1 คะแนน โดย GN⁺ 2024-04-30 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • FCC ยืนยันการปรับรวมเกือบ 200 ล้านดอลลาร์ต่อ AT&T, Sprint, T-Mobile และ Verizon จากกรณีที่สิทธิ์เข้าถึง ข้อมูลตำแหน่งแบบเรียลไทม์ ของลูกค้าถูกแชร์ให้ภายนอกโดยไม่ได้รับความยินยอม
  • ผู้ให้บริการโทรคมนาคมขายสิทธิ์เข้าถึงข้อมูลตำแหน่งให้กับ aggregator และ aggregator ก็นำไปขายต่อให้ผู้ให้บริการบริการระบุตำแหน่งของบุคคลที่สามอีกทอดหนึ่ง
  • โครงสร้างนี้โยนความรับผิดชอบในการขอความยินยอมจากลูกค้าไปให้ผู้รับต่อในลำดับถัดไป แต่ในหลายกรณีไม่ได้มีการขอความยินยอมที่มีผลบังคับใช้อย่างถูกต้อง และมาตรการคุ้มครองก็ไม่เพียงพอ
  • ค่าปรับมีมูลค่ามากกว่า 12 ล้านดอลลาร์สำหรับ Sprint, มากกว่า 80 ล้านดอลลาร์สำหรับ T-Mobile, มากกว่า 57 ล้านดอลลาร์สำหรับ AT&T และประมาณ 47 ล้านดอลลาร์สำหรับ Verizon โดย Sprint และ T-Mobile ได้ควบรวมกันหลังเริ่มการสอบสวน
  • Communications Act Section 222 กำหนดให้คุ้มครองข้อมูลลูกค้า รวมถึงข้อมูลตำแหน่ง และต้องได้รับความยินยอมโดยชัดแจ้ง อีกทั้งภาระหน้าที่เดียวกันนี้ยังใช้กับการแชร์ให้บุคคลที่สามด้วย

โครงสร้างการขายข้อมูลตำแหน่งและขนาดของค่าปรับ

  • FCC ระบุเมื่อวันที่ 29 เมษายน 2024 ว่าผู้ให้บริการเครือข่ายไร้สายรายใหญ่ของสหรัฐแชร์สิทธิ์เข้าถึง ข้อมูลตำแหน่ง ของลูกค้าอย่างผิดกฎหมาย และได้สั่งปรับ
    • Sprint: มากกว่า 12 ล้านดอลลาร์
    • T-Mobile: มากกว่า 80 ล้านดอลลาร์
    • AT&T: มากกว่า 57 ล้านดอลลาร์
    • Verizon: ประมาณ 47 ล้านดอลลาร์
  • ผู้ให้บริการแต่ละรายขายสิทธิ์เข้าถึงข้อมูลตำแหน่งของลูกค้าให้กับ aggregator และ aggregator ก็ขายต่อให้ผู้ให้บริการบริการระบุตำแหน่งของบุคคลที่สาม
  • ผู้ให้บริการพยายามผลักภาระหน้าที่ในการขอความยินยอมจากลูกค้าไปยังผู้รับต่อในลำดับถัดไป แต่ในหลายกรณีไม่ได้มีการขอความยินยอมจากลูกค้าอย่างมีผลบังคับใช้อย่างถูกต้อง
  • แม้จะรับรู้แล้วว่ามาตรการคุ้มครองไม่มีประสิทธิภาพ ผู้ให้บริการทั้งสี่รายก็ยังคงดำเนินโครงการขายสิทธิ์เข้าถึงข้อมูลตำแหน่งต่อไป โดยไม่มีมาตรการที่สมเหตุสมผลเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
  • Jessica Rosenworcel ประธาน FCC เน้นย้ำว่าข้อมูลนี้เป็น ข้อมูลอ่อนไหว ที่สามารถเผยให้เห็นเส้นทางการเดินทางและตัวตนของลูกค้าได้

จุดเริ่มต้นของการสอบสวนและฐานกฎหมาย

  • การสอบสวนเริ่มขึ้นจากจดหมายเปิดผนึกของวุฒิสมาชิก Ron Wyden ในปี 2018 และรายงานสาธารณะเกี่ยวกับกรณีการใช้งานที่เกี่ยวข้อง
  • ตามรายงานสาธารณะ นายอำเภอในรัฐ Missouri สามารถติดตามตำแหน่งของบุคคลหลายรายได้ผ่าน บริการค้นหาตำแหน่ง ที่ดำเนินการโดย Securus ผู้ให้บริการสื่อสารสำหรับสถานราชทัณฑ์
  • FCC เห็นว่าหลังจากผู้ให้บริการทั้งสี่รับรู้ถึงการเข้าถึงที่ไม่ได้รับอนุญาตแล้ว ก็ยังไม่ได้จัดให้มีมาตรการคุ้มครองที่สมเหตุสมผลเพื่อตรวจสอบว่าผู้ให้บริการบริการระบุตำแหน่งได้ขอความยินยอมจากลูกค้าจริงหรือไม่
  • กฎหมายที่เกี่ยวข้อง เช่น Communications Act Section 222 กำหนดหน้าที่ต่อผู้ให้บริการดังนี้
    • ใช้มาตรการที่สมเหตุสมผลเพื่อคุ้มครองข้อมูลลูกค้าบางประเภท รวมถึงข้อมูลตำแหน่ง
    • รักษาความลับของข้อมูลลูกค้า
    • ต้องได้รับความยินยอมจากลูกค้าอย่างชัดแจ้งและเชิงรุกก่อนใช้งาน เปิดเผย หรืออนุญาตให้เข้าถึงข้อมูล
    • ใช้ภาระหน้าที่เดียวกันนี้เมื่อแชร์ข้อมูลลูกค้าให้บุคคลที่สาม

การยืนยันคำสั่งและมาตรการติดตามผล

  • Forfeiture Orders ครั้งนี้เป็นการยืนยัน Notices of Apparent Liability ที่ออกเมื่อเดือนกุมภาพันธ์ 2020
    • ค่าปรับของ AT&T และ Sprint เท่ากับในขั้น NAL
    • ค่าปรับของ T-Mobile และ Verizon ถูกลดลงหลังมีการพิจารณาเอกสารเพิ่มเติมที่ยื่นพร้อมคำตอบต่อ NAL
    • กฎหมายไม่อนุญาตให้เพิ่มจำนวนเงินริบสำหรับการละเมิดบางประเภทหลังจากออก NAL แล้ว
  • คำสั่งที่เกี่ยวข้อง:
  • ประธาน FCC ได้จัดตั้ง Privacy and Data Protection Task Force ขึ้นในปี 2023 โดยหน่วยงานนี้ทำหน้าที่ประสานความต้องการด้านการออกกฎ การบังคับใช้ และการสร้างการรับรู้สาธารณะภายในองค์กรในประเด็นความเป็นส่วนตัวและการคุ้มครองข้อมูล
  • FCC ระบุว่าการประกาศครั้งนี้เป็นการประกาศอย่างไม่เป็นทางการของการดำเนินการของคณะกรรมการ และการเผยแพร่ข้อความเต็มของคำสั่งคณะกรรมการคือการดำเนินการอย่างเป็นทางการ

1 ความคิดเห็น

 
GN⁺ 2024-04-30
ความคิดเห็นบน Hacker News
  • ประเด็นสำคัญคือ ความโปร่งใส ไม่ใช่ “นโยบายความเป็นส่วนตัว” แต่อยากเห็นว่าบริษัทขายหรือส่งต่อข้อมูลของฉันให้ใคร และการขายนั้นมีข้อจำกัดอะไรบ้าง
    แนวคิดเรียบง่ายมาก ถ้าคุณเก็บข้อมูลของฉันและทำให้หน่วยงานอื่นเข้าถึงได้ ก็ควรบอกให้ฉันรู้ ทำให้ตรวจสอบได้ง่าย และทำให้ บล็อก ได้ง่าย แค่ผู้คนได้รู้ว่าจริง ๆ แล้วเกิดอะไรขึ้น การใช้ข้อมูลส่วนบุคคลในทางที่ผิดส่วนใหญ่ก็น่าจะหายไป

    • ทุกอย่างควรเป็นแบบ ขอความยินยอมล่วงหน้า ภาระควรอยู่ที่ฝั่งบริษัท และควรเป็นทำนองว่า “เราอยากแชร์ข้อมูลของคุณ และถ้าคุณยินยอมจะได้ประโยชน์แบบนี้”
    • ควรรวมถึงบริษัทอย่าง Facebook ที่วิเคราะห์ข้อมูลเพื่อสร้าง ข้อสรุปเชิงอนุมานที่ลึกกว่าเดิม เกี่ยวกับตัวฉันด้วย ฉันควรมีสิทธิ์เห็นข้อสรุปทั้งหมดที่ถูกอนุมานเกี่ยวกับฉันจากข้อมูลของฉัน เพื่อจะได้แก้สมมติฐานที่ผิด หรืออาจได้เรียนรู้เกี่ยวกับตัวเองมากขึ้น
    • หากขยายข้อเรียกร้องว่า “อยากเห็นว่าบริษัทขายหรือส่งต่อข้อมูลของฉันให้ใคร และการขายนั้นมีข้อจำกัดอะไรบ้าง” ให้ไกลขึ้น กฎหมายที่บังคับให้บริษัทต้องเก็บ ห่วงโซ่การครอบครองดูแล (custody chain) ทุกครั้งที่ส่งต่อข้อมูลส่วนบุคคลก็น่าจะเป็นเรื่องที่ถกเถียงกันน้อยพอสมควร
      การเลิกซื้อขายข้อมูลส่วนบุคคลไปเลยน่าจะดีกว่า แต่ในขั้นแรก อาจทำได้ด้วยการ “ปรับอย่างหนักบริษัทที่ไม่ได้ติดตามอย่างแม่นยำว่าหน่วยงานใดแตะต้องข้อมูลของผู้ใช้บ้าง”
    • ต้องมี ทางเลือก ที่ผู้คนใช้ได้จริงด้วย แน่นอนว่าถ้ามีฟีเจอร์บล็อก มันก็อาจใช้ได้เช่นกัน
    • ประเด็นสำคัญไม่ใช่ความโปร่งใส แต่คือ การสอดส่อง และ ความไร้อำนาจ
  • 200 ล้านดอลลาร์ เป็นเงินแค่เศษเงิน บริษัทโทรคมนาคมพวกนี้ทำเรื่องนี้มานานแล้ว และจะไม่มีอะไรเปลี่ยนไป
    อย่างมากก็แค่เพิ่มเชิงอรรถหนึ่งบรรทัดในนโยบายความเป็นส่วนตัว

    • ปัญหาคือพวกเขาขายสิ่งนี้แล้วทำเงินได้เท่าไร ถ้าเหตุผลที่ 200 ล้านดอลลาร์เป็นเศษเงินเพราะพวกเขาทำเงินได้ 200,000 ล้านดอลลาร์ เรื่องนี้ก็ไม่ได้เกี่ยวข้องมากนัก แต่ถ้ารายได้จริงน้อยกว่า 200 ล้านดอลลาร์มาก พวกเขาก็จะหยุดทำ
    • ที่แน่ ๆ คือบริษัทบุคคลที่สามชื่อ Securus ทำสัญญาซื้อข้อมูลตำแหน่งกับผู้ให้บริการมือถือ และเสนอผลิตภัณฑ์แบบครอบคลุมที่แทบจะติดตามทุกคนได้
      เดิมที Securus เป็นบริษัทที่ทำงานเกี่ยวกับผู้ต้องขังในสหรัฐฯ เป็นหลัก แต่หลังจากรวบรวมข้อมูลของทุกคนแล้ว ก็เอาความสามารถและความสัมพันธ์นั้นมาบรรจุใหม่เป็นบริการ ตอนนี้ดูเหมือนจะหายไปแล้ว เป็นความพยายามแบบหยาบ ๆ เพื่อหลีกเลี่ยงคดีความเพิ่มเติมหลังคำวินิจฉัยของ FCC
      https://securustechnologies.tech/investigative/investigation...
      ยังไม่มีรายละเอียดทางเทคนิคเกี่ยวกับความแม่นยำของการติดตาม เส้นแบ่งว่าจุดไหนเป็นโมเด็มของผู้ให้บริการและจุดไหนเริ่มเป็นเฟิร์มแวร์/ฮาร์ดแวร์นั้นพร่ามัว ซึ่งอาจเป็นความตั้งใจอยู่แล้ว โอกาสที่จะเรียกดูพิกัด GPS แบบเรียลไทม์ได้นั้นต่ำ แต่มีความเป็นไปได้สูงมากว่าพวกเขา query ASN จากสถานีฐานแล้วให้ขอบเขตตำแหน่งโดยประมาณของผู้ใช้
    • บังเอิญว่าได้รับอีเมลว่า Verizon จะขึ้นราคาเส้นละ 5 ดอลลาร์ และ Internet ของ ATT ก็จะขึ้นราคา
      FCC ได้ค่าปรับ 200 ล้านดอลลาร์ แต่ไม่มีใครติดคุก และใน 200 ล้านดอลลาร์นั้น เงินที่กลับไปถึง คนที่ถูกละเมิดความเป็นส่วนตัว คือ 0 ดอลลาร์ สุดท้ายก็เป็นวันจันทร์ธรรมดา ๆ ทุกอย่างเหมือนเดิม
    • ประเด็นสำคัญไม่ใช่จำนวนเงิน แต่คือ ข้อเท็จจริงที่ว่าถูกปรับ
      ผู้ถือหุ้นไม่ชอบสถานการณ์แบบ “ถูกปรับเพราะเรื่องนี้แล้วก็ยังทำต่อ และตอนนี้ต้องจ่ายค่าปรับอีก” อีกทั้งถ้าบริษัทเคยถูกปรับจริงจากเรื่องเดียวกันมาก่อน ฝ่ายบริหารรัฐ ศาล และคณะลูกขุนก็จะยิ่งมองข้อแก้ต่างว่า “ไม่รู้” ด้วยความกังขามากขึ้น
  • เคยทำงานที่เฮดจ์ฟันด์แห่งหนึ่ง ซึ่งซื้อข้อมูล ping โทรศัพท์มือถือของ ชาวอเมริกัน 125 ล้านคน ทุกเดือน
    อัลกอริทึม deep learning สารพัดแบบวิเคราะห์การช็อปปิง คลังสินค้า และจำนวนคนที่สัญจรในพื้นที่ต่าง ๆ ผู้คนไม่รู้เลยว่านักลงทุนเอกชนเข้าใจเรื่องนี้ไปถึงระดับไหนแล้ว มันลึกกว่าตัวเลขสาธารณะที่เห็นกันมาก และคนที่ฉลาดที่สุดในโลกกำลังดึงข้อเท็จจริงมหาศาลออกจากพฤติกรรมในชีวิตประจำวันของชาวอเมริกัน แทบทุกอัลกอริทึมทางสถิติที่มนุษยชาติรู้จักถูกนำมาใช้กับข้อมูลนี้

    • นั่นเพื่อวิเคราะห์ “ตลาด” หรือก็คือคนทั่วไปบริโภคกันอย่างไรใช่ไหม?
    • อยากรู้ว่าระดับของการเชื่อมโยงชุดข้อมูลต่าง ๆ และการ ยกเลิกการทำให้ไม่ระบุตัวตน ไปถึงไหนแล้ว
      เช่น สมมติว่าซื้อทุกอย่างด้วยเงินสด ใช้ SIM แบบเติมเงินและโทรศัพท์ที่ประวัติการซื้อไม่มีชื่อฉัน และไม่รันอะไรที่ไม่ได้คอมไพล์จากซอร์สเอง ถ้าใช้ NixOS บนโทรศัพท์ ข้อมูลของฉันจะไร้ประโยชน์พอจนไม่เข้าไปอยู่ในชุดข้อมูลพวกนี้ไหม? หรือพวกเขาคุ้นเคยกับการเชื่อมโยง data point จำนวนมากเกินไปแล้ว จนวิธีใช้แต่เงินสดก็แทบไม่มีความหมาย?
  • เมื่อคิดจาก รายได้ต่อวันรวมกัน ของ T-Mobile, AT&T และ Verizon การทำเงิน 196 ล้านดอลลาร์ใช้เวลาประมาณ 9 ชั่วโมงเท่านั้น
    หากสมมติว่ารายได้ต่อวันรวมของทั้งสามบริษัทคือ T-Mobile 45.5 ล้านดอลลาร์, AT&T 125.6 ล้านดอลลาร์ และ Verizon 349.3 ล้านดอลลาร์ รวมเป็น 520.4 ล้านดอลลาร์ หารด้วย 24 ชั่วโมงจะได้ 21.6 ล้านดอลลาร์ต่อชั่วโมง และเมื่อเอาค่าปรับ 196 ล้านดอลลาร์มาหาร ก็ได้ประมาณ 9.07 ชั่วโมง

    • คำนวณผิดแล้ว ถ้ารายได้ต่อวันคือ 520.4 ล้านดอลลาร์ การสร้างรายได้ 196 ล้านดอลลาร์ใช้เวลา น้อยกว่าครึ่งวัน
      วิธีที่น่าสนใจกว่าคือดูจาก กำไร ซึ่งใกล้เคียงกับผลกระทบจริงมากกว่า
  • แค่ประเด็นที่ว่า “แชร์สิทธิ์เข้าถึงข้อมูลตำแหน่งของลูกค้าโดยไม่ได้รับความยินยอม” ดูเหมือนจะยังไม่พอที่จะหยุดไม่ให้ผู้ให้บริการโทรคมนาคมเพิ่มคำว่า “การแชร์ข้อมูลตำแหน่ง” เข้าไปใน EULA หรือ นโยบายความเป็นส่วนตัวที่ไม่มีใครอ่าน แล้วอ้างว่าตอนนี้ได้รับ ความยินยอม แล้วและทำต่อไป
    ถ้าไม่บังคับให้มีตัวเลือกปฏิเสธแยกต่างหาก ในระยะยาวก็คงเหมือนเนินชะลอความเร็วชั่วคราวที่ไม่ได้เปลี่ยนอะไรเลย

    • จำเป็นต้องมีกฎหมายที่จัดการกับตัวปัญหาเอง เช่น อนุญาตให้เก็บข้อมูลตำแหน่งได้เฉพาะเมื่อผู้เก็บข้อมูลหรือบริการนั้นต้องการอย่างชัดเจนและนำไปใช้โดยตรงเท่านั้น และควร ห้ามการแชร์หรือขาย
    • เอกสารฉบับที่ยาวกว่ามีพูดถึงเรื่องนี้: https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
      คณะกรรมาธิการยอมรับว่า ข้อกำหนดเรื่องความยินยอมล่วงหน้าเพียงอย่างเดียวไม่เพียงพอ ต่อการคุ้มครอง CPNI ของลูกค้า โดยเฉพาะเพราะวิธีการอย่าง “pretexting” ซึ่งเป็นการแอบอ้างว่าเป็นลูกค้ารายใดรายหนึ่งหรือผู้มีอำนาจ เพื่อได้มาซึ่งข้อมูลลูกค้าอย่างผิดกฎหมาย สามารถหลีกเลี่ยงข้อกำหนดเรื่องความยินยอมล่วงหน้าได้
    • ถ้าธนาคารใส่ข้อความยินยอมเรื่องข้อมูลตำแหน่งลงในใบสมัครบัตรเครดิต ก็ยังสงสัยว่าผู้ให้บริการโทรคมนาคมต้องทำอะไรแยกต่างหากอีกไหม
      อาจมีหรือไม่มีถ้อยคำอย่าง “เพื่อป้องกันการฉ้อโกงและ/หรือวัตถุประสงค์อื่น ๆ” ต่อท้าย บริษัทประกันก็เช่นกัน เคยเห็นเงื่อนไขแบบนั้น และค่อนข้างมั่นใจว่ามันดึงข้อมูลมาจากผู้ให้บริการมือถือ
  • หน่วยงานยุติธรรมของสหรัฐฯ ไม่ได้ซื้อ ข้อมูลเชิงพาณิชย์ พวกนี้เพื่อเลี่ยงการขอหมายค้นเหรอ?

    • ใช่
  • เคยมีการปรับ AT&T กรณีที่ยอมให้ NSA ดักฟัง ข้อมูลเครือข่ายที่ถอดรหัสแล้ว ทั้งหมดหรือยัง? เรื่องนั้นดูร้ายแรงกว่านี้มาก
    https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...

    • ถ้า NSA คิดเงินค่ากู้คืนข้อมูลจากแบ็กอัพไดรฟ์ของทุกคนที่ตัวเองสำรองไว้ ก็น่าจะ หาเงินเลี้ยงตัวเอง ได้ด้วยซ้ำ
    • กรณีนั้นทั้งสองพรรคต่างเห็นชอบกับ การคุ้มกันย้อนหลัง
    • ก็ส่งใบแจ้งหนี้ไปที่ NSA ได้เลย
  • บทความที่เกี่ยวข้อง:
    Cape ระดมทุน 61 ล้านดอลลาร์จาก A16Z และอื่น ๆ เพื่อบริการมือถือที่ไม่ใช้ข้อมูลส่วนบุคคล
    https://news.ycombinator.com/item?id=40080673
    https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
    https://www.cape.co/

  • สิ่งเหล่านี้เป็น บทลงโทษทางแพ่ง เลยสงสัยว่า FCC มีข้อจำกัดอย่างไร หรือถ้าไม่มีข้อจำกัด ก็เคลื่อนไหวได้ภายในขอบเขตไหน
    พวกเขาสามารถปรับมากกว่านี้ได้ไหม? และก็สงสัยด้วยว่ามีผลต่อการตัดสินใจของ DOJ ว่าจะดำเนินคดีอาญาหรือไม่หรือเปล่า