FCC, konum verilerini izinsiz paylaşan ABD’li büyük telekom operatörlerine 200 milyon dolar ceza kesti
(docs.fcc.gov)- FCC, müşterilerin gerçek zamanlı konum bilgilerine erişim hakkının izin alınmadan dış taraflarla paylaşılması olayı nedeniyle AT&T, Sprint, T-Mobile ve Verizon’a toplamda 200 milyon dolara yakın para cezasını kesinleştirdi
- Telekom operatörleri konum bilgilerine erişim hakkını aggregator’lara sattı; aggregator’lar da bunu üçüncü taraf konum tabanlı hizmet sağlayıcılarına yeniden sattı
- Müşteri onayı alma sorumluluğu alt alıcılara devredilen bir yapı vardı; ancak birçok durumda geçerli onay alınmadı ve koruma önlemleri de yeterli değildi
- Cezalar Sprint için 12 milyon doların üzerinde, T-Mobile için 80 milyon doların üzerinde, AT&T için 57 milyon doların üzerinde, Verizon için yaklaşık 47 milyon dolar; Sprint ve T-Mobile soruşturma başladıktan sonra birleşti
- Communications Act Section 222, konum bilgileri dahil müşteri bilgilerinin korunmasını ve açık onay alınmasını şart koşuyor; aynı yükümlülükler üçüncü taraflarla paylaşım için de geçerli
Konum bilgisi satış yapısı ve ceza tutarları
- FCC, 29 Nisan 2024’te ABD’li büyük kablosuz iletişim operatörlerinin müşterilerin konum bilgilerine erişim hakkını yasa dışı şekilde paylaştığı gerekçesiyle para cezası verdi
- Sprint: 12 milyon doların üzerinde
- T-Mobile: 80 milyon doların üzerinde
- AT&T: 57 milyon doların üzerinde
- Verizon: yaklaşık 47 milyon dolar
- Her operatör, müşteri konum bilgilerine erişim hakkını aggregator’lara sattı; aggregator’lar da bunu üçüncü taraf konum tabanlı hizmet sağlayıcılarına yeniden sattı
- Telekom operatörleri müşteri onayı alma yükümlülüğünü alt alıcılara devretmeye çalıştı; ancak birçok durumda geçerli müşteri onayı alınmadı
- Koruma önlemlerinin etkili olmadığını öğrendikten sonra bile dört operatör, izinsiz erişimi engelleyecek makul adımlar atmadan konum bilgilerine erişim hakkı satış programlarını işletmeye devam etti
- FCC Chairwoman Jessica Rosenworcel, bu verinin müşterilerin hareket güzergâhlarını ve kimliklerini ortaya çıkarabilecek hassas bilgi olduğunu vurguladı
Soruşturmanın çıkış noktası ve hukuki dayanak
- Soruşturma, 2018’de Senatör Ron Wyden’ın açık mektubu ve ilgili kullanım örneklerine dair kamuya yansıyan haberler üzerine başladı
- Kamuya yansıyan haberlere göre, ceza infaz kurumlarına iletişim hizmeti sağlayan Securus’un işlettiği konum sorgulama hizmeti aracılığıyla Missouri’de bir şerif, birden fazla kişinin konumunu takip edebildi
- FCC, dört operatörün izinsiz erişimden haberdar olduktan sonra bile konum tabanlı hizmet sağlayıcılarının gerçekten müşteri onayı alıp almadığını doğrulayacak makul koruma önlemleri oluşturmadığı sonucuna vardı
- Communications Act Section 222 dahil ilgili yasalar, operatörlere şu yükümlülükleri getiriyor
- Konum bilgileri dahil belirli müşteri bilgilerini korumak için makul önlemler alma
- Müşteri bilgilerinin gizliliğini koruma
- Bilginin kullanılması, açıklanması veya erişime açılmasından önce açık ve aktif müşteri onayı alma
- Müşteri bilgileri üçüncü taraflarla paylaşıldığında da aynı yükümlülüklerin uygulanması
Kararların kesinleşmesi ve sonraki adımlar
- Bu Forfeiture Orders, Şubat 2020’de yayımlanan Notices of Apparent Liability kararlarını kesinleştiriyor
- AT&T ve Sprint cezaları NAL aşamasıyla aynı kaldı
- T-Mobile ve Verizon cezaları, NAL yanıtlarında sunulan materyallerin ek incelemesinin ardından düşürüldü
- Yasa, NAL yayımlandıktan sonra belirli ihlaller için müsadere tutarının artırılmasına izin vermiyor
- İlgili kararlar:
- FCC Chairwoman, 2023’te Privacy and Data Protection Task Force’u kurdu; bu yapı, gizlilik ve veri koruma alanında kural koyma, uygulama ve kamu farkındalığıyla ilgili ihtiyaçları kurum içinde koordine ediyor
- FCC, bu duyurunun Komisyon eylemine ilişkin gayriresmî bir açıklama olduğunu; resmî eylemin Komisyon kararlarının tam metninin yayımlanması olduğunu belirtti
1 yorum
Hacker News yorumları
Asıl mesele şeffaflık. 'Gizlilik politikası' değil; şirketin bilgilerimi kime sattığını ya da devrettiğini ve bu satışa hangi kısıtlamaların eklendiğini görmek istiyorum.
Fikir basit. Bilgilerimi topladıysan ve başka bir tarafın erişimine açtıysan, bunu bana bildirmeli; kolayca kontrol edip engelleyebilmemi sağlamalısın. İnsanlar gerçekte neler olduğunu bilse bile, gizlilik ihlallerinin çoğu ortadan kalkar.
Kişisel veri ticaretini tamamen ortadan kaldırmak daha iyi olurdu ama ilk adım olarak “kullanıcının verilerine hangi tarafların dokunduğunu tam olarak takip etmeyen şirketlere büyük para cezaları” uygulanabilir.
200 milyon dolar bozuk para sayılır. Bu telekom şirketleri bunu uzun zamandır yapıyor ve hiçbir şey değişmeyecek.
Olsa olsa gizlilik politikasına bir dipnot daha eklenir.
Securus aslında çoğunlukla ABD'deki mahkûmlarla ilgili işler yapan bir şirketti; herkesin verisini topladıktan sonra bu kabiliyeti ve ilişkileri bir hizmet olarak yeniden paketledi. FCC kararının ardından ek davalardan kaçınmaya yönelik kaba bir girişim olarak artık ortadan kalkmış gibi görünüyor.
https://securustechnologies.tech/investigative/investigation...
Takip hassasiyetine dair teknik ayrıntılar hâlâ yok. Operatör modeminin nerede bittiği, firmware/donanımın nerede başladığı belirsiz; bu da muhtemelen kasıtlı olabilir. Gerçek zamanlı GPS koordinatlarının sorgulanabiliyor olması düşük ihtimal; baz istasyonundan ASN sorgulanıp kullanıcının konumu için yaklaşık bir aralık sunulmuş olması ise çok yüksek ihtimal.
FCC 200 milyon dolarlık cezayı aldı ama hapis yok; o 200 milyon doların mahremiyeti ihlal edilen insanlara giden kısmı 0 dolar. Sonuçta sıradan bir pazartesi, her zamanki gibi.
Hissedarlar “bu iş yüzünden ceza aldılar ama devam ettiler, şimdi yine ceza ödemek zorundalar” durumundan hoşlanmaz. Ayrıca şirket geçmişte aynı şeyden gerçekten ceza aldıysa, idare, mahkemeler ve jüriler de “bilmiyorduk” savunmasına daha şüpheyle bakar.
Eskiden bir hedge fund'da çalışmıştım; her ay 125 milyon Amerikalının cep telefonu ping verilerini satın alıyorduk.
Çeşitli deep learning algoritmaları alışverişi, depoları ve diğer yaya trafiğini analiz ediyordu. İnsanlar özel yatırımcıların ne seviyede kavrayışa sahip olduğunu hiç bilmiyor. Kamusal rakamlarda görünenin çok daha ötesinde; dünyadaki en zeki insanlar Amerikalıların günlük alışkanlıklarından inanılmaz şeyler çıkarıyor. İnsanlığın bildiği neredeyse tüm istatistiksel algoritmalar bu veriye uygulanmıştı.
Örneğin her şeyi nakitle aldığımı, ön ödemeli SIM ve satın alma geçmişinde adım olmayan bir telefon kullandığımı, doğrudan kaynaktan derlemediğim hiçbir şeyi çalıştırmadığımı varsayalım. Telefonda NixOS kullanmak gibi bir durumda verim, bu veri kümelerine girmeyecek kadar işe yaramaz mı olur? Yoksa zaten o kadar çok veri noktasını bağlamaya alıştılar ki yalnızca nakit kullanmak da pek bir anlam ifade etmez mi?
T-Mobile, AT&T ve Verizon'un toplam günlük geliri baz alındığında, 196 milyon dolar kazanmaları yaklaşık 9 saat sürüyor.
Üç şirketin toplam günlük gelirini T-Mobile için 45,5 milyon dolar, AT&T için 125,6 milyon dolar, Verizon için 349,3 milyon dolar varsayarsak toplam 520,4 milyon dolar eder. Bunu 24 saate böldüğümüzde saatte 21,6 milyon dolar olur; 196 milyon dolarlık cezayı buna böldüğümüzde yaklaşık 9,07 saat çıkar.
Gerçek etkiye daha yakın olan kâr üzerinden bakmak daha ilginç bir yaklaşım.
“Müşterinin konum bilgilerine erişim yetkisinin rıza olmadan paylaşıldığı” kısmı tek başına, telekom şirketlerinin kimsenin okumadığı EULA’ya ya da gizlilik politikasına “konum verisi paylaşımı” maddesi ekleyip artık rıza aldıklarını öne sürerek devam etmesini engelleyecek gibi görünmüyor
Ayrı bir reddetme seçeneği sunulması zorunlu tutulmazsa, uzun vadede hiçbir şeyi değiştirmeyen geçici bir hız kesici tümsek gibi
Komisyon, müşteri CPNI’sinin korunması için yalnızca önceden rıza şartının yeterli olmadığını kabul etmiş. Özellikle belirli bir müşteri ya da yetkili kişiymiş gibi davranarak müşteri bilgilerini yasa dışı şekilde elde etmeye yönelik “pretexting” gibi yöntemler, önceden rıza şartını aşabildiği için
“Dolandırıcılığı önleme ve/veya diğer amaçlar” gibi bir ifade eklenebilir de eklenmeyebilir de. Sigorta şirketleri için de aynı şey geçerli. Böyle maddeler gördüm ve verilerin cep telefonu operatöründen çekildiğinden eminim
ABD kolluk kuvvetleri arama emri olmadan etrafından dolanmak için bu tür ticari verileri satın almıyor mu?
AT&T’nin NSA’in şifresi çözülmüş ağ verilerinin tamamını dinlemesine izin vermesi konusunda hiç ceza kesildi mi? Bu çok daha ciddi görünüyor
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
İlgili yazı:
Cape, kişisel verileri kullanmayan mobil hizmet için A16Z ve diğerlerinden 61 milyon dolar yatırım aldı
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
Bunlar idari para cezaları. FCC’nin hangi sınırlar içinde hareket ettiğini, ya da sınır yoksa kapsamının ne olduğunu merak ediyorum
Daha büyük para cezaları verebilir miydi? Ayrıca DOJ’nin cezai yaptırım peşine düşüp düşmeyeceğine karar vermesinde etkisi olup olmadığını da merak ediyorum