Ủy ban Truyền thông Liên bang Mỹ (FCC) phạt các nhà mạng lớn vì chia sẻ dữ liệu vị trí

• FCC đã áp tổng số tiền phạt gần 200 triệu USD đối với AT&T, Sprint, T-Mobile và Verizon vì đã chia sẻ trái phép thông tin vị trí cho bên thứ ba mà không có sự đồng ý của khách hàng
  • Sprint và T-Mobile đã sáp nhập sau khi cuộc điều tra bắt đầu, và lần lượt đối mặt với mức phạt 12 triệu USD và 80 triệu USD
  • AT&T bị phạt hơn 57 triệu USD, còn Verizon bị phạt khoảng 47 triệu USD

Vi phạm nghĩa vụ bảo vệ dữ liệu khách hàng

• Kết quả điều tra của Cục Thực thi FCC cho thấy mỗi nhà mạng đã bán quyền truy cập thông tin vị trí của khách hàng cho các "aggregator", sau đó các đơn vị này lại bán lại quyền truy cập cho các nhà cung cấp dịch vụ định vị bên thứ ba
• Mỗi nhà mạng đã tìm cách chuyển nghĩa vụ phải có được sự đồng ý của khách hàng sang cho các bên nhận dữ liệu vị trí ở hạ nguồn, điều này có nghĩa là trong hầu hết các trường hợp, họ đã không có được sự đồng ý hợp lệ từ khách hàng
• Thất bại ban đầu này còn trở nên nghiêm trọng hơn khi các nhà mạng tiếp tục bán quyền truy cập vào thông tin vị trí mà không thực hiện các biện pháp hợp lý để bảo vệ khỏi truy cập trái phép, ngay cả sau khi nhận ra rằng các biện pháp bảo vệ hiện có không hiệu quả

Nghĩa vụ bảo vệ thông tin khách hàng theo Mục 222 của Đạo luật Truyền thông

• Theo luật, bao gồm Mục 222 của Đạo luật Truyền thông, các nhà mạng phải thực hiện các biện pháp hợp lý để bảo vệ một số thông tin khách hàng nhất định, bao gồm cả thông tin vị trí
• Ngoài ra, các nhà mạng phải duy trì tính bảo mật của thông tin khách hàng và phải có được sự đồng ý chủ động và rõ ràng của khách hàng trước khi sử dụng, tiết lộ hoặc cho phép truy cập thông tin đó
• Những nghĩa vụ này cũng được áp dụng tương tự khi các nhà mạng chia sẻ thông tin khách hàng với bên thứ ba

Phát biểu của Giám đốc Cục Thực thi FCC Loyaan A. Egal

• "Việc bảo vệ và sử dụng dữ liệu cá nhân nhạy cảm như thông tin vị trí là điều bất khả xâm phạm"
• "Nếu rơi vào tay kẻ xấu hoặc bị sử dụng cho mục đích ác ý, nó có thể đẩy tất cả chúng ta vào nguy hiểm"
• "Các thế lực thù địch nước ngoài và tội phạm mạng từ lâu đã ưu tiên tìm cách có được thông tin này, vì vậy việc bảo đảm các nhà cung cấp dịch vụ có các biện pháp bảo vệ hợp lý để bảo vệ dữ liệu vị trí của khách hàng và có được sự đồng ý hợp lệ cho việc sử dụng dữ liệu đó là ưu tiên hàng đầu của Cục Thực thi"

Notices of Apparent Liability (NAL) ban hành tháng 2/2020 được chốt cuối cùng

• Các Forfeiture Orders được công bố hôm nay là quyết định chốt cuối cùng đối với các Forfeiture Orders đã được ban hành cho các nhà mạng này vào tháng 2/2020
• Mức phạt của AT&T và Sprint không thay đổi so với giai đoạn NAL
• Mức phạt của T-Mobile và Verizon đã được giảm sau khi xem xét thêm các tài liệu đệ trình của các bên đối với NAL
• Luật không cho phép tăng mức phạt đối với một số vi phạm nhất định sau khi NAL đã được ban hành

Ý kiến của GN⁺

• Việc các nhà mạng làm rò rỉ trái phép thông tin vị trí nhạy cảm của khách hàng và cũng không thiết lập đầy đủ các biện pháp bảo vệ để ngăn chặn điều này là một vấn đề rất nghiêm trọng. Điều này càng nghiêm trọng hơn khi các thế lực thù địch nước ngoài và tội phạm mạng đang nhắm vào loại thông tin này
• Tuy vậy, có cảm giác rằng biện pháp lần này được đưa ra quá muộn. Có vẻ như việc áp phạt đã được báo trước từ năm 2020, nhưng phải đến 4 năm sau mới có quyết định cuối cùng, điều này cho thấy có vấn đề. Cần có các biện pháp nhanh chóng và nghiêm khắc hơn đối với các vụ rò rỉ thông tin khách hàng
• Mặt khác, mức phạt này có thể không tạo ra tác động quá lớn đối với các nhà mạng ở quy mô như vậy. Để ngăn chặn tái diễn các vụ rò rỉ dữ liệu khách hàng, có thể cần những công cụ chế tài mạnh tay hơn
• Các nhà mạng trong nước nên coi đây là bài học để tăng cường hơn nữa các biện pháp bảo vệ thông tin khách hàng và tuân thủ nghiêm ngặt các quy định liên quan. Đặc biệt với dữ liệu nhạy cảm như thông tin vị trí, cần thận trọng hơn nữa