इंटरनेट सेवाओं की KYC आवश्यकताओं पर 4 दिन की आपत्ति अवधि

 (federalregister.gov)
1 पॉइंट द्वारा GN⁺ 2024-04-26 | 1 टिप्पणियां | WhatsApp पर शेयर करें

IaaS प्रदाताओं के Customer Identification Program और छूट से संबंधित नियमों का सार

  • सभी अमेरिकी IaaS प्रदाताओं को न्यूनतम आवश्यकताओं को पूरा करने वाला एक लिखित Customer Identification Program (CIP) स्थापित और लागू करना होगा
  • CIP में ग्राहक और वास्तविक लाभकारी स्वामी की पहचान संबंधी जानकारी का संग्रह, विदेशी ग्राहक और वास्तविक लाभकारी स्वामी की पहचान सत्यापन, जानकारी का संरक्षण, और जानकारी के प्रकटीकरण से संबंधित ग्राहक सूचना जैसी प्रक्रियाएँ शामिल होनी चाहिए
  • IaaS प्रदाताओं को संभावित विदेशी ग्राहकों और वास्तविक लाभकारी स्वामियों से कम से कम नाम, पता, खाते के भुगतान साधन/स्रोत, ईमेल, फोन नंबर, IP address आदि की जानकारी एकत्र करनी होगी
  • IaaS प्रदाताओं को दस्तावेज़ी या गैर-दस्तावेज़ी तरीकों से विदेशी ग्राहकों और वास्तविक लाभकारी स्वामियों की पहचान सत्यापित करने के लिए जोखिम-आधारित प्रक्रियाएँ स्थापित करनी होंगी
  • CIP में उन स्थितियों से निपटने की प्रक्रिया भी शामिल होनी चाहिए जहाँ ग्राहक की पहचान सत्यापित न की जा सके
  • ग्राहक जानकारी सत्यापन प्रक्रिया के दौरान प्राप्त सभी जानकारी का रिकॉर्ड कम से कम 2 वर्षों तक सुरक्षित रूप से रखना होगा, और third-party access को सीमित करने की प्रक्रिया भी बनानी होगी
  • IaaS प्रदाताओं को विदेशी resellers से भी CIP बनाए रखने और लागू करने की अपेक्षा करनी होगी, और reseller के CIP की प्रति माँगे जाने पर 10 दिनों के भीतर वाणिज्य विभाग को उपलब्ध करानी होगी
  • अनुपालन न करने वाले विदेशी reseller के साथ लेनदेन 30 दिनों के भीतर बंद करना होगा

CIP रिपोर्टिंग आवश्यकताओं का सार

  • सभी IaaS प्रदाताओं को अपनी और विदेशी resellers की CIP implementation की सूचना वाणिज्य विभाग को देने के लिए CIP certification form जमा करना होगा
  • हर साल CIP की समीक्षा और अपडेट करके पुनः प्रमाणन करना होगा, और बीच में कोई महत्वपूर्ण बदलाव होने पर वाणिज्य विभाग को सूचित करना होगा
  • नए IaaS प्रदाताओं को सेवा प्रदान करने से पहले CIP certification form जमा करना होगा, और नया विदेशी reseller जोड़ने पर भी सूचना देनी होगी
  • विदेशी resellers से CIP जानकारी एकत्र करके हर साल वाणिज्य विभाग को जमा करनी होगी

CIP अनुपालन मूल्यांकन का सार

  • वाणिज्य विभाग IaaS प्रदाता के CIP की प्रति माँगकर निरीक्षण कर सकता है, और कमियों को सुधारने के लिए सूचित कर सकता है
  • वाणिज्य विभाग अपने मूल्यांकन या IaaS प्रदाता द्वारा जमा की गई जानकारी आदि के आधार पर जोखिम स्तर का आकलन कर अनुपालन मूल्यांकन करता है
  • compliance monitoring के परिणामों के आधार पर जोखिम न्यूनीकरण उपाय या विशेष उपायों की सिफारिश की जा सकती है

CIP छूट प्रावधानों का सार

  • वाणिज्य सचिव IaaS प्रदाताओं, account types, tenants, विदेशी resellers आदि को CIP आवश्यकताओं के अनुपालन से छूट दे सकते हैं
  • IaaS प्रदाता IaaS products misuse prevention program (ADP) स्थापित करके CIP आवश्यकताओं से छूट के लिए आवेदन कर सकते हैं
  • ADP में risk indicators की पहचान, detection, response, और नियमित updates से संबंधित नीतियाँ और प्रक्रियाएँ शामिल होनी चाहिए
  • छूट बनाए रखने के लिए ADP में हुए बदलावों की सूचना हर साल वाणिज्य विभाग को देनी होगी, और छूट कभी भी रद्द की जा सकती है

विशिष्ट देशों या विदेशियों के लिए विशेष उपायों का सार

  • यदि वाणिज्य सचिव यह निर्धारित करते हैं कि कोई विशिष्ट देश या विदेशी अमेरिकी IaaS products के दुरुपयोग वाली cyber गतिविधियों में शामिल है, तो वे विशेष उपाय लागू कर सकते हैं
  • इनमें उस देश के विदेशियों के लिए account opening पर रोक या शर्तें लगाना, या किसी विशिष्ट विदेशी के लिए account opening पर रोक या प्रतिबंध लगाना शामिल हो सकता है
  • विशेष उपाय लागू होंगे या नहीं और कौन से होंगे, यह संबंधित कारकों के समग्र मूल्यांकन के बाद तय किया जाता है

बड़े AI model training की रिपोर्टिंग आवश्यकताओं का सार

  • यदि IaaS प्रदाता को ऐसे बड़े AI model training transactions की जानकारी होती है जिनका उपयोग विदेशी malicious cyber activities में किया जा सकता है, तो उसे 15 दिनों के भीतर वाणिज्य विभाग को रिपोर्ट करना होगा
  • विदेशी resellers पर भी यही रिपोर्टिंग दायित्व लागू होगा, और IaaS प्रदाता को यह 30 दिनों के भीतर वाणिज्य विभाग को जमा करना होगा
  • वाणिज्य विभाग के अनुरोध पर 15 दिनों के भीतर अतिरिक्त जानकारी के साथ follow-up report जमा करनी होगी
  • त्रुटि मिलने पर 15 दिनों के भीतर correction report जमा करनी होगी
  • रिपोर्ट में विदेशी ग्राहक की जानकारी, training से संबंधित जानकारी आदि शामिल होनी चाहिए
  • IaaS प्रदाताओं को यह सुनिश्चित करने के लिए उचित प्रयास करने होंगे कि विदेशी resellers इन आवश्यकताओं का पालन करें

नियम उल्लंघन पर प्रवर्तन का सार

  • निषिद्ध कार्यों में CIP स्थापित/बनाए न रखना, reseller CIP अनुपालन न होना, बड़े AI model training पर प्रतिबंध/स्थगन का पालन न करना आदि शामिल हैं
  • वाणिज्य विभाग को झूठा बयान देना भी उल्लंघन माना जाएगा
  • IEEPA के तहत प्रति मामले अधिकतम $250,000 या उल्लंघन वाले लेनदेन मूल्य के 2 गुना, जो भी अधिक हो, का civil penalty लगाया जा सकता है
  • जानबूझकर उल्लंघन करने पर अधिकतम $1 million का जुर्माना या 20 साल तक की सज़ा हो सकती है
  • इसके अलावा अमेरिकी कानून के तहत अन्य civil/criminal दंड भी संभव हैं

GN⁺ की राय

यह नियम अमेरिकी IaaS प्रदाताओं के लिए विदेशी ग्राहकों की पहचान और सत्यापन को अनिवार्य बनाकर malicious cyber activities में दुरुपयोग को रोकने के उद्देश्य से दिखाई देता है। खासकर बड़े AI model training में IaaS के उपयोग को लेकर चिंता भी इसमें परिलक्षित होती है.

IaaS प्रदाताओं के दृष्टिकोण से देखें तो ग्राहक जानकारी संग्रह, सत्यापन और record retention जैसी जिम्मेदारियों का बोझ बढ़ेगा। विदेशी ग्राहकों का सत्यापन आसान नहीं हो सकता, और privacy issues भी सामने आ सकते हैं। विदेशी resellers के साथ contractual relationships पर भी इसका असर पड़ेगा.

दूसरी ओर, सरकार इससे IaaS बाजार पर अपनी नियंत्रण क्षमता बढ़ाकर national security threats को रोकना चाहती दिखती है। विशिष्ट देशों या actors को target करने वाले special measures के प्रावधान खास तौर पर ध्यान खींचते हैं, जो geopolitical tensions को दर्शाते हैं.

बड़े AI model से संबंधित प्रावधान AI की dual-use प्रकृति को लेकर बढ़ती जागरूकता का परिणाम लगते हैं। इससे यह संकेत मिलता है कि सरकार IaaS के माध्यम से होने वाली AI development activities पर नज़र रखना चाहती है। इसे तकनीकी प्रगति से उत्पन्न नए जोखिमों से निपटने की कोशिश के रूप में देखा जा सकता है.

यह नियम national security और technological innovation के बीच संतुलन खोजने की प्रक्रिया जैसा लगता है। IaaS प्रदाताओं के लिए यह बोझिल हो सकता है, लेकिन दीर्घकाल में यह बाजार की मजबूती और भरोसे को बेहतर बनाने में योगदान दे सकता है। हालांकि, अत्यधिक regulation के कारण innovation प्रभावित होने की आशंका भी है, इसलिए सावधानीपूर्वक implementation आवश्यक लगता है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-04-26
Hacker News राय
  • यह विधेयक संभवतः IaaS (इन्फ्रास्ट्रक्चर) प्रदाताओं से यह मांग करता है कि वे उन लोगों की पहचान सत्यापित करें जो AI प्रशिक्षण के लिए उनकी सेवाओं का उपयोग करते हैं। यह प्रतिबंधित या दुर्भावनापूर्ण तत्वों को AI ट्रेन करने, सेवाओं के बीच घूमने, या छद्म नामों का उपयोग करके मॉडल प्रशिक्षण जारी रखने से रोकने की कोशिश है।
  • यह कुछ हद तक हानिरहित लगता है, और HN चर्चा में दूसरे लोग जो तुलना कर रहे हैं, उन्हें समझना कठिन है। समझ नहीं आता कि यह वास्तव में slippery slope है, या मैं विधेयक के दायरे को लेकर भोला हूँ।
  • IaaS प्रदाता इसका कड़ा विरोध करेंगे, और अगर AWS ने KYC दस्तावेज़ मांगना शुरू किया, तो मैं तुरंत अपने सभी cloud resources कहीं और ले जाऊँगा। इसके लिए मेहनत लगभग न के बराबर है।
  • KYC का मतलब "know your customer" होता है। जब किसी संक्षिप्त रूप का पहली बार उपयोग किया जाए, तो उसे पूरा लिखना बेहतर होता है। खासकर इसलिए क्योंकि लिंक किए गए लेख में यह संक्षिप्त रूप खुद इस्तेमाल नहीं किया गया था। यह भी ध्यान देने योग्य है कि यह प्रस्ताव सामान्य "internet services" के बारे में नहीं, बल्कि अमेरिकी IaaS products के बारे में है।
  • अगर बैंक अपने ग्राहकों को जानते हैं, तो हमें ऐसा करने की ज़रूरत नहीं है। KYC का रास्ता हमेशा payments और finance तक जाता है। अगर हम service fees standard bank card transactions या bank transfers के ज़रिए स्वीकार करते हैं, तो ग्राहक की पहचान की जानकारी बैंकों में केंद्रीकृत की जा सकती है।
  • अधिक से अधिक online services में KYC आवश्यकताएँ जोड़े जाने की प्रवृत्ति चिंताजनक है। KYC सेवा प्रदान करने वालों पर बड़ा बोझ डालता है.
  • KYC सिस्टम अपराधियों को छाँटने में अच्छे नहीं होते। अधिकांश KYC सिस्टम data aggregators (जो personal data खरीदते हैं) पर निर्भर करते हैं, और युवा, गरीब, या privacy को महत्व देने वाले लोग संदेह के दायरे में आ जाते हैं।