ช่วงเวลา 4 วันในการคัดค้านข้อกำหนด KYC สำหรับบริการอินเทอร์เน็ต

 (federalregister.gov)
1 คะแนน โดย GN⁺ 2024-04-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

สรุปข้อกำหนดเกี่ยวกับโปรแกรมระบุตัวตนลูกค้าและข้อยกเว้นสำหรับผู้ให้บริการ IaaS

  • ผู้ให้บริการ IaaS ทุกรายในสหรัฐฯ ต้องจัดทำและดำเนินการโปรแกรมระบุตัวตนลูกค้า (CIP) แบบลายลักษณ์อักษรที่เป็นไปตามข้อกำหนดขั้นต่ำ
  • CIP ต้องมีขั้นตอนสำหรับการเก็บรวบรวมข้อมูลระบุตัวตนของลูกค้าและผู้รับผลประโยชน์ที่แท้จริง การยืนยันตัวตนของลูกค้าต่างชาติและผู้รับผลประโยชน์ที่แท้จริง การเก็บรักษาข้อมูล และการแจ้งลูกค้าเกี่ยวกับการเปิดเผยข้อมูล
  • ผู้ให้บริการ IaaS ต้องเก็บข้อมูลอย่างน้อยจากลูกค้าต่างชาติที่อาจเป็นไปได้และผู้รับผลประโยชน์ที่แท้จริง เช่น ชื่อ ที่อยู่ วิธีการ/แหล่งที่มาของการชำระเงินสำหรับบัญชี อีเมล หมายเลขโทรศัพท์ และที่อยู่ IP
  • ผู้ให้บริการ IaaS ต้องจัดทำขั้นตอนตามความเสี่ยงเพื่อยืนยันตัวตนของลูกค้าต่างชาติและผู้รับผลประโยชน์ที่แท้จริง ทั้งด้วยวิธีการใช้เอกสารและไม่ใช้เอกสาร
  • CIP ต้องรวมขั้นตอนการรับมือกรณีที่ไม่สามารถยืนยันตัวตนของลูกค้าได้
  • ข้อมูลทั้งหมดที่ได้จากกระบวนการยืนยันข้อมูลลูกค้าต้องเก็บรักษาอย่างปลอดภัยอย่างน้อย 2 ปี และต้องมีขั้นตอนจำกัดการเข้าถึงโดยบุคคลที่สาม
  • ผู้ให้บริการ IaaS ต้องกำหนดให้ผู้ขายต่อในต่างประเทศรักษาและดำเนินการ CIP เช่นกัน และเมื่อมีการร้องขอ ต้องส่งสำเนา CIP ของผู้ขายต่อให้กระทรวงพาณิชย์ภายใน 10 วัน
  • ต้องยุติการทำธุรกรรมกับผู้ขายต่อในต่างประเทศที่ไม่ปฏิบัติตามภายใน 30 วัน

สรุปข้อกำหนดการรายงาน CIP

  • ผู้ให้บริการ IaaS ทุกรายต้องยื่นแบบรับรอง CIP เพื่อแจ้งกระทรวงพาณิชย์เกี่ยวกับการดำเนินการ CIP ของตนเองและของผู้ขายต่อในต่างประเทศ
  • ต้องทบทวนและอัปเดต CIP ทุกปีพร้อมรับรองใหม่ และหากมีการเปลี่ยนแปลงสาระสำคัญระหว่างปีต้องแจ้งกระทรวงพาณิชย์
  • ผู้ให้บริการ IaaS รายใหม่ต้องยื่นแบบรับรอง CIP ก่อนเริ่มให้บริการ และต้องแจ้งเมื่อมีการเพิ่มผู้ขายต่อในต่างประเทศรายใหม่
  • ต้องรวบรวมข้อมูล CIP จากผู้ขายต่อในต่างประเทศและยื่นต่อกระทรวงพาณิชย์ทุกปี

สรุปการประเมินการปฏิบัติตาม CIP

  • กระทรวงพาณิชย์สามารถร้องขอสำเนา CIP ของผู้ให้บริการ IaaS เพื่อตรวจสอบได้ และอาจแจ้งให้แก้ไขส่วนที่ยังไม่เพียงพอ
  • กระทรวงพาณิชย์จะประเมินระดับความเสี่ยงและดำเนินการประเมินการปฏิบัติตาม โดยอาศัยการประเมินของตนเองหรือข้อมูลที่ผู้ให้บริการ IaaS ส่งมา
  • จากผลการกำกับดูแลด้านการปฏิบัติตาม อาจมีการแนะนำมาตรการลดความเสี่ยงหรือมาตรการพิเศษ

สรุปข้อกำหนดการยกเว้น CIP

  • รัฐมนตรีว่าการกระทรวงพาณิชย์สามารถให้การยกเว้นการปฏิบัติตามข้อกำหนด CIP แก่ผู้ให้บริการ IaaS ประเภทบัญชี ผู้เช่า ผู้ขายต่อในต่างประเทศ ฯลฯ ได้
  • ผู้ให้บริการ IaaS สามารถยื่นขอยกเว้นข้อกำหนด CIP โดยจัดทำโปรแกรมป้องกันการนำผลิตภัณฑ์ IaaS ไปใช้ในทางที่ผิด (ADP)
  • ADP ต้องมีนโยบายและขั้นตอนสำหรับการระบุ ตรวจจับ รับมือ และอัปเดตตัวบ่งชี้ความเสี่ยงเป็นประจำ
  • เพื่อคงสถานะการยกเว้นไว้ ต้องแจ้งการเปลี่ยนแปลงของ ADP ต่อกระทรวงพาณิชย์ทุกปี และการยกเว้นสามารถถูกเพิกถอนได้ทุกเมื่อ

สรุปมาตรการพิเศษต่อบางประเทศหรือชาวต่างชาติบางราย

  • หากรัฐมนตรีว่าการกระทรวงพาณิชย์เห็นว่าบางประเทศหรือชาวต่างชาติบางรายมีส่วนเกี่ยวข้องกับกิจกรรมไซเบอร์ที่ใช้ผลิตภัณฑ์ IaaS ของสหรัฐฯ ในทางที่ผิด ก็สามารถกำหนดมาตรการพิเศษได้
  • มาตรการอาจรวมถึงการห้ามหรือกำหนดเงื่อนไขต่อการเปิดบัญชีของชาวต่างชาติในประเทศนั้น หรือการห้ามหรือจำกัดการเปิดบัญชีของชาวต่างชาติบางรายโดยเฉพาะ
  • การตัดสินใจว่าจะใช้มาตรการพิเศษหรือไม่และจะใช้แบบใด จะพิจารณาจากปัจจัยที่เกี่ยวข้องโดยรวม

สรุปข้อกำหนดการรายงานการฝึกโมเดล AI ขนาดใหญ่

  • หากผู้ให้บริการ IaaS รับรู้ถึงธุรกรรมการฝึกโมเดล AI ขนาดใหญ่ที่อาจถูกชาวต่างชาตินำไปใช้ในกิจกรรมไซเบอร์ที่เป็นอันตราย ต้องรายงานต่อกระทรวงพาณิชย์ภายใน 15 วัน
  • ผู้ขายต่อในต่างประเทศก็มีหน้าที่รายงานเช่นเดียวกัน และผู้ให้บริการ IaaS ต้องส่งข้อมูลดังกล่าวต่อกระทรวงพาณิชย์ภายใน 30 วัน
  • เมื่อกระทรวงพาณิชย์ร้องขอ ต้องยื่นรายงานติดตามผลพร้อมข้อมูลเพิ่มเติมภายใน 15 วัน
  • หากพบข้อผิดพลาด ต้องยื่นรายงานแก้ไขภายใน 15 วัน
  • รายงานต้องรวมถึงข้อมูลของลูกค้าชาวต่างชาติและข้อมูลที่เกี่ยวข้องกับการฝึก
  • ผู้ให้บริการ IaaS ต้องใช้ความพยายามอย่างสมเหตุสมผลเพื่อให้ผู้ขายต่อในต่างประเทศปฏิบัติตามข้อกำหนดนี้

สรุปการบังคับใช้ต่อการละเมิดข้อกำหนด

  • การกระทำต้องห้ามรวมถึงการไม่จัดทำ/ไม่รักษา CIP การที่ผู้ขายต่อไม่ปฏิบัติตาม CIP และการไม่ปฏิบัติตามคำสั่งห้าม/ระงับการฝึกโมเดล AI ขนาดใหญ่
  • การให้ถ้อยคำอันเป็นเท็จต่อกระทรวงพาณิชย์ก็ถือเป็นการละเมิดเช่นกัน
  • ตาม IEEPA อาจถูกปรับทางแพ่งสูงสุดต่อกรณีเป็นเงิน 250,000 ดอลลาร์ หรือ 2 เท่าของมูลค่าธุรกรรมที่ฝ่าฝืน แล้วแต่ว่าจำนวนใดสูงกว่า
  • หากเป็นการละเมิดโดยเจตนา อาจถูกปรับสูงสุด 1 ล้านดอลลาร์ หรือจำคุกไม่เกิน 20 ปี
  • นอกจากนี้ยังอาจมีโทษทางแพ่ง/อาญาอื่น ๆ ตามกฎหมายสหรัฐฯ

ความเห็นของ GN⁺

ข้อกำหนดนี้ดูเหมือนมีเป้าหมายเพื่อบังคับให้ผู้ให้บริการ IaaS ในสหรัฐฯ ระบุตัวตนและยืนยันตัวตนของลูกค้าต่างชาติ เพื่อป้องกันการถูกนำไปใช้ในกิจกรรมไซเบอร์ที่เป็นอันตราย โดยเฉพาะอย่างยิ่งยังสะท้อนความกังวลต่อการใช้ IaaS ในการฝึกโมเดล AI ขนาดใหญ่ด้วย

ในมุมของผู้ให้บริการ IaaS ภาระด้านการเก็บรวบรวมและยืนยันข้อมูลลูกค้า รวมถึงการเก็บรักษาบันทึก น่าจะเพิ่มขึ้นไม่น้อย การตรวจสอบลูกค้าต่างชาติอาจไม่ใช่เรื่องง่าย และประเด็นด้านความเป็นส่วนตัวก็น่าจะตามมา ความสัมพันธ์เชิงสัญญากับผู้ขายต่อในต่างประเทศก็คงได้รับผลกระทบเช่นกัน

อีกด้านหนึ่ง รัฐบาลก็ดูเหมือนต้องการเพิ่มอำนาจควบคุมตลาด IaaS และสกัดกั้นภัยคุกคามต่อความมั่นคงของชาติ ข้อกำหนดเรื่องมาตรการพิเศษที่มุ่งเป้าไปยังบางประเทศหรือบางผู้กระทำการนั้นสะดุดตา และน่าจะสะท้อนความขัดแย้งทางภูมิรัฐศาสตร์ด้วย

ข้อกำหนดที่เกี่ยวข้องกับโมเดล AI ขนาดใหญ่ดูเหมือนเป็นผลจากการตระหนักรู้ที่มากขึ้นเกี่ยวกับลักษณะการใช้งานสองทางของ AI เห็นได้ชัดว่ารัฐบาลต้องการเฝ้าติดตามกิจกรรมการพัฒนา AI ผ่าน IaaS มากขึ้น จึงอาจตีความได้ว่าเป็นความพยายามรับมือความเสี่ยงรูปแบบใหม่ที่มาพร้อมความก้าวหน้าทางเทคโนโลยี

ข้อกำหนดนี้ดูเหมือนเป็นส่วนหนึ่งของกระบวนการแสวงหาสมดุลระหว่างความมั่นคงของชาติกับนวัตกรรมทางเทคโนโลยี สำหรับผู้ให้บริการ IaaS อาจเป็นภาระ แต่ในระยะยาวก็อาจช่วยยกระดับความแข็งแรงและความน่าเชื่อถือของตลาดได้ อย่างไรก็ตาม เนื่องจากยังมีความกังวลว่ากฎระเบียบที่เข้มงวดเกินไปอาจขัดขวางนวัตกรรม การบังคับใช้จึงน่าจะต้องทำอย่างรอบคอบ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-04-26
ความคิดเห็นจาก Hacker News
  • ดูเหมือนว่าร่างกฎหมายนี้จะกำหนดให้ผู้ให้บริการ IaaS (โครงสร้างพื้นฐาน) ต้องยืนยันตัวตนของผู้ที่ใช้บริการของตนเพื่อฝึก AI เป็นความพยายามที่จะป้องกันไม่ให้ผู้ที่ถูกคว่ำบาตรหรือผู้ไม่หวังดีฝึก AI แล้วคอยย้ายไปมาระหว่างบริการต่าง ๆ หรือใช้นามแฝงเพื่อฝึกโมเดลต่อไป
  • เรื่องนี้ดูค่อนข้างไม่เป็นพิษเป็นภัย และก็เข้าใจได้ยากว่าทำไมถึงมีการเปรียบเทียบแบบนั้นจากคนอื่น ๆ ในการถกเถียงบน HN สงสัยว่าเป็นการมองว่าเป็นจุดเริ่มต้นของการไถลลงทางลาดชัน หรือเป็นเพราะมองขอบเขตของร่างกฎหมายแบบไร้เดียงสากันแน่
  • ผู้ให้บริการ IaaS คงจะคัดค้านอย่างหนัก และถ้า AWS เริ่มขอเอกสาร KYC ก็จะย้ายทรัพยากรคลาวด์ทั้งหมดไปที่อื่นทันที แทบไม่ต้องออกแรงอะไรเลย
  • KYC หมายถึง "รู้จักลูกค้าของคุณ" (know your customer) ควรเขียนคำเต็มเมื่อใช้ตัวย่อครั้งแรก โดยเฉพาะอย่างยิ่งเมื่อในบทความที่ลิงก์ไว้ไม่ได้ใช้ตัวย่อนี้เลย นอกจากนี้ยังควรสังเกตว่าข้อเสนอนี้เกี่ยวกับผลิตภัณฑ์ IaaS ของสหรัฐฯ ไม่ใช่ "บริการอินเทอร์เน็ต" โดยทั่วไป
  • ถ้าธนาคารรู้จักลูกค้าของตัวเองอยู่แล้ว เราก็ไม่จำเป็นต้องทำแบบนั้น เส้นทางของ KYC มักจะเชื่อมไปสู่การชำระเงินและการเงินเสมอ หากเรารับชำระค่าบริการผ่านธุรกรรมบัตรธนาคารมาตรฐานหรือการโอนเงิน เป็นต้น ความรู้เกี่ยวกับตัวลูกค้าก็ควรถูกรวมศูนย์ไว้ที่ธนาคารได้
  • แนวโน้มที่เพิ่มข้อกำหนด KYC ให้กับบริการออนไลน์มากขึ้นเรื่อย ๆ เป็นเรื่องน่ากังวล KYC สร้างภาระอย่างมากให้กับผู้ที่ต้องการให้บริการ
  • ระบบ KYC มักคัดกรองอาชญากรได้ไม่ค่อยดีนัก ระบบ KYC ส่วนใหญ่พึ่งพาผู้รวบรวมข้อมูล ซึ่งก็คือคนที่ซื้อข้อมูลส่วนบุคคล ทำให้คนหนุ่มสาว คนยากจน หรือคนที่ให้ความสำคัญกับความเป็นส่วนตัว กลายเป็นผู้ต้องสงสัย