Thời gian 4 ngày để phản đối các yêu cầu KYC của dịch vụ Internet

 (federalregister.gov)
1 điểm bởi GN⁺ 2024-04-26 | 1 bình luận | Chia sẻ qua WhatsApp

Tóm tắt quy định về chương trình nhận diện khách hàng và miễn trừ dành cho nhà cung cấp IaaS

  • Tất cả nhà cung cấp IaaS tại Mỹ bắt buộc phải xây dựng và triển khai chương trình nhận diện khách hàng (CIP) bằng văn bản, đáp ứng ít nhất các yêu cầu tối thiểu
  • CIP phải bao gồm các quy trình như thu thập thông tin nhận diện của khách hàng và chủ sở hữu hưởng lợi thực tế, xác minh danh tính của khách hàng và chủ sở hữu hưởng lợi thực tế là người nước ngoài, lưu trữ thông tin, và thông báo cho khách hàng liên quan đến việc công bố thông tin
  • Nhà cung cấp IaaS phải thu thập tối thiểu các thông tin như tên, địa chỉ, phương thức/nguồn thanh toán tài khoản, email, số điện thoại, địa chỉ IP từ khách hàng và chủ sở hữu hưởng lợi thực tế là người nước ngoài
  • Nhà cung cấp IaaS phải xây dựng các quy trình dựa trên rủi ro để xác minh danh tính của khách hàng và chủ sở hữu hưởng lợi thực tế là người nước ngoài bằng tài liệu hoặc phi tài liệu
  • CIP cũng phải bao gồm các quy trình xử lý các tình huống không thể xác minh danh tính khách hàng
  • Tất cả thông tin thu được trong quá trình xác minh thông tin khách hàng phải được lưu trữ an toàn tối thiểu 2 năm, đồng thời phải có quy trình hạn chế bên thứ ba truy cập
  • Nhà cung cấp IaaS cũng phải yêu cầu các reseller nước ngoài duy trì và triển khai CIP, và phải cung cấp bản sao CIP của reseller cho Bộ Thương mại trong vòng 10 ngày khi có yêu cầu
  • Phải chấm dứt giao dịch với reseller nước ngoài không tuân thủ trong vòng 30 ngày

Tóm tắt yêu cầu báo cáo CIP

  • Tất cả nhà cung cấp IaaS phải nộp biểu mẫu chứng nhận CIP để thông báo cho Bộ Thương mại về việc triển khai CIP của chính mình và của các reseller nước ngoài
  • Phải rà soát và cập nhật CIP hằng năm để tái chứng nhận, đồng thời phải thông báo cho Bộ Thương mại nếu có thay đổi trọng yếu trong thời gian giữa các lần chứng nhận
  • Nhà cung cấp IaaS mới phải nộp biểu mẫu chứng nhận CIP trước khi cung cấp dịch vụ, và cũng phải thông báo khi bổ sung reseller nước ngoài mới
  • Phải thu thập thông tin CIP từ reseller nước ngoài và nộp cho Bộ Thương mại hằng năm

Tóm tắt đánh giá tuân thủ CIP

  • Bộ Thương mại có thể yêu cầu bản sao CIP của nhà cung cấp IaaS để kiểm tra và có thể thông báo yêu cầu khắc phục các điểm còn thiếu sót
  • Bộ Thương mại đánh giá mức độ rủi ro và thực hiện đánh giá tuân thủ dựa trên đánh giá nội bộ hoặc thông tin do nhà cung cấp IaaS nộp lên
  • Tùy theo kết quả giám sát tuân thủ, cơ quan này có thể khuyến nghị các biện pháp giảm thiểu rủi ro hoặc biện pháp đặc biệt

Tóm tắt quy định miễn trừ CIP

  • Bộ trưởng Thương mại có thể cấp miễn trừ việc tuân thủ yêu cầu CIP đối với nhà cung cấp IaaS, loại tài khoản, bên thuê, reseller nước ngoài, v.v.
  • Nhà cung cấp IaaS có thể xin miễn trừ yêu cầu CIP bằng cách xây dựng chương trình phòng chống lạm dụng sản phẩm IaaS (ADP)
  • ADP phải bao gồm các chính sách và quy trình như nhận diện chỉ báo rủi ro, phát hiện, ứng phó và cập nhật định kỳ
  • Để duy trì miễn trừ, các thay đổi của ADP phải được thông báo hằng năm cho Bộ Thương mại, và miễn trừ có thể bị hủy bất cứ lúc nào

Tóm tắt các biện pháp đặc biệt đối với quốc gia hoặc người nước ngoài cụ thể

  • Bộ trưởng Thương mại có thể áp đặt biện pháp đặc biệt nếu xác định rằng một quốc gia hoặc người nước ngoài cụ thể có liên quan đến hoạt động mạng lạm dụng các sản phẩm IaaS của Mỹ
  • Có thể áp dụng các biện pháp như cấm hoặc đặt điều kiện đối với việc mở tài khoản của người nước ngoài trong quốc gia đó, hoặc cấm hay hạn chế việc mở tài khoản của người nước ngoài cụ thể
  • Việc có áp dụng biện pháp đặc biệt hay không và áp dụng loại nào sẽ được quyết định sau khi đánh giá tổng hợp các yếu tố liên quan

Tóm tắt yêu cầu báo cáo về huấn luyện mô hình AI quy mô lớn

  • Nhà cung cấp IaaS phải báo cáo cho Bộ Thương mại trong vòng 15 ngày nếu biết về một giao dịch huấn luyện mô hình AI quy mô lớn có thể bị người nước ngoài lạm dụng cho hoạt động mạng độc hại
  • Reseller nước ngoài cũng có nghĩa vụ báo cáo tương tự, và nhà cung cấp IaaS phải nộp nội dung đó cho Bộ Thương mại trong vòng 30 ngày
  • Khi có yêu cầu từ Bộ Thương mại, phải nộp báo cáo bổ sung với thông tin thêm trong vòng 15 ngày
  • Nếu phát hiện sai sót, phải nộp báo cáo chỉnh sửa trong vòng 15 ngày
  • Báo cáo phải bao gồm thông tin về khách hàng nước ngoài, thông tin liên quan đến hoạt động huấn luyện, v.v.
  • Nhà cung cấp IaaS phải nỗ lực hợp lý để bảo đảm reseller nước ngoài tuân thủ các yêu cầu này

Tóm tắt việc thực thi đối với vi phạm quy định

  • Các hành vi bị cấm bao gồm không thiết lập/không duy trì CIP, reseller không tuân thủ CIP, không thực hiện lệnh cấm/đình chỉ huấn luyện mô hình AI quy mô lớn, v.v.
  • Việc khai báo gian dối với Bộ Thương mại cũng được coi là hành vi vi phạm
  • Theo IEEPA, có thể bị phạt dân sự với mức tối đa 250.000 USD cho mỗi vụ hoặc gấp đôi giá trị giao dịch vi phạm, tùy theo mức nào lớn hơn
  • Nếu vi phạm có chủ ý, có thể bị phạt tới 1 triệu USD hoặc phạt tù tối đa 20 năm
  • Ngoài ra, còn có thể bị áp dụng các hình phạt dân sự/hình sự khác theo luật Mỹ

Ý kiến của GN⁺

Quy định này dường như nhằm buộc các nhà cung cấp IaaS tại Mỹ phải nhận diện và xác minh khách hàng nước ngoài để ngăn việc bị lạm dụng cho các hoạt động mạng độc hại. Đặc biệt, có vẻ như nó cũng phản ánh mối lo ngại về việc IaaS được sử dụng cho huấn luyện mô hình AI quy mô lớn.

Từ góc nhìn của nhà cung cấp IaaS, gánh nặng liên quan đến thu thập và xác minh thông tin khách hàng, lưu trữ hồ sơ, v.v. có thể sẽ tăng lên. Việc xác minh khách hàng nước ngoài có thể không dễ dàng, và các vấn đề về quyền riêng tư cũng được dự báo. Quan hệ hợp đồng với reseller nước ngoài chắc chắn cũng sẽ bị ảnh hưởng.

Mặt khác, chính phủ dường như đang tìm cách tăng cường khả năng kiểm soát đối với thị trường IaaS và ngăn chặn các mối đe dọa an ninh quốc gia thông qua quy định này. Điều khoản về các biện pháp đặc biệt nhắm vào quốc gia hoặc tác nhân cụ thể khá nổi bật, và có vẻ phản ánh các căng thẳng địa chính trị.

Các điều khoản liên quan đến mô hình AI quy mô lớn cho thấy nhận thức về tính lưỡng dụng của AI đang tăng lên. Có thể thấy ý định của chính phủ trong việc giám sát các hoạt động phát triển AI thông qua IaaS. Điều này có thể được hiểu là nỗ lực ứng phó với các rủi ro mới phát sinh cùng với tiến bộ công nghệ.

Quy định này dường như là một phần của quá trình tìm kiếm sự cân bằng giữa an ninh quốc gia và đổi mới công nghệ. Dù là gánh nặng đối với các nhà cung cấp IaaS, về dài hạn nó có thể góp phần cải thiện tính lành mạnh và mức độ tin cậy của thị trường. Tuy vậy, cũng có lo ngại rằng quy định quá mức có thể cản trở đổi mới, nên việc triển khai cần được thực hiện một cách thận trọng.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-04-26
Ý kiến trên Hacker News
  • Dự luật này dường như yêu cầu các nhà cung cấp IaaS (hạ tầng dưới dạng dịch vụ) phải xác minh danh tính của những người sử dụng dịch vụ của họ để huấn luyện AI. Đây là nỗ lực nhằm ngăn những đối tượng bị trừng phạt hoặc tác nhân xấu huấn luyện AI, rồi tiếp tục huấn luyện mô hình bằng cách chuyển đổi giữa các dịch vụ hoặc dùng bí danh.
  • Điều này có vẻ khá vô hại, và tôi khó hiểu được những phép so sánh mà người khác đưa ra trong thảo luận HN. Tôi tự hỏi liệu đây có phải là một con dốc trơn trượt hay tôi đang ngây thơ về phạm vi của dự luật.
  • Các nhà cung cấp IaaS sẽ phản đối dữ dội, và nếu AWS bắt đầu yêu cầu tài liệu KYC, tôi sẽ lập tức chuyển toàn bộ tài nguyên đám mây sang nơi khác. Việc này gần như không tốn mấy công sức.
  • KYC là viết tắt của "biết khách hàng của bạn". Nên viết đầy đủ khi dùng từ viết tắt lần đầu, nhất là vì trong bài báo được liên kết chính từ viết tắt này không được sử dụng. Cũng đáng lưu ý là đề xuất này áp dụng cho các sản phẩm IaaS của Mỹ chứ không phải các "dịch vụ internet" nói chung.
  • Nếu các ngân hàng đã biết khách hàng của họ, thì chúng ta không cần phải làm vậy. Con đường của KYC luôn dẫn đến thanh toán và tài chính. Nếu chúng ta chấp nhận thanh toán dịch vụ qua các giao dịch thẻ ngân hàng tiêu chuẩn hoặc chuyển khoản, thì việc nhận diện khách hàng có thể được tập trung ở phía ngân hàng.
  • Tôi lo ngại về xu hướng bổ sung yêu cầu KYC cho ngày càng nhiều dịch vụ trực tuyến. KYC tạo ra gánh nặng lớn cho những người muốn cung cấp dịch vụ.
  • Các hệ thống KYC có xu hướng không lọc được tội phạm một cách hiệu quả. Phần lớn hệ thống KYC phụ thuộc vào các đơn vị tổng hợp dữ liệu (những người mua dữ liệu cá nhân), và những người trẻ, nghèo hoặc coi trọng quyền riêng tư sẽ dễ bị xem là đáng ngờ.