FCC ปรับผู้ให้บริการโทรคมนาคมรายใหญ่ของสหรัฐ 200 ล้านดอลลาร์ ฐานแชร์ข้อมูลตำแหน่งโดยไม่ได้รับอนุญาต
(docs.fcc.gov)- FCC ยืนยันการปรับรวมเกือบ 200 ล้านดอลลาร์ต่อ AT&T, Sprint, T-Mobile และ Verizon จากกรณีที่สิทธิ์เข้าถึง ข้อมูลตำแหน่งแบบเรียลไทม์ ของลูกค้าถูกแชร์ให้ภายนอกโดยไม่ได้รับความยินยอม
- ผู้ให้บริการโทรคมนาคมขายสิทธิ์เข้าถึงข้อมูลตำแหน่งให้กับ aggregator และ aggregator ก็นำไปขายต่อให้ผู้ให้บริการบริการระบุตำแหน่งของบุคคลที่สามอีกทอดหนึ่ง
- โครงสร้างนี้โยนความรับผิดชอบในการขอความยินยอมจากลูกค้าไปให้ผู้รับต่อในลำดับถัดไป แต่ในหลายกรณีไม่ได้มีการขอความยินยอมที่มีผลบังคับใช้อย่างถูกต้อง และมาตรการคุ้มครองก็ไม่เพียงพอ
- ค่าปรับมีมูลค่ามากกว่า 12 ล้านดอลลาร์สำหรับ Sprint, มากกว่า 80 ล้านดอลลาร์สำหรับ T-Mobile, มากกว่า 57 ล้านดอลลาร์สำหรับ AT&T และประมาณ 47 ล้านดอลลาร์สำหรับ Verizon โดย Sprint และ T-Mobile ได้ควบรวมกันหลังเริ่มการสอบสวน
- Communications Act Section 222 กำหนดให้คุ้มครองข้อมูลลูกค้า รวมถึงข้อมูลตำแหน่ง และต้องได้รับความยินยอมโดยชัดแจ้ง อีกทั้งภาระหน้าที่เดียวกันนี้ยังใช้กับการแชร์ให้บุคคลที่สามด้วย
โครงสร้างการขายข้อมูลตำแหน่งและขนาดของค่าปรับ
- FCC ระบุเมื่อวันที่ 29 เมษายน 2024 ว่าผู้ให้บริการเครือข่ายไร้สายรายใหญ่ของสหรัฐแชร์สิทธิ์เข้าถึง ข้อมูลตำแหน่ง ของลูกค้าอย่างผิดกฎหมาย และได้สั่งปรับ
- Sprint: มากกว่า 12 ล้านดอลลาร์
- T-Mobile: มากกว่า 80 ล้านดอลลาร์
- AT&T: มากกว่า 57 ล้านดอลลาร์
- Verizon: ประมาณ 47 ล้านดอลลาร์
- ผู้ให้บริการแต่ละรายขายสิทธิ์เข้าถึงข้อมูลตำแหน่งของลูกค้าให้กับ aggregator และ aggregator ก็ขายต่อให้ผู้ให้บริการบริการระบุตำแหน่งของบุคคลที่สาม
- ผู้ให้บริการพยายามผลักภาระหน้าที่ในการขอความยินยอมจากลูกค้าไปยังผู้รับต่อในลำดับถัดไป แต่ในหลายกรณีไม่ได้มีการขอความยินยอมจากลูกค้าอย่างมีผลบังคับใช้อย่างถูกต้อง
- แม้จะรับรู้แล้วว่ามาตรการคุ้มครองไม่มีประสิทธิภาพ ผู้ให้บริการทั้งสี่รายก็ยังคงดำเนินโครงการขายสิทธิ์เข้าถึงข้อมูลตำแหน่งต่อไป โดยไม่มีมาตรการที่สมเหตุสมผลเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- Jessica Rosenworcel ประธาน FCC เน้นย้ำว่าข้อมูลนี้เป็น ข้อมูลอ่อนไหว ที่สามารถเผยให้เห็นเส้นทางการเดินทางและตัวตนของลูกค้าได้
จุดเริ่มต้นของการสอบสวนและฐานกฎหมาย
- การสอบสวนเริ่มขึ้นจากจดหมายเปิดผนึกของวุฒิสมาชิก Ron Wyden ในปี 2018 และรายงานสาธารณะเกี่ยวกับกรณีการใช้งานที่เกี่ยวข้อง
- ตามรายงานสาธารณะ นายอำเภอในรัฐ Missouri สามารถติดตามตำแหน่งของบุคคลหลายรายได้ผ่าน บริการค้นหาตำแหน่ง ที่ดำเนินการโดย Securus ผู้ให้บริการสื่อสารสำหรับสถานราชทัณฑ์
- FCC เห็นว่าหลังจากผู้ให้บริการทั้งสี่รับรู้ถึงการเข้าถึงที่ไม่ได้รับอนุญาตแล้ว ก็ยังไม่ได้จัดให้มีมาตรการคุ้มครองที่สมเหตุสมผลเพื่อตรวจสอบว่าผู้ให้บริการบริการระบุตำแหน่งได้ขอความยินยอมจากลูกค้าจริงหรือไม่
- กฎหมายที่เกี่ยวข้อง เช่น Communications Act Section 222 กำหนดหน้าที่ต่อผู้ให้บริการดังนี้
- ใช้มาตรการที่สมเหตุสมผลเพื่อคุ้มครองข้อมูลลูกค้าบางประเภท รวมถึงข้อมูลตำแหน่ง
- รักษาความลับของข้อมูลลูกค้า
- ต้องได้รับความยินยอมจากลูกค้าอย่างชัดแจ้งและเชิงรุกก่อนใช้งาน เปิดเผย หรืออนุญาตให้เข้าถึงข้อมูล
- ใช้ภาระหน้าที่เดียวกันนี้เมื่อแชร์ข้อมูลลูกค้าให้บุคคลที่สาม
การยืนยันคำสั่งและมาตรการติดตามผล
- Forfeiture Orders ครั้งนี้เป็นการยืนยัน Notices of Apparent Liability ที่ออกเมื่อเดือนกุมภาพันธ์ 2020
- ค่าปรับของ AT&T และ Sprint เท่ากับในขั้น NAL
- ค่าปรับของ T-Mobile และ Verizon ถูกลดลงหลังมีการพิจารณาเอกสารเพิ่มเติมที่ยื่นพร้อมคำตอบต่อ NAL
- กฎหมายไม่อนุญาตให้เพิ่มจำนวนเงินริบสำหรับการละเมิดบางประเภทหลังจากออก NAL แล้ว
- คำสั่งที่เกี่ยวข้อง:
- ประธาน FCC ได้จัดตั้ง Privacy and Data Protection Task Force ขึ้นในปี 2023 โดยหน่วยงานนี้ทำหน้าที่ประสานความต้องการด้านการออกกฎ การบังคับใช้ และการสร้างการรับรู้สาธารณะภายในองค์กรในประเด็นความเป็นส่วนตัวและการคุ้มครองข้อมูล
- FCC ระบุว่าการประกาศครั้งนี้เป็นการประกาศอย่างไม่เป็นทางการของการดำเนินการของคณะกรรมการ และการเผยแพร่ข้อความเต็มของคำสั่งคณะกรรมการคือการดำเนินการอย่างเป็นทางการ
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ประเด็นสำคัญคือ ความโปร่งใส ไม่ใช่ “นโยบายความเป็นส่วนตัว” แต่อยากเห็นว่าบริษัทขายหรือส่งต่อข้อมูลของฉันให้ใคร และการขายนั้นมีข้อจำกัดอะไรบ้าง
แนวคิดเรียบง่ายมาก ถ้าคุณเก็บข้อมูลของฉันและทำให้หน่วยงานอื่นเข้าถึงได้ ก็ควรบอกให้ฉันรู้ ทำให้ตรวจสอบได้ง่าย และทำให้ บล็อก ได้ง่าย แค่ผู้คนได้รู้ว่าจริง ๆ แล้วเกิดอะไรขึ้น การใช้ข้อมูลส่วนบุคคลในทางที่ผิดส่วนใหญ่ก็น่าจะหายไป
การเลิกซื้อขายข้อมูลส่วนบุคคลไปเลยน่าจะดีกว่า แต่ในขั้นแรก อาจทำได้ด้วยการ “ปรับอย่างหนักบริษัทที่ไม่ได้ติดตามอย่างแม่นยำว่าหน่วยงานใดแตะต้องข้อมูลของผู้ใช้บ้าง”
200 ล้านดอลลาร์ เป็นเงินแค่เศษเงิน บริษัทโทรคมนาคมพวกนี้ทำเรื่องนี้มานานแล้ว และจะไม่มีอะไรเปลี่ยนไป
อย่างมากก็แค่เพิ่มเชิงอรรถหนึ่งบรรทัดในนโยบายความเป็นส่วนตัว
เดิมที Securus เป็นบริษัทที่ทำงานเกี่ยวกับผู้ต้องขังในสหรัฐฯ เป็นหลัก แต่หลังจากรวบรวมข้อมูลของทุกคนแล้ว ก็เอาความสามารถและความสัมพันธ์นั้นมาบรรจุใหม่เป็นบริการ ตอนนี้ดูเหมือนจะหายไปแล้ว เป็นความพยายามแบบหยาบ ๆ เพื่อหลีกเลี่ยงคดีความเพิ่มเติมหลังคำวินิจฉัยของ FCC
https://securustechnologies.tech/investigative/investigation...
ยังไม่มีรายละเอียดทางเทคนิคเกี่ยวกับความแม่นยำของการติดตาม เส้นแบ่งว่าจุดไหนเป็นโมเด็มของผู้ให้บริการและจุดไหนเริ่มเป็นเฟิร์มแวร์/ฮาร์ดแวร์นั้นพร่ามัว ซึ่งอาจเป็นความตั้งใจอยู่แล้ว โอกาสที่จะเรียกดูพิกัด GPS แบบเรียลไทม์ได้นั้นต่ำ แต่มีความเป็นไปได้สูงมากว่าพวกเขา query ASN จากสถานีฐานแล้วให้ขอบเขตตำแหน่งโดยประมาณของผู้ใช้
FCC ได้ค่าปรับ 200 ล้านดอลลาร์ แต่ไม่มีใครติดคุก และใน 200 ล้านดอลลาร์นั้น เงินที่กลับไปถึง คนที่ถูกละเมิดความเป็นส่วนตัว คือ 0 ดอลลาร์ สุดท้ายก็เป็นวันจันทร์ธรรมดา ๆ ทุกอย่างเหมือนเดิม
ผู้ถือหุ้นไม่ชอบสถานการณ์แบบ “ถูกปรับเพราะเรื่องนี้แล้วก็ยังทำต่อ และตอนนี้ต้องจ่ายค่าปรับอีก” อีกทั้งถ้าบริษัทเคยถูกปรับจริงจากเรื่องเดียวกันมาก่อน ฝ่ายบริหารรัฐ ศาล และคณะลูกขุนก็จะยิ่งมองข้อแก้ต่างว่า “ไม่รู้” ด้วยความกังขามากขึ้น
เคยทำงานที่เฮดจ์ฟันด์แห่งหนึ่ง ซึ่งซื้อข้อมูล ping โทรศัพท์มือถือของ ชาวอเมริกัน 125 ล้านคน ทุกเดือน
อัลกอริทึม deep learning สารพัดแบบวิเคราะห์การช็อปปิง คลังสินค้า และจำนวนคนที่สัญจรในพื้นที่ต่าง ๆ ผู้คนไม่รู้เลยว่านักลงทุนเอกชนเข้าใจเรื่องนี้ไปถึงระดับไหนแล้ว มันลึกกว่าตัวเลขสาธารณะที่เห็นกันมาก และคนที่ฉลาดที่สุดในโลกกำลังดึงข้อเท็จจริงมหาศาลออกจากพฤติกรรมในชีวิตประจำวันของชาวอเมริกัน แทบทุกอัลกอริทึมทางสถิติที่มนุษยชาติรู้จักถูกนำมาใช้กับข้อมูลนี้
เช่น สมมติว่าซื้อทุกอย่างด้วยเงินสด ใช้ SIM แบบเติมเงินและโทรศัพท์ที่ประวัติการซื้อไม่มีชื่อฉัน และไม่รันอะไรที่ไม่ได้คอมไพล์จากซอร์สเอง ถ้าใช้ NixOS บนโทรศัพท์ ข้อมูลของฉันจะไร้ประโยชน์พอจนไม่เข้าไปอยู่ในชุดข้อมูลพวกนี้ไหม? หรือพวกเขาคุ้นเคยกับการเชื่อมโยง data point จำนวนมากเกินไปแล้ว จนวิธีใช้แต่เงินสดก็แทบไม่มีความหมาย?
เมื่อคิดจาก รายได้ต่อวันรวมกัน ของ T-Mobile, AT&T และ Verizon การทำเงิน 196 ล้านดอลลาร์ใช้เวลาประมาณ 9 ชั่วโมงเท่านั้น
หากสมมติว่ารายได้ต่อวันรวมของทั้งสามบริษัทคือ T-Mobile 45.5 ล้านดอลลาร์, AT&T 125.6 ล้านดอลลาร์ และ Verizon 349.3 ล้านดอลลาร์ รวมเป็น 520.4 ล้านดอลลาร์ หารด้วย 24 ชั่วโมงจะได้ 21.6 ล้านดอลลาร์ต่อชั่วโมง และเมื่อเอาค่าปรับ 196 ล้านดอลลาร์มาหาร ก็ได้ประมาณ 9.07 ชั่วโมง
วิธีที่น่าสนใจกว่าคือดูจาก กำไร ซึ่งใกล้เคียงกับผลกระทบจริงมากกว่า
แค่ประเด็นที่ว่า “แชร์สิทธิ์เข้าถึงข้อมูลตำแหน่งของลูกค้าโดยไม่ได้รับความยินยอม” ดูเหมือนจะยังไม่พอที่จะหยุดไม่ให้ผู้ให้บริการโทรคมนาคมเพิ่มคำว่า “การแชร์ข้อมูลตำแหน่ง” เข้าไปใน EULA หรือ นโยบายความเป็นส่วนตัวที่ไม่มีใครอ่าน แล้วอ้างว่าตอนนี้ได้รับ ความยินยอม แล้วและทำต่อไป
ถ้าไม่บังคับให้มีตัวเลือกปฏิเสธแยกต่างหาก ในระยะยาวก็คงเหมือนเนินชะลอความเร็วชั่วคราวที่ไม่ได้เปลี่ยนอะไรเลย
คณะกรรมาธิการยอมรับว่า ข้อกำหนดเรื่องความยินยอมล่วงหน้าเพียงอย่างเดียวไม่เพียงพอ ต่อการคุ้มครอง CPNI ของลูกค้า โดยเฉพาะเพราะวิธีการอย่าง “pretexting” ซึ่งเป็นการแอบอ้างว่าเป็นลูกค้ารายใดรายหนึ่งหรือผู้มีอำนาจ เพื่อได้มาซึ่งข้อมูลลูกค้าอย่างผิดกฎหมาย สามารถหลีกเลี่ยงข้อกำหนดเรื่องความยินยอมล่วงหน้าได้
อาจมีหรือไม่มีถ้อยคำอย่าง “เพื่อป้องกันการฉ้อโกงและ/หรือวัตถุประสงค์อื่น ๆ” ต่อท้าย บริษัทประกันก็เช่นกัน เคยเห็นเงื่อนไขแบบนั้น และค่อนข้างมั่นใจว่ามันดึงข้อมูลมาจากผู้ให้บริการมือถือ
หน่วยงานยุติธรรมของสหรัฐฯ ไม่ได้ซื้อ ข้อมูลเชิงพาณิชย์ พวกนี้เพื่อเลี่ยงการขอหมายค้นเหรอ?
เคยมีการปรับ AT&T กรณีที่ยอมให้ NSA ดักฟัง ข้อมูลเครือข่ายที่ถอดรหัสแล้ว ทั้งหมดหรือยัง? เรื่องนั้นดูร้ายแรงกว่านี้มาก
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
บทความที่เกี่ยวข้อง:
Cape ระดมทุน 61 ล้านดอลลาร์จาก A16Z และอื่น ๆ เพื่อบริการมือถือที่ไม่ใช้ข้อมูลส่วนบุคคล
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
สิ่งเหล่านี้เป็น บทลงโทษทางแพ่ง เลยสงสัยว่า FCC มีข้อจำกัดอย่างไร หรือถ้าไม่มีข้อจำกัด ก็เคลื่อนไหวได้ภายในขอบเขตไหน
พวกเขาสามารถปรับมากกว่านี้ได้ไหม? และก็สงสัยด้วยว่ามีผลต่อการตัดสินใจของ DOJ ว่าจะดำเนินคดีอาญาหรือไม่หรือเปล่า