คณะกรรมการกลางกำกับดูแลกิจการสื่อสารของสหรัฐฯ (FCC) ปรับผู้ให้บริการมือถือรายใหญ่สูงสุด กรณีแชร์ข้อมูลตำแหน่งที่ตั้ง

 (docs.fcc.gov)
1 คะแนน โดย GN⁺ 2024-04-30 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • FCC สั่งปรับ AT&T, Sprint, T-Mobile และ Verizon รวมเกือบ 200 ล้านดอลลาร์ จากการแชร์ข้อมูลตำแหน่งที่ตั้งของลูกค้าให้บุคคลที่สามโดยผิดกฎหมายและไม่มีความยินยอมจากลูกค้า
    • Sprint และ T-Mobile ได้ควบรวมกันหลังจากเริ่มการสอบสวน โดยเผชิญค่าปรับ 12 ล้านดอลลาร์ และ 80 ล้านดอลลาร์ ตามลำดับ
    • AT&T ถูกปรับมากกว่า 57 ล้านดอลลาร์ ส่วน Verizon ถูกปรับราว 47 ล้านดอลลาร์

การละเมิดหน้าที่คุ้มครองข้อมูลลูกค้า

  • จากผลสอบสวนของสำนักบังคับใช้กฎหมายของ FCC ผู้ให้บริการแต่ละรายได้ขายสิทธิ์เข้าถึงข้อมูลตำแหน่งที่ตั้งของลูกค้าให้กับ "aggregator" ซึ่งต่อมาได้นำสิทธิ์เข้าถึงนั้นไปขายต่อให้ผู้ให้บริการบริการระบุตำแหน่งของบุคคลที่สาม
  • ผู้ให้บริการแต่ละรายพยายามผลักภาระการขอความยินยอมจากลูกค้าไปยังผู้รับข้อมูลตำแหน่งที่ตั้งปลายน้ำ ซึ่งหมายความว่าในกรณีส่วนใหญ่ไม่ได้รับความยินยอมจากลูกค้าที่มีผลใช้ได้จริง
  • ความล้มเหลวตั้งแต่แรกนี้ยิ่งรุนแรงขึ้นเมื่อผู้ให้บริการยังคงขายสิทธิ์เข้าถึงข้อมูลตำแหน่งที่ตั้งต่อไป โดยไม่ได้ดำเนินมาตรการที่สมเหตุสมผลเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต แม้จะตระหนักแล้วว่ามาตรการป้องกันที่มีอยู่นั้นใช้การไม่ได้ผล

หน้าที่คุ้มครองข้อมูลลูกค้าตามมาตรา 222 ของกฎหมายโทรคมนาคม

  • ภายใต้กฎหมายรวมถึงมาตรา 222 ของกฎหมายโทรคมนาคม ผู้ให้บริการต้องดำเนินมาตรการที่สมเหตุสมผลเพื่อคุ้มครองข้อมูลลูกค้าบางประเภท ซึ่งรวมถึงข้อมูลตำแหน่งที่ตั้ง
  • นอกจากนี้ ผู้ให้บริการต้องรักษาความลับของข้อมูลลูกค้า และต้องได้รับความยินยอมจากลูกค้าอย่างชัดแจ้งและเชิงรุกก่อนใช้ เปิดเผย หรืออนุญาตให้เข้าถึงข้อมูลดังกล่าว
  • หน้าที่ดังกล่าวยังคงมีผลเช่นเดียวกันเมื่อผู้ให้บริการแชร์ข้อมูลลูกค้ากับบุคคลที่สาม

คำกล่าวของ Loyaan A. Egal ผู้อำนวยการสำนักบังคับใช้กฎหมายของ FCC

  • "การคุ้มครองและการใช้ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น ข้อมูลตำแหน่งที่ตั้ง เป็นเรื่องที่ไม่อาจละเมิดได้"
  • "หากตกไปอยู่ในมือคนผิดหรือถูกนำไปใช้ด้วยเจตนาร้าย ก็จะทำให้พวกเราทุกคนตกอยู่ในความเสี่ยง"
  • "เนื่องจากฝ่ายปรปักษ์จากต่างประเทศและอาชญากรไซเบอร์ให้ความสำคัญกับการได้มาซึ่งข้อมูลนี้เป็นอันดับต้น ๆ ภารกิจเร่งด่วนสูงสุดของสำนักบังคับใช้กฎหมายคือการทำให้ผู้ให้บริการมีมาตรการคุ้มครองที่สมเหตุสมผลเพื่อปกป้องข้อมูลตำแหน่งที่ตั้งของลูกค้า และได้รับความยินยอมที่มีผลใช้ได้จริงต่อการใช้ข้อมูลดังกล่าว"

การยืนยันขั้นสุดท้ายของ Notices of Apparent Liability (NAL) ที่ออกเมื่อเดือนกุมภาพันธ์ 2020

  • Forfeiture Orders ที่ประกาศในวันนี้เป็นการยืนยันขั้นสุดท้ายของ Forfeiture Orders ที่ออกให้ผู้ให้บริการเหล่านี้เมื่อเดือนกุมภาพันธ์ 2020
  • จำนวนค่าปรับของ AT&T และ Sprint ไม่มีการเปลี่ยนแปลงจากขั้นตอน NAL
  • ค่าปรับของ T-Mobile และ Verizon ถูกลดลงหลังมีการพิจารณาเพิ่มเติมต่อเอกสารที่คู่กรณียื่นตอบ NAL
  • กฎหมายไม่อนุญาตให้เพิ่มจำนวนค่าปรับสำหรับการละเมิดบางประเภทหลังจากมีการออก NAL แล้ว

ความเห็นของ GN⁺

  • กรณีที่ผู้ให้บริการสื่อสารรั่วไหลข้อมูลตำแหน่งที่ตั้งอันอ่อนไหวของลูกค้าโดยไม่ได้รับอนุญาต และยังไม่มีมาตรการป้องกันที่เหมาะสมเพื่อหยุดยั้งเรื่องนี้ ถือเป็นปัญหาที่ร้ายแรงมาก โดยเฉพาะเมื่อฝ่ายปรปักษ์จากต่างประเทศและอาชญากรไซเบอร์กำลังจับตาข้อมูลลักษณะนี้อยู่
  • อย่างไรก็ตาม มาตรการครั้งนี้ดูเหมือนจะล่าช้าเกินไป มีสัญญาณว่าจะมีการปรับตั้งแต่ปี 2020 แต่เพิ่งมีคำตัดสินสุดท้ายหลังจากผ่านไปถึง 4 ปี จึงดูเป็นปัญหา และน่าจะต้องมีมาตรการที่รวดเร็วและเข้มงวดกว่านี้ต่อการรั่วไหลของข้อมูลลูกค้า
  • อีกด้านหนึ่ง จำนวนค่าปรับระดับนี้อาจไม่ได้สร้างผลกระทบมากนักต่อผู้ให้บริการขนาดใหญ่เช่นนี้ หากต้องการป้องกันไม่ให้เกิดการรั่วไหลซ้ำ อาจจำเป็นต้องมีมาตรการลงโทษที่เข้มข้นยิ่งขึ้น
  • ผู้ให้บริการโทรคมนาคมในเกาหลีควรใช้กรณีนี้เป็นบทเรียน และเพิ่มความเข้มงวดของมาตรการป้องกันข้อมูลลูกค้า พร้อมปฏิบัติตามกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด โดยเฉพาะในกรณีของข้อมูลอ่อนไหว เช่น ข้อมูลตำแหน่งที่ตั้ง ที่ต้องใช้ความระมัดระวังมากเป็นพิเศษ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-04-30
ความเห็นจาก Hacker News

ต่อไปนี้คือสรุปประเด็นสำคัญจากความเห็นบน Hacker News ในรูปแบบรายการหัวข้อย่อยด้วย Markdown:

  • ประเด็นหลักคือความโปร่งใส:

    • ผู้ใช้ต้องการเห็นว่าบริษัทขายหรือให้ข้อมูลของตนกับใครบ้าง และการขายนั้นมีข้อจำกัดอะไร
    • หากบริษัทเก็บข้อมูลผู้ใช้และอนุญาตให้อีกหน่วยงานหนึ่งเข้าถึง ก็ควรแจ้งให้ผู้ใช้ทราบและทำให้สามารถบล็อกได้ง่าย
    • การนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิดส่วนใหญ่จะหมดไป หากผู้คนรู้ว่ามันกำลังเกิดขึ้น

  • ค่าปรับ 200 ล้านดอลลาร์แทบไม่มีนัยสำคัญสำหรับผู้ให้บริการเหล่านี้:

    • ใช้เพียงรายได้รวมต่อวันของ T-Mobile, AT&T และ Verizon ราว 9 ชั่วโมง ก็สร้างรายได้ 196 ล้านดอลลาร์ได้แล้ว
    • มีแนวโน้มว่าจะไม่มีอะไรเปลี่ยน นอกจากเพิ่มเชิงอรรถในนโยบายความเป็นส่วนตัว

  • ความกังวลต่อประสิทธิภาพของการดำเนินการของ FCC:

    • หากไม่ได้บังคับให้มีการ opt-out แยกต่างหาก ผู้ให้บริการก็อาจแค่เพิ่มข้อความ "การแชร์ข้อมูลตำแหน่ง" ลงใน EULA/นโยบายความเป็นส่วนตัว แล้วดำเนินการต่อโดยถือว่าเป็น "ความยินยอม"
    • เรื่องนี้ดูเหมือนเป็นเพียงอุปสรรคชั่วคราวที่ไม่เปลี่ยนแปลงอะไรในระยะยาว

  • ปฏิกิริยาเชิงบวกต่อการดำเนินการของ FCC:

    • บางคนดีใจที่เห็น FCC ลงมือดำเนินการ และสนับสนุนให้ทำต่อไป

  • คำถามเกี่ยวกับการที่หน่วยงานบังคับใช้กฎหมายเลี่ยงการขอหมายศาล:

    • มีความกังวลว่าหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ อาจซื้อข้อมูลเชิงพาณิชย์ประเภทนี้เพื่อเลี่ยงการต้องขอหมายศาล

  • สตาร์ทอัพที่เกี่ยวข้องซึ่งให้บริการมือถือโดยไม่ใช้ข้อมูลส่วนบุคคล:

    • Cape ระดมทุนได้ 61 ล้านดอลลาร์จาก A16Z และรายอื่น ๆ สำหรับบริการมือถือที่ไม่ใช้ข้อมูลส่วนบุคคล

  • การเปรียบเทียบกับอื้อฉาวการสอดแนมของ AT&T/NSA:

    • บางคนตั้งคำถามว่าเคยมีใครถูกปรับจากกรณีที่ AT&T ปล่อยให้ NSA ดักข้อมูลเครือข่ายที่ถอดรหัสแล้วทั้งหมดหรือไม่ ซึ่งดูร้ายแรงยิ่งกว่า

  • คำถามเกี่ยวกับผลกระทบต่อผู้รวบรวมข้อมูลตำแหน่ง:

    • บางคนสงสัยว่ามีใครที่ใช้ผู้ให้บริการอย่าง Zumigo, LocationSmart หรือ Microbilt สังเกตเห็นว่าสัญญาณ/ความพร้อมใช้งานของข้อมูลอ่อนลงจากเรื่องนี้หรือไม่
    • มีการคาดการณ์ว่าแหล่งติดตามยังคงมีให้ใช้อยู่ แต่จะมาพร้อมการเปิดเผยข้อมูลแบบใหม่ที่ "โปร่งใสมากขึ้น"

  • การตั้งคำถามว่า Google Fi ขายข้อมูลตำแหน่งของผู้ใช้หรือไม่:

    • ผู้แสดงความเห็นคนหนึ่งสงสัยว่าบริการมือถือของ Google เองอย่าง Google Fi ขายข้อมูลตำแหน่งแบบเรียลไทม์ของผู้ใช้หรือไม่