criar. E agora o setor privado a criou para elas.

O Facebook é uma ferramenta de vigilância que todas as agências governamentais de inteligência e vigilância adorariam criar. E agora o setor privado criou para elas.

Ele está vigiando você 24/7, lendo a pressão barométrica do seu telefone e descobrindo em que andar do prédio você está. Sabe, se você está falando em um smartphone, você já está sob vigilância.

Então agora você está me dizendo que é um ato de vigilância indexar e pesquisar fotos do passado. E então fornecer um LINK de URL para essa entidade pública. Não estamos falando de vigilância aqui. Porque tudo o que a Clearview está fazendo é pegar o quadro de título público, a imagem pública e a URL pública. Então agora me explique como isso constitui vigilância. Se você está andando pela rua olhando para as pessoas, isso é vigilância?

Bem, é o que eles estão construindo. É a IA que está preocupando as pessoas.

Esclareça esse conceito, porque essa é uma declaração incoerente para mim e é uma declaração conclusiva. Quando você diz o que estamos construindo, o que você acha que eles estão construindo?

T posso dizer com certeza. É por isso que o Congresso pediu à Clearview para esclarecer seus negócios.

Esse é o problema. As pessoas têm a sensação de que T conseguem articular, de que T conseguem apresentar de forma coerente. E talvez esse sentimento esteja certo. O problema é que quando você age com base nesses tipos de sentimentos e começa a se mover em direção à lei, você obtém todo tipo de consequências não intencionais.

Você disse no passado que uma falha do CFAA é que suas punições não são proporcionais ao dano real causado. Você poderia dizer qual é o dano de um hacker invadindo o Clearview?

Qual é o dano? Novamente, não vou fazer uma declaração sobre isso neste momento. É um caso particular, mas eu mantenho que a punição deve ser proporcional ao dano. Absolutamente. Um bom exemplo disso é como o Reino Unido trata seus hackers, em oposição aos EUA. Você conhece Mustafa [Al-Bassam]?

Não, desculpe.

Dê uma olhada nisso algum dia. Ele fez parte dos grupos de hackers Lulzsec e Anonymous em 2010, 2011. Eles hackearam o News of the World de Rupert Murdock e o executaramobituário. Eles hackearam todo tipo de coisa. Então Mustafa está terminando seu Ph.D. em computação e trabalhando na venda de sua segunda startup e é um membro produtivo da sociedade, [quando foi preso]. Se ele tivesse sido processado nos Estados Unidos por seus crimes, ele ainda estaria na cadeia.

Vou terminar com uma frase que eu digo o tempo todo, se os Estados Unidos estivessem processando crimes de computador na década de 1970 como fazem agora, não haveria Microsoft, não haveria Apple, porque todos esses caras da tecnologia começaram hackeando. Bill Gates colocou um vírus em uma rede corporativa de computadores quando era adolescente. Ainda não conheci um bom programador que T Aprenda desmontando sistemas.

Há também um argumento econômico. Essas acusações são ruins para a economia. Finalmente, acho que a maioria desses casos deveria ser apenas civil, a menos que você esteja mexendo com o hospital ou destruindo uma rede elétrica ou algo que realmente cause danos. Esse desejo puritano de punir corre solto no sistema judicial dos EUA. E é lamentável e é por isso que temos mais pessoas encarceradas per capita do que quase qualquer nação do mundo, incluindo China, Rússia e todos aqueles regimes opressivos.

Preciso ir a uma reunião agora. Você pode me Siga depois, vou falar sobre isso até as vacas voltarem para casa.