- FCC đã chốt mức phạt gần 200 triệu USD đối với AT&T, Sprint, T-Mobile và Verizon liên quan đến vụ quyền truy cập dữ liệu vị trí theo thời gian thực của khách hàng bị chia sẻ ra bên ngoài mà không có sự đồng ý
- Các nhà mạng đã bán quyền truy cập dữ liệu vị trí cho các aggregator, và các aggregator này lại bán tiếp cho các nhà cung cấp dịch vụ định vị bên thứ ba
- Cấu trúc này đẩy trách nhiệm thu thập sự đồng ý của khách hàng xuống các bên nhận ở tầng dưới, nhưng trong nhiều trường hợp không có sự đồng ý hợp lệ và các biện pháp bảo vệ cũng không đầy đủ
- Mức phạt gồm: Sprint hơn 12 triệu USD, T-Mobile hơn 80 triệu USD, AT&T hơn 57 triệu USD, và Verizon khoảng 47 triệu USD; Sprint và T-Mobile đã sáp nhập sau khi cuộc điều tra bắt đầu
- Section 222 của Communications Act yêu cầu bảo vệ thông tin khách hàng, bao gồm dữ liệu vị trí, và phải có sự đồng ý rõ ràng; nghĩa vụ này cũng áp dụng khi chia sẻ cho bên thứ ba
Cấu trúc mua bán dữ liệu vị trí và quy mô tiền phạt
- FCC cho biết vào ngày 29/4/2024 rằng các nhà mạng không dây lớn của Mỹ đã chia sẻ trái phép quyền truy cập dữ liệu vị trí của khách hàng và áp mức phạt tương ứng
- Sprint: hơn 12 triệu USD
- T-Mobile: hơn 80 triệu USD
- AT&T: hơn 57 triệu USD
- Verizon: khoảng 47 triệu USD
- Mỗi nhà mạng đã bán quyền truy cập dữ liệu vị trí khách hàng cho các aggregator, sau đó các aggregator tiếp tục bán lại cho các nhà cung cấp dịch vụ định vị bên thứ ba
- Các nhà mạng tìm cách chuyển nghĩa vụ xin sự đồng ý của khách hàng cho các bên nhận ở tầng dưới, nhưng trong nhiều trường hợp sự đồng ý hợp lệ của khách hàng đã không được thu thập
- Ngay cả sau khi biết rằng các biện pháp bảo vệ không hiệu quả, bốn nhà mạng vẫn tiếp tục vận hành chương trình bán quyền truy cập dữ liệu vị trí mà không có các biện pháp hợp lý để ngăn chặn truy cập trái phép
- Chủ tịch FCC Jessica Rosenworcel nhấn mạnh rằng đây là thông tin nhạy cảm có thể tiết lộ lộ trình di chuyển và danh tính của khách hàng
Nguyên nhân điều tra và căn cứ pháp lý
- Cuộc điều tra bắt đầu từ thư ngỏ năm 2018 của Thượng nghị sĩ Ron Wyden và các bài báo công khai về những trường hợp sử dụng liên quan
- Theo các báo cáo công khai, một cảnh sát trưởng ở Missouri đã có thể theo dõi vị trí của nhiều người thông qua dịch vụ tra cứu vị trí do nhà cung cấp dịch vụ liên lạc trong cơ sở giam giữ Securus vận hành
- FCC kết luận rằng ngay cả sau khi nhận thức được truy cập trái phép, bốn nhà mạng vẫn không thiết lập các biện pháp bảo vệ hợp lý để xác minh liệu các nhà cung cấp dịch vụ định vị có thực sự nhận được sự đồng ý của khách hàng hay không
- Các luật liên quan, bao gồm Section 222 của Communications Act, áp đặt cho nhà mạng các nghĩa vụ sau
- Có biện pháp hợp lý để bảo vệ một số thông tin khách hàng nhất định, bao gồm dữ liệu vị trí
- Duy trì tính bảo mật của thông tin khách hàng
- Phải có sự đồng ý rõ ràng và chủ động của khách hàng trước khi sử dụng, tiết lộ hoặc cho phép truy cập thông tin
- Áp dụng cùng các nghĩa vụ đó khi chia sẻ thông tin khách hàng với bên thứ ba
Xác nhận lệnh phạt và các bước tiếp theo
- Các Forfeiture Orders lần này là việc xác nhận các Notices of Apparent Liability được ban hành vào tháng 2/2020
- Mức phạt đối với AT&T và Sprint giữ nguyên như ở giai đoạn NAL
- Mức phạt đối với T-Mobile và Verizon đã được giảm sau khi xem xét thêm tài liệu nộp kèm phản hồi NAL
- Luật không cho phép tăng mức tịch thu đối với một số vi phạm nhất định sau khi NAL đã được ban hành
- Các lệnh liên quan:
- Chủ tịch FCC đã thành lập Privacy and Data Protection Task Force vào năm 2023; tổ chức này điều phối trong nội bộ cơ quan các yêu cầu liên quan đến xây dựng quy định, thực thi và nâng cao nhận thức công chúng về quyền riêng tư và bảo vệ dữ liệu
- FCC cho biết thông báo lần này là công bố không chính thức về hành động của ủy ban, còn việc công bố toàn văn lệnh của ủy ban mới là hành động chính thức
1 bình luận
Ý kiến trên Hacker News
Cốt lõi là tính minh bạch. Điều tôi muốn thấy không phải là “chính sách quyền riêng tư”, mà là công ty đã bán hoặc chuyển thông tin của tôi cho ai, và những giới hạn nào được áp lên việc đó
Khái niệm này rất đơn giản. Nếu họ thu thập dữ liệu của tôi và cho chủ thể khác truy cập, thì họ phải thông báo điều đó, cho phép tôi dễ dàng kiểm tra và chặn. Chỉ cần mọi người biết chuyện gì thực sự đang diễn ra thì phần lớn việc lạm dụng dữ liệu cá nhân sẽ biến mất
Xóa bỏ hẳn việc mua bán dữ liệu cá nhân thì tốt hơn, nhưng bước đầu có thể là “phạt thật nặng những công ty không theo dõi chính xác chủ thể nào đã chạm vào dữ liệu của người dùng”
200 triệu USD chỉ là tiền lẻ. Các nhà mạng này đã làm chuyện này suốt thời gian dài, và sẽ chẳng có gì thay đổi
Cùng lắm thì chỉ thêm một chú thích vào chính sách quyền riêng tư
Securus vốn là công ty chủ yếu làm mảng liên quan đến tù nhân tại Mỹ, nhưng sau đó thu thập dữ liệu của tất cả mọi người rồi đóng gói lại năng lực và các mối quan hệ đó thành dịch vụ. Có vẻ giờ nó đã biến mất như một nỗ lực vụng về nhằm tránh thêm kiện tụng sau phán quyết của FCC
https://securustechnologies.tech/investigative/investigation...
Hiện vẫn chưa có chi tiết kỹ thuật về độ chính xác của việc theo dõi. Ranh giới giữa modem của nhà mạng kết thúc ở đâu và firmware/phần cứng bắt đầu ở đâu khá mơ hồ, và có thể đó là chủ ý. Khả năng họ có thể truy vấn tọa độ GPS theo thời gian thực là thấp, còn khả năng cao là họ tra ASN từ trạm phát sóng để cung cấp phạm vi vị trí gần đúng của người dùng
FCC thu được khoản phạt 200 triệu USD, nhưng không ai phải ngồi tù, và trong số 200 triệu USD đó thì những người bị xâm phạm đời tư nhận được 0 USD. Rốt cuộc vẫn chỉ là một ngày thứ Hai bình thường như bao ngày khác
Cổ đông không thích tình huống “họ đã bị phạt vì việc này mà vẫn tiếp tục, giờ lại phải nộp phạt thêm”. Và nếu công ty từng thực sự bị phạt vì cùng hành vi trong quá khứ, thì phía hành pháp, tòa án và bồi thẩm đoàn cũng sẽ hoài nghi hơn với lập luận biện hộ kiểu “chúng tôi không biết”
Tôi từng làm ở một quỹ phòng hộ, và mỗi tháng họ mua dữ liệu ping điện thoại của 125 triệu người Mỹ
Đủ loại thuật toán deep learning được dùng để phân tích mua sắm, kho hàng, và các luồng di chuyển khác. Mọi người hoàn toàn không biết các nhà đầu tư tư nhân hiểu được đến mức nào. Nó sâu hơn rất nhiều so với những gì các con số công khai cho thấy, và những người thông minh nhất hành tinh đang rút ra khối thông tin khổng lồ từ thói quen sinh hoạt hằng ngày của người Mỹ. Gần như mọi thuật toán thống kê mà loài người biết đến đều đã được áp dụng lên dữ liệu này
Ví dụ, giả sử tôi mua mọi thứ bằng tiền mặt, dùng SIM trả trước và điện thoại không có tên tôi trong lịch sử mua hàng, và không chạy bất cứ thứ gì không tự biên dịch từ mã nguồn. Nếu tôi dùng kiểu như NixOS trên điện thoại thì dữ liệu của tôi có đủ vô dụng để không bị đưa vào các bộ dữ liệu kiểu này không? Hay là mọi người đã quá quen với việc nối quá nhiều điểm dữ liệu với nhau đến mức chỉ dùng tiền mặt giờ cũng chẳng còn ý nghĩa gì nữa?
Dựa trên doanh thu mỗi ngày cộng lại của T-Mobile, AT&T và Verizon, họ chỉ mất khoảng 9 giờ để kiếm ra 196 triệu USD
Nếu giả sử doanh thu mỗi ngày cộng lại của ba công ty là 45,5 triệu USD cho T-Mobile, 125,6 triệu USD cho AT&T và 349,3 triệu USD cho Verizon thì tổng là 520,4 triệu USD. Chia cho 24 giờ sẽ ra 21,6 triệu USD mỗi giờ, và chia khoản phạt 196 triệu USD cho con số đó sẽ ra khoảng 9,07 giờ
Sẽ thú vị hơn nếu nhìn theo lợi nhuận, vì con số đó gần hơn với tác động thực tế
Chỉ với điểm rằng “đã chia sẻ quyền truy cập thông tin vị trí của khách hàng mà không có sự đồng ý” thì có vẻ không thể ngăn các nhà mạng chỉ việc thêm mục “chia sẻ dữ liệu vị trí” vào EULA hoặc chính sách quyền riêng tư mà chẳng ai đọc, rồi tuyên bố từ nay đã nhận được sự đồng ý và tiếp tục làm vậy
Nếu không yêu cầu cung cấp một lựa chọn từ chối riêng biệt, thì về lâu dài điều này có vẻ chỉ như một gờ giảm tốc tạm thời, không thay đổi được gì
Ủy ban thừa nhận rằng chỉ yêu cầu sự đồng ý trước là không đủ để bảo vệ CPNI của khách hàng. Đặc biệt, các thủ đoạn như “pretexting” — giả danh một khách hàng cụ thể hoặc người có thẩm quyền để lấy trái phép thông tin khách hàng — có thể lách qua yêu cầu đồng ý trước
Họ có thể thêm cụm như “để phòng chống gian lận và/hoặc các mục đích khác”, hoặc cũng có thể không. Các công ty bảo hiểm cũng vậy. Tôi đã từng thấy những điều khoản như thế, và khá chắc là dữ liệu được kéo từ nhà mạng di động
Chẳng phải các cơ quan tư pháp Mỹ mua loại dữ liệu thương mại này để lách yêu cầu có trát hay sao?
AT&T đã từng bị phạt vì cho phép NSA nghe lén toàn bộ dữ liệu mạng đã giải mã chưa? Việc đó có vẻ nghiêm trọng hơn nhiều
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
Bài liên quan:
Cape huy động được 61 triệu USD từ A16Z và các bên khác cho dịch vụ di động không sử dụng dữ liệu cá nhân
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
Đây là các chế tài dân sự. Tôi tò mò FCC hoạt động trong giới hạn nào, hoặc nếu không có giới hạn thì là trong phạm vi nào
Liệu họ có thể áp mức phạt lớn hơn không? Và tôi cũng muốn biết liệu điều đó có ảnh hưởng đến việc DOJ quyết định có thúc đẩy truy cứu hình sự hay không